- AWS
- Oracle Cloud
- Oracle Database
- Exadata
運用管理の秘訣!バックアップ&監視実践ガイド~Oracle Database@AWS解析白書③
Oracle Databaseの利用において安定稼働を実現するためには『バックアップや監視をどう実施していくのか?』という点の検討は欠かせません。今回は、これらのドキュメントを読み解きながらOracle Database@AWSにおけるバックアップ/監視にフォーカスして情報をお届けいたします。
|
|
AWS re:Inventに参加されたことはありますか?
AWS re:Invent 2024にはアシストからクラウドチームの4名が実際に現地に行き、最新情報を収集しました。
今回は約3,000ものセッションがあり、約2,000人もの日本人が現地参加したそうです。
100個を超えるアップデートがAWS re:Invent 2024で発表されました。
全てのアップデートを紹介したいところではありますが、私はセキュリティサービスやモニタリングサービスに興味があるため、今回発表されたセキュリティサービスおよびモニタリングサービスのアップデート10個の中から3つに厳選してご紹介いたします。
前回のブログ記事はこちらです。
連載3回目のブログ記事はこちらです。
Index
最初にAmazon GuardDutyの新機能を紹介します。
Amazon GuardDutyはAWSアカウントやAWSリソースをモニタリングし、悪意のあるアクティビティや潜在的な脅威を特定するサービスです。
今回のアップデートで、関連する複数の悪意ある通信を1つのイベントにまとめる新機能が搭載されたので解説します。
まずはAmazon GuardDutyをご存じではない方向けにAmazon GuardDutyの解説をします。
Amazon GuardDutyは「複雑なインフラ」「絶え間なく進化する脅威」「セキュリティ人材の不足」を解決するために設計されたセキュリティサービスです。
「AWS CloudTrail 管理イベント」「VPC フローログ」「Route53 Resolver DNS クエリログ」などのログファイルを分析し、悪意のあるアクティビティや潜在的な脅威を特定します。
例えば以下のような脅威を検出します。
・AWS 認証情報の不正利用
・Amazon EC2に対する特定ポートへの異常な通信量
・暗号通貨マイニングの不正実行
情報が公開されている脅威だけでなく、機械学習を活用することで新種の脅威やまだ情報が公開されていない未知の脅威も検出できます。
ワンクリックで有効化可能なので、有効化している方も多いのではないでしょうか。
Amazon GuardDutyに「拡張脅威検出」が搭載されました。
従来のAmazon GuardDutyでは、関連する一連の攻撃を検知した場合でもバラバラにイベントが表示されていたため、多段攻撃か個別の攻撃か判断することが困難でした。
拡張脅威検出は関連する一連の攻撃シーケンスを1つのイベントとしてまとめるため、多段攻撃であることを簡単に判別することができるようになりました。
例えば以下のような多段攻撃を1つのイベントとしてまとめます。
これらの攻撃はアクセスキーが流出したことから始まります。
1.悪意のあることが知れているIPアドレスからIAMのCreateRoleAPIが実行される
2.Kali Linux コンピューターからAWS CloudtrailのDeleteTrailAPIが実行される
3.Kali Linux コンピューターからAWS IAMのAttachRolePolicyAPIが実行される
4.Kali Linux コンピューターからAWS CloudtrailのDeleteTrailAPIが実行される
従来では各イベント毎に攻撃が表示されていたため、関連する攻撃か判別するための調査が必要でしたが、不要になりました。
図のように時系列で攻撃の内容、順番がわかりやすく表示されます。
|
図1.多段攻撃を検知した際のマネジメントコンソールの画面 |
拡張脅威検出はAmazon GuardDutyを有効化すると自動的に有効化され、追加料金はかかりません。
課金対象は「AWS CloudTrail 管理イベントの分析」「Amazon VPC フローログの分析」「Route53 Resolver DNS クエリログの分析」の3つになります。
「Amazon VPC フローログの分析」と「Amazon Route53 Resolver DNS クエリログの分析」は同一料金です。
| 課金対象 | 単価 |
|---|---|
| AWS CloudTrail 管理イベントの分析 | 100万イベントあたり4.72 USD |
| 課金対象 | 単価 |
|---|---|
| Amazon VPC フローログの分析と Amazon Route53 Resolver DNS クエリログの分析 (最初の500GB) |
1GBあたり1.18 USD |
| Amazon VPC フローログの分析と Amazon Route53 Resolver DNS クエリログの分析 (次の2000GB) |
1GBあたり0.59 USD |
| Amazon VPC フローログの分析と Amazon Route53 Resolver DNS クエリログの分析 (次の7500GB) |
1GBあたり0.29 USD |
| Amazon VPC フローログの分析と Amazon Route53 Resolver DNS クエリログの分析 (10000GB以上) |
1GBあたり0.17 USD |
次にAmazon CloudWatchの新機能を2つ紹介します。
Amazon CloudWatchは様々なAWSリソースをリアルタイムで監視するAWSサービスです。Amazon EC2やAmazon RDSの監視で利用されている方も多いのではないでしょうか。
まずはAmazon CloudWatchをご存じではない方向けにAmazon CloudWatchの解説をします。
Amazon CloudWatchはモニタリングに関する様々な機能を提供しています。
Amazon CloudWatchの機能例
・Amazon EC2のCPU使用率を監視
・Amazon EC2のCPU使用率が閾値を超えた場合のアラート発砲
・Amazon RDSのログをCloudWatchのダッシュボード上に表示
Amazon EC2やAmazon RDS以外にも数多くのサービスを監視し、リソースの状態をグラフで表示したりログをAmazon CloudWatchのダッシュボード上で表示できます。
Amazon CloudWatchに「Database Insights」が搭載されました。
この機能はAmazon Aurora MySQLとAmazon Aurora PostgreSQLのデータベースメトリクス、SQL クエリ分析、ログをAmazon CloudWatchにまとめ、これらの監視を従来より簡単にするものです。
Database Insightsはスタンダードとアドバンスドと呼ばれる2種類の設定が存在し、それぞれで利用可能な機能が異なります。主要な機能の対応可否を紹介します。
| 機能 | スタンダード | アドバンスド |
|---|---|---|
| DB負荷の最も大きな要因の分析 | 〇 | 〇 |
| 遅いSQLクエリの分析する | × | 〇 |
| クエリ毎の統計視覚化 | × | 〇 |
| オンデマンド分析で任意の期間のデータベースパフォーマンスを分析 | × | 〇 |
| フリートレベルのモニタリング | × | 〇 |
Database Insightsの有効化は非常に簡単で、DB作成時に選択するだけです。
アドバンスドはPerformance Insightsの有効化が必須となります。
|
図2.Amazon AuroraのDatabase Insights有効化画面 |
Database Insightsを有効化すると、Amazon CloudWatchのコンソール画面からDBの状態を確認できます。Database Insights スタンダードやPerformance Insightsはインスタンス単位の監視のみですが、アドバンスドはDBエンジン毎やVPC毎といったフリート単位の監視も行うことができます。
|
図3.Database Insights アドバンスドのフリートの状態画面 |
インスタンス単位の画面ではPerformance InsightsのようにDBの負荷分析やパフォーマンス分析ができます。
|
図4.Database Insights アドバンスドのインスタンス単位の状態画面 |
Database Insightsの料金を記載します。
Amazon Aurora プロビジョンドインスタンスの場合、インスタンス毎に使用される vCPU の平均数に基づいて時間単位で課金されます。Amazon Aurora Serverless v2インスタンスの場合、インスタンス毎にモニタリングされる Aurora Capacity Unit (ACU) の平均数に基づいて時間単位で課金されます。
| 課金対象 | 単価 |
|---|---|
| プロビジョンドインスタンス(1vCPU) | 1時間あたり0.0125 USD |
| Aurora Serverless v2 インスタンス(1ACU) | 1時間あたり0.003125 USD |
「ネットワークパフォーマンス監視」についても紹介します。
この機能はAmazon EC2インスタンス間のトラフィックや、Amazon EC2からAmazon S3などの他のサービスに向かう通信のパケット損失やレイテンシーなどのネットワークパフォーマンスをほぼリアルタイムで可視化します。
ネットワークパフォーマンスと聞くとWebサイトのネットワークパフォーマンスを監視できると考える方もいると思いますが、「AWSリソース間の」ネットワークパフォーマンスを監視します。
Amazon EC2のネットワークパフォーマンス監視を実施する前に実施事項が4点あります。
1.監視するAmazon EC2のIAMロールに
「ポリシー名:CloudWatchNetworkFlowMonitorAgentPublishPolicy」
「ポリシー名:CloudWatchAgentServerPolicy」
を付与します。
2.AWS Systems Manager を使用して
「パッケージ名:AmazonCloudWatchNetworkFlowMonitorAgent」
をAmazon EC2上のOSにインストールします。
3.Systems Manager を使用して
「エージェント名:AmazonCloudWatch-NetworkFlowMonitorManageAgent」
を有効化します。
4.Amazon EC2のOSにログインし、
「エージェント名:amazon-cloudwatch-agent」
をインストールし起動します。
※サポートされているOSはLinuxのみで、カーネルバージョンは5.8以降が対象です。
※エージェントが導入されデータ収集が開始してからマネジメントコンソールに反映されるまで約20分ほどかかります。
参考:Install and manage agents for EC2 instances
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-NetworkFlowMonitor-agents-ec2.html
上記の手順でネットワークパフォーマンス監視を有効化すると「AZ内」「AZ間」「VPC間」「S3」「DynamoDB」「未分類」毎に転送されるデータ量やタイムアウトのカウント数を確認できます。
図はAmazon S3で受信されたデータ量の確認画面です。
1GBと2GBのファイルをAmazon EC2からAmazon S3に送信したところ、5分以内にメトリクスが反映されました。サブネット単位でデータの転送量が確認できます。
|
図5.ネットワークパフォーマンス監視のS3送受信データ確認画面 |
モニターを作成することで、指定した「VPC」「AZ」「AWSサービス」毎にネットワークの概要を確認することができます。指定した期間内にネットワークの問題が生じると正常の文字がパフォーマンス低下と表示されます。
|
図6.ネットワークパフォーマンス監視 モニターの概要画面 |
次に、1GBのファイルをAmazon EC2からAmazon S3に転送してみました。
モニターからもデータの転送量を確認できます。複数のVPCやAZがあるAWSアカウントでは環境毎にデータの転送量を確認できるモニターが便利です。
|
図7.1GBのファイルを転送した際のネットワークパフォーマンス監視のモニター画面 |
ネットワークパフォーマンス監視の料金を記載します。
課金対象はモニタリングされているリソースの数とAmazon CloudWatch メトリクスの2つになります。
| 課金対象 | 単価 |
| モニタリング対象のリソース(1台) | 1時間あたり0.0069 USD |
| 最初の 10,000 個のメトリクス | 1メトリクスあたり0.30 USD |
| 次の 240,000 個のメトリクス | 1メトリクスあたり0.10 USD |
| 次の 750,000 個のメトリクス | 1メトリクスあたり0.05 USD |
| 1,000,000 を超えるメトリクス | 1メトリクスあたり0.02 USD |
Amazon GuardDutyの拡張脅威検出とAmazon CloudWatchのDatabase Insightsおよびネットワークパフォーマンス監視をご紹介しました。
拡張脅威検出では多段攻撃を簡単に確認できます。Database InsightsではAmazon Aurora MySQLとAmazon Aurora PostgreSQLの監視機能が拡張されました。ネットワークパフォーマンス監視ではVPC ネットワーク内の TCP ベースのトラフィックで発生するレイテンシーやパケットロスを調査できます。
どのサービスも既に東京リージョンで使用可能ですので、ぜひ使用してみてください。
記事ではセキュリティサービスおよびモニタリングサービスの最新情報をお届けしましたが、実際にこれらのサービスを実装するには専門家の助けが必要かもしれません。
アシストではAWSサービスの導入コンサルティングや技術支援を行っています。今回取り上げたセキュリティサービスおよびモニタリングサービスの導入でお困りの際もぜひ相談ください。
|
|
2022年中途入社。前職では主にLinux案件に従事し、その経験も活かし現在はAWSのフィールド業務を担当している。 好きなAWSサービスはAWS Transit Gateway お笑い芸人のさらば青春の光が大好きで毎日動画を見ている。...show more |
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
Oracle Databaseの利用において安定稼働を実現するためには『バックアップや監視をどう実施していくのか?』という点の検討は欠かせません。今回は、これらのドキュメントを読み解きながらOracle Database@AWSにおけるバックアップ/監視にフォーカスして情報をお届けいたします。
本記事は、AWS re:Invent 2024で発表された注目アップデートを解説する連載の第2弾です。今回はネットワーク分野について、筆者の独断で3つに厳選してご紹介します。
