本ブログは「Aqua Security」社の技術ブログで2021年1月20日に公開された「 The 3 Riskiest Cloud Native AWS Configurations 」の日本語翻訳です。 EC2 だけでも数十もの主要なセキュリティ設定が可能なため、AWS の設定オプションの多さに圧倒されることがあります。複雑さが増す一方で、クラウドネイティブデプロイメントにおいて動的なインフラ要件に対応するには、クラウドアカウントを適切に、そして安全に設定することが重要です。サービスを適切に設定するという課題は、利用可能な AWS サービスの数が膨大であり、それぞれが独自の要件を持っているため、さらに複雑になっています。 AWS のクラウドサービスは、新しいサービスの提供や定期的なアップデートなどで常に変動し、CSPM(Cloud Security Posture Management

はじめに 今回紹介しているテンプレートは、Jenkinsのパイプラインジョブであり、Azure上でVMイメージを作成し、VMをデプロイするテンプレートです。このテンプレートを作成して公開に踏み切った切っ掛けは、あるプロジェクト体験からです。Jenkinsを司令塔とするCI/CDの導入に筆者も当事者として参加していたわけですが、正直にかなり心配でした。しかしながら、時間の経過とともに加速が付き、最終的には見事に運用にまで運ばれました。大成功と言ってもいい結果でした。成功の要因は、いくつか挙げる事ができますが、筆者が最も注目したのは、ちゃんと構成され、正確に動いているテンプレートの存在です。よく、Jenkinsの導入は敷居が高いというネガティブな評判が付きまとっているなか、「100ページの説明よりも、1本の実戦的なテンプレートのほうが勝る」と言ったところです。その後、これは素晴らしいという気持

20 Jul 2016 12:28pm, by Joab Jackson Dockerの専門家を困らせていた課題の一つは、内部のプロセスの権限に関わらず、Dockerコンテナ自体がroot権限で稼働している、という点。 Dockerメンテナーの一人、Jessie Frazelle（元Docker, 現Google）は、Dockerコミュニティの有識者（特にGnome関係）と共にこの課題に取り組んでいる人間の一人。 厳密に言うと、DockerはLinuxカーネルのrootコマンドを丸々使える環境を残しているわけではなく、半分以上のコマンドは落としているのが現状。さらに、Dockerは危険度の高いシステムコールなどもブロックしている。 それでも、Dockerのrunコマンドを実行するたびに ユーザに対して管理者権限を提供するためのsudo コマンドを実行する必要がある。これを逐一行う代わりに、

こんにちは。木内です。elasticsearchは分散アーキテクチャで可用性を確保するデータベースです。今回はelasticsearchクラスタでノード障害が起きたときに、どのような挙動を取るかについて解説します。 elasticsearchのプライマリシャードとレプリカシャード elasticsearchのデータを考える際に、キーとなる要素は「プライマリシャード」と「レプリカシャード」です。それぞれ以下のような役割を果たします。 プライマリシャード : ドキュメント（つまりインデックスに保存されるデータのうちの１つ）がelasticsearchに記録されるときに、あらかじめ定義された関数に従い、できるだけ分散されるようにプライマリシャードに配置されます。(elasticsearchクラスタの中に、インデックスごとに作成される)プライマリシャード数のデフォルト値は 5 です。 レプリカシャ

本稿は Docker Swarm Exceeds Kubernetes Performance at Scale (2016/3/9) の和訳です。 コンテナのオーケストレーションについては既に結論が出ていると、コミュニティで話す人が何人かいます。 現実 は真実を越えられません。500人以上を対象に行ったDevOpsとマイクロサービス、パブリッククラウドに関する最近の調査によって、Docker Swarm、Google Kubernetes、そして Amazon EC2 Container Service (ECS)の間でのオーケストレーションに関する競合の存在が明らかになりました。 あなたは今どのコンテナ・オーケストレーションツールとマネージメントツールを使っていますか？ 回答数：501、無回答数：0 どのオーケストレーションツールが自分の環境にあっているかを考えるためには、次の三つのキ

本稿は Watch: Test Driven Cookbook Development (2016/03/03) の和訳です。 2月24日、私はテスト駆動 Cookbook 開発についてライブオンラインセミナーを行いました。ユニットと統合テストとはどういうものか、それらがどのように Cookbook 開発の領域に適用しているかについての説明を聴くには、次の録画を見てください。私はテストを中心にしたアプローチを使って Cookbook をビルドする方法をデモンストレーションしています。プレゼンテーションの終わりには、ユニットと統合テストをいつ適用したらよいか、どうすれば Chef DK ツールを効果的に使えるか、スキルを一層磨くためには次にどこに行けばよいかが分かります。この投稿の終わりに、プレゼンテーション中の質疑応答をいくつか記載しました。 連絡可能なメールアドレスは？ franklin

本稿は Test Kitchen: Your Development Feedback Factory (2015/09/10) の和訳です。 Test Kitchen はさまざまなプラットフォーム上で Cookbook のテストを簡単に行えるようにします。Test Kitchen を使うと、テスト用 Node を素早く作成し、収束し、さまざまな状態を検証するテストを実行することができます。 この webcast の録画では、Chef 社のエンジニア Fletcher Nichol が自信を持って Chef Cookbook を書いてメンテナンスするためにどのように Test Kitchen を使うかの説明をしています。Fletcher は次のことを共有しました: どのように Workstation を設定するか どのように対象のプラットフォームで動作する新しい Cookbook を作成す

本稿は Static Analysis: Improving the quality and consistency of your cookbooks (2015/11/20) の和訳です。 私たちは Cookbook を変更する度に、何らかの間違いを混入してしまいます。そのリスクを減らすためにはそもそも変更しないか、さもなければ、そのリスクにうまく対処するために、lint やテストといった新しい実践手法を取り入れることができます。 lint ツールは、私たちが書くコードが一貫性、ポータビリティを保証する規定を遵守し、ベストプラクティスの実施を保証するための自動化された方法を提供します。これは、チーム全員が同様の構造化したコードを書くことを保証します。それは時間と共に、コードの発展に寄与し、協力体制を促進していきます。ソースコードの一貫性を保証することは、プロジェクトの貢献者のためになる

ファーストサーバは1996年創業の老舗のレンタルサーバ会社です。今ではクラウドサービス「Z Cloud」やグループウェア「desknet's HR」など、高パフォーマンスで素早く導入できるサービスを多数提供しています。2012年からZ Cloud運用で段階的にChefを導入。作業の正確さを徹底し、効率化を実現できました。Z Cloudの運用管理を担当している 同社 基盤開発部 基盤グループの上畑圭史氏と浅原曉人氏にお話をおうかがいしました。 構築作業の属人化、ドキュメント管理が追いつかず Chef導入前にはどのような課題を抱えていましたか？ 弊社はドメインのレジストラやサーバの構築や運用を行っています。Z Cloudではコースごとに仮想マシンの仕様が異なり、またOS、パッケージ、オプションでも多様な選択肢があります。同じ構成はほぼありません。これまで環境を構築すると担当者がドキュメントに記

本稿は Chef Analytics + Slack = Awesome (2015/07/24) の和訳です。 最近 Chef 社では、社内のメッセージング、コラボレーションツールを Slack に移行しました。以前は、解析の製品である Chef Analytics と統合されていたので、HipChat を使っていました。もし Chef Analytics (訳注:和訳) になじみがなければ、これは Chef Server と Chef Client に起きたイベントをリアルタイムストリーム表示するものと考えてください。Chef Analytics はイベントが起きたときに異なるエンドポイントに通知するルールを書けます。例えば、Chef Audit Mode を実行して失敗があれば、メッセージングツールに通知を送ってほしいと思うでしょう。Slack Webhook と Chef Anal

「Vagrant + Chef-Zero Provisioner で環境を作り、Docker 入門ハンズオンを実施する」の「A-8. Dockerfile で Nginx のコンテナを構築」にて、VOLUME (shared filesystems) を用いてコンテナ外のデータ永続・データ共有を行いました。これは「Data volumes」と呼ばれています。 本稿では「Creating and mounting a data volume container」にある「Data Volume Container」というデータを保管するためのコンテナを作成する方法を見てみます。 まず、データを保管するための「Data Volume Container」を作成します。-v オプションを用いて共有用のディレクトリ(Data Volume)を指定しておきます。 vagrant@vagrant:~$