Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ECS Fargate build on AWS CodeBuild

Yuto Komai
November 15, 2018
Technology
5
3.5k

ECS Fargate build on AWS CodeBuild

2018/11/15 Amazon Game TechNight #8 で発表した資料です。

オレ的最強ECS & Fargate build環境 on AWS
- CodeBuild 基本編
- CodeBuildを使った実際のパイプライン紹介
- CodeBuild 応用編

https://amazongametechnight08.splashthat.com/

キーワード
#AWS #docker #CodeBuild #CodePipeline #ECS #Fargate #Jenkins #Deploy #ContinuousDelivery

Yuto Komai

November 15, 2018
Tweet

More Decks by Yuto Komai

See All by Yuto Komai
AWS Configは設定しておけばOKじゃないって本当?AWS Config の運用あるあるをどう乗りこなしているか
yutokomai
0
660
GDC report in Akatsuki Geek Live#2
yutokomai
1
2.7k
mercari-GDC2019-stadia-report
yutokomai
2
2.4k

Other Decks in Technology

See All in Technology
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
170
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
950
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
140
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
230
Engineer Career Talk
lycorp_recruit_jp
0
190
心が動くエンジニアリング ── 私が夢中になる理由
16bitidol
0
100
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
110
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
500
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
480
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170

Featured

See All Featured
For a Future-Friendly Web
brad_frost
175
9.4k
We Have a Design System, Now What?
morganepeng
50
7.2k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
What's new in Ruby 2.0
geeforr
343
31k
Ruby is Unlike a Banana
tanoku
97
11k
Making the Leap to Tech Lead
cromwellryan
133
8.9k
Gamification - CAS2011
davidbonilla
80
5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
GitHub's CSS Performance
jonrohan
1030
460k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
What's in a price? How to price your products and services
michaelherold
243
12k
Side Projects
sachag
452
42k

Transcript

  1. オレ的最強 ECS & Fargate build環境 on AWS Akatsuki Inc. 駒井祐人

  2. 自己紹介 氏名 / 経歴 - 駒井祐人 @e__koma - NTT DATA

    - ミッションクリティカルシステム 設計構築 - Akatsuki Inc. - Store上位タイトル開発/運用経験1年半 - リリース直前の負荷対策4タイトル 座右の銘 - あらゆる人間関係の衝突はカレーの欠如によるものだ # サーバサイド/インフラ # VTuber / xRTech # カレー # ハッカソン/イベント運営

  3. 突然ですが質問

  4. 質問      を

  5. 質問      を - 使っている人?

  6. 質問      を - 使っている人? - production環境で運用したことがある人?

  7. Akatsukiでは… 300 コンテナ以上が、ECS/Fargate上で常時稼働

  8. 今開発しているゲームプロジェクトでは… 100 % on Docker

  9. 今開発しているゲームプロジェクトでは… 100 ビルド/day

  10. 今開発しているゲームプロジェクトでは… 20 並列ビルド (100でもへっちゃら)

  11. ビルド環境のコストは… 20 $ / month

  12. これを実現するキモになっているのは… CodeBuild !!

  13. 今日は… - 第1章:CodeBuild 基本編 - 第2章:CodeBuildを使ったデリバリーパイプラインの紹介 - 第3章:CodeBuild 応用編

  14. 第1章 CodeBuild 基本編

  15. あるCI/CDツールのアンケート 引用:https://twitter.com/hhiroshell/status/990967880220000256

  16. あるCI/CDツールのアンケート 引用:https://twitter.com/hhiroshell/status/990967880220000256

  17. docker build on Jenkinsの場合… ツラいところ - Jenkinsサーバに一定のマシンスペックが必要 - 同時実行数の問題で詰まる。Jenkins Slave

    - docker pullしすぎると気づけばFileSystemFull - Jenkinsに環境変数や秘匿情報がもりもり

  18. それ、 CodeBuildが全部解決します !!

  19. CodeBuildとは? - フルマネージドのビルドサービス - buildspec.ymlにビルドステップを定義する

  20. CodeBuildのうれしみ - サーバレス + スケーラビリティ - AWS各種サービスとの連携 - SSMパラメータストア -

    秘匿情報の管理が超楽に - 従量課金 - VPC内で実行が可能 - CodeBuildからEC2/RDSアクセス可能 - 豊富なビルド環境 - さまざまな言語サポート - カスタムDokcer Imageも可能 - CloudFormationで管理可能 - 環境を作れば、ビルド環境も一緒に作れる

  21. すなわち (1章まとめ) docker build on Jenkinsのつらい部分… Jenkins CodeBuild マシンスペック そこそこ必要

    small / medium / largeの3タイプ (スケールするためsmallで十分満たす) 同時実行数 master並列数を超えると詰ま る or Slave 上限申請したら気にすることがなくなる。 (デフォルト20) メンテナンス つらい メンテレス セキュリティ 秘匿情報がもりもり SSMパラメータストアとの連携 コスト 起動している時間 従量課金

  22. すなわち (1章まとめ) docker build on Jenkinsのつらい部分… 解決!! Jenkins CodeBuild マシンスペック

    そこそこ必要 small / medium / largeの3タイプ (スケールするためsmallで十分満たす) 同時実行数 master並列数を超えると詰ま る or Slave 上限申請したら気にすることがなくなる。 (デフォルト20) メンテナンス つらい メンテレス セキュリティ 秘匿情報がもりもり SSMパラメータストアとの連携 コスト 起動している時間 従量課金

  23. 第2章 CodeBuildを使った パイプライン紹介

  24. AWS推奨のパイプライン CodePipelineを中心にパイプラインを組み立てる方式

  25. AWS推奨のパイプライン 我々はCodePipelineは不採用 ❌

  26. そもそもCodePipelineとは? AWSが提供するフルマネージドパイプラインサービス - Source / Build / StagingのステップをGUI/CLIでカスタム可能 - AWS

    Integrationが豊富 - CodeDeploy - ECSデプロイ - CloudFormation - Lambda - GitHubのpush hookによるCI/CD - 手動承認も可能

  27. なぜCodePipelineを使わないのか? ゲーム開発の現場では - 複数環境 - dev/staging/feature/QA …etc - 複数条件 -

    ゲームマスタのversion - アセットのversion - これらを非エンジニアがデプロイ

  28. なぜCodePipelineを使わないのか? CodePipelineを採用すると… - デプロイ変数が持てない - xxx環境に、ゲームマスタversionがyyyで、アセットversionはzzzでデプロイしたい - パイプラインに柔軟性をもたせたい - 非エンジニアにはUIが厳しい

    - いつでも誰でもデプロイしたい

  29. じゃあ何を使っているのか?

  30. Jenkins Blue Ocean

  31. Jenkins Blue Ocean えっ、さっきまでJenkins disってたのに…

  32. Jenkins Blue Ocean えっ、さっきまでJenkins disってたのに… いえいえ、Blue Oceanは一味違います

  33. Jenkins Blue Ocean シンプルかつ美しいJenkins UI - 非エンジニアでも分かりやすい - classic UIは過去の遺物

    - 弊社内ではTeenager風 Jenkins - step単位のログの見やすさ - CodeBuild Plugin - Jenkinsはビルド命令を投げるだけ - master 1nodeで並列数を山盛り上げれる - 構築はOfficial Docker Imageを起動するだけ - Pipeline as a CodeのGUI support

  34. Jenkins Blue Ocean 非エンジニアでも使えるUI 進捗の可視化

  35. Jenkins Blue Ocean CodeBuildPlugin - 入力に柔軟性をもたせてCodeBuildに環境変数を渡せる

  36. 実際のデリバリーパイプライン ※ CI環境は省略

  37. このアーキテクチャを採用して幸せになったこと (2章まとめ) - インタフェースが直感的 - 誰でもボタンポチでデプロイ - 進捗が追える - スケーラビリティ

    - JenkinsはCodeBuildに命令しているだけなのでパワーが不要 - t3.smallサーバ1台で10環境ビルドでもマシンリソースすっかすか - コスト減 - 2018/10のビルド料金は $20 - 自動で構築できるビルド環境 - Pipeline as a Code - CloudFormation管理 - メンテレス

  38. 第3章 CodeBuild 応用編

  39. CodeBuild 応用編 - 応用編1. ビルド高速化 - 応用編2. バッチ処理 - 応用編3.

    セキュリティ

  40. CodeBuild 応用編 - 応用編1. ビルド高速化 - 応用編2. バッチ処理 - 応用編3.

    セキュリティ

  41. ビルド高速化 docker buildの高速化には - Image軽量化 - ビルドキャッシュ

  42. Image軽量化 不要なものはImage内に一切入れない。 - ビルド時に必要なパッケージはビルド後に削除 - ビルド時に生成された中間ファイルは全て削除 - 余計なlayerを作らない - 軽量OS

    このあたりはdockerを扱う上でわりとよくやる 参考:https://docs.docker.com/develop/develop-images/dockerfile_best-practices/

  43. 実際のNginxコンテナのImageサイズ 21 MB

  44. ビルドキャッシュ 途中までビルドした状態を保存しておき、次回ビルドを高速化する

  45. ビルドキャッシュ 途中までビルドした状態を保存しておき、次回ビルドを高速化する - 途中までのビルドを別Imageで保存しておく - CodeBuildのS3キャッシュ

  46. ビルドキャッシュ 途中までビルドした状態を保存しておき、次回ビルドを高速化する - 途中までのビルドを別Imageで保存しておく - CodeBuildのS3キャッシュ も、いいけど・・・

  47. ビルドキャッシュ 途中までビルドした状態を保存しておき、次回ビルドを高速化する - 途中までのビルドを別Imageで保存しておく - CodeBuildのS3キャッシュ も、いいけど・・・ Docker layer caching

  48. ビルドキャッシュ 具体例 変更点以降のlayerからbuildを開始できる

  49. その他 Docker 18.09 以降 (2018/11/08〜) をCodeBuildがsupportしてくれるとより一層夢が広 がる - multi stage

    buildの並列ビルド - 2倍高速化できるという事例も - cache mount - うまく活用して30倍以上高速化を実現した事例も 引用:https://medium.com/nttlabs

  50. CodeBuild 応用編 - 応用編1. ビルド高速化 - 応用編2. バッチ処理 - 応用編3.

    セキュリティ

  51. 2.バッチ処理 普通のCodeBuildの使い方

  52. 2.バッチ処理 ビルド済みのDocker Imageを再利用することで、CodeBuildをバッチ処理の実行環境とし て利用できる

  53. 2.バッチ処理 ビルド済みのDocker Imageを再利用することで、CodeBuildをバッチ処理の実行環境とし て利用できる これで何が嬉しいの?

  54. 2.バッチ処理 メリット - ビルド済みのアプリケーションロジックを再利用できる - Lambdaでは実現しづらい。 - サーバレス - バッチサーバの必要がなくなりメンテレス

    - 従量課金 - 長時間バッチ、並列バッチも可能 デメリット - CodeBuildのプロビジョニングに30〜40秒程度、余計な時間がかかる

  55. 2.バッチ処理 具体例 ENTRYPOINTを差し替えて、実行したいコマンドを渡せば出来上がり!

  56. CodeBuild 応用編 - 応用編1. ビルド高速化 - 応用編2. バッチ処理 - 応用編3.

    セキュリティ

  57. 3.セキュリティ Role / IAMキーの権限は最小にしたい

  58. 3.セキュリティ Role / IAMキーの権限は最小にしたい - Role - 必要な権限のみを付与する - IAMキー

    - 必要な権限のみを付与する - IP制限

  59. 3.セキュリティ Role / IAMキーの権限は最小にしたい - Role - 必要な権限のみを付与する - IAMキー

    - 必要な権限のみを付与する - IP制限 IAMキーにはIP制限をかけることができる! (キー情報が漏洩する最悪の状況でもリスク低減)

  60. 3.セキュリティ が、IAMキーにIP制限をかけると…

  61. 3.セキュリティ が、IAMキーにIP制限をかけると… docker push (正確にはECR login) ができなくなる!!

  62. 原因 ECRへdocker pushする際、インターネットを経由するため ECRは VPC外にある

  63. 原因 ECRへdocker pushする際、インターネットを経由するため ECRは VPC外にある 引用:https://docs.aws.amazon.com/codebuild/latest/userguide/use-vpc-endpoints-with-codebuild.html

  64. さて、どうしよう…?

  65. 解決策 IAMポリシーにNAT GatewayのEIPを許可することで解決する!

  66. 解決策 IAMポリシーにNAT GatewayのEIPを許可することで解決する! IAMキーに NATGWのEIP を許可

  67. 3章まとめ - ビルド高速化 - BestPracticeに沿ったImage軽量化を - ビルドキャッシュはlayer cachingがオススメ - バッチ処理

    - CodeBuildはサーバレスバッチ環境にも使えて幸せ - セキュリティ - ECRはinternet経由する。 - IAMキーにはIP制限をかけ、CodeBuildが利用するNAT GatewayのEIPを許可しよう

  68. 全体まとめ 第1章:CodeBuild 基本編 - CodeBuildの特徴を紹介。サーバレスかつスケーラビリティなbuild環境 第2章:事例紹介 - Jenkins Blue Ocean

    + CodeBuild連携で 清く正しく美しく 第3章:CodeBuild 応用編 - サーバレスバッチでメンテレスの運用を

  69. 最後に

  70. 最後に - 今日話した内容は、全てプロジェクト内の現場のエンジニア(今回はほぼ僕)がアーキテ クチャ選定の意思決定 + 実装をしています。 - アカツキではプロジェクト内の権限が強く、アーキテクチャ選定、使いたい技術、使 いたいツールを選定でき、やりたいこと、チャレンジしたいことを実現できる環境が あります。

  71. 最後に - 喜び、自由に溢れた Joy.Incな働き方 - 心理的安全性と責任 - 組織メンバーが最高のチームを作るための議論

  72. - ワクワク - カラフル - ハードドリブン これらを語れるメンバーが集まっています 最後に

  73. 最後に We are hiring !! 楽しく働きたい人、Welcomeです !! お待ちしております !!