サーバレス × AWS SAM × DRにおけるTIPS
- 1. クラウドサポーター 中山 桂一 nakayama@chara-web.co.jp サーバレス × AWS SAM × DR におけるTIPS 1
- 2. 自己紹介 名前: 中山 桂一 @k1nakayama 所属: 株式会社キャラウェブ クラウドソリューショングループ ソリューションアーキテクト 好きなAWSサービス: ・AWS Lambda ・AWS CloudFormation ・Amazon API Gateway 2
- 3. モバイルバックエンドのサーバレス化 ■プロジェクトの概要 ・iOS/Android向けアプリ、Webサイトにて提供 を行うEC系サービス(デジタルコンテンツ配信 系) ・出来る限りサーバレス(マネージドサービス を活用し)で構築する ・RTO:24時間以内、RPO:原則として障害発 生直前 を目標とする ・原則としてDRサイトへの切り替えは自動的 に行われるようにする ・プロジェクトの規模、今後の拡張性を考慮し て、全体的にマイクロサービスアーキテクチャ で構築する ・商用/ステージング/開発向けそれぞれに環 境を分けて運用(環境毎にアカウントを分離) ・CI/CDパイプラインを回してデプロイ ap-northeast-1 us-west-2 Amazon Route 53Amazon CloudFront AWS Certificate ManagerIAM Amazon API Gateway Amazon DynamoDB AWS Lambda AWS CloudFormation Amazon Cognito Amazon SES Amazon SNS Amazon ES Amazon S3 Amazon API Gateway Amazon DynamoDB AWS Lambda AWS CloudFormation Amazon Cognito Amazon SES Amazon SNS Amazon ES Amazon S3 ■現状の開発規模(8月キックオフされたばかり) ・サービス数: 28サービス ・LambdaFunction数: 90ファンクション(もっと増える) ・DynamoDBテーブル数:50テーブル(もっと増える) ・CloudFormationテンプレート: 約45,000行(YAMLベー ス、もっと増える) 3
- 4. 開発上の原則(最低限考慮するもの) 「The Twelve Factor App」を原則として考える • コードベース:CloudFormation等のコードで定義・構築を行えるようにすること • 設定:環境毎に異なる設定は環境変数等を用いて、ソースコードは1ソースに保つこと • バックエンドサービス:関連リソースについてソースコードを変更せずアタッチして使えるように CI/CDパイプラインを構築しテスト・デプロイを行う • CodePipeline+CodeCommit + CodeBuild + CloudFormationでCI/CDパイプラインを構築しテスト・デ プロイが行なえます。(もちろん他のサービスを使用しても良いと思います) IAMロールは原則として使いまわさず、 使用目的・サービス等のオーナー毎に最小限の 権限に絞って作成する • リソースセクションは可能な限り必要なターゲット に限定する • リソース定義時に当該リソースに必要な権限 のみの専用ロールを定義して割り当てる 出来るだけコレオグラフィで構築する • 主にDynamoDBへの書き込みをトリガーに DynamoDB Streamsをサブスクライブし振る舞いを 構成するとDR等も考えやすい AWS CodeCommit AWS CodePipeline AWS CodeBuild AWS CloudFormation AWS SAM Git push ・ユニットテスト ・package デプロイ 管理アカウント 各ステージ用アカウント 4
- 5. ハマリポイントと解決策 CodePipeline+AWS SAMでデプロイするときはテンプレートを50KB以下に制限される CodePipelineでCloudFormationを実行する際のテンプレートパスはArtifact内のパスを指定する必 要がある→S3URLが指定できないため、50KB制限がある 対策: ・ネストしたスタックを使用し、スタックを分けていく ・JSONに変換し、jq等で圧縮をする(1ライナーに変換する) aws cloudformation --region ${AWS_DEFAULT_REGION} package --template-file template.yaml --s3- bucket ${S3_BUCKET} --use-json | sed -e '1d' | jq -c . > outputTemplate.json YAMLで記述したテンプレートのMappingsセクション(だけではないと思うが)のキー名に、 アカウントIDにより条件を定義する場合、アカウントIDが0から始まるIDだとエラーとなる aws cloudformation packageを実行する際、内部で使用しているPythonのYAMLライブラリにバグ があり、0から始まるIDの場合クオートされずエラーとなる 対策: --use-json を付加してJSON出力する → 副作用として更にテンプレートの容量が増える クロスリージョンレプリケーション機能がほとんどのサービスにない 対策: DynamoDB: DynamoDB Streamsを使用し、dynamodb-cross-region-libraryかLambdaなどを使用 各リソース定義: DR側リージョンにもCI/CDパイプラインを作りメインリージョンのCI/CD実行時にDR 側Gitにpushする その他データ: DynamoDB Streamsをトリガーにコレオグラフィを構成しLambda等で同期 5
- 6. API Gatewayのカスタムドメイン切り替え DRを考慮してメイン/DRそれぞれのリージョンに作ったAPI Gatewayにカスタムドメインを充て、 アクセスを行うことを検討した →問題発生: API GatewayのカスタムドメインはCloudFrontの仕様上、複数リージョンに同一ドメインを設 定できない!! AWSサポート回答: →現時点の解決策: ・リージョン毎にカスタムドメインを分け、API接続元からリクエストがタイムアウトする場合、 DRリージョン用APIへリクエストを行うようにする。。。 ・API Gatewayの前にCloudFrontを置き、1ディストリビューションにそれぞれのオリジンを設定 し、DR切替時にBehavior設定にて向け先オリジンを変更する →IAM認証等のAPI Gatewayの認証が使えなくなる → Lambda@Edge等でどうにかする? →プロジェクトがローンチする前までにAWSさんが対応してくれることを祈ります!! 6