JAWS DAYS 2018行ってきました!
jawsdays2018.jaws-ug.jp
実は今回が初参加なので、
他のイベントと比べてどうなのか、わくわくして参加しましたよ!
レポート、書き殴っていきますっ!!
- レポート
- 【ALL】10:10~11:00:A story of cloud journey with Community
- 【A】11:10~12:00:Enterprise Serverlessを実現するための信頼性エンジニアリング
- 【ALL】13:00~13:50:「AWS Technical Evangelists Special talk session -スペシャルトークセッション AWSとユーザーコミュニティが生み出すNo borderな未来-」
- 【G】14:00~14:50:ユーザー企業におけるサーバレスシステムへの移行
- 【A】15:00~15:50:コンテナを守る技術 2018
- 【H】16:00~16:50:[DeepDive] AWS Japan SA Lightnings!
- 所感
レポート
【ALL】10:10~11:00:A story of cloud journey with Community
- 内容としては主に登壇者の方が経験したコミュニティ変遷。
- 100回の参加より1回の登壇〜。
- 明後日の方向から飛んでくる変化。
【A】11:10~12:00:Enterprise Serverlessを実現するための信頼性エンジニアリング
- Serverlessってなんだっけ?
- CNCF Serverless Whitepaper
- サーバの管理を必要としない。サーバーオペレーションがなくなる。
- CNCF Serverless Whitepaper
- サーバーレスの信頼性は、FaaSに依存してしまうので、ビジネスの継続性を担保できない可能性。Reliabilityを保証できない?
- Faas・・・コンテナ内で非同期に呼び出される関数
- Baas・・・フルマネージドかつ抽象化されたライブラリやMW
- Serverless is...抽象化されている関数やMW
- 信頼性の考え方
- ネジネスの信頼性を保つ努力をするのは変わらない。
- Think simple, Keep simple(いいね)
- 設計
- 監視
- serverlessでやるべき監視はapplicationからのエラー通知を作り込むこと
- ちゃんとエラーはキャッチして通知すること
- メトリクスはちゃんと見ましょう。メトリクスを集約できるのかもIaaSの選定のポイント。
- serverlessでやるべき監視はapplicationからのエラー通知を作り込むこと
- まとめ
- サーバレスは特別なことではない。
- 信頼性が必要な部分はちゃんと作り込む
質問内容メモ
- サーバーレスでもたちあげっぱなしだとEC2より高くなる・・
- CI環境はコードビルドを使って、AmazonLinuxのイメージを作ってそこでテストする。
- 監視の方法は?
- 死活監視は外側から叩く方法と、Cloudwatchのデータをdatadogにつっこんでる。datadogはserverlessだとお金取られないので便利。(なにー!そうなのか!)
- TraceIDのチェックで10分以上途切れていたらメトリクスに上げるとか。
【ALL】13:00~13:50:「AWS Technical Evangelists Special talk session -スペシャルトークセッション AWSとユーザーコミュニティが生み出すNo borderな未来-」
- 認定エンジニアになるための勉強方法
- associateの試験は結構簡単。少なくとも2回目はパスできる。
- ネットワーキングのプロフェッショナルスキルは大変。85%しか正解率はない。
- API, SDKだけでなく、Architectureを見る必要がある。どうやってAWSを使っているのか事例を見ることが大事。
- 認定とプロジェクトでは違う。認定で学んだことは使わないことがある。プロジェクトは主流を学ぶ。
- 認定は重箱の隅をつつくような内容が出てくる。模擬試験などをこなして進めるしかない。
- ハンズオンを利用することが最も重要。たくさんの試験があるけど、単語や用語などの明確な理解が必要。
- 認定に関して:8つの認定のうち、2つの認定は日本語化されていない。
- 一番最初に学ぶべきのプログラミング言語は?
- フレームワーク・ツールのおすすめは?
- 今何が起きているのかを正しく理解すること。
- コミュニティの特徴について
- 韓国のコミュニティはクレイジーだった。すごく飲むので。
- 今後のトレンドについて
- ハンズオンによる経験が何よりも重要。codeを書くことから卒業していく段階になっても、それでもハンズオンを続けて学び、アウトプットを出す。それによりトレンドを予測できる。
- リージョンの境を越えたグローバルなアーキテクチャ構築
- 仮想通貨やブロックチェーン
- ユーザーインターフェースは今後もあまり変わらないと思う。
- ラーンアンドビーキュリアス
- 学んで明日やる。今後やるとでは雲泥の差がある。
- learn and be curious
【G】14:00~14:50:ユーザー企業におけるサーバレスシステムへの移行
- なぜ、サーバーレスに至ったのか
- 大規模システムは嫌です。システム変更による影響範囲が広くて、テストが大きくなる。
- 密結合はいやです。固有のインターフェースに基づいて接続。一方が他方を容易に取り替えられない。
- インフラ管理は嫌です。プログラムに注力できるつまり、ビジネスに注力できる。
- 処理の考え方としてスケールアップは嫌。159億データさばくなら、必然的にスケールアウト
- システムを小さく、疎結合で、インフラを持たず、スケールアウト型で開発しよう。
- サーバーレス使って見た
- S3
- SQS
- Lambda
- イベント駆動でスケーラブルで無駄がない。EC2の場合時間帯によって無駄があるとパターンが出てくるよね的な。お金に直結する的な。
- 最大5分問題 -> 前処理を切り出すとか、処理時間を掴むとか。
- ソース容量足りません問題。解決策なし。
- DynamoDB
- 結果整合性(並列と相性が良い)
- 書き込みキャパ問題(お金はかけたくない)-> lambda同時起動数を制御しキャパシティ超えをおこさせない。
- 開発手法
【A】15:00~15:50:コンテナを守る技術 2018
- DockerHub 2015年の状況
- コンテナは、Officialだから安全というわけでもない。
- コンテナを運用する不安
- アプリケーションの詳細な挙動、把握できてる?
- AWSでのセキュアな構成、設計できていますか?
- セキュリティポリシーをテストする仕組み、ありますか?
- これまではホストごとの管理が基本
- これからは、SGはAllow nothing, コンテナ毎に必要なroleを付与
- アプリの挙動を把握しよう
- どれくらいのリソースが必要?
- どこと通信する?
- ファイル書き込みはする?どのディレクトリ以下?
- 内部的にセキュアな構成になっているか?
- ホストまで管理する?
- いろいろと規定がある場合に、管理するかも。
- ECSがいい。ホスト管理したいなら。
- メリットとしてアプリケーション毎にSGを振ることが可能。
- ホストは忘れたい場合
- fargateがいい。
- ECSタスク定義
- dockerが本来持つセキュリティオプションも数多く使える
- セキュリティのチェック
- 都度テスト:継続的にポリシー上問題がないことを確認する
- 定期テスト
- 実行時スキャン
(コンテナ内の脆弱性を考えるって本当に大事だよね。
パッチ当てなどの作業もコンテナ単位でやることになるのかしら。)
- コンテナの守り方
- コンポーネント編
- ライフサイクル編
- ホストとコンテナ
- 守りやすい環境を整える
- クラスタを分割、ネットワークを分割
- 守りやすい環境を整える
- docker-bench-security
- コンテナを本番で動かす場合、best practiceをスクリプトで確認するためのツールになる
- Lambdaで自動化をすれば、コストがとても安い
- ECSエージェント
- 特権を持つコンテナの起動を許可しない
- コンテナ起動時にdocker security optionを使いたいケース
- リソースの分離について
- きちんとリソース制約 - 巻き込み事故を防ぐために
- unlimitsで利用できる上限を決める
- memoryを指定して、それを超えたらコンテナを落とす など
- READ ONLY
- 書き込めなく手段を利用する。AppArmorとか
- ルートユーザは使わない
- システムコールに正しく権限チェックがかかるように
- 面倒がらずちゃんと適切なユーザを作りましょう
- アプリケーションにあった方法で
- 実行ファイルの管理
- 利用するバイナリだけイメージに入れる
- できれば静的リンクにしておく
- 通信を制限する
- システムコールを制限する
- ビルド
- CI
- static application security testingツールの利用
- Dockerイメージのポリシーを定義&チェック
- GoogleCloudPlatform/container-structure-test
- CI
- 新たな脅威への対応
- イメージの静的解析
- SaaS:aqua, NeuVecor,
- SSM Parameter Store & KMS & IAM Role
- チームで意識するセキュリティ
所感
初めてのJAWS DAYS!コミュニティの温度感の違いを感じました。
コミュニティは所属している人達によって文化やノリが変わるものだと感じました。
特に今回はテーマが「no border」ということで国際的な交流と、それに伴う親切心を感じ取れました。
全てのJAWS支部が同じ温度を保っているわけではないと思いますが、
今まで参加したコミュニティとは違う雰囲気を感じました。素晴らしいことです。
AWSはカテゴリが多岐に渡るので、ひたすらに技術要素をキャッチアップできる
今回の登壇資料を全て見ることだってまだ追いつかないくらい。
そしてそのカテゴリも多岐に渡る。AWSは進化が止まらないので、飽きることもなく本当に楽しいと思います。
各セッションは部屋ではない。間仕切りがある程度。
これは今までの勉強会と比較してのことですが、間仕切り程度でセッションエリアが区切られていました。
これについては特に問題ないのですが、当然のごとく周りの音で登壇者の声が聞き取りづらい場合があるので、
レシーバーの利用は必須ですね♪
以上です!
参加した皆様方、スタッフの皆様方、お疲れ様でした!