事例とデモで学ぶはじめてのAWS -アマゾンクラウドの最新動向-

AWSの大谷 ( @shot6 ) さんによる発表。(多分)初めて大谷さんの実物を大谷さんとして認識して見たのが、この時。

実例で学ぶAWS -オーディエンスデータプラットフォームcosmiを例に-

主催のadingoの中の人、岩川さんによる発表

• AMI + AutoScale + EMRをメインに利用
• ApacheのログをEMRで解析
• AutoScaleはcpu使用率で
  • 懇親会で @shot6 さんが言っていたが、AutoScaleは増やすときは2項目のORで、減らすときは2項目のANDでと言っていた(酒により記憶が濁されていなければ)
• EMRの解析結果はMongoに格納
• 計算方法の変更があった場合は台数増やして遡って再計算させる
• Mongoのデータは専用のEC2インスタンスからELBを介して参照

クックパッドはAWSで動いてます

クックパッドの成田 ( @mirakui ) さんのよる発表。
画像配信、サイト高速化を担当しているとのこと。

HerokuはAWSで動いてます

Herokuエバンジェリストの相澤さんによる発表。
話したいことがたくさんあったらしいが、ustされていたため口を閉ざしてしまわれた。残念。

感想

コンサル的にSWXさんに協力いただいたりもしたけど、自分のとこでやっているNameタグとホスト名のひもづけ+内部DNSによる管理をクックパッドさんでもやっていることを知って、なんだか嬉しくなったｗ Base AMI+puppetってところも、うちはChefだけど近いし。あとは、監視周りをどうやって柔軟にしていくかがポイントかな。
※わけあって自分の所属企業は伏せています

VPC周りの近々来るであろうお話も大谷さんに聞けたのはすごく良い収穫。

やっぱり、AWSはどうやってサービスを組み合わせるかと、自分たちで自動化した柔軟な運用をできるかが大事なんだよな。

opscode の recipe の特徴

このランダムという点をカバーするべく、うまい仕組みが組み込まれている。

パスワードを設定するところは

node.set_unless['mysql']['server_root_password'] = secure_password

といった形で、attributeに設定されていない場合はランダムに生成するという事をして、2度目以降も同じパスワードとなるようになっている。

2回目以降も同じパスワードを保証するために、もうひとつの技が

unless Chef::Config[:solo]
  ruby_block "save node data" do
    block do
      node.save
    end
    action :create
  end
end

ここの node.save というやつ。
普通であれば、recipe(run_list)の実行がすべて完了するまではattributeがサーバに保存されないんだけど、このメソッドを使うことで、即時に保存される。これで、万が一rootのパスワードが設定されたあとのどこかでコケても、同じパスワードで設定を続けることができる(上のコードにあるようにchef-soloのときは実行されないけど)。また、masterは途中でコケたけど、スレーブはそこで設定された(であろう)であろうパスワードを使ってセットアップだけは続けることができる。

これはよく考えられた仕組みですよね。

Encrypted Data Bag

ただ、ランダムであれば推測されづらくていいかもしれないけど、好きなパスワードを設定したいし、アプリからのアクセスを考えるとすべてのサーバでアプリ用ユーザは共通にしておきたいといった要望もある。また、提供されているrecipeのままだったりattributeにそのまま設定してしまうと、平文のパスワードがattributeの一覧から確認できてしまう。

そんな時に便利なのが、Encrypted Data Bagという平文で保存したくないデータをChefに保持しておくための機構。Encrypted Data Bag を使うために必要なのはencrepted_data_bag_secretと呼ばれる共通鍵だけ。
※やってることはOpscodeのサイトに書かれていることと全く同じです。

# openssl rand -base64 512 | tr -d '\r\n' > /etc/chef/encrypted_data_bag_secret

# knife data bag create --secret-file /etc/chef/encrypted_data_bag_secret passwords mysql
[editorが開くので以下のように入力して保存]
{
  "id": "mysql",
  "user": "root",
  "pass": "your_password"
}

# knife data bag show passwords mysql
{
  "id": "mysql",
  "pass": "trywgFA6R70NO28PNhMpGhEvKBZuxouemnbnAUQsUyo=\n",
  "user": "e/p+8WJYVHY9fHcEgAAReg==\n"
}

# knife data bag show --secret-file /etc/chef/encrypted_data_bag_secret passwords mysql
{
  "id": "mysql",
  "user": "root",
  "pass": "your_password"
}

mysql_data = Chef::EncryptedDataBagItem.load("passwords", "mysql", secret)
user = mysql_data["user"]
password =mysql_data["pass"]

mysql_data = Chef::EncryptedDataBagItem.load("passwords", "mysql")
user = mysql_data["user"]
password =mysql_data["pass"]

template "hoge" do
  source "hoge.erb"
  ...
  variables(
    :user => user,
    :pass => pass
  )
end

bootstrap で encrypted_data_bag_secret を渡す

初回セットアップのサーバの場合には、validation.pemやchef_server_urlを新規クライアントに設定するために bootstrap の仕組みを利用する。この中で、encrypted data bagの共通鍵をセットアップするサーバに配置することができる。

以下のようにbootstrapファイルに書く。

(
cat <<'EOP'
<%= encrypted_data_bag_secret %>
EOP
) > /etc/chef/encrypted_data_bag_secret

encrypted_data_bag_secret など、bootstrap で使用される値などは、knifeを実行するノードのknife.rbに設定されているものが利用される。そのため、encrypted_data_bag_secretファイルの場所もknife.rbに指定しておく必要がある。

encrypted_data_bag_secret "/etc/chef/encrypted_data_bag_secret"

これで、knifeコマンドからbootstrapファイルをして初期実行をすれば、recipeを実行するクライアントでも問題なくdata bagを復号化できる。

(追記:2012-02-12 16:25) recipe内のローカル変数をテンプレートで使うための記述を追記。

やること

chefとknifeを用いて、EC2インスタンスの起動と(ごく簡単な)設定を行う。

構成

• chef-server: CentOS6 on EC2 (t1.micro)
• 設定対象ノード: CentOS6 on EC2 (t1.micro)
  • knife-ec2を用いて起動〜設定までを行う対象 (chef-client)
• workstation: CentOS6 on EC2 (t1.micro)
  • knifeコマンドを実行する端末(chef-client)

CentOS6はsuz-labさんが提供している ami-46902747 をベースに、カーネル以外のパッケージを最新にして AMI 化しておいたものを用いる。

事前準備

# yum install couchdb erlang rabbitmq-server libxml2-devel zlib-devel.x86_64 --enablrepo=epel
# rpm -Uvh http://rbel.frameos.org/rbel6
# yum install ruby ruby-devel ruby-ri ruby-rdoc ruby-shadow gcc gcc-c++ automake autoconf make curl dmidecode --enablerepo=rbel6
# yum install rubygem-chef-server --enablerepo=rbel6
# setup-chef-server.sh

# rpm -Uvh http://rbel.frameos.org/rbel6
# yum install rubygem-chef --enablerepo=epel,rbel6
# yum install ruby-devel libxml2-devel libxslt-devel --enablerepo=epel,rbel6
# gem install knife-ec2
# scp user@chef-server:/etc/chef/validation.pem /etc/chef/validation.pem
# vi /etc/chef/client.rb
chef_server_url 'http://chef-server:4000'
node_name       'matetsu-work'
# chef-client

$ knife configure
$ sudo chmod 644 /etc/chef/client.pem
$ ln -s /etc/chef/client.pem ~/.chef/matetsu-work.pem

knife[:aws_access_key_id] = "hoge"
knife[:aws_secret_access_key] =  "fuga"

$ git clone git://github.com/opscode/rails-quick-start.git
$ knife cookbook upload -a -o ./cookbooks/
$ rake roles
$ knife data bag from file apps radiant.json

$ cp .chef/bootstrap/ubuntu10.04-gems-qs.erb .chef/bootstrap/centos6-chef.erb[]

bash -c '
<%= "export http_proxy=\"#{knife_config[:bootstrap_proxy]}\"" if knife_config[:bootstrap_proxy] -%>

if [ ! -f /usr/bin/chef-client ]; then
  rpm -Uvh http://rbel.frameos.org/rbel6
  yum install -y rubygem-chef ruby-devel libxml2-devel libxslt-devel wget --enablerepo=epel,rbel6
fi

mkdir -p /etc/chef

(
cat <<'EOP'
<%= validation_key %>
EOP
) > /tmp/validation.pem
awk NF /tmp/validation.pem > /etc/chef/validation.pem
rm /tmp/validation.pem

(
cat <<'EOP'
<%= config_content %>
EOP
) > /etc/chef/client.rb

(
cat <<'EOP'
<%= { "run_list" => @run_list }.to_json %>
EOP
) > /etc/chef/first-boot.json

<%= start_chef %>'

$ roles/base.rb roles/centos_base.rb

name "centos_base"
description "Base role applied to all centos nodes."
run_list(
  "recipe[git]",
  "recipe[build-essential]"
)

when "centos","redhat","fedora"
  %w{gcc gcc-c++ make automake}.each do |pkg|
    package pkg do
      action :install
    end
  end
end

$ knife cookbook upload -o ./cookbooks/ build-essential
$ rake roles

$ knife ec2 server create -G [SECURITY_GROUP] -I [AMI_ID] -f [INSTANCE_KIND] -S [KEY_PAIR_NAME] -i [PRIVATE_KEY_FILE] -x [EC2_LOGIN_USER] -d [BOOTSTRAP_FILE] -r '[COMMA_SEPARATED_ROLES_OR_RECIPES]' --region [REGION_NAME] -Z [AZ_NAME]

EIPの準備

VPCで利用できるVPN接続は、site-to-siteで固定IPが必要なため、予め東京リージョン側でElastic IPを準備しておく。(この時点ではEC2インスタンスを準備してある必要はない)

VPCを作成

• "Get Started creating VPC" または "Create Another VPC" ボタンから、VPCを作成する。

• 今回は、 "VPC with Public and Private Subnets and Hardware VPN Access" を選択

• 先ほどの Elastic IP の IP アドレスを Customer Gateway として設定する。

• サブネットは好みのものを指定(Customer Gatewayの内部セグメントと被らないように)。AZは特に指定しない。

• VPCの作成が始まる。

• 作成が完了すると、ルータに投入する設定をダウンロードできる。
  • 通常は、自分の利用するベンダーの機器を指定するのだが、今回は Vyatta を利用するので、Generic を指定する。ここでダウンロードしたファイルから、 http://gen-vyatta-conf.fluxflex.com/ を利用して Vyatta の設定ファイルを生成する。

• "Yes, Download" を選択すると、VPN connection IDが名前となったテキストファイルがダウンロードされる。

Vyatta用の設定を生成

• http://gen-vyatta-conf.fluxflex.com/ にアクセスし、必要な情報を入力する。

• "作成" を押すと、Vyattaに流し込むための設定ファイルとVPN経由のルーティング設定用スクリプトが生成される。

一部修正が必要な点があるので、それはその際に説明をする。EIPもリリースしたし、特に伏せる情報ではないと思うが、なんとなく伏せておいた。

Vyatta インスタンスの起動と初期設定

• AMI ID ami-0204b003 の Vyatta Core 6.3 rev.11のAMIを用いてインスタンスを作成する。

ほとんどデフォルト設定のmicro-instanceで。Name を vyatta-vpc としておく。Key-Pair新規作成か既存の最新のものを利用する(AMI中の設定で利用しているkey-pairが最新のものをさしているため)。
Security Groupはまずは、SSHのみをAnyから許可した設定で新規作成。

• インスタンスが出来上がったら、早速Elastic IPを割り当てて、ログインをする。

$ ssh -i path/to/private_key vyatta@EIP

• とりあえず、Time ZoneをJSTに変更して保存する。

$ configure
[edit]# set system time-zone Asia/Tokyo
[edit]# commit
[edit]# save
[edit]# exit

• 上で生成した設定ファイルを微修正する。
  • http://d.hatena.ne.jp/j3tm0t0/20110502/1304328905 こちらのエントリを参考に、自分の環境に合わせて修正をする。
    1. interface loopback lo に内部セグメント用のIPアドレスを追加で設定。
    2. vpn ipsec site-to-site peer * local-ip にEIPのグローバルIPが設定されているので、インスタンスの Private IP (eth0 の IP)を設定する(ここは起動のたびに変更されるため、自動化したい場合は更に手を加える必要あり)。今回は 10.152.94.170 。
    3. vpn ipsec site-to-site peer (2つめのpeer) ike group IKE2
    4. vpn ipsec site-to-site peer (2つめのpeer) tunnel 1 esp-group ESP2
    5. vpn ipsec site-to-site peer (2つめのpeer) tunnel 2 esp-group ESP2
  • 3～5はIKE2とESP2が使用されていないので、このように変更したが、意味のある変更かどうかは未検証(接続は問題なくできる)

• 設定を流し込む。

$ configure
[edit]# merge /home/vyatta/vpc2vpn.txt
Warning: file does NOT appear to be a valid config file.
Do you want to continue? [no] Y
Loading configuration from '/home/vyatta/vpn2vpc.txt'...
Merge complete.  Use 'commit' to make changes active.
[edit]# commit
[edit]# exit
(起動のたびに設定が変わるので、saveは実行しない)

• ルーティングの設定スクリプトを実行する。

# sh ./connect.sh

これで、Management Console の VPC タブにある VPN Connections の 設定した VPN ID で Tunnel 1 と Tunnel 2 が UP になっていればOK。

• Pingで IPSec のIPで疎通が出来るかどうかを確認する。

$ ping 169.254.255.1
OK!
$ ping 169.254.255.5
OK!

VPC内のサブネットとの通信を確認する

$ ping 172.16.1.11
OK！

$ vi .ssh/priv-key.pem
$ chmod 600 .ssh/priv-key.pem

vyatta$ ssh -i .ssh/priv-key.pem ec2-user@172.16.1.11
ip-172-16-1-11$ 
OK！

$ ping 172.16.0.11
OK！

vyatta$ ssh -i .ssh/priv-key.pem ec2-user@172.16.0.11
ip-172-16-0-11$ 
OK!

$ ping www.google.co.jp
OK!

$ ping www.google.co.jp
OK!

設定完了！

これであとは、Public <-> Private 間のSecurity Group設定と、Public Subnetに対する外部からのアクセスを設定すれば、問題なし！

最初に試したときに、Vyattaの内部セグメントを 10.2.0.0/16 とかにしたら、戻りパケットが来なかったので、多分AWS内部のSubnetとかぶってしまったのではないかと予測。今回のサブネット設定であれば、特に何の問題もなく設定できた。最初から通しても2～3時間くらいでできた！

こんな簡単にこんなに素敵な環境が手に入るなんて、AWSってやっぱすげーや。
ほぼ初めて触っても、簡単に環境構築ができるって素晴らしい。

という訳で、ここまで検証ができたので、すべてのインスタンスやらEIPやらVPCやらを削除します！ｗ

参考にさせていただいたページ

• Amazon EC2(Vyatta)からAmazon VPCに接続してみた - log4moto
• さくらのVPSにVyattaを入れて、Amazon VPCにVPN接続 - kikumotoのメモ帳
• vyatta で Amazon VPC に接続 - shercoの日記
• Amazon VPCに接続するためのVyatta向け設定ファイルを作成するWebツールを作ってみました - kikumotoのメモ帳

その他にも、Twitterでアドバイスしてくださった @j3tm0t0 さん、@ar1 さん、@shot6 さん、@oko_chang さん、ありがとうございました！！
(Twitter IDにリンクできない。。。)