導入
以下記事で記載した新機能のうち、Amazon Q Developer operational investigation capabilityを詳細に説明します。
【AWS re:Invent 2024】CEO基調講演[KEY002]で発表されたAmazon Q の新機能
機能の概要
AWSユーザーガイドより抜粋します
Amazon Q Developerの運用調査機能は、システム内のインシデントに対応するのに役立つ、生成AIを搭載したアシスタントです。生成AIを使用してシステムのテレメトリをスキャンし、問題に関連する可能性のある提案をすばやく表示します。これらの提案には、メトリクス、ログ、デプロイメント イベント、根本原因の仮説が含まれます。
対象リージョン
プレビューのためバージニア北部のみ。
調査に使用するデータ
メトリクスやトレースだけでなくイベントも見てくれるようです。
下記の「観察結果」をもとに「仮説」を提供してくれます
・CloudWatch metrics
・AWS Health events
・Change events logged in CloudTrail
・X-Ray trace data
・Log queries in Logs Insights QL that use log group name selection
・CloudWatch Contributor Insights data
・CloudWatch Application Signals data
調査対象のAWSリソース
データベースやファイルシステム系は未対応のものが多いですが、今後追加になる可能性もあると推測します。
・Amazon EC2
・Amazon ECS on Amazon EC2
・Amazon ECS on Fargate
・Amazon EKS2
・Amazon DynamoDB
・Amazon S3
・Amazon EBS
・Lambda
・Amazon Kinesis Data Streams
・Amazon Data Firehose
・Amazon API Gateway
・Amazon SQS
・Amazon SNS
ベストプラクティス
以下の機能が有効になっていなくてもサービスは提供されますが、パフォーマンス向上には以下が推奨のようです。
・EC2とEBSの両方で、CloudWatch エージェントをバージョン1.30049.1以降に更新
・Amazon ECSとAmazon EKSの両方でCloudWatch Container Insightsを有効化
・CloudWatch アプリケーションシグナルと X-Rayを有効化
・CloudTrailを有効化
Cloud Trailなどはデフォルトでは調査データ対象外となっているので設定変更が必要です。
調査開始方法
・CloudWatchアラームやCloudWatchメトリクス、LambdaモニタリングなどいくつかのAWSコンソールから調査を開始
(以下はメトリクスからの例)
・Amazon Q Developerチャットに自然言語で質問し調査を開始
・CloudWatchアラームアクションをトリガーに調査を開始
調査継続方法
・調査結果に対し「承認」「拒否」を選択することでAmazon Q Developerはこの情報を使用してさらにスキャンして提案をしてくれる
Amazon Q Developerの権限制御
・Amazon Q Developerがアクセスできる権限をカスタムIAMロールで絞ることが可能
・KMSに対する権限を付与すれば暗号データに対しても調査可能
調査結果に対する制御
・調査グループを作成し調査グループごとに調査結果に対するアクセスユーザや、暗号化、保持期間を設定できる
他サービスとの連携
・調査にてSystems Manager Automationのランブックを使用可能(連携必要)
・調査結果更新時にSNS経由で通知可能
コスト
・現在はプレビューなので無料
・テレメトリやリソースクエリ、APIの使用などでAWSサービス使用料が発生する可能性があるが運用調査の通常の使用では最小限になると予想
まとめ
CloudWatchで監視をしていなくても標準メトリクスやイベントなどから調査できることは結構あるのではと思いました。
どこまで人間では気づきにくいところを提示してくれるのかなどは、いろいろと試してみる必要があります。
以上
 |
2024年12月19日(木)18時より、「AWS re:Invent 2024」のポイントを解説する「AWS re:Invent 2024 re:Cap presented by iret」を開催します。 |
