Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudFormation/SAMのススメ

Eiji KOMINAMI / 小南英司
October 19, 2020
Technology
0
80

 CloudFormation/SAMのススメ

CloudFormation と SAM を使って AWS の構築を自動化する方法とは?よくあるパターンは、テンプレート化して再利用性を高めましょう。

Eiji KOMINAMI / 小南英司

October 19, 2020
Tweet

More Decks by Eiji KOMINAMI / 小南英司

See All by Eiji KOMINAMI / 小南英司
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
110
AWS Media Services 最新サービスアップデート 2023
eijikominami
0
150
NAB Show 2023 速報
eijikominami
0
1.8k
YouTuber も編集マンもクラウド使って編集しよう。 クラウド編集のキホン
eijikominami
0
1k
AWS Media Services 最新サービスアップデート 2022
eijikominami
0
190
CloudFrontのリアルタイムログをKibanaで可視化しよう
eijikominami
0
57
朝日放送グループにおける番組配信/ライブ配信事例および視聴者参加型コンテンツのご紹介
eijikominami
0
48
EC2上のWordPressをShifterに移行してみた!
eijikominami
0
31
Monitoring - 入門監視
eijikominami
0
38

Other Decks in Technology

See All in Technology
Amazon CloudWatch Network Monitor のススメ
yuki_ink
0
170
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
470
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
110
TinyGoを使ったVSCode拡張機能実装
askua
2
210
Intuneお役立ちツールのご紹介
sukank
3
780
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
200
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
300
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
510
Lambdaと地方とコミュニティ
miu_crescent
2
340
いざ、BSC討伐の旅
nikinusu
2
740
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
390
Can We Measure Developer Productivity?
ewolff
1
120

Featured

See All Featured
Adopting Sorbet at Scale
ufuk
73
9.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Typedesign – Prime Four
hannesfritz
40
2.4k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Into the Great Unknown - MozCon
thekraken
32
1.5k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
The Cost Of JavaScript in 2023
addyosmani
45
6.7k
Speed Design
sergeychernyshev
24
610
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Done Done
chrislema
181
16k
The Pragmatic Product Professional
lauravandoore
31
6.3k

Transcript

  1. ⼩南 英司 Eiji KOMINAMI JAWS KOBE & OSAKA CloudFormation &

    SAMのススメ - よくあるパターンは全部テンプレ化しちゃいましょう -

  2. 2 ⾃⼰紹介 ⼩南 英司(こみなみ えいじ) サーバサイドの構築 から アプリの実装 まで プリキュア応援アプリの開発/実装

    ⾼校野球速報アプリの開発/実装 M-1グランプリ視聴者投票システムの構築 ...など @eijikominami

  3. 3 Agenda - CloudFormation & SAM の魅⼒を伝えたい 利⽤するメリットと注意点 既存のテンプレートの活⽤ スタック構築Tips

  4. 利⽤するメリットと注意点 4

  5. 5 CloudFormationとは... AWSリソース群をテンプレート化し、 迅速かつ適切な順序でプロビジョニング/管理できるサービス Resources: MyKinesis: Type: 'AWS::Kinesis::Stream' Properties: ShardCount:

    1 MyLambda: Type: 'AWS::Lambda::Function' Properties: Code: ZipFile: | import boto3 def lambda_handler(event, context): records = decode_records(event) …………………………………………… Handler: index.lambda_handler Role: arn:aws:iam:0123456789:role/IAMRoleForLambda Runtime: python3.8 MyLambdaEventSourceMapping: Type: 'AWS::Lambda::EventSourceMapping' Properties: EventSourceArn: !GetAtt MyKinesis.Arn FunctionName: !GetAtt MyLambda.Arn MyDynamoDBTable: Type: 'AWS::DynamoDB::Table' Properties: AttributeDefinitions: - AttributeName: user_id AttributeType: S KeySchema: - AttributeName: user_id KeyType: HASH ②ʼAWS CLI からデプロイ ①テンプレートファイルを作成 ②マネージメントコンソールからデプロイ AWS Cloud Region Amazon Kinesis Lambda Amazon DynamoDB ③AWS上に⾃動で構築

  6. 6 Serverless Application Modelとは... CloudFormationを拡張した サーバレスアプリケーション構築⽤フレームワーク Resources: MyKinesis: Type: 'AWS::Kinesis::Stream'

    Properties: ShardCount: 1 MyLambda: Type: 'AWS::Serverless::Function' Properties: CodeUri: myLambda/ Events: KinesisEvent: Properties: StartingPosition: TRIM_HORIZON Stream: !GetAtt MyKinesis.Arn Type: Kinesis MyDynamoDBTable: Type: 'AWS::DynamoDB::Table' Properties: AttributeDefinitions: - AttributeName: user_id AttributeType: S KeySchema: - AttributeName: user_id KeyType: HASH AWS Cloud Amazon Kinesis Lambda Amazon DynamoDB ③AWS上に⾃動で構築 テンプレートファイル template.yaml aws-lambda-powertools ライブラリ設定ファイル requirements.txt import base64 import json import boto3 import os import copy from aws_lambda_powertools import Logger from aws_lambda_powertools import Tracer dynamodb = boto3.resource('dynamodb') table = dynamodb.Table('test') user_id_key_name = 'user_id' group_id_key_name = 'group_id' attributes_key_name = 'attributes' @logger.inject_lambda_context(log_event=True) @tracer.capture_lambda_handler def lambda_handler(event, context): records = decode_records(event) for record in records: user_id = record['data'][user_id_key_name] group_id = record['data'][group_id_key_name] attributes = copy.deepcopy(record['data']) del attributes[user_id_key_name] del attributes[group_id_key_name] update_data(user_id, group_id, attributes) Lambdaプログラム lambda_function.py Amazon S3 ②SAM CLIを⽤いて ビルド/パッケージ化/デプロイ ①テンプレートファイルや Lambdaプログラム等を作成

  7. 7 CloudFormation導⼊で何を変えたかったか マネージメントコンソールからの⾯倒な⼿動操作 設定の抜け漏れや作業ミスの発⽣ • 作業順序(サービスAを設定した後じゃないとサービスBが設定できない) • 正しく設定されているかを後から検証することが困難 ⾼い作業コストと時間の浪費 •

    同じパターンのアーキテクチャを何度も⼿作業で構築(テスト環境/本番環境, 案件A/案件B...) 複雑なリソース管理/運⽤ ウィザード等で作成した過去のリソースの乱⽴ ロールバックやスクラップ&ビルドが困難 ⼿間が掛かる上に更新が滞る管理⽤のドキュメント システム構成の属⼈化 作業者によって微妙に異なる設定

  8. 8 CloudFormation/SAMのメリット① 再利⽤可能なテンプレート 複数環境への展開が容易 • 変数のパラメータ化 • 異なるリージョン, 異なるステージ, 複数のシステム/プロジェクトで利⽤できる

    バージョン管理可能 安全で⾃動化されたデプロイ 依存関係や実⾏順序を⾃動的に判断しデプロイ デプロイ失敗時にロールバックが可能 スクラップ&ビルドが容易 • CloudFormationスタックを削除すれば、関連するリソース全てが消える(⼀部例外あり) 合理的かつ継続したデプロイプロセスを構築可能に

  9. 9 CloudFormation/SAMのメリット② リソースのグループ化 テンプレートの分割とネストされたスタック • 複数のCloudFormationスタックを組み合わせてデプロイが可能 関連するリソースを同時に作成 • リソースに権限を付与 :

    Service-Linked ロール, IAM ロール, S3バケットポリシー • ログの出⼒ : S3バケット, CloudWatch Logs • リソースの監視 : CloudWatch アラーム, EventBridge, SNS サーバレスアプリケーションを迅速に構築(SAM) テンプレートとLambdaプログラムを⼀括管理 サーバレスサービスに特化した機能 • 簡略化したテンプレート構⽂の提供 • ローカル開発環境にLambdaの実⾏環境を構築可能

  10. 10 CloudFormation/SAMの注意点① 未対応のサービスあり、挙動が怪しい場合も。 今後のロードマップや機能改善等の予定は以下を参照 • CloudFormation Public Coverage Roadmap https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap

    • AWS SAM - Issue https://github.com/aws/aws-sam-cli/issues 未対応サービスの例 • CloudFront の Origin Failover • DynamoDB の Global Tables • ローンチされたばかりのサービスや新機能 ...など Issueの例 • EC2インスタンスに付けたタグが同時に作成したEBSには付与されない • EventBridgeのイベントパターン内でNumber値を指定すると勝⼿にStringに変換されてしまう • ネストされたスタック内では sam build が実⾏されない ...など

  11. 11 CloudFormation/SAMの注意点② CloudFormationの制限 1つのテンプレートに含むことのできるリソース数は200まで • 上限を超える場合は、テンプレートの分割を検討 1つのテンプレートに含むことのできるパラメータ数は60まで • 変数を⽤いて複雑な処理を⾏う場合は、Mappingsセクションの活⽤も検討 1つのテンプレートの本⽂サイズは51,200バイトまで

    • 上限を超える場合は、テンプレートをS3にアップロードした上でデプロイ 1つのアカウントで作成できるスタック数は200まで • 上限を超える場合は、上限緩和申請も検討 作成するAWSサービスの制限 • オブジェクトを全て削除しないとS3バケットを削除できない – DeletionPolicy: Retain を指定してスタック削除時にバケットを保持 • 同時に作成できるDynamoDBテーブル数の上限 • Detective は GuardDuty 有効化から 48時間経過後に有効化可能 ...など

  12. 12 CloudFormation/SAMの注意点③ その他の注意点 四則演算やforループなどは使⽤できない スタック内のリソースの⼿動による設定変更(ドリフト) • ドリフト検出機能を⽤いて設定変更を検知可能 • 正しいテンプレートを⽤いて再デプロイしてもドリフトは解消されない •

    ⼿動であるべき姿に戻す or スタックから当該リソースの切り離しと再度インポート Parametersセクション • Default は初回作成時のみ有効 • Description を⽇本語にすると⽂字化け ➡ CDK(AWS Cloud Development Kit)の利⽤を検討

  13. 既存のテンプレートの活⽤ 13

  14. 14 ⾃分でテンプレートを作成しなくても⼤丈夫 公開されている既存のテンプレートを活⽤しよう Webページからスタック起動URLをクリック Serverless Application Repository からアプリケーションを選択 マネージメントコンソール (CloudFormation)が⾃動で起動

    デプロイ CloudFormation Stack Template マネージメントコンソール (Lambda)が⾃動で起動 Template デプロイ CloudFormation Stack

  15. 15 セキュリティサービスの⼀括有効化 AWSアカウント作成時に有効化すべきサービス群 Amazon Inspector Amazon GuardDuty AWS Config AWS

    CloudTrail AWS Security Hub Amazon Detective AWS Cloud Tokyo (ap-northeast-1) security stack S3 Bucket AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty Amazon Inspector Alarm Amazon SNS AWS Personal Health IAM Role ServiceLinkedRole Amazon EventBridge IAM Access Analyzer Amazon CloudWatch Events Amazon CloudWatch Logs S3 Bucket Documents S3 Bucket Lambda Amazon Detective https://git.io/JTWiB GitHub eijikominami/aws-cloudformation-templates

  16. 16 静的ウェブサイトのホスティング CloudFront + S3 + CloudWatch Synthetics AWS WAF

    設定可能 OAIによるアクセス制限 ログの有効化 外形監視 https://git.io/JTWPW GitHub eijikominami/aws-cloudformation-templates AWS Cloud Tokyo (ap-northeast-1) static-website-hosting-with-ssl stack Amazon S3 Amazon CloudFront Amazon S3 access log AWS WAF Origin Access Identity Amazon CloudWatch Synthetics AWS Lambda Amazon S3 Amazon CloudWatch Logs log data synthetics monitoring Amazon CloudWatch Alarm

  17. 17 CloudWatchアラームの設定 頻繁に使⽤するサービスのアラーム設定をテンプレート化 そのままデプロイ ⾃分のテンプレートに埋め込み マネージメントコンソール (Lambda)が⾃動で起動 Template デプロイ CloudFormation

    Stack https://amzn.to/2Hk4CAf Serverless Application Repository https://serverlessrepo.aws.amazon.com/applications AWS Serverless Application Repository Resources: AlarmEC2: Type: 'AWS::Serverless::Application' Properties: Location: ApplicationId: arn:aws:serverlessrepo:us-east- 1:172664222583:applications/cloudwatch-alarm-about-ec2 SemanticVersion: 1.1.6 Parameters: CPUUtilizationThreshold: 80 CustomAlarmName: !Ref AWS::StackName SNSTopicArn: !Ref SNSForDeploymentArn EC2: Type: 'AWS::EC2::Instance' Properties: Template デプロイ リソースの⼀部として埋め込み CloudWatchアラーム ⾯倒なアラーム設定を簡単セットアップ

  18. スタック構築Tips 18

  19. 19 便利なコマンド/ツール群 cfn-lint テンプレートのプロパティとその値をチェック(Linter) 複数のIDE向けプラグインあり cfn-guard テンプレートのポリシーコンプライアンスをチェック 事前に作成したルールに適合するかチェック 2020/10/1 GA

    $ cfn-lint template.yaml W3005 Obsolete DependsOn on resource (IAMRoleForLambda), dependency already enforced by a "Fn:GetAtt" at Resources/LambdaPutData/Properties/Role/Fn::GetAtt template.yaml:405:11 https://git.io/JU0pI https://git.io/JT8cf $ cfn-guard check -t template.yaml -r default.ruleset [LambdaGetData] failed because [Runtime] is [python3.7] and Lambda runtime requires Python 3.8 Number of failures: 2 AWS::Lambda::Function Runtime == Python3.8 << Lambda runtime requires Python 3.8 事前に作成したルール

  20. 20 CodePipelineを⽤いたビルド&デプロイ テンプレートの更新をトリガに⾃動でデプロイを実⾏ マネージメントコンソールにログインすることなく⾃動で全てが完了 テンプレート コミット ビルド/テスト デプロイ パイプライン git

    push Cloudformation テンプレートの場合 1. cfn-lint の実⾏ 2. cfn-guard の実⾏ SAM テンプレートの場合 1. cfn-lint の実⾏ 2. cfn-guard の実⾏ 3. sam-validate の実⾏ 4. sam-build の実⾏ 5. sam-package の実⾏

  21. CodePipelineを⽤いたビルド&デプロイ テンプレートのプッシュをトリガにデプロイを⾃動で実⾏ マネージメントコンソールにログインすることなく⾃動で全てが完了

  22. 22 モジュラーアプローチ 複数のテンプレートに分割し再利⽤性を⾼める AWS Cloud Tokyo (ap-northeast-1) security stack S3

    Bucket AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty Amazon Inspector Alarm Amazon SNS AWS Personal Health IAM Role ServiceLinkedRole Amazon EventBridge IAM Access Analyzer Amazon CloudWatch Events Amazon CloudWatch Logs S3 Bucket Documents S3 Bucket Lambda Amazon Detective ネストされたスタックの利⽤ AWS::Include の利⽤ 親テンプレート ネストされたテンプレート ネストされたテンプレート 親テンプレート 挿⼊されたテンプレート ネストされたテンプレートは 変更セットを確認できない

  23. 複数のテンプレートに分割し再利⽤性を⾼める detective.yaml securityhub.yaml inspector.yaml iam.yaml guardduty.yaml config.yaml cloudtrail.yaml 23 モジュラーアプローチ

    AWS Cloud Tokyo (ap-northeast-1) Amazon SNS AWS Personal Health IAM Role ServiceLinkedRole Amazon EventBridge ネストされたスタックの利⽤ AWS::Include の利⽤ 親テンプレート ネストされたテンプレート ネストされたテンプレート 親テンプレート 挿⼊されたテンプレート ネストされたテンプレートは 変更セットを確認できない

  24. 24 Enjoy CloudFormation and SAM!

  25. Appendix 25

  26. 26 テンプレートリファレンス(CloudFormation) https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/template-reference.html

  27. 27 テンプレートリファレンス(SAM) https://docs.aws.amazon.com/ja_jp/serverless-application-model/latest/developerguide/sam-specification-resources-and-properties.html

  28. 28 CloudFormation Sample Templates https://github.com/awslabs/aws-cloudformation-templates

  29. 29 AWS Quick Start https://github.com/aws-quickstart

  30. 30 AWS CloudFormation Templates https://github.com/eijikominami/aws-cloudformation-templates/

  31. 31 buildspec ファイル for SAM テンプレート version: 0.2 phases: install:

    runtime-versions: python: 3.8 commands: - pip install -U pip - pip install -U cfn-lint # Use the latest version - pip install -U awscli # for Lambda - pip install -U aws-sam-cli - pip install -U boto3 # for Lambda Powertools - pip install -U aws-lambda-powertools # for cloudformation-guard - wget https://github.com/aws-cloudformation/cloudformation-guard/releases/download/1.0.0/cfn-guard-linux-1.0.0.tar.gz - tar -xvf cfn-guard-linux-1.0.0.tar.gz pre_build: commands: - find ./ -type f -name "*.yaml" | xargs --no-run-if-empty cfn-lint - find ./ -type f -name "*.yaml" | xargs -I {} ./cfn-guard-linux/cfn-guard check -r ./security-standards.ruleset -t {} build: commands: - sam validate --template ${TEMPLATE_FILE_PATH}template.yaml - sam build --template ${TEMPLATE_FILE_PATH}template.yaml - sam package --template-file .aws-sam/build/template.yaml --s3-bucket ${PACKAGE_BUCKET} --output-template-file packaged.yaml artifacts: files: - packaged.yaml https://git.io/JT8z1 GitHub eijikominami/aws-cloudformation-templates

  32. 32 cfn-guard ルールファイルの例 AWS Security Hub Security Standards に⼀部準拠 AWS::CloudTrail::Trail

    IsMultiRegionTrail == true << CloudTrail trails should cover all regions AWS::CloudTrail::Trail EnableLogFileValidation == true << CloudTrail file validation should be enabled AWS::CloudTrail::Trail CloudWatchLogsLogGroupArn == /.*/ << CloudTrail trails should be integrated with Amazon CloudWatch Logs AWS::CloudTrail::Trail KMSKeyId == /.*/ << CloudTrail trails should encrypt the logs delivered by it. AWS::DMS::ReplicationInstance PubliclyAccessible == false << DMS instance should not be publicly accessible AWS::EC2::Volume Encrypted == true << EC2 volumes should be encrypted AWS::EC2::Instance BlockDeviceMappings.*.Ebs.Encrypted == true << EC2 volumes should be encrypted AWS::EC2::SecurityGroup WHEN SecurityGroupIngress.*.ToPort == 22 CHECK SecurityGroupIngress.*.CidrIp != 0.0.0.0/0 AWS::EC2::SecurityGroup WHEN SecurityGroupIngress.*.ToPort == 3389 CHECK SecurityGroupIngress.*.CidrIp != 0.0.0.0/0 AWS::Elasticsearch::Domain EncryptionAtRestOptions.Enabled == true << Domain encryption should be enabled AWS::GuardDuty::Detector Enable == true << Detector should be enabled AWS::IAM::Role Policies.*.PolicyDocument.Statement.*.Action.* != ¥* << IAM Role should not allow full "*" administrative privileges AWS::KMS::Key EnableKeyRotation == true << Key rotation should be enabled AWS::RDS::DBInstance PubliclyAccessible == false << Databasae should not be publicly accessible AWS::RDS::DBInstance StorageEncrypted == true << Storage encryption should be enabled AWS::S3::Bucket BucketEncryption.ServerSideEncryptionConfiguration == /.*/ << S3 bucket encryption should be enabled AWS::SageMaker::NotebookInstance DirectInternetAccess == Disabled << Notebooks should not have direct internet access https://git.io/JT8g4 GitHub eijikominami/aws-cloudformation-templates