本日も乙

ただの自己満足な備忘録。

Stackdriver と アラート通知ツール OpsGenie を連携する

私が担当しているシステムの監視は Mackerel、通知管理サービス(エスカレーション、TELコールなど)は OpsGenie を使っています。 AWSリソースの監視はMackerelのAWSインテグレーションによって、EC2の他、ELBやRDSの監視ができますが、GCPのロードバランサや…

GCPでNATインスタンスを構築する

(2018/10/17 追記) 先日マネージドNATサービスがリリースされました! blog.jicoman.info 目次 NATインスタンスを構築する理由 NATインスタンスの構築って面倒? NATインスタンス経由にする場合のデメリット AWSとGCPにおけるルーティングの違い 構築方法 2…

負荷検証ツール「httperf」が500KBまでしかPOSTできない問題を対処した

小ネタです。 負荷検証を行う案件があり、httperfがシンプルかつ一定数のリクエストを送るのが簡単だったので使っていました。 システム内のAPIが対象で、で画像データをPOSTしその解析結果が返ってくるといったものです。以下のようなコマンドで負荷をかけ…

Vuls祭り #4でスポンサー&運営手伝いしてきました

昨日の記事の builderscon と時系列が逆ですが、8月27日のVuls祭り #4に運営手伝いしてきたのと色々あって(会社のお金で)ドリンク提供もさせてもらいました。 vuls-jp.connpass.com スポンサー特典としてシール・ノベルティグッズを受付で置かせてもらいま…

builderscon 2018 にボランティアスタッフで参加してきました

builderscon 2018 が終わって少し経ってしまったけど、 ブログを書くまでは builderscon なので簡単ながら参加レポートを書きました。 builderscon.io builderscon 初参加かつ初カンファレンススタッフとして参加してきました。 なぜスタッフ参加したのか 毎…

VPC Flow Logsの出力先を一つのS3バケットに集約する

VPC Flow Logsとは VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログのデータは、Amazon CloudWatch Logs を使用して保存されます。フローログを作成…

暗号化済EBSボリュームがアタッチされたEC2インスタンスを起動するIAMポリシー

ちょっとした小ネタです。 KMSによって暗号化したEBSボリュームをEC2インスタンスにアタッチして起動する場合、そのKMSに対して適切な権限がないとEC2インスタンスを起動することができません。起動したとしてもすぐに stopped になってしまいます。 KMSのキ…

S3からGlacierにライフサイクルで移行するときにお金がかかるので注意

以前にやらかした恥ずかしい出来事をあえて惜しむことなくここにさらけ出します。 ライフサイクルでGlacierに移行しようと設定した あるS3バケットでライフサイクルによって1年経過したオブジェクトをGlacierに移行するように設定しました。そのS3バケットに…

Redshiftクラスタの暗号化をやってみた 〜移行編〜

昨日の続きです。 blog.jicoman.info 実際に移行してみてつまづいたことや、データ移行時間の短縮について解説します。 前回記事の「最後に」でちょろっと書きましたが、UnloadCopyUtilityを動かすとわかりますが、小さいテーブルの移行でしか考慮されていな…

Redshiftクラスタの暗号化をやってみた 〜準備編〜

最近までずっとAWSサービスストレージの暗号化しかやっていなかったのでネタは暗号化一本ですw 今回はRedshiftクラスタのストレージ暗号化です。 今回は長いので、準備編と移行編に分けたいと思います。 Redshiftクラスタの暗号化方法 どうやってデータを移…

S3の暗号化についてまとめてみた(2018年6月版)

前回はS3バケットのデフォルト暗号化のパフォーマンス比較を紹介しました。 本当はこちらを先に紹介すべきでしたが、今回はS3の暗号化についてまとめてみました。 暗号化の種類 サーバ側の暗号化(Server Side Encryption: SSE) クライアント側の暗号化(Clien…

S3デフォルト暗号化によるパフォーマンスを検証してみた

最近までセキュリティ向上プロジェクトとして、AWSのストレージ暗号化をすすめてきました。S3バケットの暗号化を行う必要があり、デフォルト暗号化を有効化しています。 このデフォルト暗号化により、アップロード時の暗号化を指定しなくてもS3バケットにフ…

Gopher道場 #1に参加してきました

だいぶ日が経ってしまいましたが、4〜5月に開催されたGopher道場 #1に参加してきました。 mercari.connpass.com 参加した動機 先に私のGoレベルを書きます。 Go言語歴 約1年半ぐらい。だけどたまにしか書かない 仕事ではほとんど使っていない。せいぜい簡単…

Goでheadコマンドを書いてみた

headコマンドを実装する課題が出されたので、本当は上げる気はなかったのですが、せっかく書いたのだから公開しとこうと思います。 ohsawa0515/gohead READMEないですが、ヘルプはこんな感じでheadコマンドとほとんど同じです。 $ gohead -h Usage of head: …

ErrbitをActive Directoryと連携してログインできるようにする

以前、ErrbitをLDAP連携してログインできるようにする で、LDAPアカウントでErrbitにログインする方法を紹介しました。 blog.jicoman.info 今回はActive Directoryと連携してログインする方法を紹介します。手順はLDAPのとほぼ同じです。 USER_HAS_USERNAME…

CloudFormationスタックセットを使って複数のAWS環境のIAMポリシーを変更する

複数AWSアカウントを管理していると各アカウント内にあるIAMユーザやグループの権限管理が課題になることがあります。 例えば、開発者、テスター、運用者、管理者といった具合にグループを分け、それぞれ権限を設定している場合に、それぞれのAWSアカウント…

pecoとEC2 APIを使って踏み台経由のSSHログインを楽にする

ほんのちょっとしたbashコマンドですが、社内で評判が良かったので。 おそらくみんなが抱えているであろう悩み Auto Scalingや作り直しなどでEC2インスタンスがコロコロ入れ替わるのでホスト名を覚えきれない・うろ覚え EC2インスタンスにSSHログインしよう…

複数AWSアカウントのCloudTrailログファイルを一つのS3バケットに集約する

AWS CloudTrailはAWSの操作(正確にはAPIコールの呼び出し)を記録するサービスです。誰がどのような操作をしたのかを追うことができるため、監査に役立ちます。 AWSを本格的に利用しているところでは、用途に応じてAWSアカウントを複数作成しているケースが多…

EBSボリュームの暗号化についてまとめてみた

AWSではデフォルト状態ではEBSやRDS、Redshiftなどストレージ部分が暗号化されていません。セキュリティが厳しい企業ではストレージの盗難時のデータ漏えいを防ぐために暗号化を要求されているかと思います。 EBSボリュームの暗号化を行う機会があり調べたり…

Amazon Redshift クラスタをリストアするときのIAM権限について注意が必要

小ネタです。 Redshift クラスタをリストアしたい要望があったので、専用のIAMロールと権限を付与したのですが、Permission Deniedになってしまったので、原因調査と解決までしたので記事にしました。 やりたかったこと 以下のコマンドでリストアするつもり…

表参道.rb #33 ~Deploy~ でLTしてきました

4月6日に行われた、表参道.rb #33 ~Deploy~にLT枠として参加してきました。 (最近勉強会ネタばかりですね・・・) 会場はSansan株式会社です。名刺管理クラウドサービスSansanや個人名刺管理アプリEightを開発しています。 speakerdeck.com 話した内容は昨年登壇…

【TD Presents】インフラ/SRE 技術事例勉強会 #tdtech

3月15日に行われた、【TD Presents】「信頼性×大規模」サービスを運営する会社が語る! サービスを安定的、かつ、スケーラブルに運営するための技術事例勉強会 ~インフラ/SRE編~に参加してきました。 techplay.jp 会場はTECH PLAY SHIBUYAでした。渋谷だっ…

SRE-SET Automation Night #2 #automation_night

3月6日に行われた、SRE-SET Automation Night #2にブログ枠として参加してきました。 mercari.connpass.com 会場は株式会社メルカリのセミナールームです。Google Cloud Platformハンズオン のときも六本木ヒルズ森タワーに訪れたのですが、相変わらずビルセ…

ELBのアクセスログを別AWSアカウントにあるS3バケットに保存する

AWSのELBにはアクセスログをS3に保存できる機能が提供されています。 Classic Load Balancer のアクセスログ - Elastic Load Balancing Application Load Balancer のアクセスログ - Elastic Load Balancing このアクセスログをELBを持っているAWSアカウント…

Google Cloud Platform ハンズオンセミナーに行ってきました

AWSは仕事で使っててチョットだけできるけれど、GCPやAzureはほとんど触れたことがない私。最近は社内でBigQueryやGCEを使いたいという声を耳にしまして、本格導入する前に知識を仕入れとかないと・・・と思っていた矢先、ハンズオンセミナーに参加する機会をい…

なぜ僕はアウトプットするのか

この記事はSansan Advent Calendar 2017 22日目の記事です。アップするのが遅くなりました。 adventar.org AWSとか書こうと思ってましたが、何度か書いてますし、たまには毛色の変わったことを書こうと思います。 12月ですし今年を振り返ってみると、ブログ…

Serverless Vuls(AWS Lambda)でスキャンできる台数の上限を調べてみた

本記事はVuls Advent Calendar 2017 18日目の記事です。 qiita.com Vuls祭り #3でAWS Lambdaを使ったVulsスキャン(Serverless Vuls)についてのLTをしたところ、「何台までのサーバ台数ならスキャンできますか?」という質問をTwitterでもらいました。 台数の…

DynamoDB Auto Scalingを使うときの注意点

Amazon DynamoDB(以下、DynamoDB)のキャパシティ(Read, Write)が、負荷に応じて上下するAuto Scaling機能が今年発表されました。 aws.amazon.com 今までは多めのキャパシティを確保しなければならず、その分は余計なコストになっていたのですが、Auto Scalin…

Vuls運用のためのBlue-Green Deploymentパターン

本記事はVuls Advent Calendar 2017 12日目の記事です。 qiita.com 本当はサーバレスVulsの話でも書こうと思ったのですが、いい加減引っ張り過ぎ感があったので今回は別の話にしたいと思います(でも18日の記事はサーバレスVulsについて書くかもしれません)。…

AWS 認定 SysOps アドミニストレーター – アソシエイトに受かってきた

[toc] 一週間前になってしまいましたが、システムオペレーション(SysOps)アドミニストレーター – アソシエイト試験に合格してきました。今年3月にはソリューションアーキテクト-アソシエイトも受かっているため、2つの認定試験に合格していることになりま…