Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudFormationで管理されたシステムの変更でエラー連発した話

emi
July 23, 2021
Technology
2
800

 CloudFormationで管理されたシステムの変更でエラー連発した話

20210722(木)「JAWS-UG CLI専門支部 #188R CloudFormation入門」でのLTで発表したものです。(私がCFn好きな人に見えるとご指摘いただきましたので微修正しております。私はCFn苦手です)

波多野さんのスライドダイジェスト版ではメリットデメリットあわせてもっと深く言及されています↓
CloudFormationの理想と現実 〜 冷静にCloudFormationを考える/20210722-jawsug-cli-cloudformation
https://speakerdeck.com/opelab/20210722-jawsug-cli-cloudformation

emi

July 23, 2021
Tweet

More Decks by emi

See All by emi
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
3
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
0
34
AWS ログ解析のオデッセイ~システムの息遣いを読み解く冒険~/aws-log-analysis-odyssey-deciphering-the-breathing-of-systems
emiki
2
1.4k
何を使って可視化する?AWSでのログ分析/What-do-you-use-to-visualise-it-log-analysis-in-AWS
emiki
2
1.5k
Terraformあれやこれ/terraform-this-and-that
emiki
9
3.3k
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
5.3k
サーバーのセキュリティ対策とコンテナのセキュリティ対策の違い/hibiyatech_differences-between-server-security-and-container-security
emiki
0
1.6k
FSx for NetApp ONTAP のエンドポイントについて語りたい/hibiyatech1-i-want-to-talk-about-fsx-for-netapp-ontap-endpoints
emiki
0
1.1k
トレーナー視点を盗む~AWSトレーニングを通して学ぶ他者への伝え方~/Imitating-the-trainers-perspective-learning-how-to-communicate-to-others-through-AWS-training
emiki
0
60

Other Decks in Technology

See All in Technology
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
強いチームと開発生産性
onk
PRO
34
11k
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
220
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
170
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
【Pycon mini 東海 2024】Google Colaboratoryで試すVLM
kazuhitotakahashi
2
500
AIチャットボット開発への生成AI活用
ryomrt
0
170
ドメイン名の終活について - JPAAWG 7th -
mikit
33
20k
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
Writing Fast Ruby
sferik
627
61k
It's Worth the Effort
3n
183
27k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Docker and Python
trallard
40
3.1k
Building Adaptive Systems
keathley
38
2.3k
Designing for Performance
lara
604
68k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Site-Speed That Sticks
csswizardry
0
23
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
The Cult of Friendly URLs
andyhume
78
6k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k

Transcript

  1. CloudFormationで管理された システムの変更で エラー連発した話 2021/07/22(木) JAWS-UG CLI専門支部 #188R CloudFormation入門

  2. 目次 • 背景 • 奮闘記 • ここまで試行錯誤して • CloudFormation難点 •

    CloudFormationのユースケース

  3. 背景 好きなAWSサービスは CloudFormationです! ←私 • よくLTで聞くセリフ

  4. 経緯 • 前任者異動済み、システムについて何も知らない システムを利用する ユーザが変わったり 増えたりするので、 アクセス元IPの 変更をお願いします 奮闘記

  5. • マネジメントコンソールからEC2にとんで~ セキュリティグループ変えよう 奮闘記

  6. セキュリティグループ変えよう 実機とCFnテンプレートに 差異が出たらまずそう AWSソリューションアーキテクトアソシ エイトの勉強で「ドリフト」という単語 は知っていた (前任者の神の声) CloudFormationテンプレートが あるのでそれを変更 してください

    奮闘記

  7. CFnテンプレートを変更して適用 しよう • Systems Managerのパラメータを定義している yamlファイルあり • このパラメータのNWセグメントを追加・変更 すればいいんだ! 奮闘記

    既に探すのが つらい

  8. もちろんエラー • SSMパラメータで定義したNWセグメントがセ キュリティグループで使用されている(紐づい ている)ためエラー 192.168.10.0/24 奮闘記 ~in useなんちゃらというエラーが出ます

  9. もちろんエラー • SSMパラメータで定義したNWセグメントがセ キュリティグループで使用されている(紐づい ている)ためエラー いったん変更する必要がある パラメータを使っている部分 をコメントアウトします 奮闘記 めんどくさい

    やり方これで あってる?

  10. セキュリティルールを追加したら… • 既存のセキュリティグループのルール数が多す ぎてセキュリティルールを追加したらなんと上 限60超えた • AWSに上限緩和申請している時間がなかった • とりあえずセキュリティグループをもう一つ作 成してEC2に適用することにした

    (公式ドキュメント) Amazon VPC クォータ https://docs.aws.amazon.com/ja_j p/vpc/latest/userguide/amazon- vpc-limits.html 奮闘記

  11. セキュリティグループを追加してEC2 のスタックを更新しようとしたら… • EC2を置換(既存EC2を削除して新しいEC2を作 ろうとする挙動)しそうになった 奮闘記 本番で動いてるインスタンス削除 したら大事故になるのでは…? またどこか紐づいてる… •

    試しに検証環境でスタック更新を回したところ、 EC2のIPアドレスが別のパラメータと紐づいて いたため結局エラーで止まる

  12. • セキュリティグループの紐づけだけ手動で実施 した • CFnテンプレートはドリフトしないのでこれで よしとした セキュリティグループを追加してEC2 のスタックを更新しようとしたら… 奮闘記

  13. ここまで試行錯誤して • エラーを起こさないようにCFnテンプレートの 変更と環境変更を実施するには 1. 変更すべきパラメータを探し出す 2. 変更すべきパラメータに紐づいた部分を コメントアウトしスタック変更 3.

    パラメータを変更してスタック変更 4. コメントアウトした部分を戻してスタック変更 ↑これを初手でやるのはきつい ベストプラクティスではなさそう…

  14. 「ドリフト検出」 • 実環境とCFnテンプレートでリソースの差分を検出す る機能 • 手動で修正した箇所に差異がないかチェックするの に便利なツールではある • 差分を自動で修正してくれる機能はないので結局自 分で修正する必要がある

    • ドリフト検出サポートしていないサービスもあるら しい 使える機能 (公式ドキュメント) インポートおよびドリフト検出オペ レーションをサポートするリソース https://docs.aws.amazon.com/ja_jp/AW SCloudFormation/latest/UserGuide/reso urce-import-supported-resources.html

  15. 使える機能 「ロールバック設定」 • 本番環境に予期せぬ変更が加わらないようあらかじ めアラームを仕込んでおく • 一番最初にそこまで見越して作りこんでいるシステ ムに私はまだ出会っていない

  16. CloudFormation難点 • 解読・修正にスキルと慣れが必要 • 追跡つらい

  17. CloudFormationのユースケース ★CFnが適しているケース • 必ず実施すべきセキュリティ設定をテンプレートにしておく  「CloudTrail証跡有効化する」  「ルートアカウントのMFAを有効化しアクセスキーを削除する」 等 •

    ハンズオン • 本番環境の変更作業の前に検証環境を一発展開して検証  実際は本番と全く同じ環境を検証のためにデプロイできることは 少ない  検証用のSWのライセンスがない、大量インスタンスを展開すると 課金 ★CFnだとつらいケース • すべてをCFnだけで管理しようとする • いろんなパラメータがスタック間で紐づいている • 巨大なシステム

  18. • よくLTで聞くセリフ おわり 好きなAWSサービスは CloudFormationです! ←私 CloudFormation 苦手です!