  |
はてなキーワード: 通信とは
2021年8月から提供が始まったhome 5Gは、「ドコモがついにホームルーターに参入するのか……」という感慨はもちろんですが、提供条件面でもいろいろとインパクトがありました。
まず、ホームルーターということもあり、月間のデータ通信容量には制限が設けられていません。ただし、これは一般の5G端末(スマートフォン、タブレットやモバイルルーター)向けの料金プラン「5Gギガホ プレミア」も同様なので、この点にはインパクトはありません。
では何がインパクトが強かったのかというと、1つは届け出た設置住所(場所)以外での利用を禁止したことです。これはドコモの個人向けモバイル通信サービスでは初めて設けられた制限で、別の場所で使いたい場合は事前にMy docomo(Web)などで設置住所を変更する必要があります。変更回数は「1カ月に1回まで」なので、持ち運んで使うことは事実上できません。
光ファイバーなど、物理的な通信ケーブルを屋内に引き込む固定ブロードバンドインターネットサービスとは異なり、モバイル通信には“移動して使える”というメリットがあります。本来であれば、ケーブルの長さなどを気にせずにどこにでも置けて、帰省や出張時などにも持ち運べるというメリットを享受できるはずです。
home 5Gは、そのメリットを積極的に放棄したということになります。
この“移動できない”ことの理由が、もう1つのインパクトにつながります。home 5Gでは端末購入による月額料金の割引「月々サポート」が復活したのです。home 5G専用端末である「home 5G HR01」の場合は、1100円(税込み)×36回の割引が設定されており、ドコモオンラインショップでの販売価格は「実質0円」となります(端末販売価格が36回の割引で相殺できる)。さらに一部の販売店では、月々サポートとは別に独自の割引を追加で行っています。
本来、現行の電気通信事業法では、大手通信事業者と一定の条件を満たすMVNOにおいて、回線契約とひも付く端末購入時に供与できる利益(割引やキャッシュバックなど)は2万円(税別)を上限としています。この際に「回線の継続利用」を条件とする割引は禁止されているため、月額料金の割引もできません。
しかし、home 5Gは特定の場所でのみ利用できる(=移動できない)ようにすることで現行法の規制を“回避”しているのです。
ホームルーター市場から距離を置いていたドコモが参入したことはもちろんですが、あえて移動できないようにすることで2万円(税別)を超える利益提供を可能としたことは、筆者としては本当に衝撃的でした。
WiMAX 2+では、ホームルーター向けのプランでも利用する場所の制限は特にありません。WiMAX+5Gでも、UQはこの点において同様です。ところが、auのホームルーターは、最終的に利用できる場所に制限を設けることになります。
当初、auの「ホームルータープラン 5G」にはこのような制限を設ける予定はなく、対応端末(Speed Wi-Fi HOME 5G L11)もauとUQで同時発売される予定でした。しかし、auはL11の発売日を延期し、同プランの提供も延期されてしまいました。
延期後の発売予定日は「7月中旬以降」となり、最終的には8月6日まで延期されることになります。8月6日、L11の発売と同時にホームルータープラン 5Gの提供も始まりましたが、以下の通り提供条件が変わっています。
・月額料金を5458円から5170円に値下げ
・プラスエリアモードの月間通信容量を15GBから30GBに変更
UQがL11を予定通りに発売した一方で、auが発売を延期した背景にはドコモのhome 5Gに対抗をせざるを得なくなったことがあると思われます。月額料金を始めとする価格設定や提供条件を考え直すのに、ある程度の時間が必要だったのでしょう。
改めて発表されたホームルータープラン 5Gに届け出住所以外での利用を禁止する条件が課されたことは、「home 5Gへの対抗で遅れた」ということの裏付けの1つでしょう。これで、home 5Gと同様に法令による利益提供の制限の対象外になりますから……。
「SoftBank Air」は契約解除料を撤廃 しかし“強気”な面も
ドコモがhome 5Gの提供を開始してからおよそ半月後、ホームルーターの先駆け的存在であるソフトバンクも対抗策を打ち出しました。9月15日からスタンドアロン構成の5Gネットワークでの通信にも対応する「Air 4G/5G共通プラン」の提供を開始したのです。
新プランでは定期契約が撤廃されています。5G対応の新型ホームルーター「Airターミナル 5」も、36カ月間(3年間)使えば「月月割」によって実質0円となります。この辺は、home 5Gへの対抗策といえるでしょう。
しかし、よくよく見てみると、Airターミナル 5の販売価格(分割払い時は支払総額)は7万1280円と、home 5Gやau/UQのホームルーターと比べると“高価”です。高層建造物の11階以上、あるいは高層建造物の周辺にある場所での利用を希望すると申し込めない(契約を継続できない)ことがあります。月月割が適用される期間内に解約すると、ドコモやau/UQのホームルーターと比べると“損”が大きく出やすいので注意しましょう。
なお、他のサービスにはない特色として、SoftBank Airには無線式の固定電話サービス「おうちのでんわ」とのセット割も用意されています。ソフトバンクの携帯電話を契約していて、おうちのでんわも利用しているという人は、かなりおトクに使えるサービスではあります。
20代後半。
超絶仕事のできない無能営業正社員だが、私生活はめちゃくちゃストイックだと思う。
基本的に、仕事をしていない時間はすべて勉強に捧げている。具体的にはウェブ関連、語学、簿記などだ。
ちょっと意味がわからないと言われそうだが語学に興味が湧いたので通信大学で英語の教員免許まで取った。
正直なところ今の仕事ができるようになるモチベーションは一切合切全くなく、そんな調子なので最早仕事が全然回されないので窓際社員と化しているが、いつかクビになった時の備えに関しては死ぬほどモチベーションが高い。むしろそのときに備えるための人生と言っても過言ではないくらい、大学受験よりもガチでスキル取得のための勉強とストイックすぎるレベルで貯金をしまくっている。実家住みなんでまあ金は貯まる。休みの日に遊んだこととか一回もないな。
だが自分から会社を辞める勇気はないので、早くクビにしてくれないかとすら思う日々だ。というかコミュニケーション能力がガイジレベルでなさすぎて自発的に転職活動とかするの怖すぎるのでとりあえずクビになって誰かに退路をたってほしい。ぶっちゃけこの備えつづけるストイックな生活からとにかく早く解放されたい。だんだん疲れてきた。社会が怖い人が怖い。
大学教員なので、毎年のようにセンター試験、今は共通テストの監督をやってる
一応、知らない人のために言っておくと、入試センターから大学がテストの実施を請け負わされて、現場では大学事務職員や大学教員が試験を行わせる
試験室にいる人は入試センターとかと何も関係なく、大学から命令を受けて監督をさせられているただの大学教員だ
共通テストの実施に関しては、マニュアルを渡されて説明会に参加させられるだけで、まあ、言わばアルバイトみたいなもんだね
仕事なのでちゃんとやろうとするし、事故があればニュースになっちゃうからめちゃくちゃ気を付けながらやるのだけど、正直、トラブルなく終わりますように、としか思っていない
トラブルなく、波風たたずに終わらせるために、マニュアル通りの運営をしようと頑張るのみだ
なので、机の上においていいものダメなもの厳密に見て受験生に試験前に指摘して仕舞わせるし、通信機器なども注意はする
でも、女の子が太ももの間に挟んだスマホなんてよほどのことがない限り見えないだろうし、あやしいから見せろ足開けとか言えるわけもない
多少怪しげな顔の動きをしていても、スマホそのものでも目視できない限りはとてもじゃないけど指摘できるもんでもない
怪しい子には、怪しいですよ、と警告するカードはあるけど、シロの子にそんなカード渡して動揺させるわけにいかないことを思えば、ほぼ確実にそう、と思えない限り渡せるもんじゃない
で、最近の通信機器の小型化とか技術の発達を思うと、現場の監督数人で、確実に全ての不正を看破できる、なんてことはないだろう
それでも下手すると見つかるリスクを思えば大多数の子は真面目に受験すると思う
しかし、上手にやられたら見つけられるわけないと思っている
不正を看破する訓練をしてるわけでもない、ただの普通の人が、直前にマニュアル読まされて駆り出されるだけなんだから
でさー
どうすんの?
機器や技術の発達なんて毎年のように進むだろうし、今年だってスマホ不正絡みは6件だか発覚してるんでしょ
ニュースになった件だって、知らない人に解かせるんじゃなくて、信頼できる人とチーム組んでやればうまくいってるわけじゃん
もはや一定確率でチーム戦に持ち込んでるやつがいると考えて間違いないわけでしょ
どうやって対策すんのさ?
つい先日、通っている個別塾の先生がコロナ陽性になったと連絡を受けた。
その前に先生が体調不良のためお休みと聞いて、受験生である増田の子供にはすぐにPCR検査を受けさせたり、塾を検査結果が出るまでお休みしたりした。
そして先日、通っている塾の先生がコロナ陽性になったと連絡を受ける。しかし、増田の子供は陰性だった。
そのため、担当の先生から教えてもらうことは叶わないにしても、他の先生から教えてもらおうと思って通塾について話を切り出したら、通塾いただけないとの返事。
はて?と思って、陰性だったんですけどダメなんですか?と聞くとそれでもダメだと。曰く「会社の方針で感染した先生の担当生徒は安全のため通塾いただけない」とのことだった。
そこで私は塾自体が閉鎖するのかとも考えた。それを聞いても塾自体は続けますが、感染した先生の担当生徒はお休みいただく方針になっております、との一点張り。
代替でオンライン授業を提供しておりますと教えていただいたものの、以前のオンライン授業の質の低さ(塾側のPCの性能の影響で向こうの通話ツールが落ちたり、塾側の通信が不安定だったり)を知っていたので、こんな程度にお金を払うならいっそ辞めてしまおうかと思いつつも子供に相談します、とだけ言って通話を切った。
コロナという不測の事態で対応が難しいのもわかるが、代替手段をもっとグレードアップしたり、この2年間の間でもっと対応を考慮したりすることはできなかったのだろうかと一消費者として思った次第です。
ストIIやモンストのプロデューサー岡本吉起のYoutubeでなんか聞いた気がする
【無念】ストリートファイターZEROのクオリティに実は問題があります【ストZERO】
https://www.youtube.com/watch?v=ekP3LjfNg4c
【SSF IIX】なぜ3DO限定で移植されたの?スーパーストリートファイターII Xの裏話
https://www.youtube.com/watch?v=n2Jwf2k0ulg
と思ったけど、セガとの比較で例えとして出されていたりするだけでアケとコンシューマの性能バランスは関係なかったわ
90年代に家庭用機の性能が向上するにつれて、性能差からくるアーケードの優位性は少なくなって
体感筐体や独自筐体の音ゲーとか(通信)対戦相手、カード排出あたりで差別化する方向になってきた感
グラフィックの美麗さやしょぼさはゲームの面白さと直結してるわけじゃないのと
震災のタイミングで電話通信網は死んだけどネットは生きていたからツイラーで情報共有できたってのは事実としてあっただろ。
世の中スマホ使えない場所の方が例外なんだからスマホ使って答えられればそれでいいじゃん
よしんば問題だとしてバレずにやりおおせることも含めて実力でしょ
自分以外にこのカンニングができないように、受験会場で妨害電波を出しまくる受験生が続出し、そんな中でもなんとか通信を確保するために頑張る受験生が続出するぞ。
https://www3.nhk.or.jp/news/html/20220126/k10013450031000.html
こういうカンニングを防ぐために、ガチで試験期間中にインターネットを遮断しちゃう国もあるんから。スーダンとかシリアとか。
Sudan's exam-related Internet shutdowns
https://blog.cloudflare.com/sudans-exam-related-internet-shutdowns/
Syria’s exam-related Internet shutdowns
https://blog.cloudflare.com/syria-exam-related-internet-shutdowns/
日本で同じことが起こるとは思わないけど、俺の感覚は間違っているかもしれないから心配している。俺は漫画村の時に遮断されるとは全く思ってなかったのに、実際には遮断された(漫画村の件は、通信を遮断する権限は政府にも通信事業者にもなかったにも関わらず、通信事業者が「政府に忖度して遮断します!」と宣言して実際に遮断した、という認識。まさかそんなことが起こるなんて思ってなかった。)
だから、もしかしたら共通試験の時間帯に日本のインターネットが遮断されるという未来は、本当にもしかしたら、ありえるのかもしれない。
毎年1月の特定の週末だけ、日本のインターネットが全部遮断されるなんて、絶対嫌だからな!!!ネットを使ってカンニングすんじゃねーぞ!!!
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る - Publickey について思ったことをつらつらと。
log4shell と呼ばれる脆弱性が 2021 年 12 月にあった。これは Java というプログラミング言語でプログラムする際に、動作のログを記録するのに非常によく使われるライブラリ log4j にとても危険な脆弱性があった。なにがそんなに危険かっていうと
マインクラフトのサーバが乗っ取られたとか被害も有名。詳細は Piyolog さんの Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog あたりを参照。
そんなわけで即座に影響範囲、脆弱性のない新しいバージョンになっているか調べろ!って IT 関連企業はとてもバタバタしていた。
という背景の中、オープンソースのソフトウェアである cURL の作者にとても失礼な log4j の問題に関する質問メールが送られてきて、「サポート契約すれば即座に教えてあげますよ」ってかっこいい返しをして盛り上がっている。
cURL (https://github.com/curl/curl]) はオープンソース(以下 OSS)の通信ライブラリとコマンドラインツール。 Linux などのサーバ上からファイルをダウンロードしたりするのにとてもよくつかわれるライブラリ。
C言語で書かれている。
ライセンス は MIT を参考にした独自ライセンス https://curl.se/docs/copyright.htm]
OSS は基本的に無保証で提供される。そのことはライセンスに明記されている。
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
そんな OSS に対して、
「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」
といった上から目線のメールを開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題、名前のとおり log4j の脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシーな名前つけてあそんでんじゃねーとも思う。)
なお cURL はどうやら開発者の Daniel Stenberg 氏が wolfSSL というところを通じて商用サポートを提供しているらしい。 https://curl.se/support.html]
ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」 というのはネタでもなんでもなく、普通の対応。
そしてブログに書いてある2回目の返信で、David と名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。
こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このときに担当が大丈夫です!って回答するときにエビデンス(証拠)を求められるのだけど、クソな情セキは自社の担当の言葉を信用せず、開発会社からの言質をとれ!って命令するので、くそメールがスパムされるという背景があったりする。(担当が無知だったりイケイケだと、とにかく下請けにやらせればいいというパターンももちろんある)
そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。
加えて担当レベルになると大手は「そんなん下請けにやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。
もちろん担当者はピンキリだからこうとは限らないけど比較的多い印象。
ま、これ今回 Daniel Stenberg 氏が公表したからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的なムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News
小さいところは
とかであんまり上から目線でこない感じはするけど、これはあくまで個人の資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。(個人の感想です)
この手のメールになんでカチンとくるのかって言えば
ということで、皆ちゃんと保守・サポート契約して、契約範囲で質問しような!
そして金払ってても相手は人間なんで、お互い敬意をもって接しような!
Public Key でこの件にからめて記載されている奴について
https://www.itmedia.co.jp/news/articles/2201/11/news160.html]
ちな、これ詳しくないんだけど、OSS 作者が 「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」 というのもよくわからないんだよなぁ。
火事で財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ!ってのが辛いのはわかる。が、OSS のライセンス的に支援を義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキームが必要だったのかもしれない。
あと個人開発で、善意でこれ便利だろ?って公開しているものに対して、辛辣な言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。
ブコメでフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS の理念である自由なソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス、最近の Redis とか Mongo みたいに。
ただ、金欲しいとか大体 Donation 募集したりするとかやってると思うんだけど、そういうのもあったのかなかったのかがよくわからにぃ。ポートフォリオになるので、採用にはつかえるんじゃないのかね?
じゃなきゃ GitHub に Public でコード公開しないと思うんだけどな。いまいちピンとこないのであんまり言及しない。
https://www.publickey1.jp/blog/19/redismongodbkafkaaws.html]
で、商用ライセンスの問題。これ今回のくそムーブの問題じゃないのここに並べられるのに非常に違和感がある。なんか OSS と大企業の対立を煽るようなミスリードを誘っているように感じてしまう。
大手クラウドベンダは OSS のライセンスに則って利用・改変するのは問題がない。つーか儲かってるから金よこせっていうのはちょっと違うんじゃないかなと思う。
オリジナルを開発した会社がリスペクトされず、商業的に儲からないってのは、心情的、道義的、人気的にどうなの?クラウドベンダも金払ってあげれば良いんじゃないの?とは思うよ。(2社は協業したけど)
ただ、オープンソースで公開するということは次のような利点を求めてするこって、それがイヤならプロプラで良いわけさね。
Apache License 2.0 とかのライセンスの OSS として公表しているものの利用をフリーライドと表現するのも、それがなんか嫌儲で Evil ってのはちょっと判断できないかなぁ。
大手が自社でメンテできてしまう(できるようにする)というのは経営戦略であり、開発元がクローズにするってのも経営戦略。罵り合い合戦はちょっとなぁという感じ。
OSS の理念的に改修した分は元のソースにもっとフィードバックしろよってのはあるけど AGPL とかで出してないんだよなぁ。
この辺は賛否両論色々あるので気になったら調べてみて。
以上。ご査収ください。
--
この本は5章まであるが、4章と5章はハンズオンであるため、文字としてまとめるのは1から3章に留める。
1章
【コンテナとは】
他のプロセスとは隔離された状態でOS上にソフトウェアを実行する技術
コンテナにはアプリの稼働に必要となるランタイムやライブラリを1つのパッケージとして全て含めることができる。そうすることでアプリの依存関係をすべてコンテナ内で完結できる。
全ての依存関係がコンテナ内で完結するため、オンプレでもクラウドでも起動する。
ステージング環境でテスト済みのコンテナイメージをプロダクション環境向けに再利用することで、ライブラリ差異による環境ごとのテストに必要な工数を削減できる。
サーバー仮想化では、仮想マシンレベルでリソースを分離し、ゲストOS上でアプリが起動する。つまり、アプリだけでなく、ゲストOSを動かすためのコンピューティングリソースが必要。
一方コンテナは、プロセスレベルで分離されてアプリが稼働する。OSから見ると単に1つのプロセスが稼働している扱いになる。
【Dockerとは】
アプリをコンテナイメージとしてビルドしたり、イメージの取得や保存、コンテナの起動をシンプルに行える。
イメージ(アプリケーションと依存関係がパッケージングされる。アプリ、ライブラリ、OS)
レジストリに保存
【Dockerfileとは】
このファイルにコマンドを記述することで、アプリに必要なライブラリをインストールしたり、コンテナ上に環境変数を指定したりする。
1章まとめ、感想
コンテナの登場により、本番・開発環境ごとに1からサーバーを立ててコマンドや設定ファイルを正確に行い、環境差異によるエラーをつぶしていき...というこれまでの数々の労力を減らすことができるようになった。
2章
ECSとEKSがある。
オーケストレーションサービスであり、コンテナの実行環境ではない。
ECSの月間稼働率は99.99%であることがSLA として保証。
デプロイするコンテナイメージ、タスクとコンテナに割り当てるリソースやIAMロール、Cloud Watch Logsの出力先などを指定する。
指定した数だけタスクを維持するスケジューラーで、オーケストレータのコア機能にあたる要素。サービス作成時は起動するタスクの数や関連づけるロードバランサーやタスクを実行するネットワークを指定。
2種類ありECSとFargateがある。 Fargateに絞って書く
Fargateとは
コンテナ向けであるためEC2のように単体では使用できず、ECSかEKSで利用する
サーバーのスケーリング、パッチ適用、保護、管理にまつわる運用上のオーバーヘッドが発生しない。これにより、アプリ開発に専念できるようになる
・コンテナごとにENIがアタッチされるため、コンテナごとにIPが振られるため起動に若干時間がかかる
ECR
・App Runner
利用者がコードをアップロードするだけでコードを実行できるサービス。AWS側で基盤となるコンピューティングリソースを構築してくれるフルマネージドサービス。
App Runner
2021年5月にGA(一般公開)となったサービス。プロダクションレベルでスケール可能なwebアプリを素早く展開するためのマネージドサービス。Githubと連携してソースコードをApp Runnerでビルドとデプロイができるだけでなく、ECRのビルド済みコンテナイメージも即座にデプロイできる。
ECSとFargateの場合、ネットワークやロードバランシング、CI/CDの設定などインフラレイヤに関わる必要があり、ある程度のインフラ知識は必要になる。App Runnerはそれらインフラ周りをすべてひっくるめてブラックボックス化し、マネージドにしていることが特徴である。
ECS Fargateを利用した場合のコスト、拡張性、信頼性、エンジニアリング観点
【コスト】
EC2より料金は割高。ただし、年々料金は下がってきている。
【拡張性】
デプロイの速度 遅め
理由1 コンテナごとにENIが割り当てられるため。ENIの生成に時間がかかる
理由2. イメージキャッシュができないため。コンテナ起動時にコンテナイメージを取得する必要がある。
タスクに割り当てられるエフェメラルストレージは200GB。容量は拡張不可。ただし永続ストレージの容量が必要な場合はEFSボリュームを使う手もある。
割り当て可能リソースは4vCPUと30GB。機械学習に用いるノードのような大容量メモリを要求するホストとしては不向き
【信頼性】
Fargateへのsshログインは不可。Fargate上で起動するコンテナにsshdを立ててsshログインする方法もあるが、セキュアなコンテナ環境にsshの口を開けるのはリスキーである。他にSSMのセッションマネージャーを用いてログインする方法もあるが、データプレーンがEC2の時に比べると手間がかかる。
しかし、2021年3月にAmazon ECS Execが発表され、コンテナに対して対話型のシェルや1つのコマンドが実行可能となった。
Fargateの登場からしばらく経過し、有識者や経験者は増え、確保しやすい。
多数のユーザーに使ってもらう
CI/CDパイプラインを形成し、アプリリリースに対するアジリティを高める
各レイヤで適切なセキュリティ対策(不正アクセス対策、認証データの適切な管理、ログ保存、踏み台経由の内部アクセス)を施したい
2章まとめ、感想
AWSが提供するコンテナサービスにはいくつかあり、なかでもFargateというフルマネージドなデータプレーンがよく使われている。ホスト管理が不要でインフラ関連の工数を削減できる一方、EC2より料金が高く、起動に若干時間がかかるのが難点である。
3章
この章では運用設計、ロギング設計、セキュリティ設計、信頼性設計、パフォーマンス設計、コスト最適化設計について述べている。
Fargate利用時のシステム状態を把握するためのモニタリングやオブザーバビリティに関する設計、不具合修正やデプロイリスク軽減のためのCI/CD設計が必要である。
モニタリングとは
システム内で定めた状態を確認し続けることであり、その目的はシステムの可用性を維持するために問題発生に気づくこと
オブザーバビリティとは
オブザーバビリティの獲得によって、原因特定や対策の検討が迅速に行えるようになる
・cloud watch logs
・Firelens
AWS以外のサービスやAWS外のSaaSと連携することも可能
Firehoseを経由してS3やRed shift やOpenSearch Serviceにログを転送できる
fluent bitを利用する場合、AWSが公式に提供しているコンテナイメージを使用できる
- ソフトウェアやライブラリの脆弱性は日々更新されており、作ってから時間が経ったイメージは脆弱性を含んでいる危険がある。
- 方法
脆弱性の有無はECRによる脆弱性スキャン、OSSのtrivyによる脆弱性スキャン
継続的かつ自動的にコンテナイメージをスキャンする必要があるため、CI/CDに組み込む必要がある。しかし頻繁にリリースが行われないアプリの場合、CICDパイプラインが実行されず、同時にスキャンもなされないということになるため、定期的に行うスキャンも必要になる。
cloud watch Eventsから定期的にLambdaを実行してECRスキャンを行わせる(スキャン自体は1日1回のみ可能)
Fargateの場合、サービス内部のスケジューラが自動でマルチAZ構成を取るため、こちらで何かする必要はない。
・障害時切り離しと復旧
ECSはcloud watchと組み合わせることでタスク障害やアプリのエラーを検知できるうえに、用意されてるメトリクスをcloud watchアラームと結びつけて通知を自動化できる
ALBと結びつけることで、障害が発生したタスクを自動で切り離す
AWS内部のハードウェア障害や、セキュリティ脆弱性があるプラットフォームだと判断された場合、ECSは新しいタスクに置き換えようとするその状態のこと。
Fargateの場合、アプリはSIGTERM発行に対して適切に対処できる設定にしておかなくてはならない。そうしておかないとSIGKILLで強制終了されてしまう。データ不整合などが生じて危険。
ALBのリスナールールを変更し、コンテンツよりもSorryページの優先度を上げることで対処可能
自動でクォータは引き上がらない
cloud watch メトリクスなどで監視する必要がある。
パフォーマンス設計で求められることは、ビジネスで求められるシステムの需要を満たしつつも、技術領域の進歩や環境の変化に対応可能なアーキテクチャを目指すこと
利用者数やワークロードの特性を見極めつつ、性能目標から必要なリソース量を仮決めする
FargateはAutoscalingの利用が可能で、ステップスケーリングポリシーとターゲット追跡スケーリングポリシーがある。どちらのポリシー戦略をとるかを事前に決める
既存のワークロードを模倣したベンチマークや負荷テストを実施してパフォーマンス要件を満たすかどうかを確認する
・スケールアウト
サーバーの台数を増やすことでシステム全体のコンピューティングリソースを増やそうとする概念。可用性と耐障害性が上がる。既存のタスクを停止する必要は原則ない。
スケールアウト時の注意
・Fargate上のECSタスク数の上限はデフォルトでリージョンあたり1000までであること。
ECSタスクごとにENIが割り当てられ、タスク数が増えるごとにサブネット内の割当可能なIPアドレスが消費されていく
Application Autoscaling
Cloud Watchアラームで定めたメトリクスの閾値に従ってスケールアウトやスケールインを行う
CPU使用率が60~80%ならECSタスク数を10%増加し、80%以上なら30%増加する、という任意のステップに従ってタスク数を増減させる
指定したメトリクスのターゲット値を維持するようなにスケールアウトやスケールインを制御する方針
--
この本は5章まであるが、4章と5章はハンズオンであるため、文字としてまとめるのは1から3章に留める。
1章
【コンテナとは】
他のプロセスとは隔離された状態でOS上にソフトウェアを実行する技術
コンテナにはアプリの稼働に必要となるランタイムやライブラリを1つのパッケージとして全て含めることができる。そうすることでアプリの依存関係をすべてコンテナ内で完結できる。
全ての依存関係がコンテナ内で完結するため、オンプレでもクラウドでも起動する。
ステージング環境でテスト済みのコンテナイメージをプロダクション環境向けに再利用することで、ライブラリ差異による環境ごとのテストに必要な工数を削減できる。
サーバー仮想化では、仮想マシンレベルでリソースを分離し、ゲストOS上でアプリが起動する。つまり、アプリだけでなく、ゲストOSを動かすためのコンピューティングリソースが必要。
一方コンテナは、プロセスレベルで分離されてアプリが稼働する。OSから見ると単に1つのプロセスが稼働している扱いになる。
【Dockerとは】
アプリをコンテナイメージとしてビルドしたり、イメージの取得や保存、コンテナの起動をシンプルに行える。
イメージ(アプリケーションと依存関係がパッケージングされる。アプリ、ライブラリ、OS)
レジストリに保存
【Dockerfileとは】
このファイルにコマンドを記述することで、アプリに必要なライブラリをインストールしたり、コンテナ上に環境変数を指定したりする。
1章まとめ、感想
コンテナの登場により、本番・開発環境ごとに1からサーバーを立ててコマンドや設定ファイルを正確に行い、環境差異によるエラーをつぶしていき...というこれまでの数々の労力を減らすことができるようになった。
2章
ECSとEKSがある。
オーケストレーションサービスであり、コンテナの実行環境ではない。
ECSの月間稼働率は99.99%であることがSLA として保証。
デプロイするコンテナイメージ、タスクとコンテナに割り当てるリソースやIAMロール、Cloud Watch Logsの出力先などを指定する。
指定した数だけタスクを維持するスケジューラーで、オーケストレータのコア機能にあたる要素。サービス作成時は起動するタスクの数や関連づけるロードバランサーやタスクを実行するネットワークを指定。
2種類ありECSとFargateがある。 Fargateに絞って書く
Fargateとは
コンテナ向けであるためEC2のように単体では使用できず、ECSかEKSで利用する
サーバーのスケーリング、パッチ適用、保護、管理にまつわる運用上のオーバーヘッドが発生しない。これにより、アプリ開発に専念できるようになる
・コンテナごとにENIがアタッチされるため、コンテナごとにIPが振られるため起動に若干時間がかかる
ECR
・App Runner
利用者がコードをアップロードするだけでコードを実行できるサービス。AWS側で基盤となるコンピューティングリソースを構築してくれるフルマネージドサービス。
App Runner
2021年5月にGA(一般公開)となったサービス。プロダクションレベルでスケール可能なwebアプリを素早く展開するためのマネージドサービス。Githubと連携してソースコードをApp Runnerでビルドとデプロイができるだけでなく、ECRのビルド済みコンテナイメージも即座にデプロイできる。
ECSとFargateの場合、ネットワークやロードバランシング、CI/CDの設定などインフラレイヤに関わる必要があり、ある程度のインフラ知識は必要になる。App Runnerはそれらインフラ周りをすべてひっくるめてブラックボックス化し、マネージドにしていることが特徴である。
ECS Fargateを利用した場合のコスト、拡張性、信頼性、エンジニアリング観点
【コスト】
EC2より料金は割高。ただし、年々料金は下がってきている。
【拡張性】
デプロイの速度 遅め
理由1 コンテナごとにENIが割り当てられるため。ENIの生成に時間がかかる
理由2. イメージキャッシュができないため。コンテナ起動時にコンテナイメージを取得する必要がある。
タスクに割り当てられるエフェメラルストレージは200GB。容量は拡張不可。ただし永続ストレージの容量が必要な場合はEFSボリュームを使う手もある。
割り当て可能リソースは4vCPUと30GB。機械学習に用いるノードのような大容量メモリを要求するホストとしては不向き
【信頼性】
Fargateへのsshログインは不可。Fargate上で起動するコンテナにsshdを立ててsshログインする方法もあるが、セキュアなコンテナ環境にsshの口を開けるのはリスキーである。他にSSMのセッションマネージャーを用いてログインする方法もあるが、データプレーンがEC2の時に比べると手間がかかる。
しかし、2021年3月にAmazon ECS Execが発表され、コンテナに対して対話型のシェルや1つのコマンドが実行可能となった。
Fargateの登場からしばらく経過し、有識者や経験者は増え、確保しやすい。
多数のユーザーに使ってもらう
CI/CDパイプラインを形成し、アプリリリースに対するアジリティを高める
各レイヤで適切なセキュリティ対策(不正アクセス対策、認証データの適切な管理、ログ保存、踏み台経由の内部アクセス)を施したい
2章まとめ、感想
AWSが提供するコンテナサービスにはいくつかあり、なかでもFargateというフルマネージドなデータプレーンがよく使われている。ホスト管理が不要でインフラ関連の工数を削減できる一方、EC2より料金が高く、起動に若干時間がかかるのが難点である。
3章
この章では運用設計、ロギング設計、セキュリティ設計、信頼性設計、パフォーマンス設計、コスト最適化設計について述べている。
Fargate利用時のシステム状態を把握するためのモニタリングやオブザーバビリティに関する設計、不具合修正やデプロイリスク軽減のためのCI/CD設計が必要である。
モニタリングとは
システム内で定めた状態を確認し続けることであり、その目的はシステムの可用性を維持するために問題発生に気づくこと
オブザーバビリティとは
オブザーバビリティの獲得によって、原因特定や対策の検討が迅速に行えるようになる
・cloud watch logs
・Firelens
AWS以外のサービスやAWS外のSaaSと連携することも可能
Firehoseを経由してS3やRed shift やOpenSearch Serviceにログを転送できる
fluent bitを利用する場合、AWSが公式に提供しているコンテナイメージを使用できる
- ソフトウェアやライブラリの脆弱性は日々更新されており、作ってから時間が経ったイメージは脆弱性を含んでいる危険がある。
- 方法
脆弱性の有無はECRによる脆弱性スキャン、OSSのtrivyによる脆弱性スキャン
継続的かつ自動的にコンテナイメージをスキャンする必要があるため、CI/CDに組み込む必要がある。しかし頻繁にリリースが行われないアプリの場合、CICDパイプラインが実行されず、同時にスキャンもなされないということになるため、定期的に行うスキャンも必要になる。
cloud watch Eventsから定期的にLambdaを実行してECRスキャンを行わせる(スキャン自体は1日1回のみ可能)
Fargateの場合、サービス内部のスケジューラが自動でマルチAZ構成を取るため、こちらで何かする必要はない。
・障害時切り離しと復旧
ECSはcloud watchと組み合わせることでタスク障害やアプリのエラーを検知できるうえに、用意されてるメトリクスをcloud watchアラームと結びつけて通知を自動化できる
ALBと結びつけることで、障害が発生したタスクを自動で切り離す
AWS内部のハードウェア障害や、セキュリティ脆弱性があるプラットフォームだと判断された場合、ECSは新しいタスクに置き換えようとするその状態のこと。
Fargateの場合、アプリはSIGTERM発行に対して適切に対処できる設定にしておかなくてはならない。そうしておかないとSIGKILLで強制終了されてしまう。データ不整合などが生じて危険。
ALBのリスナールールを変更し、コンテンツよりもSorryページの優先度を上げることで対処可能
自動でクォータは引き上がらない
cloud watch メトリクスなどで監視する必要がある。
パフォーマンス設計で求められることは、ビジネスで求められるシステムの需要を満たしつつも、技術領域の進歩や環境の変化に対応可能なアーキテクチャを目指すこと
利用者数やワークロードの特性を見極めつつ、性能目標から必要なリソース量を仮決めする
FargateはAutoscalingの利用が可能で、ステップスケーリングポリシーとターゲット追跡スケーリングポリシーがある。どちらのポリシー戦略をとるかを事前に決める
既存のワークロードを模倣したベンチマークや負荷テストを実施してパフォーマンス要件を満たすかどうかを確認する
・スケールアウト
サーバーの台数を増やすことでシステム全体のコンピューティングリソースを増やそうとする概念。可用性と耐障害性が上がる。既存のタスクを停止する必要は原則ない。
スケールアウト時の注意
・Fargate上のECSタスク数の上限はデフォルトでリージョンあたり1000までであること。
ECSタスクごとにENIが割り当てられ、タスク数が増えるごとにサブネット内の割当可能なIPアドレスが消費されていく
Application Autoscaling
Cloud Watchアラームで定めたメトリクスの閾値に従ってスケールアウトやスケールインを行う
CPU使用率が60~80%ならECSタスク数を10%増加し、80%以上なら30%増加する、という任意のステップに従ってタスク数を増減させる
指定したメトリクスのターゲット値を維持するようなにスケールアウトやスケールインを制御する方針
| サービス名 | 月額 | 年額 |
| Amazon | ¥408 | ¥4,900 |
| Adobe Premiere Pro | ¥2,728 | ¥32,736 |
| Conoha Wing | ¥990 | ¥11,880 |
| IFTTT Pro(LEGACY) | ¥235 | ¥2,820 |
| Netflix | ¥1,490 | ¥17,880 |
| mineo(スマホSIM) | ¥1,247 | ¥14,964 |
| NURO 光(インターネット) | ¥2,740 | ¥32,880 |
| 合計 | ¥9,838 | ¥118,060 |
Amazonは年額プランなので月額は換算。IFTTT Pro(LEGACY)は1.99ドルなので支払日の変換レートで若干上下はあるが200~300円。
・IFTTTは先行者利益で300円で使えるのでありがたい。Switchbotと連携してスマートホームもできてるし、サービスが死ぬまで継続すると思う
・Premiere Proが高すぎる。NURO 光とほとんど変わらない金額だったとは……。動画で収益を上げられているわけでもないのでできるだけ早く他ツールに移行して契約止める
・ConoHa Wingは独自ドメインが無料でついてくるのでVPS+ドメイン取得よりお得感がある。VPSの運用管理から解放されたのも大きい、今のところトラブルもなし
・Premiere Proの契約を終わらせると2700円ぐらい空くのでそれで何か別のサブスクを始めたい。興味があるのはOura Ring。中古でGen 2買ってGen 3移行で永年無料ユーザーを今からでも狙いたい……
| サービス名 | 月額 | 年額 |
| Amazon | ¥408 | ¥4,900 |
| Adobe Premiere Pro | ¥2,728 | ¥32,736 |
| Conoha Wing | ¥990 | ¥11,880 |
| IFTTT Pro(LEGACY) | ¥235 | ¥2,820 |
| Netflix | ¥1,490 | ¥17,880 |
| mineo(スマホSIM) | ¥1,247 | ¥14,964 |
| NURO 光(インターネット) | ¥2,740 | ¥32,880 |
| 合計 | ¥9,838 | ¥118,060 |
Amazonは年額プランなので月額は換算。IFTTT Pro(LEGACY)は1.99ドルなので支払日の変換レートで若干上下はあるが200~300円。
・IFTTTは先行者利益で300円で使えるのでありがたい。Switchbotと連携してスマートホームもできてるし、サービスが死ぬまで継続すると思う
・Premiere Proが高すぎる。NURO 光とほとんど変わらない金額だったとは……。動画で収益を上げられているわけでもないのでできるだけ早く他ツールに移行して契約止める
・ConoHa Wingは独自ドメインが無料でついてくるのでVPS+ドメイン取得よりお得感がある。VPSの運用管理から解放されたのも大きい、今のところトラブルもなし
・Premiere Proの契約を終わらせると2700円ぐらい空くのでそれで何か別のサブスクを始めたい。興味があるのはOura Ring。中古でGen 2買ってGen 3移行で永年無料ユーザーを今からでも狙いたい……
家電のシャープがIT業界に進出したってのも驚きだが、いまさら境界セキュリティってのも驚いた。
シャープ株式会社は、攻撃トラフィックを検知・遮断する機能を備えたセキュリティスイッチ「BP-X1PL01」を、1月下旬に発売する。価格はオープン。
BP-X1PL01は、社内のネットワークに侵入したマルウェアなどによる攻撃を遮断し、被害の拡大を抑制するセキュリティスイッチ。社内ネットワークの監視を常時行い、マルウェアなどによるサイバー攻撃を検知すると、発信元の端末をすばやく特定して有害な通信のみをネットワークから遮断する仕組みを備えているため、被害の拡大を抑制できるという。
また、クラウド上の統合管理システムが稼働状況を常時モニタリングしており、異常発生時にはメールによって迅速な通知を行える点も特徴。さらに、複数拠点の状況をクラウドで一元管理できるので、IT管理者の業務を効率化できるのみならず、IT管理者の配置が難しい中小企業やSOHOなどの小規模オフィスにおいても、容易に導入・運用できるとした。加えて、自動セキュリティレポート作成機能を搭載し、脅威の検出状況を数値やグラフで可視化して提示してくれるとのこと。
インターフェイスは、1000BASE-T/100BASE-TX/10BASE-T×8ポート、SFP×2スロットを備えた。スイッチのベースエンジンには、PIOLINK社製のものを採用している。
なおシャープでは、内部対策としてBP-X1PL01を用いる一方で、同社のUTMアプライアンス「BP-X1CPシリーズ」を導入し、出入口対策をあわせて行うことで、より強固なセキュリティ体制を構築可能になるとアピールしている。
ポケットに入るサイズの板に電話からカメラから機能が全部入ってる
というのが絵的にもギミックとしても映えなかったからだろうなと思う。
