コンテナイメージを複数のチームで扱うための、ビルドフローの構築・運用 / Building and Managing a Container Image Workflow for Multiple Teams

Slide 1

Slide 1 text

コンテナイメージを複数のチームで扱うための、ビルドフローの構築・運用 2024年11月29日株式会社コドモン小西達大ゆるSRE勉強会 #8

Slide 2

Slide 2 text

2 経歴 1996年生まれ、大阪育ち。前職でアプリケーションエンジニアとして従事後、株式会社コドモンのSREチームにジョイン。関心のある分野はコンテナとセキュリティ。自己紹介小西達大こにしたつひろ

Slide 3

Slide 3 text

3 Mission

Slide 4

Slide 4 text

4 すべての先生に子どもと向き合う時間と心のゆとりをこんなプロダクトを開発していますメインプロダクトは、保育・教育施設向けWebアプリケーション。保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版アプリケーション、外部サービスと連携するAPIなども開発しています。

Slide 5

Slide 5 text

5 全国のこども施設へのICT普及実績 ● 2014年のサービスリリース以降、全国的に導入が拡大し、現在は保育業務支援システムとして国内で最も普及が進んでいます。（※） 2022年4月 14,800 2021年4月 11,400 2020年4月 8,000 2019年4月 5,200 2018年4月 3,000 1,500 全国導入数 20,000 施設 2024年11月現在 20,000 園児数　　: 約176万人職員数　　: 約40万人保護者数　: 約315万人 99 継続利用率 .8％ 2023年4月 ※東京商工リサーチ「SaaS型業務支援システムの導入園調査2022」 5

Slide 6

Slide 6 text

6 今日話すこと複数チームが関わるシステムにおいて、ビルドフローで重要なことビルドフローの構築・運用について

Slide 7

Slide 7 text

7 弊社のシステム・組織構成について

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

15 1：脆弱性スキャンをCICDに組み込む

Slide 16

Slide 16 text

Slide 17

Slide 17 text

17 CONFIDENTIAL - © 2022 CoDMON Inc. 17 脆弱性スキャンを有効活用するためのポイント ● パイプラインの中で、なるべく早期に脆弱性を検出し、問題を取り除くことが大切 ○ 本番環境のリポジトリにPush後や、デプロイ後の検知だと、問題の修復に時間がかかったり、対応が後回しになったりする ○ 脆弱性スキャンをCICDに組み込み、ビルドしたコンテナイメージに対してスキャンを実行することで、問題の早期発見が可能になる

Slide 18

Slide 18 text

Slide 19

Slide 19 text

19 CONFIDENTIAL - © 2022 CoDMON Inc. 19 脆弱性スキャンツールの選定 ● 脆弱性スキャン製品は数多く存在するが、Amazon Inspector を利用する ○ マイクロサービスチームで利用実績あり ○ メインサービス側も、レポジトリPush後の継続的スキャンはAmazon Inspector を使うので、それに合わせたいただし、ECR拡張スキャンによってInspectorと統合した場合は、レポジトリにコンテナイメージをPushして以降でないとスキャンを実施できない・・・

Slide 20

Slide 20 text

20 CONFIDENTIAL - © 2022 CoDMON Inc. 20 脆弱性スキャンツールの選定 ● Amazon Inspector CI/CD統合 ○ re:Invent 2023 で発表された機能 ○ https://docs.aws.amazon.com/ja_jp/inspector/latest/user/scanning-cicd.html 1. 提供されたアーティファクトからSBOM(ソフトウェア部品表)を生成 2. SBOMをAmazon Inspectorに送信し、脆弱性レポートが生成されるビルドしたコンテナイメージに対して、脆弱性スキャンを実施可能に

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

25 CONFIDENTIAL - © 2022 CoDMON Inc. 25 運用時のポイント：抑制ルールの実装 ● ただし、Amazon Inspector CICD統合機能では、今のところ抑制機能は用意されていない・・・ ○ https://github.com/aws-actions/vulnerability-scan-github-action-for-a mazon-inspector/issues/90

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

28 2：チェック済のイメージのみ本番環境にデリバリーする

Slide 29

Slide 29 text

Slide 30

Slide 30 text

30 CONFIDENTIAL - © 2022 CoDMON Inc. 30 Stg環境へのデプロイについて ● デプロイ実施前に、各種チェックを実施 ○ 【既存から存在】各種自動テスト（Unit Test・E2E Test） ○ 【コンテナ化に伴い新設】コンテナイメージに対する脆弱性スキャン ● チェックを通過したコンテナイメージのみ、Stg環境のリポジトリにPush される ○ 本番環境でもこのイメージをそのまま使うことで、信頼されたイメージのみ本番環境にデリバリー可能

Slide 31

Slide 31 text

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Slide 34

Slide 34 text

34 CONFIDENTIAL - © 2022 CoDMON Inc. 34 レプリケーション利用時のポイント1 ● コンテナイメージの環境依存をなくす ○ 例えば、コードのビルド時に環境変数を埋め込んでいたり、環境ごとに設定ファイルが違っていたりすると、stg環境用にビルドしたイメージを本番環境に適用できない ○ どの部分に環境依存が含まれるかは、システムによって異なるため、事前に確認し、取り除いておくことが必要

Slide 35

Slide 35 text

35 CONFIDENTIAL - © 2022 CoDMON Inc. 35 レプリケーション利用時のポイント1 ● ソースコードの環境依存 ○ ビルド時に環境依存値を埋め込まない形に修正 ● サーバー用の設定ファイル ○ stg・本番環境では同様の設定ファイルを利用する ● 環境変数ファイル ○ コンテナ起動時に作成 ○ 環境変数値はコンテナ(ECSタスク)起動時にSecrets Managerから取得可能

Slide 36

Slide 36 text

36 CONFIDENTIAL - © 2022 CoDMON Inc. 36 レプリケーション利用時のポイント2 ● どのイメージがデプロイ済か(運用環境で動作しているか)を明確にする ○ 例えばstg環境動作確認時に問題点が発覚し、修正バージョンを含めて再度stg にデプロイすると、本番環境のリポジトリに、実際にはリリースされなかったイメージが含まれてしまう ○ 誤ったイメージが本番環境にデプロイされてしまう可能性

Slide 37

Slide 37 text

37 CONFIDENTIAL - © 2022 CoDMON Inc. 37 レプリケーション利用時のポイント2 ● 本番デプロイフローの中で、本番リリース対象のコンテナイメージには別名のイメージタグを付与する ○ https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-retag.html ● どのイメージが本番デプロイ済か、一目でわかるようにする ● 元々付与されていたイメージタグ or 別名のイメージタグどちらでイメージpullしても同じ結果となる

Slide 38

Slide 38 text

38 まとめ

Slide 39

Slide 39 text

Slide 40

Slide 40 text

40 最後に

Slide 41

Slide 41 text

41 コドモン採用ページ開発ブログコドモンでは一緒に働きたい仲間を募集しています！