AWSのEC2インスタンスでは、User Dataにシェルスクリプトを渡すことで起動時にスクリプトを実行できます。ファイルを配置したり、パッケージをインストールしたり、といった複雑なことがやりたい場合はcloud-initが便利です。詳しくは公式ドキュメントの例を…

mercari/tfnotifyがv0.3.2でGitLab CI/CDに対応したので試してみました。個人的には待望の機能追加です。tfnotifyを利用すると、GitLab CI/CDでTerraformを実行した結果をMerge Requestのコメントに反映できます。いちいちジョブの結果を見に行かなくてよい…

Kubernetes workerをEC2インスタンスで実行する場合，何も設定しないとPodはEC2インスタンスのIAMロールを利用します．このままでは，攻撃者が悪意のあるイメージを利用して情報漏洩や破壊を行うリスクがあります．kube2iamを利用すると，Podに適切なIAMロー…

個人のAWS環境でプライベートサブネット構成を検証したいけどNATゲートウェイに毎月3,500円も払えない*1ので，NATインスタンスのTerraformモジュール int128/nat-instance/aws を作りました．主な特徴はこちらです． Auto Scaling GroupによるAuto Healingに…

Cluster Autoscalerを利用すると，CPUやメモリの要求量に応じてノード数を自動的に増減させることが可能です． 本稿では，Amazon EKSで以下を利用する方法を紹介します． terraform-aws-eks Module AWS Cluster Autoscaler stable/cluster-autoscaler Helm C…

terraform-aws-modules/acm/aws を使うとACMの証明書を簡単に取得できます．コンソール作業が一切必要ないのがうれしい． 例えば，ドメイン foo.example.com のRoute53 Hosted Zoneが存在する前提で *.foo.example.com のTLS証明書を取得するには，以下のコ…

GitLab 11.4から only:changes という記法がサポートされました．これにより，特定のファイルが変更された場合のみジョブを実行できます． https://docs.gitlab.com/ee/ci/yaml/#onlychangesexceptchanges 例えば，以下のように記述すると，ブランチをpushし…

Terraformの小ネタです．プライベートサブネットからInternet facing ALBへのアクセスを許可するため，NATゲートウェイのグローバルIPアドレスをセキュリティグループに追加する必要がありました．Terraformの aws_security_group_rule にはIPアドレスではな…

AWS EKSでGitLab Runnerを実行して，GitLab RunnerでTerraformを実行する方法を紹介します． 以下の流れで作業を行います． EKS workerにAssumeRoleのIAMポリシーをアタッチする． stable/kube2iamをデプロイする． GitLab RunnerのIAMロールを作成する． Gi…

GitLabにはCI/CDの機能が統合されています．GitLab CI/CDではGitLab本体とは別のGitLab Runnerと呼ばれるノードでビルドを実行します．GitLab RunnerはJenkinsでいうJenkins Agentと同様に，普通のPCで実行したり，クラウドでDockerコンテナとして実行したり…

AWSのNATゲートウェイ構成をTerraformで管理する方法を調べたのでまとめます。 NATゲートウェイ構成とは下記のような構成を指します。 次の図は、NAT ゲートウェイを使用した VPC のアーキテクチャを示しています。メインルートテーブルは、プライベートサブ…