AWS初心者向けWebinar「RDBのAWSへの移行方法（Oracleを例に）」資料公開

こんにちは、SAの舟崎です。

先日開催されたAWS初心者向けWebinar「RDBのAWSへの移行方法（Oracleを例に）」の資料を公開しました。

AWS初心者向けWebinar RDBのAWSへの移行方法（Oracleを例に） from Amazon Web Services Japan

RDBをAWSへ移行するときの考え方や、移行先のRDBはAmazon EC2インスタンス上、あるいはRDSインスタンス上、どちらで構築すべきか、またOracle DBの移行に利用可能なツール等を紹介いたしました。こちらの内容はStrategies for Migrating Oracle Database to AWSのホワイトペーパーにも詳細が掲載されておりますので、是非ご参照ください。

以下は今回のWebinarで頂いたご質問とその回答です。（可能な範囲で掲載させて頂いております）

Q1.RDSの導入時のサイジング方法はawsで公開していますか？むしろ導入前のサイジング推奨していないですよね？

A1. AWSのメリットは柔軟にリソースが調整できることですので、ご質問のように、あまり長い期間を机上のサイジングに時間を掛けることはお勧めしておりません。ただ、まったくのサイジング無しで始めるという事は推奨しておらず、既存システムからのモニタリングデータ等を元に初期サイジングをしていただき、事前検証をしていただく事をお勧めしています。

Q2.リードレプリカは負荷分散が目的で、読み取り専用としてアプリケーションから読み取り専用としてリードレプリカのみを見に行かせることは可能でしょうか？

A2.はい。RDS標準のリードレプリカ機能では、それぞれのレプリカでホスト名（IPアドレス）が異なりますので、アプリケーション側からDBを指定して接続に行くことが可能です（自動的にリードレプリカの方に接続を切り替えるような仕組みはありません）。またOracle RDSはRDS標準のリードレプリカ機能には対応していないため、別途Golden Gate等でレプリカを作成していただく必要があります。

Q3. RDSのバックアップはRMANでしょうか？復元可能なリカバリポイントは、バックアップのタイミングだけなのか日時指定可能なのでしょうか？

A3. RMANではなく、独自の方法でデータのスナップショットを保存しています。トランザクションのログ（REDO）も定期的に保存しているため、特定の日時を指定してのリカバリ（ポイントインタイムリカバリ）も可能です。

Q4. RDS or EC2を選択する場合、他に制約はないのでしょうか？特にOracleの場合、ファイルサイズ上限とかAWRとれないとか。

A4. RDS Oracleにおける考慮点については、以下のドキュメントに記載がありますのでご参照ください。なおRDSのデータベースサイズの上限は6TBです（SQL Serverのみ4TB）

https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/CHAP_Oracle.html

Q5. RDSのバックアップをコマンドによりスタートさせられますか？(夜間バッチフローの一部としてデータ静止点でバックアップしたい)

A5. RDSもAPI経由もしくはAWS CLIのコマンド経由で各種操作を実行可能です。cron等のスケジューラからAPIやCLIを呼び出すことで夜間バッチに組み込むことも可能です。

Q6. DB移行手法(Oracle)ですが、Oracle Data guardはソリューションとしてないのでしょうか？

A6. EC2上にOracleを構築し、既存OracleとData Guard環境を構築することで、Data Guard を移行の手段として利用することは可能だと考えられます。

Q7. Oracle10(オンプレ)からRDS(Oracle12)への推奨移行方法は？Oracle10をRDSと同バージョンにしてから移行になりますでしょうか？

A7. 移行手法によるところが大きいです。例えばSQL*Loaderでデータをテキスト形式で抜き出した場合は、バージョンをまたがったデータ移行が可能です。RMAN、Data Pump、Golden Gate等といったツールを経由する場合は、そのツールがサポートしている範囲内であれば異なるバージョン間での移行が可能です。一般的にはバージョンアップと移行を一度に行うよりも、先にバージョンをあげて動作を確認してから移行する事が推奨されます。

Q8.日本のユーザーがAWSを使用する時は必ず日本のデータセンターがアサインされるのでしょうか？

A8. AWSでは利用者が利用するリージョンを明示的に選択可能です。東京リージョンを選択していただけば必ず日本のデータセンターをご利用いただけます。

Q9. オンプレミスのDBからRDSへ、Datapumpによりデータを移行した結果移行元のDBでユーザに付与していた権限(CREATE ANY DIRECTORY)がRDSでは付与できないというエラーが出て、サポートからRDS仕様上のエラーとの回答をいただきました。権限情報をRDSに完全に移行する、ということは難しいのでしょうか？

A9.はい。RDSではDBAロールであってもALTER DATABASEが出来ない等、権限の構造が通常のOracleとは異なっているところがあり、権限設定をそのまま移行できないケースもあります。ただし、一部の運用操作においては代替するためのストアドプロシージャが用意されていますので、こちらで代替できないかをご検討ください。

http://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/Appendix.Oracle.CommonDBATasks.html

Q10. RDSの場合、alert.logの管理・運用はどのようにしたらよいでしょうか。

A10. RDSでは直接Oracleサーバにログインしてalert.logを閲覧することはできませんが、代わりに管理コンソールからアクセスする、もしくはalertlogへのクエリー(select message_text from alertlog)でアクセスが可能です。サイズが10MBを超えるとローテーションする（古い情報から消える）ため、全てのログを漏らさず保存したい場合は定期的にRDSから外部に取り出しておく必要があります。

Q11. Oracle on EC2での冗長化構成のベストプラクティスはありますか？(RAC使えないのでHAソリューション等で実績あるもの）

A11. EC2上での冗長化のベストプラクティスは、AZにまたがって二重化することです。つまりAZをまたいだレプリケーション形式（Data Guard等）での実現が基本的な考え方ですが、AWS上に提供するクラスターソフトウェアもあります。HAソリューションでの推奨はありませんが、こういった考え方の基本は以下のホワイトペーパーで解説されています。

RDBMS in the Cloud: Oracle Database on AWS

http://aws.amazon.com/whitepapers/oracle-on-aws/

 

次回のAWS初心者向けWebinarは「AWSからのEメール送信」です。是非ご参加ください。

AWS Black Belt Tech Webinar 「AWS Device Farm」資料公開

こんにちは、AWSテクニカルトレーナーの鬼形です。 先日(7/22)のAWS Black Belt Tech Webinar(12:00-) は、緊急特番としてAWS Device Farmの解説を行いました。スピーカーはSAの清水さん、西谷さんという2人体制でお届けしましたが、西谷さんが清水さんに質問（無茶振り？）しながら進めていくという形式が、とても好評だったようです。次回以降もこういった企画を盛り込んでいきますので、楽しみにしていてください！

以下に公開している資料では、AWS Device Farmが登場した背景、特長、ユースケースなどを分りやすく解説しています。Webinar内ではデモンストレーションを取り入れてご紹介しましたが、皆様もぜひ、本資料を元にAWS Device Farmを試してみてください。

次回のBlackbeltですが、7/31（金）のお昼12時に緊急開催で先日GAしたAmazon Auroraの解説を行います。以下で申し込み可能です。

http://aws.typepad.com/sajp/2015/07/aws-black-belt-tech-webinar-2015-amazon-aurora.html

通常放送は、8/5(水)の18時から、DynamoDBについて解説します。ぜひこちらもお申込みください。

• 8月5日(水)18時
• Amazon DynamoDB - 森祐孝
• セミナー参加登録リンク: https://connect.awswebcasts.com/dynamodb-2015/event/registration.html
  
• セミナー内容:
• DynamoDBは、ストレージ制限、サーバの運用、管理の必要のない完全マネージド型のNoSQLデータベースサービスです。本Webiner ではDynamoDBの基本的な機能やテーブルの設計方法等をご紹介致します。また、この1年の間にリリースされた新機能も紹介しながら、利用上の注意点 や活用事例などもご紹介致します。

AWS Black Belt Tech シリーズ 2015 AWS Device Farm from Amazon Web Services Japan

 

Q&Aは以下の通りです。

AWS Black Belt Tech Webinar 「AWS CLI & SDK for Powershell」資料公開

こんにちは、AWSテクニカルトレーナーの鬼形です。

先日(7/22)のAWS Black Belt Tech Webinar(18:00-) は、運用には欠かせないAWS CLIとSDK for Powershellがテーマでした。AWS Management Consoleに続き、AWSへのアクセス関連を担当しています、プロフェッショナルサービスの千葉による解説です！

今回は、AWS CLIとSDK for Powershellに関する基本構文の紹介はもちろん、出力情報の抽出に便利なJMESPathの使い方や、これまであまり取り上げられていないSDK for Powershellの新機能まで解説され、かゆいところに手が届く内容となりました。普段よく使っているという方も、新たな発見があったのではないでしょうか。以下に資料を公開しておりますので、コマンドラインを使用する際のリファレンスファイルとして、是非お役立てください。

次回のBlackbeltですが、7/31（金）のお昼12時に緊急開催で先日GAしたAmazon Auroraの解説を行います。以下で申し込み可能です。

http://aws.typepad.com/sajp/2015/07/aws-black-belt-tech-webinar-2015-amazon-aurora.html

通常放送は、8/5(水)の18時から、DynamoDBについて解説します。ぜひこちらもお申込みください。

• 8月5日(水)18時
• Amazon DynamoDB - 森祐孝
• セミナー参加登録リンク: https://connect.awswebcasts.com/dynamodb-2015/event/registration.html
  
• セミナー内容:
• DynamoDBは、ストレージ制限、サーバの運用、管理の必要のない完全マネージド型のNoSQLデータベースサービスです。本Webiner ではDynamoDBの基本的な機能やテーブルの設計方法等をご紹介致します。また、この1年の間にリリースされた新機能も紹介しながら、利用上の注意点 や活用事例などもご紹介致します。

AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell from Amazon Web Services Japan

継続してご案内しておりますが、AWSのWEBセミナーは現在Adobe Connectという仕組みで配信されています。このAdobe ConnectはPCのブラウザで参加できるだけでなく、モバイルアプリにも対応しています。つまり、どこでもスマホさえあればセミナーに参加できるという事ですね。お手持ちのスマホのアプリストア等で"Adobe Connect"で検索してみてくだい。

Q&Aは以下の通りです。

AWS SDK for .NETバージョン3のプレビュー終了

2月にもどって、AWS SDK for .NETのあたらしいメジャーバージョンをリリースする計画があることを アナウンスしました。4月にはNuGetにプレビューをリリースしました。ユーザーからの素晴らしいフィードバックをいただき、本日AWS SDK for .NETのバージョン3のプレビューを終了します。これはNuGetパッケージからプレビューフラグが削除されるということを意味します。SDKはわれわれのウェブサイトにあるMSIインストーラーにふくまれます。

バージョン3はあたらしいモジュール化されたSDKです。すべてのサービスは個別のアセンブリであり個別のNuGetパッケージとして配信されます。それぞれのサービスは共通ランタイムであるAWSSDK.Coreに依存しています。現在のAWSは50以上のサービスにまで成長しているため、これはユーザーからの主要なリクエストでした。このデザインはまたSDKユーザーにいつ最新のサービスアップデートにアップグレードするかのよりよい制御が可能にしています。

バージョン3への移行を簡単に可能にするために、パブリックAPIに対してほんのわずかな変更があります。変更の完全なリストは、マイグレーションガイドにふくまれるAPI Referenceを参照してください。

ほとんどのユーザーがバージョン2へのふるいリファレンスを置き換えて利用しているサービスへのリファレンスを追加するだけですむことが期待されます。NuGetを使用してSDKを取得している場合、コアランタイムパッケージは自動的に追加されます。われわれのウェブサイト上のインストーラーからSDKを取得している場合、AWSSDK.Coreへのリファレンスを追加する必要があります。

Xamarinのプレビュー

最近、バージョン3の一部として、Xamarinサポートのパブリックプレビューをアナウンスしました。SDKは広く利用可能になっていますが、XamarinとポータブルクラスライブラリによるバージョンのSDKはまだプレビュー中です。ぜひあたらしいXamarinサポートをためしてフィードバックをいただければと思いますが、ユーザーがプロダクションのアプリケーションを公開できる準備はまだできていません。Windows PhoneやWindowsストアのサポートがすぐに必要なユーザーはPCLバージョンのSDKバージョン3がプロダクションになるまでバージョン2を使い続けていただくことになります。

PowerShell

バージョン3への移行にともなって、AWS Tools for Windows PowerShellもあたらしいSDKに切り替わっています。AWS SDK for .NETとAWS Tools for Windows PowerShellのバージョン番号は同期されているため、AWS Tools for Windows PowerShellはメジャーバージョンが3になりました。AWS Tools for Windows PowerShellに対する主要な変更はほかにありません。

インストーラーへの変更

インストーラーがSDKのバージョン3をふくむようにアップデートされましたが、バージョン3に移行する準備ができていないユーザーのためにバージョン2もふくまれています。ポータブルクラスライブラリバージョンのSDK（Xamarinサポートをふくむ）はNuGetからのみ配信されインストーラーからは利用できません。ポータブルクラスライブラリはプラットフォーム固有の依存関係がありNuGetからリファレンスが追加されたときに自動的に解決されます。もしこれをNuGetなしに手動でやろうとすると複雑な手順となると思います。

NuGet上のパッケージ

バージョン3のNuGetパッケージの最新のリストはSDKのgithub README.mdにあるNuGetセクションをチェックしてください。

（翻訳はSA渡邉が担当しました。原文はVersion 3 of the AWS SDK for .NET Out of Preview）

【緊急開催】AWS Black Belt Tech Webinar 2015 ~ Amazon Aurora~

こんにちは。ソリューションアーキテクトの下佐粉（しもさこ）です。

ついにAmazon AuroraがGA(一般公開）されましたね！MySQL互換で高い性能と可用性を実現したクラウド時代のRDBです。

- 【AWS発表】Amazon Auroraをご利用頂けるようになりました！

上のブログその特徴を解説していますが、Webinar（WEBでのセミナー）を緊急開催することにしました。7月31日（金）お昼の１２時開催です。お昼休みに新しいテクノロジーについて学習しませんか？以下でお申込み受付中です。

【緊急特番】AWS Black Belt Tech Webinar 2015 ~ Amazon Aurora

7/28にリリースされたAmazon Aurora を緊急特番としてご紹介します。Amazon AuroraはAmazonがクラウドに適したデータベースとは何かを1から考え実装した新しいデータベースエンジンです。MySQL5.6と互換性を保ちながら可用性・スループットやスケール面の向上などが行われており、クエリのコンカレンシーやデータサイズが大きい環境で、その優位性を発揮します。今回はAmazon Auroraのご紹介とRDS for MySQLとの違い、そしてパフォーマンス測定やAmazon Aurora全般のTipsをご紹介したいと思います。

【開催日時】
2015年7月31日（金） 12:00～13:00（日本時間）

【講師】
アマゾン データ サービス ジャパン株式会社　
技術本部　ソリューションアーキテクト
星野 豊

【お申し込みリンク】

https://connect.awswebcasts.com/aurora/event/event_info.html

AWS Black Belt Tech Webinar 「AWS CloudTrail & AWS Config」資料公開

こんにちは。ソリューションアーキテクトの下佐粉（しもさこ）です。 先日(7/15)のAWS Black Belt Tech Webinar では、AWS CloudTrail & AWS Configの解説を行いました。このスライド資料を以下に公開します。監査や構成管理の仕組みということで、サービスを運営される方には重要な機能ですね。セミナー後のQ&Aコーナーでも実践的なご質問を沢山いただきました。Q&Aの内容はこのエントリの下の方に記載してありますので、ごらんください。

さて、次回のBlackbeltは7/29(水)18時から「AWS CloudHSM & AWS Key Management Service」です。AWS暗号鍵管理の仕組みであるKMSと、ついに先日東京リージョンにも展開されたハードウェアアプライアンスのCloudHSMについて、基本や、それぞれの違いについて解説します！ぜひご参加ください。

また、継続してご案内しておりますが、AWSのWEBセミナーは現在Adobe Connectという仕組みで配信されています。このAdobe ConnectはPCのブラウザで参加できるだけでなく、モバイルアプリにも対応しています。つまり、どこでもスマホさえあればセミナーに参加できるとい う事ですね。お手持ちのスマホのアプリストア等で"Adobe Connect"で検索してみてくだい。

7月29日(水)

• AWS CloudHSM & AWS Key Management Service(KMS) - 高田 智己 & 布目 拓也
  
• セミナー参加登録リンク: https://connect.awswebcasts.com/cloudhsm-kms-2015/event/registration.html
• セミナー内容:

• AWS CloudHSMはAWSクラウド上でお客様専用のハードウェアセキュリティモジュール（HSM）アプライアンスを提供し、お客様が暗号化に対するコンプ ライアンス及び規制対応に関係した要件を満たすことをできるようにするサービスです。先日東京リージョンでも利用できるようになりました。本 WebinarではAWSが提供する暗号鍵管理サービスであるAWS KMSの新機能の紹介や比較を交えながらCloudHSMについての説明を致します。

AWS Black Belt Tech シリーズ 2015 AWS CloudTrail & AWS Config from Amazon Web Services Japan

Q&Aは以下の通りです。

【和訳】Under the Hood of Amazon EC2 Container Service

SAの岩永です。AmazonのCTOのWernerが、先日非常に興味深いAmazon EC2 Container Service (Amazon ECS)に関する投稿をしていましたので、日本語に訳してみました。Amazon ECSがもたらす価値を感じ取るのに良い記事だと思いますのでぜひご覧ください。

なお、Amazon ECSについて質問や要望がありましたら、どのような手段でも構いませんのでぜひご連絡下さい！

---

原文: Under the Hood of Amazon EC2 Container Service

過去のAmazon EC2 Container Service (Amazon ECS)に関する投稿の中で、私はクラスタ上でのモダンな分散アプリケーションの実行における2つの鍵となるコンポーネント「信頼できる状態管理」と「柔軟なスケジューリング」についてお話しました。Amazon ECSはコンテナ化したアプリケーションの構築と実行を簡単にしてくれますが、それをどのように実現しているかということがAmazon ECSを興味深いものとしています。今日は、Amazon ECSのアーキテクチャとそれによって何がもたらされているのかを説明したいと思います。以下がAmazon ECSの基本的なコンポーネントの図になります。

クラスタを協調動作させる方法

それではAmazon ECSが実際に何をしているのかについてお話していきましょう。Amazon ECSの中心となるのはクラスタマネージャです。これはクラスタの協調動作と状態管理のためのタスクを扱うバックエンドのサービスになります。クラスタマネージャの上に様々なスケジューラが作られています。クラスタ管理とコンテナスケジューリングはそれぞれ疎結合になっているため、みなさんは自由なスケジューラを使って構築することができます。クラスタとは、皆さんのアプリケーションのために利用可能なコンピュータリソースの単なるプールです。現時点ではAmazon EC2インスタンスのCPU・メモリ・ネットワークというリソースがプールとなっていて、それがコンテナ毎に区切られる形です。Amazon ECSはクラスタ内のそれぞれのEC2インスタンス上で動いているAmazon ECS Container Agentを通じてクラスタを協調動作させています。AgentによってAmazon ECSはクラスタ内のEC2インスタンスと通信をして、ユーザやスケジューラからのリクエストに応じてコンテナを開始、終了、そして監視することができます。AgentはGoで書かれていてフットプリントは最小限で、Apacheライセンスの基でGitHubで利用可能となっています。コントリビューションやフィードバックが最も歓迎されます。

状態を管理する方法

クラスタの協調動作のためには、クラスタ内のEC2インスタンス、その上で動いているタスク、タスクの中のコンテナ、そしてリソース(ネットワークポート、メモリ、CPUなど)が利用可能なのか専有されているのか、といったクラスタ自身について唯一の情報源が必要になります。クラスタの状態について正確な知識無しにコンテナをうまく開始したり停止したりする方法はありません。これを解決するために、状態はどこかに保存されている必要があります。そのため、どのモダンなクラスタマネージャでもその心臓部にはキーバリューストアを持っています。

このキーバリューストアはクラスタの全ての情報の唯一の源として働いていて、状態と全ての状態変化が入力され保存されています。ロバストでスケーラブルな状態を保つために、このキーバリューストアは耐久性と可用性の面で分散されている必要があり、ネットワーク分断やハードウェア障害から守る必要があります。しかしキーバリューストアが分散されているが故に、データの一貫性保証や同時並行する変更の処理はより難しくなります。特に(コンテナが停止したり開始したりするように)状態が絶えず変化するような環境では大変です。そのため、多数の状態変化が競合しないようにある種の並行制御が導入される必要があります。例えば、もし2人の開発者があるEC2インスタンスの残り全てのメモリリソースを使い切る様なコンテナ実行をリクエストした時に、片方のコンテナのみがこれらのリソースを実際に使うことができ、もう一方のリクエストは完了できなかったと教えられるべきです。

並行制御のために、我々はAmazonのコアな分散システムのプリミティブな部分の1つを利用してAmazon ECSを実装しました。それはPaxosベースでトランザクションなジャーナルを利用したデータストアで、データエントリの全ての変更をレコードとして保存しています。全てのデータストアへの書き込みは、特定の順序ベースのIDを用いたジャーナルのトランザクションとしてコミットされます。データストア内の現在の値というのは、ジャーナルに記録された全てのトランザクションを足しあわせたものになります。データストアからの全ての読み出しは、その時点でのジャーナルのただのスナップショットです。書き込みが成功するためには、書き込もうとしている内容が最後の読み出し以降の最新のトランザクションである必要があります。このプリミティブさによって、Amazon ECSはクラスタの状態の情報を楽観的並行性のもとに保存することができ、それは継続的に変化している情報が共有されているような環境(Amazon ECSの様に共有の計算リソースプールの状態を代表するような時)に理想的なものです。このアーキテクチャによってデータストアが決して悲観的ロックされることがないために、Amazon ECSは高い可用性、低いレイテンシ、そして高いスループットを持ち合わせることができています。

APIを使ったプログラム的なアクセス

キーバリューストアを持つことができ、クラスタの状態を安定して保存し取り出すことができるので、クラスタを協調動作させ必要な数のコンテナの稼働を保証することができるようになります。前に書いた様に、皆さんがAmazon ECSの状態管理能力の利点を活かせる様にするため、我々はコンテナスケジューリングをクラスタ管理とは疎結合にしました。Amazon ECSのクラスタ管理はAPIアクションの集合として開かれており、皆さんは体系だった手段で我々のキーバリューストアに保存されているクラスタの状態の情報全てにアクセスすることができます。

‘list’系のコマンドでは、管理下にあるクラスタや、特定のクラスタで動いているEC2インスタンス、実行しているタスク、そしてタスクの元となるコンテナの設定(タスク定義)を取得することができます。’describe’系のコマンドでは、特定のEC2インスタンスや利用可能なリソースについての詳細が得られます。最後に、皆さんはクラスタのどこにでもタスクを開始したり停止したりできます。我々は最近Amazon ECSに一連の負荷試験を行いましたが、皆さんがAmazon ECS上でアプリケーションを構築する時に期待される様ないくつかのパフォーマンスの特徴を共有したいと思います。

上のグラフはAmazon ECSのクラスタにインスタンスを足したり削除したりしながら、’DescribeTask’ API呼び出しのレイテンシの50パーセンタイルと99パーセンタイルを72時間に渡って計測したものです。見て分かる通り、クラスタサイズに急激な変動があっても、レイテンシは比較的変動のない状態を維持しています。Amazon ECSは、クラスタ管理を運用したりスケールさせることを全くせずに、どんなに大きいクラスタのサイズにでもスケールすることができます。

このAPIアクション群は、Amazon ECS上に皆さんが構築できるソリューションの基本的な形となっています。スケジューラは単純に、どうやって、いつ、どこでコンテナを開始し停止するかについてのロジックだけを提供します。Amazon ECSのアーキテクチャはクラスタの状態を共有するためにデザインされていて、みなさんはアプリケーションの需要に応じていくらでも多様なスケジューラ(ビンパッキングやスプレッドなど)を走らせることができます。このアーキテクチャによってスケジューラはクラスタの正確な状態を見ることができ、共有プールからリソースを割り当てることができます。楽観的並行制御によってそれぞれのスケジューラはリソース競合の可能性無しに要求したリソースを受け取ることができます。既にいくつかのお客様は多様な興味深いソリューションをAmazon ECS上で作り上げているので、おもしろいいくつかの例を共有したいと思います。

Hailo - 弾力性のあるリソースプールのためのカスタムスケジューリング

Hailoは無料のスマートフォンアプリで、ユーザはライセンスのあるタクシーを今いる場所に直接呼ぶことができます。Hailoは世界中で60,000以上の運転手と繋がっていて100万人以上の乗客がいます。Hailoは2011年に創立して、Day 1からAWS上で構築してきました。過去数年で、Hailoは1つのAWSリージョンで稼働するモノリシックなアプリケーションから、複数のリージョンにまたがったマイクロサービスベースのアーキテクチャに進化してきました。以前は、各マイクロサービスは静的に分割されたインスタンス群によるクラスタで動いていました。Hailoが経験した問題はそれぞれのパーティションでリソースの利用率が低いというものでした。このアーキテクチャは超スケーラブルではなく、Hailoはエンジニア達にインフラの詳細やマイクロサービスの配置について悩みをもたせたくありませんでした。

Hailoはサービスの優先度や弾力性のあるリソースプール上のその他のランタイムのメトリクスに基いてコンテナをスケジュールしたいと思いました。彼らはAmazon ECSをクラスタ管理として選択しましたが、その理由はマネージドサービスであり、タスクの状態を簡単に強制できてクラスタの状態はAPI呼び出しによって丸見えになっているからでした。これによって、Hailoは彼らのアプリケーション特有の要件にあうロジックを持ったカスタムスケジューラの構築が可能になりました。

Remind - Platform as a Service

Remindはwebとモバイルのアプリケーションで、教師が生徒にテキストメッセージを送ることができ、親とも連絡することができます。Remindはプラットフォーム上に2400万のユーザと150万以上の教師を抱えています。毎月1億5000万件以上のメッセージを配信しています。Remindは初期にはHerokuを利用していて、メッセージ配信のエンジンやフロントエンドのAPI、webのクライアントから、チャットのバックエンドまで全てのアプリケーションのインフラを実行していました。このインフラの多くは巨大なモノリシックアプリケーションとしてデプロイされていました。

ユーザが増えるにつれて、Remindは水平にスケールできるようにしたくなりました。そこで2014年の終わり頃にエンジニアチームはコンテナを使ったマイクロサービスアーキテクチャへの移行を検討し始めました。チームはAWSの上にHeroku APIと互換性のあるPlatform as a Service (PaaS)を作りたいと思っていました。初め、チームはクラスタ状態とコンテナのオーケストレーションをするためにいくつかのオープンソースのソリューション(CoreOSやKubernetes)を見ていましたが、エンジニアチームは小さく、彼らにはクラスタのインフラを管理したりクラスタの高可用性を保つための時間はありませんでした。

Amazon ECSを少し評価してみた後で、チームはこのサービスの上にPaaSを構築することを決めました。Amazon ECSは完全にマネージドで効率的な運用を提供してくれるので、エンジニアのリソースをアプリケーションの開発とデプロイだけに集中させることができます。クラスタを管理したりスケールさせる必要がありません。6月にはRemindは彼らのECS上のPaaSソリューションを”Empire"としてオープンソースにしました。Remindはセキュリティ上の利点に加えて、大きなパフォーマンス改善(レイテンシと安定性)をEmpireによって手に入れました。彼らのこのさき数ヶ月のプランでは、90%以上のコアインフラをEmpire上へと移行することになっています。

Amazon ECS - 完全マネージドプラットフォーム

これらはお客さんから学んだユースケースのうちの数個にすぎません。Amazon ECSのアーキテクチャによって高いスケーラビリティ、高い可用性、低いレイテンシを持ったコンテナ管理サービスを提供することができます。共有のクラスタの状態にAPIを通じて楽観的並行性でアクセスできることにより、必要にあわせてどのようなカスタムのコンテナソリューションでも作ることができます。我々はお客様から差別化に役立たない重石を取り除くことにフォーカスし続けています。Amazon ECSでは、いかなるクラスタ管理もインストールしたり運用したりする必要はありません。お客様は素晴らしいアプリケーションの開発だけに集中することができますし、そうすべきです。

昨年11月のプレビュー以来、たくさんの機能を追加してきました。この1年で我々が追加してきた機能についての振り返りはJeff Barrのブログをご覧ください。手始めにドキュメントを読み、コンソールを訪れて下さい。まだまだ沢山の機能がロードマップとして控えており皆さんのフィードバックを心待ちにしています。質問や要望をぜひフォーラムやRedditのAWSに投稿して下さい。

本日7/22(水)のAWS Black Belt Tech Webinar 2015に関してのお知らせ

こんにちは、AWSテクニカルトレーナーの江川大地(@daiti0804)です。

毎週水曜日は、AWS Black Belt Tech Webinarの日と認知いただいているかと思います。本日も緊急特番として行う12時からのAWS Device Farm, いつも通り18時から行うAWS CLI & AWS Tools for Windows PowerShellをお送りします。

先週までセミナー配信システムのトラブルにより、参加登録メール、リマインドメールの送信が出来ていませんでしたが、復旧した模様です。本日のWebinarのリマインドメールが配信されているかと思いますので、ご確認ください。

もしメールが確認できない場合は、下記の各開催の"セミナーログインページ"よりアクセスし、登録に使用したメールアドレスを入力後、ご視聴ください。

• 7月22日(水) 12:00 -13 :00
• AWS Device Farm - 清水 崇之(@shimy_net) & 西谷 圭介(@keisuke69) 
• セミナー参加登録リンク: https://connect.awswebcasts.com/device-farm/event/registration.html
  
• セミナーログインページ:https://connect.awswebcasts.com/device-farm/event/login.html
• セミナー内容:
• モバイルアプリの実機テストサービスである AWS Device Farm を緊急特番としてご紹介します。モバイルアプリのテストをするとなると、モデル、OS、画面サイズなど多種多様なバリエーションを考慮しなくてはなりません。その結果、多くのアプリ開発者は包括的なテストを諦めるか、利用可能なデバイスのサブセットだけにマーケットを絞らなくてはなりませんでした。今回ご紹介する AWS Device Farm を利用すれば、 Android、Fire OS の数多くのユニークな環境（デバイスとOSの組み合わせ）において、迅速かつ安全にテストを実施することができます。また、テストを自動化しスケジューリングできます。これにより、皆さんのモバイルアプリの品質向上に役立てていただけます。

 

• 7月22日(水) 18:00 -19 :00
• AWS CLI & AWS Tools for Windows PowerShell - 千葉 悠貴
• セミナー参加登録リンク: https://connect.awswebcasts.com/cli-powershell-2015/event/registration.html
• セミナーログインページ:https://connect.awswebcasts.com/cli-powershell-2015/event/login.html
• セミナー内容:
• AWS CLIおよびAWS Tools for Windows PowerShellはAWSを管理するためのコマンドラインツールです。コマンドラインからAWSサービスを制御し、スクリプトを使用してこれらを自動化することができます。AWS CLIおよびAWS Tools for Windows Powershellの便利な使い方やサンプルなどをご紹介します。

 

 

本日も二本立てです。最新情報や運用に役立つTipsをキャッチアップしていただければ幸いです。ぜひよろしくお願いします！

江川

 

 

 

AD ConnectorをつかったオンプレミスのActive DirectoryからAWSへの接続方法

AD ConnectorはActive DirectoryとAWSとの間で信頼関係を確立するためのかんたんなやり方を提供するために設計されています。AD Connectorを構成すると、信頼によって以下のようなことができるようになります：

• Active Directoryの認証情報を使用したAmazon WorkSpaces、Amazon WorkDocs、Amazon WorkMailなどのAWSアプリケーションへのサインイン
• Amazon EC2 launch wizardまたはEC2 Simple System Manager（SSM） API経由でのプログラムによるActive DirectoryドメインへのWindowsインスタンスのシームレスな参加
• Active DirectoryのアイデンティティとAWS Identity and Access Management（IAM）ロールとのマッピングによるAWS Management Consoleへのフェデレーションによるサインインの提供

AD Connectorはカスタムアプリケーションから利用することはできず、上に言及した3つのユースケースでセキュアなAWSとのインテグレーションのためだけに使用されます。オンプレミスのActive Directoryに依存したカスタムアプリケーションは直接ドメインコントローラーに通信すべきです。

AD Connectorにより、すべてのユーザーアイデンティティをActive Directoryから調達および管理することによりアイデンティティ管理が効率化されます。さらにパスワードの有効期限や履歴、アカウントロックアウトポリシーなどの既存のActive Directoryのセキュリティポリシーを再利用することができます。また、ユーザーはもう別のユーザー名とパスワードの組み合わせを記憶する必要がなくなります。そしてAD Connectorは複雑なディレクトリ同期のテクノロジーやActive Directoryフェデレーションサービス（AD FS）には依存しないため、SAMLベースのフェデレーションインフラストラクチャをホストするためのコストや複雑さから解放されます。つまり、AD Connectorは既存のオンプレミスへの投資をAWSの別の側面のコントロールに利用することによりハイブリッド環境の運用に役立ちます。

このブログ記事では、AD Connectorがどのように動作するかだけでなくどのようにしてフェデレートされたコンソールアクセス、ユーザーへのロールのアサイン、Active DirectoryドメインへのEC2インスタンスのシームレスな参加を可能にするかをご紹介します。

AD Connector - 内部の仕組み

AD ConnectorはAWSアプリとオンプレミスのディレクトリを接続するため両方のアベイラビリティゾーンにあるプロキシのサービスです。AD Connectorは認証のためのActive Directoryへのサインインリクエストをフォワードしてアプリケーションがディレクトリのデータをクエリできるようにします。AD Connectorを構成するときに、サービスアカウントの認証情報を入力すると、それはAWSによってセキュアに保管されます。このアカウントはAWSによるシームレスなドメインへの参加、シングルサインオン（SSO）、およびAWSアプリケーション（WorkSpaces、WorkDocs、WorkMail）の機能を有効化するために使用されます。AD Connectorの役割はプロキシであるため、ユーザーの認証情報を保管したりキャッシュしたりすることはありません。というより、すべての認証、検索および管理のリクエストはActive Directoryによって処理されます。

AD Connectorを作成するためには、セットアップ中に一対のDNS IPアドレス入力する必要があります。これはAD Connectorがリクエストをルートするための一番近いドメインコントローラーを見つけるサービス（SRV）のDNSレコードを取得するために使用されます。AD ConnectorのプロキシインスタンスはActive Directoryドメインコントローラーののロケータプロセスと類似のアルゴリズムを使用してどのドメインコントローラーがLDAPとKerberosのリクエストを受け付けるのかを決定します。

AWSアプリケーションとAWS Management Consoleへの認証のために、AWS Directory Serviceコンソールからaccess URLを構成することができます。このaccess URLはhttps://<alias>.awsapps.comのフォーマットでパブリックにアクセス可能なサインインページを提供します。https://<alias>.awsapps.com/workdocsではWorkDocsへのサインインが、https://<alias>.awsapps.com/consoleではAWS Management Consoleへのサインインができます。以下のイメージはAWS Management Consoleへのサインインページです。

セキュリティを強化するために多要素認証（MFA）をAD Connectorで有効化することができますが、この機能を利用するためにはオンプレミスのネットワークにセットアップした既存のRADIUSインフラストラクチャが必要になります。要件と構成に関するよりくわしい情報についてはAD Connector – Multi-factor Authentication Prerequisitesを参照してください。AD ConnectorでMFAを有効にすると、access URLでホストされるサインインページでユーザーは通常のサインインの認証情報にくわえてMFAコードを要求されます。

AD ConnectorにはSmallとLargeのふたつのサイズがあります。Large AD ConnectorはSmall AD Connectorよりもパワフルなコンピュートリソースとより高いコストで稼働します。AD Connectorによってプロキシされるトラフィックの量に応じて、ニーズにもとづく適切なサイズを選ぶことになります。

AD Connectorはデプロイするリージョン内の複数のアベイラビリティゾーンをまたがって内部ホストをデプロイするため、高い可用性があります。ホストレベルの障害があった場合、Directory Serviceは障害のあったホストについて通知するとともに置き換えをします。さらにDirectory ServiceはパフォーマンスおよびセキュリティアップデートをAD Connectorに自動的に適用します。

以下のダイアグラムはAWS Management Consoleアクセスを有効にしたときの認証のフローとネットワークパスについて図にしたものです：

1. ユーザーはセキュアなカスタムサインインページをひらいてActive Directoryのユーザー名とパスワードを入力します。
2. 認証リクエストはSSLを通してAD Connectorに送られます。
3. AD ConnectorがActive DirectoryにLDAP認証を実行します。

注：AD ConnectorはドメインのSRV DNSレコードを検索してもっとも近いドメインコントローラを見つけます。

4. ユーザーが認証されたあとに、AD Connectorはユーザーの一時的なセキュリティクレデンシャルを取得するためにSTSのAssumeRoleメソッドを呼び出します。

注：ユーザーが複数のロールにマップされている場合、どのロールとしてサインインするかの選択が求められます。ユーザーセッションは1時間有効です。

AWS Management ConsoleアクセスをフェデレートするためのAD Connectorの構成をはじめる前に、prerequisites for AD Connectorを読んで理解するようにしてください。たとえば、VPNまたはDirect Connect回線がVPCとオンプレミス環境の間に存在する必要があります。ドメインはWindows Server 2003機能レベル以上で動作している必要があります。さらに、AD Connectorがオンプレミスのディレクトリと通信できるようにさまざまなポートがVPCとオンプレミス環境との間でオープンされている必要があります。

AD ConnetorでAWS Management Consoleアクセスとのフェデレーションを構成する

コンソールアクセスの有効化

ユーザーにActive Directory認証情報によるサインインを許可するためには、明示的にコンソールアクセスを有効化する必要があります。これはDirectory ServiceコンソールをひらいてDirectory IDの名前をクリックすることでおこなえます。

Directory DetailsのページがひらくとApp & ServicesタブにディレクトリからAWS Management Consoleアクセスを有効化するためのボタンが表示されます。実行するためには、App & ServicesセクションのManage Accessリンクをクリックします。

コンソールアクセスを有効化するかどうか別のダイアログボックスがひらきます。Enable Accessをクリックします。

コンソールアクセスを有効化すると、ロールを構成してActive Directoryユーザーやグループをこれらのロールと関連付けることができるようになります。

これらのステップを実行してあたらしいロールを作成します。Directory Serviceコンソールからあたらしいロールを作成すると、AD Connectorは自動的にDirectory Serviceとの信頼関係を追加します。以下のコード例はロールが作成されたあとのロールのIAM信頼ポリシーをしめしています。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Sid": "",
       "Effect": "Allow",
       "Principal": {
         "Service": "ds.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
         "StringEquals": {
           "sts:externalid": "482242153642"
	  }
	}
     }
   ]
}

ユーザーのロールへのアサイン

AD Connectorが構成されてロールを作成したので、次の仕事はユーザーまたはグループにこれらのIAMロールにアサインすることです。ロールのマッピングはAWS内でユーザーがどのリソースにアクセスできるかを制御します。そのためには以下のようにする必要があります：　

1. .　Directory Service consoleをひらいてManage Accessのリンクをクリックします。　
2. Create New Roleをクリックします。  
3. Use Existing Roleをクリックします。注：すでにActive Directoryユーザーまたはグループをロールにアサインしている場合は、Directory Serviceコンソールからロールのリンクをクリックすることでメンバーシップを修正することができます。  
4. リストからロールを選択して、Next Stepをクリックします。  
5. 検索フィールドからActive Directoryユーザーまたはグループの名前を入力します。
6. Next Stepをクリックします。
7. Create Role Assignmentsをクリックします。

完了するとユーザーまたはグループの名前がそのオブジェクトに対応したIDが上のイメージのように表示されます。

次回ユーザーがカスタムサインインページからAWS Management Consoleにサインインすると、EC2ReadOnlyセキュリティロールにサインインされます。

Active Directoryドメインへのインスタンスのシームレスな参加

AD Connectorを使用するもうひとつの利点はWindows（EC2）インスタンスをActive Directoryドメインにシームレスに参加させることができることです。この機能については今年のはじめにAWS Blogで読んだことがあるかもしれません。つまりスクリプトや手動による操作なしでインスタンスがプロビジョンされている間にWindows Serverをドメインに参加させることができるということです。ブログのこのセクションでは自分の環境でこの機能を有効にするために必要なステップとこのサービスがどのようにして動くのかについて解説します。

ステップ1:ロールの作成

最近まではEC2インスタンスからSSM、すなわち実行中または初回起動時にWindowsインスタンスを構成するためのAWSサービスにアクセスするためのIAMポリシーを手動で作成する必要がありました。いまは、AmazonEC2RoleforSSMというマネージドポリシーがあるためにかわりにそれをつかうことができます。作成したこのロールはプロビジョン時にEC2インスタンスにアサインされ、SSMサービスへのアクセス権を許可します。

このロールを作成するためには：

1. IAMコンソールをひらきます。
2. ナビゲーションペーンのRoleをクリックします。
3. Create Roleをクリックします。
4. Role Nameフィールドのロールに名前を入力します。
5. AWS Service Roleから、Amazon EC2を選択してSelectをクリックします。
6. Attach Policyページで、AmazonEC2RoleforSSMを選択してNext Stepをクリックします。
7. Reviewページで、Create Roleをクリックします。

作成したロールをクリックすると、EC2の信頼ポリシーが以下のコード例のように見ることができます。

{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ec2.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
}
	 

ステップ2: EC2コンソールからあたらしいWindowsインスタンスの作成

このロールがあることによって、EC2 launch wizardからWindowsインスタンスを参加させることができるようになります。どのようにして行うかについての詳細な説明は、Joining a Domain Using the Amazon EC2 Launch Wizardを参照してください。

しかしながら、APIからあたらしいインスタンスを作成する場合は、SSMの構成ドキュメントを作成して事前にそれをSSMサービスにアップロードする必要が有ります。このプロセスについてここからみてきましょう。

注：インスタンスはSSMサービスと通信するためにインターネットアクセスが必要になります。

EC2 launch wizardからあたらしいWindowsインスタンスを作成すると、ウィザードはAD Connectorに保管されている情報をもとにして自動的にSSMの構成ドキュメントを作成します。現在のところ、EC2 launch wizardでメンバーサーバーをデプロイする組織単位（OU）を指定することはできません。

ステップ3: SSMドキュメントの作成（AWS APIによるドメインへのシームレスなドメイン参加）

AWS CLIまたはAPIからあたらしいWindowsインスタンスをプロビジョンしたい、もしくはインスタンスのターゲットOUを指定したい場合は、SSMの構成ドキュメントを作成する必要があります。構成ドキュメントはインスタンスを構成するためのさまざまなパラメータがふくまれるJSONファイルです。以下のコード例はドメインに参加するための構成ドキュメントです。

{
	"schemaVersion": "1.0",
	"description": "Sample configuration to join an instance to a domain",
	"runtimeConfig": {
	   "aws:domainJoin": {
	       "properties": {
	          "directoryId": "d-1234567890",
	          "directoryName": "test.example.com",
	          "directoryOU": "OU=test,DC=example,DC=com",
	          "dnsIpAddresses": [
	             "198.51.100.1",
	             "198.51.100.2"
	          ]
	       }
	   }
	}
}

この構成ドキュメントでは：

• directoryIdは事前に作成したAD ConnectorのIDです。
• directoryNameはドメインの名前です（たとえば、examplecompany.com）。
• directoryOUはドメインのOUです。
• dnsIpAddressesはAD Connectorを作成したときに指定したDNSサーバーのIPアドレスです。

追加の情報については、aws:domainJoinを参照してください。ファイルの作成が完了したら、JSONファイルとして保存します。　注：ファイルの名前は最小1文字から最大で64文字までの長さになります。

ステップ4: 構成ドキュメントのSSMへのアップロード

このステップではユーザーがSSMでインスタンスを構成できるパーミッションをもっている必要があります。これらの権限をふくむポリシーがない場合は、以下のJSONをつかってあたらしいポリシーを作成し、IAMユーザーまたはグループにアサインします。

{
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": "ssm:*",
       "Resource": "*"
     }
   ]
}

作成したSSMのIAMポリシーに関連付けられたユーザーでサインインしたあとに、AWS CLIから以下のコマンドを実行します。

aws ssm create-document --content file://path/to/myconfigfile.json --name "My_Custom_Config_File"

注：Linux/Macシステムではパスのはじめに"/"を追加する必要があります（たとえば、file:///Users/username/temp）

このコマンドは作成した構成ドキュメントをSSMサービスにアップロードして、あたらしいWindowsインスタンスをAWS CLIまたはEC2 launch wizardから作成したときに参照できるようにします。

結論

 このブログ記事ではActive DirectoryとAWS Management Consoleとのフェデレーションによりアカウント管理をシンプルにする方法についてご紹介しました。また、AD ConnectorをつかってWindowsインスタンスをシームレスにActive Directoryドメインに参加させることによりハイブリッドITを実現する方法についても解説しています。この情報を活用してActive DirectoryとAWSとの信頼関係を作成することができます。さらに、アイデンティティの複製やオンプレミスのインフラを追加で展開することなくシングルサインオンを実現するすばやくかんたんなやり方を手に入れたことになります。

わたしたちはあなたがどのようにDirectory Serviceをつかっているのかについてとても知りたいと思っており、エクスペリエンスを改善するためのフィードバックをおまちしております。以下にコメントしていただくか、Directory Service forumにコメントや質問を記入していただけます。

- Jeremy（翻訳はSA渡邉が担当しました。原文：How to Connect Your On-Premises Active Directory to AWS Using AD Connector）

ストリームデータへのインタラクティブクエリのための、Presto-Amazon Kinesisコネクタ

こちらはAWSアドバンスドテクノロジーパートナーであるQuboleの、Technical StaffのSivaramakrishnan NarayananとDirector of Product ManagementのXing Quanからのゲスト投稿になります。

 

Amazon Kinesisは巨大な分散したストリームデータのためのスケーラブルなフルマネージドサービスです。(特にモバイルやウェアラブルデバイスの)アプリケーションでより多くのデータを集め始める時に、Amazon KinesisはAWSにデータを投入する際の開始点となります。しかし、全てのデータは分析されビジネスディシジョンに影響を与えることができて初めて意味をもちます。多くのソリューションがKinesisのストリームを取り出して様々な方法で処理することができますが、SQLを使ってリアルタイムに近いレベルでKinesisにクエリをかけることはどれもできていません。我々Quboleはこれに気づいて、Kinesis用のPrestoコネクタを開発しました。

 

Prestoはインタラクティブでリアルタイムに近いレベルのSQLを発行するユースケースに適応するようにデザインされています。元々はFacebookによって開発されオープンソースとなり、それ以降Netflix, Dropbox, そしてAirbnbといった企業によってペタバイト級のデータセットに対してインタラクティブクエリを行う場面に広く適応してきました。QuboleではPresto as a ServiceをAWS上でエンドのお客様に提供していて、典型的にはデータサイエンティストやビジネスアナリストがインタラクティブなSQLクエリを簡単に使いはじめることができます。Quboleはジョブの要求に合わせてPrestoクラスタの設定や自動プロビジョンやスケールを管理しています。

 

多くのお客様はデータをAmazon Simple Storage Service (S3)に保存していて、Presto, Hive, Spark, またはMapReduce(すべてQuboleではサービスとして提供されています)を組み合わせてインタラクティブやバッチのワークロードを扱っています。しかしながら、Prestoの高速でのインタラクティブ処理をみて、リアルタイムのストリームソース(例えばAmazon Kinesis)に対してクエリをしたいという需要をお客様から伺うことが増えてきました。この需要に合わせて、我々はKinesisから直接に読んだりクエリしたりするためのPrestoのオープンソースコネクタを開発しました。下の図はコネクタがどのように動作するかを示しています(スケッチはMartin Kleppmanのブログに着想を得ています)。

 

 

ユーザのアプリケーションはKinesisのshardにデータをpushします。Prestoクラスタはいくつかのworkerと1つのcoordinatorプロセスで構成されます。Kinesisコネクタはそれぞれのshardに対して1つのworkerを割り当ててGetRecords APIを使ってshardからデータを読み出します。Kinesisの各レコードは単なるblobなので、コネクタはそれらを論理的なテーブルの列としてどのように解釈すればいいかを知っている必要があります。ユーザは(後でご紹介しますが)テーブル定義の一部として、コネクタにblobをどの様に解釈するかを教えます。するとコネクタはKinesisのレコードをテーブルのレコードに変換して、それはPrestoエンジンで別のクエリのステージによって処理されます。各workerは各shardからどのぐらい読み込んだかをDynamoDBのテーブルに記録することもできます。これはこの後紹介するチェックポイント機能のために使われます。 

 

これからコネクタの能力をQuboleを使ってお見せします。サンプルのアプリケーションはNASAがフロリダのNASAケネディスペースセンターのWWWサーバに来たHTTPリクエストを公開した90年代に連れて行ってくれます。それでは時間旅行をするために、以下のステップに従っていきます。

 

1. KinesisストリームにアクセスするためにAWSアカウントが必要です。データを生成しようとしているマシン上でDefaultAWSCredentialsProviderChainを経てKinesisにアクセスできる様にしてください。例えば、AWS_ACCESS_KEY_IDとAWS_SECRET_ACCESS_KEYといった環境変数を設定します。
2. kinesis-data-genというツールをダウンロードしてビルドして、tarを解凍します。このツールを使ってAmazon Kinesisにnasahttpという名前のストリームを作り、JSON形式のhttpログをpushします。シードデータとしてusesample_data.txtを使うことができます。

   
   [localhost datagen-0.0.1-SNAPSHOT]$ ./bin/kinesis-datagen -f etc/sample_data.txt -create -n nasahttp -s 1
   Jun 29, 11:01:26 AM com.qubole.kinesis.nasa.DataGenerator safeDeleteStream INFO: trying to delete nasahttp
   Jun 29, 11:01:32 AM com.qubole.kinesis.nasa.DataGenerator safeDeleteStream INFO: stream nasahttp not found
   Jun 29, 11:01:36 AM com.qubole.kinesis.nasa.DataGenerator safeCheckStream INFO: waiting for stream to become active
   Jun 29, 11:01:36 AM com.qubole.kinesis.nasa.DataGenerator safeCheckStream INFO: CREATING
   Jun 29, 11:01:38 AM com.qubole.kinesis.nasa.DataGenerator safeCheckStream INFO: CREATING
   
   Jun 29, 11:02:25 AM com.qubole.kinesis.nasa.DataGenerator safeCheckStream INFO: ACTIVE
   Jun 29, 11:02:25 AM com.qubole.kinesis.nasa.DataGenerator pushRecords INFO: opening file etc/sample_data.txt
   Jun 29, 11:02:25 AM com.qubole.kinesis.text.FileLineReader end INFO: records = 9
   Jun 29, 11:02:25 AM com.qubole.kinesis.executor.StreamProducerRunnable run INFO: producer is done
   Jun 29, 11:02:25 AM com.qubole.kinesis.executor.StreamExperiment runExperiment INFO: producer is done
   Jun 29, 11:02:25 AM com.qubole.kinesis.executor.StreamExperiment runExperiment INFO: waiting for consumers to finish
   Jun 29, 11:02:25 AM com.qubole.kinesis.nasa.RecordParser parseRecord SEVERE: unable to parse:
   Jun 29, 11:02:26 AM com.qubole.kinesis.executor.StreamConsumerRunnable run INFO: no-op count 1
   Jun 29, 11:02:26 AM com.qubole.kinesis.executor.StreamExperiment runExperiment INFO: Produced 9 records
   Jun 29, 11:02:26 AM com.qubole.kinesis.executor.StreamExperiment runExperiment INFO: Consumed 9 records
   Jun 29, 11:02:26 AM com.qubole.kinesis.executor.StreamExperiment runExperiment INFO: Total time 1.16748948 seconds
   Jun 29, 11:02:26 AM com.qubole.kinesis.executor.StreamExperiment runExperiment INFO: Records per second 7.7088489054308225
   

3. もっと大きいストリームを作るために、NASAのHTTPリクエストデータセットをこちらからダウンロードします。これらのファイルをデータ生成のシードのサンプルファイルとして使うことができます。
4. QuboleのPresto as a Serviceを使うために、Quboleにアカウントを作成します。作成したAmazon KinesisストリームにアクセスできるようにAWSのクレデンシャルを入力します。こちらの短いガイドを見るとPrestoクラスタをどのようにセットアップするかがわかります。
5. Quboleのアカウントが作成されると、自動設定されたPrestoクラスタをClustersのページで見ることができるでしょう。editのアイコンをクリックするとクラスタの設定の詳細を見ることができ、Prestoの設定のセクションへスクロールダウンできます。
   
6. このセクションでは以下のテキストを入力します。WikiのConnector ConfigurationとTable Definitionsのセクションを読むと詳細が理解できます。

   
   config.properties:
   datasources=jmx,hive,kinesis
   
   catalog/kinesis.properties:
   connector.name=kinesis
   kinesis.table-names=nasahttp
   
   kinesis/nasahttp.json:
   {
   	"tableName": "nasahttp",
   	"schemaName": "default",
   	"streamName": "nasahttp",
   	"message": {
       	"dataFormat": "json",
       	"fields": [
           	{"name": "host", "mapping": "host", "type": "VARCHAR"},
           	{"name": "at", "mapping": "timestamp", "type": "VARCHAR"},
           	{"name": "request", "mapping": "request", "type": "VARCHAR"},
           	{"name": "code", "mapping": "code", "type": "BIGINT"},
           	{"name": "bytes", "mapping": "bytes", "type": "BIGINT"}
       	]}
   }
   

7. Analyzeのページに戻りこのテーブルに対してPrestoコマンドを組み立てます。以下のスクリーンショットはAnalyzeページの異なるコンポーネントを示しています。最初のPrestoクエリはクラスタを起動するので、2分ぐらいかかります。クエリが実行している間は進捗情報のログを見ることができ、クエリが終了したら結果を見ることができます。この例のクエリはHTTPサーバに対して最大バイトのリクエストを行ったhostを見つけるクエリです。

   
   select host, sum(bytes) as total_bytes from kinesis.default.nasahttp group by host order by total_bytes desc limit 2;
   

   

おめでとうございます！Amazon KinesisストリームにPrestoを使ったSQLクエリを初めて実行できました。同じkinesis-datagenツールを使って追加のデータをinsertすることができて(-createオプションは使わないで下さい)、同じクエリを再実行できます。total_bytesの数字は違う結果になると思います。

Presto-Amazon Kinesisコネクタはチェックポイントクエリもサポートします。もし最後にクエリして以降に入ってきた追加のデータに対してクエリを実行したいときには、この機能を使うことができます。例えば、毎分トップ5のリクエストを表示するダッシュボードを作るためにこの機能が使えます。この機能の使い方についてはcheckpointingのドキュメントをご覧ください。

コネクタはオープンソース(Apacleライセンス)でありgithubで入手可能です。READMEファイルに、特定のバージョンのPrestoに対してコネクタをどのようにビルドするか、どのようにバイナリをインストールするかが説明されています。wikiのconfigurationのページを見ていくとAmazon Kinesisにつなぐための正しい設定要素を見ることができます。wikiのtable definitionsのページでは、データ・フォーマットやフィールドマッピングを含めて、どのようにPresto-Amazon Kinesisテーブルを表現すればよいかが書かれています。instructionsではPrestoをラップトップはクラスタ上にインストールして実行する方法を見ることができます。

最後に、Amazon Kinesisは固定された期間だけデータを保持しますが、より分析向きのORCやParquetといったフォーマットにして日次でS3にオフロードすることが推奨されます。Hiveがこのユースケースには適しています。我々はAmazon Kinesisストレージハンドラを開発しオープンソースとしました(githubで入手可能です)。このストレージハンドラは、Hiveの中でAmazon Kinesisの直接クエリしてHDFSかS3上のパーティションされたテーブルにORCやParquetといった最適化されたフォーマットで書き込むために使うことができます。このコネクタも、時系列分析のために確実に一度だけデータが書き出されたことを保証するためにチェックポイントアクセスをサポートしています。

我々は Shubham Agarwal, Shubham Tagra そして Akhilesh Anand のこのプロジェクトに対する貢献に感謝しています。我々のお客様がAmazon Kinesisのストリームデータセットに対してインタラクティブにクエリできる様になったことに興奮しています。

質問やオススメがありましたら、ぜひ以下にコメントをお願いします。

原文: Presto-Amazon Kinesis Connector for Interactively Querying Streaming Data (翻訳: SA岩永)