AWS初心者向けWebinar これで完璧、AWSの運用監視
•
80 likes•22,810 views
2015/12/25 AWS初心者向けWebinar これで完璧、AWSの運用監視
AWS初心者向けWebinar これで完璧、AWSの運用監視
- 1. これで完璧、AWSの運用監視 初心者向けWebinarシリーズ アマゾン ウェブ サービス ジャパン株式会社 パートナー ソリューション アーキテクト 酒徳 知明 2015.12.25 1
- 2. 自己紹介 酒徳 知明(さかとく ともあき) エコシステム ソリューション部 パートナー ソリューション アーキテクト • エンタープライズ SIパートナー様のご支援 • ISVパートナー様のご支援 好きなAWSサービス • 運用監視系サービス
- 3. ご質問を受け付け致します! 質問を投稿することができます! • Adobe Connectのチャット機能を使って、質問を書き込んでく ださい。(書き込んだ質問は、主催者にしか見えません) • Webinarの最後に、可能な限り回答させていただきます。 • 終了時刻となった際は、割愛させていただく場合がございます。 ①画面右下のチャッ トボックスに質問を 書き込んでください ②吹き出しマークで 送信してください 3
- 4. 初心者向けWebinarのご紹介 • AWSについてこれから学ぶ方向けのWebinarです。 • 過去のWebinar資料 – AWSクラウドサービス活用資料集ページにて公開 http://aws.amazon.com/jp/aws-jp-introduction/ • イベントの告知 – 国内のイベント・セミナースケジュールページにて告知 http://aws.amazon.com/jp/about-aws/events/ (オンラインセミナー枠) 4
- 6. AWSの運用監視 • 今までのシステム監視と然程変わらない – オンプレミス時の運用ノウハウを最大限活用 – AWSサービスをうまく活用したシンプルな監視 – 多くの監視ツールがAWSに対応 • クラウドならではの運用監視 – コスト監視 – AWSマネジドサービスの監視 – 運用軽減を手伝うAWSサービス
- 8. Amazon CloudWatchとは • AWSの各種リソースを監視するマネージドサービス – AWSリソースの死活、性能、キャパシティ – 取得メトリックスのグラフ化 (可視化) – 各メトリックスをベースとしたアラーム(通知)、アクションの設定が可能 • 多くのAWSサービスの監視が可能 – Amazon EC2 – Amazon EBS – Amazon RDS – Elastic Load Balancing など http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/supported_services.html
- 9. Amazon EC2のモニタリングタイプ 基本モニタリング 詳細モニタリング 無料 データは 5分間隔で 自動的に取得 追加料金が必要 データは 1 分間隔 で取得可能
- 11. Amazon CloudWatch カスタムメトリックス • 標準メトリックス以外の独自メトリックスも監視可能 – AWS CLIの”put-metric-data”、API Toolsの”mon-put-data”、もしく は”PutMetricData” APIでデータを登録 – サイズ制限として、HTTP GETは8KB、HTTP POSTは40KB、1つの PutMetricDataリクエストに20データ $ aws cloudwatch put-metric-data –metric-name RequestLatency --namespace "GetStarted“ --timestamp 2014-10-28T12:30:00Z --value 87 --unit Milliseconds $ aws cloudwatch put-metric-data --metric-name RequestLatency¥ --namespace "GetStarted“¥ --timestamp 2014-10-28T12:30:00Z --statistic-value Sum=60,Minimum=15,Maximum=105,SampleCount=5 https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/publishingMetrics.html
- 12. CloudWatchのメトリックス値 • CloudWatchで取得される情報は統計情報 – メトリックスデータを指定した期間で集約したもの – それぞれのメトリックスについて適切な統計情報を見る必要がある • メトリックスデータの保管は2週間まで – 2週間以上保存する場合は、get-metric-statisticsでデータを取得し別の場所に保管しておく • データ保管粒度は最短で1分間隔 – 多くのサービスで1分間隔、5分間隔のものもある http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/cloudwatch_concepts.html
- 15. Amazon CloudWatchを使った死活監視 • EC2の死活監視 – CloudWatch標準メトリックスを利用可能 • StatusCheckFailed_System – ハイパーバイザーレイヤから見た正常性確認 – 最近 1 分間にインスタンスが EC2 システムステータスチェックに成功し たかどうかを報告 • StatusCheckFailed_Instance – OSレイヤの正常性確認 – 最近 1 分間にインスタンスが EC2 インスタンスステータスチェックに成 功したかどうかを報告 • StatusCheckFailed – StatusCheckFailed_Instance と StatusCheckFailed_System の組み合わ せで評価を行い、どちらかのステータスチェックが失敗したら報告 – 1分間隔でモニタリング可能
- 16. Amazon EC2 Auto Recovery • EC2の自動復旧 – EC2インスタンスが稼働しているAWSシステムに障害が 発生した場合に、自動的にEC2インスタンス復旧する機能。 • ネットワーク接続喪失 • システム電源喪失 • 物理ホストの障害 • 対応するインスタンスタイプ – C3, C4, M3, R3, T2インスタンス • VPC内のインスタンス – EC2クラシックは未対応 – ハードウェア専有インスタンスは未対応 • EBS-Backedインスタンスのみ http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-instance-recover.html
- 17. CloudWatchを使ったマネージドサービスの監視 • AWSマネージドサービスの監視 Amazon RDS ELB • Latency • BackendConnectionErrors • HealthyHostCount • UnHealthyHostCount • RequestCount • HTTPCode_ELB_5XX • HTTPCode_Backend_4XX • CPUUtilization • FreeableMemory • SwapUsage • FreeStorageSpace • DiskQueueDepth • ReadIOPS • ReadThroughput • ReadLatency • NetworkReceiveThroughput • NetworkTransmitThroughput • WriteIOPS • WriteThroughput • WriteLatency • DatabaseConnections • BinLogDiskUsage http://docs.aws.amazon.com/ja_jp/ElasticLoadBalancing/latest/DeveloperGuide/US_MonitoringLoadBalancerWithCW.html http://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/DeveloperGuide/rds-metricscollected.html
- 18. RDSの拡張モニタリング(MySQL 5.6, MariaDB, Aurora) • CPU、メモリ、ファイルシステムや ディスクI/Oなどの50を超えるメトリ クスが取得可能 • 対応しているDB – MySQL 5.6 – MariaDB – Aurora • 拡張モニタリングのデータは CloudWatch Logsにパブリッシュ http://aws.typepad.com/aws_japan/2015/12/new-enhanced-monitoring-for-amazon-rds-mysql-5-6-mariadb-and-aurora.html
- 21. • CloudWatchはデータポイントを基準にステータスを判断 – データポイントとはCloudWatchに送信される値(CPU値など) – OK / アラーム時は入力されたデータポイントを基準に状態評価 – INSUFFIENT時はCloudWatchにテータポイントの入力が無い状態 → “INSUFFICIENT”は必ずしも障害を表すステータスではない INSUFFICIENT_DATAの考え方 EC2 CloudWatch データポイント EC2 CloudWatch データポイント 自体が存在しない OK / ALARM INSUFFICIENT
- 22. CloudWatch Dashboard • 運用にあったメトリックス ダッシュボードが利用可能 に
- 23. Amazon CloudWatchによるコストの監視 • Billingアラーム設定 • 課金状況をCloudWatch監視 • 一定金額を超えるとアラームメール通知が可能
- 25. メンテナンスイベントの監視 • メンテナンスイベント取得 にはCLI/APIが便利 – EC2 • describe-instance-status (CLI) • DescribeInstanceStatus (API) – RDS • describe-pending- maintenance-actions (CLI) • DescribePendingMaintenanc eActions (API)
- 26. AWSサービス毎の監視 • AWS Service Health Dashboard – AWSサービス全体の利用可能確認 – 各リージョン毎、サービス毎にサービス提供状態 – RSSフィードを使ったモニタリング http://status.aws.amazon.com/
- 28. 監視システムとのAmazon CloudWatch連携 3rd Party 監視ツール
- 29. 監視ツール連携の必要性 • 監視対象の制限 – ハイブリッド環境の監視 • データ保存期間(2週間の保存) • データ保管粒度は最短で1分間隔 • アラートの制限 – 複合アラートの設定 – メンテナンス ウィンドウの設定 – 重要度の設定 • アクション機能 • 通知フォーマット
- 30. 監視システムとのAmazon CloudWatch連携 監視システムでのCloudWatch活用イメージ サードパーティ監視ツールの確認 ポイント • AWSに対応しているか • CloudWatchとの連携機能の有無 • CloudWatchカスタムメトリックスに対 応しているか • Auto Scaling対応しているか • EC2インスタンス自動検出・自動削除が 可能か http://aws.amazon.com/jp/solutions/case-studies/shiseido/
- 31. ESP(Ecosystem Solution Pattern)カタログ 無料配布 2015年度版 AWS対応ソフトウェア/SaaSガイド https://aws.amazon.com/jp/solutions/partner-central/esp-catalog/
- 33. CloudWatch Metrics CloudWatch Logs を使ったログ監視 Amazon Linux Ubuntu Windows Red Hat Linux CloudWatch Logs CloudWatch Alarm SNS Log Agent Log Agent Log Agent Log Agent VPC Flow Log Kinesis
- 35. CloudWatch Logsのディレクトリ階層 Web Server i-1234501 Log Group Log Stream Log Event i-1234502 i-1234503
- 37. CloudWatch Logs Metric Filter • 特定文字列の出現回数によりアラーム作成が可能 → “error”という文字列が出現するとアラーム上げる “error”という文字列を監視 “error”という文字列の出現 回数
- 38. AWS監視のまとめ 1. AWS上のシステム運用監視の際は、まずCloudWatch でどこまで対応可するかを検討 – まずどのレイヤまでを監視するのか決定する – 必要に応じて3rd Partyの利用も検討 2. AWSならではの監視項目も合わせて監視対象メトリッ クスに組み込む 3. CloudWatch Logsを利用することで、AWSプラット フォームのログを一元的に集約できる
- 40. AWS CloudTrailとは • 概要 • AWSアカウント/ユーザの操作をロギングするサービス • ルートアカウント、IAMユーザのオペレーションをトラッキング • S3にロギングデータを保存 • CloudTrail ログファイルは暗号化されS3に保存(SSE) • gz形式で圧縮 • CloudTrail 自体は無料 • Amazon S3/SNSの使用料金が必要 Amazon S3 Amazon SNS API call の発生状況 API call の発生状況 SNS設定の有無
- 41. AWS CloudTrailによりロギングされるイベント API call Event Non-API call Event • サポート サービスから発行されるAPI StartInstances CreateKeyPair • ユーザのサインイン アクティビテイ AWS マネジメント コンソール AWS ディスカッション フォー ラム
- 42. JSON形式での出力
- 44. CloudTrail API lookup – マネジメントコンソール • 直近7日間の情報はヒストリから確認可能
- 45. CloudTrail API サンプル (RunInstance)
- 47. Amazon Elasticsearch Service • Elasticsearchクラスタを数分間で起動できるマネージ ドサービス • Kibanaが組み込まれており、即座にデータのビジュア ライズに着手できる • すでに東京リージョンでも利用可能 • CloudWatch Logs インテグレーションがとても簡単 CloudWatch Logs Elasticsearch Service
- 48. Kibanaを使ったログの可視化
- 49. Splunk App for AWS
- 50. AWS Configとは • AWSリソースのレポジトリ情報を取得し、リソースの設定履歴を 監査、リソース構成の変更を通知するフルマネージドサービス Configuration Stream Configuration SnapshotConfiguration History • リソースが作成、変更、また は構成項目を削除されるたび に、作成され、構成ストリー ムに追加される • SNSトピック連携可能 • あるポイントでのコンフィグ レーション アイテムの集合 • 自動で定期的あるいは変更ト リガで作成され、Amazon S3 にエクスポートされる • 設定履歴は、任意の期間にお ける各リソースタイプの構成 要素の集合 • リソースの設定履歴を、指定 したS3バケットに保存 Snapshot @ 2014-11-12, 2:30pm
- 51. リレーションシップ • アカウント内のAWSリソース間の関係 • 双方向の依存関係が自動的に割り当てられる Example: セキュリティ グループ“sg-10dk8ej” とEC2 インスタンス “i-123a3d9” は互いに関連関係にあります
- 52. AWS Config リレーションシップ Security Group wfront-6171 wfront-6172 wfront-6173 ・ ・ ・ AWS Config cli/sdk/metadata cli/sdk/metadata cli/sdk/metadata
- 53. AWS Configが対応しているAWSリソース • 現在AWS Configが対応しているのは下記5サービス Amazon EC2 Instance, ENI... Amazon EBS Volumes AWS CloudTrail Amazon VPC VPC, Subnet... ※2015年12月25日時点 AWS IAM
- 56. Logstorageによる可視化
- 57. Instances must be tagged with environment type Page developer All EBS volumes should be encrypted Encrypt volumes Instances must be within a VPC Terminate instance C O M P L I A N C E G U I D E L I N E A C T I O N AWS Config Rules
- 58. AWS Config Rulesによるポリシー適合の評価 • AWS Config Rules • 準拠すべきルールを事前に設定し、その内容に沿った 構成変更が行われているかをルールに従い評価 全てのEBCボリュームが暗号化されているか EC2インスタンスが適切にタグ付されているか Elastic IP address(EIP)がインスタンスにアタッチされているか
- 59. AWS Config Rules 準拠すべきルールを事前に定義、評価を実施 AWS Managed Rules • AWSにより定義・提供される • AWSにより運用される • 必要最低限のベーシック・ルール Customer Managed Rules • 自分でAWS Lambdaをベースにルールを作成可能 • 管理自体は作成者 (自分) で実施
- 60. AWS Config Rules (AWS Managed Rules) • Managed Rulesの種類 ボリュームが暗号化されているか CloudTrail が有効になっているか EIP がアタッチされているか SSH の設定確認(SG) EC2がVPC内に作成されているか タグが付けれられいるか ポートが適切に設定されているか(SG)
- 61. AWS Config Rules (Customer Managed Rules) • Customer Managed Rulesの種類 Lambda functonを自分で作成 自由にルールを設定することが可能 作成したLambda functionのarnをルールに紐付ける トリガーのタイミングを選択 (Configuration changes or Periodic)
- 62. AWS Config Rules マネジメントコンソール AWS Managed AWS Managed Customer Managed Customer Managed
- 63. AWS Managed Rules サンプル
- 65. まとめ • CloudWatchをうまくご利用頂くことで、クラウドで必 要な監視を実装可能 • 必要に応じて3rd Party監視ツールとの連携 • ユーザ オペレーションのロギングはCloudTrailを有効 かすることで対応可能 • システム全体の構成管理にはAWS Configを利用するこ とで運用負荷軽減に結びつく • ログの可視化に関してはAPNパートナー様のソリュー ションと連携する
- 66. • AWS運用管理のノウハウを広く発信 • Partner SAブログに運用Tips記事を掲載中 – http://aws.typepad.com/aws_partner_sa/2015/06/aws-ops.html – または、 で検索 • DoorKeeper: OpsJAWSコミュニティ – https://opsjaws.doorkeeper.jp/ OpsJAWSご紹介
- 69. 69