クラスターのデプロイ

新しい DAX クラスターを作成するには、DynamoDB で必要な設定よりも多くの設定が必要です。これらの設定は、特にネットワークに関するもので、これは DAX が Amazon VPC に基づいているためです。そのため、リソースの配置、接続、セキュリティなど、仮想ネットワーク環境を完全に制御できます。このセクションでは、クラスターの作成に必要な設定のベストプラクティスについて説明します。

クラスターノードの選択の詳細については、「クラスターのサイジング」を参照してください。

ネットワークの設定

DAX はサブネットグループを使用して、ノードを実行できるアベイラビリティーゾーンを決定し、使用する IP アドレスをサブネットから決定します。アプリケーションと DAX 間のレイテンシーを最小限に抑えるには、アプリケーションサーバーと DAX クラスターのサブネットとアベイラビリティーゾーンが同じである必要があります。

DAX ノードは、複数のアベイラビリティーゾーンに分散することをお勧めします。自動割り当てのデフォルトのオプションを使用することで、ノードを分散することができます。

VPC のセットアップのベストプラクティスについては、「Amazon VPC ユーザーガイド」の「Amazon VPC の使用を開始する」を参照してください。

セキュリティの設定

このセクションでは、DAX を使用するアプリケーションで実装が必要なセキュリティ対策について説明します。このセクションでは、DAX によるデータ暗号化のサポートについても簡単に説明します。

IAM

DAX と DynamoDB には、個別のアクセスコントロールの仕組みがあります。DAX では、DynamoDB テーブルにアクセスするための IAM ロールが必要です。このロールは最小特権の原則に従い、特定のテーブルと DynamoDB オペレーション (GetItem や PutItem など) にのみアクセスを許可する必要があります。DAX が提供するアクセスコントロールの仕組みの詳細については、「DAX のアクセスコントロール」を参照してください。

Encryption

DAX クラスターの作成時に、保管時の暗号化と転送中の暗号化を設定します。これらは、デフォルトで有効化されています。ビジネス要件に基づく無効化が必要な場合を除き、デフォルトの暗号化設定を使用することをお勧めします。詳細については、保管時の DAX 暗号化および転送時の DAX 暗号化を参照してください。

パラメータグループ

DAX は、クラスター内のすべてのノードにパラメータグループと呼ばれる一連の設定を適用します。この設定は、クラスターの作成後に変更できます。

DAX のパラメータグループは、項目キャッシュとクエリキャッシュの TTL 設定を保持します。デフォルトの TTL 期間は 5 分間です。TTL 期間は、1 ミリ秒以上の任意の整数値に変更することができます。

実行中の DAX インスタンスがパラメータグループを使用している場合、パラメータグループを変更することはできません。パラメータグループの値は、DAX クラスターのダウンタイム中に変更できます。

メンテナンスウィンドウ

ノードへのソフトウェアのアップグレードやパッチ適用を許可するために、DAX クラスターに毎週のメンテナンスウィンドウが設定されます。このウィンドウ中に、DAX はノードにローリング更新を実行します。複数のノードを持つクラスターは、これらの更新中にクラスターの可用性は失われませんが、ノードが再度使用可能になるまでクラスターキャパシティが減少します。組織で使用量が少ない時間帯予測できる場合は、メンテナンスウィンドウをその時間帯に手動で設定することを検討してください。