AWS運用専門の勉強会「Ops JAWS#2」に参加してきました #jawsug #opsjaws

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

森永です。

AWS運用管理コミュニティが主催するAWS運用に関する勉強会Ops JAWS#2に参加したのでレポートしてみます。

開会

今回の参加者にはなんと!あの!AWS Configのステッカーがプレゼントされます。
私は既に持っていますが、勿論ありがたく頂きます。

DSC_0025

始まるまえからアルコール、食事が振る舞われ全開の状態でスタートしました!

DSC_0027

DSC_0030

Ops JAWS Update

DSC_0032

株式会社 野村総合研究所 宮越さん

DSC_0034

株式会社 NTTデータ 長妻さん

DSC_0035

サーバーワークス 伊藤さん

(スライド公開され次第追加します)

OpsJAWS運営の皆様のご挨拶から始まりました。
お世話になっております!!運営メンバーは絶賛募集中とのことです!!!

自己紹介に続き、NRIの宮越さんからのTips紹介です!

運用監視のTips

Tips1 AWSとユーザの責任分界点を把握しよう

セキュリティについての「共有責任モデル」と本質は同じ

◯ よくある質問 Q.CloudWatchだけで十分じゃ?
A.CloudWatchだとAWS側からの値しか見れませんよ

(T2インスタンスの監視の例)
バースト時にはCPUクレジットを消費してCPUを100%使用可能
クレジットが尽きたら10〜20%しか使用できない
CloudWatchからみたら10%〜20%で全く問題なさそうに見える
OS内部で見ると100%になってしまっている!!

Tips2 運用中突然来る不幸の手紙(メンテナンス通知)

ルートアカウントの登録メールに来ます。
アカウント管理者とコミュニケーションが取れていれば良いが、見逃すと大変

EC2イベントを監視しましょう。(運用監視に組み込む)

検知したら、、、

  1. 何もしない(設計で対応)
  2. 利用者側で対象のEC2をStop/Start
  3. 最新のAMI

Tips3 AWSリソース操作の監視

CloudTrailログの監視方法 外部サービス/ツールを使用

ログ運用のTips

Tips4 AWSでのログ管理

  1. AWSサービスに対する管理アクセスログ(CloudTrail、Config)
  2. AWSサービスの通信トラフィックログ(VPC Flow Logs)
  3. EC2インスタンス内のアクセスログ(CloudWatch Logs)

コスト管理のTips

ここでNTTデータの長妻さんにバトンタッチです!

Tips5 AWSにおけるコスト管理

AWSは従量課金なので課金管理の運用が必要

例)AutoScalingでやるぜ!/Redshiftつかっちゃおうぜ! →1ヶ月後そこには恐ろしい課金が

用途に応じていろいろな方法を使い分けよう

  1. CloudWatch→ざっくりやるならこれ
  2. Cost Explorer→フィルタ、分類が可能で細かく見れる
  3. Budget→予測値でアラートが可能。蓄積は出来ません
  4. Billing Report→CSVをS3に出力可能。めっちゃ細かいのでプログラムで解析必須

「システム」や「サービス」単位で料金みたいですよね?
そんな時にはタグをつけてBilling Reportをうまく使えばいけます!!!

次回の予定

  • ハイブリッド構成での運用管理Tips→アーキテクチャ支部とのコラボ予定
  • 運用系サービスハンズオン

AWSでシステム構築工数を1/10にしつつ高品質化も実現した枠組みのご紹介

DSC_0042

株式会社スカイアーチネットワークス 神津さん

(スライド公開され次第追加します)

鯖缶の会社スカイアーチの神津さんの登場です。
Raspberry Piを社内で推進しているようです!!

AWSを利用して分かった課題

AWSマネジメントコンソール使ってて困ったことないですか?
例) - このインスタンス最新だっけ?
- どれが最新だっけ?
- EBSどれ?
- 手順書作ったのにGUI変わってる!

AWSマネジメントコンソールやターミナルからの卒業

スカイアーチネットワークスさんのSky Hopper使ってみては?

CloudFormationを使ってJSONで記述してAWS構築!

パラメータで詳細設定可能
JSONの編集はAtom Editorがオススメ
→ RDSを使うときは気をつけましょう。(構築の最後に死んでロールバックされる)

サーバ内はChefで構築!

冪等性に則ったシステム自動構築ができる
Chefを利用するとシステム構築をコード化出来る

インフラテストはServerspecで!

SSH出来るインスタンスなら使用可能 テストをコードでかける

例)インスタンスタイプがt2.smallであること

decribe command('curl http://169.254.169.254/meta/instance-type') do
  its(:stdout){should match /t2.small/ }
end

監視はZabbixで!

Zabbix3.0はあとちょっとででるよ
Zabbix APIを使用できる 画面で登録するとミスが起きる可能性があるのでコード化しましょう!

Sky Hopperのデモ

CloudFormationでAWS環境の構築(GUIで選択してテンプレートを使用可能)
→ ChefでApacheインストール(Cookbookを選択可能)
→ Serverspecでテスト
20時のスケジュールでデモ用のサーバが落ちてデモ中断!(拍手)

SkyHopperの今後

2015.09.08.
MFA対応、Zabbixのテンプレート対応、EBS Snapshot取得
その後のアップデートも予定中(メモれませんでした(T_T))

DevOps文化の社内展開

Infrastructure as Codeできる環境を構築したが、誰も使ってくれない
一行コマンドで初期の導入をできる仕組みを作成したところ使ってくれるようになった!

鯖缶争奪じゃんけん大会

DSC_0044

株式会社スカイアーチネットワークス 浅尾さん

東北の復興支援のために販売している鯖缶、380円

弊社メンバーはじゃんけんに負けました!!
残念!!

QA

Q.SkyHopperでのインスタンスタイプ変更などはスケジュール出来る?
A.現状は即時実行のみ

Q.日々変更されるセキュリティグループなどの変更はCloudFormation?
A.構築時のみCloudFormation。あとは別々に

AWS re:Invent Update for Sysops Service - AWS Config Rulesをマスターしよう!

DSC_0047

DSC_0049

アマゾンウェブサービスジャパン株式会社 酒徳さん

(スライド公開され次第追加します)

このためにこのイベントに来たと言っても過言ではありません。
待ってました!!!

開始早々、AWS Configのステッカーが配布されました!
もらった人は貼ることがルールです。

酒徳さんのTシャツがConfigTシャツで欲しくてたまりません。

AWS Configとは

AWSリソースの構成管理のためのフルマネージドサービス
リソースの設定履歴を監査、変更を通知することが出来る

オンプレでも構成管理しているはず。日次ポーリングで対応している(CMDB)
→クラウドだと日次ポーリングじゃ間に合わない!→だからAWS Config!

Configuration Stream→一つ一つの構成変更のこと
Configuration History→一つのAWSリソースの変更履歴
Configuration Snapshot→ある時点でのAWSリソースの設定

ConfigはJSONでログを吐き出す
JSON内の一つ一つの要素をConfiguration Itemという
Itemの中にはリレーションシップが書かれていて、AWSリソース間の関係性が分かる!
→ 一つの変更がどのAWSリソースにインパクトが有るか分かる!

変更点

  • ロギングするサービスを選択できる(特定のリソースだけ記録できる)
  • AWSリソースの状態確認(生きてるリソース、削除されたリソースがかわる)

エコシステムと組み合わせて使うのが前提です!

AWS Config Rules

Configでログだけ持っててもどうしようもないよ!
→ルールに適合しているかをチェックする機構をつくったのがAWS Config Rules

準拠すべきルールを事前に定義、評価を実施

  • AWS Managed Rules
    • AWSが提供しているルール
    • 必要そうなルールは作られている
  • Custom Managed Rules
    • Lambdaファンクションで独自構築できるルール
    • 変更駆動でルール実行するか、定期的にルール実行するか

AWS Managed Rulesもエコシステムがあります!
Ruleを提供してくれています

Config Rulesデモ!

「おー」という声の多いデモでした
まだ知らない人多いですね!!やりがいあります!

AWS Config Tシャツ争奪くじ引き!

突然のTシャツプレゼント!
ほしすぎる!!!!

けど、外れました。。。。

くやしいので写真だけとっておきました

DSC_0050

QA

Q. タグのValueに正規表現を使えるようになるか
A. 分からないが、開発チームに伝える

Q. どのIAMで変更したかを検証するためのオペレーション A. CloudTrailと併用する必要がある

最後に

初めてOpsJAWSに参加させて頂いたのですが、運用も自動化しようという空気があり、非常に共感が持てました。(基本金にならないところに人員を割くのももったいないじゃないですか!)

また、AWS Configについては弊社ブログで色々書いております!(主に私が)
こちらから是非ご覧頂き、すぐにAWS Configの設定をONにしましょう!!