こんにちは!!こんにちは!!
インフラエンジニアのyamamotoです。

最近、しいたけ栽培セット にハマっています。モリモリしいたけが生えてくるのでとっても面白いです！
生のしいたけというのも普段なかなかお目にかかれないので、秋の味覚を楽しめてイイですよ！

しいたｋ…ログがちゃんと出力されているか？

当社のあるプロダクトではAWSを使用していますが、ログをAthenaで読むために、S3に日毎のフォルダーに分けて出力するようにしています。
ログの出力のしかたについては過去の記事をご参照ください。 tech.actindi.net

ログって使わないときはつい放置しがちになりますよねー。いつの間にか出力が止まっていたりしても気づかなかったり。
そこで、ログが毎日ちゃんと出力されているか監視するために、スクリプトを書いてLambdaで監視するようにしてみました。

コードの説明

ざっくり、コードはこんな感じになりました。

const {
  S3_BUCKET_NAME,
  S3_CHECK_PATTERN1,
  S3_CHECK_PATTERN2,
  S3_CHECK_PATTERN3,
  SNS_TOPICARN,
  SNS_REGION,
  SNS_MESSAGE_TITLE,
  SLACK_URL,
  SLACK_CHANNEL,
} = process.env;

const AWS = require('aws-sdk');

const s3 = new AWS.S3();
const sns = new AWS.SNS({
  apiVersion: '2010-03-31',
  region: SNS_REGION,
});

const checkPattern = [S3_CHECK_PATTERN1, S3_CHECK_PATTERN2, S3_CHECK_PATTERN3];

function formatDate(date, format) {
  let ret = format;
  if (!ret) ret = 'YYYY-MM-DD';
  ret = ret.replace(/YYYY/g, date.getFullYear());
  ret = ret.replace(/MM/g, `0${(date.getMonth() + 1)}`.slice(-2));
  ret = ret.replace(/DD/g, `0${date.getDate()}`.slice(-2));
  return ret;
}

async function checkS3Object(bucket, pat) {
  const params = {
    Prefix: formatDate(new Date(), pat),
    Bucket: bucket,
    MaxKeys: 1,
    StartAfter: formatDate(new Date(), pat),
  };

  console.info(`Checking S3 log directory ${bucket}/${params.Prefix}`);
  const res = await s3.listObjectsV2(params).promise();
  if (res.KeyCount === 0) {
    console.info('Data listobj: ', res);
    return 1;
  }
  return 0;
}

async function checkS3Status(bucket, pattern) {
  let ret = 0;
  let res = 0;
  for (let i = 0; i < pattern.length; i += 1) {
    if (pattern[i]) {
      res = await checkS3Object(bucket, pattern[i]);
      if (res === 1) {
        ret = `${bucket}/${pattern[i]}`;
        break;
      }
    }
  }
  return ret;
}

async function publishSNS(arn, title, message) {
  const params = {
    Message: message,
    Subject: title,
    TopicArn: arn,
  };

  try {
    await sns.publish(params).promise();
  } catch (err) {
    console.error('Error publishing: ', err);
  }
}

async function publishSlack(slackurl, slackchannel, message) {
  const { IncomingWebhook } = require('@slack/webhook');
  const slackwebhook = new IncomingWebhook(slackurl, {
    channel: slackchannel,
  });

  try {
    await slackwebhook.send(message);
  } catch (err) {
    console.error('Error Slack: ', err);
  }
}

exports.handler = async () => {
  const ret = await checkS3Status(S3_BUCKET_NAME, checkPattern);
  if (ret !== 0) {
    const msg = `Error! S3 log directory ${ret} is not known!`;
    await publishSNS(SNS_TOPICARN, SNS_MESSAGE_TITLE, msg);
    if (SLACK_URL !== '') {
      await publishSlack(SLACK_URL, SLACK_CHANNEL, msg);
    }
    console.error(msg);
  }
};

フォルダー名の形式を受け取って、それにマッチしたものが無いとSNS→メールと、Slackで通知するようになっています。
当社の例ではフォルダー名は「/year={年}/month={月}/day={日}/ 」なので、日付をフォーマットに当て込む関数を簡易的に使っています。
また、AWSのオブジェクトは非同期で扱うのでasync・awaitを使って受け渡しています。

意外と迷ったのが、フォルダーの存在有無をどう確認するか、というところです。
S3のフォルダーの有無を確認するには、s3.listObjectV2() メソッドを使用しています。

あと、SlackのWebhookを使った通知については、下記を参照しました。
https://slack.dev/node-slack-sdk/webhook

Lambdaに仕込む

これを、Lambdaに仕込みます。
トリガーとして CloudWatch Event を使い、毎日特定の時間に実行するようにします。日毎の場合、日付が変わってある程度時間が過ぎてからにしています。
リソースについては、監視するS3オブジェクトに対する s3:ListBucket 権限と、SNSの sns:Publish 権限が追加で必要になります。
あと、コードの冒頭にある環境変数を設定する必要があります。

さいごに

アクトインディでは、しいｔ…Webエンジニアを募集しています！ actindi.net

こんにちは!!こんにちは!! インフラエンジニアのyamamotoです。

AWSのCloudFormation、使ってますか？
すでに当ブログでも記事になっていますが、布教のために改めて題材にしたいと思います。

これが驚くほど便利なので、だまされたと思って一度使ってみてください！

CloudFormationのスゴイメリット

CloudFormationには、主に下記のようなメリットがあります。
1. インフラのコード化
2. 変更の場合は差分のみ更新される
3. 実行時に不具合があったらロールバックしてくれる
4. まるっと削除できる

1.については最近のトレンドですね。AWSのリソースを用意するのにYAMLやJSONで設定(テンプレートといいます)を書いておけるので、Gitなどにコードとして残しておけます。また、同じ環境や似た環境を作るのもコードから起こすので、コンソールの操作と違って楽にできますね。
2.はCloudFormationの方で、自動的に設定の差分だけを反映してリソースを追加・削除してくれるので、変更しない部分に影響を与えずにうまいこと更新することができます。
3.もCloudFormationがよきにはからってくれる点で、リソースの追加・削除の際にコンフリクトなどの問題が発生したら、作業する前の状態まで自動的に環境を戻してくれます。
最後に4.は、CloudFormationで作ったリソース群は「スタック」という単位で管理されていて、スタックで追加したリソースだけをまるっと削除できるので、他の環境に影響を与えずにスクラップアンドビルドが簡単にできます。

CloudFormationでIAMのユーザー管理をしてみる

前述のような特長から、CloudFormationを使うのに一番メリットがあるのは、IAMのユーザー管理だと(勝手に)思っています。
ユーザーの追加や削除、グループの変更や権限設定は頻繁に行われるので、CloudFormationのメリットが生かされるのではないでしょうか。

ということで今回はCloudFormationのお試しで、ユーザー管理を取り扱ってみます。
すでにmorishitaがAWS CDKでIAMユーザーを作成するネタを披露していますが、こちらはプレーンなCloudFormationなので比較材料になると思います。

ここでは、簡単に下記のようなユーザー環境を構築してみたいと思います。

• グループは以下の通り
  • デザイナー
    • AWSのコンソールにはアクセスできない
    • 作業環境構築のため、ECRのリポジトリにだけアクセスできる
  • カスタマーサポート
    • AWSのコンソールにアクセスできる
    • ユーザーサポートのため、Athenaにだけアクセスできる
• ユーザーは以下の通り
  • hogehogeさん
    • デザイナー
  • fugafugaさん
    • カスタマーサポート

これをCloudFormationの設定にすると、下記のようになります。

Resources:
  # グループdesigner：デザイナー
  # 権限：AWSコンソールアクセス不可。ECRのイメージダウンロード権限
  GroupDesigner:
    Type: "AWS::IAM::Group"
    Properties:
      GroupName: "designer"
      Path: "/"
      Policies:
        - PolicyName: "ECRRepository"
          PolicyDocument:
            Version: "2012-10-17"
            Statement:
              - Effect: "Allow"
                Action:
                  - "ecr:GetAuthorizationToken"
                  - "ecr:BatchCheckLayerAvailability"
                  - "ecr:GetDownloadUrlForLayer"
                  - "ecr:DescribeImages"
                  - "ecr:BatchGetImage"
                Resource:
                  - "*"

  # グループcustomersupport：ユーザーサポート
  # 権限：AWSコンソールアクセス、Athenaの操作権限
  GroupCustomerSupport:
    Type: "AWS::IAM::Group"
    Properties:
      GroupName: "customersupport"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AmazonAthenaFullAccess"

  # ユーザーhogehoge氏
  # 権限：designerグループ。コンソールアクセス不可。要キー作成
  UserHogehoge:
    Type: "AWS::IAM::User"
    Properties:
      Path: "/"
      UserName: "hogehoge"
      Groups:
        - "designer"

  # ユーザーfugafuga氏
  # 権限：custemersupportグループ。コンソールアクセス可
  UserFugafuga:
    Type: "AWS::IAM::User"
    Properties:
      Path: "/"
      UserName: "fugafuga"
      Groups:
        - "customersupport"
      LoginProfile:
        Password: "initialpassword"
        PasswordResetRequired: true

各設定項目などはマニュアルなどで調べてみてください。ただ、マニュアルは2000ページ以上あってけっこう大変です…… https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/cfn-ug.pdf

CloudFormationのコンソールを触ってみる

そして、これをCloudFormationのコンソールに登録します。 もちろんCLIにも対応していますが、コンソールでも簡単に作業することができます。

CloudFormationのコンソールを開いたら、「スタックの作成」をクリックします。

「スタックの作成」フォームが出てくるので、「テンプレートのアップロード」を選択して、上記テンプレートのYAMLファイルをアップロードして「次へ」をクリックします。

「スタックの名前」には他とかぶらないわかりやすい名前をつけます。わかりにくい名前だと、スタック更新や削除などのときに間違えてしまうので要注意です。

「スタックオプションの設定」については現状そのままにしておきます。

確認画面ではフォーム下部にあるチェックボックスを入れないとエラーになります。チェックを入れて「スタックを作成」をクリックします。

するとYAMLに記述したリソースをモリモリと自動的に作成してくれます。

スタック作成後、IAMの管理画面で見ると、グループやユーザーが作られていることがわかります。

また、指定した権限設定も反映されていますね。

今まで作ったものをすべてまるっと削除する場合は、スタック詳細画面で「削除する」をクリックします。
するとYAMLで作成されたリソースがサクサク削除されていき、スタックを作成する前の状態に戻ります。

さいごに

いかがでしょうか？こうやって見ると、CloudFormationって意外と簡単で便利ですよね。
コードとして残りますし、巻き戻しも簡単。コンソールでポチポチリソースを作成するより圧倒的に使いやすいと思います。
CloudFormationオススメですよ！

アクトインディではAWSを愛するインフラエンジニアを募集中です！
ぜひお問い合わせください！

morishitaです。

以前、Nuxt.js のSPAの稼働環境としてAWS Amplify Console を紹介しました。

tech.actindi.net

とても便利に使っているのですが、先日、次の機能追加があり、更に便利になりました。

aws.amazon.com

早速使って見たので紹介します。

Branch Autodetect ってどんな機能？

Amplify Console ではブランチ毎に専用環境が用意され、そのブランチにPushするたびに自動的にデプロイされる機能があります。 これまではどのブランチをその対象にするかを事前に設定する必要がありました（Amplify用語ではブランチを接続するといいます）。
今回追加された Branch autodetection はその名の通り事前設定なしで、ブランチ毎の環境を作ってデプロイしてくれます。
全ブランチが対象というわけではなく、事前にブランチ名のパターンを設定しておきます。するとそのパターンにマッチするブランチをリポジトリにPushするだけで新たな環境を自動的に追加しデプロイしてくれます。

ということは開発中に作業ブランチ毎に本番とは独立した環境＝ステージング環境が自動で作れるということです。
いくつもの開発が並行で走っても互いに干渉しないステージング環境で動作確認ができます。

設定してみる

アプリの設定の「全体」で設定できます。 下の方にまだ翻訳もされてない追加ほやほや項目がそれです。

編集モードに入ると設定できます。 有効にしていない状態では隠れていますが、Branch autodetection のスイッチを Enabled にすると次の項目が表示されます。

• Branch autodetection - patterns
• Branch autodetection - access control

Branch autodetection - patterns

ブランチ名のパターンを設定する項目です。 * にすると全ブランチが対象になりますが、まあ普通全ブランチを対象にする必要はないと思うので、個別ステージングがほしい場合のブランチ名のプリフィックを決めるといった運用をすることになるかと思います。

当社では d/〜から始めるブランチでステージングを用意する運用をしようと思うので d/** と設定します。

UI上の例では "*", "*/**"のようダブルクオートでパターンを囲っていますが、実際の設定では不要。というか付けるとマッチしなくなってしまうのでご注意を。

Branch autodetection - access control

access control はBASIC認証の設定です。username と password を設定します。
ステージングとして利用するなら設定しておくほうがいいでしょう。開発途中をパブリックに公開したくないでしょうし、うっかり検索エンジンにインデックスされてしまうと本番サービスに悪影響が生じます。

ブランチをPushしてみる

では、上記の設定にマッチするブランチをリポジトリにPushしてみるとどうなるか見てみます。

Pushしてちょっとすると次の様に新たな環境が追加され、プロビジョニングが始まります。

で、処理を待っているとビルド->デプロイ->検証と進み、アクセスできるようになります。
URLは Amplify Console が用意するドメインのサブドメインとなります。
サブドメイン名は基本的にブランチ名となりますが、/(スラッシュ)は -(ハイフン)に変換されます。

アクセスしてみると設定したBASIC認証でアクセス制限もされています。

アプリの設定の「全般」のブランチリストにも追加されています。

カスタムドメインに自動でブランチを追加してはくれないようです。
追加したければ自分でカスタムドメインの設定にサブドメインとして割り当てる必要があります。
まあ、開発中に使うステージングなのでドメインは気にしないケースがほとんどではないかと思います。 別サブドメインのサービスとCookieを共有したいなどの要件があると別ドメインのステージング環境を含めちょっと工夫が必要になるかと思います。

作業ブランチをマージするとどうなるか？

一応、「本番稼働ブランチ」という設定項目があるので、masterにマージしたらそのブランチの接続を自動削除してくれないかなぁと淡い期待を抱いていたのですが、 残念ながら何もしなければ一度できた環境はずっと存在し続けます。

放置すると使い終わったステージング環境が大量に残ってたという事態になりそうです。アクセスしなくても不要なストレージコストもかかるので削除していくほうがいいでしょう。
業務終了時間にパターンにマッチするブランチの接続を全消去するとか、master にマージされたタイミングで始末する仕組みを考える必要がありそうです。
ちなみに AWS CLI や SDK でも Amplify Console の操作がすでにサポートされています¹。

まとめ

このようにちょっと設定を追加してやるだけでステージング環境作り放題が実現できます。

Amplify Console はアプリケーションの構成によっては DynamoDB などバックエンドも作るので、どんどん環境を増やすってわけにはいかないアプリケーションもあるかと思います。
しかし、私が今やっているプロダクト は Nuxt.js の SPA のフロントエンドだけなので、気軽に増やしても構わないかなと思っています。
一方、使い終わった環境の後始末は要検討です。Lambdaで実装して定期実行しようかな。

最後に

アクトインディではエンジニアを募集しています。 actindi.net

morishitaです。

AWSで様々なサービスを使っていて、常々不便に思っていたことがあります。

それは Slackに通知できない ということです。

もちろん、Lambda を使って Slack にメッセージを送るのは、難しくないしすぐできます。実際、Cloud Watch Alert の重要なものは SNS(Simple Notification Service) + Lambda で Slack に通知していたりします。

先日、紹介した Amplify Console はメール通知機能を備えており、ビルド、デプロイの成否をメールで通知してくれます。Amplify Consoleの様に開発プロセスの一部に組み込まれるサービスにとって通知のニーズが必要とはAWSもわかっているなぁと感心しました。
しかし、一方で「その手段がメールだけって…」と軽い失望を覚えました。

tech.actindi.net

Amplify Console のような比較的新しいサービスにおいてもそんな感じなので、AWS的にはあんまりやる気ないのかなと思っていました。

大きな手間でもないのだけど、だからこそIncoming WebhookのURL設定するだけ「デプロイ終わったよ」くらい送れる程度のことでいいからできればいいのに。

と思っていたところ、このAWSのミッシングピースを埋めるかもしれないサービスが発表されました！

aws.amazon.com

2019/07/29時点でベータ版とのことですが、すでに東京リージョンでも使えるようです ¹。

試してみました。

早速使ってみる

まあ、Slackになにか通知できるだけのサービス、そんなに難しくはないだろうとドキュメントを読むのもそこそこに触ってみました。

チャットサービスの選択

Chatbot Consoleにアクセスするとチャットサービスを選択ができます。

次の選択肢があります。

• Amazon Chime
• Slack

Amazon Chime はオンライン会議・チャットサービスとのことです。
AWSにはこんなサービスもあるのかと思いつつ、選択するのはもちろん Slack です。

Slackアプリケーションのインストール許可

Configure client ボタンをクリックして進むと、Slack に飛ばされて、Slack アプリケーションのインストール許可を求められます。

ブラウザでログインしている Slack アカウントがあればそれが表示されます。 右上のプルダウンで別のアカウントを選択することも可能です。

許可するインストールされます。 Slack側のアプリリストにも次のように追加されています。

チャネルの設定

インストールOKするとChatbotの設定に戻ります。 設定は3つのパートに分かれています。

まずは、Slack Channel の設定。

Private を選択すると Private channel ID を直接入力します。 Public を選択すると接続した Slack にあるチャネルのリストから送信先のチャネルを選択できます。

続いて、IAMロールの設定。

既存のも選択できますが、Create an IAM role using a template を選択すれば、必要な権限を持ったロールを作ってくれます。

最後にメッセージのソースとなる SNS(Simple Notification Service)のトピックの選択。

Chatbot は SNS のサブスクライバーの1つになるので、SNS のトピックを選択します。 既存のものからの選択になるので、適当なのがなければ予め作って置く必要あります。 複数のリージョンの複数のトピックを指定することも可能です。

Configure ボタンをクリックして設定完了です。

選択した SNS トピックをコンソールを確認すると、サブスクリプションに Chatbotのエンドポイントが追加されています。

テストメッセージ送信

とりあえず、疎通確認としてなにか送ってみようと SNS のコンソールからメッセージを発行してみましたが、一向に Slack のチャネルにはメッセージが届かない…。

試しに、メールのサブスクライバーを追加してメッセージを発行してみると、メールにはちゃんと届きます。
しかし、Slack には何度送っても届かない。

IAMロールも Chatbot のコーンソールが作ったものを使っているので権限不足ってこともないいだろうし、何が悪いのか…。

と、ここでドキュメントに立ち返ってみると、現状 Chatbot がサポートしてるサービスが限られているようです。
Using AWS Chatbot with Other AWS Services - AWS Chatbotに書いてありました。

次のサービスがサポートされています。

• Amazon CloudWatch
• AWS Health
• AWS Budgets
• AWS Security Hub
• Amazon GuardDuty
• AWS CloudFormation

これら以外のサービスからメッセージを送信してもしれっと無視されるようです。

EC2に負荷をかけてみた

なるほど。ならばということでEC2インスタンスを実験用に作って負荷をかけてみることにしました。

作ったインスタンスには次のようなアラームを設定しました。

そして、stress コマンドで負荷をかけて見ると…。

来ました！

次のようなメッセージが Slack の設定したチャネルに届きました。

タイトル部分が該当する Cloud Watch Alert へのリンクになっていて、詳細を確認しやすくなっています。
グラフもついて、いまLambdaで自前で送っているメッセージより見やすいかも。

そして負荷をやめると次のメッセージが。

あれ、こちらはちょっとグラフの内容がおかしいような。 ベータサービスだから？

まとめ

• Chatbot で SNS 経由で各種サービスの通知をSlackに送信できる
• 特に CloudWatch Alert を Slack に送信するのは簡単
• 今は送信できるサービスが少ない

最初は SNS のどんなメッセージも送信できると思ったので、ちょっと期待通りではなかったですが、今後拡充されればもっと便利なサービスになるのではと思います。

参考

• Introducing AWS Chatbot: ChatOps for AWS | Amazon Web Services
• Chatbot Console

最後に

アクトインディではエンジニアを募集しています。 actindi.net

morishitaです。

これまで、なんかめんどくさそうでCloudfrmationは避けてきました。

ElasticBeanstalk や Serverlessフレームワークは裏側でCloudFormationが動くので、間接的には使ってきました。
デフォルトで用意されないリソースを追加するのにちょっとだけYAMLの定義追加する程度はやりました。
それなりに便利だと恩恵を感じてはいたのですが、直接使ったことはありませんでした。

ドキュメントの多さに、どこから手をつけていいかわからないとっつきにくさにかまけて避けていたのです。

ですが、「すぐいこ」の開発でイチからインフラを構築する機会がありついに入門してみました。

2021年03月 追記

私自身はもう CloudFormation で新規にインフラを構築することはないと思います。というのもCDKのほうが圧倒的に便利で、メンテナンスしやすいからです。

CDKについてのエントリはいくつかあるのでこちらもどうぞ御覧ください。 tech.actindi.net

CloudFormationを使ったインフラ構築の流れ

CloudFormation スタックのテンプレートをGitで管理したいので、Webコンソール上でなくローカルでテンプレートを作成します。

次の流れの繰り返しでインフラを構築しました。

1. YAMLでCloudFormation スタックのテンプレートを作成する
2. AWS CLIを使ってテンプレートをスタックに適用する

ちょっとづつ変更しては上記を繰り返しました。

環境の準備

まず、CLIでCloudformationスタックを操作するために AWS CLIを準備します。 AWS CLIのセットアップについては割愛します。

そして、エディタには Visual Studio Codeを使いました。 加えて次の拡張も使います。

• CloudFormation
  • コード補完できるようになります
• vscode-cfn-lint
  • 強力にエラーのチェックをしてくれます

vscode-cfn-lintを使うために、cfn-lintもインストールします。macOSだと、Brewでインストールできます。

$ brew install cfn-lint

vscode-cfn-lintによってとてもテンプレート作成が効率化されました。
テンプレートにエラーがあった場合にはスタックを更新しようとしたときに検出されロールバックされます。
が、このサイクルを繰り返すのは時間がかかって辛いです¹。 設定項目の階層や名称、設定値の間違いの類ならvscode-cfn-lintでテンプレートの記述中にミスが指摘されるので、実際に適用する前に修正できます。
かなり効率が上がります。

cfn-lintの指摘を解消すれば、ほぼ記述ミスに由来するエラーはなくなります。 リソース間の矛盾のような論理的なエラーの修正に集中できます。

CloudFormationのとっつきにくさとはじめの一歩

CloudFormationのとっつきにくさの原因を私は次の様に思っています。

1. ドキュメントが多すぎて、途方に暮れる
2. インフラをまるっと作ろうとするとCloudFormation以前にインフラ設計の知識が必要
3. VPCからインフラを構築していくとアプリケーションの動作を見れるまでの道のりが遠い
4. よくわからないので既存のインフラを壊してしまわないかと怖い

1.についてですが、一旦ドキュメントを読んでよく理解してからなんて考えは捨てました。
CloudFormationはAWSの多くのサービスを扱えるのでドキュメントが膨大です。
全サービスを使うわけでもないと思うので全部読む必要なんて一切ありません。
必要な部分だけ読めばよく、この項目ってどんな意味だろうと調べるためのリファレンスだと割り切って接することにしました。

2.は既存のインフラリソースをコピーしてCloudFormationで作ってみることから始めてみました。

3.ですが、1つのWebアプリケーションを動かすためには意外と多くのリソースが必要になります。VPC、Subnet、SecurityGroup、EC2インスタンスetc。最初はそれらをまるっとCloudFormationで作れたらどんなに楽なんだろうかと想像して始めるのだろうと思います。
ですが、最初から気負って始めるとアプリケーションをデプロイしてその動きを確認できるところまでが遠くて挫折しがちです。
一部でもできるところから取り入れることにしました。

4.を克服するためには他のシステムが可動していない別リージョンや別VPCで始めて経験を積んでいけばいいのですがそうすると一部から始めるという戦術が取りにくいです。
それに練習のためであって本質的には必要のないものをCloudFormationの恩恵を感じる前に作ろうとするのはなかなかのストイックさが求められます。

これらを踏まえて、私がおすすめするCloudFormationのはじめの一歩はCloudWatch ダッシュボードを作ってみることです。

Cloudwatchのダッシュボードを作ってみる

AWSでシステムを運用しているとCloudwatch ダッシュボードでシステム状態を確認できると便利です。
同じようなAWSのリソース構成で複数のシステムを運用しているとCloudwatchのダッシュボードもやはり同じようなものを複数作っているのではないでしょうか。

CloudwatchのダッシュボードをWebコンソールで作っていくのは結構面倒なものです。
でも、CloudFormationを使えば既存のダッシュボードを複製してちょっと変更すれば楽できます。

Cloudwatch ダッシュボードをどう作ろうと運用しているサービスのインフラには何も影響しませんし、あれば役立ちます。
それに既存のダッシュボードがあればそれを複製するようなCloudFormationのテンプレートを簡単に作れます。

CloudFormationによるCloudwatch ダッシュボードの作成について以下に説明します。

テンプレートの作成

まず、既存のCloudwatch ダッシュボードの定義をコピーしてテンプレートを作ります。

サンプルとして次のようなEC2インスタンスのCPU使用率とネットワークトラフィックをグラフ化するダッシュボードがあるとします。

このダッシュボードの定義を取得するには アクション＞ダッシュボードの編集を選択します。

次のようなダイアログが開きます。 その中にJSONで記述されたダッシュボードの定義が表示されるのでCopy Sourceボタンをクリックしてコピーします。

コピーしたJSONをCloudFormationテンプレートで利用します。 そのテンプレートは次のようになります。

AWSTemplateFormatVersion: '2010-09-09'
Parameters:
  EC2InstanceId:
    Description: 'EC2 Instance Id'
    Type: String

Resources:
  CloudWatchDashBoard:
    Type: AWS::CloudWatch::Dashboard
    Properties:
      DashboardName: EC2 Instance Metrics
      DashboardBody: !Sub |
        {
          "widgets": [
            {
              "type": "metric",
              "x": 0,
              "y": 0,
              "width": 24,
              "height": 6,
              "properties": {
                "view": "timeSeries",
                "stacked": false,
                "metrics": [
                    [ "AWS/EC2", "CPUUtilization", "InstanceId", "${EC2InstanceId}" ]
                ],
                "region": "ap-northeast-1",
                "title": "CPU Utilization"
              }
          },
          {
            "type": "metric",
            "x": 0,
            "y": 6,
            "width": 24,
            "height": 6,
            "properties": {
                "metrics": [
                    [ "AWS/EC2", "NetworkIn", "InstanceId", "${EC2InstanceId}", { "stat": "Average", "period": 60 } ],
                    [ ".", "NetworkOut", ".", ".", { "yAxis": "right", "period": 60 } ]
                ],
                "view": "timeSeries",
                "stacked": false,
                "region": "ap-northeast-1"
            }
          }
        ]
      }

Resources.CloudWatchDashBoard.Properties.DashboardBodyの値がダッシュボード定義でコピーしたJSONです。 ただし、EC2インスタンスのIDはParameters.EC2InstanceIdでパラメータ化して汎用性を高めています。 これを変えるだけで、別のEC2インスタンスについて同じダッシュボードを量産できます。
ちなみに!Subは変数を展開するためのCloudFormationの関数の省略形です。

シェルスクリプト

このテンプレートでスタックを作って更新していくのですが、AWS CLIへ渡す引数が少なくないので直接実行するのではなく、シェルスクリプトを用意したほうが便利です。

パラメータへの値のセットもシェルスクリプトからだとテンプレートの汎用性がより高まります。

上記テンプレートでCloudfrmationスタックを作成・更新するためのシェルスクリプトの例を次に示します。

#!/bin/bash

SCRIPT_DIR=$(cd $(dirname $(readlink $0 || echo $0));pwd)
CF_FILE_NAME="file://${SCRIPT_DIR}/cw-dashboard.yml"

CF_STACK_NAME='CloudwatchDashboard'
EC2_INSTANCE_ID=<YOUR EC2 INSTANCE ID>

case $1 in
  'create')
    CFN_SUB=create-stack;;
  'update')
    CFN_SUB=update-stack;;
  'changeset')
    CFN_SUB=create-change-set;; # より慎重にするにはこちら。
  * )
    echo 'Please set "create" or "update"'
    exit 1;;
esac

aws cloudformation $CFN_SUB \
--stack-name ${CF_STACK_NAME} \
--template-body ${CF_FILE_NAME} \
--parameters \
ParameterKey=EC2InstanceId,ParameterValue=${EC2_INSTANCE_ID} \
| jq .

上記シェルスクリプトは引数に応じて、AWS CLIのサブコマンドを切り替えます。 スタックが存在しないときには引数createを与えます。
スタックの更新時には引数updateを与えます。こjの場合、AWS CLIとしては aws cloudformation update-stack が実行されます。これによりスタックが更新され、変更が実リソースに反映されます。

チャンジセットがおすすめ

サービスに影響するようなCloudFormationスタックを変更する場合、無理な変更はロールバックされるとはいえ、いきなりリソース変更が適用される更新は勇気が必要です。 より慎重にするには上記シェルスクリプトに引数changesetを与えて aws cloudformation create-change-setを実行するほうが良いでしょう。 これはチェンジセットを作るサブコマンドです。 チェンジセットはスタックの変更箇所を適用せずに確認できる機能で、Dry Run のように使えます。 チェンジセットを作って変更箇所をWebコンソールでチェックしてから適用するというフローができます。

次のステップは？

簡単な例で説明しましたが、メリットを感じられたなら少々ハードルの高いことでもモチベーションを保てると思います。

既存のシステムと同様のシステムを構築する機会があるとチャンスです。 インフラ設計はすでにあるので、それらをどうCloudFormationで作っていくかに集中できます。 既存システムに加えるものは悪い影響を与えないか心配ですが、新規なら気にせず作業できます。 ぜひ、CloudFormationで構築してみましょう。 たとえ、CloudFormationに挫折してもWebコンソールでポチポチやるという逃げ道もあるのであまり気負わずに。

既存に参考になるリソースがある場合、AWS CLIでその設定内容を取得してみるといいと思います。例えばaws ec2 describe-instances などリソース情報を取得するCLIのレスポンスで示される属性はCloudFormationでのプロパティキーとほぼ一致しています。なので、どのキーにどのような値を設定すれば同じリソースが作れるのか参考になります。

このエントリの最初の方で一旦ドキュメントは置いておきましょうと述べましたが、プロパティやその設定値についてわからないことがあればドキュメントをそれらのキーワードで検索して調べてみれば良いと思います。 闇雲に膨大なドキュメントと格闘するより効率良いです。

• AWS リソースおよびプロパティタイプのリファレンス - AWS CloudFormation

また、次のドキュメントにはテンプレートのサンプルが示されているので、まずはコピー&ペーストで構築してもいいでしょう。

• サービス - AWS CloudFormation

まとめ

今回、CloudFormationを使ってみて、良かったと思った点は次のとおりです。

1. AWSのWebコンソールでポチポチ設定するより楽
2. リソースの変更が記録されるようになった
3. ノウハウを共有しやすい
4. 試しに作ってみたリソースをCloudFormationスタック削除するだけで全消去できる

1.は業務で作るリソースである以上、リソースを作れば作り方や設定内容を何らか記録する必要があります。 ならば、そんなドキュメントを作るよりcloudformationテンプレートのほうがトータルで楽だと思います。 ドキュメントと実態のズレもほぼないですし²。

2、3.はインフラのコード化の恩恵です。 テンプレートをコードレビューし合うようになったことで、他のメンバーが書いたテンプレートを見て学びやすくなりました。

3.は検証環境をつくるのが楽だということです。CloudFormationテンプレートを作りながら 試す場合もそうですし、機能やパフォーマンス検証のため本番と同じ構成、同じ設定のリソース群を一時的に作って すぐに捨てることができます。

最後に

アクトインディではインフラのコード化はまだ道半ばですが 一緒にやってみたいエンジニアを募集しています。