• AWS 吉田さん

VPCベストプラクティス

Marketplaceを活用する

• ファイアウォールやロードバランサ、WAF、ルータ、ネットワーク高速化などの製品が利用可能
• EC2のMarketplaceから検索

VPC Peeringを利用する

• 2つのVPCの間でネットワークをpeeringする
  • 企業間コラボレーション
    • お互いの会社がAWSをつかっていれば、簡単にネットワーク接続が可能
    • セキュリティグループで必要な通信だけに絞ることもできる
    • 新しいEDI
  • セキュリティ昨日の共有例
    • Proxy / WAFをセキュリティチームが共有サービスとしてメンテ
    • アプリケーションチームのVPCは直接インターネットにアクセスできず、VPC Peeringでセキュリティチームレイヤにつないでアクセス

VPCのルーティングとセキュリティ

• VPCのルーティングはすべてサブネット単位のルートテーブルに基づく

• IPレベルでの接続性確保が目的

• 主なルーティングのエントリ

  • VPC内のCIDR: local
  • default route: 0.0.0.0 NAT
  • オンプレへのトラフィックはVGW: 192.168.0.0/16とか
  • 通信したいVPCのネットワークアドレスへのルーティングは Peering Connectionへルーティング

• ACLとセキュリティグループ

  • ACL: ブラックリスト型
    • ステートレスなので、戻りも明示する
    • ネットワーク構築時に不要な通信を禁止
  • セキュリティグループ: ホワイトリスト型
    • ステートフルなので、戻りを考慮する必要はない
    • 運用時に必要な通信を許可

• ベストプラクティス例

  1. ルーティングですべての到達性を確保
  2. 全体ポリシーで不必要な通信をACLで構築時に禁止
  3. 個別に必要な通信をセキュリティグループで許可

VPCエンドポイント

• S3へのアクセスは、以前はNATインスタンスなどを通す必要があった

  • シングルポイントだった
  • それを解決

• private subnetに設定することで、中から直接外にアクセスできるようになる

• エンドポイントポリシー

  • VPCエンドポイントに直接IAMポリシーを設定可能

• 既存からの移行

  • 既存のNAT構成の中にVPC endpointのルーティングを追加すれば、ロンゲストマッチに依ってVPC endpointが優先される

• 注意点

  • リージョンをまたいで通信することはできない
  • VPN / AWS DirectConnect / VPC PeeringなどからVPC endpointは使えない

Direct connect ベストプラクティス

• BGPの動作
  • ルートにBGP除く聖地は付与しない
  • お客様ルータのBGP俗世地を評価
  • ロードシェアリング可能
    • マルチパス有効
  • プライベート接続ではVPCのプレフィックスを広告
  • パブリックだとAWSクラウド内のプレフィックスを広告
  • BFDが有効

回線フェイルオーバーの高速化

• BGPでは、障害検知が遅くてフェイルオーバーが遅いことが問題になりやすい

  • デフォルトでは90~180秒
  • タイムアウト待ち

• BFD

  • ミリ秒レベルで対向ルーター同士でBFDパケットを送受信
  • なくなった場合に障害検知
  • 非常に高速なフェイルオーバー
  • リアルタイム性の高いアプリケーションの場合は設定を
  • 推奨

• KeepaliveとHoldtime

  • BGPの機能の一部
  • keepaliveを指定した間隔で送受信
  • 単純にこのHoldtimeのデフォルト値を短くする
    • 自分のるーたの設定値を低い値にすれば、AWS側のるーたもその低い方を採用する仕組み

経路の冗長化

• Active/Standby

  • 片方だけVPNという接続をしてる人もいる
  • BGPの属性値によってどのPathを選択するかを設定
  • のぼりとくだりは違う属性値で管理されている
    • AS Path Prepend
    • オンプレからの送信はLocal Pre...を優先

• 注意点

  • どちらの回線がActiveなのかをきちんと管理
  • 上りと下りのトラフィックを意識

• Active/Active

  • マルチパスによって、複数経路に対してロードバランスして送信する
  • Maxmmum Path
  • AWSのルータではマルチパスが有効になっている

• 注意点

  • 回線の切断時、正常な回線のトラフィック・帯域溢れに注意
    • マルチパスのペアをもう一つ用意したり
    • Active/Standbyにしたり

占有型と共有型

• DirectConnectの構成

  • 物理線(Connection)の中にVLAN(Virtual interface)を構成してる

• 占有型と共有型

  • 占有型: Connection単位
    • 1契約で複数接続
  • 共有型: Virtual Interface
    • 1契約につき1接続
    • たくさんVPC接続する場合は、その数分だけ契約する
  • どれくらい必要になるのかをよく見て、契約を判断

• キャリア閉域網の共有型の例

ネットワークのコード化

• ネットワークにフォーカスしたコード化

• CloudFormation

  • JSONテンプレートを用意して構築
  • updateも可能
• AWS CLI / SDK
  • API経由でコンポーネントを操作

CloudFormationの例

• VPC / Subnetの構成例

• サンプルテンプレートを元に使ったり、サードパーティーツールで便利に書ける

• JSONを編集 -> CloudFormationでロード

• CloudFormerを利用したテンプレート作成

  • 既存の構成を元にテンプレート作成

AWS CLI / SDK

• シェルのコマンドを使う

• VPC作成の例

  • 動的な処理もコマンドラインから可能

• PythonのSDKなども可能

• タグに寄る動的NAT制御の例

  • NATインスタンス起動時に自分自身の情報を元に判定してルートテーブルを更新する

さいごに

• AWS専用線アクセス体験ラボ

• AWS 小林さん

EBSのおさらい

• ブロックレベルのストレージ
• スナップショットを使ってバックアップ
• 暗号化

• 99.999%の可用性

• 特徴

  • 容量は1G単位で16TBまで
    • マグネティックは1TBまで
  • AZごとに独立
  • スナップショットから任意のAZに復元可能

• 1つのEBSを複数のインスタンスから参照することはできない

  • 付け替えは可能

アーキテクチャ

• AZ内で複数のHWにレプリケートしている
  • さらなる冗長化は不要

ボリュームタイプ

• ３種類からユースケースに合わせて
  • General Purpose SSD
  • Provisoned IOPS SSD
  • Magnetic
• Snapshotをとって復元することで、ボリュームタイプを変更可能

汎用SSD

• デフォルト
  • 費用対効果の高いディスク
• 一時的に3000IOPSになるバースト機能を備えている

• 1GBあたり3IOPSを常時確保(ベースパフォーマンス)

  • 容量が1000GB以下の場合は3000IOPSに一時的に引き上げるバーストが可能
    • たとえばOS起動時にはバーストさせて一気に起動させたり
  • 最大は10,000 IOPSまで上昇
    • 3334GBを超えたところで、常時10000IOPS

• バーストの継続時間はIOクレジットの残高で決まる

  • バーストが発生するとクレジットを消費
  • 下回ったら時間とともにクレジットが溜まっていく

• 容量とスループット

  • 容量依存でスループットが上がる
  • 170GB以下では128MB/s
  • 徐々に上がる
  • 214GB以上では常時160MB/s

Provisioned IOPS

• SSDを超える性能
• 99.99%の時間について、指定IOPSの+-10%の範囲で性能発揮する
• 最大20000IOPSまで
• 最大320MB/s(1280IOPS以上)
  • IOPS設定値依存

Magnetic

• 磁気ディスク
  • かつてのデフォルト
• コスト安
• 1TBまで
• 平均100IOPS
• 最大数百IOPSまでバーストできる場合がある
• IOPSの命令回数ベースで課金

パフォーマンスの律速要素

• 3つの要素で決まるのでどこにボトルネックがあるかを見極める
  • EC2インスタンス側のスループット
  • EBS自体のIOPS

EC2インスタンス側のスループット

• EBS-Optimized オプションを有効に

• インスタンスタイプごとに上限値があるので、そこに到達していないか

  • CloudWatchの Volume Read/Write Bytesの合計値で判断

• 上限に達している場合は、インスタンスタイプを大きくする

• EBS最適化をOnにすると、EBSへのアクセス回線をインターネットの帯域と別に確保する
  • インスタンスタイプごとに帯域が異なる

EBS側のIO性能を改善する

• EBS側の実績値を確認する
  • CloudWatchの Volume Read/Write Opsを参照
  • OS から見てもいい
• 上限に達していたばあいは、ボリュームの上限を改善

EBS側のスループットを改善する

• 個々のボリュームのスループットを確認する
  • CloudWatchの Volume Read/Write Bytesを確認
• 上限に達していた場合は、ボリュームタイプとスループットを確認

事前ウォーミング

• EBS各ブロックの初回アクセスに限り、IOPSが5~50%低下する
  • 性能測定など
• プレウォーミングを実施すると、回避できる

• 実運用時には事前ウォーミング不可能な場合もある

• 実行方法

  • Linuxならdd, Windowsならフォーマット

RAID構成

• 単体のスループットで不足ならRAIDを構成する
• RAID 0が心配ならRAID 10で。
  • 他はパリティ書き込み回数の関係でおすすめしない

ベンチマーク検証

• それぞれのボリュームタイプについて、仕様通りの性能が出ていることを確認

• RAIDによってそれを超えた性能が出せることをチェック

• 構成

  • c3.8xlarge
  • 2015.03
  • xfs
  • EBSはpre-warmingずみ

• このへんはもうグラフ見ないと伝えづらい。。。

• こまかいブロック(8KB, 16KB)の場合はIOPSが高まって、そちらで頭を打つ
  • スループットは余力があがったりする
• 大きなブロック(4MB)の場合は、IOPSの上限の前に、スループットが頭を打ってしまう
• 大きなブロックの場合、IOPS値を大きく取り過ぎてしまうと費用がもったいない場合があるので、注意

インスタンスストアとEBS

• もっと性能が欲しい場合は、インスタンスストアを使う
• 追加ストアなしで使えるディスク
• スループットはEBSとは独立している
• インスタンスを止めるとデータは消える
  • 再起動では消えない
• アプリケーションが使う一時的なデータの置き場所や分散システムのデータ置き場

ベンチマークをしてみる

• i2.8xlarge

  • 最もランダムアクセスに適したインスタンスストア
  • 800GB SSD x 8
  • これをRAID 0で

• ランダム読込

  • 最大40万IOPS
  • スループットについても最大3.5GB/s

• インスタンス料金のみで使えるので、揮発性で許容できるのであれば有効

ボリュームの暗号化

• AES-256
• ハードウェア機能を使って暗号化するので、パフォーマンスに影響しない
  • ほんと？というのを確認

• fioで負荷をかけてiostat/vmstatでチェック

• 実際にグラフを見ると、IOPSはほぼ変わらない

• CPU使用率も殆ど差がない

典型的な構成例

• 小さいデータへのアクセスが多い場合

  • 必要IOPSが得られるようにEBSを構成
  • ブロックサイズが小さければ、スループットがボトルネックになることは少ない
  • 本来必要な容量よりも多く取ることで、IOPSを稼ぐ
  • 単一で難しければRAID 0

• 大きいデータへのアクセスが多い場合

  • IOPSよりもスループットを重視
  • シーケンシャルな場合も同様
  • 無駄にIOPSを高めないようにするほうが、コストを抑えられる

• 低コストなストレージが必要な場合

  • アクセス頻度が低い・パフォーマンスが不要な場合はマグネティック

• 極めて高いIOが必要な場合

  • インスタンスストアを利用する
  • OSやアプリケーションが必要とする大事なデータはEBSを利用する

まとめ

• EBSは３つのものから最適なものを選択
• パフォーマンスが不足する場合は、ボトルネックを正しく理解して適切な対策を取る
• ユースケースに応じてインスタンスストアを使うことも考える