helmを導入してK8sのyamlをテンプレート記載したい

• helmとは
• なぜhelmがほしいのか

helmとは

Kubernetes(K8s)に関する技術で、K8s用のyamlを記載しやすいようにするモノ、という理解
そもそもパッケージ管理ソフトなので、wordpressをK8sで入れたい！とかいうときに世の中にあるパッケージを使ってインストールということも可能（ぽい）

• 参考 qiita.com

なぜhelmがほしいのか

どういうシーンでほしいかというと
例えば、iamgeのpullするUrlを隠蔽したい場合、です。（もしくは環境毎にimageの情報が変わる、など）

• imageはECRからpullしたい
  • 例： <i>aws_account_id</i>.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latestからpullしたい
• でもGitHubのpublicなリポジトリに直接AWSアカウントをpushしたくない
  • 上記例でいうとaws_account_idの部分は秘匿情報なのでGitHubにPushしたくない

結論

結論はこちら

例えば、

apiVersion: apps/v1
kind: Deployment
metadata:
  name: sample-deployment
  labels:
    app: sample
spec:
  replicas: 2
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
      - name: sample
        image: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest
        ports:
        - containerPort: 80

こんなふうに、直接imageを記載するのを避けたい。
（aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latestを直接記載したくない）

version情報

$ helm version
version.BuildInfo{Version:"v3.3.3", GitCommit:"55e3ca022e40fe200fbc855938995f40b2a68ce0", GitTreeState:"dirty", GoVersion:"go1.15.2"}

$ kubectl version
Client Version: version.Info{Major:"1", Minor:"17", GitVersion:"v1.17.0", GitCommit:"70132b0f130acc0bed193d9ba59dd186f0e634cf", GitTreeState:"clean", BuildDate:"2019-12-13T11:52:32Z", GoVersion:"go1.13.4", Compiler:"gc", Platform:"darwin/amd64"}
Server Version: version.Info{Major:"1", Minor:"16+", GitVersion:"v1.16.6-beta.0", GitCommit:"e7f962ba86f4ce7033828210ca3556393c377bcc", GitTreeState:"clean", BuildDate:"2020-01-15T08:18:29Z", GoVersion:"go1.13.5", Compiler:"gc", Platform:"linux/amd64"}

helm

上記問題点をhelmを使うことによって解決できます

helmはyamlの一つの機能として、テンプレーティングを行えます。
上記sample-deploymentというdeploymentを例にすると

apiVersion: apps/v1
kind: Deployment
metadata:
  name: sample-deployment
  labels:
    app: sample
spec:
  replicas: 2
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
      - name: sample
        image: {{ .Values.app.imageUrl }}
        ports:
        - containerPort: 80

このように{{ .Values.app.imageUrl }}と記載し、この部分をhelmに別ファイルで渡すことができます
そしてその別ファイルをGitHubにpushしない運用によって、秘匿情報を隠蔽できたり、環境毎にyamlを用意しなくても済む、というもの。

helmを使うと、K8sのyamlを直接記載せずに、
上記テンプレートだけをひたすら記載するような運用になる（と思います）

helm使い方

• helmのインストール

$ brew install helm

• helmの初期化（プロジェクト作成）

$ helm create mychart

mychartフォルダにサンプルとなるchart類が作成されます
フォルダ構成は以下の感じ

./mychart
├── Chart.yaml
├── charts
├── templates
│   ├── NOTES.txt
│   ├── _helpers.tpl
│   ├── deployment.yaml
│   ├── hpa.yaml
│   ├── ingress.yaml
│   ├── service.yaml
│   ├── serviceaccount.yaml
│   └── tests
│       └── test-connection.yaml
└── values.yaml

基本的にいじるのが、templatesディレクトリの中身と、values.yamlの中身

最小限の構成への変更

シンプルな構成とするために、上記helm create mychartで作ったchartから、不要部分を削除します
以下のファイルを削除

• mychart/charts/削除
• mychart/templates/の中身削除
• mychart/values.yamlの中身を全削除

mychart/values.yamlを記入

app:
  imageUrl: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest

mychart/tempates/deployment.yamlを記入

apiVersion: apps/v1
kind: Deployment
metadata:
  name: sample-deployment
  labels:
    app: sample
spec:
  replicas: 2
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
      - name: sample
        image: {{ .Values.app.imageUrl }}
        ports:
        - containerPort: 80

上記２つのファイルを記載した状態でheml installしていきます

helm installのチェック

$ helm install --dry-run --debug --generate-name ./mychart

これで、このhelmを実行した際に何が起こるか（どのようなK8sリソースが作成されるか）がわかる

$ helm install --dry-run --debug --generate-name ./mychart

NAME: mychart-1600747915
LAST DEPLOYED: Tue Sep 22 13:11:56 2020
NAMESPACE: default
STATUS: pending-install
REVISION: 1
TEST SUITE: None
USER-SUPPLIED VALUES:
{}

COMPUTED VALUES:
app:
  imageUrl: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest

HOOKS:
MANIFEST:
---
# Source: mychart/templates/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: sample-deployment
  labels:
    app: sample
spec:
  replicas: 2
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
      - name: sample
        image: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest
        ports:
        - containerPort: 80

このように表示されます
肝心のimage部分image: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latestとなっているので想定通り

helm install

helm installにてリソースをK8sに反映していきます。
以下のようなコマンド構成です。

$ helm install <chart-name> <chart-directory>

chartに名前を付ける必要があります
（省略できるようですが、省略した場合ランダムな名前がつけられてめんどくさいので、原則名前つけないといけない）

$ helm install chartname ./mychart
NAME: chartname
LAST DEPLOYED: Tue Sep 22 13:20:16 2020
NAMESPACE: default
STATUS: deployed
REVISION: 1
TEST SUITE: None

このように出ます。
kubectlで確認

$ kubectl get all 
NAME                                    READY   STATUS         RESTARTS   AGE
pod/sample-deployment-b978cbc69-lczpd   0/1     ErrImagePull   0          32s
pod/sample-deployment-b978cbc69-tswdg   0/1     ErrImagePull   0          32s

NAME                 TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
service/kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP   9d

NAME                                READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/sample-deployment   0/2     2            0           32s

NAME                                          DESIRED   CURRENT   READY   AGE
replicaset.apps/sample-deployment-b978cbc69   2         2         0       32s

imageがめちゃくちゃ適当な名前(aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest)なので起動は失敗していますが、なんかそれっぽい。

helm list

$ helm listNAME            NAMESPACE       REVISION        UPDATED                                     STATUS          CHART               APP VERSION
chartname       default         1               2020-09-22 13:20:16.082367 +0900 JST        deployed        mychart-0.1.0       1.16.0     

インストール済みのhelmのlistが出ます

helm upgradeの準備

インストール済みのchartを更新したい場合にはhelm upgradeです

$ helm upgrade <chart-name>

今回以下の内容を変更します

• deploymentのコンテナ名称をmyappにする
• imageをnginx:latestにする

values.yamlの変更

app:
  imageUrl: nginx:latest
  appName: myapp

このように変更しました

deployment.yamlを変更

apiVersion: apps/v1
kind: Deployment
metadata:
  name: sample-deployment
  labels:
    app: sample
spec:
  replicas: 2
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
      - name: {{ .Values.app.appName }}
        image: {{ .Values.app.imageUrl }}
        ports:
        - containerPort: 80

{{ .Values.app.appName }}を追記

helm upgradeの実行

helm upgradeによってchartが更新できるわけですが、その前に内容を確認したいです。
その場合には--dry-runを使います。
ついでに--debug表示もします

$ helm upgrade --dry-run --debug chartname ./mychart
upgrade.go:121: [debug] preparing upgrade for chartname
upgrade.go:129: [debug] performing update for chartname
upgrade.go:287: [debug] dry run for chartname
Release "chartname" has been upgraded. Happy Helming!
NAME: chartname
LAST DEPLOYED: Tue Sep 22 13:29:21 2020
NAMESPACE: default
STATUS: pending-upgrade
REVISION: 2
TEST SUITE: None
USER-SUPPLIED VALUES:
{}

COMPUTED VALUES:
app:
  appName: myapp
  imageUrl: nginx:latest

HOOKS:
MANIFEST:
---
# Source: mychart/templates/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: sample-deployment
  labels:
    app: sample
spec:
  replicas: 2
  selector:
    matchLabels:
      app: sample
  template:
    metadata:
      labels:
        app: sample
    spec:
      containers:
      - name: myapp
        image: nginx:latest
        ports:
        - containerPort: 80

これで結果を確認できます（まだ適応されてはおらず、結果を表示しただけです）

pluginについて

helm upgradeを実行する前に、diffというプラグインを使ってみます
helmの差分を表示できるpluginのようです github.com

hlem用のプラグインが多く開発されており、いろいろなものがあるようです。

• diff pluginのinstall

$ helm plugin install https://github.com/databus23/helm-diff

diffの確認

--valuesでvalues.yamlを指定しています（これしないとうまく差分が出ない）

helm diff upgrade chartname ./mychart --values ./mychart/values.yaml
default, sample-deployment, Deployment (apps) has changed:
  # Source: mychart/templates/deployment.yaml
  apiVersion: apps/v1
  kind: Deployment
  metadata:
    name: sample-deployment
    labels:
      app: sample
  spec:
    replicas: 2
    selector:
      matchLabels:
        app: sample
    template:
      metadata:
        labels:
          app: sample
      spec:
        containers:
-       - name: sample
-         image: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest
+       - name: myapp
+         image: nginx:latest
          ports:
          - containerPort: 80

内容は問題なさそうなので、helm upgradeをやっていきます

helm upgradeの実行

helm upgradeの実行をします
コマンドの実行結果は以下のような感じでした。

-valuesに./mychart/values.yamlを指定しています(diffのコマンドからdiff部分を削除しただけ）

$ helm upgrade chartname ./mychart --values ./mychart/values.yaml 
Release "chartname" has been upgraded. Happy Helming!
NAME: chartname
LAST DEPLOYED: Tue Sep 22 13:58:40 2020
NAMESPACE: default
STATUS: deployed
REVISION: 2
TEST SUITE: None

upgradeの結果の確認

$ kubectl get all
NAME                                     READY   STATUS    RESTARTS   AGE
pod/sample-deployment-787c75d69d-99gk7   1/1     Running   0          112s
pod/sample-deployment-787c75d69d-x6krf   1/1     Running   0          106s

NAME                 TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
service/kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP   9d

NAME                                READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/sample-deployment   2/2     2            2           4m7s

NAME                                           DESIRED   CURRENT   READY   AGE
replicaset.apps/sample-deployment-787c75d69d   2         2         2       112s
replicaset.apps/sample-deployment-b978cbc69    0         0         0       4m7s

imageをnginxにしたので動き出しました。

一部設定の隠蔽

今回の目的はGitHubにPushしたくないことでした。

以下のような方針で秘匿情報を隠蔽します

• values.yamlにはデフォルト値を書いておく
• override.yamlというファイルを作り、ここに秘匿情報を書く
  • 秘匿にしたい情報のみこのファイルに書く
  • ファイル名はなんでもOKです
• override.yamlを.gitignore登録しておく

override.yaml

以下のように記載します（今回はapp.imageUrlを隠蔽したい）

app:
  imageUrl: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest

app.imageUrlのみを上書きします

この状態でdiffしてみます
--valuesコマンドを２つ以上指定することができます

helm diff upgrade chartname ./mychart --values ./mychart/values.yaml --values ./mychart/override.yaml 
default, sample-deployment, Deployment (apps) has changed:
  # Source: mychart/templates/deployment.yaml
  apiVersion: apps/v1
  kind: Deployment
  metadata:
    name: sample-deployment
    labels:
      app: sample
  spec:
    replicas: 2
    selector:
      matchLabels:
        app: sample
    template:
      metadata:
        labels:
          app: sample
      spec:
        containers:
        - name: myapp
-         image: nginx:latest
+         image: aws_account_id.dkr.ecr.us-west-2.amazonaws.com/amazonlinux:latest
          ports:
          - containerPort: 80

こうなります。
想定通り。

upgradeします

$ helm upgrade chartname ./mychart --values ./mychart/values.yaml --values ./mychart/override.yaml 

無事にupgradeが完了

helm delete

最後は削除します

$ helm delete chartname

まとめ

• K8sのyamlをGit管理する際に秘匿情報の管理、もしくは環境毎に変化する情報の管理、というつらみがある
• 一つの解決策として、helmのテンプレート機能による値の注入が可能
• values.yamlにデフォルトの情報を記載し、別のyaml(override.yaml等）に可変情報を記載する
  • override.yamlは必要に応じて.gitignoreする

目的

• EKSで公開したサービスをhttpsにしたい！

目次

• 目的
• 目次
  • httpsを行う核心部分
• 前提
  • 参考
• EKSへのログイン方法
• EKSでnginxをデプロイします
  • 確認
  • serviceをたてる
• 名前をつける
• 確認する
• httpsにする
  • 解説
  • service.beta.kubernetes.io/aws-load-balancer-backend-protocol
  • service.beta.kubernetes.io/aws-load-balancer-ssl-ports
  • service.beta.kubernetes.io/aws-load-balancer-ssl-cert
• 確認
• まとめ

httpsを行う核心部分

結論をさっさとみたい方はこちら

前提

• ドメインを取得済み
  • 便宜上example5.comを持っているとします
  • Route53でのドメインが簡単
• ドメインの証明書はAmazon Certificate Manager(ACM)を使ってる
  • 便宜上*.example5.comに対する証明書を持っているとします
  • ぽちぽちクリックするだけで取得可能

参考

• Route53でドメインを取る方法 dev.classmethod.jp

• ACMでドメインに対する証明書を取得する blog.serverworks.co.jp

EKSへのログイン方法

クラスタをEKS作成している状態で、aws cliを使います

$ aws sts get-caller-identity

これで自分のawsアカウントにログインできている状態で（aws cliのセットアップは割愛）

$ aws eks --region ap-northeast-1 update-kubeconfig --name sample

EKSでnginxをデプロイします

• deployment

cat <<EOF | kubectl apply -f -
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      app: my-nginx
  replicas: 1
  template:
    metadata:
      labels:
        app: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

確認

k8sクラスタ内からしかアクセスできないので、クラスタ内にbusyboxコンテナを立てて確認する

まずはipアドレスを確認（EKSクラスタ内のプライベートなIPアドレス）

kubectl get po -o=wide
NAME                        READY   STATUS    RESTARTS   AGE   IP             NODE                                             NOMINATED NODE   READINESS GATES
my-nginx-75897978cd-kxmhn   1/1     Running   0          96s   172.31.9.104   ip-172-31-7-95.ap-northeast-1.compute.internal   <none>           <none>
my-nginx-75897978cd-sxs6k   1/1     Running   0          96s   172.31.7.192   ip-172-31-7-95.ap-northeast-1.compute.internal   <none>           <none>

Podが２個たっていて、172.31.9.104と172.31.7.192だということがわかる
busyboxをたてる

$ kubectl run --rm -it --image=busybox --restart=Never nginx-test sh

これでコンテナに入れるので、ここからwgetで確認する

/ # wget -O - 172.31.9.104
Connecting to 172.31.9.104 (172.31.9.104:80)
writing to stdout
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
...略

無事にnginxのメッセージが帰ってきました

serviceをたてる

とりあえずはhttpで通信できるサービスをたてる

$ cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  selector:
    app: my-nginx
  ports:
  - name: http
    port: 80
    targetPort: 80
  type: LoadBalancer
EOF

$ kubectl get svc
NAME         TYPE           CLUSTER-IP     EXTERNAL-IP                                                                    PORT(S)        AGE
kubernetes   ClusterIP      10.100.0.1     <none>                                                                         443/TCP        15m
my-service   LoadBalancer   10.100.4.181   a127d8af5450f4f43bfb21d5fe3a7800-1476400784.ap-northeast-1.elb.amazonaws.com   80:31724/TCP   5m17s

EC2のロードバランサをAWSのコンソールから確認
自動的にロードバランサが作られています

a127d8af5450f4f43bfb21d5fe3a7800-1476400784.ap-northeast-1.elb.amazonaws.comこれがELBのエンドポイント
この名前が伝搬するまでちょとっとかかりますので、watchしながらIPアドレスが帰ってくるまで待つ

$ watch nslookup a127d8af5450f4f43bfb21d5fe3a7800-1476400784.ap-northeast-1.elb.amazonaws.com

** server can't find hogehoge.ap-northeast-1.elb.amazonaws.com: NXDOMAINという表示ではなく、
こんなふうにレスポンスが来たら準備完了

Non-authoritative answer:
Name:   a127d8af5450f4f43bfb21d5fe3a7800-1476400784.ap-northeast-1.elb.amazonaws.com
Address: 52.196.124.185
Name:   a127d8af5450f4f43bfb21d5fe3a7800-1476400784.ap-northeast-1.elb.amazonaws.com
Address: 52.198.121.155

$ curl a127d8af5450f4f43bfb21d5fe3a7800-1476400784.ap-northeast-1.elb.amazonaws.com

さきほどのnginxと同じレスポンスがあるはず

名前をつける

Route53でルーティングをする 以下のように設定する

• レコードセットを作成を選択する

• 名前をnginx.example5.comとして登録

• エイリアスを「はい」
• 先程作られたCLBを選択
• [作成]をクリック

確認する

しばらく待ってみると

$ curl nginx.example5.com

でnginxの返答がある

httpsにする

httpsにする

• 参考にしたのはこちら
  kubernetes.io

上記を参考に、serviceのyamlを変更

$ cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Service
metadata:
  name: my-service
  annotations:
    service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http
    service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "https"
    service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012
spec:
  selector:
    app: my-nginx
  ports:
  - name: http
    port: 80
    targetPort: 80
  - name: https
    port: 443
    targetPort: 80
  type: LoadBalancer
EOF

このような感じになりました。

解説

  annotations:
    service.beta.kubernetes.io/aws-load-balancer-backend-protocol: http
    service.beta.kubernetes.io/aws-load-balancer-ssl-ports: "https"
    service.beta.kubernetes.io/aws-load-balancer-ssl-cert: arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012

このannotationsの部分がキモのようで
この情報にあわせてLoadBalancerを作ってくれます

service.beta.kubernetes.io/aws-load-balancer-backend-protocol

• バックエンド（今回の例でいうとnginx）がどのプロトコルで受けるか
  • 今回はこのLoadBalancerでTLSを終端して、nginxへはhttpでつなぎたいので、httpとしています

service.beta.kubernetes.io/aws-load-balancer-ssl-ports

• ELBが何で受けるか、という指定
  • httpsで受ける指定

service.beta.kubernetes.io/aws-load-balancer-ssl-cert

• ACMのarnを指定する
  • 指定した証明書を使ってTLS通信を行ってくれる

確認

$ curl nginx.example5.com

これでnginxのレスポンスがあればOK

まとめ

• serviceのanotationsで色々書くとLB設定に反映される

目的

• documentDBにLambdaから書き込みたい
• 構成はterraformにて行う

LambdaのVPC接続について

VPC接続

• LambdaはVPC接続して動かすという方法がある模様
  • LambdaがVPC（自分で作ったVPC）にアクセスして動作するイメージ

利点

• VPC内のエンドポイント等にLamdaからアクセスできる
• VPC内のリソースにLamdaがアクセスする際、Security Groupによるアクセス制御が可能（これが非常に嬉しい）

昔は遅かった

• VPC内接続のLambdaは昔は非常に遅く、一回の実行１０秒とかかかってたらしい（ENIをまいどまいど作っていた）
  • アーキテクチャが改善されて大幅改善。
  • デプロイ時にENIを作っておいて、それを使い回すパターンになった？ aws.amazon.com

DocumentDBへのLamdaからのアクセス(VPC接続)

• DocumentDBはパブリックなエンドポイントを持たない
  • VPCのリソースからのアクセスしかできない（もしくはLB等でのアクセス）
• LambdaをVPCに接続して、DocumentDBへアクセスさせる

DocumentDBへのLamdaからのアクセス（VPC接続しない場合）

• LBを使ったアクセス方法もあるらしい（ちょっと古い記事だけど）

dev.classmethod.jp

DocumentDBを作る

• docdb.tf

resource "aws_docdb_subnet_group" "service" {
  name       = "docdb-${var.base_name}-subnet"
  subnet_ids = [var.subnet_for_docdb1.id, var.subnet_for_docdb2.id]
}

resource "aws_docdb_cluster_instance" "service" {
  count              = 1
  identifier         = format("docdb-%s-instnace-%02d", var.base_name, count.index + 1)
  cluster_identifier = aws_docdb_cluster.service.id
  instance_class     = var.docdb_instance_class
}

resource "aws_docdb_cluster" "service" {
  skip_final_snapshot             = true
  db_subnet_group_name            = aws_docdb_subnet_group.service.name
  cluster_identifier              = "docdb-cluster-${var.base_name}"
  engine                          = "docdb"
  master_username                 = var.docdb_admin_user
  master_password                 = var.docdb_password
  db_cluster_parameter_group_name = aws_docdb_cluster_parameter_group.service.name
  vpc_security_group_ids          = [aws_security_group.docdb.id]
}

resource "aws_docdb_cluster_parameter_group" "service" {
  family = "docdb3.6"
  name   = "docdb-parameter-group-${var.base_name}"
}

• variable.tf

# name
variable "base_name" {}

# vpc information.
variable "vpc_main" {}

# subnet for docdb
variable "subnet_for_docdb1" {}
variable "subnet_for_docdb2" {}

# instance class
variable "docdb_instance_class" {
  default = "db.t3.medium"
}

# admin
variable "docdb_admin_user" {}
variable "docdb_password" {}

# allowd security group
variable "allowed_security_group" {}

• security-group.tf

resource "aws_security_group" "docdb" {
  name   = "docudb-${var.base_name}"
  vpc_id = var.vpc_main.id

  egress {
    from_port   = 0
    to_port     = 0
    protocol    = "-1"
    cidr_blocks = ["0.0.0.0/0"]
  }
}

resource "aws_security_group_rule" "allowd_secutiry" {
  type                     = "ingress"
  from_port                = 0
  to_port                  = 0
  protocol                 = "-1"
  source_security_group_id = var.allowed_security_group.id
  security_group_id        = aws_security_group.docdb.id
}

ポイント

• security groupを指定している

resource "aws_docdb_cluster" "service" {
  ...
  vpc_security_group_ids          = [aws_security_group.docdb.id]
}

• このaws_security_group.docdbにて特定のsecurity groupからしかアクセスを許可しない設定にしている（これがLambdaのsecurity group)

resource "aws_security_group_rule" "allowd_secutiry" {
  ...
  source_security_group_id = var.allowed_security_group.id
}

Lambdaを作る

• lambda.tf

resource "aws_lambda_function" "lambda" {
  ...
  vpc_config {
    subnet_ids = [
      var.subnet_for_lambda1.id,
      var.subnet_for_lambda2.id
    ]
    security_group_ids = [aws_security_group.for_lambda.id]
  }

  environment {
    variables = {
      DOCDB_CLUSTER_ENDPOINT = var.docdb_cluster_endpoint
      DOCDB_ADMIN_USER       = var.docdb_admin_user
      DOCDB_ADMIN_PASSWORD   = var.docdb_password
    }
  }
}

このようにvpc_configをつけてやればVPC接続で動いてくれるらしい

Lambdaのロールについて

• VPC接続で実行する場合、ENIを作ったり、アクセスしたりするので、そのあたりの権限が必要
  • このあたりが必要らしい参考

ec2:CreateNetworkInterface
ec2:DescribeNetworkInterfaces
ec2:DeleteNetworkInterface

• AWSLambdaVPCAccessExecutionRoleこれを使えばいいとか。

github.com

Lambdaソース

• 公式を参考に

プログラムによる Amazon DocumentDB への接続 - Amazon DocumentDB

実行

X-rayで見てみました

• 初回起動時（コールドスタート）

  • 結構遅い

• ２回め起動時

  • １回目よりは速い(しかし全体で400ms.遅い）

• メモリを大きくしてもそこまで速度変わらず

まとめ

• DocumentDBはパブリックなエンドポイントを持たないので、Lambdaからアクセスするには工夫が必要
  • LambdaをVPCアクセス
  • LambdaからLBでアクセス
• LambdaのVPC接続は昔は遅かったけど、今は速い
  • ENIにアクセスするコストはかかっていると思われるが、大したこと無い
• documentDBへのアクセスはほどほどに時間かかりそう（単なる通信のコストだろうか）
• VPC接続なしのdocumentDBアクセスでどれくらいの速度かやってみたい（LBでのアクセス）

Dockerにてmongodbを起動したい

$ docker run --rm -it -d mongo

• このコマンドでmongodbがバックグラウンドで起動します

バージョン指定したい場合

$ docker run --rm -it -d mongo:version

• こんな感じでバージョン指定

mongodbのコンテナ内に入る

• まずはdockerのコンテナIDを確認(docker ps)
• 以下のは例ですが、94f49d3d4626と確認できます

$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS               NAMES
94f49d3d4626        mongo               "docker-entrypoint.s…"   2 seconds ago       Up 1 second         27017/tcp           kind_pascal

• このコンテナに入ります（bash）

$ docker exec -it 94f49d3d4626 bash
root@94f49d3d4626:/#

• こんな感じでrootユーザで入れるはず

mongodbの操作をする

• 上記のような要領でまずはコンテナに入る

# mongo

• これでmongoシェルが起動