ECS環境でのCLIオペレーション

712 Views

December 10, 23

スライド概要

profile-image

https://gravatar.com/sgwrdts

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

ECS環境でのCLIオペレーション ゆるSRE勉強会#3 Genki Sugawara

2.

自己紹介 Genki Sugawara Kanmu, Inc., SRE github.com/winebarrel twitter.com/sgwr_dts Blog so-wh.at

3.

ECS環境でのCLIオペレーション どうしてますか?

4.

理想の世界 業務処理は管理コンソールから行う シェルへのログインは禁止

5.

よくある現実 管理画面を作り込む工数ががなくてCLI 例外的なオペレーションすぎてCLI その他いろいろ…

6.

CLIオペレーションにありそうなパターン EC2経由でCLIオペレーション サービスのコンテナにECS Exec CLIオペレーション用のコンテナを常駐 ポートフォワーディングしてローカルから 都度ECSタスクを起動してECS Exec

7.

EC2経由でCLIオペレーション proc すぐ使える sshしやすい 安定している

8.

EC2経由でCLIオペレーション cons コンテナ化したのにEC2の運用 プロビジョニング・CLIデプロイの手間 セキュリティのための仕組みの準備

9.

サービスのコンテナにECS Exec proc 手軽 オペレーションのための準備が不要(かも)

10.

サービスのコンテナにECS Exec cons 怖い サービスを破壊できる サービスの権限でオペレーション サービスコンテナにステートができる

11.

CLIオペレーション用のコンテナを常駐 proc サービスのコンテナにログインするよりは安全 サービスと権限を分離できる ある程度ステートレスにできる

12.

CLIオペレーション用のコンテナを常駐 cons ユーザーのアイソレーションが難しいかも ある程度ステートを持つ EC2と異なるセキュリティの仕組みが必要そう

13.

ポートフォワーディングしてローカルから proc サーバにログインする手間がない ローカルで動くツールを実行できる

14.

ポートフォワーディングしてローカルから cons ローカル環境にオペレーション環境がつながるのが怖い 監査で怒られが発生しそう audit.logの収集などが社内情シスの領域になる

15.

都度ECSタスクを起動してECS Exec pros 完全に独立した各人コンテナで作業できる ぶっ壊してもサービス・他スタッフに影響しない 作業完了後にコンテナが死ぬのでセキュリティリスクが低そう

16.

都度ECSタスクを起動してECS Exec cons ECSタスクが柔軟じゃないので、オペレーション専用のECSタスクが必要になる ECSタスクのデプロイ→ECS Exec、若干と手間

17.

もう少し柔軟にECSタスクを起動したい

18.

github.com/kanmu/demitas2 ecspressoのラッパー コンテナの起動・ログインを簡易化 イメージやIAMロールを変更できる

19.

Demo