新卒1年目のSREがコンテナをデプロイできるようになるまでの道のり [JAWS DAYS 2019]

Daichi Harada & Jun Sakata JAWS DAYS 2019 2019. 02
. 23 新卒1年目のSREがコンテナをデプロイできるようになるまでの道のり

はじめに

Docker やろうぜお、おす

急にどうしたんだろう

すべてはここから始まった

Daichi Haradaのクジラ漁

Daichi Haradaのコンテナとの戦い

この話は実話をもとにしたフィクションです

分量が多く怒涛の勢いで話が進みますが、スライドは後ほど公開予定なので、合わせてご確認ください。

50分もあったので調子に乗りました

About Speakers Daichi Harada, eureka Jun Sakata, ex-eureka

DAICHI HARADA - @kai_ten_sushi / @dharada1 - SRE at eureka,
Inc. - 北海道から遥々上京 - 気づいたら SRE に配属されてしまった！ - インフラ経験ゼロからのスタート - Like - #CloudFront - #CostExplorer

JUN SAKATA - @sakajunquality - 別のクラウドのエキスパート - SRE at Ubie
Inc. - Former SRE at eureka Inc. - Like - #CodeBuild - #Aurora

Agenda - Part 1 - Docker - Kubernetes - Part
2 - Container Services on AWS - ECR / ECS / EKS / Fargate - EKS を使ってみた - Part 3 - CI/CD

Part 1 Docker and Kubernetes

Docker

Dockerってしってる？ローカルの開発で使ってる、 docker-composeとかいうやつですか？ (しらんけど・・・) ggrks

Docker

Dockerとは - コンテナ型の仮想環境を作成、配布、実行するためのプラットフォーム - ミドルウェアのインストールや各種環境設定をコード化して管理し、 Docker イメージを作成 -
Docker さえある環境なら、どこでも同じイメージを動作させることができる

Build Ship Run

とりあえず触ってみようなるほど、わからん！

よくあるWebアプリケーションを考えてみよう

こんな感じのコードですね // main.go package main import ( "fmt" "net/http" )
func handler(w http.ResponseWriter, r *http.Request) { fmt.Fprintf(w, "Hello, World") } func main() { http.HandleFunc("/", handler) http.ListenAndServe(":8888", nil) }

8888でhttpリッスンして // main.go package main import ( "fmt" "net/http" )

“Hello, World” と表示する // main.go package main import ( "fmt"
"net/http" ) func handler(w http.ResponseWriter, r *http.Request) { fmt.Fprintf(w, "Hello, World") } func main() { http.HandleFunc("/", handler) http.ListenAndServe(":8888", nil) }

まずは普通に動かしてみよう Docker使わなくていいんですね

(ふつうに go run してみる) $ go run main.go

(ログぐらい出せばよかったな・・・) $ go run main.go

(別のターミナルで curl と...) $ curl localhost:8888

うごいた！ $ curl localhost:8888 > Hello, World!

じゃあこれを Docker にようふむ

・・・

Dockerfile が必要らしい

// Dockerfile FROM golang:1.11 WORKDIR /go/src/app COPY . . CMD
["go", “run”, “main.go”] こんな感じですか？

これでも動くんだけど、 Go って動かすときちゃんとビルドしてるよね？たしかに

// Dockerfile FROM golang:1.11 WORKDIR /go/src/app COPY . . RUN
go get -d -v ./... RUN go install -v ./... CMD ["app"] どや

うごかしてみようほい

イメージをビルドする $ docker image build -t my-app .

ビルドしたのを動かす $ docker container run -p 8888:8888 my-app

$ curl localhost:8888 > Hello, World! curl してみる

マルチステージビルドを使うとよいよ // Dockerfile FROM golang:1.11-alpine WORKDIR /go/src/app COPY . .
RUN go get -d -v ./... RUN go install -v ./... FROM alpine COPY --from=0 /go/src/app /usr/local/bin/app RUN apk --no-cache add ca-certificates CMD ["app"]

イメージのサイズを比べてみよう $ docker images | grep my-app my-app latest 9ba39c3836a9
38 minutes ago 801MB my-app-alpine latest 3880eef6c224 5 minutes ago 401MB my-app-multistage latest ce94afe10faf 1 second ago 11.6MB

あとこのままだとrootユーザーで動いちゃうので、ユーザーも指定したほうがベターたしかに

(一旦まとめよう・・・)

Dockerイメージとは・・・ - コンテナを作成するファイルシステムや設定をまとめたもの - 親のイメージから層のように重なっていく https://nvisium.com/blog/2014/10/15/docker-cache-friend-or-foe.html

Dockerfileとは・・・ - Docker イメージの構成内容を記したもの - 専用の DSL で記述する - FROM
でベースイメージを指定し - RUN でビルドなどのコマンドを実行

Alpineとは・・・ - 軽量な Linux ディストリビューション - image サイズを小さくできる - glibc
が入っていないので注意

マルチステージビルドとは・・・ - アプリケーションをビルドするコンテナ / 実行するコンテナを分離する - 実行するコンテナにはビルドに使うパッケージは入ってなくて OK -
Docker Image のサイズを小さくできる - Go や Java などビルドしたらバイナリや jar が出力されるものにはピッタリ

Dockerレジストリとは・・・ - DockerHub に代表される、 Docker イメージを管理・共有するしくみ - ソースコードを GitHub などで管理するのに似てる

Docker Hubとは・・・ - Docker 社が運営する Docker レジストリ - FROM
golang:1.11 や FROM alpine など書いて Pull される Image は Docker Hub にホストされている https://hub.docker.com/

- official マークのものを選ぶと良い DockerHubでのイメージの探し方

- クラウド - ECR ( AWS ) - GCR (
Google ) - ACR ( Azure ) - ... - OSS - Harbor - .... DockerHub以外のレジストリ

今回はローカルで動かしただけだから使ってないよ。それはまた今度。　そういえば、Dockerレジストリは使わないんですか？

コマンド多くないですか？ docker image <list|build|pull|push...> docker container <run...> のように何を操作するかを覚えると良いと思う

$ docker image --help Usage: docker image COMMAND Manage images
Commands: build Build an image from a Dockerfile history Show the history of an image import Import the contents from a tarball to create a filesystem image inspect Display detailed information on one or more images load Load an image from a tar archive or STDIN ls List images prune Remove unused images pull Pull an image or a repository from a registry push Push an image or a repository to a registry ... テキトウに--helpすればいいのか

なんとなくわかりました (多分) そういえば、Docker は VM とは何が違うんですか？なんだとおもう？

(質問に質問で答えられても )

VM vs Container

VM vs Container - VM - ホスト上でハードウェアが仮想化され、その上でゲスト OS が動作
- 必要とする以上のリソースを割り当ててしまい、オーバーヘッドが大きい - OS を立ち上げるため起動時間がかかる - Container - コンテナはホスト OS のカーネルを利用 - リソースのオーバーヘッドが小さい - 起動が速い

ざっくりいうと、「コンテナの方が軽い」ってことですよね？だいたいそう

Build Ship Run

(テキトウな先輩だな・・・ )

(そういえば、docker-compose.ymlって何者なんだろう・・・)

docker-compose - 複数のコンテナの立ち上げを yaml で記述 - ローカル開発環境で主に利用 - ミドルウェアのコンテナを docker-compose
で立ち上げる - MySQL - Elasticsearch - DynamoDB Local - ローカルの go アプリケーションから各コンテナを利用 - いちいち brew install とかしなくていいので開発者は楽 // docker-compose.yml services: mysql: image: mysql:5.7 environment: MYSQL_USER: datch_datch_go MYSQL_PASSWORD: fake_password ports: - "3306:3306" volumes: - .local/mysql5.7:/var/lib/mysql redis: image: redis:3.2-alpine ports: - "6379:6379" redis-cluster: image: "grokzen/redis-cluster" ports: - "7000-7007:7000-7007" elasticsearch: image: evalphobia/elasticsearch:2.4.0 ports: - "9200:9200"

そうか、Docker のおかげでローカルの開発でも、 MySQLやDynamoDBが使えてたのか！！

今はEC2のインスタンスがたくさんいるけど、これもコンテナにしたほうがいいんですか？つぎにその話をしよう

Why Docker in Production? - アプリケーション及び、その依存関係をイメージに固めることができる - 環境依存で動かないことがなくなる - イメージとして本番出す前にステージングで確認したりできる
- ( The Twelve-Factor App https://12factor.net/ ) - VM を起動するより軽量なので、起動が速い

Docker まとめ - Docker とは ? - コンテナ型の仮想化環境 - Docker
Image - 構成がまとまったもの - コンテナを作成するファイルシステムや設定をまとめたもの - Dockerfile を書いて build & run - Docker Hub - Docker 社が運営するリポジトリ - 公式の Docker イメージは Docker Hub で探すとよい

Docker 完全熟知 (￣＾￣) ﾄﾞﾔｯ !

Kubernetes Google’s Borg

今日は Kubernetesを触ってみよう最近よくきくあれですね (またしらんけど・・・)

少し難しいかもしれないので、手を動かしながらやっていこうほーいこの前の Docker の続きから

CNCF Phippy and Friends https://www.cncf.io/phippy/ を使って話を進めていく

こんな絵本が・・・

そもそものアプリケーションがあって・・・

コンテナとしてイメージに固める

本題の Kubernetes

Kubernetes

What is Kubernetes https://speakerdeck.com/sakajunquality/starting-google-kubernetes-engine-2019

つまり、コンテナを動かすのに必要な、 CPU / メモリ / ディスクを管理してくれるやつ、ってことなのかな??? あとはコンテナをどこに配置するかとか、イメージのデプロイとか。

養殖漁業で考えると・・・

Small Ikesu Large Ikesu Medium Ikesu

...ってことだ！多分

どんな構造になってるんだろう

k8s Components (Master Node & Worker Node) - Master Node
- API Server - k8s cluster のゲートウェイ - etcd - 共有設定の保持とディスカバリに使う KVS - controller - API Server を利用してクラスタの状態を監視 & 操作する - Worker Node - docker - Pod を起動する - kubelet - マスターとの通信 - kube-proxy - プロキシ、ロードバランス https://x-team.com/blog/introduction-kubernetes-architecture/

k8s Components (Master Node & Worker Node) - Master Node
- API Server - k8s cluster のゲートウェイ - etcd - 共有設定の保持とディスカバリに使う KVS - controller - API Server を利用してクラスタの状態を監視 & 操作する - Worker Node - docker - Pod を起動する - kubelet - マスターとの通信 - kube-proxy - プロキシ、ロードバランス https://x-team.com/blog/introduction-kubernetes-architecture/ めっちゃムズカシイ

一旦内部構造は忘れよう

とりあえず重要なことはコントロールプレーン(マスター)が、リソースの割当などを管理していて、データプレーン(ワーカー)に実際のコンテナが動いてるってことですね！

ワーカーノードがいけす！ Ikesu Node

ワーカーに実際のコンテナがいる Ikesu Node

次に概念を見てみよう

再び CNCF Phippy and Friends https://www.cncf.io/phippy/

Kubernetes は内部のリソースをラベルで管理している e.g. - name: my-app - ver: v1
そのコンテナをラベルで管理

ラベルと同時に、名前空間でも管理している e.g. - production - web - datch-area Namespaces

- コンテナの集合の単位 - 1 つ以上のコンテナを内包する e.g. - nginx - envoy
- php-fpm - fluent-bit Pod

ReplicaSet - 同じ仕様の Pod の複数集まった Set が ReplicaSet

Service - Pod にアクセスするための経路

- Service に外部からアクセスするための仕組み - e.g. - GCE LB -
ALB - annotation でクラウドスペシフィックな設定を記載 Ingress

- データの永続化する際に仕様 - EC2 に EBS をアタッチするノリ Volumes

ワケワカラン

思ったより覚えること多い

カエリタイ

例のアプリケーションを Kubernetes にデプロイしてみよう

これね // main.go package main import ( "fmt" "net/http" )

$ docker image tag my-app gcr.io/sakajunquality-public/my-app:v1 $ docker image push
gcr.io/sakajunquality-public/my-app:v1 まずはイメージをレジストリに上げる

今こういう状態っすね boku-no-macbook container my-app (bin) boku-no-cloud container my-app (bin)

チュートリアル用に Kubernetes 作成 $ gcloud container clusters create my-cluster ...
$ gcloud container clusters get-credentials my-cluster --zone asia-northeast1-c ...

空っぽの箱を作成 boku-no-cloud Kubernetes Cluster

チュートリアル用にname空間作成 $ kubectl create namespace tutorial

空っぽの空間を作成 boku-no-cloud Kubernetes Cluster namespace

// deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: app1 namespace:
tutorial labels: app: app1 spec: replicas: 3 selector: matchLabels: app: app1 Pod/ReplicaSetを定義 // 続き template: metadata: labels: app: app1 spec: containers: - name: app1 Image: gcr.io/sakajunquality-public/my-app:v1 ports: - containerPort : 8888 protocol: TCP

tutorial labels: app: app1 spec: replicas: 3 selector: matchLabels: app: app1 apps/v1のDeploymentでまとめて定義 // 続き template: metadata: labels: app: app1 spec: containers: - name: app1 Image: gcr.io/sakajunquality-public/my-app:v1 ports: - containerPort : 8888 protocol: TCP

tutorial labels: app: app1 spec: replicas: 3 selector: matchLabels: app: app1 push下イメージを指定 // 続き template: metadata: labels: app: app1 spec: containers: - name: app1 image: gcr.io/sakajunquality-public/my-app:v1 ports: - containerPort : 8888 protocol: TCP

tutorial labels: app: app1 spec: replicas: 3 selector: matchLabels: app: app1 replicaの数も指定 // 続き template: metadata: labels: app: app1 spec: containers: - name: app1 Image: gcr.io/sakajunquality-public/my-app:v1 ports: - containerPort : 8888 protocol: TCP

$ kubectl apply -f deployment.yaml デプロイしてみる

今こういう状態っすね boku-no-cloud Kubernetes Cluster namespace Pods container my-app (bin)

そう！これを外部からアクセスできるようにする

次にserviceの作成 // service.yaml apiVersion: v1 kind: Service metadata: name: app1-service
namespace: tutorial annotations: cloud.google.com/neg : '{"ingress": true}' spec: selector: app: app1 ports: - protocol: TCP port: 8081 targetPort: 8888

selectorでdeploymentのラベルを指定 // service.yaml apiVersion: v1 kind: Service metadata: name: app1-service
namespace: tutorial annotations: cloud.google.com/neg : '{"ingress": true}' spec: selector: app: app1 ports: - protocol: TCP port: 8081 targetPort: 8888

$ kubectl apply -f service.yaml サービスの作成

多分こんなかんじ boku-no-cloud Kubernetes Cluster namespace Pods container my-app (bin) 8081:8888
service

// ingress.yaml apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-lb namespace:
tutorial spec: rules: - http: paths: - path: / backend: serviceName: app1-service servicePort: 8081 ingressでロードバランサーを定義

$ kubectl apply -f ingress.yaml ingressを作成

$ kubectl -n tutorial get ingress NAME HOSTS ADDRESS PORTS
AGE my-app * aa.bb.xxx.yyy 80 3m ロードバランサーのIPを確認

多分こんなかんじ boku-no-cloud Kubernetes Cluster namespace Pods container my-app (bin) 8081:8888
service 80/443:8081 ingress

$ curl aa.bb.xxx.yyy > Hello, World! curl してみる

おーいんたーねっつに公開された！！！

Docker熟知した気持ちになってたけど、どこで動かすかも考える必要があったのか！

なるほど環境変数はどうやって扱うんですか？ configMapやsecretというリソースがあるよ。今回の場合、my-appがどのポートでリッスンするか環境変数で指定できても良かったかもね

container == pod?

NO さっきの pod Pod container More practical pod Pod container
my-app my-app container nginx container logger

理解！

ところで何で急に教育熱心になったんですか？恩田さん（上司）に怒られました？

実は会社やめるんや・・・えええええええええ (テックリードの座はいただいた)

（冷静に、こんなに技術先行なのは、引き継ぎってことか・・・）

困ったらこの本に答えがある https://www.amazon.co.jp/dp/B07HFS7TDT/ https://www.amazon.co.jp/dp/B0721JNVGT/

さらばじゃ

・・・

とりあえず本ポチるか・・・

・・・

Part 2 Containers on AWS

いやな先輩消えたしこれから、やってくぞい！

う〜ん、パッと見た感じ AWS サービス多くてわからない・・・

とりあえず、調べてみよう

AWS Container Services

AWS Container Services - Registry - ECR - Orchestration -
ECS - EKS - Compute - Fargate - EC2 - Auto Scaling Group - Code* - CodeDeploy - CodeBuild - CodePipeline https://aws.amazon.com/jp/containers/services/

ざっくりAWSのコンテナサービスといっても、何するやつか分類できてその中でも選択肢がある。って感じなんだな

ECR - ECR = Elastic Container Registry - IAM Policy
/ Role で ECR リソースの利用を細かく制御可能

ECR == AWSのDocker Registry

ECS / EKS - ECS ( Elastic Container Service )
- 他の AWS サービスとシームレスに連携 - Fargate を使えばサーバの管理が不要 - 起動タイプで EC2 or Fargate を選べる - EKS ( Elastic Container Service for Kubernetes ) - k8s のマネージドサービス - Master のみマネージド - Worker Node は EC2 を立てて運用する - Fargate は未対応 - (AWS のサービスとしては ) ECS より後発

ECSとEKS、どっちを使うか悩ましい！

Fargateに対応してるとかしてないとかう〜ん、Fargateって、なんだろ？

Fargate - Fargate とは - ECS で使えるフルマネージドなコンピューティングエンジン - 課金体系 -
実際に Task を起動していた vCPU / メモリに対する時間単位の課金 - 最近単価が下がったが、 EC2 との価格比較をすると少し割高ではある

Fargateのメリット - メリット - 管理コストが減る - コンテナのオートスケールに合わせて EC2 もオートスケールさせる手間がない
- Worker Node がどの AZ に配置されてるか意識する必要がない - 余剰リソースがなくなる - EC2 を使うときはコンテナ全体が使っているより余剰のリソースを確保する必要がある

管理コストも考えると Fargateよさそう！

EKS / ECS / Fargate の関係を整理すると ...

EKSとECSのControl Plane と Data Plane - Control Plane - コンテナを管理する場所
- どの Node に配置するかなど制御する - AWS のサービスでいうと、 ECS / EKS - Data Plane - コンテナが実行される場所 - Control Plane に各 Node やコンテナの状態をフィードバックする - AWS のサービスでいうと、 Fargate / FC2

Fargate、めっちゃいいやつだな

CodeBuildとかCodeDeployとかはコンテナに対応してるのかな？

Code* (CodeBuild / CodeDeploy / CodePipeline) - CodeBuild - buildspec.yaml
に ecr push を書いて ECR への push を行う - CodeDeploy - ECS で Blue/Green Deployment のサポート - CodePipeline - ECR 上のイメージをデータソースとして使える - ビルド環境として使うイメージを ECR で管理できるようになった - これまでは CodeBuild で Docker イメージを管理していた - Deploy Target に ECS も対応

コンテナのビルド/デプロイにもちゃんと使えるんだな

改めてEKSをさわってみる

Kubernetes 、やりたい

というか前任のあいつが Kubernetesで作ったので、やらざるを得ない！！

Why EKS ? - Why not ECS ? - 前任者が既に
GKE で一部サービスを稼働させていた - yaml 使いまわしたい - EKS でも途中まで組んだ形跡があった - Why not GKE ? - 既存のアプリケーションが AWS で稼働しておりデータが AWS にある - また、 AWS でしか使えないデータベースを使いたい - e.g. DynamoDB Aurora

クラスターを立てる - 公式ドキュメント … getting started を読んでみた - https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/getting-started.html

VPC / Subnet / Security Group / IAM 設定 ...
わかるけど、クラスターが立つまでにやることが多いな。。。。

シャッと簡単にできる方法ないかな〜

Create k8s cluster by eksctl - Go 製の cli アプリ
- eksctl create cluster - CloudFormation が裏側で動いてくれる - 一通りよしなにクラスターを作成してくれる - VPC / Subnet - IAM - EKS Cluster - Worker Node (EC2 + ASG) - 検証用途なら最速 - デフォルトだと新規の VPC が作られる - ( 既存の VPC を使うオプションもある ) https://github.com/weaveworks/eksctl

ぽちっとな $ eksctl create cluster

でかいインスタンスたててもたーーーー ※デフォルトだとオレゴンにて m5.large が 2 台立つ

けしけし

$ eksctl create cluster \ --name test-cluster \ --region ap-northeast-1
\ --nodes 2 \ --nodes-min 1 \ --nodes-max 2 \ --node-type t2.small スペックをしっかり指定するの巻

よし、クラスターができた

Nodeも指定したとおり、 t2.smallが2台できてる $ kubectl get nodes NAME STATUS ROLES AGE
VERSION ip-192-168-38-92.ap-northeast-1.compute.internal Ready <none> 1s v1.11.5 ip-192-168-74-18.ap-northeast-1.compute.internal Ready <none> 1s v1.11.5 $ kubectl get services NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.100.0.1 <none> 443/TCP 1s

他には何が作られているんんだろう。。。気になる。。。

nodegroupとcluster、2つのCloudFormationスタックができてるみたいだ。

Clusterの方は EKS Clusterと、それが乗っかる VPC / Subnet / Route Table
などなどのネットワーク周りを作っている。

NodeGroupの方は AsgとLaunch Template を作ってるんだな。あとは IAM Role / SG /
Instance Profileとかの権限周りか。

なにが立てられたか、ざっくりわかったぞい

では、ECRにDockerイメージを Pushしてみよう

Build > docker image build -t my-app:1.00 . まずはいつものように docker
buildして、っと

ECR Login > $(aws ecr get-login --no-include-email --region ap-northeast-1) Login
Succeeded ECR への Login コマンドを取得 & 実行.

Tag > docker image tag my-app:1.00 \ xxxxxxxxxxx.dkr.ecr.ap-northeast-1.amazonaws.com/my-app:1.00 docker tagコマンドで
ECRの方にタグを切り

Push > docker image push xxx.dkr.ecr.ap-northeast-1.amazonaws.com/my-app:1.00 ECR へ Push する！

ECRにDocker ImageをPushできたぞい

Makefile化すると便利 NAME=my-app TAG=1.00 CONTAINER_PORT=8888 LOCAL_PORT=8888 AWS_ACCOUNT_NUMBER=1234567890 login: ## generate `docker
login` command aws ecr get-login --no-include-email --region ap-northeast-1 build: ## docker build docker build -t $(NAME):$(TAG) . run: ## docker run docker run --rm -it -p $(LOCAL_PORT):$(CONTAINER_PORT) $(NAME):$(TAG) tag: ## tag docker tag $(NAME):$(TAG) $(AWS_ACCOUNT_NUMBER).dkr.ecr.ap-northeast-1.amazonaws.com/$(NAME ):$(TAG) push: ## push 事前にAWSコンソールでリポジトリを作っておき、そこへpushする docker push $(AWS_ACCOUNT_NUMBER).dkr.ecr.ap-northeast-1.amazonaws.com/$(NAME ):$(TAG) release: build tag push そういえば、一連のコマンドはこんな感じで Makefileにしておくと取り回しやすい

よし、つぎは EKS へデプロイしたい！

まずはdeployment.yamlを書く

ほんで kubectl apply -f deployment.yaml っと $ kubectl apply -f
deployment.yaml

podが立っている。 $ kubectl get pods NAME READY STATUS RESTARTS AGE
golang-sample-app-xxxxxxxxxd-dhgj2 1/1 Running 0 1s golang-sample-app-xxxxxxxxxd-q6pls 1/1 Running 0 1s golang-sample-app-xxxxxxxxxd-zlm25 1/1 Running 0 1s

けどこれ、どうやってインターネットからアクセスするんだろう ??

そうだ、Serviceを使うんだった

えいや service.yaml

kubectl apply -f service.yaml $ kubectl apply -f service.yaml

TYPE: LoadBalancerのServiceができた！ $ kubectl get services NAME TYPE CLUSTER-IP EXTERNAL-IP
PORT(S) AGE golang-sample-app LoadBalancer 10.100.17.74 hoge.ap-northeast-1.elb.amazonaws.com 80:30498/TCP 3d kubernetes ClusterIP 10.100.0.1 <none> 443/TCP 4d

EXTERNAL-IP に ELBのDNS名が書かれているぞ $ kubectl get services NAME TYPE CLUSTER-IP
EXTERNAL-IP PORT(S) AGE golang-sample-app LoadBalancer 10.100.17.74 hoge.ap-northeast-1.elb.amazonaws.com 80:30498/TCP 3d kubernetes ClusterIP 10.100.0.1 <none> 443/TCP 4d

コンソールで確認すると ELB (Classic) が作られている！ $ kubectl get services NAME TYPE
CLUSTER-IP EXTERNAL-IP PORT(S) AGE golang-sample-app LoadBalancer 10.100.17.74 hoge.ap-northeast-1.elb.amazonaws.com 80:30498/TCP 3d kubernetes ClusterIP 10.100.0.1 <none> 443/TCP 4d

いったんブラウザでみると

(Classic LoadBalancerだけど) 動いてる〜！

やったね

でも、あれれ、、、

Ingressってのが必要じゃなかったっけ？ Serviceだけでいいの？ Service LoadBalancerだとCLBができる IngressでALBができる時代はALBなのだよ

あと、セキュリティグループとか TLS証明書とかを annotationで指定できるぞい

なるほど〜！ありがとうございます！

(うるさいなあ)

ALBも試しておくか

service.yaml はこんな感じで、 Type: NodePortに書き換える。

apply $ kubectl apply -f manifest/service.yaml

ingress.yaml の annotation で internet-facingなalbをつくる。

これをapplyすると、 ingressができる。 $ kubectl apply -f manifest/ingress.yaml ingress.extensions/golang-sample-app created $
kubectl get ing NAME HOSTS ADDRESS PORTS AGE golang-sample-app * hoge.ap-northeast-1.elb.amazonaws.com 80 2m

おっ、ALBが Provisioning … になったぞ

しばらく待って... ALBでも動いた！

Ingressのannotationで色々かけば ALBに証明書とかもあてられる (はず...) - alb.ingress.kubernetes.io/certificate-arn - alb.ingress.kubernetes.io/ssl-policy - etc ...
- https://github.com/kubernetes-sigs/aws-alb-ingre ss-controller/blob/master/docs/guide/ingress/ann otation.md

ここまでをまとめると

まとめ : eksctlでEKS Clusterたててみた - クラスターをたてる - 検証だけなら eksctl でパッと立てられる
- CloudFormation でもろもろリソースが用意される - Deployment - Kubernetes なので GKE とおなじ - ALB でインターネットからアクセスさせる - Service:NodePort と Ingress でやる - annotation は AWS 固有の設定を書く

検証はできたので、ちゃんとやるか

Cluster Management

Terraformで、コード管理や！

Create k8s cluster by Terraform - Production Ready in eureka
- 既存の VPC 上でクラスタ構築したい - リソースは terraform で管理されてる - EKS もなるべく terraform で管理したい

Terraform : VPC & Subnet - # VPC resource "aws_vpc"
"vpc" { cidr_block = "10.xx.yy.zz/ww" instance_tenancy = "default" enable_dns_support = "true" enable_dns_hostnames = "true" } # Subnet ## Public Subnets resource "aws_subnet" "public_1a" { } resource "aws_subnet" "public_1c" { } ## Private Subnets resource "aws_subnet" "private_1a" { } resource "aws_subnet" "private_1c" { } resource "aws_subnet" "private_1b" { } resource "aws_subnet" "private_1d" { } VPC / Subnet は既存のやつ。

Terraform : EKS Cluster resource "aws_eks_cluster" "quality" { name =
"cluster-quality" role_arn = "${aws_iam_role.quality-cluster.arn}" vpc_config { security_group_ids = ["${aws_security_group.quality-cluster.id}"] subnet_ids = [ "${aws_subnet.private_1b.id}", "${aws_subnet.private_1d.id}", ] } } EKS Cluster はこんなかんじだぜ ※ IAM Role / SG を別途書く必要あり

次にワーカーノードの追加

Terraform : EC2 Auto Scaling Group data "aws_ami" "eks-worker" {
filter { name = "name" values = ["eks-worker-*"] } most_recent = true owners = ["xxxxxxxxxxxx"] # Amazon Account ID } resource "aws_launch_configuration" "quality" { associate_public_ip_address = true iam_instance_profile = "${aws_iam_instance_profile.quality-node.name}" image_id = "${data.aws_ami.eks-worker.id}" instance_type = "t2.medium" name_prefix = "terraform-eks-quality" security_groups = ["${aws_security_group.quality-node.id}"] user_data_base64 = "${base64encode(local.quality-node-userdata)}" lifecycle { create_before_destroy = true } } resource "aws_autoscaling_group" "quality" { desired_capacity = 2 launch_configuration = "${aws_launch_configuration.quality.id}" max_size = 2 min_size = 1 name = "terraform-eks-quality" vpc_zone_identifier = [ "${aws_subnet.private_1b.id}", "${aws_subnet.private_1d.id}", ] tag { key = "Name" value = "terraform-eks-quality" propagate_at_launch = true } tag { key = "kubernetes.io/cluster/cluster-quality" value = "owned" propagate_at_launch = true } } ※ Instance Profile / SG などなど別途書く必要あり

ちょっと大変。できるけど、

https://docs.aws.amazon.com/eks/latest/user guide/getting-started.html ノードをマスターに認識させたりする

Nodeを認識させるのにまたひと手間

まとめ : Terraformでクラスターを立てる - 既存リソースに組み込むかたちで本番に入れたい - やや分量が増えるが、既存のインフラと同じく terraform でできる -
それなりに手間はかかる ※Terraformで作ったALBなどをClusterに認識させるには、タグとかで頑張る必要があるので注意だよ

そういえば山本さん(別のSRE)が最近ECSさわってたなどんな感じか、聞いてみようっと

ふむふむ https://qiita.com/marnie_ms4/items/202deb8f587233a17cca

ECS - K8S と似てるけどちょっとちがう概念たち - Cluster / Service / Task
Definition / etc ... https://qiita.com/marnie_ms4/items/202deb8f587233a17cca

ECSの良さ - AWS のサービスとの密な連携 - CodeDeploy で Blue/Green してくれる -
Task ( ≒ k8s でいう Pod) ごとに異なる IAM Role を付与できる - Fargate を使えるのがでかい - EC2 の面倒を見なくてすむ - スケールするとき Service のスケールだけ考えれば良い - EC2 の場合 - Service のスケール時に EC2 もスケールさせるので手間かかる - 常にバッファ積むので余分にお金かかる

Fargate いいなあ EKS でも使いたいなーなるほど！ECSは EKSとまた違ったよさがあるんだな

Containers on AWS まとめ - ECR - プライベートなコンテナリポジトリ - EKS
or ECS - どちらも Control Plane - k8s の生態系に乗りたいか、 AWS の他サービスとなめらかに連携したいか - Fargate - よい

AWS 完全熟知 (￣＾￣) ﾄﾞﾔｯ!

Part 3 CI/CD

熟知・・・あれ・・・デプロイまわりはどうしたらええんや

熟知できてない！！プロダクションに入れるには何かが足りない！！！

一旦現状把握

既存のインフラ in eureka - 主力サービスは EC2 が多くコンテナでは動いていない

既存のインフラ: CodeBuild - Docker イメージではなく、ビルドの生成物を S3 にアップロード

開発者視点のOverview - ChatOps 経由でのデプロイ - @nana prepare {env} {region]-{service} -
差分確認 - 前回 deploy との commit 差分 (GitHub) - 確認して deploy ボタンを押す - デプロイ完了 - Slack 通知

SRE視点の既存のOverview - インターフェイスは ChatOps - Slackbot で CodeBuild がキック -
ビルド完了後、 bot が CodeDeploy を API 経由で呼び出してデプロイ BotApp RTM API Calls

Why not CodePipeline - １つのリポジトリで複数のものが内包されており、 - master 等のブランチに単純にフックさせるのが難しい pairs-repo JP
FE JP BE TW BE KR BE TW FE

つぎに未来を考える

どうしたらいいのか - できるだけ開発者のインターフェイスを変えない - SOX の遵守

せっかくコンテナにするので - ステージングと本番では同じイメージが動く状態にしたい - イメージの脆弱性スキャン - 構成変更の手間を減らしたい

イメージの検証 - ステージングでの検証後本番に出せるようになる

構成変更の手間 EC2 のゴールデンイメージを作成するのがそれなりに手間

構成変更の手間 EC2 のゴールデンイメージを作成するのがそれなりに手間これがコンテナになると

VMとコンテナでの構成管理の違い - Immutable なインフラという思想はそのまま - 構成管理 = Docker Image の変更という世界観になる
- ミドルウェアの細かい変更など、全て Docker Image の変更で済む

How to Deploy to Kubernetes

頼りたくないけど、あいつを頼ってみよう

okok Kubernetes ってどうやって、デプロイのフロー作ればいいっすか？

コンテナ一般 CI/CD

Container CI/CD https://speakerdeck.com/sakajunquality/starting-google-kubernetes-engine-2019 コンテナ全般テストは省略...

Container CI/CD https://speakerdeck.com/sakajunquality/starting-google-kubernetes-engine-2019 コンテナ全般

GitOps

GitOps - Operations by Pull Request https://www.weave.works/blog/gitops-operations-by-pull-request

GitOps アプリケーションのリポジトリと、マニフェストのリポジトリを分離マニフェストリポジトリは常にクラスターの状態と整合性がとれている Application Config

“Declarative” が、ポイントなのか！ terraform もそうだよなー

GitOps それぞれのリポジトリに対して、アプリケーションをビルドする CI と Kubernetes に apply する CI を設定する

GitOps on AWS CodeBuild ２つ設定すれば簡単に作れそう場合によっては CodePipeline も使えそう

CodePipeline

CodePipeline + Lambda https://aws.amazon.com/blogs/devops/continuous-deployment-to-kubernetes-using-aws- codepipeline-aws-codecommit-aws-codebuild-amazon-ecr-and-aws-lambda/

GitOps on AWS? CodePipeline?

CodePipelineでもできそうだし GitOpsも試すのも良さそう

もう少しいろいろ検討してみよう・・・

(今回ここを実装するのは間に合わず)

CI/CD まとめ - Kubernetes では GitOps という考えがある - CodePipelines を使うとシンプルなパイプラインも構築できそう
- あたらしいワークフローを作りつつも、 - 既存の開発者のインターフェイスはできるだけ変えずにやりたい

What’s Next?

Monitoring - 監視は大事だよね - Kubernetes そのものの監視 - ノードの監視 - コンテナの監視
- タグとラベルつかう - リソース使用量 - ヘルスチェック - etc ...

Logging - ログ、必要だよね - 既存のログと同じように収集して同じように解析したい

Service Mesh? マイクロサービス間の可視化

気になるRoadmaps

EKS IAM Roles for Pods https://github.com/aws/containers-roadmap/issues/23

EKS IAM Roles for Pods https://github.com/aws/containers-roadmap/issues/23 ECSにはあるやつ GKEでも恩恵うけれる？

Fargate for EKS https://github.com/aws/containers-roadmap/issues/32

Fargate for EKS https://github.com/aws/containers-roadmap/issues/32 Fargate for EKS !!!

Managed worker nodes https://github.com/aws/containers-roadmap/issues/139

Managed worker nodes https://github.com/aws/containers-roadmap/issues/139 Is this different from “EKS Fargate”?

EKS Private Link Support https://github.com/aws/containers-roadmap/issues/22

EKS Private Link Support https://github.com/aws/containers-roadmap/issues/22 他のサービスでは進んでるやつ！

Takeaways

Takeaways - Docker & k8s の基礎 - k8s は覚えること多めだけど -
焦らず 1 個ずつ確実に理解する - AWS のコンテナ関連サービス - ECR - EKS / ECS - Fargate - CI/CD - GitOps - CodePipeline - What’s Next - 監視 / ロギングなどまだまだ考えることある - 今後のロードマップ

ご清聴ありがとうございました！

Appendix

Appendix - https://docs.docker.com/ - https://kubernetes.io/docs/home/ - https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/getting-started.html - https://github.com/weaveworks/eksctl -
https://www.weave.works/blog/gitops-operations-by-pull-request - https://www.slideshare.net/AmazonWebServicesJapan/20180214-aws-black- belt-online-seminar-amazon-container-services

新卒1年目のSREがコンテナをデプロイできるようになるまでの道のり [JAWS DAYS 2019]

新卒1年目のSREがコンテナをデプロイできるようになるまでの道のり [JAWS DAYS 2019]

More Decks by Daichi Harada

Other Decks in Technology

Featured

Transcript