CloudShellをIaC実行基盤として考える

CloudShellを IaC実⾏基盤として考える by ハマコー 1

2 @hamako9999 ハマコー

3 IaC実⾏基盤ってなんやねん︖

4 IaCとは Infrastructure as Code（インフラをコードで定義） • CloudFormation • Terraform •
AWS Cloud Development Kit（AWS CDK） • Pulumi コードはリポジトリに格納されバージョン管理される

5 IaC実⾏基盤とはインフラのコードを実⾏する場所 • CloudFormation • create-stack • Terraform •
terraform plan • AWS Cloud Development Kit（AWS CDK） • cdk deploy • Pulumi • pulumi up

6 IaC実⾏基盤の代表例と Pros and Cons

7 IaC実⾏基盤の代表例とPros and Cons 構成内容 Pros and Cons 作業⽤
クライアントPC • インフラ管理者のクライアントPCからコード実⾏ • 柔軟性は⾼いが実⾏環境を統⼀しづらい • 往々にして実⾏コードとリポジトリがずれる EC2 （SSH接続） • EC2にSSHでログインして、コード実⾏ • IaC実⾏権限の管理が煩雑（SSH秘密鍵と IAMの2重管理） • EC2の料⾦が気になる EC2 （セッションマネージャー接続） • EC2にセッションマネージャーでログインして、コード実⾏ • SSH接続よりマシ • EC2の料⾦が気になる Cloud9 • Cloud9にログインして、コード実⾏ • そもそもCloud9は開発環境だから使う意味なさそうリポジトリから⾃動適⽤ • プルリクエストでコードのテスト • エラーなければ特定ブランチマージから⾃動デプロイ • アプリケーションデプロイフローの流れをインフラコードに適⽤ • ⼀番オシャレで今どき • 実⾏コードがリポジトリと同⼀なのはすごく安⼼ • 構築が⼤変。terraformは良いが、CLI体系が変なCloudFormationとかは地獄

8 CloudShellは IaC実⾏基盤として使えるか︖

9 IaC実⾏基盤として使うためにきになること 1. 実⾏権限 2. 料⾦ 3. 実⾏ログ 4. IaC実⾏のための前準備

10 １．実⾏権限マネジメントコンソールアクセス時の実⾏権限をそのまま使うため、ユーザー管理をIAMに統⼀できる AWS SSOユーザーでも問題なく権限を利⽤可能

11 ２．料⾦「各リージョンで最⼤10個のシェルを同時に無料で利⽤可能」ということは実質無料

12 3．実⾏ログヒストリーは残るが実⾏ログは⾃前で残す必要あり • cat $HISTFILE CloudShellは中⾝はFargateっぽいので、awslogsドライバーからのCloudWatch Logsはそのうち対応される匂いがするので、それを待ちましょう

13 ４．IaC実⾏のための前準備 CloudFormationの場合 • IaCのコード • CodeCommit︓IAMの権限でそのまま”git clone” • GitHub︓認証させるのがめんどくさいため、GitHubプッシュ時
に⾃動でS3コピーしておいて、CloudShellから”aws s3 cp” • 注意︓homeディレクトリは容量が1Gなのと、IaCコードはテンポラリなので/tmp配下とかの利⽤を推奨 • CloudFormationの実⾏ • aws cli v2がそのまま使えるので、その前提のシェルから実⾏できるなら問題なし • aws cli v2の最新バージョンの反映にどのぐらいタイムラグあるか不明なので、不安なら都度アップデートしましょう

14 ４．IaC実⾏のための前準備 Terraformの場合 • IaCのコード • CloudFormationと同じ • Terraformの実⾏ •
公式の「Install Terraform」のLinux版はそのまま動いた • ブートストラップ的なシェルにいれておけば⼿間なく準備できそう • tfstateはそのアカウントのS3に⼊れておく前提

15 ４．IaC実⾏のための前準備 Q︓IaC実⾏環境のためにコンテナは利⽤できないのか︖

16 ４．IaC実⾏のための前準備 Q︓IaC実⾏環境のためにコンテナは利⽤できないのか︖ A︓CloudShellはそもそもコンテナベース。バイナリインストールしてあれこれやってみましたが、Docker がそもそも使えないっぽい。深⼊りは怖いのでやってない

17 結論 CloudShellは IaC実⾏基盤として使えるのか︖

18 結論「⼤丈夫だ、問題ない」

19 まとめいくらか制限はあるが、その制限をわりきって使うのは問題なさそう • 実⾏ログをきちんと残す仕組みを構築 • 実⾏権限や履歴をCloudTrailで管理する • まずはステージングでやってみようね♡

CloudShellをIaC実行基盤として考える

CloudShellをIaC実行基盤として考える

濱田孝治

More Decks by 濱田孝治

Other Decks in Technology

Featured

Transcript

CloudShellを IaC実⾏基盤として考える by ハマコー 1

2 @hamako9999 ハマコー

3 IaC実⾏基盤ってなんやねん︖

4 IaCとは Infrastructure as Code（インフラをコードで定義） • CloudFormation • Terraform •

5 IaC実⾏基盤とはインフラのコードを実⾏する場所 • CloudFormation • create-stack • Terraform •

6 IaC実⾏基盤の代表例と Pros and Cons

7 IaC実⾏基盤の代表例とPros and Cons 構成内容 Pros and Cons 作業⽤

8 CloudShellは IaC実⾏基盤として使えるか︖

9 IaC実⾏基盤として使うためにきになること 1. 実⾏権限 2. 料⾦ 3. 実⾏ログ 4. IaC実⾏のための前準備

10 １．実⾏権限マネジメントコンソールアクセス時の実⾏権限をそのまま使うため、ユーザー管理をIAMに統⼀できる AWS SSOユーザーでも問題なく権限を利⽤可能

11 ２．料⾦「各リージョンで最⼤10個のシェルを同時に無料で利⽤可能」ということは実質無料

12 3．実⾏ログヒストリーは残るが実⾏ログは⾃前で残す必要あり • cat $HISTFILE CloudShellは中⾝はFargateっぽいので、awslogsドライバーからのCloudWatch Logsはそのうち対応される匂いがするので、それを待ちましょう

13 ４．IaC実⾏のための前準備 CloudFormationの場合 • IaCのコード • CodeCommit︓IAMの権限でそのまま”git clone” • GitHub︓認証させるのがめんどくさいため、GitHubプッシュ時

14 ４．IaC実⾏のための前準備 Terraformの場合 • IaCのコード • CloudFormationと同じ • Terraformの実⾏ •

15 ４．IaC実⾏のための前準備 Q︓IaC実⾏環境のためにコンテナは利⽤できないのか︖

17 結論 CloudShellは IaC実⾏基盤として使えるのか︖

18 結論「⼤丈夫だ、問題ない」

19 まとめいくらか制限はあるが、その制限をわりきって使うのは問題なさそう • 実⾏ログをきちんと残す仕組みを構築 • 実⾏権限や履歴をCloudTrailで管理する • まずはステージングでやってみようね♡