QG Tech Blog

AWS/GCP/Azure における他社アカウント権限委任のベストプラクティス

AWS/GCP/Azure における他社アカウント権限委任のベストプラクティス

弊社は MSP (Managed Service Provider) であるため、お客様のシステムの運用全般をまるっと委任していただく案件が頻繁に発生します。 このようなケースではスタッフを 1人ずつ委任元のアカウントに招待してもらう方法が一般的ですが、弊社のように多数のお客様と関わる組織ではメンバー管理の手間が問題になってきます。 この問題に対処するため、3大クラウド・プロバイダの AWS、GCP、Azure はいずれも包括的な組織間委任の仕組みを提供しています。 今回の記事では、その仕組みを活用した委任管理の堅牢化・効率化のベストプラクティスをご紹介します。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
AWS/GCP/Azure における他社アカウント権限委任のベストプラクティス

AWS/GCP/Azure における他社アカウント権限委任のベストプラクティス

弊社は MSP (Managed Service Provider) であるため、お客様のシステムの運用全般をまるっと委任していただく案件が頻繁に発生します。 このようなケースではスタッフを 1人ずつ委任元のアカウントに招待してもらう方法が一般的ですが、弊社のように多数のお客様と関わる組織ではメンバー管理の手間が問題になってきます。 この問題に対処するため、3大クラウド・プロバイダの AWS、GCP、Azure はいずれも包括的な組織間委任の仕組みを提供しています。 今回の記事では、その仕組みを活用した委任管理の堅牢化・効率化のベストプラクティスをご紹介します。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
Pagerduty の障害に Opsgenie で備える

Pagerduty の障害に Opsgenie で備える

弊社ではオンコールとインシデントの管理に PagerDuty を利用しています。 弊社の監視システムにおいて、アラーティングについてはメールや Slackなどの多チャネルに同報しているものの、エスカレーション体制は PagerDuty に強く依存しています。 PagerDuty のダウンタイムや遅延は弊社の業務品質を直接的に低下させるため、そのリスクに備えて我々は PagerDuty をバックアップする仕組みを構築してきました。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
Webサイトに対する監視設計の実例

Webサイトに対する監視設計の実例

前回の記事では、URL監視の始め方についてご紹介しました。 今回はもっと一般的なトピックとして、監視全般の設計の進め方について、実在のシステムを例に解説したいと思います。 クイックガードが運営している「ひとりインフラ」という Webサイトに対して、具体的にどのような判断で監視設計を行なったのか見ていきます。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
DKIM の署名を手動で付与してみる

DKIM の署名を手動で付与してみる

弊社ではお客様のメール環境の管理をお任せいただく案件も多く、送信ドメイン認証として必ず DKIM (DomainKeys Identified Mail) を設定するようにしています。 Amazon SES や SendGrid などのモダンなメール送信サービスでは、その仕組みを知らなくてもガイダンスにしたがってセットアップするだけで簡単に DKIM を有効化できます。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
Telegraf と Kapacitor で値を集約してから InfluxDB に送る

Telegraf と Kapacitor で値を集約してから InfluxDB に送る

弊社では一部の監視システムに InfluxData の TICKスタック を使っています。 監視対象によってはメトリクス数が非常に多く、増大しがちな InfluxDB (= データ・ストア) の負担を抑えたいという課題がありました。 (真っ先に限界を迎えるのはいつだってバックエンドなので。) データ・ストアのオフロードのため、メトリクス・コレクタである Telegraf の側で値を取捨、加工し、少数の統計値に集約してから InfluxDB に送出する仕組みを検討したのでご紹介します。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
GKE のオートスケール 5種類を概観する

GKE のオートスケール 5種類を概観する

ここ 1〜2年の傾向として、弊社でも Kubernetes を扱う案件が増えてきております。 設計から構築、運用まで一貫してお任せいただくことも多いのですが、安定運用するうえでオートスケールの活用は欠かせません。 (というか、これを活用しないと Kubernetes の価値は半減です。) ところが、Kubernetes にはオートスケールの仕組みが何種類もあり、さらにプラットフォーム独自のスケーリング方式も含めると、初見者にはなかなか全貌が把握しづらいところでございます。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
PagerDuty で「普通のオンコール・シフト」を組む

PagerDuty で「普通のオンコール・シフト」を組む

システムの正常稼働に責任を持つエンジニアにとって、好むと好まざるとにかかわらずオンコール (緊急時の保守サポート体制) は馴染み深いものです。 特に我々 MSP (Managed Service Provider) は、お客様の代わりとなってオンコールを引き受ける保守サービスが主要な業務のひとつであり、複数のお客様に対して安定かつ持続的に 24時間365日のオンコール体制を維持するために日々研鑽を重ねております。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
phpenv を本番環境で運用する

phpenv を本番環境で運用する

クラウドやコンテナの採用が当たり前となった現代では、Pets vs. Cattle (※) に例えられるように、インスタンスは使い捨ての Immutable かつ Volatile なものとして扱うことが多いと思います。 一方、そんな時代であっても、弊社では諸々の事情により 1台のベアメタル・サーバをペットのごとく大事に使い続ける案件は多く、そういった使い捨てできない環境下でも PHP のバージョン管理をやりやすくするために phpenv を活用しています。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
Debian系の cron で気をつけること

Debian系の cron で気をつけること

先日、とある Ubuntuサーバの /etc/cron.d/配下に debパッケージのゴミ (= *.dpkg-old とか) がいくつも放置されていることに気がつきました。 このようなゴミは cron がよしなに無視してくれることを経験的には知っていたのですが、正確な仕様が気になってあらためて man をじっくり読んでみたところ、いろいろ興味深い発見 (というか罠) があったのでご紹介したいと思います。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
PagerDuty の通知ルールを自社の営業日カレンダーに基づいて制御する

PagerDuty の通知ルールを自社の営業日カレンダーに基づいて制御する

弊社ではオンコール/インシデント管理に PagerDuty を活用しています。 検知された障害は弊社が一次受けして調査、復旧を実施するご契約が多いのですが、中には、弊社スタッフだけでなくお客様にも直接 PagerDuty から障害通知を飛ばしてほしいというご依頼をいただくこともあります。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子
QG Tech Blog を支える技術と書き続ける仕組み作り

QG Tech Blog を支える技術と書き続ける仕組み作り

この QG Tech Blog は、はてなブログ などのブログ・サービスを使わずに自前で仕組みを構築、運用しています。 はてなブログの他にも Medium や note、WordPress.com など優れたサービスが数多ある中、なぜそれらを利用せずわざわざ自分たちで実装したのか、その背景や設計思想、アーキテクチャについてご紹介したいと思います。
権田原 ”パー子” 夢子
権田原 ”パー子” 夢子