Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DevelopersIO 2022 俺のTerraform Pipeline

takakuni
July 29, 2022
Technology
0
1.1k

DevelopersIO 2022 俺のTerraform Pipeline

takakuni

July 29, 2022
Tweet

More Decks by takakuni

See All by takakuni
AWS Engineer Meetsup 2023 登壇資料
takakuni
0
2.7k
JAWS-UG 朝会 #43 登壇資料
takakuni
0
540
JAWS-UG 横浜 #54 資料
takakuni
0
310
JAWS-UG 朝会 #40 登壇資料
takakuni
0
570
JAWS-UG 朝会 #36 登壇資料
takakuni
3
1.3k
JAWS-UG 朝会 #33 登壇資料
takakuni
0
980

Other Decks in Technology

See All in Technology
Oracle Database Technology Night #67 Oracle Database High Availability concept
oracle4engineer
PRO
0
480
リリースノートにないCDKのアップデートを見てみよう
watany
0
760
フルComposeでTVアプリを作った話
sasakitomohiro
0
160
DevSecOpsへの展開〜全てのチームの能力を最大限に引き出す/Expanding to DevSecOps
newrelic2023
0
200
AWSに関するOSS活動で得た貢献までの壁を越えるコツ
bun913
0
270
私が考えるCloudflareサービスが中小企業にもたらすインパクト
matyuda
0
130
AWS WAFおよびWafCharmを複数サービスに導入した結果と課題
iwamot
0
170
TrivyでAWSセキュリティをシフトレフトしよう
bitkey
PRO
1
510
LLMの普及による機械学習の民主化とMLPdMの重要性 / democratization-of-ml-and-importance-of-mlpdm-by-llm
yuya4
2
420
ChatGPTとこころを整理してみる
nagauta
0
310
Por que testes de unidade não são suficientes para seus microsserviços
rponte
1
700
これから始める継続的インテグレーション - GitHub Actions編
devops_vtj
0
130

Featured

See All Featured
Automating Front-end Workflow
addyosmani
1352
200k
Facilitating Awesome Meetings
lara
35
4.8k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
3
540
Docker and Python
trallard
31
2.1k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
Building Flexible Design Systems
yeseniaperezcruz
315
35k
Imperfection Machines: The Place of Print at Facebook
scottboms
255
12k
Building Adaptive Systems
keathley
29
1.5k
Become a Pro
speakerdeck
PRO
7
3.4k
Six Lessons from altMBA
skipperchong
16
2.5k
In The Pink: A Labor of Love
frogandcode
133
21k

Transcript

  1. 俺のTerraform Pipeline
    AWS事業本部コンサルティング部
    たかくに

    View Slide

  2. 2
    ⾃⼰紹介
    名前︓たかくに
    所属︓AWS事業本部コンサルティング部
    ⼊社︓2022年1⽉にジョイン
    好きなAWSサービス︓Amazon VPC
    Twitter︓@takakuni_

    View Slide

  3. 3
    アジェンダ
    ・お題
    ・私の考えたアーキテクチャ
    ・ワークフローをざっくり解説
    ・アーキテクチャ解説
    ・詰まった点やこだわった点
    ・まとめ

    View Slide

  4. 4
    お題
    ある企業ではAWSリソースのデプロイツールでTerraformを
    採⽤しています。
    企業ではさらなるIaC化推進の⼀環として、デプロイフローを
    CI/CDで実装することを検討しています。
    あなたはこのCI/CDパイプラインをどのように設計しますか︖

    View Slide

  5. 5
    私の⾒解
    唯⼀解はないと思います。
    (みんな違ってみんないい)

    View Slide

  6. 6
    ツールの⼀例

    View Slide

  7. 7
    私の考えたアーキテクチャ

    View Slide

  8. 8
    私の考えたアーキテクチャ

    View Slide

  9. 9
    ワークフロー

    View Slide

  10. 10
    ワークフロー

    View Slide

  11. 11
    ワークフロー

    View Slide

  12. 12
    ワークフロー

    View Slide

  13. 13
    ワークフロー

    View Slide

  14. 14
    ワークフロー

    View Slide

  15. 15
    ワークフロー

    View Slide

  16. 16
    ワークフロー

    View Slide

  17. 17
    ワークフロー

    View Slide

  18. 18
    ワークフロー

    View Slide

  19. 19
    アーキテクチャ解説

    View Slide

  20. 20
    アーキテクチャ解説

    View Slide

  21. 21
    アーキテクチャ解説

    View Slide

  22. 22
    アーキテクチャ解説 (Lambda)
    CodeBuild (tfsec)の実⾏内容
    exclude.ymlの例
    tfsec -s --no-color --config-file exclude.yml .
    tfsec -s --no-color --config-file exclude.yml . --format junit > reports/tfsec/report.xml
    ---
    exclude:
    # Ignoreしたいルールを記載
    - aws-iam-enforce-mfa
    - aws-vpc-add-description-to-security-group

    View Slide

  23. 23
    アーキテクチャ解説

    View Slide

  24. 24
    アーキテクチャ解説 (tfsec)
    なぜ、Secrets Managerを使うのか
    →「Docker Hubのイメージ取得制限」を回避するため
    添付画像:docker docsより引用

    View Slide

  25. 25
    解決⽅法
    ① Secrets Managerを使⽤して、認証ユーザー経由でイメー
    ジを取得する。
    ②NAT Gatewayを使⽤して、IPアドレスを変更してイメージ
    を取得する。
    ③イメージをECRに保存して、ECRからイメージを取得する。

    View Slide

  26. 26
    解決⽅法 (Secrets Manager)
    ・Docker Hubへログインして認証
    ユーザーとしてイメージを取得
    ・「レジストリの認証情報」では、
    Secrets Managerが必要
    添付画像:AWS ナレッジセンターより引用

    View Slide

  27. 27
    解決⽅法 (NAT Gateway)

    View Slide

  28. 28
    解決⽅法 (ECR)

    View Slide

  29. 29
    解決⽅法
    ① Secrets Managerを使⽤して、認証ユーザー経由でイメー
    ジを取得する。
    ②NAT Gatewayを使⽤して、IPアドレスを変更してイメージ
    を取得する。
    ③イメージをECRに保存して、ECRからイメージを取得する。

    View Slide

  30. 30
    解決⽅法
    ① Secrets Managerを使⽤して、認証ユーザー経由でイメー
    ジを取得する。
    →新しいイメージを使いたい。コスト最適化。
    ②NAT Gatewayを使⽤して、IPアドレスを変更してイメージ
    を取得する。
    →NAT Gatewayの使⽤⽤途が「CI/CDパイプラインに限る」
    場合、コスパが悪い。
    ③イメージをECRに保存して、ECRからイメージを取得する。
    →バージョン管理が⼤変。古いイメージの使い回しの恐れ。

    View Slide

  31. 31
    解決⽅法
    “Too Many Requests.” でビルドが失敗する…。AWS
    CodeBuild で IP ガチャを回避するために Docker Hub ロ
    グインしよう!という話
    Docker オフィシャルイメージが ECR Public で利用可能
    になりました #reinvent

    View Slide

  32. 32
    アーキテクチャ解説

    View Slide

  33. 33
    アーキテクチャ解説

    View Slide

  34. 34
    アーキテクチャ解説
    printenvコマンドの出⼒結果(⼀部抜粋)

    View Slide

  35. 35
    アーキテクチャ解説

    View Slide

  36. 36
    アーキテクチャ解説

    View Slide

  37. 37
    アーキテクチャ解説
    [AWS × Terraform] plan できるけど apply できない GitOps
    な IAM ユーザーポリシーの設定方法
    ・アーティファクト⽤のS3バケットへ
    の操作権限
    ・S3、DynamoDBの暗号化で使⽤する
    KMSキーへの操作権限
    ・CloudWatch Logsへのビルドログの
    配信権限

    View Slide

  38. 38
    まとめ

    View Slide

  39. 39
    まとめ
    ・なるべくAWSリソースを使⽤した設計をご紹介
    ・CodeBuildからDocker Hubへのイメージプルには注意
    ・CodePipelineでは「名前空間」で値の受け渡しが可能
    ・terraform planのIAMロールは「ReadOnlyAccess」が有効
    TerraformのCI/CDパイプラインを実装してみた

    View Slide

  40. View Slide