AWSにおけるIaCを活かしたTerraformの使い方2選！～循環型IaCとマルチクラウドチックなDR環境～（HashiTalks： Japan 発表資料）

© 2022 NTT DATA Corporation
AWSにおけるIaCを活かしたTerraformの使い方2選！
〜循環型IaCとマルチクラウドチックなDR環境〜
2022.8.25
NTT DATA Corporation
Hiroaki Hattori

© 2022 NTT DATA Corporation 2
自己紹介 - profile -
名前
服部洋明 - Hiroaki Hattori -
会社
株式会社NTTデータ - NTT DATA Corporation -
肩書
インフラエンジニア
趣味
サウナ、ゴルフ
その他
金融機関向けシステムを中心とし、LinuxやWindowsServerなどサーバサイドの開発を経験。近年で
は、AWSとDevopsに興味があり、CI/CDや基盤自動化に関する新たな手法を検討している。

導入

セッションテーマについて
①マルチクラウドチックなDR環境
⇨マルチクラウドでは(多分)無いけど、マルチクラウドっぽいDR環境を用意する。
②循環型IaC
⇨プロビジョンニングでリソース適用する手段に加えて新たな策を用意する。

本日のお話について
Terraformの使い方の例を2つ紹介するもの。
環境はタイトル通り、AWSとTerraformが主です。
マルチクラウドをちょっとだけ意識
している人
ターゲット
IaC使っているけど、
都度のリソースのプロビジョニング
にひっかかりを感じている人
お話すること
マルチクラウドチックなDR環境
プロビジョンングのひっかかりに向
けた使い方循環型IaC
IaCでNTTデータのあるプロジェク
トが陥ったこと
お話しないこと
ツールそのものの細かな紹介
具体的なソースコード

マルチクラウドチックな環境

マルチクラウドで考えること
ベストなリソースを選定するため、併用環境として考えられることが多い。
・Aクラウドには〇〇に強いリソースがある。また、■■に強いリソースはBクラウ
ドにある。だから組み合わせてマルチクラウドとする。
・Aクラウドが利用不可となったときのために、Bクラウドを両現用やDR環境とし
て使う。
Aクラウド Bクラウド
組み合わせ
DR
認証基盤に障害が起き、
YoutubeやDiscordが
使えない。

マルチクラウドチックで考えること
クラウド2つ使うので利用料に懸念があるというデメリットがある
理想的なマルチクラウドレベルまで冗長化できていないけど、
利用料を最小限にすることに舵をきってマルチクラウドっぽいことをする。
DR
DNS
フェールオーバー
サービス

マルチクラウドチックを考える
GCPとAWSでマルチクラウドを行い、DNSはRoute53の構成を考える
ECS
Service
Container
Container
Container
Registory
ELB
DR

Terraformが活きる
Terraformを使うわけだが、Cloudformationと比較する。
Terraform cfnとかのマネージド構成管理
環境
プロビショニング用の環境とし
てサーバなどを用意
マネージド環境内で管理
特徴
適用環境（サーバなど）がいる
⇨適用内容をハンドリングでき
るして、サービスを決めれる。
リポジトリの内容をクラウド側
管理の環境で適用する。

Terraformを活かす
GCPとAWSでTerraformだからこそ実現するマルチクラウドチックなDR環境をつくる
ECS
Service
Container
Container
Container
Registory
ELB
DR

GCPとAWSでTerraformだからこそ実現するマルチクラウドチックなDR環境をつくる
ECS
Service
Container
Container
Container
Registory
ELB
DR
DNSレコードをGCP
向けもDR向けもIaC化し
ておく
リソース一式をIaC化し
て、適用しないでおく

GCP向けがヘルスチェックNGのイベントがたったら、DR環境の出番！！
GCP向けDNSレコード.tf
AWS向けDNSレコード.tf
ELBやECSなどのリソース.tf
通常時
GCP向けDNSレコード.tf
AWS向けDNSレコード.tf
ELBやECSなどのリソース.tf
DR時
Terraform適用サーバ内で上書きして適用
適用しない
GCP向け
ヘルスチェック
がNGになったら
Terraform適用サーバ内で上書きして適用
適用

Terraformを活かしてマルチクラウドチックに
眠っていたAWS環境がDR環境として起き上がるパイロットライト方式
ECS
Service
Container
Container
Container
Registory
ALB
DR
無かったAWSリソースが作成され
受付可能となる。

ヘルスチェックから起動までのAWSのイベントの動きはEventBridgeを使う
Us-east-1 リージョン(バージニア) Ap-northeast-1 リージョン(東京)
EventBridge
Default
event bus
Event Rule
CloudWatch
Route53 EventBridge
Default
event bus
Event
Rule
custom
event bus
SNS
CodeBuild
ヘルス
チェック
NG
イベント発行
イベント転送
(リージョン跨ぎ)
サービス実行
プロビジョニング
実行

重要なコスト効果を考える
サービス名課金概要
スナップ
ショット
パイロット
ライト
スタンバイ系
ECS(fargate) 起動中のvcpuと使用量
✔︎
CodeBuild ビルド中のインスタンス料金
✔︎
CodeCommit 5GB以内無料
CodePipeline パイプライン1つまで無料
ECR プライベート500MBまで無料
EventBridge
デフォルトイベント無料
カスタムイベントに1ドル
✔︎
CloudWatch 5GB以内無料
Route53 ヘルスチェックで有料
✔︎✔︎
ALB 起動時間
✔︎
スナップショットより固定1ドル/月＋停止回数×1ドル高く、スタンバイ系より180ドル安い。

どのような環境ならマルチクラウドチックにするのが有効なのか。
今回のパターンだと懸念されるのは以下。
・クラウド間のDBのレプリケーションがない。
・参照制約があるシステムでは向かない。
なので、以下のようなパターンだと有効？
・利用者へのレスポンスはとりあえず受け付けて、他との整合性チェックに関わる
部分はあとから処理する

まとめ
やはり台頭するマネージド構成管理ではない仕組みを活かすことでできる仕組み。
どこまでリッチなアーキテクチャにするかにもよるが、今回はコストを可能な限り
抑えた方法をご紹介。

循環型IaC

IaC環境
IaC(infrastructure as Code)とは、手動のプロセスではなく、コードを使用してインフラストラクチャの管理
とプロビジョニングを行うこと
Red Hat 「IaCとは」https://www.redhat.com/ja/topics/automation/what-is-infrastructure-as-code-iac
Amazon VPC
Public Subnet
Private Subnet

IaC環境
メリット・デメリット
コスト削減
品質向上
習得コスト
簡単な設定でも
時間がかかる場合がある
メリットデメリット

IaC環境
IaCによるプロビジョニングと、マネジメントコンソールによるいわば手動作成がある
IaC
Amazon VPC
Public Subnet
Private Subnet
手動作成(GUI)

IaC環境
リソースの設定把握
IaC 手動作成(GUI)
種類別で参照する必要がある
コードを見れば全体が一発
Route53 VPC EC2

IaC環境
似たリソースの複製
いくら似ていても一つ一つ作成
コピペで作成できる
EC2_1 EC2_2 EC2_3

IaC環境
リソースの作成・設定追加
Amazon VPC
Public Subnet
Private Subnet
Amazon VPC
Public Subnet
Private Subnet
適用
コード化に時間がかかる GUIで比較的簡単に作れる

IaC環境
IaCと手動作成(GUI)の比較まとめ
設定値把握
複製
作成・設定追加

IaC環境
IaCと手動作成(GUI)
設定値把握
複製
作成・設定追加

NTTデータのあるシステムが陥ったこと
インシデントレスポンスの事例
溜まったノウハウ
手順書
15年続くシステム
システム更改によって
導入したIaC

手順書
IaC管理
導入したIaC

手順書
IaC管理
導入したIaC
！インシデント！
コミュニティA
コミュニティB
コミュニティC

手順書
IaC管理
導入したIaC
コミュニティA
コミュニティB
コミュニティC
このままいくと

手順書 15年続くシステム
コミュニティA
コミュニティB
コミュニティC
IaCで作れるけど、作った後に対応できる状況になっていない

循環型IaC
IaCを循環型にして手軽に作れる選択肢を残してあげる
Amazon VPC
Public Subnet
Private Subnet
Amazon VPC
Public Subnet
Private Subnet
適用

循環型IaC
IaCを循環型にして手軽に作れる選択肢を残してあげる
Amazon VPC
Public Subnet
Private Subnet
Amazon VPC
Public Subnet
Private Subnet
適用
循環型IaCの仕組み
IaCに取り込み
手順が楽な時は
手順で！
プロビジョニングが楽な時は
プロビジョニングで！

循環型IaC
リソースからIaCを新規作成するときはTerraformerを利用する。
※Github「Terraformer」 https://github.com/GoogleCloudPlatform/terraformer
Internet GW
適用
NAT GW
Terraformer
リソース識別子
mapping(json)
IaCコード
タグ
既存リソースにはないことを確認
ARN
aws̲nat̲gateway natgateway

循環型IaC
保守フェーズでも持続して常にIaCのメリットを維持して、IaCと手動作成の好きな方でコード化と適用まで行
う
Amazon VPC
Public Subnet
Private Subnet
Amazon VPC
Public Subnet
Private Subnet
適用
IaCに取り込み
手順が楽な時は
手順で！
プロビジョニングが楽な時は
プロビジョニングで！

まとめ
①マルチクラウドチックなDR環境
⇨マルチクラウドでは(多分)無いけど、マルチクラウドっぽいDR環境を用意する。
②循環型IaC
⇨プロビジョンニングでリソース適用する手段に加えて新たな策を用意する。

記載されている会社名、商品名、またはサービス名は、各社の商標登録または商標です。

AWSにおけるIaCを活かしたTerraformの使い方2選！ ～循環型IaCとマルチクラウドチックなDR環境～ （HashiTalks： Japan 発表資料）

More Related Content

What's hot

Similar to AWSにおけるIaCを活かしたTerraformの使い方2選！ ～循環型IaCとマルチクラウドチックなDR環境～ （HashiTalks： Japan 発表資料）

More from NTT DATA Technology & Innovation

Recently uploaded