gokigenmaruのブログ

40から始めるクラウドエンジニア

Terraformで作成したリソースをOpenTofuで追加・変更してみる

ランキング参加中エンジニアグループ今の環境はTerraformで作成されていることが多いと思います。 今後、TerraformからOpenTofuに移行するには、やはり既存で利用していたものをOpenTofuで追加・削除・変更が出来ることが必要です。だって再作成もimportもし…

OpenTofuでネットワークリソースを作成する

ランキング参加中エンジニアグループ先日入れたOpenTofuでAWSのネットワークリソースを作成してみます。 OpenTofuでリソース作成 作成するリソース 作成するリソースは以下の通りとします。 ここで作成するリソースのコードは既存のTerraformのコードをその…

OpenTofuを使えるようにする

ランキング参加中エンジニアグループ OpenTofuとは Terraformを管理しているHashiCorpがTerraformを含む一部サービスをBSL(Business Source License)に変更すると2023年に発表がありました。 このライセンスに変更することで本番利用についてはライセン…

AmazonLinux2からAmazonLinux2023に移行したらEC2のメタデータが取れなくなった

お題の通りで、AmazonLinux2からAmazonLinux2023に移行したらEC2のメタデータが取れなくなった件です。 EC2の移行 AmazonLinux2はサポート終了日が 2025年6月30日までとなっており、利用者はそれまでにAmazonLinux2023などに移行が必要です。 AWSの公式サイ…

WSL2でterraform実行時にSTSのエラー

Terraform実行時に以下のエラーが出力されました。 Error: retrieving AWS account details: validating provider credentials: retrieving caller identity from STS: operation error STS: GetCallerIdentity, https response error StatusCode: 403, Requ…

AKSにkafkaを入れる

Azure上のKubernetesにkafkaを入れてみます。 Kafka Kafkaについては、素晴らしいサイトがいくつもあるので、そちらを見ていただいたほうがいいと思います。 個人的にはちょっと前のブログですが、以下のサイトを元に勉強をさせていただきました。 qiita.com…

備忘録:kafkaのシェルコマンド

このページは備忘録です。 たまにアップデートされていくと思います。 kafka brokerのconfigを見る kafka-configs.sh --bootstrap-server kafka.default.svc.cluster.local:9092 --entity-type brokers --describe --all topicの一覧をlistで出す kafka-topi…

備忘録:kubernetesのコマンド

このページは備忘録です。 たまにアップデートされていくと思います。 podの情報が見たい $ kubectl get pods $ kubectl get pods -A $ kubectl get pod -o wide nodeの情報が見たい $ kubectl get nodes nodeの名前とAZの情報が見たい $ kubectl describe n…

Azure Automationで外部ログをAPIで取得しBlobに格納する

今回はAzureの外にあるログ取得~Blob格納までをAutomationで自動化する話です。 概要 今回の対象はAzure内ではなく外部製品のログは監査系のログとなります。 製品の仕様として監査ログを14日間取得されますが、それ以降は破棄されてしまうため、破棄される…

Kubernetes Cluster環境に入ってみる

AKSの作成、kubectlのインストールが出来たので、実際にAKS内のKubernetesに入ってみます。 Kubernetes Clusterに入る まずはAKSのkubeconfig定義を取得します。 今回はadminの資格を取得するようにします。AKSクラスターの情報を取得 これで今あるAKSがリス…

kubectlインストール

kubernetesのリソースをコマンドでいじるにはkubectlが必要です。 簡単ですが、kubectlをインストールしたときのメモ。 kubectl kubectlはkubernetesに対してコマンド実行が出来るツールで、デプロイしたり情報収集したりするときに使います。 kubectlのイン…

Azure AutomationでAKSを自動停止させる

AKSクラスター、非運用としてデフォルト(B4ms)3ノード(3VM)で1日動かすと約15ドル、1ドル140円とすると15x140で2100円かかります。 検証用途で使うにしてちょっと止め損ねたとすると、12時間くらいだと1000円くらい簡単に飛んでいきます。 これは痛い…。 と…

AKS(Azure Kubernetes Service) Cluster(検証用)を作成する

Kubernetesの勉強をしようと思います。 Kubernetes自体はAWSでもGoogleCloudでも作れますが、今回はAzureで構築しようと思います。 Kubernetes Clusterの構築 まずはKubernetesをいじれる環境を構築します。 AzureにはKubernetesをいじれるマネージド環境と…

Lambdaを使ってターゲットグループのIPアドレス情報を更新する

AWS

前回お話したIPv6の話の続きです。 (C) 2台の NLB でターゲットグループのタイプを「IPアドレス」にし ASG でノード入れ替えを検出する仕組みを実装 この仕組みを実装するためには、オートスケーリンググループでEC2が起動・停止した際に、起動・停止したEC2…

オートスケーリンググループで起動・停止したEC2をEventBridgeを使って捕捉する

AWS

前回お話したIPv6の話の続きです。 (C) 2台の NLB でターゲットグループのタイプを「IPアドレス」にし ASG でノード入れ替えを検出する仕組みを実装 この仕組みを実装するためには、オートスケーリンググループでEC2が起動・停止した際に、起動・停止したEC2…

AWSのIPv6通信(NLB-EC2)

AWS

AWSでIPv6通信を実施する要件がありました。 その際に調べたこととか、考えたことをメモ程度で記載します。 IPv6通信構成 いつもの構成図を。 構成図1Clientからの接続をNLBで受けて裏側のオートスケーリンググループを組んでいるEC2(Apache)に流します。 当…

CloudwatchAgentで取得したプロセス数からオートスケーリングを実施したい

AWS

前回、CloudwatchAgentでApacheのプロセス数を取得しました。 これが出来たことで少し欲が出てきました。Cloudwatchを使ってEC2のオートスケーリングを実施出来ないかという欲です。 実際にはここから紆余曲折ありましたが、なんとか実現できました。 今回は…

Linux EC2で動いているプロセス数をCloudwatchで見れるようにする

AWS

EC2上で動いているプロセス数がCloudwatchで見れると便利ですよね。 ということで、今回はEC2(Linux)で動いているプロセス数をCloudwatchAgentを使ってCloudwatchで見えるようにします。 CloudwatchAgent この設定で肝となるのはLinux上で動かしているCloudw…

基本に戻ってAWSのNetworkの作り方

AWS

今回は基本に戻って、改めてAWSを使うときのNetworkってどうするのかというのを書いてみます。 AWSのNetwork(VPC) VPCは「Amazon Virtual Private Cloud 」の略でCloud上にある仮想的なネットワークを指します。 一番最初にAWSを利用しようとしてVPCに行くと…

NLBを経由するとセキュリティグループのソースでセキュリティグループIDを設定した通信が出来ない

AWS

仕事で通信要件の変更に伴いNLBに紐づくEC2インスタンスに設定していたセキュリティグループを変更しました。 その際、別EC2から通信確認をしたところ通信が出来ない事象が発生。 EC2からEC2の通信は出来るのにEC2からNLBを通ってEC2だと通信が出来なくなり…

AWS ALBでHostヘッダをチェックさせる

AWS

前回、証明書で自身が設定しているFQDNからのみ接続を受けるのは出来ないと書きました。証明書のCNチェックは接続元が実施している為です。 その対応方法としてAWS ALBのリスナー設定でHostヘッダが設定しているFQDNとmatchしたら処理を実施するということを…

TLS接続の証明書チェック

前回はcurlの-kオプションを使った時の挙動をcurlの出力から追ってみました。 今回はパケットから見てみようかなと思います。 毎回yahooさんだとアレなので、今回は世界のSonyさんに(勝手に)ご協力をいただきました。 サイトのFQDNとSNIのFQDNが違った場合 …

curlのオプション"-k"について

とあるプロジェクトで独自のルート認証局を利用しサーバ証明書を作成(よくいうオレオレ証明書)し、https接続を実施している環境があり、その運用担当者から質問を受けました。 「自分のところは独自のルート認証局から発行しているサーバ証明書を使って接続…

Windows11のWSL(Ubuntu20.04)にterraformをインストールする

仕事用のPCをWindows11にしました! ちょっとMacっぽい気がする…気がするだけです。ということで、いろいろと入れ直しになったついでにブログ書いてみます。やったことはWSLにterraformをインストールしただけです。 WSLはUbuntu20.04 特に何も問題なくイン…

APIGWでTLS1.1以前の通信がブロックされる

AWS

こんにちわ、ごきげんまるです。今の世の中、SSL通信と言えばTLSが主流です。SSL3.0以前を使っている通信はほぼありません。以前よりSSL3.0以前は致命的な脆弱性を含んでいることから、利用が非推奨とされているからです。 ではTLSはどうかと言うと、TLSも1.…

IPフィルターで接続が拒否されたときの挙動とAPIGWで接続が拒否されたときの挙動

AWS

こんにちわ、ごきげんまるです。今日もAPIGWのIPフィルター関連の話です。 セキュリティグループのIPフィルターで弾かれた時の挙動 セキュリティグループは皆さんご存じだと思います。AWSでの一般的なアクセス制御機能です。 インバウンド・アウトバウンドと…

APIGWのIPフィルター設定がうまくいかない場合がある

AWS

こんにちわ、ごきげんまるです。前回のブログで、暗黙の拒否と明示的な拒否はIAMポリシー以外でも出てくると記載しましたが、今回はその関連でブログ書こうと思います。 これは自分が昔、とある要件でAPIGWにIPフィルターの設定をしたときにハマった話です。…

MFAを設定しなければ権限が付与されないポリシー

AWS

こんにちわ、ごきげんまるです。 やる気があるうちにいろいろと書こうと思っています。じゃないとまた書かなくなるのが目に見えているので…。今日はMFAを設定しなければ権限が付与されないポリシーの説明です。 なぜこんなポリシーが必要かと言うと…。 AWSで…

MFA設定方法

AWS

お久しぶりです。ごきげんまるです。 ずっとブログ書いていませんでしたが、久しぶりに見たらいまだにこのブログを見に来ている人が居ることに驚きました。 皆さんの役に少しでも立てていれば幸いです。今回は簡単ですがMFAの設定方法です。 MFAとは… 多要素…

CloudWatchでメトリクスフィルタの設定でちょこっとだけ苦戦した

AWS

皆さん、CloudWatch使ってますか!? という、どこかで見たようなことがあることを自分も言ってみたくなったごきげんまるです。今日はCloudWatchのメトリクスフィルタの設定です。メトリクスフィルタとは何ぞやというのは、ほかの方々にお任せをします。 ま…