Category: AWS

aws/rds

Posted: 2017-08-08 | Categories: AWS | Tags: AWS, RDS

2017/07/18 replicaが高負荷になった replica1のmax_connectionsを確認したところ上限値1000でした mysql> show global variables like 'max_connections'; +-----------------+-------+ | Variable_name | Value | +-----------------+-------+ | max_connections | 1000 | +-----------------+-------+ 1 row in set (0.01 sec) この障害はreplicaがボトルネックと断定できます。 AWS_RDS_Aurora_監査ログ取得のための変更大体、ClassmethodのページのようにIAMを作成し付与します。 Classmethodのサンプルだと、全てのクエリをロギングする設定なので絞ります。クラスターパラメータグループを変えます。 [ RDS ]->[ クラスター ]->[ aurora ]->[ DB クラスターのパラメータグループ ]のリンクをクリック->[ フィルタパラメータ ]のテキストフィールドに[ audit ]を入力下記の要素がリストアップするので変更します。都度、[ 変更の保存 ]をする必要があります。 server_audit_events -> QUERY_DCL, QUERY_DDL, TABLE ここで、ロギング対象を絞ります。パラメータの詳細についてはここを参照 server_audit_excl_users -> 空欄 ( [If not empty, it contains the list of users whose activity will NOT be logged] 全てのユーザの変更を取りたいため空欄 ) server_audit_incl_users -> 空欄 ( [If not empty, it contains a comma-delimited list of users whose activity will be logged] ) server_audit_logging -> 1 ( ロギングを有効にする場合は 1 ) server_audit_logs_upload -> 1 (CloudWatch logsへログのアップロードを行う場合は 1 ) DBスナップショットの作成時のダウンタイム Single-AZ DB インスタンスでこの DB スナップショットを作成すると、I/O が短時間中断します。この時間は、DB インスタンスのサイズやクラスによって異なり、数秒から数分になります。結構ばらつきがあるのに注意が必要だ。 Read more...

ARN、AWSのリソースの命名規則のメモ

Posted: 2017-08-03 | Categories: AWS | Tags: ARN, AWS

このページに命名規則が載っている Amazon ElastiCache 構文: arn:aws:elasticache:region:account-id:resourcetype:resourcename 例: arn:aws:elasticache:us-west-2:123456789012:cluster:myCluster arn:aws:elasticache:us-west-2:123456789012:snapshot:mySnapshot Read more...

CodePipelineを試す

Posted: 2017-08-03 | Categories: AWS | Tags: Codepipeline

CIを回すサービスそれほど設定は面倒ではなかった。CodePipelineのウィザードに従うと、必要なIAMの作成、CodeBuildのプロジェクトが一気通貫で作成される。ただ、buildspec.ymlなど各種手順を構築するのが面倒ではある ( が、これは、会社やサービスのシステム構成によってデプロイ方法は異なるものなので、しょうがない。本質的な問題と言える。この手のツールにありがちな「本質的な悩みに到達する前の作業に時間がかかる」といった悩みの時間は少ないと言える ) はまりポイント CodePipelineは「ECSのために作られている訳ではない」ので、デプロイターゲットをECSとした場合でもIAM権限で、ECSへのアクセス権限が足りないケースがあった。 IAMロールは修正が必要 https://dev.classmethod.jp/tool/docker/20170225-codebuild-docker/ オフィシャルは日本語化されてて、だいたいこれが参照されている http://docs.aws.amazon.com/ja_jp/codebuild/latest/userguide/sample-docker.html git cloneできない。これsshの設定からやらねばならんか… [Container] 2017/12/21 11:25:28 Running command git clone git@github.com:aoi-zemi/Docker_Dev.git Cloning into 'Docker_Dev'... Host key verification failed. fatal: Could not read from remote repository. Please make sure you have the correct access rights and the repository exists. 参考基本、これに添っていきたい CloudFormationで、ECSのCI/CD環境を構築した際のハマりどころ〜CodePipeline,CodeBuild,KMSも添えて〜 - Qiita CodePipeline, CodeBuildを使ってAmazon ECSへの継続的デプロイメントを試してみた｜ Developers.IO ここが非常に参考になった、権限が足りない場合がある https://qiita.com/tiibun/items/f0045011c86efca254fc 高速化は –cache-from を使うようだ https://qiita.com/na-o-ys/items/7e7a7e4cde378fc54b32 Read more...

コンテナの再起動

Posted: 2017-08-03 | Categories: AWS | Tags: ECR, ECS

ECSのある環境を再起動したいいろいろな理由で再起動したいことはあります。例えば SecretsManagerの変更したので再起動して反映したい docker-php環境を更新したので、再起動して最新のdockerイメージで起動し直したい起動時のログを追いかけたいときなどですね。手順 1. タスク定義のリビジョンを上げる AWS管理画面にログイン左上のサービス一覧から[ ECS ]を検索してクリック左側メニューから[ タスク定義 ]を選択目的の環境のタスク定義をクリック（env25など）一番新しいリビジョン( 数字の大きいもの )をクリック [ 新しいリビジョンを作成 ]->[ 作成 ] ( この作成は失敗することがあります ) 2. クラスター内の各サービスが参照するタスク定義のリビジョンを上げる ECS管理画面の左側のメニューから[ クラスター ]を選択 [ dev-20181030-1 ] サービス名のカラムから再起動したいサービス名をクリック（env25など）右上の方の[ 更新 ]をクリック [ リビジョン ]のプルダウンメニューをクリック少しスライドして[ latest ]と書いてあるタスク定義を選択（1で作成したリビジョン番号を選択） [ 次のステップ ]->[ 次のステップ ]…->[ サービスの更新 ] 以上でECSコンテナの再起動が行われます ※ 再起動ですが、結構時間かかります… 細かく『いまどういう状態なのか?』を確認する場合ですが、この再起動はブルーグリーン方式で、ダウンタイムが無いように再起動するようにしています。どのような順番で行われるかというと、 ECSの該当サービスで追加のタスク( タスクの中には nginx, php-fpm, volumeなどのコンテナが含まれます )が追加されます。タスクはロードバランサーの中のターゲットグループの中に追加されます( EC2 -> ロードバランサー -> ターゲットグループで該当のサービス名が書いてあるターゲットグループを探す ) dockerコンテナはターゲットグループに追加され、ヘルスチェックに成功すると新しいコンテナをheltyにし、アクセスを受け付け始め、古いコンテナをdrainingします上記の流れで『今、デプロイがどのような状態なのか? Read more...

AWS KMSで鍵を保存、取得する

Posted: 2016-12-13 | Categories: AWS | Tags: AWS, aws-cli, KMS

AWS KMS を awscli から利用してみる http://qiita.com/kanagi/items/2008aa9f43be26bd2746 classmethod AWS Key Management Serviceでキーの”管理”と”利用”を分離する http://dev.classmethod.jp/cloud/aws/kms-admin-user/ ###AWS Key Management Service(KMS)の利用方法 2016/12/13 mackerelの監視のON/OFFに使用した KMSのざっくりとした理解としては「暗号化、復号化の悩みとして『鍵を使って暗号化するのは技術的に可能』だが『鍵の保管場所』に困る」という点を解決するサービス、という理解。 AWS KMSでの暗号化/復号化の手順はclassmethodのココが分かりやすい。一度、aws-cliで復号化まで行う(15分程度)とよく分かる。また暗号化されたciphertextはコードに埋め込んで使用する下記にmackarelでの暗号化、復号化の方法ですが [ IAM ]->[ 暗号化キー(Encryption Keys) ]->[ フィルター: ]で[ アジアパシフィック(東京) ]をクリック [ MackarelAPI ]をクリックし、[ ARN ]の値をメモする。 ( 2016/12/13時点の mackarelのマスターキーは[ arn:aws:kms:ap-northeast-1:139332511982:key/3121367a-6009-493d-b3f1-05aa01a9c3f7 ]だった ) ココの方法に従い、 aws-cliで上記のarnを指定して環境変数KEYIDにarnを指定する $ export KEYID=arn:aws:kms:ap-northeast-1:1111111111111111111:key/3121367a-6009-493d-b3f1-05aa01a9c3f7 暗号化 $ aws kms encrypt --key-id $KEYID --plaintext 'mackarelのAPIキー' 下記の内容が出力される { "KeyId": "arn:aws:kms:ap-northeast-1:111111:key/3121367a-6009-493d-b3f1-05aa01a9c3f7", "CiphertextBlob": "himitu" } CiphertextBlobをコード側で利用する。　node. Read more...

Route53

Posted: 2016-08-21 | Categories: AWS | Tags: aws-cli, Route53

新しいドメインの設定どこかでドメインを取る Route53 の設定は https://qiita.com/Yuki_BB3/items/effdf1bb38263bfef82a を参考にした Route53 開く https://console.aws.amazon.com/route53/home?region=ap-northeast-1#hosted-zones: [ Create Hosted Zone ]->右側の[ Domain Name: ]入力、[ Type: ]は Public Hosted Zone のまま DNS サーバが 4 つ表示されるので、レジストラの管理画面から DNS を登録 CLI でいろいろゾーン ID の取得 ZONENAME="example.net." # 最後に「.」ドットをつけるの重要... 30minほど悩んだ... aws route53 list-hosted-zones | jq -r ".HostedZones[] | select(.Name == \"${ZONENAME}\") | .Id" # bashの変数を読むためにダブルコーテーションをクオートする参考上の list-hosted-zones の内容 aws route53 list-hosted-zones Read more...

ALBだけでメンテナンス画面を表示させる際の注意

Posted: 2016-08-03 | Categories: AWS | Tags: AWS, EC2

なるべくサービス側のシステムを触らずにALBだけでメンテナンス画面を出したかった • htmlのサイズは1024バイトまで • htmlとcssに分離する必要がある • メンテナンス画面でもhtmlが1024バイト超えている場合 http://kangax.github.io/html-minifier/ でコンパクトにした • CDNキャッシュ初期化は必要なドメインすべてで行う必要がある Read more...

AWS EC2 オートスケール

Posted: 2016-08-03 | Categories: AWS | Tags: AWS, EC2

EC2のオートスケールは、EC2のWebUIの下記の要素で作成する AMI <- ami-idを確認する AUTO SCALING 起動設定 <- 主にEC2の起動設定、どのAMIからEC2インスタンスを作成する、spotインスタンスにするか、など。複数作成して切り替える事が可能。 Auto Scalingグループ <- 主にネットワーク周りの設定起動設定を作ってから、AutoScalingグループを作成する。 [ AutoScalingグループ ]には「どのAMIからEC2インスタンスを作成するか」という[ 起動設定 ]を切り替えることができる。高負荷時のオートスケールにかかる時間は5分から6分程度、EC2インスタンス起動に通常、120秒ほどかかる事を考えると、負荷の検知、スケールアウト準備、インスタンス起動、サービス開始、と妥当な時間のように思う。が、ライブ開始前と21:00の負荷の際にはあらかじめサーバを足しておきたい。この設定は [ AutoScalingグループ ]->[ スケジュールされたアクション ]で設定可能。 ※ このスケジュールされたアクションを設定する際の [ 開始時刻 ]の注意点はデフォルトで翌日の設定になってる一度開始時刻を設定しようとすると、CRONの設定が消えるという点が注意点。スケジュールが実行されないケースがあった。実際にスケジュールが実行されたかどうかは[ アクティビティ履歴 ]を見ると分かる Read more...

AWS EC2メモ

Posted: 2016-08-03 | Categories: AWS | Tags: AWS, EC2

インスタンスタイプごとのネットワーク帯域 iperfなどで計測する。 iperf -c %LOCAL_IP_ADDRESS% -t 60 EC2 – EC2 間は5Gbps程度参考水門は開いた – EC2 インスタンスのネットワーク帯域幅が増大起動時、パッケージのセットアップがうまく行かない場合 /etc/sysconfig/cloud-init の package_setupの項目をnoにする。参考 VPC内にEC2を立ち上げようとしてcloud-initのpackage_setupでハマるチェックポイント EC2 余計なセキュリティグループがついてないか、つまり余計なポートが空いてないか opsに余計なのがついてたり( port 22 が、まだ空いていたり ) AZ分散しているか? たまに「サブネットを作ってなかった」というミスがあり、この場合、サブネットが寄ってしまっている。 opsにはEIPが割り当てられているかパラメータストアにSLACKの値は設定しているかロードバランサー port 443 でリスナーが立っているか? 『CloudFront障害』のケースを考えると、オリジン側もHTTPではなくSSLで受ける必要がある。 Deletion Protection をonにする。削除されなくするやつかターゲットグループ ELBのtarget groupにおける stickness が無効になってたので30秒で有効に変更する Read more...

AWS WAFメモ

Posted: 2016-08-03 | Categories: AWS | Tags: WAF

手順 IPアドレスフィルタ https://console.aws.amazon.com/waf/ を開く [ IP Address ]->[ Create Condition ] 名前は対象とフィルタリングルールが分かるように左側の[ Rule ] [ dose ]->[ origin from an IP adress in ]->IPアドレスグループ [ Web ACLs ]->[ Create web ACL ] Web ACL name Region Resource type to associate with web ACL -> ALB AWS resource to associate -> 付与するALB Read more...