Datadog monitoring with HashiCorp stack

s
Copyright © 2018 HashiCorp
HashiCorp
Solution engineer 伊藤仁智
!1
DataDogにTerraformをあげましょう
In Osaka

About me
!2
名前：伊藤仁智（まさとも）
2018年年9⽉月１⽇日に発⾜足したHashiCorp Japanの⼀一⼈人⽬目の社員です。
以前は、
• ゲームプラットフォーム開発
• Continuous Delivery Pipelineツール販売
• ソフトウェアテストツール販売
• 組込系リアルタイムOS販売
• ガチの組込系エンジニア
などをしてました

About me
!3
キャンプ

About me
!4
愛猫　とらじろう

About me
!5
祭

Copyright © 2018 HashiCorp !6
ミッション
キー製品
設⽴立 2012 by Mitchell Hashimoto and Armon Dadgar
We enable organizations to Provision, Secure, Connect, and Run any
infrastructure for any application
1.アプリケーションを実⾏行行するインフラのProvision
2.アプリケーションをSecureに
3.アプリケーションデプロイをRun
4.アプリケーションをConnectする
CEO Dave MacJannet

TEAMS
& ORG
Enterprise Feature
• Collaboration
• Operations
• Governance & policy
!7
DEVELOPMENT
SECURITY
OPERATIONS
Run applications
Secure infrastructure & applications
Provision infrastructure
HashiCorpの４製品
THE PRACTITIONER

s
!8
Provision

Private
cloud
EARLY CLOUD MULTI-CLOUD + SaaS
Azure GCP …
+
AWS
TRADITIONAL 
DATACENTER
ハイブリッドなインフラへのシフト
専⽤用マシン　　　　　　　→ オンデマンド

INFRASTRUCTURE AS CODE
!10
EXTENSIBLE PROVIDER MODEL
Core
Alibaba
GCP
AWS
Azure
TERRAFORM CONFIGURATION
DEVELOPERS
OPERATOR
様々なインフラへのプロビジョニング - Provision
…
Nomad
Consul
Vault
Github
Kubernetes
Heroku
Docker
Fastly
F5
Datadog
DNSimple

s
!11
Secure

境界のないネットワーク上のアプリケーションセキュリティ
!12
Security

境界のないネットワーク上のアプリケーションセキュリティ
!13
AWS
Private
cloud
Azure GCP Alibaba
Security
「強固な城壁」を作るアプローチはもはや通⽤用しない・・・
Service
App
Service Service Service
App App App
Auth Auth Auth Auth
IPベース　　　　　　　→ IDENTITYベース

信頼できるアイデンティティに、
安全にシークレットを提供する
信頼できる認証基盤
Authentication
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理理
クライアント
Token
アプリやシステムへのアクセスを認可
Authorization
サービスの提供
▪ Credentialの付与
▪ 静的シークレット
▪ 動的シークレット
▪ 証明書
▪ 暗号化サービス
シークレット
ポリシー
• シークレットエンジンへのアクセス
• APIエンドポイントへのアクセス
1
2
3

s
!15
Connect

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
モノリシック　→ マイクロサービス
Web
DB
DB
DB
Big query
Payment
Web
Service 1
Service 2
ホストベース　　　　　　　→ サービスベース
Payment Web
DB
Service 1 Service 2
Big query

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
全てのアプケーションをコネクトする - Connect
Service  
Discovery
Web
DB
DB
DB Big queryPayment
Web
▪ サービスの登録・カタログ化
▪ DNSとHTTPインターフェース
▪ ヘルスチェック
Service 1
Service 2
redis.service.consulpayment.service.consul web.service.consul bq.service.consul

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
Service
Segmentation
Web
DB
DB
DB Big queryPayment
Web
Service 1
Service 2
X
▪ サービス間のAuthorization
▪ サイドカープロキシ
▪ mTLSコネクション
$ consul intention create -deny web '*'
Created: web => * (deny)
$ consul intention create -allow web app
Created: web => app (allow)
$ consul intention create -allow web db
Created: web => db (allow)

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
Web
DB
DB
DB Big queryPayment
Web
• K/Vストアで設定を保管
• リアルタイムでの設定変更更
– 設定ファイル
– 環境変数
• サービスのリロードやリスタートを実⾏行行
Service 1
Service 2
Service
Configuration
K/V
Config
Config
Config
Config

s
!20
Run

Application
Platform
AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
様々なアプリケーション - Run
密結合　　　　　　　→ 疎結合

ユーザー Nomad
Servers
JobをSubmit
のぞむべき状態をコード化
Nomad
Clients
AppのDeploy
Bin Packing
様々なアプリケーション - Run
タスクの実⾏行行

TEAMS
& ORG
Enterprise Feature
• Collaboration
• Operations
• Governance & policy
!23
DEVELOPMENT
SECURITY
OPERATIONS
Run applications
Secure infrastructure & applications
Provision infrastructure
HashiCorpの４製品
THE PRACTITIONER

s
!24
Provision
Secure
Connect
Run

VaultやConsulをDatadogで監視
!26
DogStatsD
DogStatsD
app.datadoghq.com
HTTPS
PUSH
Reference to Vault/Consul metrics
https://www.vaultproject.io/docs/internals/telemetry.html
https://www.consul.io/docs/agent/telemetry.html
プロビジョン

まずはDatadogのAgentをインストール
!27
DD_API_KEY=${dd_api_key} bash -c "$(curl -L https://raw.githubusercontent.com/DataDog/datadog-agent/master/cmd/agent/
install_script.sh)"

VaultとConsulのConfigを変更更
!28
backend "consul" {
address = "127.0.0.1:8500"
path = "vault/"
}
listener "tcp" {
address = "127.0.0.1:8200"
tls_disable = 1
}
telemetry {
dogstatsd_addr = "127.0.0.1:8125"
disable_hostname = true
}
{
"datacenter": "dc1",
"bootstrap_expect": 1,
"server": true,
"advertise_addr": "$${local_ipv4}",
"data_dir": "/opt/consul/data",
"client_addr": "0.0.0.0",
"log_level": "INFO",
"ui": true,
"telemetry": {
"dogstatsd_addr": "localhost:8125",
"disable_hostname": true
}
}
vault.hcl
consul.json

監視できたとしても、
ダッシュボードの構築
はどうするの？

Datadog providerでMonitorを作成
!31
provider "datadog" {
api_key = “${var.datadog_api_key}"
app_key = "${var.datadog_app_key}"
}
# Cpu monitor
resource "datadog_monitor" "cpumonitor" {
name = "cpu monitor ${aws_instance.vault.id}”
type = "metric alert"
message = "CPU usage alert"
query = "avg(last_1m):avg:system.cpu.system{host:${aws_instance.vault.id}} by {host} > 60"
thresholds {
ok = 20
warning = 50
critical = 60
}
}

Datadog providerでtimeboardを作成
!32
resource "datadog_timeboard" "vault" {
title = "Dashboard on ${aws_instance.vault.tags.Name}"
description = "Created using datadog provider in Terraform"
read_only = true
# Memory usage
graph {
title = "System mem usage"
viz = "timeseries"
request = {
q = "avg:system.mem.free{host:${aws_instance.vault.id}}"
}
}
# Vault request handled
graph {
title = "Number of request handled"
viz = “timeseries"
request = {
q = "avg:vault.core.handle_request.count{host:${aws_instance.vault.id}}.as_count()"
type = "bars"
}
}

Terraform applyを実⾏行行すると
!33

Dashboardが作成されます
!34

s
Demo

Demo overview
!36
AWS EC2
DogStatsD
app.datadoghq.com
Provision with AWS provider
• VM Instanceの起動
• Vaultのインストール
• Consulのインストール
• DogStagsDのインストール
Provision with Datadog provider
• Dashboardの作成
• Monitorの設定
• 監視対象の設定
Metricsの送信
ベンチマークテスト

安⼼心だね。
おやすみなさい

HashiCorp製品に興味がありましたら
sales_japan@hashicorp.com
まで！

以上です。
ありがとうございました！

Datadog monitoring with HashiCorp stack

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Datadog monitoring with HashiCorp stack

Similar to Datadog monitoring with HashiCorp stack (20)

Datadog monitoring with HashiCorp stack