皆さんおはこんばんにちは、ゆいです

今回はTypeScriptでライブラリを作ったのでその話をしようと思います。

www.npmjs.com

これなあに？

rice-ballは特定のコメントパターンに基づいてコードを削除するTypeScript製のライブラリになります。

rice-ballと言う名前の由来は私の推している声優さんの高田憂希さんが演じるTokyo 7th シスターズの天堂寺ムスビと言うキャラクターのムスビと言う名前からおむすび->rice ballと言う感じで着けました。

777☆SISTERSしか勝たん

以下のようにコメント記述してnpmでインスコしたrice-ballを実行することで指定したコードブロックを削除したりファイル毎削除することができます コメントのパターンはREADMEを参照ください。

befor:

export default function example(): void {
  const scream = '高田憂希しか好きじゃない'
  /* rice-ball start example-flag */
  console.log(scream)
  /* rice-ball end example-flag */
}

after:

export default function example(): void {
  const scream = '高田憂希しか好きじゃない'
}

なんで作ったの？

※なぜコードを削除するライブラリが欲しかったのかはphp-delの過去記事で詳しく書かれているのでこちらを参照ください。

久保田さんの開発されたphp-delはvueやjs, tsなどのファイルに対応しておらず、 フロントエンドのコード削除が手作業でやる必要があったので、基本コンセプトは同じ内容でテキストファイルであれば基本的に全部サポートするライブラリを作ってしまえば良いじゃんと思い開発したと言うところです。

OSSを開発してみての感想

初めてOSSとしてnpmで配信するライブラリを開発してみてこんな事を感じました

とりあえず作ってみるでも良い

これは久保田さんもphp-delの記事でも書かれていますが、万人ウケするものではなく、自分たちのニーズに応える物でも良いという風に感じました。 規模が小さくペルソナが身内だとしても、ニーズに応えられるツールを開発すると言うのはとても刺激的で、開発意欲も湧いて楽しく開発することができました。

ちょっとした便利ツールなど小物でも実際に作ってみると言う部分は中々難しいところだと思いますが、作り始めてしまえば小さな物でもニーズに応えることはできるのだと言うのを改めて実感しました。

最後に

少しでもいいなと思ってもらえたらstarつけてください！

そして最後に、高田憂希しか好きじゃない！

以上になります。

現在採用中です！

組織拡大！急成長中スタートアップでエンジニアリングマネージャーを募集！！ - 株式会社M&AクラウドのWebエンジニアの採用 - Wantedly

こんにちは、久保田（@kubotak_public）です

今回の記事はAmazon CognitoとCloudFrontを利用して特定のユーザのみが閲覧できる仕組みを作る（表題どおり）となります。
弊社での利用シーンとしてSchemaSpyで生成したER図（というよりドキュメント）を特定のユーザ、つまり弊社の人間のみが閲覧できる仕組みを作りたいなという動機で作成しました。
例えばフロントエンドのStorybookなども社内展開する際にはS3に置いたものをどうにかアクセス制限して提供したい・・・みたいなニーズってあると思うのですが、まさにそういう場合にうってつけではないかと思います。

Amazon Cognito

そもそもCognitoとは？という方向けに説明しますと、Auth0やFirebase Authenticationに代表されるIDaaSと呼ばれるたぐいのサービスです。
認証の仕組みやユーザーの管理などを内包するサービスです。

全体像

まずは全体像を共有します。
CloudFrontを経由してS3の静的データを配信する素朴な構成の中に、CloudFrontにLambda@Edgeを紐付けて前段に認証の仕組みを挟んでおります。
また、CognitoにはGoogle認証を紐付けてGoogleアカウントによるログインができるようにしています。

① CloudFront

もう少し詳細に説明していきたいと思います。
まずはCloudFrontがS3を参照して静的データを返すという素朴な構成です。
しかし、CloudFrontのビヘイビアで関数の関連付けを行い、ビューワーリクエストでLambda関数が起動するように設定します。
このようにCloudFrontでLambda関数を紐付けるものがLambda@Edgedです。

② Lambda@Edge

CloudFrontで紐付けているLambda関数はLambda@Edgeとして利用するので以下の成約があることに注意が必要です。

• Lambda@EdgeはバージニアリージョンのLambda関数しか設定できない
• Lambda@Edgeは環境変数が使えない
• Lambda@Edgeは5s以内にレスポンスを返さなければならない

さて、このLambda@EdgeではCognitoに連携して以下の処理を行います。

1. 認証済みかどうかチェック
2. 未認証の場合はGoogleログインを促す
3. 認証済みの場合はリクエストを許可する

これを実装しましょう・・・といっても全然お手軽感ないですよね。安心してください。便利なライブラリがあります。

github.com

awslabsが提供してるLambda@Edge用のCognito認証ライブラリを使うと簡単に上記仕組みが実装できます。

※ライブラリのREADMEの通り

const { Authenticator } = require('cognito-at-edge');

const authenticator = new Authenticator({
  // Replace these parameter values with those of your own environment
  region: 'us-east-1', // user pool region
  userPoolId: 'us-east-1_tyo1a1FHH', // user pool ID
  userPoolAppId: '63gcbm2jmskokurt5ku9fhejc6', // user pool app client ID
  userPoolDomain: 'domain.auth.us-east-1.amazoncognito.com', // user pool domain
});

exports.handler = async (request) => authenticator.handle(request);

先述の通り、Lambda@Edgeでは環境変数が使えないのでここではベタ書きする必要があります。

③ Cognito

続いてはCognitoでGoogle認証を追加します。 また、Google認証時に特定のドメインのみをサインアップ対象とするために一工夫します。

CognitoでGoogle認証を追加する方法はクラスメソッドさんの記事を参照ください。

dev.classmethod.jp

サインアップ時に特定の処理を挟む場合はLambda関数を指定することができます。
後述でLambda関数については紹介するのでここでは登録の方法のみ紹介です。 CognitoではこのようにイベントにフックするようにLambda関数を登録することができます。

④ GCP

Google認証を行うのでGCPの設定も必要ですが、これに関しては先述のクラスメソッドさんの記事に紹介がありますので割愛します。

⑤ Lambda

Cognitoのサインアップ時に登録するLambda関数を作成します。
こちらはLambda@Edgeではないので東京リージョンで作成しても問題ありません。

この関数はPythonで作成しています。

def lambda_handler(event, context):
    print(event)
    email = event["request"]["userAttributes"]["email"]
    print(email)
    domain = email.split('@')[1]
    if "example.com" == domain:
        print("OK!")
        return event
    raise Exception("bye-bye!")

とてもシンプルな実装です。
Google認証後に受け取ったメールアドレスのドメイン部分を抜き出して特定のドメインであるかどうかをチェックします。
一致した場合はそのまま受け取ったイベントを返し、そうでない場合は例外となります。
この例ではexamile.comのドメインのメールユーザーのみサインアップが許可されることになります。

さいごに

いかがでしょうか？
実装自体はほぼやってないと言っても過言ではないレベルでAWSのサービスを組み合わせただけで認証機能を実現できました。
最初はER図用に作った仕組みではありましたが、開発環境のアクセス制御に関しても現在ではこの仕組で運用しています。
BASIC認証等ではなく、Cognitoによるユーザー認証になるので退職者が出た場合にも安全に運用を続けることができますね。

今回の記事はここまで！

こんにちは。エンジニアの鈴木（@yamotuki）です。
本日はインフラタスクの優先度の定量化の試みについて書いていきたいと思います。
ここでいうインフラタスクとは以下のようなタスクが含まれます。

• 可用性と信頼性に関わる障害対応, バグ対応
• ベロシティとストレスに関わる業務効率化（DX: Developer eXperience）
• セキュリティやライブラリバージョンアップなど

これらのタスクについて「何を一番優先して取り組んでいくべきか」という優先度について長く頭を悩ませていましたが、私の中で一定の答えが出たので共有いたします。

20%税金ルールについて

私はインフラタスクは概ね20%は必ず時間を割かないといけない税金のようなものだと考えています。 税金を払わなければ将来にツケを回すことになり、利息が付いて後で降ってきます。 20%のアイディアはThe DevOps ハンドブックで紹介されているものでした。 書籍では以下のように書かれています。

組織が”20%税”を支払わなければ、全てのサイクルを技術的負債の返済に充てなければならなくなるようなところまで、技術的な負債が膨らむ。 サービスがどんどん不安定になっていくため、ある時点で突然機能を追加できなくなる。全てのエンジニアがシステムの信頼性の改善や問題点の回避のために追われるようになってしまう。

今の状況が特に悪い場合には、20%を30%以上にしなければならないかもしれません。 しかし、20%よりはるかに小さい割合でなんとかなると思っているチームを見ると心配になってきますよ。

この話を根拠に、jira の「インフラ」エピック（ラベルようなもの）が付いているタスクが、全てのタスクの消化量の何%程度になっているかざっくり計算し、低くなりすぎる場合にはPdMとエンジニアが交渉するようになっています。

ただ、やりたいことというのは無限に増えていくものです。20%を闇雲にやっていけばいいわけではなく、重要なものから優先順位をつけてやっていく必要があると考えています。

優先度定量化について

定量化の導入検討

以下に定量化の試みの初期検討資料の冒頭を引用します。

これまで、インフラタスクの優先度つけは、特定の人が属人的に優先度を決めていた。
その優先度付けのプロセスはブラックボックスであり、非効率であった。

特定の指標に基づいて優先度を定量化することでバックログの並び順を変えることができれば、属人化を排除して、開発チームの誰もが納得できる優先度になるのではないか。

この記事の最初に書いたように、「インフラ」に含まれるタスクは広範囲に渡ります。 種々のタスクを並列に優先度比較できることを目指しました。

タスクの分類とスコア

インフラタスクを発生している現象ベースでまず以下のように分類してみました。

• 障害が発生しているか
• 業務に支障が発生しているか
• 攻撃が容易な状態にあるか
• ライブラリが古いか

その分類の中で、例えば「障害」であれば以下のように傾斜をつけることにしました。

• （障害）障害が既に起こっている
• （障害）障害がいつでも起こりうる
• （障害）障害が起こりうる可能性は高くない
• （障害）障害が起こりうる可能性は低い
• （障害）障害が起こってから対応しても問題ない

業務効率化については以下のような形です。

• （効率化）無いと特定のタスクを進められない
• （効率化）著しく業務に支障がある
• （効率化）蓄積すると業務に支障がある

タスクのインパクト

発生している現象に対して、その現象がどの程度インパクトがあるかを考えれば優先度を決定できるのではないか、と考えました。 インパクトについては、まずは”影響範囲が広いか”が重要だと思います。しかし、業務改善に関わるタスクについては開発者のみに関わるためユーザに関わるものと同列に比較することは難しいです。そこで、「開発者への心理的影響が大きいか」という視点も入れることにしました。ストレスが下がるような改善をすれば業務効率が上がり、間接的に良い影響が広範囲に出るであろうという仮説です。

例えば「障害」であれば以下のようにインパクトの傾斜を設定しました。

• （障害）ユーザ行動を大きく阻害する
• （障害）ユーザ行動を稀に阻害する
• （障害）ユーザ行動を阻害しない

業務効率化については以下のような形です。

• （効率化）解決されると高ストレスが解消される
• （効率化）ややストレスが解消される
• （効率化）そこまでストレスはかかっていない

スコアリング方針

上記の”発生している現象”と”インパクト”をそれぞれスコアをつけて、掛け算したら最終スコアが出るのでは、とシンプルに考えました。初期アイディアとしてはセキュリティ領域でよく使われているCVSSスコアを参考にしましたが、正直なところ跡形もありません。

具体的にはスコアリングは以下の掛け算で行われます。

• 障害対応、バグ対応（可用性、信頼性）
  • 障害発生状況 * 影響度
  • 例えば、メール障害であれば（障害）障害が既に起こっている * （障害）ユーザ行動を稀に阻害する
• 業務効率化（業務ベロシティ、ストレス）
  • 業務支障度 * ストレス
  • 例えば、AIテストツールの導入に関しては （効率化）著しく業務に支障がある * （効率化）解決されると高ストレスが解消される
    • ※最終的には現時点ではコストに合わないとなり、導入は見送りました
• セキュリティ
  • 攻撃容易性 * 影響度
• 保守（バージョンアップ系）
  • ライブラリの古さ * 影響度

スコアリング計算実務

計算は単純な掛け算なのでスプレッドシートで行うこととしました。変更も容易です。 実際に使用しているものから公開できる部分だけを切り出し、公開用スプレッドシートを作成しました。ご興味がある方はご自身の環境にコピーし、実際にタスクについてスコアリングしてみてください。

docs.google.com

スプレットシートの内部の構造について軽く説明します。

• 青い背景領域: 選択肢の定義とそのスコア定義
• 黄い背景領域: 対象となるタスクリストと、選択肢を二つ選択してスコア計算する領域
  • 順番のイメージを持ってもらうために、外部に公開しても差し支えないだろうと思われるタスクのみ残してあります（出してヤバそうなのがあったらこっそり教えてね！）。
  • 選択肢は、同じタスク分類二つの軸を選択する。発生している現象軸が （障害）障害が既に起こっているなら、インパクト軸にも同じ接頭の（障害）を持つ（障害）ユーザ行動を稀に阻害するを選択する
• 緑の背景領域: スコアリングの結果、タスクをソートした領域

※各タスクのスコアは良い間隔で分布しているわけではなく、素点数値の微調整によりほんの 0.01 点だけ差があるということも多く発生しています。この数値の絶対値に大きな意味はなく、並び順を決めるためだけに使用されています。「人間が都度判断するとしたらこういう並び順になるだろう」という並び順になるために、素点は微調整をしています。会社によって素点はかなり変わってくると思います。

運用について

以下のようなSlackワークフローを用います。エンジニアは選択肢を選んで理由を書いて投稿します。そうするとその内容がチャンネルに自動投稿され、NoCodeツールであるZapierがキャッチしてJira issueを自動生成します。

作られた Jira Issue を、作成したエンジニアが上記スプレッドシートを使用してスコアリングします。最後に（残念ながら）手動でJiraのバックログを並び替えてもらいます。

終わりに

元々は特定のエンジニアが頭を悩ませて優先度を決めていたインフラタスクでしたが、同種のタスクは毎回同程度の優先度になることにより判断コストが劇的に下がりました。 また、各エンジニアは優先度を最初から考えるわけではなく、分類だけ考えればいいので判断は難しくありません。
バックログの並び替えまで各エンジニアにやってもらうことができるようになったので、エンジニア人数が増えてインフラタスクが増えても運用を続けることができてスケーラブルな仕組みとなりました。

採用してます！

スケーラブルなチームの仕組みを一緒に考えてくれるエンジニアリングマネージャー募集しています！

組織拡大！急成長中スタートアップでエンジニアリングマネージャーを募集！！ - 株式会社M&AクラウドのWebエンジニアの採用 - Wantedly

他にもデータエンジニアと機械学習エンジニアが積極採用中職種です。

皆さんこんにちは。kubotak（@kubotak_public）です。

この記事ではLaravelをECS Fargateで動かす際のQueueとScheduleに関して、弊社で行った知見を紹介したいと思います。

Laravel on ECSに関しては以下の記事も是非どうぞ

• M&Aクラウドを丸ごとAmazon Elastic Container Service(ECS)に移行しました！〜コンテナイメージ作り編〜 - M&Aクラウド開発者ブログ
• AWS CDK v2 の変更点5選 - M&Aクラウド開発者ブログ

※なお、本稿においてはLaravel8系を利用しています。（おそらくLaravel9系でも問題ありません）

ECS FargateでQueueを動かす

弊社ではもともとAWS ElasticBeanstalkのWorker環境（以下EB Worker）でQueueおよびScheduleを実行していました。
この環境を簡単に説明すると、EB WorkerはSQSと接続されていて、SQSにメッセージが送られるとEB Worker環境のlocalhostの指定したエンドポイントにPOSTでリクエストしてくれる仕組みを持っています。
この仕組を利用して、HTTPリクエストとしてQueueを処理できるライブラリによって実行していました。

詳しくは導入当初の記事を参照ください。

tech.macloud.jp

ECS Fargateでは類似の環境を用意することができないのでLaravelのArtisanによるQueueのデーモンコマンドを利用することにしました。

Queues - Laravel - The PHP Framework For Web Artisans

DockerコンテナのエントリーポイントでこのArtisanコマンドを実行するだけで良さそうですね。
しかし、意外な落とし穴がありました。

EB Workerで動かしていた際は、HTTPリクエストによる処理のためQueueが失敗した場合はステータスコード500のエラーとしてレスポンスを返し、それを受け取ったEB WorkerはQueueメッセージを消費せず可視性タイムアウトになり再度Queueに詰み直されるという挙動で動いています。
そしてSQS側のメッセージの保持数の上限、つまりリトライ回数を超えるとDead Letter Queue（以下DLQ）に送られる仕組みになっています。

しかし、ArtisanコマンドではQueueが失敗した場合、Laravel独自のリトライ処理を経て、それでも実行できない場合はfailed_jobとして扱われるような仕組みになっています。
ここで重要なのは、Queueが失敗してfailed扱いになった場合に、SQSに対して該当のメッセージを削除するロジックが入っていることです。
つまりSQSから見た場合、メッセージは正常に処理されているものとして扱われます。

今までの運用方法を変えたくなかったため、引き続きDLQを利用した仕組みに乗せたいと思いました。
DLQにも再送の仕組みがあるので失敗したJobの再実行は可能ですし、死活監視などもDLQを対象にCloudWatch Alarmを仕込んでいるので引き続き同じ仕組みにしたい意図がありました。

そこで今回はQueueServiceProviderを独自に上書きして登録するように変更しました。

app/Providers/Sqs/QueueServiceProvider.php

<?php
declare(strict_types=1);

namespace App\Providers\Sqs;

use Illuminate\Queue\Failed\NullFailedJobProvider;
use Illuminate\Queue\QueueServiceProvider as PackageQueueServiceProvider;

class QueueServiceProvider extends PackageQueueServiceProvider
{
    protected function registerSqsConnector($manager): void
    {
        $manager->addConnector('sqs', function () {
            return new SqsConnector;
        });
    }


    protected function registerFailedJobServices(): void
    {
        // FYI SQSを利用する際はfailed_jobを利用しないでDead Letter Queueを使う
        $this->app->singleton('queue.failer', function () {
            return new NullFailedJobProvider;
        });
    }
}

IlluminateのQueueServiceProviderクラスを継承して上書きしたいメソッドのみ変更しています。
まず、SQSコネクタを独自のクラスに変更しています。
そしてfailed_jobが不要になるのでNullFailedJobProviderを利用すようにしています。

app/Providers/Sqs/SqsConnector.php

<?php
// 略
class SqsConnector extends PackageSqsConnector
{
    public function connect(array $config)
    {
        $config = $this->getDefaultConfiguration($config);

        if (! empty($config['key']) && ! empty($config['secret'])) {
            $config['credentials'] = Arr::only($config, ['key', 'secret', 'token']);
        }

        return new SqsQueueWithDLQ(
            new SqsClient($config),
            $config['queue'],
            $config['prefix'] ?? '',
            $config['suffix'] ?? '',
            $config['after_commit'] ?? null
        );
    }
}

SQSコネクタもProvider同様にIlluminateのライブラリを継承して必要なメソッドのみ上書きします。
ここではSqsQueueWithDLQクラスを使うように変更しています。

app/Providers/Sqs/SqsQueueWithDLQ.php

<?php
// 略
class SqsQueueWithDLQ extends SqsQueue
{
    public function pop($queue = null)
    {
        $response = $this->sqs->receiveMessage([
            'QueueUrl' => $queue = $this->getQueue($queue),
            'AttributeNames' => ['ApproximateReceiveCount'],
        ]);

        if (! is_null($response['Messages']) && count($response['Messages']) > 0) {
            return new SqsJobWithDLQ(
                $this->container, $this->sqs, $response['Messages'][0],
                $this->connectionName, $queue
            );
        }
    }
}

app/Providers/Sqs/SqsJobWithDLQ.php

<?php
// 略
class SqsJobWithDLQ extends SqsJob
{
    public function fail($e = null): void
    {
        $this->markAsFailed();

        if ($this->isDeleted()) {
            return;
        }

        try {
            // FYI 失敗した場合SQSからメッセージを削除しないで可視性タイムアウトを待つ挙動にする
            // $this->delete();

            $this->failed($e);
        } finally {
            $this->resolve(Dispatcher::class)->dispatch(new JobFailed(
                $this->connectionName, $this, $e ?: new ManuallyFailedException
            ));
        }
    }
}

やりたかったことはSqsJobクラスのfailメソッドで$this->deleteを呼んでいる箇所を消したかっただけです。
これでQueue（Job）が失敗した場合にSQSメッセージを削除しない挙動になります。

最後にProviderの登録を独自のものに差し替えます。

config/app.php

<?php
// 略
// Illuminate\Queue\QueueServiceProvider::class, FYI 独自のProviderを使うためコメントアウト
App\Providers\Sqs\QueueServiceProvider::class,

ECS FargateでScheduleを動かす

LaravelのScheduleといえば任意の時間に特定のコマンドを実行してくれる便利な機能です。

Task Scheduling - Laravel - The PHP Framework For Web Artisans

この機能はphp artisan schedule:runコマンドをcronによって毎分実行し、登録された時間のコマンドを実行してくれるという使い方が一般的です。
しかしECS Fargateでコンテナ化する際に「cronも同梱させるのか？」「リリース時にいい感じに切り替わるのか？」とう懸念を覚えました。

実はこのScheduleの機能、php artisan schedule:workというデーモンコマンドも用意されています。
ドキュメントを見る限りでは開発時に使えるコマンドとして紹介していて、本番運用向けではなさそうです。
実際にコードを見てみるとQueueとは異なりSIGTERM（Linuxの終了シグナル）を検知して安全に終了する仕組みが入っていませんでした。
そのため、安全に切り替わるように独自のScheduleコマンドを作成しました。

<?php
declare(strict_types=1);

namespace App\Console\Commands;

use Carbon\CarbonImmutable;
use Illuminate\Console\Command;
use Symfony\Component\Process\Process;

/**
 * @see https://www.egeniq.com/blog/how-gracefully-stop-laravel-cli-command
 */
class GracefulScheduleWorkCommand extends Command
{
    protected $name = 'schedule:work-graceful';

    protected static $defaultName = 'schedule:work-graceful';

    protected $description = 'Start the schedule worker for graceful';

    private bool $run = true;

    /**
     * Execute the console command.
     *
     * @see https://github.com/laravel/framework/blob/9.x/src/Illuminate/Console/Scheduling/ScheduleWorkCommand.php
     * @return void
     */
    public function handle()
    {
        $this->info('Schedule worker started successfully.');

        [$lastExecutionStartedAt, $keyOfLastExecutionWithOutput, $executions] = [null, null, []];

        if ($this->supportsAsyncSignals()) {
            $this->listenForSignals();
        }

        // NOTE PHPプロセスが実行中もしくはタスクが実行中かどうか
        while (
            $this->run ||
            ! $this->canBeStopped($executions)
        ) {
            usleep(100 * 1000);

            $now = CarbonImmutable::now();
            if (
                $this->run &&
                $now->second === 0 &&
                ! $now->startOfMinute()->equalTo($lastExecutionStartedAt)
            ) {
                $executions[] = $execution = new Process([PHP_BINARY, 'artisan', 'schedule:run']);

                $execution->start();

                $lastExecutionStartedAt = CarbonImmutable::now()->startOfMinute();
            }

           // 略
        }
    }

    private function canBeStopped(array $executions): bool
    {
        /** @var Process $execution */
        foreach ($executions as $execution) {
            // NOTE 実行中のタスクがあれば止められない
            if ($execution->isRunning()) {
                $this->info($execution->getCommandLine() . ': running!');
                return false;
            }
        }
        $this->info('Executions is nothing.');
        return true;
    }

    private function listenForSignals(): void
    {
        pcntl_async_signals(true);

        pcntl_signal(SIGINT, [$this, 'shutdown']); // Call $this->shutdown() on SIGINT
        pcntl_signal(SIGTERM, [$this, 'shutdown']); // Call $this->shutdown() on SIGTERM

        $this->info('Ready to work gracefully.');
    }

    /**
     * @see https://github.com/laravel/framework/blob/9.x/src/Illuminate/Queue/Worker.php#L696-L699
     */
    private function supportsAsyncSignals(): bool
    {
        return extension_loaded('pcntl');
    }

    public function shutdown(): void
    {
        $this->info('Gracefully stopping worker...');

        // When set to false, worker will finish current item and stop.
        $this->run = false;
    }
}

処理自体はIlluminateのScheduleWorkCommandクラスとほぼ同じ実装になり、whileの条件でSIGTERM等を受け付けた場合にfalseになり緩やかに終了するようになっています。
とはいえ、runInBackgroundなどで実行されるコマンドであれば別プロセスで動くはずなのであまり意味はないかもしれませんが、cronで動かす場合でも同じことは言えるのではないかと思います。

移行してみて

今回は初めてECSでLaravelのWorker処理を動かすにあたって色々模索してみました。
似たような事例があまり見られなかったので他の方はどうやって運用しているのか気になります！

また、Queueワーカーに関して言うとSQSのメッセージ数に応じてスケールするようにオートスケール設定を入れたのでコンテナ化の恩恵を非常に感じていますが、Scheduleワーカーは常に高いスペックのコンテナ1台で動かしているのでこれだけEC2インスタンスのほうが良さそうだな・・・と思っている次第です。
LaravelをECSで運用している方、知見交換ぜひお願いします！

では今回の記事はここまで。

おはようこんにちはこんばんは！エンジニアの大石です。

弊社のサービスを丸ごとAmazon Elastic Container Service(ECS)に移行したので、何回かに分けてその取り組みを紹介したいと思います！

今回は第一回、コンテナイメージ作りについてお話したいと思います。

はじめに

ECSへの移行に至ったきっかけ

弊社のサービスは元々AWS Elastic Beanstalkというサービスの上にLaravelのアプリケーションを載せて動かしていました。Elastic Beanstalkとは簡単に言うとEC2インスタンス上に一通り揃ったアプリケーションの実行環境を作れてデプロイが簡単に出来るサービスのことですね。

一見簡単に運用できるように見えるElastic Beanstalkですが、初回の導入は簡単な反面、どうしてもEC2なのであとあとPHPのバージョンアップなどのミドルウェアの更新があると環境を作り直すのが大変だったりします。

そこで、環境をコードで構築してイメージにアプリケーションと実行環境をひとくくりにしてデプロイ出来るコンテナベースの環境(ECS、Lambda、EKSなどなど)は環境の変化に柔軟に対応出来るため、レガシーからの脱却と将来的な投資を込めて今回ECSに移行するに至りました。

コンテナって？コンテナイメージって？

簡単に説明しますと、コンテナイメージはコンテナを立ち上げるためにテンプレートのようなもので、コンテナはイメージから起動した実体... といった形です。

aws.amazon.com

AWSの公式の記事にとても分かりやすい解説があるので、今回は細かい話は置いておいてイメージ作りにフォーカスしてお話したいと思います。

コンテナイメージに入れるものを整理する

Laravelを動かすぞ！！といっても大元にphp-fpmが必要だったり、アプリケーションから依存するpeclモジュールが必要だったり... などなどアプリケーションの構成によって必要なものが変わってきます。

そこで、まずアプリケーションを動かすのに何が必要かを洗い出していきましょう。

弊社のアプリケーションを例に挙げると、以下のものが必要であることが分かりました。

• アプリケーションのLaravelのコードそのもの
• php-fpm
• nginx
• composer
• aptで導入できる各種ライブラリ(libpng, libjpegなど)
• PHPの各種extension(pdo_mysql, opcacheなど)
• AWS CloudWatch Agent(アプリケーションのログの転送に使用)

必要なものが分かってきたので、実際に必要なコンテナを配置していきます。

そして、弊社のアプリケーションの場合、最終的なコンテナやECSのサービスの構成としてはこのような形になりました。

コンテナイメージに関してはアプリケーションが入ったイメージとリバースプロキシ(nginx)が入ったイメージの2つが必要なことが分かってきましたね！

ちなみに、運用のコストを削減するためにLaravelのアプリケーションが入ったイメージは1つの共通のイメージを使用して、コンテナ起動時に起動コマンドを書き換える形で動かしています。

余談ですが、ECSでコンテナの実行コマンドを上書きする方法、Laravelのschedule workerやqueue workerをコンテナ上でいい感じに(しっかり安全にシャットダウンするなどなど)動かす方法については別途記事にする予定なのでお楽しみに！

コンテナイメージを作る

ECSといっても通常のDocker同様で、Dockerfileを書いてDockerイメージを組み立ててそれを何らかのコンテナレポジトリ(今回の場合はECR)にpushして使う形になります。

nginxのイメージを作る

Docker Hubを見に行くとnginxのイメージ(https://hub.docker.com/_/nginx)は既に用意されているので、それを元に必要な設定ファイルをひとまとめにしたイメージを作りました。

FROM nginx:1.21.6

COPY ./docker-prod/nginx/nginx.conf /etc/nginx/
COPY ./docker-prod/nginx/default.conf /etc/nginx/conf.d/

とてもかんたんですね！

あらかじめ用意しておいた設定ファイルをコピーして起動すればすぐにnginxが使える状態にしておきました。

アプリケーションのイメージを作る

こちらも同様にPHPの実行環境が入ったイメージ(https://hub.docker.com/_/php)が公式から提供されているので、ウェブサーバを動かす前提になっているphp-fpmのイメージを使って組み上げていきます。

といってもこちらはアプリケーションコンテナのビルドになり、ブログに載せるにはあまりにも長くなってしまうので、要所のみ記載します。

ちなみに、おおまかなイメージの作り方はこちらの記事が分かりやすくておすすめです。

www.digitalocean.com

Composerをインストールする

COPY --from=composer:2.2.7 /usr/bin/composer /usr/bin/composer

実はこれもCOPYコマンドで超簡単に1行で出来ちゃったりします。公開されているイメージから特定のファイルだけを持ってくることが出来るので、curlでダウンロードしてきて...のようなことは実は要らなかったりします。

qiita.com

AWS CloudWatch Agentをコンテナに入れる

弊社のアプリケーションではファイル上に書き出したログを収集してCloudWatchに転送するといったことをElasticBeanstalkで運用していた時代は行ってましたが、これを継続して行いたいのでAgentを入れてあげて転送できるようにしました。

(CloudWatch Logsにアプリケーションから直接AWSのAPIを通してログを転送する方法もありますが、ログを書き込む度に毎回通信が生じてしまいAPIのレートリミットに引っかかるといった問題が起こりがちなので、一旦ファイルに書き込んでおいて裏側でAgentから転送する方法が個人的にはおすすめです)

入れるといっても今回もCOPY技で簡単に入れてあげます。

COPY --from=amazon/cloudwatch-agent:1.247350.0b251780 /opt/aws/amazon-cloudwatch-agent /opt/aws/amazon-cloudwatch-agent
COPY docker-prod/app/amazon-cloudwatch-agent.json /opt/aws/amazon-cloudwatch-agent/etc/amazon-cloudwatch-agent.json
COPY docker-prod/app/cloudwatch-agent-common-config.toml /opt/aws/amazon-cloudwatch-agent/etc/common-config.toml

設定ファイルの記載方法については公式ドキュメントを参照して書けば完了です！

docs.aws.amazon.com

ちなみに、CloudWatch AgentはENTRYPOINTに指定されているスクリプトを書き換えて裏側でnohupで立ち上げてあげることで、Agentのことを意識せずに動かせるようにしてあります。

#!/bin/sh
set -e

# Agentを裏側で実行する
nohup /opt/aws/amazon-cloudwatch-agent/bin/start-amazon-cloudwatch-agent > /dev/null 2> /dev/null &

# first arg is `-f` or `--some-option`
if [ "${1#-}" != "$1" ]; then
        set -- php-fpm "$@"
fi

# ユーザ切り替え後に/dev/stderrと/dev/stdoutをappユーザから触れないのでパーミッションを変えておく
chmod 777 /dev/stderr
chmod 777 /dev/stdout

# appユーザで指定されたコマンドを実行する(php-fpmなど)
sudo -u app "$@"

USER appなどでDockerfileの最後にユーザを切り替えてしまうとAgentが正常に作動しないので、rootとして最初は実行して実アプリケーションはユーザを降格して動かすという技を使って動かしています。

ENTRYPOINTのスクリプトはDockerfile内でCOPYして書き換えてあげると簡単に動かせる状態になります。

COPY --chmod=775 docker-prod/app/docker-php-entrypoint /usr/local/bin/docker-php-entrypoint

ビルドが遅い.... 遅すぎるぞ！！！！！

さて、弊社のアプリケーションのデプロイはCircleCIから行っている都合でビルドもCI上で行っていますが、どうしてもCIサーバ上だとライブラリのダウンロードが遅かったりPHPのエクステンションのビルドが重たかったりします。

レイヤーキャッシュ*1をしっかり効かせるのも大事ですが、CircleCIのビルドサーバからキャッシュが時間が経つと揮発してしまう*2ことがありデプロイの度にとても待たされることが多くありました。

そこで、レイヤーキャッシュのみならずBuildKit*3も有効化してマルチステージビルドにしている箇所についてはしっかり並列ビルドが走るようにしました。

qiita.com

composer installをマルチステージビルドに持っていってみる

今回は並列で処理できそうなcomposerのパッケージのダウンロードと展開処理を並列で実行できるようにしてみました。

FROM composer:2.2.7 AS composer-cache
WORKDIR /var/www/html

# キャッシュ作成用にcomposer.jsonとcomposer.lockだけ持ってくる
COPY composer.json composer.lock /var/www/html/

# ダウンロードと展開のみ行う
RUN composer install --no-scripts --no-autoloader --ignore-platform-reqs

FROM php:7.4-fpm
WORKDIR /var/www/html

# ここで重たいモジュールのビルド処理などを行う
# ~~各インストール、ユーザ作成処理は省略~~

# キャッシュ展開！！！
COPY --from=composer-cache --chown=app:app /var/www/html /var/www/html

# アプリケーションコードのコピーとcomposer install実行
COPY --chown=app:app . /var/www/html
RUN composer install

BuildKitが有効化された状態でこれを実行するとダウンロードは並行して裏側で行ってくれて、 composer install は実質オートローダの生成のみで爆速で終わるので依存ライブラリが多い方は試してみると良いかと思います。

高速化の結果、レイヤーキャッシュが効いた状態で2分程度(キャッシュなしで5分程度)でビルドが完了するようになりました。

何もしていないときは10分かかっていたビルドが5分、キャッシュありで2分まで縮められたので大きな進歩です！！！

僕はいつもなが〜〜いDockerイメージのビルドが走ってる間は推しのアイドル*4のことを考えながら過ごしてましたが、流石にその時間が長すぎるのも辛いので高速化して浮いた時間で仕事を早く終わらせてアイドル現場に行ったほうが良いですね！

（完全に余談ですが、最近弊社では #アイドル部 が出来ました！！好きな人が勝手に集まってやっている小さな部活動ですが、地下アイドルなど様々なアイドルが好きなひとが集まってます！）

さいごに

Dockerやコンテナの運用は非常に奥が深く語ると記事に書ききれない程ハマりポイント、気をつけなければならないポイントがあったりするので、記事では移行にあたり特筆すべきものだけ紹介させていただきました。

最後に... M&Aクラウドでは現在エンジニアやPdMなど幅広く募集中です！！もし興味を持ってくださった方はお気軽にお声がけください！

www.wantedly.com

www.wantedly.com

www.wantedly.com