JAWS-UG朝会 #31
暖かくて、エアコン無しで受けれる気温になりました。
セッション
セッション① Amazon Linux 2022をさわってみた
株式会社サーバーワークス 小倉大さん
- AL2 のサポート期限は2023年6月30日
- AL2022 は現在プレビュー中
- 2年間のアクティブな開発
- その後の3年間のメンテナンス
- AL2 との違い
- SSM Agent 入ってない
- インターネットへ疎通できるようにして自分で入れる
- VCP Endpoint で S3/SystemsManager の穴を開けてもできそう
- SELinux が有効化
$ getenforceで確認$ sudo grubby --update-kernel ALL -args selinux=0; sudo rebootで無効化/etc/linux/configのSELINUX=disabledにすると SSH 通信できなくなる
- パッケージ管理が dnf
yumの後継コマンドyumをdnfに置き換えるだけ
- SSH 接続が RSA 無効
- キーペアを ED25519 にするとログインできる
- RSA の場合は
/etc/ssh/sshd_configに設定必要PubkeyAcceptedAlgorithms=+ssh-rsa
- SSM Agent 入ってない
これは有益な情報!
サポート期限切れにむけてプレビュー外れたら早速使わないと。
セッション② インプレースデプロイからBlue/Greenデプロイへの変更をゴリ押しで進めた話
株式会社サーバーワークス 古川敏光さん
- ECS はローリングアップデート
- B/G デプロイに変更した
- EC2 に Jenkins 構築して CI/CD 環境
- Jenkins は細かいジョブ設定ができる
sls と CFn 併用しつつ、Jenkins を使って CI/CD 改善していくって、聞いているとつらみしか感じない。
めっちゃ大変そうです。
LT① AssumePolicyの意外なハマりどころ
崎原晴香さん
- あるグループに属している IAM ユーザーを指定したい
- Principal に IAM グループは指定できない
- Terraform の DataSource ならできる
- Principal に IAM グループは指定できない
Terraform で解決...公式がサポートしてくれるといいんでしょうけど、多段で参照することになるから色々不都合があるのかしら?
CDK でもある程度簡単にかけそう。
LT② DirectConnectGatewayの罠!?
株式会社ターン・アンド・フロンティア 坂下朱紀さん
- DirectConnect Gateway(DXGW) をつかうと1本の DirectConnect の接続で済む
DirectConnect 使ってないから知らない世界です。
LT③ 漏洩しても大丈夫なクレデンシャル運用ができないか考えてみた
株式会社ゲームエイト 岩佐海彦さん
- IP 制限が一番よさそう
- 踏み台ユーザーを MFA 必須で作成し、IP 管理だけやらせる
- IP は DynamoDB へ TTL を設定して保存
- 設定した期間で許可した IP が自動消滅
- Permissin Boudary で IAM ポリシーの IP だけ変更できるように絞る
- IP は DynamoDB へ TTL を設定して保存
Permissin Boudary なんて使ったことがない。
SA に聞いてもユースケースあまり無い状況なんですね。
LT④ AZ間レイテンシを比較してみた
積田 優生さん
- 東京と大阪の AZ 間レイテンシを比較
- AZ 内はめっちゃ早い
- AZ1 - AZ2 の通信は早い
- AZ1 - AZ3 / AZ2 -AZ3 はちょっと遅い
- 東京より大阪のほうが AZ3 でも早い
大阪のほうが新しいからか距離が近いからか、AZ3 でも早いんですね。
AZ1 と AZ2 を連携して使うのがどちらも良さそうと。
所感
扱う内容がバラエティにとんでるのが良い。
さぁ仕事しよう。
