非IaCなAWS環境をCloudFormationでIaC化する

Transcript

1. 非IaCな環境をCloudFormationで IaC化する
 2023/10/09 AWS10分LT会 - vol. 1 1 石橋翔太 (@kefi550)

2. IaCとは https://docs.aws.amazon.com/ja_jp/whitepapers/latest/introduction-devops-aws/infrastructure-as-code.html

3. • AWSリソースがほぼすべて手で作られており、コード化はされていない
 課題 
 • 本番/ステージングで細かい差分が多い...無意味な差分がある...
 • 作業(手順)漏れなどによるリリース失敗...
 • AWSリソース等環境の把握、変更レビューがムズい...(自分が入社したときムズかった)


4. コード管理されず、手作業によるインフラ管理は盆栽になりやすい
 課題 ステージング 本番 とりあえず変更... とりあえず変更... なんでこうなってんだっけ？

5. • パラメータを変えることで、あるテンプレート から環境ごとのリソースを作る
 理想の状態 共通テンプレート stagingリソース productionリソース Env=production Env=staging

6. 無意味な本番/ステージングの差分を防止
 理想の状態 共通テンプレート stagingリソース productionリソース Env=production Env=staging

7. • 既存リソースをCFnスタックにimportする
 ◦ import作業は多少めんどい
 ◦ 再作成できない系リソースはこっちがいい
 • 既存リソースと等価なリソースをCFnで作成し、古いリソースを削除するリプレイス
 ◦ 作るのはラク


   ◦ 新たに作ったリソースが要件を満たしているかの確認を注意する必要がある
 • 新規作成系リソースは必ずCloudFormationで作る心構えをする
 ◦ 既存リソースをコード化するのに比べてラクなので新規作成時にコード化すべき
 既存リソースをCloudFormation化していくアプローチ

8. • former2 をつかって本番/ステージングそれぞ れのリソースのテンプレートを得る
 • https://github.com/iann0036/former2
 
 既存リソースをCFnスタックにimportする

9. • 本番/ステージングの同じ役割のリソースをFn::If 等を使って気合で1つのテンプレートにマージ
 • スタックにimportして、ドリフトが無いことを確認(ドリ フト検出できないリソースもある )
 
 既存リソースをCFnスタックにimportする

10. • 本番/ステージングの変な差分
 課題 本番DB sg-xxx TCP 5432 allow from sg-zzz

    ステージングDB sg-yyy TCP 5432 allow from 0.0.0.0/0

11. 
 • Fn::Sub や Fn::Ref等を使って共 通テンプレートを整理する
 
 
 既存リソースをCFnスタックにimportする 


    一旦既存の状態をそのままスタックにimportしてから細かく変更することで、影響範囲やレビュー 負荷を小さくできる
 


12. 
 • 一旦既存の状態のままスタックにimportしてから細かく変更することで、影響範囲やレビュー負荷 を小さくできる
 • importの段階で多少の気合が必要
 ◦ ドリフト検出を使って、テンプレートが正しく現状と合っているかは確認できる
 
 


    既存リソースをCFnスタックにimportする 
 
 
 


13. • ほぼコード化されていないAWSリソースをCloudFormationでコード化しています
 • CFn resource importで安全にCFn移行
 
 コード化していまのところ良かったこと
 • (リソースの作成変更といった)作業漏れが発生しにくい


    • マネコンから作るのに比べて、細かいパラメータへの意識
 • レビューしやすい
 • ゴミが残りづらい
 • オンボーディングに便利(だと思う)
 おわりに

14. インフラはコードで管理しよう