AWS Startup Day 2023 今日ここで！ コスト削減ハンズオン Startup Community Hiroaki OGASAWARA (@xhiroga)

No content

やること・やらないこと ● やること ○ 実験などで作成したゴミリソースの掃除 ○ 主にアプリケーションを ECSを動かしている方向けの設定 ● やらないこと ○ Reserved InstanceやSavings Planといった、前払い系の施策は紹介しません ○ Cost ExplorerやBilling Dashboardの見方は紹介しません ○ Anomaly Detectionの設定やFinOpsといった、運用には踏み込みません

No content

目次 1. 検査 a. AWS Trusted Advisor b. AWS Compute Optimizer c. EC2 Global View d. AWS Systems Manager Automation (AWSSupport-ListEC2Resources) 2. 適応 a. CloudTrail b. EC2の停止・削除 c. EIPの開放 d. ENIの削除 e. CPU・メモリ最適化（ECS） f. 休日・夜間の停止（ECS） g. Fargate Spot h. ECRのライフサイクルポリシー

ハンズオンのやりかた ● 本ハンズオンでは「実際にリソースを停止・削除」等することをオススメします。 ● はじめに不要リソースのリストアップをするので、お手元にGoogle Spreadsheetや Notionなどをご用意ください。

No content

おことわり ● 本ハンズオンの内容を実施したことで御社に損害があっても、責任を取りかねま す。自信がない方は有識者にレビューしてもらいましょう。 ● 2023-08-29時点の東京リージョンのコストを掲載しています。

検査 検査によって適応が可能になる。 ―スクラムガイド

サービス マルチ アカウント マルチ リージョン 主な対象 備考 AWS Trusted Advisor ✅ ✅ 各種Reserved Instance, Savings Plan, 各種利用率が低いリソース Organization管理アカウ ントのサポートプランが Buisness以上 AWS Compute Optimizer ✅ ✅ EC2インスタンス, Auto Scalingグルー プ, EBSボリューム, Lambda, ECS Fargate 使用可能なリージョンに 制限あり（東京・大阪 OK） EC2 Global View ❌ ✅ EC2インスタンス, EBS, VPC関連リソー ス AWS Systems Manager Automation AWSSupport-ListEC2Re sources ❌ ✅ EC2インスタンス, ENI, ELB, AMI, EBS スナップショット, EBSボリューム 検査

No content

AWS Trusted Advisor ● セキュリティやコストについての自動チェック ● サポートプランによって範囲が異なる ○ ベーシック（$0/月）、デベロッパー（$29/月）：コアセキュリティチェックなど ○ ビジネス（$100/月）以上：コスト最適化を含む全て ● Trusted Advisor自体の利用は無料（のはず） ● 主にReserved InstanceやSavings Planが勧められる

No content

No content

AWS Compute Optimizer ● AWSのCompute系リソースのコスト最適化のアドバイス ○ EC2: インスタンスサイズ小さくできるよ！ ○ ECS Fargate: CPUやメモリサイズ削減できるよ！ ● EBSのボリュームサイズ、Lambdaのメモリサイズの適切さについては、Trusted Advisorに統合できる ○ むしろEC2やECSの方が統合してほしいんですが ...？ ● 内部的にはCloudWatch Metricsを分析している ● 基本無料 ○ EC2とAuto Scaling Groupを対象に、分析期間を2週間から3ヶ月に延長できる有料機能 あり

はじめてオプトインする場合、 数分〜数十分（マルチアカウントの場合） はかかるかも？

cloudwatch:GetMetricDataを中心に、 ec2: や autoscaling: 、organizations: の権限

No content

No content

この組織のすべてのアカウントを対象にした場合、各メ ンバーアカウントでロールを発行し終わる（ =アカウント 画面でエラーが出ない）までに 15分程度かかります。

Organizationを有効化している場合、 アカウントを指定する必要ありです。 （一括検索してほしい！）

40時間程度メトリクスが取られていないとレコメンドさ れないらしいです。

No content

2023-08-31現在、EC2 Auto Scaling Groupが対象 です（ECSは対象外）

No content

No content

No content

EC2 Global View ● AWS リージョン全域で、インスタンス、VPC、サブネット、セキュリティグループ、ボ リュームなどの AWS リソースを閲覧できる ● すべてのAWSリージョンで利用可能 ● 全リージョンのデフォルトVPCリソースを削除するのにも便利 ● ユーザーの権限で実行するので、実行にあたり ec2:... のpermissionが必要

Organization非対応 気になるリソースがあるアカウントで 実行しましょう。

No content

余談: SCPでリージョン縛ってるとめっちゃエラー出ま す笑

AWS Systems Manager Automation ● Systems ManagerはオンプレとAWSのサーバー管理のツールセット ● AWSのマネージドサービスも管理できるように進化 ● EC2インスタンス機能のための機能群と、それ以外の機能群 ● ドキュメントという機能があり、これはAnsibleのPlaybookのようなもの ● 今回はドキュメント AWSSupport-ListEC2Resources を用いる

Organization非対応 気になるリソースがあるアカウントで 実行しましょう。

No content

No content

No content

No content

ロール指定がない場合、現在ログインしているユー ザーの権限で実行されます。

No content

No content

No content

検査のふりかえり ● 調べたいリソースはいくつありましたか？

適応 まずは、「捨てる」を終わらせてください。 ―近藤麻理恵

CloudTrail リソースの停止・削除で最も難しいのは、「本当に止めて／消していいのか？」 CloudTrailで監査ログを調べて、「いつ誰がリソースを作ったか」を確認！

サービス 保持期間 対象イベント 転送費用 保存費用 クエリ費用 CloudTrail イベント履歴 過去 90日間 CloudTrailイベント （管理） $0 $0 $0 CloudTrail + S3 + Athena S3に準じる CloudTrailイベント（管理・データ ・Insight）から選択 1つ目の Trailは無料 S3に準じる $5/TB (=Athena) CloudTrail Lake 最大 7 年間 (2557 日) CloudTrailイベント（管理・データ・ Insight）, AWS Configイベント, 外部イベントから選 択 $2.5/GB $0 $5/TB CloudTrailとCloudTrail Lake ● すでにCloudTrailの証跡 (Trail) が作成されていれば、それを見る ○ ex: Control Tower ● CloudTrailの証跡を作成する予定がなければ、 CloudTrail Lakeを検討！ 参考: [訂正記事] CloudTrail Lakeの保存料金はデータ取り込み時の一度だけでした！（毎月の保存料金は発生しません）

アンケート 1. Control Towerを有効化している 2. Control Towerは無効だが、CloudTrailからS3にログを保存している 3. CloudTrail Lakeを有効化している

No content

No content

No content

参考: CloudTrailイベントの違い ● 管理イベント ○ ex. S3 Bucketの作成、IAMリソースの作成 ● データイベント ○ ex. S3のGetObject、LambdaのInvokeFunction ● Insightイベント ○ 異常なアクティビティの検知 ○ GuardDutyがEC2やIAMに強いのに対し、幅広いAWSリソースに対 応している強みがある

CloudTrail + S3 + Athenaの構築 画像: S3 に保存した CloudTrail のログを Athena でクエリしてRoute 53 のレコードをいつ誰が作成したか調査してみた

0.KMSキーにLog Archiveアカウントのアクセス付与 Control TowerでCloudTrailの証跡 (Trail) を作成した方向けです。 KMSカスタマーキーのキーポリシーに以下のステートメントを追記します。 { "Sid": "Allow a LOG ACCOUNT", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::682025012577:root" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }

1. (CloudTrail) Athenaテーブルを作成

2. (CloudTrail) テーブルを作成

3. (Athena) 設定を編集

4. (Athena) S3 Bucketを選択 Expected bucket owner について ● 所有アカウントが異なるS3 Bucketに 結果を出力する場合、Bucket名は手 打ちになります。タイポで知らないアカ ウントのBucketに保存しないように、 所有アカウントIDを別途入力できるよ うです。 暗号化について ● AWSのAPI呼び出し時に秘匿すべき 情報を渡しているなら、暗号化すべき かも。

参考: S3 Bucketに保存される結果サンプル ● CSVとhive metadataの組み合わせが出力される

5. (Athena) お試しクエリ実行

CloudTrail Lake

● CloudTrail + S3 + AthenaとCloudTrail Lakeで型が異なる ○ CloudTrail + S3 + Athena ○ CloudTrail Lake ● まずは SELECT * でデータの特徴を掴む ● 型によって .(ドット)演算子、element_at、json_extractを使い分ける Athena / CloudTrail Lakeのクエリーのコツ

プロパティ Athenaの型 Lakeの型 eventversion STRING string useridentity STRUCT STRUCT eventtime STRING timestamp eventsource STRING string eventname STRING string awsregion STRING string sourceipaddress STRING string useragent STRING string errorcode STRING string errormessage STRING string requestparameters STRING map responseelements STRING map additionaleventdata STRING map requestid STRING string eventid STRING string readonly STRING boolean resources ARRAY array eventtype STRING string apiversion STRING string managementevent N/A boolean recipientaccountid STRING string sharedeventid STRING string annotation N/A string vpcendpointid STRING string serviceeventdetails STRING map addendum N/A map edgedevicedetails N/A map insightdetails N/A map eventcategory N/A string tlsdetails STRUCT structtlsversion:string,ciphersuite:string,clientprovidedhostheader:string sessioncredentialfromconsole N/A string eventjson N/A string eventjsonchecksum N/A string

考察 ● CloudTrail Trailは2023-09-02時点でS3に保存する際の形 式を選べず、JSON形式で保存される ● CloudTrail LakeはApache ORC形式に変換して保存してい る ● Lakeはクエリ以外で参照されないので思い切って Apach e ORC形式としたのではないか

No content

EC2インスタンスの停止・削除 CloudTrail Lake専用クエリ

EIPの開放

ENIの削除

CPU・メモリ最適化（ECS） 考察 ● 最低値はCPU: 256 (.25 vCPU)、メモリ: (512 MiB) ● CDKのデフォルトは256/512 ● 過去に「挙動が安定しなかった」「本番に大量リクエストがあ り、テンプレートごと修正した」のようなケースで取り敢えず 引き上げて忘れてることがよくある

休日・夜間の停止（ECS） ● Application Auto ScalingでCRON式によるサービスの停止・再開が可能 ● Application Auto ScalingにGUIはない ● CLI, API, CDK, Terraformなど、お好きな手段で設定ください ● APIとしてはタイムゾーンを設定できるが、2023-09-02 現在CDKからは設定するこ とができない ○ 頑張ってUTCに変換する

休日・夜間の停止（ECS）設定例 { "ScalableTargets": [ { "ServiceNamespace": "ecs", "ResourceId": "service/******", "ScalableDimension": "ecs:service:DesiredCount", "MinCapacity": 0, "MaxCapacity": 0, "RoleARN": "arn:aws:iam::************:role/aws-service-role/ecs.applicati on-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoS caling_ECSService", "CreationTime": "2023-06-14T18:26:19.446000+09:00", "SuspendedState": { "DynamicScalingInSuspended": false, "DynamicScalingOutSuspended": false, "ScheduledScalingSuspended": false }, "ScalableTargetARN": "arn:aws:application-autoscaling:ap-northeast-1:******" }, { "ScheduledActions": [ { "ScheduledActionName": "claim-internal-ecs-start", "ScheduledActionARN": "arn:aws:autoscaling:ap-northeast-1:******", "ServiceNamespace": "ecs", "Schedule": "cron(00 22 ? * SUN-THU *)", "ResourceId": "service/******", "ScalableDimension": "ecs:service:DesiredCount", "ScalableTargetAction": { "MinCapacity": 1, "MaxCapacity": 2 }, "CreationTime": "2023-06-14T18:01:04.088000+09:00" },

Fargate Spot ● ECS版のスポットインスタンス ● Savings Planは前払い、Fargate Spotは空きリソースの活用 ● タスクが中断することがある ● だいたいコストが3~4割に抑えられ る。 この期間は バグってたので 無視してください

Fargate Spot CDK設定サンプル export const fargateCapacity = (envPrefix: EnvPrefixType): CapacityProviderStrategy => { if (envPrefix == DEV') { return { capacityProvider: 'FARGATE_SPOT', weight: 1, }; } else { return { capacityProvider: 'FARGATE', weight: 1, }; } };

ECRのライフサイクルポリシー ● ルールを満たしたECRのイメージを期限切れにする ● 条件は「最新からn個以降」か「プッシュしてからn日以上」 ● 単に「プッシュしてからn日以上」だけ設定すると、うっかりイメージが全部消えて ECSが再起動できない羽目になるので注意（一敗） ● 使用中のイメージは消さないように、タグのprefixの設定を検討する

ECRのライフサイクルポリシー 設定例 lifecycleRules: [ { rulePriority: 1, description: 'Retain the last 10 images.', tagStatus: TagStatus.ANY, maxImageCount: 10, }, ],

まとめ ● リソースの可視化とコスト削減をしましょう！ ● 今日は取り上げませんでしたが、RDSなどもやっていきましょう！