ストレージ
AWS Backup
- AWS 内におけるデータのバックアップを一元化・自動化するサービス
- バックアップポリシーに基づいて、EBS ボリューム、EC2 インスタンス、RDS データベースなどのバックアップの定期実行、バックアップ状況を監視
Amazon Elastic Block Store (Amazon EBS)
- 永続可能なブロックストレージサービス
- AZ 内で自動的に複製される仕組み有り
- 複数のボリュームタイプに分類
- 汎用 SSD (General Purpose SSD : gp2) は、デフォルトで提供されるボリュームタイプで、SSD を安価で利用でき、確保した要領に応じた IOPS が設定される
- プロビジョンド IOPS SSD (PIOPS SSD : io1 および io2) は、I / O 負荷の高いワークロードに利用され、自由に IOPS を設定可能
- スループット最適化 HHD (st1) は、HDD タイプで、大容量のストレージを安価に利用可
- コールド HDD (sc1) は、アクセス頻度の低い大量データの保存に適した HDD
- マグネティックは、旧世代のボリュームタイプで、アクセス頻度の低い用途に適した旧世代 HDD
- スナップショットを用いてバックアップを取得可能
- スナップショットは自動的に S3 へ保管
- スナップショットは、初回はフルバックアップを行うが、以後は増分で取得
- DeleteOnTermination 属性を使用してボリュームを存続させるべきか削除するべきかを判断
Amazon Elastic File System (Amazon EFS)
- スケーラブルで共有ストレージサービス
- 複数の AZ に冗長化してデータを保管
- マネージド型のサービスで、ストレージ容量やパフォーマンスを自動的にスケーリングし、拡張・縮小が可能であるため事前に容量の設定不要
- 使用した分だけの従量課金
- 標準的なファイルシステムである NFSv4 プロトコルに基づくファイルアクセス許可
- オンプレミスサーバーからも利用可
- EFS IA ストレージクラスは低頻度アクセスする場合に、コストを最適化
- スループットモードは、ファイルシステムで実行できる全体のスループットを決定する際に利用
- 最大 I/O モードは、合計スループットを優先してスケールし、レイテンシは少し長くなる
- バーストモードは、スループットはファイルシステムのサイズに合わせてスケールし、ファイルベースの多数のワークロードの不規則な性質に対応するために、必要に応じて動的にバースト
- プロビジョニングモードは、高い専用スループットを必要とするアプリケーションに対応するように設計
Amazon FSx
- コスト効率の良いファイルシステムを提供するサービス
- マルチ AZ に対応し高い可用性を持つ
- S3 へのバックアップも可能であり高い耐久性を持つ
- データ保存用ストレージは HDD や SSD に対応
- データや通信中のデータは全て暗号化
- IAM ポリシーによる API コールのアクセス制御や、セキュリティグループを使ったアクセス制御が可能
- FSx for Windows、FSx for Lustre に分類
- FSx for Windows は、SMB プロトコルを利用して、データへのアクセスが可能なファイルシステム
- FSx for Lustre は、機械学習や HPC (High Performance Computing) など、処理速度を重視するシステムに利用される Linux ベースのファイルシステム
Amazon S3
- 高耐久、大容量のオブジェクトストレージサービス
- データをオブジェクトとして扱い、ID とメタデータによって管理
- 同一リージョン内の 3 ヶ所の AZ へ自動的に複製
- バージョニング機能によりオブジェクトの世代管理を提供
- クロスリージョンレプリケーションを有効化することで、別のリージョンの S3 バケットにオブジェクトを複製
- クロスリージョンレプリケーションは、事前にバージョニング機能の有効化が必要
- アクセス制御は 4 つの方法に分類
- IAM ポリシーによるアクセス制御、内部の IAM ユーザーや AWS リソースへの権限管理
- バケットポリシーによるアクセス制御は、外部のユーザーも含めたアクセス管理
- ACL によるアクセス制御は、オブジェクトに個別に設定可能
- 事前署名付き URL によるアクセス制御は、インターネット上の第 3 者に URL を閲覧させる
- 3 種類の方式で暗号化
- SSE-S3 は、S3 のデフォルトキーを使用した AES-256 暗号化
- SSE-KMS は、AWS Key Management Serrvice (KMS) で管理されている鍵による AES-256 暗号化
- SSE-C は、ユーザの任意の鍵による AES-256 暗号化
- クラウアントサイド暗号化 (CSE) は、クライアント側の暗号化で、Amazon S3 に送信する前にデータを暗号化する方式
- 用途に合わせたストレージクラスを選択可能
- スタンダードは、デフォルトでイレブンナインの高耐久性
- 標準低頻度アクセス (Standard-Infrequent Access) は、スタンダードと比較して低コストで利用可能
- 1 ゾーン低頻度アクセス (One Zone-Infrequent Access) は、耐久性を必要としない場合に利用し、1 ヶ所の AZ 飲みにデータを保存するため、標準低頻度アクセスよりさらに安価
- 低冗長化ストレージ (Reduced RRedundancy Strage) は、2 ヶ所の AZ にレプリケーションすることでスタンダードに比べるとデータの耐久性は落ちるものの、コストを抑える
- Amazon S3 Glacier は、アーカイブを目的としたストレージで、大容量のデータを安価に保管することができるが、データへアクセスするためには時間を要す
- Intelligent-Tiering は、低頻度・高頻度の 2 階層のストっれrー自走を用意し、S3 上に格納したオブジェクトへのアクセス頻度に応じて、コストに見合った最適なストレージ層を自動的に使い分ける
- ライフサイクルポッ利シーを設定し、自動で削除、アーカイブ可能
- マルチパートアップロードを利用することで、大容量のオブジェクトをパートという単位に分割し転送することでデータ転送効率化を実現
- 静的コンテンツの Web サイトホスティング機能を持つ
- 静的 Web ホスティングで SSL を利用する場合は、CloudFront が必要
- データを無制限に保存でき、データれいくやビッグデータ分析用のデータストアとして利用可
- 署名付き URL で S3 上のデータに対して一定時間だけアクセスを許可
- AWS CLI や AWS SDK を利用して署名付き URL を発行可
- S3 の整合性モデルは、新規登録、更新、削除などの処理時に強い整合性モデルを採用
- オブジェクトロックにより、オブジェクトが削除または上書きされることを、一定機関または無期限に防止
- プレフィックスを利用することで、リクエストを分散させることが可能
- プレフィックスは、オブジェクトキー名の先頭にある文字列
- プレフィックスで検索すると、指定されたプレフィックスで始まるキーだけに結果が限定される
Amazon S3 Glacier
- データ取り出しのオプションは 3 つに分類
- 迅速 (Expedited) は、1 ~ 5 踏んでアーカイブデータの取り出しが可能であり、通常はオンデマンドと呼ばれる成功する保証がないタイプで実行され、プロビジョニングタイプでは取り出しのリクセストはすぐに実行されるが費用が高くなる
- 標準 (Standard) は、3 ~ 5 時間でアーカイブデータの取り出しが可能
- 大容量 (Bulk) は、5 ~ 12 時間でアーカイブデータの取り出しが可能
- Glacier Deep Archive は、より安価でr利用可
- 標準 (Standard) は、12 時間以内にアーカイブデータの取り出しが可能
- 大容量 (Bulk) は、48 時間以内にアーカイブデータの取り出しが可能
- S3 Glacier Flexible Retrieval は、Glacier を指す
- S3 Glacier Instant Retrieval は、アクセスされることがほとんどなく、ミリ秒単位の取り出しが必要な長期間有効なデータ向け
AWS Storage Gateway
- S3 へ NFS、SMB、iSCSI といった標準プロトコルでアクセスできるサービス
- ゲートウェイタイプは 4 つの種類に分類
- キャッシュ型ボリュームゲートウェイは、インターフェイスに iSCSI を利用し、アクセス頻度の高いデータはローカルにキャッシュすることで高速にアクセス
- キャッシュ型ボリュームを使用すると、頻繁にアクセスされるデータをローカル環境に保持しながら、S3 をプライマリデータストレージとして利用可
- キャッシュ型ボリュームは、頻繁にアクセスするデータはオンプレミス環境にキャッシュすることで、低レイテンシーなアクセスが可能
- 保管型ボリュームゲートウェイは、インターフェイスに iSCSI を利用し、データをスナップショットとして S3 に格納
- 保管型ボリュームゲートウェイは、プライマリーはオンプレミスストレージであり、データは非同期で Amazon S3 にバックアップ
- 保管型ボリュームゲートウェイは、オンプレミスのアプリケーションがそのデータセット全体に低レイテンシーでアクセスが可能
- ボリューム型ゲートウェイは、スケジュールされたスナップショット機能を持つ
- テープゲートウェイは、インターフェイスに iSCSI を利用し、物理テープ装置の代替としてデータを S3 (Glacier) に格納
- ファイルゲートウェイは、 インターフェイスに NFS を利用し、データをオブジェクトとして直接 S3 に格納
- CHAP(Challenge Handshake Authentication Protocol)を使用し、ゲートウェイと iSCSI イニシエータ間の認証が可能でありプレイバック攻撃から保護
- iSCSI 接続にはCHAPを構成し、iSCSIとイニシエーター接続の認証が必要