RDS Proxy と踏み台用の ECS Fargate を構築 #37

kobayashi-m42 · 2021-07-25T14:58:11Z

issueURL

Doneの定義

RDS Proxyが構築されていること
踏み台用のECS Fragateが構築され、RDSに接続できること
LambdaからRDS Proxyを使ってRDSに接続できること

変更点概要

下記のリソースを構築

RDS Proxy
細かい設定値の調整は行なっていない。STGでの検証の上、再度見直す想定。
また、aws provider の現在のバージョンでは RDS Proxy に対応していなかったので、最新バージョンにアップグレードした。
ECS Fargaate
DBユーザーの作成などで踏み台が必要になるため、ECS Fargateを構築。
踏み台用のイメージのDockerfileを用意し、ローカル環境からECRにpushしている。
コスト削減のためECSサービスで設定しているタスク数を0に変更し、ECSが起動しないようにしている(AWSコンソールから変更)。

# ECRへのpushは下記を実行
aws ecr get-login-password --profile lgtm-cat --region ap-northeast-1 | docker login --username AWS --password-stdin xxxxxxxxxxxx.dkr.ecr.ap-northeast-1.amazonaws.com/lgtm-cat-bastion
docker build --rm -t bastion docker/.
docker tag bastion:latest "xxxxxxxxxxxx.dkr.ecr.ap-northeast-1.amazonaws.com/lgtm-cat-bastion":latest
docker push "xxxxxxxxxxxx.dkr.ecr.ap-northeast-1.amazonaws.com/lgtm-cat-bastion":latest

Lambda 用の Security Group
Serverless でデプロイする Lambda に設定するための Security Group を構築。
https://github.com/nekochans/lgtm-cat-lambda/blob/main/serverless.yml#L71-L72 で設定される。
Lambda に関しては STG、PROD で構築することを想定している。
このPRではSTGのみ構築した。
また RDS の構築の前に Security Group を構築する必要があるので、RDS のディレクトリを下記の通り変更した。
prod/18-rds -> prod/22-rds
Security Group ディレクトリは 21-lambda-securitygroup

レビュアーに重点的にチェックして欲しい点

踏み台のDockerfileをどこに定義するか迷ってproviders/aws/environments/prod/22-rds/dockerに定義したけれど、他にいい案があればコメント貰えると嬉しい！
踏み台に ECS Exec する方法についてどこに記載するかも迷っているんだけれど、このリポジトリの README が良いかな？

補足情報

ECS Exec

ECS Execに必要な条件と実行方法について記載。

前提条件

下記がインストールされていること

AWS CLI v2 バージョン 2.1.31以降
- 参考：https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/install-cliv2.html
Session Manager プラグイン
- 参考：https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html

コマンド

ECSを起動してタスクIDを確認して、下記を実行することでコンテナに入ることができる。

aws ecs execute-command  \
    --profile lgtm-cat \
    --region ap-northeast-1 \
    --cluster lgtm-cat-bastion-cluster \
    --task <タスクIDを> \
    --container bastion \
    --command "/bin/sh" \
    --interactive

keitakn

対応ありがとう🐱！

ECS Execの方法も記載ありがとう！

2件コメントしたんだけど、1件は軽微な修正でもう1件は別で対応って形になるかなと思う！

↓↓「レビュアーに重点的にチェックして欲しい点」の回答だよ↓↓

踏み台のDockerfileをどこに定義するか迷ってproviders/aws/environments/prod/22-rds/dockerに定義したけれど、他にいい案があればコメント貰えると嬉しい！

これに関しては、どの部分か迷うけど、これ用にリポジトリ作るのも冗長な気がするから、ここで良いかなと思った！

踏み台に ECS Exec する方法についてどこに記載するかも迷っているんだけれど、このリポジトリの README が良いかな？

そうだね、このリポジトリの README で良いと思う👌

providers/aws/environments/prod/22-rds/backend.tf

modules/aws/lambda-securitygroup/main.tf

kobayashi-m42 · 2021-08-01T14:05:40Z

@keitakn レビューありがとう！
踏み台の Dockerfile については現状のままとするね！
踏み台に ECS Exec する方法については README に記載したよ！76f2b89

keitakn

色々、対応ありがとう🐱！

このPRは問題なさそう👌

kobayashi-m42 added 3 commits July 25, 2021 23:56

RDS Proxyを利用するために AWS Provider を最新のバージョンにアップグレード

8395849

RDS Proxyを追加

596cc4b

RDS 踏み台用の ECS を追加

a857e4b

kobayashi-m42 force-pushed the feature/issue13/rds-proxy branch from 45cce03 to a857e4b Compare July 28, 2021 14:09

kobayashi-m42 added 2 commits July 28, 2021 23:18

ECS から RDS Proxy 経由で RDS に接続できるようにセキュリティグループのルールを追加

3472640

aws_security_group_rule の引数の位置がバラバラでわかりにくかったので並びを統一

f3df627

kobayashi-m42 mentioned this pull request Jul 31, 2021

RDSに接続するだけのLambda関数を作成 nekochans/lgtm-cat-lambda#6

Merged

kobayashi-m42 added 3 commits August 1, 2021 01:14

Serverless でデプロイする lgtm-cat-lambda に設定する SecurityGroup を構築

66e8f4e

RDS の構築の前に Lambda の SecurityGroup を構築する必要があるのでディレクトリの番号を変更

bbae3b6

lgtm-cat-lambda から RDS Proxy にアクセスできるように SecurityGroup のルールを変更

8809acf

kobayashi-m42 marked this pull request as ready for review August 1, 2021 11:58

kobayashi-m42 self-assigned this Aug 1, 2021

kobayashi-m42 requested a review from keitakn August 1, 2021 11:59

keitakn reviewed Aug 1, 2021

View reviewed changes

providers/aws/environments/prod/22-rds/backend.tf Outdated Show resolved Hide resolved

modules/aws/lambda-securitygroup/main.tf Show resolved Hide resolved

kobayashi-m42 added 2 commits August 1, 2021 22:41

リソース名をスネークケースに修正

e08906d

ECS Exec について README.md に記載

76f2b89

kobayashi-m42 requested a review from keitakn August 1, 2021 14:06

kobayashi-m42 mentioned this pull request Aug 1, 2021

コーディングルールに合わせてディレクトリ名とファイル名をケバブケースに変更 #38

Merged

keitakn approved these changes Aug 2, 2021

View reviewed changes

kobayashi-m42 merged commit f07913f into main Aug 2, 2021

kobayashi-m42 deleted the feature/issue13/rds-proxy branch August 2, 2021 09:37

kobayashi-m42 mentioned this pull request Aug 2, 2021

コーディングルールに合わせてディレクトリ名とファイル名を修正する #39

Closed

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

RDS Proxy と踏み台用の ECS Fargate を構築 #37

RDS Proxy と踏み台用の ECS Fargate を構築 #37

kobayashi-m42 commented Jul 25, 2021 •

edited

Loading

keitakn left a comment

kobayashi-m42 commented Aug 1, 2021

keitakn left a comment

RDS Proxy と踏み台用の ECS Fargate を構築 #37

RDS Proxy と踏み台用の ECS Fargate を構築 #37

Conversation

kobayashi-m42 commented Jul 25, 2021 • edited Loading

issueURL

Doneの定義

変更点概要

レビュアーに重点的にチェックして欲しい点

補足情報

ECS Exec

前提条件

コマンド

keitakn left a comment

Choose a reason for hiding this comment

kobayashi-m42 commented Aug 1, 2021

keitakn left a comment

Choose a reason for hiding this comment

kobayashi-m42 commented Jul 25, 2021 •

edited

Loading