林田力 何者のだましの堤防も崩す

『東急不動産だまし売り裁判』著者

ノンフィクション著者。『東急不動産だまし売り裁判 こうして勝った』マンションだまし売り被害を消費者契約法で解決。何者もだまし売りのない世界へ。だまし売りNoでSDGs。消費者の堤防/Amazon Kindle出版/林田医療裁判/中野相続裁判/二子玉川再開発問題/書評/マンガ/YouTube
http://www.hayariki.net/
林田力Amazon
https://www.amazon.co.jp/%E6%9E%97%E7%94%B0-%E5%8A%9B/e/B00493GN28
林田力Twitter
https://twitter.com/hayachikara



AWS

AWS SSO; Single Sign On

AWS SSO; Single Sign OnはAWS Accountやクラウドアプリケーションへの SSO アクセスの一元管理を容易にするクラウドベースのSSOサービス。割り当てられたアカウントとアプリケーションの全てに対する1か所からのSSOアクセスをユーザーに提供できるようにする。Microsoft AD; Active DirectoryやAzure AD; Active Directory, Okta Universal Directoryなどの既存のアイデンティティソースに接続することができる。
AWS SSOはオンプレミス環境のADと連携し、AWS Management ConsoleへのSSOを許可することもできる。オンプレミス環境のADの情報を利用し、Management Consoleへのアクセスを許可するためにはSAML 2.0の形式でIdP側とAWSでメタデータ情報を交換し、信頼関係を構築する必要がある。
AWS Directory ServiceのAD Connectorを利用するAD Connectorを利用を利用する場合はManagement Consoleへのアクセスを許可するIAM Roleを作成し、IAM RoleにAWS Directory Serviceとの信頼関係を設定する。AWS Directory Service for Microsoft ADを利用する場合は、AWS Directory Service for Microsoft ADとオンプレミス環境のAD間に信頼関係を設定する必要がある。

AWSのInternet Gateway

Internet Gatewayは、VPCとInternetとの間の通信を可能にするVPCコンポーネント。VPC内のリソースからInternetへアクセスするためのGateway。Internet GatewayはIPv4 トラフィックとIPv6トラフィックをサポートする。
Internet GatewayはInstanceに代わって1対1のNATを論理的に行う。トラフィックがVPC subnetから出てInternetへ向かう時、返信アドレスフィールドはInstanceのPrivate IP AddressではなくPublic IPv4 Addressまたは Elastic IP Addressに設定される。逆にInstanceのPublic IPv4 Addressまたは Elastic IP Address宛てのトラフィックは、その送信先アドレスがInstanceのPrivate IP Addressに変換されてから、VPC に配信される。

AWS Backup

AWS Backupはバックアップのサービス。AWS Backupは、Amazon DynamoDB table, Amazon EBS volume, Amazon EFS, Amazon EC2 Instance, Amazon FSx, Amazon RDS, Aurora Cluster, AWS Storage Gateway volumeなどの AWS resourceのバックアップポリシーを一元的に設定し、バックアップアクティビティをモニタリングできる。AWS BackupはAWS Storage Gatewayと統合されており、AWS Storage Gatewayに保存されたオンプレミスデータも同じポリシーでバックアップできる。
AWS Backupはクロスリージョンバックアップやクロスアカウントバックアップが可能。クロスアカウントバックアップはAWS Organizations内の別のAccountにバックアップをコピーできる。AWS Organizationsを活用してソースアカウントと送信先アカウントを定義する。クロスアカウントバックアップとクロスリージョンバックアップの同時適用も可能。これによってバックアップを別のRegionの別のAccountにコピーできる。

AWS Storage Gateway

AWS Storage Gatewayは既存のオンプレミス環境とAWS Cloudを接続するハイブリッドクラウドストレージサービス。オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、オンプレミスのIT環境とAWSのストレージインフラストラクチャをシームレスに統合する。オンプレミスアプリケーションをS3, EBS, Glacierのようなストレージサービスに接続する。オンプレミス環境とクラウド環境との隙間を埋める。
AWS Storage Gatewayはローカルキャッシュを有している。ローカルキャッシュを利用することで、データをオンプレミスに保持し、データアクセスと復元時間を最小限に抑えることができる。GatewayからAWSにデータをアップロードするために利用できるネットワーク帯域幅が限られている場合、アップロードのためにローカルキャッシュに多くのデータをバッファできる。
AWS Storage Gateway にはFile, Volume, Tapeの3種類がある。File Gateway はデータをS3に直接objectとして格納する。S3 object storageへのFile protocol accessを必要とするオンプレミスや EC2 ベースのアプリケーションで使用できる。NFS; Network File SystemやSMB; Server Message Blockなどの業界標準のFile protocolを使用して、S3でobjectの保存や取得を行う。
File Gatewayにはアクセスベースの列挙機能がある。アクセス許可に基づいて開くことができないSMBファイル共有やフォルダ、ファイルがユーザーに表示されないようにすることができる。各ユーザーには自身がアクセスできるフォルダとファイルのみを表示することで、フォルダ構造の簡略化されたビューを提供する。
Volume GatewayはInterfaceにiSCSIを使用。Volume Gatewayにはキャッシュ型と保管型がある。キャッシュ型はプライマリデータを S3に格納する。アクセス頻度の高いデータはローカルにキャッシュすることでデータへの高速アクセスが可能になる。保管型はプライマリデータをローカルに保存し、非同期にS3にバックアップを格納する。
Volume Gateway ではLocal Volumeのスナップショットを取得し、そのスナップショットを Amazon EBSに保存することもできる。このようなスナップショットから新たに Amazon EBS Volumeを作成し、それを Amazon EC2 Instanceにアタッチできる。
Tape Gatewayは物理テープ装置の代替としてデータをS3に格納する。InterfaceにiSCSIを使用。Tape GatewayとVolume Gatewayではスケジュールベースでネットワーク帯域幅を調整できる。Gatewayで設定したスケジュールに基づいて、Gatewayがオンプレミスデータを AWS と同期するために使用するネットワーク帯域幅を調整できる。これにより、ピーク時の帯域幅の使用を調整してネットワークの混雑を最小限に抑え、ピーク時以外の時に使用可能な全ての帯域幅を使用できる。

AWS Systems Manager Explorer

AWS Systems Manager ExplorerはAWS AccountとRegion全体の運用データを表示する運用ダッシュボード。EC2 Instanceの概要やパッチのコンプライアンスなど、関連する運用データをわかりやすくグラフィカルに表示する。
AWS Configルールと関連のあるリソースコンプライアンスの概要を提供する。AWS Config ウィジェットで準拠/非準拠のルールとリソースを選択し、ルール名、修復アクション、リソースの詳細、Regionなどの詳細を表示できる。これらの詳細をCSVファイルにエクスポートし、Amazon SNS通知を発行できる。

AWS DataSync

AWS DataSyncは、オンプレミスのストレージとAWSストレージサービスやAWSストレージサービス間のデータの移動を簡素化、自動化、高速化するオンラインデータ転送サービス。Network File System; NFS共有やServer Message Block; SMB共有、Amazon S3, Amazon EFS, Amazon FSx for Windowsファイルサーバー間でファイルやオブジェクトを転送できる。
AWS DataSyncは転送中のデータの自動暗号化や転送中および保存中のデータ整合性検証などが可能。送信元のファイルシステムと送信先にある全てのファイルのチェックサムをローカルで計算して比較する。DataSyncは、送信元のファイルシステムと送信先にある全てのファイルのメタデータを比較する。いずれかに相違がある場合には、検証は失敗し、何が失敗したかを明確に指定するエラーコードを表示する。
AWS DataSyncタスクスケジューリングにより、転送タスクを定期的に実行して、ソースからターゲットに変更をコピーできる。タスクスケジューリングは、設定したスケジュールでタスクを毎時または毎日、毎週と自動的に実行できる。
ファイルがロックされていて、サーバーによってDataSyncが当該ファイルを開くことを禁止されている場合、DataSyncは当該ファイルの転送をスキップする。DataSyncはTRANSFERRINGフェーズ中にエラーをログに記録し、検証エラーを送信する。

Amazon MQ

AWSはMQ; Message Queue のマネージドサービスとして、Amazon SQS; Simple Queue ServiceやAmazon MQを提供する。MQの利用によって疎結合アーキテクチャの実装が容易になる。
Amazon MQ は、Apache ActiveMQやRabbitMQというオープンソースメッセージブローカーをプロビジョニングおよび管理するフルマネージドサービス。メッセージブローカーはAmazon EFS; Elastic File Systemによって耐久性を有し、メッセージは複数のAZに冗長に保存する。

AWSはEmailのサービスとしてAmazon SES; Simple Email Serviceを提供する。Amazon SESでは利用者が自分の連絡先リストを管理できる。連絡先リストにはエンドユーザー情報とそのユーザーに関連するトピックが含まれている。Amazon SESではEmailフッターのサブスクリプション解除リンクやlist-unsubscribeヘッダーを追加できる。Amazon SESはエンドユーザーのサブスクリプション設定に基づいてリストを自動的に更新する。

Amazon API Gatewayでは、デフォルトで自動生成されたHTTP APIやREST APIのEndpointを無効化できる。API Gateway のデフォルトの REST API Endpointは「https://{restapi_id}.execute-api.{region}.amazonaws.com」となる。この機能はAPIにカスタムドメイン名を使用し、APIへの全てのトラフィックをデフォルトのEndpointではなくカスタムドメイン名のみを通過するようにしたい利用者向けである。

gRPC はトランスポートに HTTP/2 を使用し、マイクロサービスベースのアーキテクチャ上に構築されたアプリケーションのサービス間通信で普及しつつある。AWSのALBはgRPCプロトコルをサポートする。ALBを使用してマイクロサービス間または gRPC 対応のクライアントとサービス間でgRPCトラフィックをルーティング及び負荷分散できる。

【AWS Service Catalog】
AWSはクラウドリソースのプロビジョニングのためにAWS Service Catalogを提供する。AWS Service Catalog はStack Set Instance操作をサポートする。利用者はAWS Service Catalog管理者が指定した制約内で、StackSet の個々のInstanceを制御できる。

AWS EC2 T3インスタンス

開発環境などに向いている安価なInstance TypeにT3がある。バーストパフォーマンスインスタンスと呼ばれる。ベースラインレベルの CPU パフォーマンスを実現する。必要な時間だけ CPU 使用率をバーストできるが、CPUクレジットの制約がある。
CPUクレジットは1単位で1vCPUを1分間使用率100%にする単位である。長時間に渡って高いCPU使用率となるような場合は、CPUクレジットを使い尽くすことになる。CPUクレジットを使い尽くした場合、Standard modeでは性能に影響がある。Unlimited modeは性能を確保できるが、課金される。T3 InstanceのデフォルトはUnlimited modeである。
T3aインスタンスはAMD製CPUを使用する。T3aインスタンスはT3インスタンスよりも10%低い価格で提供される。
以下は価格差の一例である。
t3a.xlarge 0.2558USD/時間
m5.xlarge 0.308USD/時間
https://aws.amazon.com/jp/ec2/instance-types/t3/
EC2の料金。
https://aws.amazon.com/jp/ec2/pricing/on-demand/
固定割引料金体系としてリザーブドインスタンスがあるが、1年または3年の期間で購入するもの。
Amazon EBS の価格
https://aws.amazon.com/jp/ebs/pricing/
Amazon WorkSpacesの種類や料金
https://aws.amazon.com/jp/workspaces/pricing/

Public CloudのRegion

Public Cloudは世界各地の拠点で運用されている。Public Cloudの地理的な単位としてRegionがある。Regionはデータセンターの集合体で、低遅延ネットワークで接続されている。日本ではAWSは東京Regionと大阪ローカルRegionがある。Azureは東日本Regionと西日本Regionがある。

各Regionは地理的に離れた場所に位置する。各Regionは、障害が発生しても切り分けてできる限り安定性を高めるため、他のRegionから完全に分離される設計になっている。AzureのRegion間は300マイル(約500km)離している。AzureにはGeoという区分もある。Geoは南北アメリカ、ヨーロッパ、アジア太平洋、中東及びアメリカに分けられる。

通常はユーザーの所在地に近い場所にあるRegionを利用する。サービスが動作している場所とユーザーの場所が地理的に離れている場合、レイテンシーが発生する。Regionによってサービスの価格が異なる。

AWSもAzureも特殊なRegionがある。AWS GovCloudやAzure Governmentは米国連邦政府機関、州政府、地方自治体向けのRegionである。政府や公共団体のコンプライアンス要件を遵守しなければならない顧客向け。一般ユーザーからアクセスできず、隔離されている。機密データや規制対象ワークロードをクラウド内でホストできるよう設計されている。

AWSもAzureも中国のRegionは隔離されている。中国企業によって運用されている。

Azure Germanyはドイツの法律に基づく厳格なデータ保護の要件を満たす。ドイツ企業が管理する。Azure Germanyで作成したデータを持ち出せない。

Amazon Aurora

Amazon Auroraはフルマネージド型のデータベースサービス。MySQL互換エディションとPostgreSQL互換エディションがある。スループットはMySQLの5倍、PostgreSQLの3倍と評される。
データ量に応じてストレージを自動拡張できる。データは3か所のAZに格納される。3AZに6つのデータのコピーを作成し、2つのディスクが利用不能でも読み書き可能。3つのディスクが利用不能でも読み込みは可能。
頻繁にデータの更新や削除が行われるDBに向いている。SQLを発行して複数のテーブルを結合し、結合したテーブルから対象のデータを取り出すことができる。
Auroraのエンドポイントは、クラスターエンドポイント、リーダーエンドポイント、インスタンスエンドポイント、カスタムエンドポイントの四種類ある。エンドポイントは、ホストアドレスとポートを含む固有のURLとして表現される。
Amazon Aurora Serverless は、Amazon Aurora のオンデマンド自動スケーリング設定。データベースの容量はアプリケーションのニーズに基づいて自動的に起動、シャットダウン、スケールアップまたはスケールダウンされる。DB容量をプロビジョニングまたは管理する必要がなくなる。DBの使用に応じて秒単位の支払いが発生する。

AWS Storage Gateway

AWS Storage Gatewayは既存のオンプレミス環境とAWS Cloudを接続するハイブリッドクラウドストレージサービス。オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、オンプレミスのIT環境とAWSのストレージインフラストラクチャをシームレスに統合する。オンプレミスアプリケーションをS3, EBS, Glacierのようなストレージサービスに接続する。

AWS Direct Connect

AWS Direct Connectはオンプレミス環境とAWSの間を専用線でつなぐサービスである。DXと略される。AWSへの接続方法はインターネットとIPsec VPNとAWS Direct Connectの3種類に大別される。東京リージョンの接続ポイントは東京都品川区にあるEquinix TY2 IBXデータセンターに設置されている。
Direct ConnectでVPCやS3などのPublic Cloud Serviceと接続する際はVirtual Interface; VIFを設定する。これはVLAN IDによって識別される仮想的な回線である。
お問い合わせ
記事検索
ノンフィクション。東急リバブル東急不動産から日照・通風・眺望喪失という不利益事実を隠して新築マンションを騙し売りされた消費者が、消費者契約法(不利益事実の不告知)に基づき売買契約を取り消し、裁判で売買代金を取り戻す闘いの記録。 動画 https://t.co/6weS1SQuEF
  • ライブドアブログ