みなさん。こんにちは。今日から5月になりましたね。5連休という方もいらっしゃるのではないでしょうか。昨日に続き、ECSの運用についてお伝えします。

モニタリング方法

基本的な指針としては以下の通りとなります。

  • ECSを操作できるIAMは適切に管理され、また不正な行為が行われないか?
  • ECS上で稼働するアプリケーションは正常に機能し、障害を迅速に検知・対応できる状態にあるか?

これを満たすためには開発者と監視・運用担当者の業務に対して相互に理解を深め、常に変化するアプリケーションに対して常に最適な状態に維持するために定期的に構成の見直しを行い、振り返りを行いつつ少ないコストと手間でモニタリングを行うためのチャレンジを行う必要があります。

更に、システムに要求されるコンプライアンスの内容によっては別のモニタリング指標を用意する必要が出てきます(そもそもそのコンテナ上で動くアプリケーションは常に安全なのか?という課題)。

AWSではそのような要求に対応できるサービス(AWS Configによる設定値のルール化、セキュリティモニタリングを行うAWS Security Hub等)もあり、結局の所は自分たちが運用するサービスであることを強く意識して、適切に管理・運用されているかを常に棚卸しできる準備を整えてゆく事にあります。

もうひとつ大切なことは、「アラームに頼り切らない」事です。

ECS上で稼働するコンテナは設計通りにスケーリングしているか?運用に即して他のミドルウェアは負荷が掛かっていないか?デプロイ後急に負荷が増大していないか?等、監視において想定外は付き物となります。

これらに関してもCloudWatchの管理画面は監視項目を決めてメトリクスのダッシュボードを組む事ができ、日々のモニタリング業務においてもとても便利なものとなります。

簡単なECSを用いたアプリケーションのセキュリティと監視に関する簡単なモデル

最後に、ECSを用いたアプリケーションに関して本記事で出たキーワードをメインに、図にして解説を行ってみようと思います。

ECSを軸として考えた時にどのようにセキュリティを担保し、モニタリングを行ってゆくか、という点に関して多くのケースではAWS外のシステムに頼ることなく、直感的かつAWSによって管理された信頼性の高いサービスによって構成することができます。

サービスをECSに移行する、または新規で構築する時に考えることは「どこまでAWSのサービスだけでセキュリティを実現できるか」という点にあり、ECSを取り巻く監視・運用に関しても新しい機能によって更に効率的に運用できるケースもあります(ECS Execと呼ばれる、ユーザーがコンテナに対してIAM経由でアクセスでき、それらのログを監視するための仕組み等)。

その時々によって、また構築するシステムの規模や要件によって適切な構成は変わりうるので、AWSの構成を担当する人にとってはAWS自体を監視する必要もあるのかもしれません。

いかがでしたでしょうか。2回に分けて、ECSの運用するにあたって、セキュリティ面から色々な対応方法についてお伝えしました。ぜひ、みなさまのお役に立ててれば幸いです。

SunnyCloudでは、AWS移行、構築、運用保守、リセール(請求代行)サービス等様々なサービスを提供しています。

▼「無料相談」受付中です。
https://www.sunnycloud.jp/contact-us/