ECS環境でのCLIオペレーション

ECS環境でのCLIオペレーション ゆるSRE勉強会#3 Genki Sugawara

自己紹介 Genki Sugawara Kanmu, Inc., SRE github.com/winebarrel twitter.com/sgwr_dts Blog so-wh.at

• https://github.com/winebarrel
• https://twitter.com/sgwr_dts
• https://so-wh.at/

ECS環境でのCLIオペレーション どうしてますか？

理想の世界 業務処理は管理コンソールから行う シェルへのログインは禁止

よくある現実 管理画面を作り込む工数ががなくてCLI 例外的なオペレーションすぎてCLI その他いろいろ…

CLIオペレーションにありそうなパターン EC2経由でCLIオペレーション サービスのコンテナにECS Exec CLIオペレーション用のコンテナを常駐 ポートフォワーディングしてローカルから 都度ECSタスクを起動してECS Exec

EC2経由でCLIオペレーション proc すぐ使える sshしやすい 安定している

EC2経由でCLIオペレーション cons コンテナ化したのにEC2の運用 プロビジョニング・CLIデプロイの手間 セキュリティのための仕組みの準備

サービスのコンテナにECS Exec proc 手軽 オペレーションのための準備が不要（かも）

サービスのコンテナにECS Exec cons 怖い サービスを破壊できる サービスの権限でオペレーション サービスコンテナにステートができる

CLIオペレーション用のコンテナを常駐 proc サービスのコンテナにログインするよりは安全 サービスと権限を分離できる ある程度ステートレスにできる

CLIオペレーション用のコンテナを常駐 cons ユーザーのアイソレーションが難しいかも ある程度ステートを持つ EC2と異なるセキュリティの仕組みが必要そう

ポートフォワーディングしてローカルから proc サーバにログインする手間がない ローカルで動くツールを実行できる

ポートフォワーディングしてローカルから cons ローカル環境にオペレーション環境がつながるのが怖い 監査で怒られが発生しそう audit.logの収集などが社内情シスの領域になる

都度ECSタスクを起動してECS Exec pros 完全に独立した各人コンテナで作業できる ぶっ壊してもサービス・他スタッフに影響しない 作業完了後にコンテナが死ぬのでセキュリティリスクが低そう

都度ECSタスクを起動してECS Exec cons ECSタスクが柔軟じゃないので、オペレーション専用のECSタスクが必要になる ECSタスクのデプロイ→ECS Exec、若干と手間

もう少し柔軟にECSタスクを起動したい

github.com/kanmu/demitas2 ecspressoのラッパー コンテナの起動・ログインを簡易化 イメージやIAMロールを変更できる

• https://github.com/kanmu/demitas2

Demo