712 Views
December 10, 23
スライド概要
https://gravatar.com/sgwrdts
ECS環境でのCLIオペレーション ゆるSRE勉強会#3 Genki Sugawara
自己紹介 Genki Sugawara Kanmu, Inc., SRE github.com/winebarrel twitter.com/sgwr_dts Blog so-wh.at
ECS環境でのCLIオペレーション どうしてますか?
理想の世界 業務処理は管理コンソールから行う シェルへのログインは禁止
よくある現実 管理画面を作り込む工数ががなくてCLI 例外的なオペレーションすぎてCLI その他いろいろ…
CLIオペレーションにありそうなパターン EC2経由でCLIオペレーション サービスのコンテナにECS Exec CLIオペレーション用のコンテナを常駐 ポートフォワーディングしてローカルから 都度ECSタスクを起動してECS Exec
EC2経由でCLIオペレーション proc すぐ使える sshしやすい 安定している
EC2経由でCLIオペレーション cons コンテナ化したのにEC2の運用 プロビジョニング・CLIデプロイの手間 セキュリティのための仕組みの準備
サービスのコンテナにECS Exec proc 手軽 オペレーションのための準備が不要(かも)
サービスのコンテナにECS Exec cons 怖い サービスを破壊できる サービスの権限でオペレーション サービスコンテナにステートができる
CLIオペレーション用のコンテナを常駐 proc サービスのコンテナにログインするよりは安全 サービスと権限を分離できる ある程度ステートレスにできる
CLIオペレーション用のコンテナを常駐 cons ユーザーのアイソレーションが難しいかも ある程度ステートを持つ EC2と異なるセキュリティの仕組みが必要そう
ポートフォワーディングしてローカルから proc サーバにログインする手間がない ローカルで動くツールを実行できる
ポートフォワーディングしてローカルから cons ローカル環境にオペレーション環境がつながるのが怖い 監査で怒られが発生しそう audit.logの収集などが社内情シスの領域になる
都度ECSタスクを起動してECS Exec pros 完全に独立した各人コンテナで作業できる ぶっ壊してもサービス・他スタッフに影響しない 作業完了後にコンテナが死ぬのでセキュリティリスクが低そう
都度ECSタスクを起動してECS Exec cons ECSタスクが柔軟じゃないので、オペレーション専用のECSタスクが必要になる ECSタスクのデプロイ→ECS Exec、若干と手間
もう少し柔軟にECSタスクを起動したい
github.com/kanmu/demitas2 ecspressoのラッパー コンテナの起動・ログインを簡易化 イメージやIAMロールを変更できる
Demo