ECSを整備する上で`Well-Archtected`な設計を学ぶ

[kaitokimuraofficial]

What

Describe the solution you'd like

• [x] Well-Archtechtedフレームワークについて調べる
• [x] コストとも相談しつつ、自分1人でどこまでできるか・実装するか検討する

Why

Describe related problems

Others

Describe what you want to describe

Refs

[kaitokimuraofficial]

Well-Architectedフレームワーク

6つの柱からなる

• 運用上の優秀性
• セキュリティ
• 信頼性
• パフォーマンス
• コスト最適化
• 持続可能性

[kaitokimuraofficial]

運用設計

• どのようにシステムの状態を把握するか
• どのように不具合の修正を容易にするか
• どのようにデプロイのリスクを軽減するか

モニタリングとオブザーバビリティ

システム内で定めた状態を確認し続けることを「モニタリング」という -> システムの可用性を維持するために問題発生に気づくことが目的

メトリクス

何が起きているのかを把握するために、メモリ使用率やディスク使用率などの定量的な計測情報を収集する

トレース

どこでそれが起きているかを知る。メトリクスでリクエスト数を知ったとしたら、それぞれのリクエストがどこから行われていたかを追跡することをトレースという

ログ

なぜそれが発生したかを特定する。なぜ、あるリクエストがある場所から発生しているのかを知ること。

具体的なロギング設計

CloudWatch logs

• タスク定義内でログの出力場所を指定。
• CloudWatch Logs のLogsサブスクリプションフィルターを用いて、ログ内に特定の文字列が含まれているログを収集(Error, Warn)
• SNSなどを用いて運用担当者にメール通知、ChatBotを使ってSlackで通知

FireLens FireLensはCloudWatch Logs以外のAWSサービスやAWS以外のSaaSにログを転送しやすい。 Firehoseと連携して、S3やOpenSearch Serviceへのログ転送が可能(Fluentdなど)

メトリクス設計

• CloudWatch Container Insightsを使えば、
  • ECSタスクレベルで情報を収集できる
  • 課金される

トレース設計

X-Ray

1. ECSタスク定義の中にアプリケーションコンテナとX-Rayコンテナを同梱する
2. アプリケーション自体にAWSが提供するX-Ray用のSDKをコーディングさせることでトレース情報を送出できる

[kaitokimuraofficial]

CI/CD設計

Well-ArchitechtedなCI/CDを用いれば、変更を自動でリリースできるので、ビルドやデプロイの時間をアプリ開発に費やすことができる。

コンテナの特性であるポータビリティ、再現性、軽量さのおかげで、一般にコンテナはCI/CDと相性がいい。 開発環境、ステージング環境、本番環境と幾つも環境などのシステム構成が異なっていても、OSのライブラリのバージョンさいやコードの依存関係を気にする必要がなくなる。

CI/CDパイプライン

• ソースコードは開発環境、ステージング用、本番環境用の3つにブランチを分けておく
• 本番環境用のソースコードは、アプリケーションの動作品質を維持したいので、ステージング環境でビルド・デプロイしたコンテナイメージをそのままデプロイしたい
• ECRは開発環境用とステージング・本番環境用の2つあるとよく、さらに、開発環境用に関しては開発者が自由にイメージ操作できるようにすると開発者の自由度が高まる

ECRの運用

• イメージの保存にもお金がかかる。ライフサイクルポリシーを設定しておき、一定期間が経ったら破棄するようにする

[kaitokimuraofficial]

コンテナセキュリティ

イメージに対するセキュリティ対策

ECRによる脆弱性スキャン Trivy OSパッケージだけでなく、pipやgemなどの依存関係もスキャンして脆弱性を確認してくれる dockle コンテナイメージに対し、ベストプラクティスかどうかを調べてくれる

[kaitokimuraofficial]

issue自体は閉じるが学んだことが新たにあればここに追加する。

(可用性の設計とかパフォーマンスに関する設計はここにはしるせていない)