[レポート] ENT227 エンタープライズインフラストラクチャの近代的な管理手法 #reinvent
はじめに
本記事はAWS re:Invent 2018のセッション「ENT227 Managing Modern Infrastructure in Enterprises」 のレポートです。
セッション概要
In this session, Verizon shares how it uses AWS Systems Manager for inventory, compliance, and patch management solutions. Learn about the challenges that large enterprises face when they attempt to retrofit legacy solutions for cloud environments, and discover best practices for using AWS Systems Manager for minimal access policies, custom Amazon Machine Images, tagging policies, encryption, and more.
スピーカーは以下のお二人。
- Carmen Puccio - Principal Solutions Architect, AWS
- Greg Linde - DMTS, Verizon
レポート
- 古くからあるツールでクラウド環境、ハイブリッド環境を管理することは複雑でコストが高い
- スケールするインフラに対応出来ない
- 複数のプロダクトを使うことにオーバーヘッドが発生
- エンタープライズシステム全体の可視化は容易ではない
- ライセンスが複雑かつコスト
- 顧客の挑戦
- 規模に合わせた安全でセキュアな運用
- アプリケーションと環境をリソースにマッピング
- ハイブリッド環境管理のために多様なツールのセットアップ
- 複雑なライセンスとインフラの管理
- ビジネス要求に対する解決策を打つ俊敏性
上のような課題に対する取り組み。
- 安全な運用をスケール
- アプリケーションごとのグルーピング
- 可視化、それもシングルコンソールで
- AWSベストプラクティスに則った構築
- 拡張可能に
- ハイブリッド、マルチクラウド
- ansibleやPowershell DSCを使って構築にコンプライアンスを
- オープンソースを使う
- クロスプラットフォーム(Windows、Linux)
- インベントリを収集するための機能
これらはAWS Systems Managerを使って実現可能。
マルチアカウント、OnPからのサーバーを一つのインベントリで管理する。
インベントリを中央管理するために考慮すること
- インベントリ収集エージェント(SSM Agentのことだと思われる) がインストールされているAMIを作り、マルチアカウント・マルチリージョンで使用
- インベントリ収集スケジュールはフレキシブルに
- エージェントはポリシーやルールをPull出来ること
- インベントリは中央管理かつOnPからアクセス可能な状態にする
- インベントリは保管時も転送時も暗号化する
Golden AMIを作ることが構築にコンプライアンスをもたらす。
アプリケーションごとにグループを作って最小のIAM権限を持たせる例。
インベントリを一つのS3バケットに集約する例。
KMSで暗号化しよりセキュアにしている。
集めたインベントリは週単位でバケットローテーションさせ
運用担当者がAthena(図にはないがQuickSightを使うと視覚化できる)で参照。
最後はデモ。
さいごに
”システムの状態” を把握しておくことが安全な運用を行ううえで重要な要素になります。
クラウドはスケールが容易なことが特徴の一つにありますが、
システム運用をスケールさせることは簡単ではありません。
最近のアップデートでマルチアカウント・マルチリージョンのインベントリを
中央のS3バケットへ保存出来るようになりました。
複数アカウントやリージョンのインベントリを一つのコンソールで表示出来ることは
運用担当者にとって大きなメリットになると思います。
以上です。