20161208 Classmethod Codenize Tools
Download as PPTX, PDF1 like2,999 views
2016/12/08 Codenize Meetup #1
![28【最後に】piculetで困ってること1
• switchRoleに対応してない
• aws-sdk-v1 が対応してないため?
$ cat ~/.aws/config
[profile myaws]
output = json
role_arn = arn:aws:iam::987654321098:role/ueki.kazuki
source_profile = default](https://image.slidesharecdn.com/20161208codenize-161210074906/85/20161208-Classmethod-Codenize-Tools-28-320.jpg)
![29【最後に】piculetで困ってること2
• IAM Role → Role のassumeRoleのクレデンシャルだと
セキュリティーグル−プにAWSアカウントIDが付与される
• IAM User → Role のassumeRoleだとOK
security_group "ueki-default-sg" do
description "ssh and http"
ingress do
permission :any do
groups(
["123456789012", "sg-63b4510c"]
)
end
end
end](https://image.slidesharecdn.com/20161208codenize-161210074906/85/20161208-Classmethod-Codenize-Tools-29-320.jpg)
20161208 Classmethod Codenize Tools
- 2. 2本日の内容 • Roadworker • Piculet • ansible それと・・・
- 3. 菅原さんに感謝の意
- 7. 7早速活用 • Route53へのDNS移行 • 20ゾーン • 最大500レコード/ゾーン • (がCSVファイルで提供される) • CSVファイルをRoadworkerファイルに変換 • 数時間で作業完了
- 10. 10Piculetを便利にする補助スクリプト • 課題 • IPアドレスの目的が分からない • お客さまも結構忘れてる • 事務所移転によるIPアドレス変更が結構多い IP→名前変換があると便利だよね
- 11. 11inject_definition.rb • address_list.yml にマッピング定義 • piculet --export 後にIPアドレスを名前変換
- 12. --- VPC: ClassA: 10.0.0.0/8 ClassB: 172.16.0.0/16 ClassC: 192.168.0.0/24 CM: Office: 203.0.113.1/32 Joetsu: 203.0.113.2/32 $ piculet --export --region ap-northeast-1 –split $ ruby inject_definition.rb
- 13. ec2 "vpc-800040e5" do security_group "AccountServer-SSHSecurityGroup-P0GE4GWO3JYN" do description "Enable SSH access via port 22” ingress do permission :tcp, 22..22 do ip_ranges( Definitions.ip.CM.Iwamotocho3F, Definitions.ip.CM.Joetsu, Definitions.ip.CM.Sapporo, Definitions.ip.CM.Iwamotocho5F, Definitions.ip.CM.Office ) end end egress do permission :any do ip_ranges( "0.0.0.0/0” ) end end end end
- 16. AWS総合支援サービス:メンバーズ 大幅割引、請求書送付、付帯損害保険、AWSサポートを 標準セットにして無料提供 AWS利用料金 (従量課金) AWSエンタープライズサポート $15,000〜 損害保険 5% 請求代行手数料 10% AWS利用料金(従量課金) + 請求代行手数料 無料 + 損害保険 無料 + AWSエンタープライズサポート 無料 + Amazon EC2 オンデマンド 対象インスタンス 10%オフ + Amazon CloudFront 64%オフ + フルサポート 10% 自社契約または 他社サービスの利用例 クラスメソッド メンバーズ 利用例 お得!
- 17. AWS総合支援サービス:メンバーズ AWS総合支援サービス メンバーズ コ ン サ ル テ ィ ン グ 構 築 支 援 24/365無人監視 セキュリティ監視 運用支援 TAM ご提案 構築 運用監視
- 18. 以上宣伝でした
- 19. AWS総合支援サービス:メンバーズ AWS総合支援サービス メンバーズ コ ン サ ル テ ィ ン グ 構 築 支 援 24/365無人監視 セキュリティ監視 運用支援 TAM ご提案 構築 運用監視
- 22. 22Roadworker/Piculetのいいところ • 使い方が簡単 • --dry-run • どんな手法で構築した環境でもOK
- 23. 23ansible • 2013年5月〜2014年夏 chef(knife-solo) • chef-server入れる程の規模でもない • 構築時だけ楽したいという需要が多い • なんか知らんけどchef-clientが動かん • 2014年〜現在 ansible
- 24. 24ansible x PCIDSS • 2016年2月取得 • 12の要件 • 作業用ログインサーバー(重要) • sshdの設定とかパスワードポリシーとか自動アカウント ロックとか作業の記録とかログイン時のMFA設定とかアン チウイルスソフトのインストールとかファイルの改ざん検知 とか通知とかそれらがちゃんと機能してるかの確認と か・・・要はくっそ面倒くさい
- 25. 25ansible x PCIDSS • 1個ずつ必要な設定をplaybookに記述 • 結構な頻度で ansible-playbook • 作業対象サーバーが変更されたタイミング • 作業アカウントが追加されたタイミング • 常に「あるべき設定」になっている
- 26. 26運用がちょっとダサイ • 【いま】 playbook修正 → ansible-playbook → git push • 【理想】 git push → Git commit hook → Jenkins (git pull) → ansible-playbook
- 27. 27ansible x PCIDSS x AWS • JenkinsがPCIDSSの対象になるのはイヤ • Code Commit + Code Build でいけるカモ? (いま検証中)
- 28. 28【最後に】piculetで困ってること1 • switchRoleに対応してない • aws-sdk-v1 が対応してないため? $ cat ~/.aws/config [profile myaws] output = json role_arn = arn:aws:iam::987654321098:role/ueki.kazuki source_profile = default
- 29. 29【最後に】piculetで困ってること2 • IAM Role → Role のassumeRoleのクレデンシャルだと セキュリティーグル−プにAWSアカウントIDが付与される • IAM User → Role のassumeRoleだとOK security_group "ueki-default-sg" do description "ssh and http" ingress do permission :any do groups( ["123456789012", "sg-63b4510c"] ) end end end
- 30. 30まとめ • 構築時はメンテナンス方法まで考えよう (植木との約束だよ) • コードは信頼できる状態にしておこう • 菅原さんに感謝っ!圧倒的感謝っ!!