こんにちは、エウレカ SRE チームの原田です。

今年エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。

旧来の踏み台サーバ


In AWS world, as a best practice, you should avoid using static credential as much as possible. Static credential can easily be exposed by human mistake, can be stored somewhere (somewhere you forget). If you use temporary credential using AWS STS, that risk can be reduced.

I strongly recommend AWS SSO as a first choice to give developers a way to get temporary credential of your login identity. ( It’s de-facto standard of multi account management & brings many benefits from the perspective of operation. ) With AWS SSO, you can get temporary credential by clicking “Command line or programatic…


長時間ハマってしまったので、備忘録として残しておきます。

TLDR

  • IMDSv1を無効化したEC2インスタンスでDatadog Agentを動かすときにはec2_prefer_imdsv2を明示的にtrueにしないとhostの識別がうまくいかないことがあるよ

環境

  • Datadog Agent 6.30.1
  • Amazon Linux 2

そもそもIMDSv1をなぜDisableするのか

IMDS (Instance Metadata Service)はEC2インスタンス内部から叩くと自身のinstance idやらinstance profileの認証情報を取得できるエンドポイント。

[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/

通常外部からは叩けないエンドポイントだが、SSRF攻撃が可能な …


re:Invent2019 で発表された EC2 Image Builder

この記事は「eureka Advent Calendar 2019」19日目の記事です。昨日の記事は Yuya Kaidoによる Android開発におけるモジュール分割でした。

みなさんこんにちは! エウレカSRE チームの Daichi Harada です。

先日、念願の AWS re:Invent に行ってきました!様々な新サービス/新機能の発表がありワクワクしています。中でも一番刺さったサービスが、EC2 Image Builderでした。今回はこれを触ってみようと思います。

AWSさま主導 + Rettyさま、Metapsさま、C Channelさま、eurekaの4社で合同開催した住友不動産麻布十番ビルRecapイベントのレポート記事も合わせてご覧ください!


re:Invent 2019

みなさんこんにちは。 eureka, Inc. SRE の Daichi Harada です!

12/2〜12/6 の日程でAWSの1年で最大のイベントである re:Invent 2019が開催され、今年もたくさんの新サービス / 新機能が発表されました。

re:Invent 2019の期間中に発表されたAWSの新サービス / 新機能の数はなんと77!

また、re:Inventの前後で発表されたものも含めると、とても膨大な量になります。

これらのアップデートを個人でキャッチアップするのはとても大変で、効率的にキャッチアップするには国内のRecapイベントなどに参加することが有効です。

今回、AWSさん + 住友不動産麻布十番ビル内の企業である Rettyさん、C Channelさん、Metapsさん、そしてeurekaの4社合同で AWS re:Invent 2019 の Recapイベントを開催しましたので、本記事ではそのレポートをしたいと思います。

re:Inventとは

まずはAWS 平田さまより、麻布十番ビル取り組みについて、re:Inventというイベントについての紹介を頂きました。また、各社の代表からイベントにかける意気込みを発表しました。


eureka SRE 原田 & ex-eureka (現 Ubie) SRE 坂田

こんにちは!eureka SREチームの原田です。先日2/23に開催された JAWS DAYS 2019 にて、@sakajunquality と2人で登壇してきました!

本記事では登壇内容について(Docker, Kubernetes, AWS)の簡単な紹介と、イベント当日の様子などをレポートしていきたいと思います!

登壇内容

スライド枚数なんと300枚を超える超大作…

「ある程度Webアプリケーションは書けるけど、コンテナはよく知らないなぁ」という人向けに、Docker / Kubernetes (k8s) / Container Services on AWS についてストーリー仕立てで順を追って理解していくという内容です。(ほぼ) 実話を元にしていて、坂田が昨年eurekaを退職した頃、インフラ関連のインプットに関して面倒をみてもらっていたことを思い出し、その頃のことを思い出して資料にしたら面白いんじゃないかと坂田の方から提案され、今回CFPを出してみました。

コンセプトは「わかりやすさ」

実写アイコンで「マンガでわかる」形式で進める、経験の浅い新人ならではの視点で生まれた疑問を解消していく、「一言で言うと〇〇」でまとめていくなど、とにかくわかりやすさを重視しました。コンテナ周りに最初触れたとき感じた「登場人物が多い、略称多い、とどのつまりは何をしているものなんだ…」という苦手意識を持っていた当時の自分にこの資料を渡してあげるような想定で、坂田と2人で資料を作成しました。

ただし初心者向けの「やってみた」だけに留まらず、Production Ready にするには少なくとも何が必要なんだっけというところや、今後のAWSのコンテナ関連サービスのロードマップの紹介、GitOpsなど新しい概念にも触れています。

補足 & 喋りきれなかったこと

この資料に書いてあることだけやれば実際に本番投入できるかというとそうではないところ、ザックリ省いてしまったIAMやSecurityGroup周りの話、datadog agentでサイドカーでコンテナ監視したい、あたりは話しそびれたと思います。また後半のEKSクラスタ構築の部分については、ベストプラクティスは各組織の事情によるので、eurekaの現状において一旦terraformを用いて試験的に組んでみた、というあくまで前提のある「やってみた」であることにご留意いただければと思います。

当日にContainer/k8s関連セッションを見ていて得ることができた視点としては、terraform とeksctlで組む場合のIaCな責務の分け方とか、コンテナのセキュリティについての観点はごっそり抜けててた、など勉強になりました!

反響

登壇終わった後会場で話しかけていただきたり、Twitterなどでも嬉しいことにたくさんのご感想を頂くことができました。皆様ありがとうございます!

ご感想頂いて気づいたのですが、スライド単体でもコンテンツとして成立するように作ってあるので、研修で前半だけかいつまんで Docker の部分だけ使って頂くとか、2章だけ切り取って ECR/EKS/ECS/Fargate って何なのか雰囲気を掴む、というような使い方もしてもらえるんじゃないかと思ってます。

イベントの熱気!

今回のJAWS DAYSは1900名を超える来場者だったということで、AWS、ないしはクラウドの盛り上がりを肌で感じることができました。会場は熱気で満ち溢れ、人気のセッションはぎゅうぎゅうで立ち見が出るほど。話題としてはやはり特にコンテナ/k8s関連の盛り上がりを感じました。特にk8s on AWSをがっつりと実践しているfreeeさんのセッションはとても勉強になり、事業内容の比較しつつeurekaではどの技術を使うのが良いかなど考えるきっかけになりました。また、個人的にはセキュリティまわりに関して、AWS WAF関連やPentestの事例紹介セッションがアツかったと感じました。

満漢全席のテーマにふさわしく、お弁当 🍱 が圧倒的な美味しさで幸せになりました。( 北京飯店の油淋鶏弁当、美味しかった。。。) これだけ大規模なイベントを運営されてるJAWS-UGコミュニティ運営の皆様には、感謝の気持ちでいっぱいです。本当にお疲れ様でした!


この記事は eureka Advent Calendar 2018 21日目の記事です。

eureka SREチームの原田です。この記事ではPairsのSLI向上のためSREチームとAPIチームで週次で開催している「パフォーマンス定点観測会」について紹介したいと思います!

API Team & SRE Team の パフォーマンス定点観測会

なぜやっているのか

eurekaのSREチームではチーム戦略の一つとして「99.95%の可用性を目標に、事業的な機会損失の最小化をめざす」を掲げており、これの実現のためにパフォーマンス観測MTGをはじめました。 ( チーム戦略の詳細は、こちらの記事を御覧ください! オンラインデーティングサービス「Pairs」を支えるSREチームの秘密 )

またSREチームだけではどうしても実装の中身がわからずに適切なアクションが取れない、ということが多かったので、APIチームも巻き込んだ会議体になりました。

どうやっているのか

ツール

  • BigQueryに集約してある各種ログを、Google CloudDatalabを利用して整形、週次でレポート生成、S3+CloudFrontでホスティング
  • レポートだけではできないアドホックな調査は BigQuery, Redash, Datadogなどを利用
  • レスポンスのステータスコード件数を用いて SLI (サービスレベル指標) を設定し、 SLO (サービスレベル目標) を 99.95 % とする

会議の回し方

  • 週1回、APIチーム + SREチーム 10数名でのミーティング
  • 3チームにわかれてレポートを確認、考察、タスク候補洗い出し
  • 最後に集まって出た問題を共有、優先度付けTODOをだす

3チームに分かれているのは、並列にしたほうが時間節約できる、人数少ないほうが手を動かしたり自発的にやりやすくなる、という理由から始まりました。

なにを見ているのか

日台韓Pairsおよびマイクロサービス群について、以下の項目をそれぞれ見ています。

SLI (nginx log)


登壇したeureka SREチームの2人

こんにちは!2018年度新卒エンジニアの原田です。

4/24,25の2日間にわたって開催された『DevOpsDays Tokyo 2018』に、エウレカ SREチームより恩田と坂田が登壇しました。また、eurekaは今回ブロンズ・スポンサーとして協賛もしておりました!

SREチームの一員として、新卒エンジニアの僕も勉強のため参加してきましたので、カンファレンスの様子をレポートしたいと思います!

Daichi Harada

SRE

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store