AWSのFirewall機能といえば Security Group ですが、意外にシンプルな機能でプロトコル、アクセス元、ポートのレンジを指定したセットをEC2起動時に指定してアクセス制御を行うしかけになってます。このままでも運用しても良いのですが、AWSブログで3tier構成にする場合の解説があったので紹介します。
suz-lab でも解説があったとおり、セキュリティグループの設定値で Source としてセキュリティグループを指定することができます。これは指定したセキュリティグループからの特定のポートへのアクセスを許可する方法です。
これを利用することで、いわゆる Internet - DMZ - LAN 的な 3tier を作ることができます。AWSブログでは WebSG、AppSG、DBSG というセキュリティグループを作成して、WebSG → AppSG、AppSG → DBSG の接続許可をしてます。API(コマンド)では以下のとおり。
昨年秋に公式に発表されて、今年上期に利用開始予定となっていたシンガポールのデータセンターがなんと本日サービスインしました。
発表によれば、以下のサービスが利用可能になったそうです。ちなみにアメリカ西海岸のRDSは無かったのですが、先にシンガポールで対応してます。
昨日は技術評論社主催のセミナーでAWSの営業かと言われるほど、ecoideasnetの事例紹介で Amazon Web Services の良さを押しまくりましたが、安心してもっと多くの人に使ってもらえるような取り組みができないかということでアイレットと共同で Amazon EC2 の導入から運用までを引き受ける AWS+ というサービスを開始することになりました。
ひとまずは小規模な企業や団体への提供を意図していますが、もともと次のような悩みを解決するためにAWS+を作りました。
少し前の話になりますがお仕事の記録。
パナソニックと世界中の人々のエコアイディアを集めて共有するサイト、ecoideasnet。
クライアントはパナソニック。以前在籍していたビジネス・アーキテクツから呼んでもらってテクニカルディレクターとしてプランニングから参加しました。企画段階ではコンセプトに合うアーキテクチャと連携するサービスの提案、そして開発スケジュール策定と概算費用まとめ。設計段階では採用したプラットフォーム(Amazon Web Serives)に最適なシステム構成立案と協力な開発チームのビルドアップ。開発から納品までは工程管理および品質管理の立場で関わりました。詳細な設計〜実装はアイレットにお任せしてます。
サイトの説明はこちらにまかせるとして、個人的に紹介したいところを書いときます。
【ソーシャルサービスとの連携】
・facebook, Twitter, Google との認証連携
・facebook, Twitter へのアクティビティフィード
このサイト独自に個人情報を取得することなく、既存サービスとアカウント連携し登録が行えます。さらにサイト内での活動を外部へ告知することが可能で、サイトと外部のサービスをうまくつなぎ inbound/outbound の誘導をしやすくしてあります。
【Amazon Web Services を全面採用】
・Amazon EC2, EBS, S3, CloudFront, ELB, Elastic IPs
ウェブサーバーを多重化、アプリデータはEBS、バックアップはS3、スタティックなファイル群はCDNを利用して配信する形を基本として、サイトアクセス自然増はもちろんピークにも対応しやすい構成になってます。
周囲はAppleの発表を前にどきどきわくわくしている人が多いのですが、自分的にはとても気になる記事を発見。
AWS experimenting with actually supporting DNS for users - The Troposphere
http://itknowledgeexchange.techtarget.com/cloud-computing/aws-experimenting-with-actually-supporting-dns-for-users/
Sharp eyes to Shlomo Swidler, who posted an update to an old thread and an old complaint on AWS - getting lumped into spam blacklists. EC2 staffer "Steve@AWS" announced the availability of a private beta today to institute PTR records for selected users to assist in getting them off real-time blacklists- a standard DNS tool conspiciously absent in AWS.
AWSのフォーラム内でのやりとりをみると、こういうこと。
そして We are working hard on making this a public beta soon. としめられているので、ひょっとしてDNSサービス開始か!?と勘ぐってしまいます。
まー、逆引きのみ対応の可能性もありますが、ともかくメール送信ができなくなるリスクを回避できるならそれは助かりますね。
あ、あとこうあります。
Please send PM to ian@aws if you can't wait for public beta.
今すでに困っている方は ian@aws さんまで連絡を入れると対応してもらえるみたいです。
当初S3上のAMIから起動したインスタンスを何とかしてEBSに保存しようとしていたのだが面倒になった(たぶんできない?)ので、EBS AMI から起動してカスタマイズして保存することに。
OSイメージのカスタマイズ内容に関しては調査目的なのでカスタマイズは何でもいいんだけど、触ってみたかったので MT5 をインストールし各種設定完了後ウィザード直前で止めてある状態で保存することにした。
1. インスタンス起動
元にする AMI を EBS AMI の中から選ぶ。今回は amazon 製の fedora を利用する。small タイプを利用するので i386 の方(ami-853968c0)を起動する。
先日とあるクライアントへの提案のために Amazon Web Services について概要説明をまとめたので記録しておく。
2009年12月28日時点では以下の8つのサービスが存在する。(7つの機能+サポート契約)
まず主要な3つのサービスを簡単にまとめる。
