ElasticBeanstalkの速習にチャレンジ

あー、なんか環境一式作ってくれるやつねー知ってるー使ったことないけどー…。
え?新しいアプリをElasticBeanstalkでローンチするの?それの運用やれ?
アプリはもうできている…??
ということで速習にチャレンジ。
これを社内ドキュメントシステムにも残して、他のメンバーにも運用させる目論見…w

Environment Type(環境タイプ)

  • Webサーバ と ワーカーがある
  • WebサーバタイプはHTTPポートを解放して外部からアクセスを受けるようなシステム全て。ユーザがブラウザでアクセスするタイプのソースコードを動かす場合は全部これ。
  • ワーカーはバックエンドのアプリのこと。SQSを使って他アプリというかシステムのワークフロー上の前後の機能とやりとりする。

DBの構築

  • RDSのインスタンスをElasticBeanstalkの構成の一部として起動することができる
  • アプリを消すとDBも自動的に削除される。もちろん最終スナップショットは取れる
  • 既存のRDSのスナップショットからRDSインスタンスを作成してそれをElasticBeanstalkアプリのDBにすることもできる
  • ElasticBeanstalkの構成の一部としないDBを作成することもできる。その場合は、ElasticBeanstalkアプリを削除してもDBが残る。作り方は多分RDSインスタンスを普通に作り、ElasticBeanstalkからそこへ接続する。
  • その他のDBに関する仕様はRDSを参照

VPC内への構築

  • 自分の既存のVPC内に構築することができる
  • Elastic Beanstalk は、Linux プロキシ設定(HTTP_PROXY、HTTPS_PROXY および NO_PROXY)をサポートしていない。
  • 直接インターネットからアクセスさせる(外部公開)するかNAT経由にする必要がある
  • VPC全般に言えるがUDP123番ポートを利用してNTPで時刻同期している。なのでNTPが利用できるように解放しておく必要がある。
  • 明示的にVPCを指定しないと自分のVPCを作ってそこに生まれる。

サービスロール、インスタンスプロファイル、ユーザーポリシー

  • サービスロール は 1個のサービスを正常に動かすために必要なポリシーをまとめたもの
  • ElasticBeanstalkサービスロールとは、Elastic Beanstalkが正常に動くために必要な各種権限が含まれたポリシーの集合体。
  • インスタンスプロファイル はElasticBeanstalkアプリを稼働させるEC2に付与するIAMロールのこと。
  • ユーザーポリシー はユーザIAMに適用できるElasticBeanstalkの権限ポリシーのこと。AWSユーザ側の話。

アプリのデプロイ

  • 基本的にアプリケーション全体をZipファイルにしてそれをアップロードすることでデプロイが行われる。
  • Webサーバのドキュメントルートに丸ごと置かれるとイメージしてよい?
  • 過去のバージョンのソースコードをはダウンロードできる。バージョンを戻すこともできる。

ebextensionsによるインフラ構築のカスタマイズ

  • アプリケーションのパッケージ(Zipファイル)のルートディレクトリに .ebextensions ディレクトリを作って、その中に filename.config の名前で yaml を書くと、ルールにしたがってインフラの構成変更を行ってくれる。
  • yum などから必要なプログラムをダウンロードしたり、決まった内容でファイルを生成したり、デーモンの起動停止設定を変更したりくらいはできる。
  • ebextension のファイル配布では、URLダウンロードか、インライン記述しかできない模様。つまり、アプリケーション内部の特定ファイルを指定してそれを配布することができない(ほんとに?)

CLIから構築すると圧倒的楽感が得られる

  • eb cli というコマンドラインツールがある。 awsコマンドの拡張的な位置づけで、awsコマンドとは別にインストールが必要
  • pip install awsebcli
  • eb cli は最新バージョンが3.x系となっていて、前のバージョン2.6とは非互換なところがある。今から始めるのであれば3.x系を使えば良い。
  • gitリポジトリを使うことが前提になっている。デプロイしたいアプリのリポジトリディレクトリのルートで eb init を実行する。
  • eb もリポジトリのように init してからそのディレクトリに Elastic Beanstalk アプリケーションの概念を植えてから作業を行っていく。
  • eb init は アプリケーション構築枠をElasticBeanstalkに確保した状態。枠だけなのでまだネットワークも構築されていないしEC2インスタンスも存在しない。
  • eb init で すでに存在している ElasticBeanstalkアプリケーションをカレントディレクトリのGitリポジトリと紐付けることもできる。アプリをシステム丸ごと移管された場合や、既存のシステムの開発に途中から参加する場合に使うと思う。
  • eb create で 「環境」を作る。「開発環境」とか「本番環境」などの「環境」のことだと思えばいい。システムの一式が作られる。つまり、ネットワーク、ELB、EC2が構築され、リポジトリのソースコードがデプロイされる。
  • eb create 実行時は対話でいろいろ聞かれる。構築するリージョンやアプリケーションの言語やELBの種類など。
  • eb create はオプションであらかじめ指定しないと、自分専用のVPCを作ってしまい、他のEC2らがローンチされている統合的なVPCで管理したいという思惑からそれてしまう。
  • eb cli の環境さえ整ってしまえば、あとは圧倒的に楽な感じがする。
  • eb cli のコマンドリファレンスは ここ をみると良い。そんなに種類は多くない。

DNSとSSL

  • ELBみたいに、Elastic BeanstalkアプリケーションにはAWSからDNS名が発行されるので、それをCNAMEレコードとしてDNSサーバに追加することができる。
  • Route53が利用できる場合はAレコードのエイリアスとして登録できる。そちらの方が良い。新規ドメインでのアプリ開発の場合はRoute53利用を前提にしたい。
  • SSL証明書は ACM(Amazon Certificate Manager)から発行される無料の証明書が利用できるので、それを適用できる。楽。

その他気づいたこと

  • Golang 1.5 でサンプルアプリを立ち上げてみたがSNSトピックが勝手にできた。承認URLが書かれたメールが飛んできた。SNSも使う想定で構築してくれる模様。
  • Elastic Beanstalk の公式ドキュメントは他のプロダクトより説明が抽象的で具体的にどうすればいいかわかりにくい印象。エンジニア向けかと思ったら経営層向けのような表現が出てきたり…。
  • Git使ったことない人は先にそっちを覚えたほうがいい。とりあえずは init して status して add して commit して push できるだけでよい。
  • とりあえず臆せずサンプルアプリを立ち上げて、管理画面がどうなっているのかとか、どのタイミングでEC2が生まれるのかとかの挙動を観察してからドキュメント読み込みに入ったほうが理解が早いかも。

次は

  • ebextensions という yaml群 を使うことでアプリのデプロイと一緒にインフラの設定変更やミドルウェアの追加などが可能となっている。自動で構築してくれる。それのやり方とか。
  • Zabbixエージェントとfluentdのインストールを自動化したい。
  • デプロイ時の挙動が選べるけどその辺どうすべき?とか

参考

AWS公式ドキュメント、クラスメソッドさんのブログ、Qiitaの順で漁りました。

コメント

コメントを投稿

このブログの人気の投稿

一部のユーザだけ NET::ERR_CERT_REVOKED でサイトにアクセスできない

イメージ
一部のユーザから、HTTPSのURLにアクセスできなくなったという連絡を受けました。 なんでも攻撃される恐れのあるサイトですとかなんとか…。 ブラウザのスクリーンショットをもらってみたら、こんな表示が。 Google Chromeでも同じ感じのエラーメッセージが表示されていました。(サイト名が出るので省略…) Chromeの方のエラーメッセージをよく見ると、 NET::ERR_CERT_REVOKED と書かれています。ファッ!?証明書が失効している…!? そんな馬鹿なと思い手元でアクセスしてみたら普通に繋がる…HTTPSできてるよ?なんで?何が起こってるんだろう…。 結論を言うと、 SSL証明書業者が手違いで中間CA証明書を失効させてしまった ことにより、私たちが購入して使っている証明書が一時的に利用不可能になり、そのネガティブキャッシュをユーザが参照している 、というお話でした。 解消のための新しい中間CA証明書が公開されていたので、そちらを使って更新してみると、問題は解消されました。 ただ、自社が買っていたのはクイックSSL証明書だとばかり思っていたので、更新に失敗しまくって時間がかかりました。違うやつだった…。 SSL証明書とかドメインの周りのメンテナンスは多くても年に数回とかっていう頻度なので、いろいろ思い出すのに苦労しますね。 ていうか、そういうことあるんですね、中間証明書間違って消しちゃった!とか。 レジストラのDNSサーバダウンと合わせて、「 うちのせいじゃないんだけどご迷惑をおかけしてごめんなさい案件 」って感じで覚えておきたい…。
続きを読む

[AWS] WAF を自分で組み立てるなら SAM でテンプレート書いた方が楽だよ

タイトルの通りです。 あ、 この記事は AWS初心者 Advent Calendar 2018 の7日目 として書いております。 最近会社でWAFとかLambdaとかSAMとかちょっとEC2やRDSといった基本のプロダクトとは違った要素について検証・導入を行なっているのですが、Lambdaをデプロイするために使ってみたSAMでWAFをデプロイすると楽ちんでした。 たとえばここに、HTTPリクエストのメソッドの種別を確認し、HEAD、CONNECT、TRACEを利用したアクセスをブロックするようなWAFを作成するためのSAMテンプレートがあります。 これが存在するディレクトリで以下のようにパッケージングのためのコマンドを実行します。 あ、念の為に雑多なディレクトリではなく、このテンプレートだけが存在する新しいディレクトリを作成してください。 aws --profile [プロファイル名] cloudformation package --template-file template.yml --s3-bucket [あらかじめ用意したS3バケット名] --output-template-file packaged-template.yml これを実行することで、SAMでのデプロイのためにパッケージング化された各種ファイルが指定したS3バケットに送られ、そこからデプロイするために書き換えられた packaged-template.yml が生成されます。 Lambda Functionのためのソースコードがあればここで併せてパッケージング化されるのですが、今回は無いのでtemplate.ymlだけですね。 そして以下のコマンドを実行するとデプロイされます。 aws --profile [プロファイル名] cloudformation deploy --template-file packaged-template.yml --stack-name otameshi-http-method-restriction-for-cloudfront --capabilities CAPABILITY_IAM --parameter-overrides yourApplicationeName=[任意の文字列] コマンド名に
続きを読む

[#CentOS][#Apache] CentOS6 でApacheが起動できない

CentOS 6 で httpd を起動させようとした時のこと $ sudo /etc/init.d/httpd start httpd を起動中: httpd: bad user name apache    [ 失敗 ] なんじゃこりゃ。 ■問題 Apacheが起動できない。問題はapacheユーザ ■原因 httpd.confには ユーザ:apache グループ:apache でhttpdを起動するようになっている。 ユーザとグループを確認してみよう… $ cat /etc/passwd | grep apache $ ユーザが居ない… $ cat /etc/group | grep apache apache:x:48: グループはある。なんでこうなってんだ? ■対処 ユーザ「apache」を作ってグループ「apache」に入れてあげよう。 # useradd -g apache apache useradd: /etc/passwd をロックできません。後でもう一度試してください。 は?(#゚Д゚) # ll /etc/*.lock -rw-------. 1 root root 5  2月 12 07:29 2013 /etc/passwd.lock -rw-------. 1 root root 5  2月 12 07:29 2013 /etc/shadow.lock これを消すか # rm /etc/passwd.lock rm: remove 通常ファイル `/etc/passwd.lock'? y # rm /etc/shadow.lock rm: remove 通常ファイル `/etc/shadow.lock'? y これでもう一度apacheをuseraddして…あれ、もしかしてロックファイルがApahceをインストール剃る前からあって、もしかしてyumのインストールシーケンスの中でユーザ作成だけ失敗してたりしてるのかな? ということでApacheをインストールし直す方向で。 # yum remove httpd $ sudo yum install httpd httpd-devel mod_wsgi Pythonの勉強したいからmod_wsgiも入れてます。 で、yum入りました。 Transaction Summary
続きを読む