ども、大瀧です。 NTPにセキュリティ機能を追加したNTSという時刻同期サービスを知っていますか。本ブログではルータ向けLinuxディストリビューションOpenWRTで時刻同期にNTSを構成する様子をご紹介します。 動作確認環境 ハードウェア: GL-iNet GL-MT2500　ファームウェア 4.5.0release6(rc) OpenWRT: バージョン21.02 Chrony: バージョン4.1-2 NTS公開サーバー: time.cloudflare.com time.cloudflare.com とは time.cloudflare.comはNTSに対応するCloudflareの公開タイムサーバーです。以下のブログで紹介されてます。 その後RFC8915の策定に合わせてポート番号を変更したとのブログが以下です。 AWSの公開NTPサーバーにも接続を試行してみましたがエラーになっ

re:Invent2023 で発表された、S3の新しいストレージクラス、「Amazon S3 Express One Zone」。 その性能傾向を確認するため、CLIで総容量4GB、1.2万オブジェクトの転送を実施して、従来(S3スタンダード)と比較する機会がありましたので紹介させて頂きます。 準備 AWS東京リージョンに検証用のEC2と、S3を用意しました。 EC2 Instance type: c7gd.large AMI: al2023-ami-2023.2.20231113.0-kernel-6.1-arm64 IAM Role: PowerUserAccess 相当付与 AZ: ap-northeast-1a (apne1-az4) awscli CLIは最新バージョンに更新しました。 sudo dnf remove awscli -y curl "https://awscli.

Amazon Time Sync Serviceがマイクロ秒単位で時刻同期できるPTPをサポートしたのでEC2で試してみた こんにちは。CX事業本部のakkyです。 2週間ほど前となりますが、Amazon Time Sync ServiceがPTPをサポートしました。 この時には見落としてしまったのですが、今回のre:Inventで発表されたAurora Limitless Databaseでは、分散データベースを実現するために精密な時刻同期を必要としており、このために新しいAmazon Time Sync Serviceが使われているという発表がありました。 今回は、このPTP時刻同期をEC2インスタンスで試してみましたのでご紹介します。 Amazon Time Sync Serviceとは？ 無料で使えるフルマネージドな時刻同期サービスで、いままではNTPのみがサポートされていました。

困っていること 弊社は多くのインスタンスタイプが混在している環境で運用しています。AWS ではハードウェアの劣化が検出された際や、古いハードウェアを廃止するために EC2 のメンテナンスが発生することを認識しています。 しかしながら、インスタンスタイプによっては他と比べ早い周期で EC2 のメンテナンスが発生する時があります。 なぜこの様な事が起こるのか教えてください。 どう対応すればいいの? 前提として、AWS ではメンテナンスの実績や頻度についてご案内しておりません。 一方で、この様なイベントを最小限に抑えるためのベストプラクティスとして、AWS では新しい世代のインスタンスタイプの利用をお勧めしております。 新しい世代のインスタンスは、古い世代のインスタンス と比較して、スケジュールされたイベントが少ないので変更をご検討ください。 メンテナンスの過去の実績や頻度についてのお問い合わせ

CX事業部@大阪の岩田です。 本日のアップデートによりRDS ProxyがPostgreSQLの拡張クエリプロトコルをサポートするようになりました。本ブログではこのアップデートについてご紹介します。 ちなみに以前はpinningが「ピン留め」翻訳されていましたが、最近は「固定」翻訳とされているようです。個人的にはピン留めの方がしっくりくるので、本ブログにおいては公式日本語ドキュメントが「固定」と翻訳している事象を全て「ピン留め」と呼ぶことにします。 そもそも拡張クエリプロトコルとは？ PostgreSQLではクエリを実行するためのプロトコルに、簡易クエリプロトコルと拡張クエリプロトコルという2つのプロトコルが存在します。ざっくりとした理解として、簡易クエリプロトコルの場合は生のSQL文をそのままサーバーに送信するのに対して、拡張クエリプロトコルの場合はパラメータを利用したSQL文を送信した

2023年11月6日、 AWSマネージドコンソールで クイックスタートを利用して新規作成した EC2インスタンスで、 サポートするメタデータのデフォルトバージョンが 「V2」(IMDSv2) となるアップデートがありました。 その動作について確認する機会がありましたので、紹介させていただきます。 Amazon EC2 Instance Metadata Service IMDSv2 by default マネージドコンソール クイックスタート画面で選択できるAMIを選択 「高度な詳細」で確認できる「メタデータのバージョン」、デフォルトで「V2 のみ (トークンは必須)」 になりました。 メターデータのサポートバージョン、デフォルトから 「V1 及び V2 (トークンはオプション)」に変更する事で、従来通りの利用を継続する事は可能です。 クイックスタート以外 マネージドコンソール、AMIの検

先日サポートされた、Multi-VPC ENI Attachments の使い道を試してみました。SPOFを生むので、開発環境にお使いください（本番運用には向きません） こんにちは、AWS事業本部の荒平(@0Air)です。 開発環境を複数持っていたりすると、NAT Gatewayがちょっと高く感じることはありませんか？ 以下のように、令和の時代でも、NAT Instanceでコストを削減したりすることが可能です。 2023年10月26日、衝撃的な以下のアップデートが来ました。 要約すると、EC2に対してセカンダリENIのアタッチが別VPCに対しても可能になりました。 参考：Multi-VPC ENI Attachments ケチな私は思い付きます。複数のVPCに立てていたNAT Instanceを集約して節約できるのではないかと。 本エントリは、Multi-VPC ENI Attachme

自動文字起こしサービスである、OpenAIの「Whisper API」とAWSの「Amazon Transcribe」の精度を比較してみた はじめに 今回は、OpenAIのWhisper APIとAmazon Transcribeという2つの音声文字起こしサービスを試し、それぞれの精度を比較してみました。 Amazon Transcribeは、音声をテキストに変換する自動音声認識サービスです。 ストリーミングとバッチ処理のどちらでも文字起こしが可能です。 攻撃的な言葉を指定すると、Amazon Transcribeがそれらの言葉を文字起こしから自動的に削除する語彙フィルタリングなどの機能もあります。 Amazon Transcribeの詳細は、下記の記事をご参考ください。 OpenAIには音声をテキストに変換する「Whisper」という音声認識モデルがあり、WhisperをAPIの形で呼び

2023年9月にリリースされた Amazon Linux 2023.2 で サポートされた新機能、 zram を利用した swapについて確認しました。 2023年3月にGAとなった Amazon Linux 2023、4半期毎のマイナーバージョンアップが計画されており、 2023年9月、新しいマイナーバージョン Amazon Linux 2023.2 がリリースされました。 今回 Amazon Linux 2023.2 で サポートされた新機能、 zram を利用した Swap について確認を試みる機会がありましたので、紹介させて頂きます。 Amazon Linux 2023 version 2023.2.20230920 release notes ZRAM Amazon Linux 2023.2 では、Fedora 33 以降でサポートされた zram を利用した Swap をサポー

いわさです。 Amazon CloudWatch の今朝のアップデートで、アラームの対象メトリクスとしきい値の推奨事項が提供されるようになりました。 CloudWatch Alarm を使った監視を始める時に、「どのメトリクスをどういう条件くらいでやるのが良さそうか、どの程度が一般的なのか」など、指針が欲しくなるシーンがあります。 「ワークロードごとに適切な値を設計することが必要」と言いつつも、まずは手軽に推奨事項から始めたいというケースも多いです。 今後は CloudWatch コンソールが推奨事項を提供してくれます。 「アラームに関する推奨事項」トグルボタンが追加されている CloudWatch メトリクス画面には現在稼働しているワークロードが出力したメトリクスが表示されています。 このメトリクス画面のいくつかの箇所で次のような「アラームに関する推奨事項」というトグルボタンが追加されて

こんにちは、つくぼし(tsukuboshi0755)です！ 最近ChatGPTがGPT-4Vを発表し、AI業界がさらに盛り上がりを見せてますね。 GPT-4Vを用いる事で、ChatGPTがユーザ側から入力された画像を読み取った上で、応答を返してくれるようになります。 GPT-4V(ision) system card この機能追加により、なんと以下のようにAWSの構成図を読み取って、IaCコードを生成できる事が話題になっていました。 本日をもって引退します pic.twitter.com/fygAQDQ5kj — 電気ひつじ(onoteru) (@teru0x1) October 13, 2023 これを見て私もGPT-4Vを試してみたくなったので、今回はChatGPTを使って、様々なAWSの構成図を入力し、どこまで正確にIaCコードを生成できるか確認してみます！ GPT-4Vを利用する際

[アップデート] Amazon RDS for PostgreSQL 15.4-R2 で pgactive 拡張を使ったアクティブ/アクティブ構成を導入してみた いわさです。 2023 年 10 月 5 日より Amazon RDS の PostgreSQL にて、15.4-R2 が利用可能になりました。 October 5, 2023 RDS for PostgreSQL now supports version versions 15.4-R2, 14.9-R2, 13.12-R2, and 12.16-R2. Document history for the RDS for PostgreSQL release notes - Amazon Relational Database Service このリリースに併せて、新しく pgactive という拡張機能が使えるようになっています

いわさです。 今朝のアップデートで AWS Verified Access が遂に東京リージョンでも使えるようになりました。 AWS Verified Access は AWS 上のプライベートネットワーク上に配置した Web アプリケーションに対して、信頼したプロバイダーやデバイスからのみ外部からのアクセスを許可出来るサービスです。 日本ではなかなか需要がありそうなサービスなのではと個人的に思っていたのですが、これまで東京リージョンはサポートされていませんでしたが、ようやくサポートされました。 VPC コンソールからアクセス 東京リージョンの VPC コンソールに、先日までは表示されていなかった AWS Verified Access のメニューが...！ 今回のアップデートで 2 つのリージョンが追加されており、シンガポールリージョンでも使えるようになってます。 ちなみに、大阪リージョ

Red Hat Enterprise Linux 8でlogrotateを使ってログファイルを1時間ごとにローテーションさせてみた こんにちは！AWS事業本部のおつまみです。 みなさん、 Red Hat Enterprise Linux8 で logrotate を使って、ログファイルを1時間ごとにローテーションさせたいと思ったことはありますか？私はあります。 logrotate は、ログファイルをローテーションし、必要に応じて圧縮などを行うツールです。 先日こちらの記事でRed Hat Enterprise Linux9 で同様なことができないか調査しました。 この記事の中で、以下のように記載しています。 Red Hat Enterprise Linux 9　以降はsystemd-timerを使い、logrotateが行われるようになっていました。 ということは、Red Hat Ente

「セッション中に機密データを入力するときに次のコマンドを使用することをお勧めします」とあるけど read -s してても記録されるなんてことないよね? こんにちは、のんピ(@non____97)です。 皆さんはSSMセッションマネージャーのセッションログに入力したパスワードが記録されちゃうか気になったことはありますか? 私はあります。 AWS公式ドキュメントには以下のような記載がありました。 Session Manager は、セッション設定に応じて、セッション中に入力したコマンドとその出力を記録します。パスワードなどの機密データがセッションログに表示されないようにするには、セッション中に機密データを入力するときに次のコマンドを使用することをお勧めします。 stty -echo; read passwd; stty echo; セッションアクティビティのログ記録 - AWS Systems

ウィスキー、シガー、パイプをこよなく愛する大栗です。 最近ブラウザから簡単に証明書を発行できる ZeroSSL というサービスで証明書を発行したことがあったのでまとめてみます。 ZeroSSL （8月21日追記） ACME 経由であれば無制限に無料で証明書を発行できる旨を追記しました ZeroSSL 無料で SSL/TLS 証明書を発行できるサービスと言うと Let's Encrypt を利用されている方が多いと思います。2023年8月時点で Let's Encrypt が発行している有効な証明書は2億8000万を超えています1。Let’s Encrypt は素晴らしいサービスですが、単一障害点になっていることに警鐘を鳴らしているセキュリティ研究者もいます2。別の選択肢として ZeroSSL を紹介しています。 Let's Encrypt では certbot の様なコマンドを使用して S

困っていた内容 ALB（Application Load Balancer）への急激なアクセス増加により処理が遅延し、一時的にサーバーエラーとなる事象が発生しました。ボトルネックが ALB 側か、もしくはバックエンドサーバー側かを切り分けたいのですが、ALB の性能限界に達していたか確認する方法を教えてください。 どう対応すればいいの？ ALB は負荷状況に応じて内部的にスケーリングが行われるため、最大接続数などの情報は非公開となっています。 そのため ALB の性能限界を明確に確認することはできませんが、以下 (1) ～ (3) の指標を確認することで、ALB もしくはバックエンドのどちらがボトルネックになっていたかを推測できます。 (1) 当該時刻に ALB のスケーリングが行われていたかを確認する ALB への接続数が物理ノードの限界に達すると自動的にスケーリングが行われ、その際には

いわさです。 今朝のアップデートでなんと、Network Load Balancer (NLB) でセキュリティグループがサポートされたとアナウンスされました。 従来は NLB では Application Load Balancer (ALB) などのようにセキュリティグループを設定することが出来ませんでした。 それによってアクセス元の制御などで、ターゲットグループのクライアント IP 保持機能を使ったターゲット側での設定が必要になるケースが多かったと思います。 ただ、その場合も NLB とターゲットが同一 VPC である必要などの制限がありました。このあたり含めて次の記事でとてもまとまっています。 今回のアップデートで ALB と同じ感覚で NLB 側のセキュリティグループにセキュリティ設定を集約したり、あるいは ENI の IP アドレスを意識せずに NLB のセキュリティグループを

Red Hat Enterprise Linux の PAYGインスタンスから EUS リポジトリをサブスクライブしてみた EUSを使いたい こんにちは、のんピ(@non____97)です。 皆さんはRed Hat Enterprise Linux (以降RHEL)の pay-as-you-go (以降PAYG)のEC2インスタンスでEUSを使いたいなと思ったことはありますか? 私はあります。 EUSとはExtended Update Supportのことで、事前に定義された特定のマイナーリリースに影響度が高いセキュリティ更新と優先度が緊急と判断されたバグフィックスのバックポートを提供するオプションです。 通常、各マイナーリリースのプログラム修正は次のマイナーリリースの提供開始までですが、EUSを使用することで最大2年間同じマイナーリリースで先述したパッケージを適用することが可能です。 R

Google Apps Scriptの環境構築をVSCode上で行う方法について詳しく解説していきます。clasp,asideを使って構築するので、爆速で構築できます。 ことのはじまり 私は最近Google Apps Script(GAS)の学習を始めました。 GASの学習を始めると、まずはAppsScript公式のIDEでスクリプトを書いていくことになると思います。 しかし、普段VSCodeを使い慣れている身からすると、VSCodeの便利機能が使いたくて仕方なくなります。 それじゃあ、使い慣れたVSCodeを使おうじゃないか！！ AppsScript公式のIDEだとGitに差分を残していくこともできないぞ！！（できます） というわけで、GASをVSCodeを使って開発する為の環境構築の手順を書いていきたいと思います。 前提条件 VSCodeがインストールされている Node.jsがインス