Upgrade to Pro — share decks privately, control downloads, hide ads and more …

1年間のポストモーテム運用とそこから生まれたツール sre-advisor / SRE NEXT 2022

1年間のポストモーテム運用とそこから生まれたツール sre-advisor / SRE NEXT 2022

SRE NEXT 2022
2022-05-14 14:45〜15:15
https://sre-next.dev/2022/schedule#jp15

FUJIWARA Shunichiro

May 14, 2022
Tweet

More Decks by FUJIWARA Shunichiro

Other Decks in Technology

Transcript

  1. 1年間のポストモーテム運用と
    そこから生まれたツール sre-advisor
    2022.05.14 SRE NEXT 2022
    面白法人カヤック 藤原俊一郎 @fujiwara

    View full-size slide

  2. @fujiwara
    SREチーム 自社サービスを主に担当
    ISUCON 11優勝 / ISUCON 12出題
    github.com/kayac/ecspresso
    Amazon ECS デプロイツール
    github.com/fujiwara/lambroll
    AWS Lambda デプロイツール

    View full-size slide

  3. Game & Community

    View full-size slide

  4. Agenda
    SREチームでポストモーテムを1年半運用してみた
    ポストモーテムの運用から sre-advisor というツールが生まれた

    View full-size slide

  5. ポストモーテムとは?
    postmortem=事後検証 システムにインシデント発生したことによる影響、緩和や解決のた
    めに取られた行動、インシデントの原因、再発防止策などをまとめた文書

    View full-size slide

  6. なぜポストモーテムを統一運
    用しようと思ったのか
    カヤックのSREチームはいわゆる
    「Embedded SRE」
    自分が関わっていないインシデントは把
    握しづらい
    SRE以外のエンジニアではなおさら

    View full-size slide

  7. ポストモーテムで知見を共有したい
    インシデント発生時に実際に手を動かす人がどうしても固定化されてしまう
    経験が多かったりチーム歴が長いエンジニアが速攻で対応を済ませがち
    → あらたに経験を積む機会が減ってしまう
    インシデントから得られた知見を共有したい
    2020年10月から各チーム横断で統一運用に取り組むことに

    View full-size slide

  8. 取り決めた運用フロー
    あらかじめテンプレートをGoogle
    ドキュメントで用意
    チーム内でレビューして作成
    月に1回、Slackチャンネルで
    「先月のポストモーテム」
    興味を引く一言コメント付き

    View full-size slide

  9. 通称「月刊ポストモーテム」

    View full-size slide

  10. 「非難をしない」こと
    ポストモーテムで批判を行わないことは、SRE の文化における信条です。ポストモーテ
    ムが本当に非難を伴わないようにするためには、悪い行動や不適切な行動をもって特定
    の個人やチームを糾弾することなく、インシデントに影響を及ぼした原因を特定するこ
    とに集中しなければなりません。非難なくポストモーテムを書くための前提となるの
    は、インシデントに関わりを持ったすべての人々が善意の下で、知り得た情報をもって
    正しい行動をとったものと考えることです。個人やチームの「間違った」行いに対する
    指弾と不名誉の文化が広がってしまえば、人々は処罰を恐れて問題を公表しようとしな
    くなります。
    O'Reilly SRE サイトアビリティエンジニアリング 15章
    これは特に取り決めも心配もしなかった
    元々社内の文化として、特定の個人を非難するような風潮はない

    View full-size slide

  11. ポストモーテムを書くかどうかの判断基準
    プロダクトの利用者に大きな影響を与えたインシデントについては必ず書く
    「大きな」の定義は当初は漠然
    SLI/SLOを運用しているチームではエラーバジェットの消費量を基準に
    メンテナンス時などに想定外の事象が発生した場合は、積極的に書く
    他のチームへ想定外だった事例を共有する

    View full-size slide

  12. たまには1本もない月もあります

    View full-size slide

  13. ポストモーテムを運用してみてよかったこと
    1. 原因追及や根本原因の解消が放置されにくくなった
    2. 社内の他のプロダクトで起きている事例を知る機会に
    3. プロダクトが消滅しても、その事例が保持される

    View full-size slide

  14. 1. 原因追及や根本原因の解消が放置されにくくなった
    インシデントはいつ発生するか分からない
    業務時間外の夜間や休日に発生 → その場での対応でおしまいになりがち
    ポストモーテムを書く → 発生原因やタイムラインを詳しく調査する必要がある
    根本原因の解消や再発防止のために時間を使えるようになった

    View full-size slide

  15. 2. 社内の他のプロダクトで起きている事例を知る機会に
    (業態的に)社内には多数のプロダクトがある
    他のプロダクトで起きているインシデントを知る機会になった
    自分が関わっていない場所のインシデント
    → 共通する技術要素を使っていれば参考にでできるように

    View full-size slide

  16. 3. プロダクトが消滅しても、その事例が保持される
    社内に多数のプロダクトがある ⇔ 常に多数のプロダクトが誕生、終了
    プロダクト内に閉じたドキュメントでは見返されなくなってしまう
    統一的なとりまとめで終わってしまったプロダクトの事例も永続化できるように

    View full-size slide

  17. 発生要因を振り返って気が付いたこと
    クラウドインフラやミドルウェアなどの設定(不備)が発生要因の場合がけっこうある
    通常時には問題ないが、高負荷や長期間の運用で…
    これらをどうやって炙り出すか?

    View full-size slide

  18. 【例】とあるポストモーテムより
    根本原因
    ***の情報取得の権限確認の部分がN+1クエリ状態になっていた。その結果、***管理サ
    ービスの前にいるAppMesh Envoyで接続数が増大してファイルディスクリプタが枯渇
    し、***管理サービスのECSタスクが終了するという状態が起きた。
    N+1クエリ状態になっていた。
    ECS Taskの各コンテナにulimitを設定していなかったため、ファイルディスクリプ
    タが枯渇しやすい状態だった。
    「ulimit がデフォルト(nofiles 1024)だと高負荷時に足りないことがある」
    対策「ECSタスク定義を確認する」……だれがどうやって?

    View full-size slide

  19. 「チェックシート」はトイル
    「リリース前にこのチェックシートを確認して提出してください!」
    継続的に運用するとインフラリソースやミドルウェアは増えていく
    そのたびにチェックシートを埋めるのは……
    トイルとは、プロダクションサービスを動作させることに関係する作業で、手作業で繰
    り返し行われ、自動化することが可能であり、戦術的で長期的な価値を持たず、作業量
    がサービスの成長に比例するといった傾向を持つもの
    O'Reilly SRE サイトアビリティエンジニアリング 5章
    SREならエンジニアリングで解決しよう!

    View full-size slide

  20. sre-advisor
    社内ツールを作った
    AWS SDK for Go v2を使用
    アカウントに存在している各種リソースの設定を取得、問題がある内容を検出
    結果を text / markdown で出力する CLI ツール

    View full-size slide

  21. sre-advisorが検出する項目(例)
    Amazon ECS のタスク定義で、コンテナにulimitが定義されていない
    デフォルトのnofiles 1024では足りないことがある
    ALB のデフォルトアクションで forward を指定
    IPアドレスなどによる直接アクセスが意図せず貫通する
    デフォルトアクションでは静的に404を返却
    forwardはHostヘッダ条件などのルールで行うのを推奨
    AWS Lambda の呼び出しで alias や revision を指定していない
    デプロイ中に$LATESTを呼び出すとエラーが発生する可能性(2021年〜)
    Amazon RDS でデフォルトのパラメータグループを使っている
    デフォルトパラメータグループは編集できない
    変更する際に再起動が必要になる

    View full-size slide

  22. 検出結果(例)
    [Critical] ECS
    のタスク定義『example:1
    』内のコンテナ nginx
    にはulimits
    の設定が足りていません。

    [Warning] ELB
    ロードバランサー『web
    』のデフォルトアクションに"forward"
    タイプが使用されています。

    [Warning] Lambda
    関数『foo
    』の$LATEST
    は『arn:aws:events:ap-northeast-1:123456789012:rule/bar


    からのlambda:InvokeFunction
    の許可が与えられてます。

    [Warning] DB
    インスタンス『db1
    』のDB
    パラメータグループが『default.aurora-mysql5.7
    』です。

    View full-size slide

  23. どう直せばいいのか推奨も表示する
    [Critical] ECS
    のタスク定義『example:1
    』内のコンテナ nginx

    にulimits
    の設定を追加してください。

    nofile,nproc
    に関して以下のように設定してください。

    "ulimits": [

    {

    "name": "nofile",

    "softLimit": 10000,

    "hardLimit": 10000

    },

    {

    "name": "nproc",

    "softLimit": 10000,

    "hardLimit": 10000

    }

    ],

    ECS Fargate
    タスクでのデフォルトのnofile
    のソフト制限は1024
    です。

    設定していない場合、Too many open files
    のようなファイルディスクリプタの上限に達して

    ECS
    タスクが突然終了するような現象が起きる可能性があります。

    View full-size slide

  24. AWS Trusted Advisor の警告も一緒に取得
    AWSコンソールを見に行くのが面倒なのでついでにAPIで取得して表示
    [Warning] Trusted Advisor[cost_optimizing
    関連付けられていない Elastic IP Address] CheckID:Z4AUBRNSmz

    [Critical] Trusted Advisor[fault_tolerance Amazon EBS
    スナップショット] CheckID:H7IgTzjTYb

    View full-size slide

  25. Trusted Advisorの推奨はAPIで返ってくるものを表示
    DescribeTrustedAdvisorChecks APIが親切にHTMLで文字列を返してくれる
    適当にtext化
    ─────────────
    推奨アクション1──────────────

    [Warning] Trusted Advisor[cost_optimizing
    利用頻度の低い Amazon EBS
    ボリューム]

    をOK
    にしてください。CheckID:DAvU99Dc4C

    Amazon Elastic Block Store (Amazon EBS)
    ボリュームの設定をチェックして、

    ボリュームが十分に使用されていない可能性を警告します。課金はボリューム作成時に開始します。

    ボリュームがしばらくの間アタッチされないままになっているか書き込みアクティビティが非常に少ない
    (
    ブートボリュームを除く)
    場合、そのボリュームはおそらく使用されていません。

    ...(
    略)

    View full-size slide

  26. 指摘されても無視したいことはある
    [Warning] Trusted Advisor[fault_tolerance Amazon RDS Multi-AZ]
    がOK
    ではありません。

    CheckID:f2iK5R6Dep

    「開発用のRDSしかないのでMulti-AZにはしていないんですよ」
    設定ファイルでIDを指定すると指摘されなくなる
    rules:

    trusted_advisor:

    suppression_rules:

    - check_id: f2iK5R6Dep

    View full-size slide

  27. 結果を GitHub Flavored Markdown で出力できる
    $ advisor run --reporter github

    GitHub Actionsで実行 → gh issue create
    でissueにできる
    Advisor
    が完走しました。: 0 Critical, 1 Warning, 2 Suppressed, 30 Good

    1
    箇所の推奨アクションがあります。




    動作ログ

    ```properties

    [Warning] ELB
    ロードバランサー『web
    』のデフォルトアクションに"forward"
    タイプが使用されています。

    `` `



    ##
    推奨アクション

    - [ ] [Warning] ELB
    ロードバランサー『web
    』のデフォルトアクションには"forward"
    タイプを使用しないでください。

    View full-size slide

  28. 定期的に指摘潰し祭り
    GitHub Actions workflow ポチ
    sre-advisor が issue 作成
    推奨アクションを分担して解消
    無視したいものは設定ファイルで
    人が見慣れた警告を無視する習慣を付け
    ないように運用

    View full-size slide

  29. 社内ツールの配布方法
    sre-advisor は現在 internal repo
    private/internal repo の GitHub Release を取得するのはちょっと面倒
    (このためにpersonal access tokenを用意するのは…)
    GitHub Actionsでビルド → Amazon S3へ配置する
    Organization の AWSアカウントで認証済みなら取得できるようにしてみた

    View full-size slide

  30. S3 Bucket Policy の設定でできます
    Condition で "aws:PrincipalOrgID" に AWS Organization ID を指定する
    → その Organization のアカウントからのみアクセスを許可できる
    {

    "Version": "2012-10-17",

    "Statement": [{

    "Sid": "DelegateS3Access",

    "Effect": "Allow",

    "Principal": "*",

    "Action": ["s3:GetObject", "s3:ListBucket"],

    "Resource": ["arn:aws:s3:::example-bucket", "arn:aws:s3:::example-bucket/*"],
    "Condition": {

    "StringEquals": {

    "aws:PrincipalOrgID": "o-999999999" // ←
    ここがポイント

    }

    }

    }]

    }

    View full-size slide

  31. まとめ
    カヤックではSREチーム主導でポストモーテムを1年半運用してみました
    ポストモーテムを書くことには利点がたくさんあります
    ポストモーテムで得られた運用上の知見を共有するため
    sre-advisor というツールを作りました
    インシデント → ポストモーテム → sre-advisor → 事前検出 →
    インシデントから得られた知見をコード化して平和を目指しましょう

    View full-size slide

  32. LICENSE
    Twemoji by Copyright 2021 Twitter, Inc and other contributors is licensed under CC-BY 4.0

    View full-size slide