Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevelopersIO 2022 俺のTerraform Pipeline

takakuni
July 29, 2022
Technology
0
10k

DevelopersIO 2022 俺のTerraform Pipeline

takakuni

July 29, 2022
Tweet

More Decks by takakuni

See All by takakuni
Classmethod AI Talks #13
takakuni
0
170
Allowed to prefixes
takakuni
0
220
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
200
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
230
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
330
New Security Challenges and Countermeasures Brought by Generative AI in Classmethod Cloud Security Fes
takakuni
0
340
サンプルサンプル株式会社 会社説明資料
takakuni
0
2.7k
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
0
400
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.2k

Other Decks in Technology

See All in Technology
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
maimyyym
1
180
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
19k
ウォンテッドリーのデータパイプラインを支える ETL のための analytics, rds-exporter / analytics, rds-exporter for ETL to support Wantedly's data pipeline
unblee
0
130
Amazon Aurora のバージョンアップ手法について
smt7174
2
150
役員・マネージャー・著者・エンジニアそれぞれの立場から見たAWS認定資格
nrinetcom
PRO
4
6.3k
ESXi で仮想化した ARM 環境で LLM を動作させてみるぞ
unnowataru
0
180
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
160
手を動かしてレベルアップしよう!
maruto
0
230
日経のデータベース事業とElasticsearch
hinatades
PRO
0
250
大規模アジャイルフレームワークから学ぶエンジニアマネジメントの本質
staka121
PRO
3
1.3k
【Findy】「正しく」失敗できる チームの作り方 〜リアルな事例から紐解く失敗を恐れない組織とは〜 / A team that can fail correctly by findy
i35_267
5
930
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
190

Featured

See All Featured
KATA
mclloyd
29
14k
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
4
430
Facilitating Awesome Meetings
lara
52
6.2k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.2k
For a Future-Friendly Web
brad_frost
176
9.6k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
A Tale of Four Properties
chriscoyier
158
23k
Become a Pro
speakerdeck
PRO
26
5.2k
Testing 201, or: Great Expectations
jmmastey
42
7.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k

Transcript

  1. 俺のTerraform Pipeline AWS事業本部コンサルティング部 たかくに

  2. 2 ⾃⼰紹介 名前︓たかくに 所属︓AWS事業本部コンサルティング部 ⼊社︓2022年1⽉にジョイン 好きなAWSサービス︓Amazon VPC Twitter︓@takakuni_

  3. 3 アジェンダ ・お題 ・私の考えたアーキテクチャ ・ワークフローをざっくり解説 ・アーキテクチャ解説 ・詰まった点やこだわった点 ・まとめ

  4. 4 お題 ある企業ではAWSリソースのデプロイツールでTerraformを 採⽤しています。 企業ではさらなるIaC化推進の⼀環として、デプロイフローを CI/CDで実装することを検討しています。 あなたはこのCI/CDパイプラインをどのように設計しますか︖

  5. 5 私の⾒解 唯⼀解はないと思います。 (みんな違ってみんないい)

  6. 6 ツールの⼀例

  7. 7 私の考えたアーキテクチャ

  8. 8 私の考えたアーキテクチャ

  9. 9 ワークフロー

  10. 10 ワークフロー

  11. 11 ワークフロー

  12. 12 ワークフロー

  13. 13 ワークフロー

  14. 14 ワークフロー

  15. 15 ワークフロー

  16. 16 ワークフロー

  17. 17 ワークフロー

  18. 18 ワークフロー

  19. 19 アーキテクチャ解説

  20. 20 アーキテクチャ解説

  21. 21 アーキテクチャ解説

  22. 22 アーキテクチャ解説 (Lambda) CodeBuild (tfsec)の実⾏内容 exclude.ymlの例 tfsec -s --no-color --config-file

    exclude.yml . tfsec -s --no-color --config-file exclude.yml . --format junit > reports/tfsec/report.xml --- exclude: # Ignoreしたいルールを記載 - aws-iam-enforce-mfa - aws-vpc-add-description-to-security-group

  23. 23 アーキテクチャ解説

  24. 24 アーキテクチャ解説 (tfsec) なぜ、Secrets Managerを使うのか →「Docker Hubのイメージ取得制限」を回避するため 添付画像:docker docsより引用

  25. 25 解決⽅法 ① Secrets Managerを使⽤して、認証ユーザー経由でイメー ジを取得する。 ②NAT Gatewayを使⽤して、IPアドレスを変更してイメージ を取得する。 ③イメージをECRに保存して、ECRからイメージを取得する。

  26. 26 解決⽅法 (Secrets Manager) ・Docker Hubへログインして認証 ユーザーとしてイメージを取得 ・「レジストリの認証情報」では、 Secrets Managerが必要

    添付画像:AWS ナレッジセンターより引用

  27. 27 解決⽅法 (NAT Gateway)

  28. 28 解決⽅法 (ECR)

  29. 29 解決⽅法 ① Secrets Managerを使⽤して、認証ユーザー経由でイメー ジを取得する。 ②NAT Gatewayを使⽤して、IPアドレスを変更してイメージ を取得する。 ③イメージをECRに保存して、ECRからイメージを取得する。

  30. 30 解決⽅法 ① Secrets Managerを使⽤して、認証ユーザー経由でイメー ジを取得する。 →新しいイメージを使いたい。コスト最適化。 ②NAT Gatewayを使⽤して、IPアドレスを変更してイメージ を取得する。

    →NAT Gatewayの使⽤⽤途が「CI/CDパイプラインに限る」 場合、コスパが悪い。 ③イメージをECRに保存して、ECRからイメージを取得する。 →バージョン管理が⼤変。古いイメージの使い回しの恐れ。

  31. 31 解決⽅法 “Too Many Requests.” でビルドが失敗する…。AWS CodeBuild で IP ガチャを回避するために

    Docker Hub ロ グインしよう!という話 Docker オフィシャルイメージが ECR Public で利用可能 になりました #reinvent

  32. 32 アーキテクチャ解説

  33. 33 アーキテクチャ解説

  34. 34 アーキテクチャ解説 printenvコマンドの出⼒結果(⼀部抜粋)

  35. 35 アーキテクチャ解説

  36. 36 アーキテクチャ解説

  37. 37 アーキテクチャ解説 [AWS × Terraform] plan できるけど apply できない GitOps

    な IAM ユーザーポリシーの設定方法 ・アーティファクト⽤のS3バケットへ の操作権限 ・S3、DynamoDBの暗号化で使⽤する KMSキーへの操作権限 ・CloudWatch Logsへのビルドログの 配信権限

  38. 38 まとめ

  39. 39 まとめ ・なるべくAWSリソースを使⽤した設計をご紹介 ・CodeBuildからDocker Hubへのイメージプルには注意 ・CodePipelineでは「名前空間」で値の受け渡しが可能 ・terraform planのIAMロールは「ReadOnlyAccess」が有効 TerraformのCI/CDパイプラインを実装してみた

  40. None