AWS CloudFormation 入門 +オマケのハンズオン

10.2K Views

October 09, 21

aws cloudformation

スライド概要

AWS CloudFormation 入門 +オマケのハンズオン
kinneko@gmail.com 2021.10.09

kinneko

@kinneko

スライド一覧

とりあえず登録。数年後、Slideshareからデータ移行。ただし、一部ファイルは移行できず。無念。

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

マニュアルを書かねばならなくなったので、ついでにAWS Control Towerの入門書を書いてみました。

aws aws control tower secjaws security-jaws jaws

kinneko 18.4K

AOSPをミラーしてみた

android

kinneko 11.6K

Unityを使ったVRアプリ作成入門

android vr unity

kinneko 3.6K

BeagleBone Blackで Androidの下回りを学ぼう(公開版)

kinneko 3.2K

中華チップ全盛時代のARM SoCの選び方

android arm soc

kinneko 2.1K

Unityを使ったVRアプリ作成入門

android vr

kinneko 1.3K

各ページのテキスト

AWS CloudFormation 入門＋オマケのハンズオン kinneko@gmail.com 2021.10.09

Infrastructure as code (IaC) CloudFormation (CFn) ハンズオン：CFnを使ってS3バケットを作成する

Infrastructure as code (IaC)

Infrastructure as code (IaC) • DevOpsの流れで、サービスコードだけでなく、クラウドインフラもコードとして管理しよう！ • サーバーや仮想ネットワークの準備、 Serverless環境などの用意を自動化

Infrastructure as code (IaC) • デプロイ速度の向上：人的コストが削減される • デプロイに人為的ミスが減る：デプロイ作業の品質向上 • 必須の設定の見落としが減る：セキュリティの向上 • 環境を維持せず使うときだけデプロイして、終わったらリソースを削除：運用コストの削減 • テンプレート化と再利用 • インシデント発生時の解析用環境の再現

Infrastructure as code (IaC) • IaCは、構成管理ツールを使って実現する • 冪等性(べきとうせい)が必須： • 何度実行しても最終的に同じ結果になる • 更新後は更新があった部分だけを変更する

CloudFormation (CFn)

CloudFormation (CFn) • AWSが用意している構成管理ツール • AWSの管理コンソールで設定可能なものは自動化 • 無料で使える (保管用のS3、動作インスタンスの使用料はかかる) • “CloudFormation”で”Cloud Fromation”ではない

CloudFormation (CFn) • 特徴 • YAMLかJSONで構成データを引き渡す • IAMロールで実行権限を制御 • 失敗したら自動でロールバックする • 手動で変更された部分との差分検知 (ドリフト検出) • バージョン管理ができる • 実行結果をCloudTrailに吐くことができる

10.

CloudFormation (CFn) • 欠点 • CFnに対応していないサービスもある (Organizationなど) • CFnを実行時の安全のために権限の分離も必要 (IAMロールの作成) • DBは用意できるが、テーブル作成やデータ投入はできない • IaaS上のサービスデプロイはできない • 初回のみならやる方法もあるが、更新に使えないので無意味 • Ansibleなど他のツールを使うべき

11.

CloudFormation (CFn) •YAMLかJSONで構成データを書く • AWS resource and property types reference - AWS CloudFormation • https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/awstemplate-resource-type-ref.html ※ 英語で表示すること。日本語だとリストが表示されない • Asia Paciﬁc (Tokyo) Region - AWS CloudFormation • https://docs.aws.amazon.com/ja̲jp/AWSCloudFormation/latest/UserGuide/ cfn-sample-templates-ap-northeast-1.html ※ テンプレートは一部のみしか提供されていない

12.

CloudFormation (CFn) • リファレンスやテンプレートはあるが、設定する項目数が多く、AWS側の追加や変化もあるので手書きは死ぬ • 例) AWS::S3::Bucket - AWS CloudFormation • https://docs.aws.amazon.com/AWSCloudFormation/ latest/UserGuide/aws-properties-s3-bucket.html

https://docs.aws.amazon.com/AWSCloudFormation/

13.

CloudFormation (CFn) Type: AWS::S3::Bucket Properties: AccelerateConﬁguration: AccelerateConﬁguration AccessControl: String AnalyticsConﬁgurations: - AnalyticsConﬁguration BucketEncryption: BucketEncryption BucketName: String CorsConﬁguration: CorsConﬁguration IntelligentTieringConﬁgurations: - IntelligentTieringConﬁguration InventoryConﬁgurations: - InventoryConﬁguration LifecycleConﬁguration: LifecycleConﬁguration LoggingConﬁguration: LoggingConﬁguration MetricsConﬁgurations: ReplicationConﬁguration: ReplicationConﬁguration Tags: - Tag VersioningConﬁguration: VersioningConﬁguration WebsiteConﬁguration: WebsiteConﬁguration - MetricsConﬁguration NotiﬁcationConﬁguration: NotiﬁcationConﬁguration ObjectLockConﬁguration: ObjectLockConﬁguration ObjectLockEnabled: Boolean OwnershipControls: OwnershipControls PublicAccessBlockConﬁguration: PublicAccessBlockConﬁguration

14.

CloudFormation (CFn) • 何かツールを使ってテンプレートを作るのが妥当 • AWSが用意しているCFn作成ツール ”CloudFormer” もあるが開発は途絶中 • “Former2” のような3rd Party製のツールもある • Serverless環境には、”Serverless Framework” を使うと便利

15.

CloudFormation (CFn) •Former2 • AWS環境だけでなく他のクラウドも同じツールで使えることもある • デプロイ済みの既存環境から設定を再現することもできる • 設定の取り込みには、デプロイ権限を付与したIAMのアクセスキーとシークレットが必要 • Webサービスとしての利用もできるが、アクセスキーとシークレットの引き渡しが必要でセキュリティの懸念あり • ローカルで構築もできる。dockerなどを使用すると便利に使用できる

16.

ハンズオン： CFnを使ってS3バケットを作成する

17.

ハンズオン：CFnを使ってS3バケットを作成する • mk̲s3buket.ymlを用意し、BucketNameに独自のバケット名を指定する • CFnを実行してバケットを作成する • 手動でバケットを削除して、ドリフト検出してみる • 手動でバケットを作成して、ドリフト検出してみる • テンプレートを更新して新しいCFnスタックを実行する • CFnスタックを削除する

18.

ハンズオン：CFnを使ってS3バケットを作成する mk̲s3buket.ymlを用意し、BucketNameに独自のバケット名を指定する • mk̲s3buket.yml を”テキストエディタ”や”メモ帳”などで作成しておく AWSTemplateFormatVersion: 2010-09-09 Resources: S3BucketForRedirect: Type: AWS::S3::Bucket Properties: BucketName: <バケット名> ←<バケット名>を決めて入力 S3バケット名なので、全世界で一意、英子文字のみ

19.

[beta]

AWSTemplateFormatVersion: '2010-09-09'
Description: buckets for storing.
Metadata:
'AWS::CloudFormation::Interface':
ParameterGroups:
- Label:
default: 'Storage'
Parameters:
- BucketName
Parameters:
BucketName:
Description: 'The name of the bucket to store the data in. If left blank, a bucket name will be generated.'
Type: String
Default: ''
Conditions:
HasBucket: !Not [!Equals [!Ref BucketName, '']]
Resources:
DataBucket:
Type: 'AWS::S3::Bucket'
Properties:
BucketName: !If [HasBucket, !Ref BucketName, !Ref 'AWS::NoValue']
AccessControl: Private
VersioningConﬁguration:
Status: Enabled
PublicAccessBlockConﬁguration
BlockPublicAcls: true
BlockPublicPolicy: true
IgnorePublicAcls: true
RestrictPublicBuckets: true
BucketEncryption:
ServerSideEncryptionConﬁguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: 'AES256'
CorsConﬁguration:
CorsRules:
- AllowedHeaders:
- '*'
AllowedMethods:
- 'GET'
- 'PUT'
AllowedOrigins:
- '*'
Outputs:
DataBucket:
Description: 'Name of the bucket'
Value: !Ref DataBucket
Export:
Name: !Sub '${AWS::StackName}-BucketName'

ハンズオン：CFnを使ってS3バケットを作成する
mk̲s3buket.ymlを用意し、BucketNameに独自のバケット名を指定する

• mk̲s3buket.yml
• ちゃんと書くと結構長くなる
• たかだかS3バケットの作成だけど
細かく見ると深い…

20.

ハンズオン：CFnを使ってS3バケットを作成する CFnを実行してバケットを作成する • 管理コンソールからCloudFormationへ移動し、CFnスタックを作成する •

21.

YAMLがアップロードされるS3 URL →

22.

23.

↑ 本来は厳密に必要な権限のみ設定する

24.

25.

ハンズオン：CFnを使ってS3バケットを作成する CFnを実行してバケットを作成する裏ではCFn実行用のインスタンスが動作している

26.

ハンズオン：CFnを使ってS3バケットを作成する CFnを実行してバケットを作成する • ステイタス完了の確認