クラウド

オンラインストレージ ってのがある。クラウドストレージともいう。 個人利用ではgoogle cloudとペアでの google drive しか使わん。サイズが2TBのを年１万円台で２つ。 awsには s3 があって、バックアップ置き場やったりログ置き場に使う。 wikiに書いてある耐障害性見たら、良さそうな悪そうな・・・。データをロストすることもあるし、年に１時間ほど止まるってか。 1 2 3 4 5 6 7 耐久性は年99.999999999%であり、年間1TBあたり10バイトのデータが消失する。 Amazon Elastic Block Storeは耐久性は年99.8～99.9%であり、 こちらは、年間1TBあたり1～2GBのデータが消失しているが、 圧倒的にS3の方がデータ消失の量が少ない。 可用性は99.99%であり、年間平均1時間弱の停止時間がある。 こちらはAmazon Elastic Block Storeの99.999%よりも悪い。 クセがあるし、ファイルサーバっぽく使うこともできるんやけど、ライフサイクル管理やらバージョン維持ができるから、設定きちっとやらんと費用が異様に上がることもある。 やったことないけど、winscpでもデータ扱えるらしい。そういえばcyberduckとかrcloneにも選択肢あったよな。 普段使いならStandardでええんやけど、 ストレージクラス ってのがあって、たまにしか使わんときは「読み書き遅いけど保管料安め」のGlacierとか選べる。 普段の設定方針 ec2ホストからaws cliでコマンドライン利用させる バージョン維持 やらんのと、 パブリック利用もやらん 特定のフォルダをバックアップ置き場にして ライフサイクル 管理させて、保管期限が過ぎたデータは削除する s3バケット作成 普通に作る。 ...

昔からやってて今更やけどメモ。書きかけてたの忘れてた。 EC2-windowsホストからパスワード取得 インスタンスの、アクション->セキュリティ->windowsパスワードを取得、で画面遷移 pemファイルは１つめのec2作る時に一緒に作るから、ダウンロードしたものを用意しておいて、画面の「プライベートキーファイルのアップロード」で選択してアップロードする。 復号化すると、次の画面にパスワードが見えるのでコピーしてテキストファイルにでも貼り付けて残す。 ※いったん取得すると連続では取得できず、４分程度待つ必要がある

数年前からやってて今更やけどメモ。書きかけてたの忘れてた。 パブリックサブネットにec2-linuxホスト立てて、プライベートサブネットにec2-windowsホスト作ったとき、linuxを踏み台にしてwindowsホストにrdp接続できるようになる。 VPCとかサブネットとかセキュリティグループとか、チョー苦手。 VPCの中のサブネットをパブリックとプライベートに分ける サブネットのうち、パブリック(sub1)のほうにインターネットゲートウェイつける。 プライベート(sub2)にNATゲートウェイつけといて、インターネットへ出れるようにする。 作る方針はこう。 パブリックのサブネットはインターネットからの入り口やから、グローバルIPアドレスを特定のIPにだけssh許す プライベートのサブネットは外部から入らせず、パブリックのサブネットからのみ接続を許す 社内ネットとVPN接続したりdirect connect(あんまりよう知らん)するなら、dnsとかルーティングを社内に向けるからNATゲートウェイいらん 社内ネットがあるなら、そこも接続を許して社内ネットは許可されたら踏み台経由せんでもrdpできるようにする 構成を考えてメモするとイメージ湧きやすい。今はリソースマップで見せてくれる。 マウスオーバしたら、ここでは青色でルートテーブルとゲートウェイをハイライトしてくれる。 接続を許すには、ec2のセキュリティグループでsshとかrdpのポートを許可しとく。 許可するIPをグループ指定できるのが、VPCのカテゴリにあるManaged prefix listsってとこ。最近は日本語に変換して表示されてるはず。 google cloudでもIPの塊にタグつけてグループをセキュリティ設定に指定できるんやけど、なんとazureにはグループが定義できへんかった！(2025年7月現在) エントリってところに入れとくと、具体的な定義ができる。 インターネットゲートウェイとNATゲートウェイはアタッチしとく インターネットゲートウェイはVPCにアタッチしとく。 NATゲートウェイはElasticIPつける。 dhcpオプションセットを作る これがあると、ec2に対して一律でdns設定を配れる。クラスタ入れてるサーバだけ違うDNSにしたい、とかやったらOSのDNS設定したらええ。 DNSで思い出したけど、サブネットの４オクテット目が2はDNSやったはず。 vpcの中のサブネットってIPアドレス予約があるから、ec2が使えへんIPアドレスがある。ec2のIPアドレスは４オクテット目を10から使うことにしてる。 サブネット CIDR ブロック - Amazon Virtual Private Cloud docs.aws.amazon.com IPアドレス 備考 10.0.0.0 ネットワークアドレス 10.0.0.1 AWS VPCルーター用 10.0.0.2 AWS DNSサーバー用 10.0.0.3 AWSが将来利用のため予約 10.0.0.255 ブロードキャストアドレス 「将来利用のため予約」って何やろな。 セキュリティグループを作る sshの許可 できるだけ規則的に名前つけとくのと、説明を入れといたほうが後で楽になるはず。 入ってくる通信を許可するインバウンドルールにsshをタイプに選ぶと、自動的にtcpの22って入ってくれる。 あとサブネット間の通信は必要なポートに絞るほうがええけど、検証環境やったら「すべてのトラフィック」を許可しとく。 rdpとかoracleとかpostgresqlとか書いたらええけど、あんまりいっぱい許可するとパケットいっぱい通って重くなるから重くなるしやらん。 セキュリティグループはいくつもルールが書ける。もちろん 限界 はある。 １つのルールにいくつものタイプを書くこともあるし、sshとかrdpとかタイプごとにルールを作ってもええ。 ...

セキュリティ的にないよりはあったほうがええ。 どんな感じのことができるか 解説されている企業さんがいくつもある。企業さんありがとう。 多要素認証とは？パスワードだけでは守りきれないクラウドのセキュリティ｜ブログ｜NRIセキュア www.nri-secure.co.jp 【初心者向け】多要素認証とは? 二段階認証との違いや具体例を紹介｜ICT Digital Column　【公式】NTTPCコミュニケーションズ www.nttpc.co.jp 多重要素認証とか２段階認証は、「これだけで安全！」っていうわけやない。 技術が進んだら、また新しいパラダイムが出てくるし。 スマホのアプリ - MSauthenticator ６桁の数字を数秒間表示して動的に認証情報を変えてくれるのを入力するんやけど、スマホのアプリにMS-authenticatorってのがあってこれを使う。 googleのauthenticator使ってもできるんやけどな。 awsでセキュリティ認証情報を追加設定 awsのコンソール右上のアカウント表示をクリックすると「セキュリティ認証情報」ってのがあるから選ぶ。 次の画面で「MFAデバイスの割り当て」を選ぶ。 スマホで表示させるデバイス名を入力しとく。 QRコード表示させる。 アカウントの種類は「その他」をいっつも選んでるけど、「職場のアカウント」ってしたらバックアップ取ってくれるんかな。 QRコードを読ませる。 左がスマホ画面で、数字６桁のワンタイムパスワードが表示されてるから１つメモして、さらに２つめが表示されるまで待ってそれもメモする。 ２つメモした６桁の数字を、右側のawsコンソール画面に入力する。 １つめと２つめの両方を入れたら割り当て完了のメッセージが表示される。 入力ミスってうまくいかんくても、もう１回２つの数字メモをとりなおしたらええ。 実際にawsコンソールできいてくる 次回のawsコンソールにログインするとき、ユーザとパスワード入力した後の画面で「追加の検証が必要」って表示されてMFAコードの入力求められるから、スマホに表示されてる６桁の数字を入力するとログインできる。 この６桁の数字はawsコンソールごとに登録して使うから、利用環境ごとに登録が必要で何個か登録して使ってる。 MS-authenticatorは、2025年8月時点でエクスポートがうまいことできんかった。 スマホ変更するときめっちゃ面倒になりそうやな・・・。

毎月の維持費用を確認してみた。 毎月2000円を下回らなくなってきてて、たぶん円安のせいやろけど念の為確認。 毎月の価格 2023年の1月から先月までの９ヶ月でかかる費用は、２０００円前後で行ったり来たり。普段は週に１回、３時間程度使う感じ。 棒グラフの積み上げは、青い箇所がディスク、赤っぽいのがCPUコア、オレンジがメモリ、緑がGCP外への下り通信費(google driveへのバックアップに利用)になってる。 ７〜８割がディスクの費用やな。 ディスクはOSに30GB、データに300GB確保。 OS切り替えするときに1日だけ30GBをもう１つ作って引っ越し作業することあったけど、5年以上同じ構成。 仮想マシンのスペック 使ってるゾーンはus-eastで東アメリカ。 使い始めた時はまだ東京とかなかったし、面倒なのでずっとそこで維持してる。 es-standard8ってのはコアが８個あるタイプ。 メモリは普段16GB。mariadb/django/gitlab/xrdpをdockerコンテナで動かす程度ならこれで十分。 gitlabの新バージョンで置き場を新設するときとか、oracleで実験するときとかはメモリ不足しがちやから、32GBに増やして使ってることもある。 実際に動かしてるところ 実際に動いてるところをmacからつないでnmonで見たらこんな感じ。 あ、メモリ増やしたまんまやから後で16GBに戻しとこ。 ついでにdocker statsしたらこんな感じ。 残ってる範囲で過去の支払いトータル Google cloudの費用レポートは当年から4年前の1月まで残ってた。 4年と９ヶ月で５７ヶ月の費用が１２万円ぐらい、月額二千円程度やね。 グラフの中で紫色っぽいのと緑色っぽいのが突き出てるのは、普通のディスクを試験的にssdにした月があって、あんまり体感速度変わらんからOSもデータディスクも普通のディスクに戻した。 ディスクの値段 1GBで0.04ドルってのは昔から変わってへんかったかな。 300+30GBやから13.2ドルかな。 ssdになると４倍の0.17になる。 試したことあるけど、Regional ssdにするとさらに倍で0.34。 2019年6月頃の請求金額が1312円ってあった。 1ドル100円ぐらいかいな。でも昔の為替レート見たら108円ぐらい。 なぜか安く請求されてる。 2023年9月の請求金額が1765円ってあった。 1ドル133円ぐらいかいな。ん？　実際のレートは147円ぐらいとちゃうの？ レートの計算がよーわからん。 もう１つわらかんのは、グラフの青い箇所にあるディスクの費用。 昔からそうなんやけど、月の最初の2日間はディスクの課金がなくて3日目になったら少しだけ請求あって、残りの月末まではずーっと同じ費用が積み上がっていく。 ディスクの費用は確保した量で決まるのと、内訳の７割以上を占めるから、サイズ選びは慎重にってことで。