AWS完全に理解する

2022-03-05に作成

AWSに対して学習した際のアウトプットを記します。

基本的には、以下から対応するサービスの資料を参照してまとめてます。

サービス別資料 | AWS クラウドサービス活用資料集

所有者限定モードのためこのボードには投稿できません ボードとは?

AWS Organizations 完全に理解した

AWS Organizations とは

複数のAWSアカウントを一括で管理するためのサービスです。
次の機能があります。

  • グループ単位でのポリシー適用による複数AWSアカウントの一元管理
  • AWSアカウント新規作成の自動化
  • 請求の簡素化

AWS Organizations とは - AWS Organizations

学習成果

ほぼ下記資料のまとめです。

20180214 AWS Black Belt Online Seminar AWS Organizations (PDF)

AWS Organizations の構成要素

  • AWSアカウント or アカウント
    • AWS契約の単位
    • AWSOrganizationsで管理する最小単位
  • 組織 (Organization)
    • 一元管理する対象の全体
    • 複数AWSアカウントのセット
  • マスターアカウント
    • 組織の全体を管理する権限を持つAWSアカウント
  • メンバーアカウント
    • 組織内のマスターアカウント以外のAWSアカウント
  • OU: 組織単位
    • 組織内の複数AWSアカウントのグループ
  • 管理用ルート (root)
    • OU階層の開始点
  • 組織ポリシー
    • 組織内で適用してAWSアカウントを管理する仕組み
    • 現在サポートされている組織ポリシーのタイプ
      • 承認ポリシー
        • SCP: サービスコントロールポリシー
          • 利用できるAWSサービスとアクションを制御する
          • 組織ルート、OU、アカウント単位でアタッチが可能
          • アタッチしたアカウント内のIAMユーザー、IAMロールレベルでの制御が可能
            • ルートユーザーも適用対象
          • マスターアカウントは適用対象外
          • ポリシーの構文は通常のIAMポリシーと同じ
            • リソース制御は不可
            • プリンシパルは利用不可
      • 管理ポリシー
        • AIサービスのオプトアウトポリシー
        • バックアップポリシー
        • タグポリシー

構成図

  • 組織
    • アカウント
      • マスターアカウント
      • メンバーアカウント1
    • ポリシー
    • 管理用ルート
      • 開発環境OU
        • アカウント
          • メンバーアカウント2
          • メンバーアカウント3
      • 本番環境OU
        • アカウント
          • メンバーアカウント4
          • メンバーアカウント5
          • メンバーアカウント6
            • ポリシー
        • ポリシー

機能セットの選択

  • Consolidated Billing Only
    • 支払いの一括請求やアカウントの新規作成/招待/削除を実施したいだけならこっち
  • All Feature
    • 複数アカウントを統制したい場合はこっち

一括請求 (Consolidated Billing)

  • AWSOrganizations 提供前の一括請求と同じ
  • ボリュームディスカウントが合算して計算される
  • リザーブドインスタンスによる割引がデフォルトで共有される
  • 割引を共有しない場合の料金 (Unblended Rate) も確認できる

Amazon Route 53 完全に理解した

Amazon Route 53 とは

AWSで提供しているDNSサービスです。
購入したドメインを登録することで、世界中にドメインとIPアドレスを公開し、購入したドメインでサービスを展開できるようになります。

Amazon Route 53 とは? - Amazon Route 53

学習成果

だいたいは以下資料のまとめです。
一般的には、グローバルなDNSサービスを思い浮かべると思いますが、ローカルなDNSサービスも担っており、説明資料としては2種類を分けています。

DNSサーバーの4つの機能

  • フォワーダー、フルサービスリゾルバー、ネームサーバーが同居して、1つのDNSサーバーを構成する
  • 著名なDNSサーバー実証のいくつかは、これら複数の機能を有していることが多い

ネームサーバー

  • ルートを起点にして全てのFQDNを探索できるように構成された分散データベース
    • また、これを成す各々のネームサーバー
  • 権威DNSサーバー/Authoritative Serverとも

フルサービスリゾルバー

  • ルートから順にネームサーバーに問合せた回答を、問い合わせもとに返す実装
    • 経路
      • E.g.)
        • ユーザー: request www.example.com To フルサービスリゾルバー
        • フルサービスリゾルバー: request www.example.com To ルートネームサーバー
        • ルートネームサーバー: response .comネームサーバー To フルサービスリゾルバー
        • フルサービスリゾルバー: request www.example.com To .comネームサーバー
        • ルートネームサーバー: response .example.comネームサーバー To フルサービスリゾルバー
        • フルサービスリゾルバー: request www.example.com To .example.comネームサーバー
        • ルートネームサーバー: response 192.0.2.3 To フルサービスリゾルバー
        • フルサービスリゾルバー: response 192.0.2.3 To User
      • 上記の例のうち、ユーザー・フルサービスリゾルバー間の通信を再帰的問合せと呼ぶ
      • 上記の例のうち、フルサービスリゾルバー・各ネームサーバー間の通信を反復問合せと呼ぶ
  • 効率化のため所定の期間 (TTL) キャッシュを保持する

スタブリゾルバー

  • DNSクライアント実装
    • 基本的にOSに組込まれていることが多い
  • 常に再帰的問合せ
    • キャッシュの有無は実装に依存
  • 複数のDNSサーバーに対し、ドメインごとに振分けたり、同時に利用したりする機能は無い
    • サーバーを複数指定するのは障害時のフォールバックのため

フォワーダー

  • 受取った問合せを、ルールに基づいて中継する実装
  • 常に再帰的問合せ
  • 効率化のため所定の期間 (TTL) キャッシュを保持する

ドメイン名とは

ドメイン名の基本

  • レジストラント(登録者): ドメイン名を登録し、使用するユーザー
  • レジストラ(登録取次事業者): レジストリと契約し、ドメイン名登録の窓口となる事業者
  • レジストリ(登録管理機関): TLDネームサーバーとWHOISデータベースの管理主体
    • TLD: トップレベルドメイン
    • WHOIS: ドメイン名の情報を参照可能なデータベース
  • 全体像
    1. レジストラントがレジストラを操作して登録する
    2. レジストラがレジストリのWHOISに登録データを連携する
    3. レジストリがWHOISとTLDを同期する

ドメイン名管理者が認識しておきたいトラブル

  • 事例
    • ドメイン名ハイジャック
      • 登録情報の書換え、ネームサーバーの侵害などによる乗取り
    • スラミング
      • ドメイン名移転スキームの悪用による所有権の乗取り
    • ドロップキャッチング
      • 更新漏れ、あるいは廃止したドメインの横取り
  • 対応策
    • レジストラ/レジストリからの連絡を見逃さない
    • レジストリロック/レジストラロックの活用
    • 多要素認証などによるコントロールパネルの認証強化
    • ドメイン名を手放す際の影響の考慮

AWSが提供するDNSサービスと機能

Amazon Route 53 (Hosted Zone)

  • ネームサーバーをマネージドで提供するサービス
    • エイリアスレコード
      • CNAMEレコードを返すのではなく、CNAMEレコードが最終的に保持するAレコードのIPアドレスをAレコードとして直接返答するRoute 53固有の機能
    • トラフィックルーティング
      • クライアントからのトラフィックをより適したリソースにルーティングする
      • クエリに応答する方法を決定するルーティングポリシーを選択できる
        • シンプル
          • ランダムに応答する
        • 加重
          • ルーティング割合を設定できる
        • フェイルオーバー
          • ヘルスチェックの結果に基づいて応答先を変える
        • 複数値回答
          • シンプル + フェイルオーバー
        • レイテンシー
          • 複数リージョンのうち最も低いリージョンのリソースを応答する
        • 位置情報
          • クライアントの位置情報に基づいて応答先を変える
            • 適切な言語に合わせたコンテンツの提供が可能
            • ライセンス許可した市場にのみの提供制限が可能
        • 物理的近接性
          • ユーザーとリソースの地理的場所に基づいて応答先を変える
            • トラフィックフローを利用してトラフィックルーティングを設定する必要がある
  • 特定のVPCからの問合せと、それ以外からの問合せを識別し、異なる応答を返すことができる
    • Amazon Route 53 Private Hosted Zone: VPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナ
      • from Instance via Route 53 Resolver in VPC
    • Amazon Route 53 Public Hosted Zone: インターネット上に公開されたDNSドメインのレコードを管理するコンテナ
      • from Internet

Amazon Route 53 Resolver

  • VPCに標準で備わるDNSサーバー(フォワーダー + フルサービスリゾルバー)
    • フォワーダーにはリゾルバールール(転送ルールのテーブル)がある
    • 通信経路 via VPC
      • Inbound/Outbound Endpoint on EC2 in VPC <-> フォワーダー on Route 53 Resolver in VPC
        • Private: フォワーダー <-> EC2 in other VPC
        • Public: フォワーダー <-> フルサービスリゾルバー on Route 53 Resolver in VPC <-> the Internet
      • オンプレミス -> 他VPCのEC2インスタンス: xxx.ec2.internal
        • オンプレミス -> Inbound -> フォワーダー -> EC2 in other VPC
      • オンプレミス -> インターネット: www.example.com
        • オンプレミス -> Inbound -> フォワーダー -> フルサービスリゾルバー -> the Internet
      • VPC -> オンプレミス: x.on-prem.internal
        • EC2 -> フォワーダー -> Outbound -> オンプレミス

Amazon Route 53 Resolver for Hybrid Clouds

  • ハイブリッド環境での名前解決を一元化するRoute 53 Resolverの拡張機能
    • オンプレミス VPC
    • オンプレミス -> インターネット
    • オンプレミス インターネット(同じドメイン)
      • リゾルバールールにサブドメインで通信先を分ける

Amazon VPC完全に理解したかった

Amazon VPCとは

AWS上の仮想ネットワーク空間を構築できるサービスです。
ただ、ネットワーク空間を作っても、コンピューティング機能が無ければ意味がない(例えるなら、ルーターとLANケーブルしかない状態)ため、EC2などを併用することが前提となるサービスです。

Amazon VPC とは? - Amazon Virtual Private Cloud

学習成果

以下の資料を参考にまとめました。
なお、以降は説明がない限りはIPv4をもとにした通信の設定です。

20201021 AWS Black Belt Online Seminar Amazon VPC (PDF)

また、関連する内容として、以下も参考にまとめました。

あまり使ったことのないサービスは理解が難しい......。
省略形も多すぎて理解が追付かないです。
とりあえずGWってついていたらゲートウェイって読むようにしたいですね。

概要

  • データセンターのネットワークを、AWS上に仮想的なプライベートネットワーク空間として構築できる
    • 任意のIPアドレスレンジの利用が可能
    • 論理的なネットワーク分離が可能
    • ネットワーク同士の接続が可能
    • ネットワーク環境のコントロールが可能
    • 複数のコネクティビティオプションの選択が可能
  • 様々なコンポーネントを組合せる

コンポーネント

よく使われる省略形を前頭に記しています。

IGW: インターネットゲートウェイ

  • インターネット (The Internet) と通信するための通り道
    • VPC内のEC2インスタンスがVPC外部と通信する際には必須
  • VPC内のEC2インスタンスなどからはIPアドレスなどで直接参照できない
    • ルートテーブルによって通信先を教えてもらう必要がある

サブネット

  • VPC内のネットワーク範囲の1つ
    • VPCより小さい

仮想ルータ

  • ルートテーブルを保持している、サブネット内の仮想的なルーター

ルートテーブル

  • VPC内のパケットの通信先を表す
    • いわゆるiptablesのようなもの
  • VPC作成時にデフォルトで1つのルートテーブルが作成される

VPC Peering

  • VPC間の接続に使う
  • 1対1の関係
    • VPCを複数構築している場合は、最大で指数関数的に作成する必要がある

NATゲートウェイ

  • プライベートサブネットのリソースがインターネットまたはAWSクラウドへ通信するために必要
    • パブリックサブネットのリソースには不要
  • かつてはEC2インスタンスでNATを作る必要があった(NATインスタンス)

VPCエンドポイント

  • Client VPN接続構築時に、オンプレミスとVPC内EC2インスタンスの接続に使う
  • VPC内EC2インスタンスからVPC外AWSリソースへの接続に使う
    • AmazonProvidedDNSで通信先を教えてもらう必要あり
    • 無料(PrivateLinkと異なる)
    • アクセス制御にはIAMポリシーのような構文(エンドポイントポリシー)を利用する

EIP: ElasticIP

  • 固定IPアドレスの設定が可能なサービス

VGW: バーチャルプライベートゲートウェイ

  • VPN接続に利用する接続口
  • 関連リソースが少なく、設定が容易

VPNコネクション

  • VPN通信そのもの、または、VPN通信経路

VIF: 仮想インターフェイス

  • コネクション(物理接続)を通してAWSリソースにアクセスするための論理インター芸す
    • AWSと利用者のルーターの間でBGPピアを確立し経路交換をするために必要
    • VLAN IDを持つ
  • 種類
    • プライベートVIF: プライベートIPを介してVPCに接続
    • パブリックVIF: パブリックIPを介してAWSの全リージョンに接続
    • トランジットVIF: TGW用のDirect Coonnectゲートウェイに接続

CGW: カスタマゲートウェイ

  • VPN接続の利用者側にある物理デバイスまたはソフトウェアデバイス

ENI: Elasticネットワークインタフェース

  • いわゆるNIC
  • EC2インスタンスに紐付く
    • インスタンスタイプにより上限が決まっている
  • サブネットにも紐付く?
    • サブネットのENIというのは、サブネット内のEC2インスタンスに紐付けたENIのことを指しているのかもしれない
  • 接続方法によって規格が変化するっぽい
    • ENA ENI
    • EFA ENI
    • VPC ENI
    • TGW ENI

ENA: Elasticネットワークアダプタ

  • ENIの種類の1つ
  • 一般的なEC2インスタンスに紐付くENI

PrivateLink

  • VPC内EC2インスタンスからVPC外AWSリソースへの接続に使う
    • サブネットにエンドポイント用のプライベートIPアドレスが生成される
    • AmazonProvidedDNSで通信先を教えてもらう必要あり
    • 有料(VPCエンドポイントと異なる)
    • アクセス制御にはSGを利用する
    • 冗長な設計を意識する必要がある
    • オンプレミスにネイティブ対応
  • VPC間の接続に使う
  • 1対Nの関係
    • スケーラブル
      • アプリケーションの共有
    • IPアドレスが重複していてもOK

TGW: Transit Gateway

  • VPC間の接続に使う
    • VPC間の接続が無い場合や、1つのハブVPCがある場合などでは、使う必要は無い
      • VPCとハブVPC間の接続にはVPC Peeringを使えばよい
      • VPCとオンプレミス間の接続にはDXGWを使えばよい
      • TGWはハブとしては優秀だが、そこそこコストがかかる
  • 1000以上のVPCとオンプレミス間の相互接続のハブとして使う
    • 1つのVPN接続で複数にVPCへ接続が可能
      • 複数のVPN接続を束ね、 Equal Cost Multi Path (ECMP) を利用し帯域を増やす
        • レイテンシーに一貫性を求めない場合に利用する
          • そうでない場合はDirect Connectを利用する
        • 行きと帰りのトラフィックが異なる可能性がある
  • データストリームを仮想的に複数のアプリケーションに配信可能
  • 1対1でも1対Nでも、ルートテーブルによって関係は変わる
    • スケーラブル
      • ネットワークの共有
    • AZ単位
      • VPC間の通信は同一AZのENIを経由して通信する
        • E.g.
          • リクエスト
            1. EC2 in SubnetA1 in VPCx in ap-northeast-1a
            2. ENI in SubnetA2 in VPCx in ap-northeast-1a
            3. TGW
            4. ENI in SubnetA4 in VPCy in ap-northeast-1a
            5. EC2 in SubnetC3 in VPCy in ap-northeast-1c
          • レスポンス
            1. EC2 in SubnetC3 in VPCy in ap-northeast-1c
            2. ENI in SubnetC4 in VPCy in ap-northeast-1c
            3. TGW
            4. ENI in SubnetC2 in VPCx in ap-northeast-1c
            5. EC2 in SubnetA1 in VPCx in ap-northeast-1a
        • ただし、同一AZのENIが存在する場合は、別AZ間の通信をする際に別AZ内のVPC内にENIが存在しないと通信がアウトバウンドでロストする
      • 送信先のVPC内に同一AZのENIが存在しなくても通信は可能
  • Acceleratedサイト間VPNオプション
    • もっとも近いAWS Edge LocationのVPNコネクションエンドポイントを利用できる
    • 目的のTGWのエンドポイントまでは、AWSネットワーク内を利用できる

SG: セキュリティグループ

  • NACLと比較して、ステートフルなファイアウォール
    • IN/OUTの戻りトラフィックは考えなくてよい
  • サーバ単位で設定する
  • Allowのみのホワイトリスト型
  • 全てのルールを適用(AND型)

NACL, ACL: ネットワークACLs

  • SGと比較して、ステートレスなファイアウォール
    • IN/OUTの戻りトラフィックについても明示的に許可/拒否する必要がある
  • サブネット単位で設定する
  • Allow/Denyのブラックリスト型
  • 設定順に適用(OR型)

ネットワーク空間の構築方法

  1. まずは全体のネットワーク空間をVPCとして定義する
    • アドレスレンジを選択する
      • VPC空間としてのサブネット(CIDRブロック)を定義するようなもの
    • リージョン単位で作成する
    • E.g.
      • ap-northeast-1: 172.31.0.0/16
  2. 利用するサブネットを定義する
    • VPC空間内で利用するサブネット(CIDRブロック)を定義する
      • IPアドレス
      • サブネットマスク
    • EC2インスタンスを配備する空間
    • AZ単位で作成する
      • 複数のAZをまたいでの作成はできない
    • E.g.
      • ap-northeast-1a: 172.31.0.0/24
      • ap-northeast-1c: 172.31.1.0/24
  3. (インターネットと接続する場合)IGWをVPCに生成する
    • 外部インターネットやAWSサービスと、2で作成したサブネット(パブリックサブネット)内のEC2インスタンスが、互いに接続するための通信経路
  4. (インターネットと接続しない場合)VGWをVPCに生成する
    • 仮想ルータを配置済みのオンプレミス環境サーバーと、2で作成したサブネット(プライベートサブネット)内のEC2インスタンスが、互いに接続するための通信経路
      • 通信経路はVPNコネクションまたは専用線
  5. ルートテーブルを編集する
    • サブネットごとに紐付け可能
    • EC2インスタンスのOSが確認できるのはプライベートIPのみであるため、VPC外部と通信するためには必ず IGW or VGW を通る必要がある
      • パブリックサブネットとプライベートサブネット間の通信は、プライベートIPで直接通信可能
      • VPC外部というのは、VPC外部に設置しているAWSの他リソース(別VPC内のEC2インスタンス、SQSなど)との通信も含む
    • ターゲットの設定例
      • 172.31.0.0/16(サブネット内の通信): local
      • 0.0.0.0/0(そのほか): 先ほど作成した IGW or VGW
  6. VPCへのIN/OUTトラフィックを許可する
    • SG
    • NACL

その他のVPCの機能

Ingress Routing

  • IGW/VGWのIN/OUTトラフィックを特定EC2インスタンスのENIに設定できる
    • 特定EC2インスタンスの経由を強制できる
    • ENIがIGW/VGWの代わりになるイメージ

DHCP

  • サブネット内にDHCPサーバが存在する
    • サブネット内のENIにIPアドレスを自動割当て
    • プライベートIPを固定した場合は、EC2インスタンスの再起動によって変化しない

Route53 resolver (AmazonProvidedDNS)

  • Amazonが提供するDNSサービス
  • VPC内のEC2インスタンスからのみ参照可能

Route 53 Resolver for Hybrid Clouds

  • オンプレミスからDirect Connect/VPN経由でVPC Provided DNSへの直接悪節可能なDNSエンドポイントを提供

DNS

  • DNS機能の有効化とホストへのDNS名割当て
    • Enable DNS resolution
      • AmazonProvidedDNSを利用できるようにする
    • Enable DNS hostnames
      • FQDNが自動的に割当てられる

Amazon Time Sync Service

  • 時刻同期可能なNTPサーバ
    • プライベートサブネット内でも利用可能
    • うるう秒への対策は実装済み
  • VPC内で稼働する全てのEC2インスタンスが利用可能

IPv6

  • Site-to-Site VPNでIPv6が利用可能
  • IPv4と比べて、いくつか制限あり
    • CIDRブロックサイズは56bit固定、かつ自動でアサインされる
    • サブネットブロックサイズは64bit固定
    • プライベートIPは標準では無し
      • Egress-only Gateway (EGW) を利用すればIPv6においてもプライベートIPが利用可能
    • AWSから提供されるDNSホスト名は無し

VPCシェアリング

  • アカウントをまたいだVPCの共有によりVPC数の削減が可能
  • 通信もVPC内で完結

VPC Flow Logs

  • ネットワークトラフィックをキャプチャしてCloudWatch LogsやS3にログデータを送信できる

VPC Traffic Mirroring

  • EC2インスタンスのENIからネットワークトラフィックをミラーリングできる
  • VPCフローログに含まれないパケット内容の取得が可能

Amazon GuardDuty

  • EC2またはIAMにおける脅威を検出する

VPCとのプライベートネットワーク接続

VPN接続

エンドポイントを利用したAWS Client VPN

  • OpenVPNベースでのクライアントVPN接続を提供するマネージドサービス
  • VPC内のプライベートサブネットと、クライアントVPNエンドポイントを、AWS Client VPNとしてグルーピングする
  • 通信経路: VPNクライアント <-> クライアントVPNエンドポイント <-> ENI (on EC2 in Private Subnet)

VGWを利用したサイト間VPN (Site-to-Site VPN)

  • 1つのVPNコネクションを2つのIPsecトンネルが利用して冗長化
  • 通信経路: CGW <-(VPNコネクション)-> VGW <-> ENI (on EC2)

TGWを利用したサイト間VPN (Site-to-Site VPN)

  • Hyperplaneテクノロジーで処理ノードをマルチAZに分散して冗長化
  • 通信経路: `CGW <-(VPNコネクション)-> TGW <-> TGW ENI (on EC2)

専用線接続

AWS Direct Connect

  • オンプレミスと接続する専用線(これはキャリアと契約する必要がある)の片側とAWSクラウドをDirect Connectロケーションで接続するサービス
    • オンプレミスと直接接続する専用線サービス
  • 本番サービス向け
  • LAG: Link Aggregation Group
    • 複数の接続経路を集約して1つの論理インターフェイスとして提供する
    • Link Aggregation Control Protocol (LACP) を使用する
  • 通信経路: CGW <-(Direct Connect Connection)-> 相互接続ポイント <-> ...
    • 相互接続ポイントの接続先
      • VPC
      • AWSクラウド
      • TGW
    • 接続経路
      • Direct Connectロケーションと利用者機器が同じロケーション
        • CGW <-(WAN回線)-> CGW in Direct Connect ロケーション <-(LAG)-> Direct Connect Device <-> AWS Cloud
      • Direct Connectロケーションから別業者の専用線で接続
        • CGW <-(専用線)-> 別業者機器 in Direct Connect ロケーション <-(LAG)-> Direct Connect Device <-> AWS Cloud
      • パートナー様閉域網(IP-VPN網、モバイル網など)経由で接続
        • CGW <-> 閉域網 <-> 別業者機器 in Direct Connect ロケーション <-(LAG)-> Direct Connect Device <-> AWS Cloud

DXGW: Direct Connect Gateway

  • 同一アカウントに所属する複数リージョンの複数AZから複数リージョンの複数VPCに接続できる機能
  • 通信経路: CGW <-(Direct Connect Connection)-> 相互接続ポイント <-(VIF)-> DXGW <-> ENI (on EC2 in VPC)

VPNとDirect Connectの冗長化

  • VPNとDirect Connectを同じVGWに接続可能
  • Direct Connectが優先
    • Direct Connectが何かしらの原因により通信障害が発生した場合、VPN経由での通信が可能

Amazon ECS完全に理解した

Amazon ECSとは

コンテナ管理サービスの1つです。

Amazon Elastic Container Service とは - Amazon Elastic Container Service

よくEKSと比較されがちです。

学習成果

下記の要約のうち、気になった部分をまとめています。
Dockerやdocker-composeのぼやっとした知識はあるものとします(無いと理解できないと思います)。

20200422 AWS Black Belt Online Seminar Amazon Elastic Container Servise (Amazon ECS) (PDF)

補足として下記を参照しました。

ECSの主要要素

タスク定義

  • タスクを構成するコンテナ群の定義
    • コンテナ定義
    • 要求CPU & メモリ
    • タスクの割当てIAMロール
    • ネットワークモード
    • など
  • AWS Batchのジョブ定義とほとんど同じ

タスク

  • タスク定義に基づき起動されるコンテナ群
    • タスクというのは1つ以上のコンテナの集合
  • タスク内コンテナは同一ホスト上で実行される
    • ホストというのは、実際のEC2インスタンスやFargate内の論理デバイスのこと
    • タスク内のコンテナ間の通信を可能とするため?
  • こちらもAWS Batchのジョブとほどんど同じ
  • 考え方としてはdocker-composeに近い?

サービス

  • タスク実行コピー数の定義
    • タスク実行コピー数とは、タスクを同時にいくつ起動するかということ
  • 起動後のタスク実行コピー数の維持
  • ELBとの連携
  • 起動タイプ (EC2 or Fargate) の設定

クラスター

  • 実行環境の境界
    • EC2インスタンスやFargateといった論理デバイスの1つひとつを表す
      • サービスはクラスターを跨る可能性がある
  • IAM権限の境界
  • スケジュールされたタスクの実行を設定可能
    • なんでサービスで設定できないんだろう?

コンテナの実行環境

EC2

  • EC2インスタンスをコンテナインスタンスとして配置
    • Amazon ECS-optimized AMI
      • Dockerデーモン
      • ECSコンテナエージェント
        • ECSコントロールプレーンと通信
        • コンテナインスタンスの管理
        • タスクの実行/停止
        • このエージェント自体もコンテナ
      • など
  • コンテナインスタンスのドレイン(おそらくECSクラスターからのインスタンス削減)
    • 原因
      • システム更新
      • エージェント/Dockerデーモン更新
      • AutoScalingのスケールイン
      • など
    • ポイント
      • 新規タスクの配置は無し
      • PENDING状態のサービスタスクは即時停止
      • RUNNING状態のサービスタスクは設定に従い停止/代替
  • 課題
    • OSやエージェント類へのパッチ当て/更新
    • EC2インスタンス数のスケーリング
      • あと、適切なEC2インスタンスタイプの選定もある

Fargate

  • EC2インスタンスのプロビジョニングや管理が不要
    • パッチ当てやOSアップグレード
    • エージェント類のアップグレード
    • など

コンピュート

  • タスク割り当てCPUとメモリ設定が比較的柔軟
    • 0.25vCPU: Memory 0.5, 1, 2GB
    • 0.5vCPU: Memory 1, 2, 3, 4GB
    • 1vCPU: Memory 2, 3, 4, ..., 8GB
    • 2vCPU: Memory 4, 5, 6, ..., 16GB
    • 4vCPU: Memory 8, 9, 10, ..., 30GB
  • CPUとメモリの割当て
    • タスクレベル(必須): CPU、メモリ共にハード制約
    • コンテナレベル(オプション)
      • cpu: コンテナ用のcpuユニット数
      • memory: ハード制約
      • memoryReservation: ソフト制約
    • 考え方
      • コンテナレベルのcpuの合計値をタスクレベルのcpuの合計値にするとよいかも
      • コンテナレベルのmemoryの合計値をタスクレベルのメモリ量に設定するとよいかも
      • memoryReservationはmemoryの半分~3/4程度の値にすると揺らぎをある程度許容できそう
  • EC2タイプよりは若干割高
    • EC2オンデマンド料金と比較して約1.17倍
      • 特に、Spotインスタンスの方が安い
    • しかし、EC2の場合、全リソースをアプリケーションに割り当てることは現実的に難しい

ストレージ

  • レイヤストレージ
    • Dockerイメージの最上位レイヤとして、タスクごとに10GBを利用可能
    • 書込み内容はコンテナ間で独立
    • タスク停止後には利用不可
  • ボリュームストレージ
    • タスクごとに4GB
    • タスク定義内でボリュームマウントとして利用可能
      • 複数のコンテナ間での共有
      • ことなるcontainerPathでのマウント
    • タスク停止後には利用不可(レイヤストレージと一緒)

ネットワークモード

  • awsvpcのみ利用可能
  • 詳細は 機能 > タスク定義 > ネットワークモード の節を参照のこと

機能

タスク定義

  • アプリケーションを構成する1つ以上のコンテナを定義するJSON形式のテキストファイル
    • アプリケーション実行時は、タスク定義をインスタンス化したタスクを実行
    • パラメータを指定

ファミリー

  • タスク定義の名前のようなもの
  • ファミリーとリビジョン番号で1つのタスク定義が特定
    • リビジョン番号とは?
  • タスク定義を更新する際は、ファミリーの新しいリビジョンを作成する必要がある
    • タスク定義そのものはイミュータブル
    • 実行中のタスクは更新されない
    • サービスから利用している場合はサービスの更新が必要

コンテナ定義

  • コンテナの設定項目
    • 名前: コンテナの名前
    • イメージ: 使用するコンテナのイメージ
    • メモリ
      • memory: ハード制約(これを超えたらバーストする)
      • memoryReservation: ソフト制約(これを維持するようにある程度の揺らぎは許容する)
    • logConfiguration: ログドライバーの設定(awslogsなど)
    • environment: 環境変数
    • secrets: AWS Secrets Manager シークレット、AWS SSM パラメータストアのパラメータを参照
    • dependsOn: 起動依存性の設定
      • 起動順や停止順が設定可能
        • START: 依存元コンテナが起動開始したら起動する
        • COMPLETE: 依存元コンテナの実行が完了(終了)したら起動する
        • SUCCESS: 依存元コンテナの実行が正常終了したら起動する
        • HEALTHY: 依存元コンテナのhealthcheckが合格したら起動する
      • 依存先コンテナが起動しない/異常終了する場合
        • startTimeout: 依存先コンテナが起動しないことを依存元コンテナが待機する時間
        • stopTimeout: 依存先コンテナが正常終了しなかった場合に強制終了されるまでの待機時間
      • docker-composeのdepends_onと同等?

タスクロール

  • コンテナのIAMロール
    • コンテナ内のアプリケーション向け

タスク実行ロール

  • ECSコンテナエージェントのIAMロール
    • コンテナのイメージのpullやCloudWatch Logsへの書込みなど

ネットワークモード

  • コンテナのDockerネットワークモード
    • none: 外部との接続無し
    • bridge (default for EC2): Dockerの組込み仮想ネットワークを使用して外部ネットワークとの通信(コンテナリンク利用可)
    • host: コンテナポートとホストEC2インスタンスのNICのマッピングによる外部ネットワークとの通信
    • awsvpc (default for Fargate): タスクをECS管理下のENIに自動割当て
      • ENIをEC2にアタッチすることで実現するため、EC2起動タイプの場合、EC2インスタンスタイプのENI上限によってタスク配置が制限される可能性がある
        • ENI Trunkingを有効にすると、1インスタンスのENI上限数を上げることが可能
      • タスク内のコンテナはlocalhostインタフェースを共有
      • VPC無いの他のリソースはプライベートIPでの通信が可能
      • ロードバランサーの種類
        • ALB
        • NLB
      • VPC外へのアクセス
        • イメージのプル、ログ送信は可能
          • タスク実行ロールへのIAMロールアタッチが必要
        • 他は IG-(EIP)-ENI 経由で通信可能

ボリューム

  • データの共有先
    • Dockerボリューム(EC2のみ)
      • タスク間での共有や明示的なライフサイクル管理が可能
    • バインドマウント
      • ホストマシン上のファイル/ディレクトリをコンテナにマウント
    • EFSボリューム
      • コンテナインスタンスにかかわらず、同じ永続的ストレージにアクセス可能

タスクサイズ

  • タスクに適用するハード制約
    • vCPU
    • メモリ

コンテナの実行

コンテナの実行方法

  • タスク起動
    • タスク定義にに従う
    • バッチジョブのような、処理が終わると停止するワークロードなどに適切
      • Amazon Batchを使うほどでもないような低規模タスクに良い
  • サービス起動
    • 指定したタスク数を維持する
      • ECSにおけるコンテナオーケストレーションの機能の1つ
    • Webアプリケーションなどの長時間実行するアプリケーションなどに適切

タスクのライフサイクル

  1. Provisioning
  2. Pending
  3. Activating
  4. Running
  5. Deactivating
  6. Stopping
  7. Deprovisioning
  8. Stopped

タスクの配置

  • タスクの配置方法を、AZやインスタンスタイプに基づいて制約を設定可能

サービススケジューラ戦略

  • レプリカ
    • クラスタ全体で必要数のタスクを分散配置
  • デーモン
    • コンテナインスタンス毎に配置
  • Amazon ECSクラスターキャパシティープロバイダー
    • タスク配置先のコントロールがより柔軟に可能

サービスのAuto Scaling

  • ターゲット追跡スケーリングポリシー
    • 指定したメトリクスの値が指定値に近づくように調整
  • ステップスケーリングポリシー
    • アラームをトリガーに調整値に基づいて増減
  • スケジュールに基づくスケーリング
    • 日付と時刻に基づいて増減

Container Insights

  • 既存のメトリクス情報はサービス単位
    • タスクレベルやコンテナレベルでの負荷を検知できなかった
  • 料金体系
    • CloudWatchカスタムメトリクス費用
      • 計算式: 既存のECSクラスターメトリクス8個 + (既存のECSタスクメトリクス6個 * 一意のタスク名) + (既存のECSサービスメトリクス11個 * 一意のサービス名)
    • CloudWatch Logs費用

AWS Batch完全に理解した

AWS Batchとは

バッチコンピューティングワークロードを提供してくれるコンピューティングリソースです。

AWS Batch とは - AWS Batch

学習成果

ほぼ下記資料の要約です。

20190911 AWS Black Belt Online Seminar AWS Batch (PDF)

バッチコンピューティングにおけるクラウド活用

  • このAWS Batchにおけるバッチコンピューティングとは、シミュレーションなどの高負荷処理をスパコンやクラスタなどで順次実行するような処理のことを意味する
  • 定型業務におけるバッチ処理については、AWS Batchでは想定していない(!)
    • SQSなどによるバッチ処理の待機みたいなものを前提としている?
  • 多数のジョブを同時実行して処理時間を短縮する

AWS Batch: 概要

  • スケジューラや計算ノードなどの管理が不要
  • Dockerコンテナイメージをもとにジョブの作成
  • AWS Batchの利用自体は無料
    • EC2インスタンスに課金
  • バッチコンピューティング環境の提供
    • ジョブキュー
    • コンピューティング環境
    • タイムアウト、リトライ処理

AWS Batch: 他サービスの方が適しているケース

  • コンテナ化が難しい
  • 既存のジョブスケジューラからの移行が難しい
    • AWS ParallelCluster
  • 1つのジョブが数行など短時間で終わる
    • AWS Step Functions + AWS Lambda
    • S3 Batch
  • 機械学習用と
    • Amazon SageMaker

AWS Batch: アーキテクチャ

ジョブ定義

  • ジョブ作成時のテンプレート
    • コンテナイメージ
      • コンテナ内の実行コマンド
      • パラメータ
      • 再試行戦略・タイムアウト戦略
    • IAM Role
    • 要求性能
    • など

ジョブ

  • AWS Batchによって実行される作業単位
    • 元となるジョブ定義
    • 投入先ジョブキュー
    • コンテナイメージ
    • 要求性能
    • シングルジョブ or 配列ジョブ
    • ジョブの依存関係
    • など

ジョブキュー

  • 投入されたジョブの待ち行列となる場所
    • 実行先コンピューティング環境
    • ジョブキューの優先度
      • ジョブの優先度じゃなくて、キューの優先度らしい

コンピューティング環境

  • 実際に計算を行うECSクラスター
    • マネージド or アンマネージド
    • AMI
    • EC2起動テンプレート
    • オンデマンド or スポット
    • 最小vCPU数、最大vCPU数
      • 最小vCPU数を0に設定すると、ジョブのない時はインスタンスを起動しないことが可能
    • 許可されたインスタンスタイプ
    • VPC, Subnet, SecurityGroup
    • など

コンテナレジストリ

  • Dockerコンテナイメージ置き場
    • ECR
    • Docker Hub
    • など

ストレージ

  • 永続化が必要なデータの保存先
    • S3
      • 基本的には第1候補
      • マウントして扱うことができない
    • EFS
      • NFSによりマウント可能
      • パフォーマンスが利用要領に依存する
    • FSx for Lustre
      • マウント可能かつ高スループットでS3とも連携可能
      • 専用クライアントが必要なために独自AMIの作成が必要

AWS Batch: 機能

機能説明

  • ジョブの状態遷移
    1. Submitted
      1.1 Pending(遷移しない場合もある)
    2. Runnable
      • EC2インスタンスの状態を待っている状態
      • ジョブの要求リソースが確保できない場合はここで停止する
    3. Starting(遷移しない場合もある)
    4. Running
    5. Succeeded or FAILED
  • ジョブの順序
    • 配列ジョブ
      • 複数の子ジョブを作成可能
      • 子ジョブは自分の配列IDを取得可能
    • ジョブ依存関係
      • 依存関係に指定したジョブが完了したら実行可能になる

機能

  • Amazon SNSにジョブ状態の変化を通知可能
  • ジョブパターンの種類を設定可能
    • 集約パターン
    • 前処理パターン
    • シーケンシャルパターン
  • マルチノードによる並列ジョブも作成可能

活用方法

  • ジョブの投入方法
    • マネージメントコンソールから
    • CLIから
    • S3へのファイルアップロードをトリガーにしたAWS Lambdaから
    • Amazon EventBridgeから
  • スポットインスタンスを活用するとよい
    • 優先度の低いスポット用ジョブキューと優先度の高いオンデマンド用ジョブキューを分ける
    • スポット用バッチが失敗した場合にSNS経由でオンデマンド用バッチを実行する
  • 複雑なジョブワークフローにはAWS Step Functionsと併用するとよい
  • 基本的に、バッチ実行中に落ちてしまった場合のことを考える必要がある
    • 冪等である必要がある
    • 一度失敗してもやり直すだけでよい仕組みである必要がある

Amazon DynamoDBを完全に理解したかった

Amazon DynamoDBとは

キーバリュー型のデータベースです。
よくLambdaで使うデータベースとして使われるイメージがあります。

Amazon DynamoDB とは - Amazon DynamoDB

学習成果

導入効果は高いものの、ハードルは高いというイメージが強くなりました。

テーブル設計基礎知識

ほぼ以下の用語に関する要約です。

AWS Black Belt Online Seminar 2017 Amazon DynamoDB (PDF)

  • Table(テーブル): RDBのテーブルと同等
  • Item(項目): テーブル内の1行、RDBのレコードと同等
  • Attribute(属性): 行内の1要素、RDBのフィールドと同等
  • Partition Key (PK): いわゆる主キー
  • Sort Key (SK): いわゆるセカンダリキーで、 PK+SK で主キーとすることが可能
    • ソートするためのキー、というわけではない
  • Local Secondary Index (LSI): SK以外のセカンダリキー
    • PK(+SK)の親テーブルとは別に、内部ではPK+LSIのテーブルとして保持される
    • 「ローカル」というのは、1つのパーティション内で完結する項目のみを対象とする(ように自動的に配置される)という意味で呼んでいる
    • LSIを増やせば増やすほど、テーブルがまるまる1つ増えることになる
      • 親テーブルとの結果整合性には短い伝播遅延があるが、基本的には同じデータを持つ
  • Global Secondary Index (GSI): PK以外の主キー
    • PK(+SK)の親テーブルとは別に、内部ではGSI(PK+SK)のテーブルとして保持される
    • 「グローバル」というのは、全てのパーティションを検索する可能性がある(対象の親テーブルは1つ)という意味で呼んでいる
    • GSIを増やせば増やすほど、テーブルがまるまる1つ増えることになる
      • 親テーブルとの結果整合性には短い伝播遅延があるが、基本的には同じデータを持つ
  • Query(クエリ): データ抽出操作方法の1つ
    • ページサイズと呼んでいる1MBサイズ上限で検索結果を取得できる
      • ページ内に目的のデータが存在しない場合は、次ページの検索を引続き実行する
    • 理想的には、こちらのみを使ってデータを抽出することが望ましい
  • Scan(スキャン): データ抽出操作方法の1つ
    • 単一のスキャンにより、最大で (1ページサイズ / 4KB項目サイズ) / 2 = 128RCUを消費する(結果整合性のある読込みの場合)
    • テーブル全体を読込むため、余計なデータを抽出してしまう

性能の算出方法

ほぼ以下の用語に関する要約と、理解しづらかった箇所の補足です。

AWS Black Belt Online Seminar 2017 Amazon DynamoDB (PDF)

ただ、性能の算出方法については、用語が多すぎて理解しづらかったです。
公式ドキュメントの方も読みましたが、英語で読んでも難しい......。

読み込み/書き込みキャパシティーモード - Amazon DynamoDB

Item size(項目サイズ)

  • 単位
  • 読込み・書込み時に、1回で取扱い可能なデータのサイズ
  • 読込み: 最大4KB
  • 書込み: 最大1KB
  • 少数による分割は不可であり、少数になる場合は繰上げ
    • E.g.) 2.2KBのデータの場合
      • 読込み: 2.2 / 4 = 0.55 -> 1 Item size
      • 書込み: 2.2 / 1 = 2.2 -> 3 Item size

RCU (Read Capacity Unit)

  • 単位
  • スループット(読込み数)を表す
  • 1秒間あたりの読込み項目数 * 項目サイズ
    • 単位の中に「毎秒」というものが暗黙的に含まれている
  • 1RCUとは、1秒間あたり最大4KBのItemデータを1回読込み可能であることを表す

WCU (Write Capacity Unit)

  • 単位
  • スループット(書込み数)を表す
  • 1秒間あたりの書込み項目数 * 項目サイズ
    • 単位の中に「毎秒」というものが暗黙的に含まれている
  • 1WCUとは、1秒間あたり最大1KBのItemデータを1回書込み可能であることを表す

Capacity Unit(キャパシティーユニット)

  • RCUとWCUをまとめたもの
    • 両者は合算可能
  • 文脈によっては、スループットと読替え可能

Throughput(スループット)

  • 読込み・書込み時の処理可能なデータ量
  • RCUやWCUの数値(逆数)と考えても間違いではない
  • 読込み・書込みスループットがn倍とは、RCUやWCUが1/n倍という意味

Provisioned Capacity

  • 事前に設定するキャパシティーユニットの数値
  • DynamoDBの設定値の1つ
  • キャパシティーユニットとは若干意味が異なるくせに、文脈によってはキャパシティと書かれるし、Provisioned Throughputと同義で書かれることもある
  • 今はオンデマンドモードによる自動的なスケーリング機能があるから、今後は考えなくても良くなりかも

Provisioned Throughput

  • 事前に設定するスループット
    • スループットの数値を直接指定はできないが、Provisioned Capacityは指定できるため、それを指している?
    • 文脈によってはスループットと書かれるし、キャパシティと同義で書かれることもある

パーティション

  • テーブルを論理的に分割した際の、分割された物
  • 文脈によっては、単位として読替え可能
  • 1つのパーティションでは、3000RCUまたは1000WCU分のスループットを割当て可能
    • 「または」というのは、RCUとWCUの片方どちらかしか割当てられないという意味ではない
      • RCUとWCUの数値の数に応じて、パーティションごとに割合を変えたうえで両方割当てられる
  • 1つのパーティションでは、約10GBのデータを保存可能
    • 「約」ってなんだよと思うが、そう書いてあるから仕方ない
  • パーティションをいじることはできない(ブラックボックス)が、算出は可能
    • 8GBのデータサイズ、5000RCU、500WCUの場合(恐らくRCUとWCUの値は事前設定の値)
      • スループットあたり必要なパーティション: 5000 / 3000 + 500 / 1000 = 1.67 + 0.5 = 2.17 -> 3
      • データサイズあたり必要なパーティション: 8 / 10 = 0.8 -> 1
      • 最大値: MAX(1 | 3) = 3
        • すなわち、3つのパーティションに分割される
      • RCUとWCUの値 (Provisioned Capacity) は均一に割当てられる
        • RCU: 5000 / 3 = 1666.67
        • WCU: 500 / 3 = 166.67
        • データ: 8 / 3 = 2.66
        • 注意: 1つの項目に2000RCUとか実測値で出てしまうような場合、1パーティションで捌ききれず破綻(バースト)する
  • Provisioned Capacity変更時の注意
    • 増やす場合: 各パーティションの余裕を超えるまでは変化なし、余裕を超えた場合はパーティション追加
    • 減らす場合: 各パーティションのCapacity削減(パーティションは減らない!)
    • テーブル作り直した方がいいのでは?

NoSQLデータモデリング

ほぼ以下の要約です。

AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern (PDF)

基本的な考え方

  • RDBでよくある正規化は、DynamoDBでは(ひいてはNoSQLでは)するべきではない
  • 入力と出力の数に応じて切り分ける
    • 1 : 1
      • PK or GSI(PK+SK)によるデータ抽出
    • 1 : n
      • PK+SK or GSI(PK+SK)によるデータ抽出
    • n : m
      • PK+SKとGSI(PK+SK) or PK+SKの複数テーブル
    • あれ、LSIは......?
      • 1 : n で利用するSKを複数用意できるという意味では、テーブルを1つに抑えつつ複数のSKで 1 : n の検索ができるかも

Targeting queries: クエリの限定

  • Query filter
    • フィルター条件を使用する
  • Composite key
    • キーになるデータを文字列結合した上で1属性化する
    • 正直いけてないように思えるけど、文字列結合じゃなくてJSON辞書型にすればいいのかも?
      • でもそれを明記してないってことは、こっちのほうがイケてないって意味なんだろう
      • キー名の決め方が大変そうだ
  • Sparse indexes
    • 属性を空にできるキーをGSIとすることで、GSIのテーブルの項目をそもそも削減する
  • フィルターの代わりにインデックスを活用
    • 名前の通り、フィルターで検索結果を削減するよりインデックスキーを使いましょうとのこと
      • フィルターでは通信量の削減はできない

GSI Overloading: GSIの多重定義

GSIは親テーブルあたりデフォルト20までしか作成できないため、1つのGSIで複数の用で利用できるように定義する方法です。

  • RDB
    • プライマリキーに社員ID、インデックスに名前、取得したいデータに勤務地、といった形の構造を作る
    • この時、勤務地で検索したくなった場合は、勤務地をインデックスとしたテーブルを作る
  • DynamoDB
    • そもそも、PKは社員IDとして同じだが、SKはカラムAという形にして、値として名前や勤務地という構造を作る
      • PKに同じ値を設定できるという仕組みを活用する
      • その際の取得したいデータは、PK+SKで求まるデータ(RDBでいうインデックス名前の値)を入れる
    • GSI作成時には、カラムAをPK、データをSKとする

メッセージアプリの巨大項目

メッセージ内容のようなデータサイズの変動が大きいキーについては、素直に別テーブルとするのが良いみたいです。

GSIの使用パターン

下記記事の要約です。

DynamoDB グローバルセカンダリインデックスを使用してクエリのパフォーマンスを向上させ、コストを削減する方法 | Amazon Web Services ブログ

複数の属性によるデータのクエリとソート

  • フィルタリング属性をPKとしたデータの取得ができる
    • 通常のフィルタリング機能では通信量を削減できない
  • 常にPKがソート済みのデータを取得できる
    • クエリ結果の順序は自動的にソートされる
  • ソートキーで範囲を制限できる
    • フィルタリング機能とは別?

RCUの通信量削減

詳細情報を全てテーブルに記入しつつ、よく検索するキーを別にGSIで指定することで通信量を削減できるみたいです。

読取りワークロードの分離

互いに影響しないアクセスパターン(恐らくSKやフィルター機能などで検索対象が被らないようなクエリのこと?)がある場合に、親テーブルと同じPKを指定するGSIを作成しても効果があるらしいです。

ベストプラクティス

下記ドキュメントのうち、気になった部分をかいつまんで要約してます。

DynamoDB を使用した設計とアーキテクチャの設計に関するベストプラクティス - Amazon DynamoDB

パーティションキーの設計: 書込みシャーディング

  • ランダムなサフィックスを使用して、PKへの書込みを分散させる
    • 例えば、同じ日付のPKを持つ項目を追加する場合でも日付文字列の後ろにランダムな文字列を追加することで、書込み対象のパーティションを分散できる
    • 上記ランダムな文字列に、別のSKなどから生成したハッシュを用いれば、読込み時にも項目の特定が可能になる

パーティションキーの設計: データの効率的なアップロード

  • 複数のデータを一度に登録する際、PK固定で項目を1つずつ登録するより、PKを分散させながら登録するとよい
    • PKごとの項目登録先パーティションを分散できる

ソートキーの設計

  • begins_with, betweenなどのクエリを利用できるようなSKを設計するとよい
    • E.g.) [country]#[region]#[state]#[county]#[city]#[neighborhood]
  • バージョンコントロールでのSK
    • データを更新するたびに、バージョン番号を付与したSKを持つ項目 v1_hoge を作成し、最新版を表す項目 v0_hoge を最新版に上書きする
      • 最新のデータを取得したい場合は v0_ でクエリを限定して取得できる
      • 任意のデータの全履歴を取得したい場合は hoge でクエリを限定して取得した上で v0_ を除外することで取得できる

セカンダリインデックス: 一般的なガイドライン

  • インデックス数は最小限に抑える
  • インデックスサイズは最小限に抑える(1KB単位であるため、1KB未満であればサイズの変化は無い)
  • ほとんど必要にならない属性は設定しない
    • 別テーブルに分離した方がよい
  • ALLクエリは、異なるソートキーによってソートされるテーブル項目全体を取得する場合にのみ利用する
  • クエリで取得したい属性を計画しておく
    • 計画されていない属性をクエリ検索する際、テーブル全体を読取る可能性があり、通信量が増える

セカンダリインデックス: スパースなインデックス

  • スパースなインデックス: 項目に存在しない可能性があるソートキーのこと
  • スパースなインデックスをGSIのPKに設定することで、通信量を削減できる

セカンダリインデックス: 集計データ

  • 集計データのキーをGSIに設定し、親テーブルのPKに対する項目が追加されるごとにDynamoDB StreamsからLambdaを起動してGSIの項目を追加するフローを確立することで、スパースなインデックスをGSIのPKに設定でき、WCUを削減できる

セカンダリインデックス: レプリカの作成

  • 親テーブルのPKと同じキーをGSIのPKに設定することで、GSIを利用したレプリカテーブルを作成できる
  • 親テーブルに比べてGSIの整合性には伝播遅延がある
  • GSIのPKは親テーブルのPKと同じキーを設定したうえで、GSIのSKを別キーにすることで、親テーブルから読取る項目を削減できるレプリカテーブルを作成できる

大きな項目

  • Binary属性タイプを使えば、GZIPやLZO圧縮によるバイナリデータをDynamoDBに登録できる
  • S3にオブジェクト識別子を登録するのも良い

時系列データ

  • 基本的に、アプリケーション1つに対してテーブルは1つであることが望ましい
  • 時系列データの場合は、期間ごとにテーブルを作ると最適に処理できる
  • 期間終了前に、次の期間でテーブルを事前に作成する
  • 期間終了後に新しいテーブルにリダイレクトする
  • テーブルの書込みが減ったら、プロビジョンドキャパシティを削減する
  • ほとんど必要ないと判断したデータのテーブルは、アーカイブするか削除する
  • E.g.
    • 当月
      • WCU700, RCU300
    • 先月
      • WCU1, RCU100
      • WCU1, RCU1

多対多の関係

  • 隣接関係のリスト設計パターン
    • E.g.) 多対多の関係があるエンティティA, B(AとBは親子関係)
      • 親テーブルのPKとSKの両方にキーA, Bを登録し、キーAがPKの場合はAとBの値をSKに、キーBがPKの場合はBの値のみをSKに登録する
      • 親テーブルのSKをGSIのPKに設定することで、GSIからBをキーとして検索すると、Bに関連するAが全て抽出できる
  • マテリアライズドグラフパターン
    • 簡易的なグラフ指向DBを実装できる
    • 複雑なグラフ指向DBが必要な場合はAmazon Neptuneの使用を推奨する
    • 正直、理解できなかった......

リレーショナルモデル化

正直、この記事を読んだ方が理解は早いと思います。

DynamoDB でリレーショナルデータをモデル化するためのベストプラクティス - Amazon DynamoDB

  1. データのアクセスパターンを整理する
  2. 欲しいデータのPKとなるキーを複数決める
  3. 決まった複数キーを被らないように登録フォーマットを定め、PKとする
  4. PKに紐づけるSKとなるキーを、PKの各キーごとに複数決める
  5. 決まった服すーを被らないように登録フォーマットを定め、SKとする
  6. 親テーブルのSKをPKに、データをSKとするGSI1を設定する
  7. 集計データが必要な場合、ランダムな値をPKに、期間をSKとするGSI2を設定する

クエリとスキャン

  • スキャンはテーブル全体を読込むため、テーブルサイズに比例して時間も費用もかかる
    • フィルターは読込み後に結果を削減するため、通信量の削減にはならない
    • なるべくスキャンは避けて、クエリを利用するべき
  • 大量データへのスキャンによるスパイク回避方法
    • ページサイズを削減する
      • 目的のデータが見つからなければ、何度も通信する必要がある事には変わらない
    • スキャン対象のテーブルを分離する
    • 並列スキャンを活用する
      • 大量のリクエストが発生する可能性がある