Amazon EC2 Instance scheduled for retirement.

AWSのインスタンスリタイアお知らせが来た時の対処を参考にしてみた。

ルートデバイス: ebs
「ebs」の場合は、インスタンスの停止、そしてその後起動、でOKです。

のハズだったのだが、今後同様のお知らせが来た時に自動的に対応し、対応されたことを通知するためにAutoScaling Groupにアタッチすることを検討して実施してみたところ即時インスタンスの再起動が再作成された。。。

が、インスタンスの状態がテンプレートの状態に戻ってしまった。

おそらく設定が正しくなく?、インスタンスの削除→再作成になっていて、インスタンスが削除されたときにebsボリュームまで削除された可能性が高い。。。。

幸いアカウントの登録までしかしていなかったインスタンスだったので軽傷だったが、マネジメントコンソールでインスタンスに関係する設定変更をするときにはスナップショットを取るなど注意するようにしたい。

インターネットゲートウェイとNATゲートウェイの違い

AWSのVPC設定にはインターネットゲートウェイとNATゲートウェイがあるが、よくわからない。

パブリックIPを設定しているインスタンスは、インターネットゲートウェイだけ設定していればよいが、パブリックIPを設定していないインスタンスは、インターネットゲートウェイになぜか到達できない。

例えば、
VPC A(172.31.0.0/16)に対して、subnet X(172.31.0.0/20), subnet Y(172.31.16.0/20)を設定したうえで、subet Xに所属するインスタンス 1は、パブリックIPを保持しており、同じsubnet Xに所属するインスタンス 2とsubnet Yに所属するインスタンス 3は、パブリックIPを保持していないとする。

この時、VPC Aに対して、インターネットゲートウェイだけが設定されている場合、
インスタンス 1はインターネット(VPCの外)へ接続できるが、インスタンス 2, インスタンス 3はインターネット(VPCの外)へ接続できない。
次に、subnet Z(172.31.32.0/20)を作成し、subet Zに所属するインスタンス 4を作成し、subnet Y, subnet Zに対して、作成したNATゲートウェイをデフォルトゲートウェイに設定したルートテーブルを紐づけるとインターネット(VPCの外)へ接続できるようになる。

ここで、subet XについてもNATゲートウェイと紐づける(デフォルトゲートウェイをインターネットゲートウェイからNATゲートウェイに変更する)とそもそもインスタンス1に接続できなくなる。(パブリックIPを持っているにも関わらず接続できないということは、パブリックIPへのルートテーブルがなくなっているということになるのだろうか??)

理解に苦しむ点は次の通り
1.インターネットゲートウェイをデフォルトゲートウェイに設定しているにもかかわらず、パブリックIPがインターネットと接続できない点
(インスタンスで設定されているゲートウェイはサブネット内に設定されているホスト(ネットワークアドレスの最初のアドレス/例:上述のsubnet Xは172.31.0.1)になっていて、対象ホストとはICMPで接続できない。同一サブネットなのにもかかわらず接続できないということは、ICMP Echoが無効になっているだけなのだろうか? 次に外部(VPCの外のドメイン)にtracerouteしても名前解決はされるのに、到達できない)

2.インターネットゲートウェイの代わりにNATゲートウェイをデフォルトゲートウェイに入れ替えるとパブリックIPアドレスに接続できなくなる点
(パブリックIPアドレスへのルートテーブルがなくなってしまうということなのだろうか?)

NATゲートウェイは、サブネットをElasticIPに紐づける機能を持っており、
インターネットゲートウェイは、VPCとルートテーブル機能を使って紐づけることが出来る。
Egree Onlyインターネットゲートウェイというものもあり、ネットワーク設計を行う上で違いと仕組みを整理しておく必要がある。

シーズ

PatentResultより引用

研究開発や新規事業創出を推進していく上で必要となる発明(技術)や能力、人材、設備などのこと。

ニーズ=客の要望によって必要とされるもの
シーズ=メーカー・企業などが必要に応じて提供する技術や商品など

NIST Special Publication 800-63 Revision3

パスワードは定期的な強制的な変更を行うべきではないと記載されている文書。(変更しなくて良いとは書いていない)
パスワード運用の見直しのきっかけにもなっている。

日本語訳はIPAから出ていないので、世界の電子認証基準が変わる:NIST SP800-63-3を読み解くNIST SP 800-63-3の概要と今回の改訂がもたらす影響を参照するとよい。

原文はこちらから参照できる。

サンディスク製SDカードのロットについて

SanDisk microSDHC ULTRA 32GB 80MB/s SDSQUNS-032G Class10を複数枚購入したが、パッケージが開けづらいものがあったのでよくよく見てみると、中国製とマレーシア製の違いがあった。

中国製はOPENと書かれているところからパッケージを開封する(フィルムをはがす)ことが出来たが、マレーシア製はOPENという文字が見えづらくパッケージを開封することが出来ず、無理やりはがした。

SDカードグレーの色にも濃淡差があり、品質管理が一定ではない(工場単位では一定なのだろうが)ところが垣間見えた。外箱?自体は同じなので見分けがつかないのが正直なところ。

海外パッケージ品の輸入版のようなので品質を追求できるようなものではないのかもしれないが。。。。

SSL Server Test

日経NETWORK 2018年9月号より

米クリオスのSSLラボが提供するSSLチェックツール
https://www.ssllabs.com/

財テク.jpというサイトをチェックしたところレーティングはBでKey Exchangeに問題があるとの判定だった。

B判定の主な原因として、下記3点があった。
This server uses SSL 3, which is obsolete and insecure. Grade capped to B.
SSL3に対応している。

This server accepts RC4 cipher, but only with older protocols. Grade capped to B.
ChiperにRC4が利用できる。

This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Foward Securityに対応していない。。。。

一方で、HSTSに対応している点は評価された。
HTTP Strict Transport Security (HSTS) with long duration deployed on this server.

ニッセイ高金利国債券ファンド

交付運用報告書を眺める機会があったので、確認してみると驚かされることがいくつかあった。投資信託を購入する際には注意した方がよさそうだ。

1.組入ファンドがニッセイ高金利国債券マザーファンド100%(ニッセイ高金利国債券マザーファンドが高金利国の債券を購入している)

ニッセイ高金利国債券マザーファンドを購入できる場合には、あえてニッセイ高金利国債券ファンドを購入する必要がない。(信託報酬、その他費用を2重で支払っている構図になる)

2.運用成績が参考として掲載されている各ベンチマークに比べて悪い

平均値2.1%(最大17.6%、最小-15.5%)になっている。平均値だけで見れば日本国債券以下で、ブレ幅で行けば、新興国債券に近い。高金利国債券(=リスクをっているはずなので、)新興国債券に近いベンチマークを得られているはずなのに、平均値は日本国債券以下というのは、運用成績があまりにもひどい。

日本国債券のベンチマーク 2.2%(最大9.3%、最小-4.0%)
先進国債券のベンチマーク 6.7%(最大30.4%、最小-12.3%)
新興国債券のベンチマーク 4.0%(最大24.1%、最小-17.4%)

ベンチマークとの差異理由については、「当ファンドはマザーファンド受益証券への投資を通じて、信用力が高く、相対的に金利水準の高い国の国際等を投資対象とし、流動性・投資環境等を考慮して組入国や組入比率の変更を行うことから、コンセプトに沿った指数が存在しないため、ベンチマークなどを設けていません。」と理由になっていない記載がある。参考情報に各ベンチマークとの比較を掲載しているのにもかかわらず。。。。

Elastic IPの運用上の注意

Elastic IPは、固定のグローバルIPアドレスを意味する(Elastic IPを割り当てない場合には、インスタンスを再起動するたびにIPアドレスが変わる)が、インスタンスにアタッチされていないか、アタッチされたインスタンスが稼働中でない場合には、0.005USD/時間 課金されてしまう。
無料枠の中で(=課金されないように)試そうとすると、必ずインスタンスにアタッチした上で、該当インスタンスを停止させないようにしなければならない。
なお、インスタンスはオンデマンドインスタンスの場合、無料枠対象のt2.microを選択することとなるが、オハイオリージョンの場合で Amazon Linuxで0.0116USD/時間、Windows Serverで0.0162USD/時間課金されるので、無料枠を使い切った場合には、インスタンスにアタッチしない状態が一番安く済むことになる。

Amazon EC2 料金 オンデマンド料金より抜粋
Elastic IP アドレス
実行中のインスタンスに関連付けられた Elastic IP(EIP)アドレスを無料で 1 つ取得できます。追加の EIP をそのインスタンスに関連付ける場合は、追加の EIP 毎に時間当たり(プロラタベース)の料金が請求されます。追加の EIP は Amazon VPC でのみ利用可能です。

Elastic IP アドレスを効率的に使用するため、これらの IP アドレスが実行中のインスタンスに関連付けられていない場合や、停止しているインスタンスやアタッチされていないネットワークインターフェイスに関連付けられている場合は、時間毎に小額の料金をご請求します