CreationPolicy属性
CFn
CloudFormationにて、CreationPolicy属性を待機条件に指定しておくと、EC2にソフトウェアをインストールして、そのインストールがOKだった際にシグナルを送り、そのシグナルを元に次に進めるような形で待機をすることができるというもの。
同一ホスト内の競合他社のデータ
まとめ
同一EC2内に競合他社のデータがあったとしても、ハイパーバイザーを介してお互いが分離しているので問題ない
VPCエンドポイント
問題
オンプレから安全に移行するために必要なこと
- VPCエンドポイントとは
RouteTableに追加するルートとして追加される。 その向き先がs3であり、ターゲットがvpce-で始まるエンドポイント
ルートテーブルは
「パケットの宛先(IPアドレス)を見て、どこに通信を流すかが書かれている表です。この表をみてパケットを運ぶ」
という形を取っているので、表にない宛先のものはパケットを送らない
この場合、 宛先がs3になっていて、ターゲットがVPCエンドポイントなので、
EC2が特定のs3(送信先)に送ろうとした通信はVPCエンドポイント(ターゲット)に向かうよ!
という設定を施した場合それが現実に起きるということが理解できる。
その設定をするとs3へのアクセスはインターネットを経由せずセキュアに通信ができるということになる。
VPCエンドポイントの方式
- Gateway
- Interface
Gatewayはs3とdynamodのみ
AWS PrivateLinkの使い方と注意点 ~VPCピアリングとの使い分け~ | そるでぶろぐ
インターフェースタイプ
- PrivateLinkと呼んでいる
- 実態はプライベートアドレスをもつENI
ゲートウェイタイプ
- ルートテーブルで送信先に対するターゲットとして指定する(つまりルートテーブルのルート)
ENI
ENIとは仮想のネットワークインターフェース
EC2が一つあるとして、ENIはひとつ。それがそのEC2のプライマリーIPとなる。
EC2にはENIをもう一つ追加できる。それがセカンダリプライベートIP
まとめ
- セキュアな接続をしたい場合は、VPCエンドポイントを使って内部通信するといいよ
AWS System Manager
ざっくりと
運用側の機能。運用側を自動化できる的なもの
Run Command
ログインせず、コマンド実行
- Parameter Store
Run Commandで使用できる変数
- software inventory
OSのパッケージ情報とか、バージョンとか、インストール履歴とか
- state Manger
定期的に実行
- Maintenance Windows
メンテナンス時間を設定
- Automation
AMI自動作成
- Patch Manager
適用するWindowsパッチを指定
追加機能
*セッションマネージャ
インバウンドの SSH ポートを開いたりしなくても EC2 にシェルアクセスできる
- System Manager Distributor
AWS で公開されたパッケージを含む既存のソフトウェアパッケージを新規作成またはデプロイしたい
