morishitaです。

yamamotoが次のエントリで紹介しましたが、いこーよを Kubernetes 上で運用し始めて3ヶ月になろうとしています。

tech.actindi.net

まあトラブルもありますし、やってみてEC2で運用していたのとは勝手が違うところに苦労しつつですが、移行してよかったと思っています。

移行前の状況

いこーよは弊社のメインサービスであり、最も長くメンテナンスを続けているシステムでもあります。
トラブルが発生するとご迷惑をおかけするユーザが多いサービスでもあります。

そのため、とりあえず落ちずに稼働しているしということで、改善のためにインフラに大きく手を入れることには及び腰になっていました。
この数年はサービスの成長にともない現れるシステムの綻びをちょっとづつ改良しながらいこーよを支えているという状況でした。

いこーよの姉妹サービスであるいこレポでは、Railsアプリケーションを Docker コンテナで稼働させており、 コンテナ稼働環境として ElasticBeanstalk を採用しました。 それ以降のプロダクトはそれを踏襲したシステム構成で運用しています。

一方、いこーよは EC2 上で直接 Rails を稼働させる昔ながらのインフラでした。 Ruby やその他モジュールのアップデートは Docker 環境とは異なり手間が大きいのことが課題として大きくなりつつありました。

また、メールサーバや memcached サーバ、Zookeeperなど扱い方が異なるサーバ・ソフトウェアが相乗りで1つのサーバに直接インストールされていたりすることも運用を煩雑にしていました。

この状況を改善するため、昨年の秋からいこーよインフラ刷新プロジェクトとして、インフラ基盤に kubernetes を導入する準備を進めてきました。 その検討過程で考えていたこと、やったことを少し紹介します。

考えたこと

要件定義

プロジェクトを開始する前に、どのようなインフラを作りたいかについてエンジニアチームで話し合いました。

すでに問題が顕在化しているものから、それってインフラの問題？　なものまで次の様な項目が数十個挙がりました(恥を偲んでいくつか披露します)。

• 繁忙期の負荷を心配しながら見守らなくてよくしたい
• リリース時にパフォーマンス低下しないようにしたい
• 長期間参照できるメトリクスを収集したい
• インフラもコード化したい
• etc

それらに優先度をつけ、やるものやらないことを決めました。
更にそれらを汎化し、一般的にインフラとして検討すべき次の観点について判断の指針を要件定義として定めました。

• 可用性
• 性能
• 運用容易性
• セキュリティ
• 開発効率
• コスト

あとから出てくる課題もこの要検定義を満たすのに必要なものはやる。
そうでないものは優先度を下げるという判断を行いました。

コンテナを何で動かす？

インフラを刷新するに当たり、どの様な形であれ Docker コンテナ上で稼働させるということは決めていました。
Dokcer コンテナを使えば、Ruby、それに必要なミドルウェアやライブラリなど Rails を動かすために必要なものがすべてがイメージに含められます。 デプロイするだけでそれらのアップデートも適用できてしまいます。
すでに Docker コンテナで稼働している他のサービスの運用でそのメンテナンス性の良さは実感できていましたし、求める運用容易性を満たすためにも必要なものでした。

アクトインディのインフラは AWS にあります。
AWS のコンテナ環境には ECS や、ECS をベースとしているElasticBeanstalk があります。
ElasticBeanstalk はすでにいこーよ以外のサービスで運用している実績があります。
ただ、次の点で満足していませんでした。

• デプロイに時間がかかる¹
• Railsサーバ以外も稼働させたいけれど扱えるコンテナ定義は1種類²

じゃあ、ECS はどうかとも考えましたが、ElasticBeanstalk で不満に思っていることの一部は ECS に起因しているものもあり決定打に欠けました。
そこで、最近事例が増えつつある Kubernetes なるものを自分もやってみたいと思い Kubernetes ありきで構成を検討し始めました³。
Kubernetes を使うにあたり、Kubernetes そのものの運用負荷はできるだけ下げたいと考え、AWS EKS を採用することにしました。

検証を進める中で、求めていた可用性、運用容易性や開発効率も実現できそうだと手応えを強めながらプロジェクトを進めていきました。

GitOps を実現する

いこーよは私が入社した当時から Github のプルリクエストをマージすれば本番環境にデプロイされるリリースプロセスの自動化がされていました。
プルリクエストをマージすると Github のリポジトリをポーリングしている Jenkins が RSpec のテストを実行して、capistrano で、EC2 にデプロイするというものです。

一方、Kubernetes の CI/CD のキーワードとして GitOps というのをよく見かけます。
GitOps とは weaveworks 社が提唱するCI/CDの考え方です。極々簡単に言うと宣言的にインフラを定義できる Kubernetes では Git リポジトリと実稼働するシステム状態を一致させるよう管理しようというものです。そうすることですべての変更が Git の履歴として管理でき、現在のシステム構成がどうなっているのかリポジトリを見ればわかるようになります。

具体的にアプリケーションとインフラの変更を稼働するシステム上にどの様に適用するのかというと、プルリクエスト上の操作を起点に CI/CD を自動化するということになります。

すでに運用としては GitOps っぽいものはすでにできていたので、この運用はそのまま残したいと思いました。
ただ、従来のリリースプロセスでは CI と CD が一体化しており、運用しづらい部分がありました。 そこで weaveworksの提唱通り CI と CD を分離し、GitOps を取り入れることにしました。

いこーよに関わるGitリポジトリを次の2つに分けました。

• アプリケーションリポジトリ
• マニフェストリポジトリ

アプリケーションリポジトリの変更を起点に CI を実行し、マニフェストリポジトリの変更を起点に CD を実行しています。 アプリケーションリポジトリの変更とはプルリクエストのマージです。コードレビュー後、各開発メンバーがマージします。 すると、Dockerイメージをビルドし、RSpec のテストを実行します。 ここまでが CI です。

そして、テストされたDockerイメージを使うようにマニフェストリポジトリのマニフェストを更新する。
すると、その通りに本番環境の Kubernetes へのデプロイが実行されるという CD の処理を実現することとしました。

これにより日々のリリースという運用の容易性と開発効率を維持できると考えました。

導入したもの

上記のようなことを考えつつ、次のような方針を軸にCI/CDも含めたいこーよの本番運用のシステム構成を検討しました。

• Kubernetes クラスターを運用する。
• 運用には GitOps を取り入れる

その上で前述の要件を満たすために今回のインフラ刷新プロジェクトでアクトインディとして新たに導入した技術要素は kubernetes 以外では次のものがあります。

• AWS CDK
• ArgoCD
• Datadog

AWS CDK

今回のインフラ刷新でもう1つ決めていたことがあります。
それは「できるだけインフラをコード化する」ということです。

AWS コンソールをポチポチいじって設定するのは、変更履歴が管理できないし、担当者任せの部分が多くなり再現性を担保できません。 なのでできる限りコンソールによる変更作業をなくしたいと考えました。

Kubernetes の中はすべて YAML のマニフェストでコード化しますが、Kubernetes だけでは CI/CD も含めた運用に必要なインフラ全ては実現できません。 第一、Kubernetes を稼働させるEKSクラスタは kubernetes では作れません。

もともとAWS謹製ということ、無理な変更は適用されずロールバックされる点で CloudFormation を信頼していました。 でも、あのYAMLは規模が大きくなっていくると管理がちょっと大変だなぁとも思っていました。 それなら、Teraformってどうだろうか？そう考えていたところに、ちょうどいいタイミングで AWS CDK が GA となりました。 試してみると、YAMLとは違って、次の点で実装しやすいと感じました。

• クラスやメソッドを使って見通しよく分割できる
• 通常のプログラミングと同じ手法でテストも可能
• それでいて最終的に CloudFormation のスタックとしてデプロイできる

いくつか習作も作ってみた上で CDKを採用しました⁴。

CDKでは次を構築しました。

• EKS クラスタ
• EKS クラスタで利用する IAM Role
• CI で使う CodePipeline や CodeBuild
• ECR レジストリなど

DockerイメージのビルドCIなどは設定ファイルにソースリポジトリを追加する程度で新設できるようになりました。

CDKのコードは cdk deploy コマンドでデプロイできます。
しかし、それをローカル環境から実行してしまうと環境差異がでる恐れがあるので、本番環境へは CodeBuild でcdk deploy コマンドを実行するようにしています。
CDK のリポジトリでプルリクエストをマージすると自動的に実行される様にして、インフラ変更の CD の自動化も実現しました。
もちろん、CDK をデプロイする CodeBuild の構築も CDK で行います。そしてそのデプロイも CodeBuild です。

ちなみに、CDKでは実装言語をいくつか選べますが TypeScript を使っています。
VS Code だと関数定義などがポップアップで表示されるため引数の定義を調べる手間が少ないですし、何より型が強力でコードの間違いを検出しやすいのでおすすめです。
ESLintでコードの書き方もある程度統一したルールを強制できます。

ArgoCD

GitOps を実現するに当たり、どうやって Kubernetes にデプロイするのか？ Flux、 Jenkins X などの候補がありましたが、ArgoCDを採用しました。

ArgoCDは GitOps のためのCDツールであると謳っている OSS です。
マニフェストのリポジトリとディレクトリを登録すると、そこに変更があったときに自動的に Kubernetes に適用してくれます。

採用の決め手は次のとおりです。

• インストールが比較的簡単
• ドキュメントがわかりやすい
• Github アカウントを使った認証がある
• GUI がある

インストールは ArgoCD のリポジトリにあるマニフェストで特につまるところなくできました。
Github アプリとして連携させると Github アカウントでログイン可能となります。 Github のオーガニゼーションでどのチームに属しているかによって付与する権限の変更も可能となっているところも使い勝手がいいです。

そして GUI があることが大きかったです。
Kubernetes のマニフェストを編集するのは一部の開発メンバーですが、アクトインディではリリース作業はデザイナーも含めコードを変更するメンバー全員が行う日常的な作業です。
デプロイの進行状況などが確認できる GUI があったほうがそれほど詳しくないメンバーにもわかりやすい。 自分で状況を確認する場合にも便利です。

実際に運用してみて次の機能も便利で、改めて導入してよかったと思いました。

• 各コンテナの標準出力が GUI で確認できる
  • コンテナのログをさっと確認するのにとても便利です。
• デプロイの PreSync, PostSync で実行されるJob
  • DBのマイグレーションをデプロイ前に実行したり、デプロイ完了をSlackに通知するのに便利です。

ArdoCD を組み込んで最終的に、CI/CD は次のように構築しました。

• CI
  • Github でプルリクエストをマージするとCodePipeline + CodeBuild で Docker イメージのビルドとテストを実行
  • テストが通るとマニフェストリポジトリに自動でプルリクエストを作成して Kubernetes のマニフェストを更新、自動的にマージ
• CD
  • マニフェストの変更を ArgoCD が検知。Kubenetes に適用し本番環境にデプロイ

CI の最後で CD をトリガーしているところが CI と CD を分離しきれてないといえばそうでしょう。しかし、多いときには1日10回程度リリースするのでそこは自動化しておかないと手間がかかってしょうがないというところです。

Datadog

システムのモニタリングには AWS の CloudWatch を使ってきましたが、kubernetes 導入とともに Datadog も導入しました。

Cloudwatch は便利だと思うのですが、不満に思うこともいくつかありもっと便利なツールはないかと思っていました。
かと言って、Prometheus を導入してその運用もというのはちょっとしんどい。
というようなことを勉強会か何かでたまたま出会った人に話してみました。
その人は Prometheus の同人誌を作っているような人だったのですが、「だったら Datadog いいですよ！」とのことだったので検討し始めました。

評価してみて、次の点がよいと思い導入を決めました⁵。

• Kubernetes 内のリソースのモニタリングが便利
  • 自動的に作られる Kubernetes ダッシュボードが独自ダッシュボードを作る際に非常に参考になりました
• メトリクスが探しやすい
  • リソースを特定して、そのメトリクスを選択していく Cloudwatch に比べ、メトリクスを選んでから対象リソースを絞り込む方式が使いやすかった
• Slack や AWS SNS への通知が簡単
• Note 機能が便利
  • あれ? と思ったメトリクスの動きにメモを付けて残しておけます
• データが丸められない

特に最後のデータが丸められないというは重要でした。Webサービスを運用していると急なアクセス急増、いわゆるスパイクが発生することがあります。
発生直後はメトリクスグラフで鋭いピークが確認できますが、時間が経つと30分平均の値に丸められたりして、その時システムがどうなっていたのか調べきれなくなります。
Datadog だと長い期間のグラフでは表示上は丸められるものの、期間を絞り込んでいくと詳細なメトリクスが参照できます。 そのおかげであのときどうなってたんだろう？　ということを時間が経っても調べられます。

ただ、ALBやRDSなどのAWS のマネージドサービスを監視するにはやはり Cloudwatach が必要な部分もあり併用しています。

移行に際して

構築、機能検証をしながら、本番のいこーよを動かす構成を作っていきました。 それができたら負荷試験、パフォーマンス試験を行い、運用を想定して障害時の対応についても検証しました。

上記に加えて、移行までに特にやっておこうと思ったのは EKS のマネージドノードグループや、EKS クラスタそのもののリプレース手順を確立しておくということでした。
Kubernetes もまだまだ多分に発展途上のプロダクトですし、インフラを構築するのに使っている CDK も高頻度で更新が続いているツールです。
この先、単純にはアップデートはできず、まるごと入れ替えるしかない局面がきっとあるだろうと考えています。 そのときにサービスを止めずにリプレースしていければ躊躇せずアップデートしていけるだろうと思いました。
その手順のためにシステム構成を見直したり、CDK の実装をリファクタリングしたりといった調整を行いました。

今週、クラスターのインスタンスタイプの変更を行うためにノードグループの入れ替えを行いましたが、これらの準備のおかけで慎重に、しかし恐れることなく作業できました。

最後に

ちょっととりとめないエントリになりましたが、いこーよのインフラの再構築に際して考えたこと、 これまでの取り組みを整理しておこうと思い書いてみました。 なにかの参考になれば幸いです。

参考

• Guide To GitOps

こんにちは!!こんにちは!!
インフラエンジニアのyamamotoです。

ついに、ついに「いこーよ」も kubernetes(k8s) を導入しました！
弊社morishitaと半年みっちり集中して、ようやく導入することができました。
今回はその体験談をお話したいと思います。

とにかく用語を覚えるのが大変

kubernetesを勉強し始めた時、まず大変だったのが、難解な用語を覚えることでした。
pod、replicaset、deployment、ingress、daemonset、クラスタ、ノード……と言われても、何のことやらって感じですよね。

しかしkubernetesをやるなら、これらは覚えて概念を理解しないと始まりません。
とにかく理解できるまで書籍やWebサイトを読みまくり、手元のMacで実際に動作させて覚えました。
概念的には、従来のインフラ環境から連想できることも多く、なんとなくイメージできたので、意外とすんなり入ってきました。
基礎を知っていることは非常に大事なことですね。

環境を整えるのが面倒

kubernetesはコンテナ技術を使っています。そのため、dockerイメージを保存しておくリポジトリがどこかに必要になります。
また、サイトのWebアプリケーションをリリースするのに、毎回dockerイメージをビルドする必要があります。
まずはこれらの環境を整える必要がありました。従来のインフラ環境に比べて、このあたりがちょっと面倒に感じられるかもしれません。

当社はAWSをメインに使っているので、CodePipelineやCodeBuildを活かして、GitHubリポジトリのmasterにマージされたら自動的にdockerイメージをビルドするCIを作成しました。
このあたりのパイプラインや、サブネット、EKSなどのAWS環境を整えるのに、今回AWS CDKを使って全てコード化しました。これはCloudFormationのスタックをTypeScript等で作れるツールです。YAMLやJSONでスタックを作るのはしんどいので、今回大活躍しました。

マニフェスト？

kubernetesでインフラをデプロイするにはマニフェストが必要になります。
マニフェストとはなんぞや？と思いましたが、要はどういうインフラを構築したいかをYAML等で書いたものになります。
まさにインフラのコード化ですね。

kubernetesを使うにはマニフェストは必須で、非常に多くの設定があり複雑です。また、デプロイする環境も開発環境、本番環境でもリリース前検証環境、実本番環境と複数の種類があります。
環境の差については「kustomize」を使う必要がありました。これはマニフェストを差分更新したりできる機能で、環境に依る部分はkustomizeを使って書き換えることで、各環境の設定を簡単に管理できるようになりました。

マニフェストについても、とにかく書いてみて、デプロイしてみて覚えるのが一番だと思います。
kubernetesの用語や概念を覚えられたら、書くこと自体はそれほど難しくないです。

実際のパフォーマンスはどうか？

kubernetes環境を構築して、podも立ち上げたところで、実際パフォーマンスがどのぐらい出るのか気になりますよね。
当社では負荷テストやパフォーマンステストを行って検証しました。

負荷テストはjmeterを使って、徐々にリクエストを増やして最大200req/sぐらいまで試してみました。
その中で、Horizontal Pod Autoscalerで自動的にpodが増え、Cluster Autoscalerによってノードが増える状態が確認できました。

パフォーマンステストでは、webpagetestを使ってレスポンスタイムを測りました。
kubernetesのpodは稼働させていないと休眠状態になるのか、何もない状態でいきなりアクセスするとレスポンスが悪くなるようです。
でも継続したアクセスがあると、結構いいレスポンスタイムが得られるんですよね。
こちらも、現行環境と比較して遜色ないレスポンスタイムだったので問題は無さそうでした。
実際にリリースしてみると、これまでのEC2の環境より安定して早いレスポンスを返せるようになりました。

最後に

なんだかマイナス面ばかり書いてしまいましたが、導入してみるととても便利ですね。
障害復旧が早いですし、実行環境のアップデートもコンテナを更新するだけ。デプロイも非常に楽ですし早いです。
何よりkubernetesがいろいろよしなにやってくれるところがイイですね！
機会があったらぜひ触ってみてください。

概要

Lambda@Edge でリクエストに応じてリアルタイムに画像のリサイズ、WebP 変換するプログラムを作成したら、インフラ構築、アプリケーション設計、実装、テスト、CI によるビルド & デプロイ の一連の流れを広く身につける事ができるチュートリアルに最適な案件でした。自分と同じ、インフラやサーバーサイドの経験が浅い人向けの記事で、実装に関するコードは後日紹介したいと思います。作成したものは以下で、黒が既存。赤が今回新たに作成したものになります。

Lambda@Edge の良かった点と課題

良かった点

• 画像変換を行う Lambda はサーバレスなので、管理コストがかからない。
• AWS の S3 を利用しているサービスは導入が容易。

課題

• CloudFront にキャッシュがない時は、 Lambda やっぱり遅い（Lambda の起動と画像処理で 2 秒ぐらいかかる）。
• 頑張って作る必要ある？ imgix 等の外部サービスの実際の使用感と金額知りたい。

はじめに

ユーザーが投稿してくれた画像を綺麗に見せてあげたい

iOS アプリの開発を担当している namikata です。今回は、アプリ用に WebP 変換した画像を提供する仕組みを AWS の Lambda@Edge を利用して作成した話をしたいと思います。実際にイチユーザーとして、いこーよアプリを利用しているのですが、前々から、アプリ内で表示している画質が荒いなぁと感じていました。それもそのはずで、いこーよアプリでは、ユーザーが投稿してくれた画像は 450x450px のサイズで画像を表示していた為、横幅いっぱいまで広げると 2x, 3x だと、ぼやけて表示されてしまいます。口コミ投稿する度に、なんだか画像がぼやけてしまって、楽しかった思い出も、なにやらぼやけてしまう感覚に陥ったり、陥らなかったり、やっぱり陥ったり。

左: アップロード後、右: オリジナル画像

子育てで忙しい中、せっかくユーザーの皆さんが、他の人の参考になればと投稿してくれたものなので、出来るだけ綺麗に表示してあげたい。ただ、日々使ってもらうアプリとして、通信量はとても大切なポイントとなるので、ユーザー体験を損なわないように出来る限り通信量は抑えたい。という、通信量は抑えつつ、綺麗な画像を配信する仕組みが必要になりました。

現状のいこーよの画像配信の仕組み

いこーよでは、コンテンツデリバリーの方法として CloudFront + S3 という一般的な組み合わせで画像を配信していて、画像 URL には、画像から計算されたフィンガープリントを付与することで、画像に変更があれば、画像の URL が変更になり、変更が即座に反映される仕組みで構築されています。画像をアップロードすると、アプリケーション内で定義したサイズにリサイズして S3 に保存され、 View で利用したい画像サイズを指定します。

• source.jpeg（ 2000x2000px 元の画像）
• normal.jpeg（ 450x450px）
• thumbnail.jpeg ( 180x180px )

※ 既にいこーよでは nginx を利用して任意の画像サイズへリサイズする仕組みが導入されてますが、WebP 変換にはまだ未対応で、説明を簡単にする為にその紹介はスキップします。気になる方は是非こちらのブログを参照ください。

tech.actindi.net

綺麗な画像を見せたいだけであれば source.jpeg を参照すれば良いだけですが、前述した通り、できる限り通信量を抑えたいので、容量の大きい source.jpeg は参照したくありません。その為、一番直感的な方法としては、normal より大きい large.jpeg ( 1080x1080px ) を作成してあげる事です。ただそれだけだと、やっぱり通信量は増えてしまうので、アプリでの利用であれば WebP 配信してあげるのがいいでしょう。

それぞれ画像アップロードの際に生成するようにすると、結構な枚数になりました。

• source.jpeg（ 2000x2000px 元の画像）
• large.jpeg（ 1080x1080px ）
• large.webp（ 1080x1080px ）
• normal.jpeg（ 450x450px）
• normal.webp（ 450x450px）
• thumbnail.jpeg ( 180x180px )
• thumbnail.webp ( 180x180px )

出来ない事はないですが、今後サイズをまた変更したいなと思った時には、どこまで笑顔で対応できるか自信がありません。また ImageMagick を利用して画像加工をしている場合は WebP に対応したバージョンを利用する必要があります。今後の運用を考えると、理想の形として見えてきたのは

1. S3 では元画像の source.jpeg のみ保存する
2. リクエストに合わせて source.jpeg から適切に画像をリサイズ、圧縮（WebP）し CloudFront に返却する
3. CloudFront は画像をキャッシュし、配信する

といった形が、楽しく仕事をしていく為の条件になっていきそうです。

サービスを選定する

早く、簡単に実現するなら、外部サービスを利用するのが最適解です。ImageFlux、Akamai、Fastly、imgix 等が上げられ、全て調べた訳ではないですが、基本的にはリクエスト数に応じての重量課金で提供されていると思います。 https://example.com?w=1080&webp=t などのようにリクエストすると、画像を保管しているサーバーから画像を取って来て、クエリに応じた形式に変換してくれるサービスを提供しています。また、顔認識を行い、人物にフォーカスが当たる形でトリミングを行ってくれるサービスもあったりします。

最初は外部サービスを利用する前提で調査を進めていたのですが Lambda@Edge を利用すれば、同様の事が出来るという事がクックパッドさんの記事で分かったので、実際に利用できそうか検証してみる事にしました。いこーよアプリは画像ギャラリーなどがあるサービスなので、画像へのリクエストも多めで、極力コストを抑えたいと思っていましたし、何より、実際に変換する処理を自分で書く事で、画像変換のノウハウを学習するチャンスです。

大変参考にさせていただきました。ありがとうございます。

techlife.cookpad.com

また、公式サイトでも Lambda@Edge を利用した画像変換プログラムについての紹介記事があります。

aws.amazon.com

初学者でも、インフラ構築、アプリケーション設計、実装、テスト、CI によるビルド & デプロイ の一連の流れを広く身につける事ができるチュートリアルに最適な案件だった。

最近 Firebase の CloudFunction とか使う機会が増えてきて、しっかり javascript を勉強したいと思い、勉強できる機会をさぐっていたのですが、正に適任といえる案件でした。Lambda@Edge は Node.js v12 をサポートしているので node + typescript で実装する事に決めました。また、インフラ周りは AWS CDK を利用することで typescript によるコード管理が可能です。

具体的な実装については次回の記事でまとめたいと思いますが、 Lambda@Edge を利用した画像最適化の実装には、インフラを含めて必要な言語の知識は typescript のみで済むので、とてもとっつきやすいと思います（AWS の各種サービスの知識はモリモリ必要です。あと、AWS のドキュメントって何であんなに日本語難しいんだろう）。実際に、自分も typescript を書いた事は、総人生の中で 10 時間ぐらいで、全くの初学者というレベルでしたが、処理の 99% は sharp というライブラリの活用で、実装がとても簡単だった為、すんなりと書き進める事ができました。

インフラ構築

作成するプログラムは AWS CDK を利用して、コードで管理することができます。コードで管理できる事がすごく重要で、AWS の管理コンソールを触らなくても、 AWS CDK のドキュメントを参照しながら、 Lambda や CloudFront を作成するコードを書いていく事で、自然と Lambda の実行に必要な権限の付与（アクセスコントールの仕組み）、 CloudFront と Lambda@Edge の紐付け（複数サービスの連携）などを学んで行く事ができます。また、開発基盤として各種用途に合わせたステージ（開発検証用の development, 本番リリース前に検証する staging, 本番の production 等）を用意することで、なるべく本番と差異なく、でも、必要な人だけアクセスできるように管理をしないといけない staging 環境を作るのが一番しんどいんだということを身を持って学ぶ事ができます。

また、今回作成するアプリケーションは、

• CloudFront: リクエスト数に応じて課金
• Lambda: リクエスト処理にかかる稼働時間に応じて課金
• CodeBuild: デプロイ処理にかかる稼働時間に応じて課金

と全てが稼働時間やリクエストに応じての重量課金になっているので、 staging や development 環境など、リクエストが少ない環境ではほとんど金額が発生しないメリットがあります。

アプリケーション設計、実装、テスト

Lambda@Edge とかあまり聞いた事ないサービスを利用するので、少し敷居が上がるイメージがありますが、画像変換の処理自体はとてもシンプルで簡単なものです。簡単なアプリケーションですが、 Lambda で実行するプログラムを書く事になるので、外部依存する処理（CloudFront や S3 にアクセスする処理）と、本質的な処理である画像加工（Lambda 環境でなくても使い回せるアプリケーションが叶えたい目的）に分けられ、どのように実装していくと、テストが書きやすく、コードの品質が担保しやすいかを学ぶいい機会になります。こちらの和田さんの記事がとても参考になりました。

speakerdeck.com

テストを書きながら、実装とリファクタリングを通して、設計のブラッシュアップが出来る良い教材です。

CI によるビルド & デプロイ

インフラとアプリケーションのコードができたら Github と連携して各種ステージに自動的にビルドできる環境を作成します。AWS には CodeBuild というデプロイツールがあるので、それを利用する事にしました。特定のブランチへの push に応じて、development, staging, production へ自動でデプロイする方法を学びます。

また push をトリガーに インフラ用のスナップショットテストや、アプリケーション用の単体テストの実行、lint チェックを Github Actions で行い、テストがパスする事でサービスの品質が担保されている事の確認、コード規約が守られている事をチェックすることで、コードの品質が担保されている事の確認を行い、継続的な運用に必要な処理を行います。

Lambda@Edge を利用したリアルタイム画像変換の良かった点と課題

最後に Lambda@Edge を利用したリアルタイム画像変換を実装してみてと良かった点と課題をまとめたいと思います。

良かった点

画像変換を行う Lmabda はサーバレスなので、管理コストがかからない点は、外部サービスを利用する際と同様で、一度構築してしまえば、運用の手間がなくとても楽です。Lambda の同時実行数に対して上限が設けられているので、サービスの規模に合わせて、緩和申請が必要になる点には注意が必要です。

また、AWS の S3 を画像の保管場所として利用している場合は、既存の仕組みに手を加える事なく、画像変換処理を追加する事ができるので、新規実装時に本番に与える影響がなく、変更後の切り戻しも容易な点はメリットかなと思いました。

課題

CloudFront にキャッシュがない時は、画像変換用に Lambda が起動するのでやっぱり遅いです（Lambda の起動と変換で 2 秒ぐらいかかる）。ただ、画像はあまり変更頻度が高くないので、キャッシュの生存期間を 1 年など長めに設定し、変更があった際にはキャッシュの削除を行う設計にすれば、CloudFront にキャッシュがある場合は Lambda が起動せず、高速に動作するので、そこまでクリティカルな問題にはなりませんでした。ただ、ユーザー投稿により画像は常に増えるので、キャッシュが存在しない新規に増えた画像用に、アプリ側でいい感じに Prefetch して画像を先読みしたり、キャッシュヒット率を上げる為に、アプリ内で利用する画像サイズを統一したりとユーザー体験を上げる施策の実施は効果的です。

また、学習目的以外には、外部サービスを利用しない明確なメリットが感じられなかったので（当然、外部サービスに依存しないというメリットがありますが、餅は餅屋に的な話もあり。もしかしたら料金面で大きなメリットがあるかも）、どこかで外部サービスとの比較を行えると、Lambda@Edge の適正な評価になるのかなと思いました。

今、作成した Lambda@Edge を本番リリースに向けて準備中なので、具体的な実装の紹介は、近日中にまとめたいと思います。

こんにちは!!こんにちは!!インフラエンジニアのyamamotoです。

今日もAWS CDKでクラウドインフラを構築するよー！！

今回はCDKでALBを作ってみました。
コードはこちら！！

※当ブログのコードはTypeScriptで記載しています。

import { Construct, Duration, Stack } from '@aws-cdk/core';
import {
  Peer,
  Port,
  SecurityGroup,
  Vpc,
} from '@aws-cdk/aws-ec2';
import {
  ApplicationLoadBalancer,
  ApplicationProtocol,
  ApplicationTargetGroup,
} from '@aws-cdk/aws-elasticloadbalancingv2';

const env = {
  region: process.env.CDK_INTEG_REGION || process.env.CDK_DEFAULT_REGION,
  account: process.env.CDK_INTEG_ACCOUNT || process.env.CDK_DEFAULT_ACCOUNT,
};

/**
 * ALBを作るスタック
 */
export default class AlbStack extends Stack {
  constructor(scope: Construct, id: string) {
    super(scope, id, { env });

    // 既存のVPCを調べる
    const vpc = Vpc.fromLookup(this, 'vpc', { vpcName: 'vpc' });

    // 自動生成されるセキュリティグループには問題があるため
    // セキュリティグループを作成する
    const albSecurityGroup = new SecurityGroup(this, 'albSecurityGroup', {
      allowAllOutbound: true,
      securityGroupName: 'alb-sg',
      vpc,
    });
    albSecurityGroup.addIngressRule(Peer.anyIpv4(), Port.tcp(80));
    albSecurityGroup.addIngressRule(Peer.anyIpv4(), Port.tcp(443));

    // ALBを作成する
    const alb = new ApplicationLoadBalancer(this, 'alb', {
      internetFacing: true,
      loadBalancerName: 'alb',
      securityGroup: albSecurityGroup,
      vpc,
      vpcSubnets: { subnets: vpc.publicSubnets },
    });

    // ALBのターゲットグループを作成する
    const targetGroup = new ApplicationTargetGroup(this, 'targetGroup', {
      healthCheck: {
        healthyHttpCodes: '200',
        healthyThresholdCount: 2,
        interval: Duration.seconds(30),
        path: '/',
        timeout: Duration.seconds(5),
        unhealthyThresholdCount: 2,
      },
      port: 80,
      protocol: ApplicationProtocol.HTTP,
      targetGroupName: 'alb-tg',
      vpc,
    });

    // ALBのリスナーを作成する
    alb.addListener('Listener80', {
      defaultTargetGroups: [targetGroup],
      open: true,
      port: 80,
    });
    alb.addListener('Listener443', {
      certificateArns: ['certificate-arn'],
      defaultTargetGroups: [targetGroup],
      open: true,
      port: 443,
    });
  }
}

ALBを作成するとき、特に指定しないとセキュリティグループを自動的に作ってくれるのですが、これが残念ながらうまく動きませんでした。
そのためこちらであらかじめ用意しています。

また、AWS CDKのリファレンスには、AutoScalingGroupからALBを作るケースが載っていますが、諸事情によりここではALBのTargetGroupを作っています。
ただ、AutoScalingGroupとのアタッチはしていないので、そこは手作業なり他のスクリプトでやる必要があります。

こういう事例がいっぱいあると、CDKももっと書きやすくて身近になっていくんじゃないかと思っています！
CloudFormationのYAMLやJSONより簡単に書けますよー、TerraFormと比べると……どうだろう？

さいごに

アクトインディではインフラエンジニアを募集しています！
クラウドやりたいクラウドエンジニアはぜひ！ actindi.net

この記事は actindi Advent Calendar 2019 の13日目の記事です。 adventar.org

こんにちは!!こんにちは!!インフラエンジニアのyamamotoです。

AWSのリソースを作成・修正するのに、CloudFormationを使うととても便利に作れますね。
でもループ処理できなかったり、生のYAMLが見づらかったりと面倒なこともあります。

そこでCloud Development Kit（CDK）を使うと、CloudFormationスタックを手軽に作ることができます！

しかしCDKについてはまだまだ情報が少なく、思い通りに扱うのも割と大変です。ここでは私がCDKを使っていてつまづいた点を共有させていただきます。

※当ブログのコードはTypeScriptで記載しています。

マルチスタックにするときはこうする

ネット上のCDKのサンプルはシングルスタック（CloudFormationスタック一つで実行する）で扱われたものが多くあります。見通しがよく、一気にいろいろなリソースが構築できるので便利ですね。
ただ、実際の運用を考えると、VPCはVPCだけ、EC2はEC2だけ、というように、それぞれのリソースで別々に実行したくなってきます。

そこで、CDKではマルチスタックにできるようになっているのですが、マルチスタックのサンプルがあまり無いので、どういう書き方がスタンダードなのか分かりづらかったです。

結局、CDKのマルチスタック対応は、このように書きました。

bin/stack.ts

#!/usr/bin/env node
import 'source-map-support/register';
import { App, Tag } from '@aws-cdk/core';

import FooStack from '../lib/FooStack';
import BarStack from '../lib/BarStack';
import BazStack from '../lib/BazStack';

const app = new App();

new FooStack(app, 'foo-stack');
new BarStack(app, 'bar-stack');
new BazStack(app, 'baz-stack');

単純に、このような感じで並べて書きました。
一つ一つ書くのが面倒なのですが、プログラムですし、色々なやり方があると思います。

なお、実行するときは、下記のように引数で実行したいスタックを指定します。

$ cdk deploy foo-stack

EKSでは既存のVPCを読むときにSubnetが無いとダメ

せっかくなのでKubernetesをやりましょう。CDKでEKSクラスタを作成して、でも既存環境があるので既存のVPCを読み込みたい、というときはVpc.fromLookup()メソッドを使います。
しかし、VPCを読み込んでEKSクラスターを作成しようとするとエラーが出てしまいます。
これもいろいろ探してみたものの事例が無く、原因もわかりませんでした。

あれこれ試してみたところ、EKSに読み込ませるVPCにはパブリックサブネットとプライベートサブネットが定義されてないとダメだとわかりました。
パブリック？プライベート？なんだかわからない定義ですが、要はインターネットゲートウェイにルーティングされたサブネットか否か、というだけのようです。

では、VPCスタックでサブネットを作ってVPCを読み込むように書いて、とやってもやはりエラーになります……なんで？

どうもVPCを読み込むときは、サブネットの作成がCDKコードに記載されていてもダメで、サブネットが実在していないと通らないようでした。
なので、サブネットを作成するスタックを先に実行して、作成が済んでからVPCを読み込ませるようなスタック構成にしないとうまく動きません。

bin/stack.ts

const vpcStack = new VpcStack(app, 'vpc-stack');
const vpc = Vpc.fromLookup(vpcStack, vpcName, { vpcId, vpcName });

上記の例では、VpcStack()内でサブネットを作成して、その後外でVpc.fromLookup()を実行しています。
このようにすることで、サブネットが作成された状態でVPCを読み込むことができます。

EKSマスターロールにはパスを付けてはダメ

さて、あれこれ試しながらようやくCDKでEKSクラスタを立ち上げました。しかしなぜか突然kubectlで接続できなくなってしまいました。
ロールを見直してもだめ、何度やっても不可思議なエラーが出てしまう。これは一体なんなんだろう。

こないだまではkubectlも問題なく動いていたのになんでだろう……ふと、最近修正したところを考えてみると……
ひょっとして、EKSのマスターロールにパスを追加したからダメなのか？

    const eksRole = new Role(this, 'EksRole', {
      roleName: 'eks-master-role',
      assumedBy: new AccountRootPrincipal(),
      path: '/cdk',
    });

ロールにパスを追加しようとしたのには訳があって、CDKで取り扱うロールを明示的に区分けしたかったからなのですが、まさかEKS側で対応していないとは……
とはいえ、日進月歩で進化しているAWSですから、そのうち対応するでしょう。早く対応してほしいなぁ。

さいごに

CDKはまだまだ発展途上ではありますが、未来を感じさせるソリューションですね。
昔から考えると、コードでネットワークを構築してサーバーを立ち上げる、とか想像もつかないですよね。どんどん便利に快適なインフラ環境になっててワクワクします。

アクトインディではWebエンジニアを募集しています！ actindi.net