2018-01-15

先週のAWS関連ブログ〜1/14(日)

セクションナインの吉田真吾（@yoshidashingo）です。

AWS公式

Meltdown & Spectre 対応のアップデート

現在以下の掲示板のとおり、1/14早朝まで含めて12回更新されており、特にALinuxのAMIが再度更新されている模様。
すでにAWSを利用中であれば気づいたと思うが、先週土曜日の段階で仮想化ホスト基盤側に再パッチがあたったようで（掲示板で正式発表はされていない様子）、手元で確認したところ、RDSやElasticacheなどの最新の状況は脆弱性対応を行う以前の水準に戻っているように見える。

Processor Speculative Execution Research Disclosure

aws.amazon.com

AWS FinTech リファレンス・アーキテクチャー日本版の公開について

ガバナンスやセキュリティ基準におけるAWSの対応などが記載されている。

aws.amazon.com

公開ページ → FINTECH - アマゾンウェブサービス (AWS)

Amazon RDSのリードレプリカがMulti-AZ配置をサポートしました

これにより、DR発動でリードレプリカをマスターに昇格させてもすでにMulti-AZ配備になっているので、追加の保守作業（昇格したマスターに対してスレーブを設置する）が不要になる。

aws.amazon.com

CES におけるコネクテッドカーのための AWS IoT、Greengrass、および AWS Machine Learning

昨年re:Inventでデンソーの成迫さんが公園したように、今AWSを含むクラウド事業者ではコネクテッドカー分野がとても熱い。
コネクテッドカーソリューションの範囲としては現在、自動運転、テレマ、IoT、シェアビジネス、VR/ARなどを応用したソリューションが提案されている。

aws.amazon.com

Continuous Deployment to Kubernetes using AWS CodePipeline, AWS CodeCommit, AWS CodeBuild, Amazon ECR and AWS Lambda

AWS上のKubernetesクラスターへのアプリの継続的デプロイをCodePipeline/CodeCommit/CodeBuild/ECR/Lambdaを使って実現する方法
アプリのコードをCodeCommitにpushしたら、CodeBuildでコンテナイメージをビルドしてECRに登録し、Lambdaを発火してクラスタにデプロイする、というパイプラインをCodePipelineで管理する。

aws.amazon.com

便利

AWS認定セキュリティ試験がついにベータローンチ

aws.amazon.com aws.amazon.com

AWS関連

JAWS-UG さいたま支部で、「サーバーレス化を支える認証認可の話」という話しをしてきました。

認証認可に関する基本とAWSの関連サービス（API GatewayやCognito）について解説している。

blog.takuros.net speakerdeck.com

OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws from Tatsuo Kudo

www.slideshare.net

以前からこんなツイートしたりブログに書いたとおり、マイクロサービスやサーバーレスなアーキテクチャを実装する場合に認証認可は不可欠な要素。
Cognitoなどを使うと、認証済みのユーザーに対する認可（とそのトークン）や認証未済みのユーザーに対する認可（とそのトークン）など割り当てることができて便利。

認証・認可こそサーバーレスの肝だなぁとあらためて実感してる。
— Shingo(吉田真吾) (@yoshidashingo) 2017年11月24日

2018年のサーバーレス - yoshidashingo https://t.co/0ggGIgy6VK
— Shingo(吉田真吾) (@yoshidashingo) 2017年12月29日

Amazon EC2の最新基盤として「VMware Cloud on AWS」や「EC2ベアメタル」の実現にもつながったAWSの「Nitro System」とは？

年末、T2やC5などを起動して数秒で起動するその様にびっくりした人も多いと思うが、完全に刷新されたEC2の基盤についてre:InventのTuesday Night Liveの中で話された内容についての記事

www.publickey1.jp

2018-01-10

先週のAlibabaCloud関連ブログ〜1/10(水)

AlibabaCloud

セクションナインの吉田真吾（@yoshidashingo）です。

トピック
その他
- IoT、コネクティッドカー分野での提携
- IoTデバイス開発

最近日本でも勃興著しい印象のAlibaba Cloudに関するトピックを集めてみます。まず、グローバルのIaaS市場のシェアを見ると、AWSが40%以上の圧倒的なシェアを占め、その次にMicrosoft、そしてGCPやAlibaba Cloudが位置づいているという調査が多いです。最近はグローバルのカンファレンスでの登壇などが増えていて中国国内以外の露出も増えていますね。

www.businessinsider.jp

トピック

日本国内でのユーザーコミュニティ

まぁ何を隠そう、私が言い出しっぺなわけですが。開発者のコミュニティがないのもAlibaba Cloudでアーキテクティングを行ううえで不健全（サクッと聞きたい情報がやりとりできない）だなと思ったので、MasterCloudで豊富なサービス群や基本的なアーキテクチャについてお話ししたうえで、参加者を募り、12/25(月)に0次会を開催しました。

Architecting on Alibaba Cloud - 超基礎編 - from 真吾吉田

www.slideshare.net

仮想サーバー(ECS)のインスタンスの選びかた

中でもECSは日本国内で展開されていないインスタンスも含めるとたくさん種類があって、とにかく選びにくい。違いがいまいちわかりにくいというのが自分の印象でした。

第III世代

日本リージョンの主要な世代がこれです。まずこの中に「入門用」と「商用」の2つがあると思ってください。

入門用(第III世代)

これらがなぜ入門用かというと、いわゆる仮想化ホスト上でノイジーネイバーの影響を受けやすいとされています。アイソレーションの方式がいまいちなのかもしれない。その分お安めです。開発環境用やパフォーマンスがシビアでない場合に利用するべきインスタンスです。

xn4.small：1vCPU:1GB Mem構成のみ。お試しレベル
mn4(汎用)：1vCPU:4GB MemからスタートするCPU:メモリ比率が汎用的なインスタンス
n4(CPU)：1vCPU:4GB MemからスタートするCPU:メモリ比率がCPU寄りなインスタンス
e4(メモリ)：1vCPU:8GB MemからスタートするCPU:メモリ比率がメモリ寄りなインスタンスですが、現在は提供されていなさそうです。

f:id:yoshidashingo:20180110165739j:plain

商用(第III世代)

商用で利用すべきなのはこれ以降のグレードのインスタンスになってきます。こちらは上記の入門用とは違ってノイジーネイバーの影響は受けません。

汎用:sn2 / sn2ne (vCPU:Mem=1:4)
CPU最適化:sn1 / sn1ne (vCPU:Mem=1:2)
メモリ最適化:se1 / se1ne (vCPU:Mem=1:8)

上記のインスタンスファミリー名に ne がついているものとついていないものがありますが、ne付きはないものに比べて、インスタンスネットワーク帯域が2倍の割り当てになっています。

f:id:yoshidashingo:20180110170811j:plain

第Ⅳ世代

今後主流になってくるインスタンス世代です。CPUの世代も新しく、Intel Xeon Platinum 8163をベースにしています。

g5(汎用)：2 vCPU 8 GB 構成から
c5(CPU)：2 vCPU 4 GB 構成から
r5(メモリ)：2 vCPU 16 GB 構成から

f:id:yoshidashingo:20180110171225j:plain

これ以外にもAWSでいうt2ファミリーにあたるt5、エフェメラルディスクに大きめのSSDを搭載しているi2、ビッグデータ処理のためにメモリとネットワークを拡張しているd1ne、Intel Xeon Gold 6149のクロック数の高いCPUを利用してシングルスレッドな処理に適したhfg5/hfc5、Tesla P100のGPUを搭載しているgn5などがあり、それぞれの特徴によってインスタンスを選択することができます。

f:id:yoshidashingo:20180110172534j:plain

日本リージョンでも第Ⅳ世代が主流になるとコスト効率の高いクラウドプラットフォームとして認知が進むんじゃないでしょうか。

Alibaba Cloud という謎なクラウドサービス。

思ってたよりたくさんのサービスがあるよね、という話。

level69.net

認定資格制度

クラウド各社ともすでに展開していますが、Alibaba Cloudもプライベートベータで開始しはじめていますよという話

https://techblog.sbcloud.co.jp/2017/11/06/acp/techblog.sbcloud.co.jp

Meltdown&Spectreについて

世界中で大騒ぎになっているMeltdown&Spectreについてですが、1/4アナウンスがあり、1/13までにプラットフォーム側のパッチ作業をホットアップグレード(ダウンタイムなし)で行うとアナウンスがありました。

www.alibabacloud.com jp.alibabacloud.com

クラウドの重要機能 MessageServiceを理解する

クラウド上での分散処理を実現するために重要なPub/Sub機能を提供するMessage Serviceの機能について

https://techblog.sbcloud.co.jp/2017/12/22/クラウドの重要機能-messageserviceを理解する/techblog.sbcloud.co.jp

MVPプログラム

AWSでいえばコミュニティヒーローやAWS SAMURAIのようなMVP制度がはじまったそうで、SBクラウドの2名が受賞してます。Alibaba Cloudのことで困ったらこの人たちに相談しましょう。

その他

IoT、コネクティッドカー分野での提携

フォードやBMWがアリババと提携し、音声認識による車の情報（燃料残量など）へのアクセスができるようにすると発表。
今後はテレメトリや遠隔制御などにも発展していくことが期待される。

markezine.jp

IoTデバイス開発

NXP Semiconductorsと提携してデバイス開発を促進
このニュースに限らず、Alibaba Cloudはたとえば動画の認識技術をNVIDIAと提携して利用していたり、時間をお金で買うことで短時間に広範囲のソリューションをカバーしてきた節があるように見えます。その分、分かりにくいサービスが多くなってるのと、それぞれの提携の行く末によってはサービス自体が負債になりうる点だけが心配ですが、シェアが高く洗練された製品がOEMで組み込まれているという安心感もあります。

iotnews.jp

ということで今回は以上ですが、2月初旬くらいにまたデベロッパーミーティングをやりたいと思いますので、興味があれば参加してください。

2018-01-10

先週のAWS関連ブログ〜1/10(水)

AWS - アップデートまとめ

セクションナインの吉田真吾（@yoshidashingo）です。

実に1年以上空いてしまったのですが、細かいキャッチアップとして大事なので久しぶりに書いてみます。

AWS公式
AWS関連
- サーバレスでスケーラブルかつ堅牢なシステムを構築するためのデザインパターンとアーキテクチャ。Serverlessconf Tokyo 2017
- Introducing the Amazon Alexa Premium Far-Field Voice Development Kit
その他
- 遅い社会と早い個人のLearning to Learn

AWS公式

Meltdown and Spectre 脆弱性対応

年末年始から大騒ぎになっているMeltdown and Spectre脆弱性に対するパッチあて対応。Google Project Zeroおよび大学など複数の協力機関によってレポートされたIntel CPUに対する脆弱性ですが、以下のブログにあるようにクラウド各社は素早く対応しており、あらためてクラウドに乗ってて良かったな、という状況ですね。ホストOSへのパッチあてにより投機的実行が抑止されてパフォーマンス低下するという点については現在進行形で様々なユーザーからその性能測定結果などが出てきている状況ですが、ワークロードの特性によっても度合いが変わるようなので、自身の影響度合いについては自身で検証するしかないというが現実解ですね。

d.hatena.ne.jp

投機的実行の脆弱性によるパフォーマンスへの影響: CVE-2017-5754、CVE-2017-5753、および CVE-2017-5715 に対するセキュリティーパッチによるパフォーマンスへの影響 - Red Hat Customer Portal

プロセッサ予測実行研究の開示

上記の報告にあるとおり、AWSの仮想化基盤側はすでに対応を完了しており、ユーザー(ゲストVM)側の推奨アクションが示されています。

Amazon EC2

ホスト側でのパッチ充てはすでに完了している
大多数のEC2のワークロードには性能劣化はみられない
ユーザー(ゲストVM)側のディストリビューションごとの情報や推奨アクションは以下のとおり
- Amazon Linux
  - 掲示板ALAS-2018-939で対応 https://alas.aws.amazon.com/ALAS-2018-939.html
  - 2018/1/3 10:45PM(GMT)以降、yum updateして再起動するか、最新のAmazon Linuxを利用する
- EC2 Windows
  - ベンダ情報：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
    - パッチが提供されるが、自動アップデートが有効になっている場合は自動的に適用される
  - Windows Server 2008R2, 2012R2 and 2016 のAMIを更新済み
- RedHat Enterprise Linux - https://access.redhat.com/security/vulnerabilities/speculativeexecution
- SuSe Linux – https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
- Ubuntu Linux - https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities/

ECS最適化AMI

AMIは最新化済み 2017.09.e
古い場合は sudo yum update kernel して再起動すること

Elastic Beanstalk

Linuxは2018/1/7にEBのベースとなるAMIを最新化済み
- https://aws.amazon.com/jp/releasenotes/release-aws-elastic-beanstalk-linux-based-platform-security-updates-on-january-6-2018/
Windowsも上記EC2 Windowsと同じくベンダー提供のパッチを適用すること

AWS Fargate

対策済み、カスタマーによる対応不要

AWS Lambda

パッチ済み、カスタマーによる対応不要

Amazon FreeRTOS

対策不要

RDS

RDS for MariaDB、RDS for MySQL、Aurora MySQL、およびRDS for Oracleはカスタマーによる対策は不要
RDS PostgreSQL と Aurora PostgreSQL もカスタマーによる対策は基本的に不要だが、plv8機能を使っている場合は専用のパッチを公開予定
RDS for SQL Serverはパッチを公開しているのでカスタマーが選択した時点で適用可能

VMware Cloud on AWS

ベンダ情報を参照：https://www.vmware.com/security/advisories/VMSA-2018-0002.html

WorkSpaces

1/12以降にMSからセキュリティパッチを配布予定、再起動が必要
独自のライセンスで独自の更新設定を入れている場合は自分でパッチ充て→再起動が必要

WorkSpaces Application Manager (WAM)

手動でWAM PackagerとValidatorにパッチを充てる https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
あるいは1/4以降はアップデート済みのAMIからWAM PackagerとValidatorを再構築することができる

ところで上記RedHatのレポートもありますが、ワークロードの違いにより性能劣化の度合いに違いがあるのですが、AWSのサービスでいうとRDSとElastiCache、特にElastiCacheの劣化が個人的には結構痛いポイントです。まさに以下と同じような状況。

blog.orz.at

AWS Lambda および Tensorflow を使用してディープラーニングモデルをデプロイする方法

モデルの構築には莫大なリソースが必要だが、そのモデルを使った推論はサーバーレスで行うことができる
モデルはS3に配置したものをLambdaで読み込んで利用したり、サイズによってはコードのアーティファクトとともにパッケージして利用することができる
ただし依存ライブラリをすべてパッケージするためには一度EC2上で構築した環境から必要なものを抽出する必要がある点に注意する

aws.amazon.com

Amazon SageMaker でのご利用開始: より正確な時系列予測のための DeepAR アルゴリズム

Amazon SageMaker の最新内蔵アルゴリズムとして、Amazon SageMaker DeepAR がリリースされた
コールドスタート予測や確率予測の精度が高いと言われている

aws.amazon.com

Amazon EMR での Spark にバックアップされた Amazon SageMaker ノートブックの構築

SageMakerのプラットフォームにEMR Sparkを利用するための接続方法や、Livyを使ったSageMaker(Jupyter Notebook)と対話する方法について

aws.amazon.com

Building Connected Vehicle Solutions on the AWS Cloud

コネクテッドカー（ネットワークサービスと接続した自動車）に必要なAWSのサービス群を使ったパターンとその説明。
re:Inventで参加した自動運転カーのハッカソンでもこれらを活用して車から上がるテレメトリーをリアルタイムに可視化しました、非常に便利です。

aws.amazon.com

Build a notes app with React Native, AWS AppSync, and AWS Amplify

AWS AmplifyというAWSリソースにアクセスするためのJavaScriptと、ネイティブアプリを作成するフレームワークであるReact Nativeで、AppSyncを用いてGraphQLでデータアクセス・同期を行うノートアプリを作成する

https://aws.amazon.com/jp/blogs/mobile/build-a-notes-app-with-react-native-aws-appsync-and-aws-amplify/aws.amazon.com

AWS Direct Connectアップデート– 2017年後半に追加された新ロケーション10か所

今まで東京のDXのロケーションを提供する事業者はEquinixしかなく、ラックが不足するとメトロコネクトなどでさらに張り出した先のデータセンターでコロケーションするしか選択肢がありませんでしたが、AT TOKYOもロケーションに追加された。
日本で使うユーザーは東京のVPCと接続することが大半だが、国外のVPCと接続する場合は昨年発表されたAWS Direct Connect Gatewayが活用できる

aws.amazon.com

Combine Transactional and Analytical Data Using Amazon Aurora and Amazon Redshift

Auroraのデータの変更をLambdaでキャプチャし、Kinesis FirehoseでS3にデータを書き出し、RedshiftにデータをCOPYし、Spectrumで分析する仕組みの解説
WebアプリなどをOLTP処理し、別の情報系データベースで分析する需要は非常に多いため、サーバーレスで運用フリーかつニアリアルタイムに反映されるため便利

aws.amazon.com