育児

1 歳 9 ヶ月になった。

• また下痢気味
• 2 回目の美容室カット
  • 短くなってちっちゃい時のオレに似てる..
  • わんぱく感が増した
• 後ろあるきする
• つま先立ちで歩く
• 大声(奇声)を出すようになった(ぐずるとき？)
• 追いかけっこするとゲラゲラ笑う
• ママパパと 3 人でキャッチボールするとゲラゲラ笑う
• 手羽中を一緒にかぶりづいた
• 園で友達とゲラゲラ笑い合ったりするらしい
• 園お迎え時に友達に頭をペシペシ叩かれる
  • それでも気にしない
• 夕方に高熱でた
  • ママに抱っこしてもらえないとギャン泣き
  • パパが抱っこするとギャン泣き
  • ママが抱っこしてても急にギャン泣き
  • お盆休み直撃でかかりつけ院は全滅
  • 市のダイヤルに相談したら空いてるとこ教えてくれたありがてぇ
  • PCR は陰性だった
  • できものが増えて手足口病説浮上
  • 日に日に増えていくできもの。。
  • 痒そうで辛い
• 夜ベッドで寝る時に暗くしてちっちゃいポータブルライト点けて「ピカピカ」ってすると真似する
  • 手をグーパーする
• 納豆が食べられるようになった
  • 前あげた時は嫌そうだったのでビックリ
  • パパママと一緒に食べたからかな
• ビスコデビュー
• 同じマンションの子と仲良しに
  • 5 歳の子で息子氏と手を繋いだり追いかけっこしたり
  • 「ウチきなよ！」って言ってくれる頼もしい
• その場でジタバタする
  • 足踏みバタバタ
• お風呂場でおでこ打ってギャン泣き
  • たんこぶできたごめんよ。。
  • シャワーのホース踏んでコケた

今月もドタバタだった。もう慣れつつある。手足口病にかかって、一番辛いのは息子氏だと思うが、日に日にブツブツが広がっていって見ていて辛かった。1 週間ほどで良くなったのでほんとよかった。 最近はご飯を一緒に食べるようにしていて、その時息子氏が見せる笑顔がとてもかわいい。食事を準備するのは大変だが、夜に作り置きするなどして頑張ろうと思う。

仕事

テストコードをいっぱい書いた。まだ探り探りだが、少しずつコードを修正するのにためらいがなくなってきた気がする。

• API 設計をした
  • 画面デザインを見ながら、必要なリクエストパラメータやレスポンスを openapi.yaml で定義
• モブプロをした
  • タイムリーに AWS さんがライブセッションを公開してたので参考にした
  • https://www.youtube.com/watch?v=VQPSG0nLHn8
• テストコードいっぱい書いた

その他

• 遊びがてら Next.js のチュートリアルを始めた

昨年に引き続き、ISUCON12 オンライン予選に参加した。最終スコアは 2238 で、698 チーム中 426 位でフィニッシュ。

isucon.net

enokawa.hatenablog.jp

出場の経緯

去年出場して楽しかったので出場した。仕事でも 4 月から Web アプリケーションエンジニアとして Python 書いたりしてたので今のオレのベンチが取りたかった。去年は育児もあって相棒に迷惑をかけたので、1 人の方が気楽だなと思って 1 人で出るつもりだった。

けど、6 月の後半にたまたまハッカー飯で @kikulabo さんと話したら「一緒に出ちゃいます?」みたいな流れになって一緒にやることになった。ちなみに @kikulabo さんは元同僚。

@kikulabo さんも Python を多少読み書きできるとのことで、コーディングに関する力量はほぼ同レベルだと思ったので、言語は Python でいくことに決めた。

準備

デプロイスクリプトの作成

昨年の反省も踏まえて、サーバー上で Vim でコードや Config を直接編集するのは、複数台サーバーへの反映が面倒すぎるのでやめたかった。ので事前に ShellScript でデプロイ用のスクリプトを用意した。make deploy-app とかでデプロイできる。予選で使ったけど便利だったので用意しておいてよかった。ちょっと使いづらい部分があって、例えば Download/Upload するファイルパスを ShellScript にコピペする必要がある。YAML とかでコンポーネント(Nginx / MySQL / App / Systemd) ごとにファイルパスを記載するだけでデプロイできるともっと楽かも。

github.com

ISUCON 本を読む

@kikulabo も読んでいて、「このへんは n 章が詳しかったです」みたいに事前にお互いに共通認識を作れたのはよかった。private-isu も通したりして、チューニングの理解を深めた。デプロイスクリプトの作成に時間を掛けすぎて private-isu は全部通せなかったことが反省点。

template repository の作成

前述したデプロイスクリプトだけじゃなくて、開発フローだったり Nginx の conf 例だったり alp のコマンド例などの便利スニペットを用意しておいた。

その他

• レギュレーション確認
• 当日やることチェックリスト作成
• ISUCON11 を 2 人で通した
• ISUCON11 の予選解説と講評記事を見た
• ISUCON11 振り返り記事を見た

本番

ログを残していないので記憶が曖昧だけど流れを書いていく。

• 予選当日マニュアル確認(2 人で)
• AWS 環境構築 & サーバーセットアップ(オレ)
• Cfn Stack 作成中にアプリケーションマニュアル読む(2 人)
• Go のままベンチ(2722)
  • これが最高スコア...
• デプロイスクリプト微修正 & ソースのダウンロード(オレ)
  • 11:00
• Python に変更してベンチ(1792)
• New Relic APM 導入(@kikulabo)
  • 12:30
  • この時点でスコア 1015
• mysql-slow.log と Nginx の JSON ログフォーマット出力設定 (2 人)
• APM 見て↓のクエリを改善したほうが良さそうと見当をつける(@kikulabo)
  • SELECT player_id, MIN(created_at) AS min_created_at FROM visit_history WHERE tenant_id = %s AND competition_id = %s GROUP BY player_id
  • EXPLAIN　して Using where; Using temporary が出ていることを確認してインデックス貼ろうと決めた
  • tenant_id_idx が tenant_id だけ指定してたので competition_id を追加
  • Using where は消えたが Using temporary は出たまま
  • GROUP BY で指定している player_id もインデックスに追加後、rows が 1/10 くらいになって Using temporary も消えた
  • この時点でスコア 1397
• SQLite がサービスで使われていることを認識(栄野川)
  • 気づくの遅すぎな
  • App x 2, DB x 1 の構成にしたかった
    • MySQL よりも Python の負荷が高かった
  • SQLite の MySQL 移行を決意
  • 移行めんど。。
  • sqlite3-to-sql あるじゃん！運営ありがと！
    • これが罠だった..
    • 結構手直しが必要そうだぞ
    • webapp/tenant_db/*.db をすべて MySQL にぶちこめばイケる!
    • 全然おわらん。。1d 掛かるんちゃう。。
    • やめた
• ここからお片付けモード
  • New Relic APM 止める
  • 3 号機の DB みるように設定
  • 2 号機はひましてる
  • syslog 停止
    • うまくできなかったかも
  • mysql-slow.log と Nginx のログの出力停止
  • Redis サービスを停止
  • 1 号機の DB とめる
  • 3 号機の App とめる

良かったこと

• Docker のままでよかった
  • 最初の段階で無理に systemd に移行しない判断をとれたのはよかった
  • 移行コストが高かった
• APM Docker にすぐ入れれたのはよかった
  • オレのおかげ
• EXPLAIN 叩いてクエリの実行計画を確認できたのがよかった
  • ISUCON 本読んでおいてよかった
• @kikulabo さんの player_id へのインデックス追加が GJ
• デプロイ楽だった
• alp 使えたの良かった

反省点

ソフト面

• サービス再起動時にインデックスがちゃんと適用されているかどうかを確認しておけばよかった
  • ベンチが流れるとき(/initialize)に sql/admin/10_schema.sql が流れると思い込んでいた
  • init.sh をちゃんと読んでいなかった
    • 今見返すと「こりゃインデックスはられないよな。。」となる
  • 何もかも疑ってかかること
• Go でやりたかったな
  • 個人的に勉強してたので
• APM に頼りっきりだったのでもう少し自力で改善ポイントを見出す力をつけたい
  • APM いれるとスコア下がるし..
    • しょうがないとは思うけど精神的に少しキツい
• アプリケーションコード 1 行も更新してない
  • もっともっとコードを読もう/書こう
    • 特にコードを読む力がない
  • デプロイの整備に時間をかけすぎたな
  • template は随時更新していこう

ハード面

• ディスプレイ 2 枚必要
  • 今回は M1 MacBook Air と 27 inch ディスプレイ 1 枚でやった
    • もう 1 枚 23 inch ディスプレイ余ってたから使おうと思ってたけど単純に HDMI ケーブル挿すだけでは使えない
      • DisplayLink ってのが必要らしい
  • 1 枚は 作業用 & Discord 画面配信用でもう 1 枚は Discord 画面閲覧用
• スピーカーとマイクほしい
  • AirPods 電池切れるしヘッドセットは疲れる
  • Shokz とか使うといいかもしれない
  • もしくはオフラインでやるか

おわりに

今年も準備不足だった。。たぶん今後も毎年いってると思う。スコアは去年より落ちたけど、コードの理解力だったり DB の理解力は去年よりも上がったと感じる。無力感のほうが大きかったが、充実感もある。

やはり普段から素振りをしないといけない。ので少なくとも 1 ヶ月に 1 回は ISUCON に関する素振りをしたい。ちまちま進めている個人開発プロダクトも Go で書いているので、少し ISUCON を意識して sqlx 使ったりしようかなと思う。(もともと echo は使っている)

とはいえ 1 年に 1 回の開催なのでなかなかモチベーションが上がりづらいなっていうのも本音。いちばんは普段の業務からコツコツと技術力だったり判断力であったりを積み重ねていくのがいいと思っている。

次は 5000 点以上を目指す！やっていくぞ。運営・スポンサーのみなさま、本当にありがとうございました！！！

CodePipeline や CodeBuild を利用したパイプラインの作成記事はよく見ますが、GitHub Actions を利用した日本語記事はあまり見かけないので備忘録として残します。 特に難しいことはしていないのですが、Actions 用の Credential(IAM User)は作成せず、OpenID Connect(OIDC) を利用して AssumeRole(WithWebIdentity) してみました。以下はサンプルのレポジトリです。

github.com

1. SAM Application の作成

公式チュートリアルを参考に、sam init 、 sam deploy を実行します。今回は Python 3.9 で作成しています。

docs.aws.amazon.com

2. Identity provider の作成

GitHub OIDC Provider から AWS に対して Credential を要求するために、AWS 側で OIDC Provider と IAM Role を作成する必要があります。 まずは IAM で OIDC Provider を CloudFormation(template.yaml) で作成します。AWS マネージメントコンソールと CloudFormation のドキュメント、GitHub のドキュメントを行き来しながら作成しました。

docs.aws.amazon.com

https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services

パラメータは以下を指定しました。これは 2022/06/27 時点での情報であり、今後変わる可能性もあるため作成の際は公式ドキュメントを確認するようにしてください。

CloudFormation template の記載方法は aws-actions/configure-aws-credentials の README を参考にしました。

github.com

3. IAM Role の作成

AWS 側の OIDC Provider で JWT を検証できたら、指定の IAM Role を利用し、一時 Credential を発行して Actions へ渡します。IAM Role には sam deploy に必要な IAM Policy をアタッチします。 IAM Role と IAM Policy も CloudFormation で作成します。IAM Role の Trust relationships も aws-actions/configure-aws-credentials の README を参考に記載しました。

IAM Role の Trust relationships(信頼関係)は以下のように指定しました。

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::<AWS_ACCOUNT_ID>:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringLike": {
                    "token.actions.githubusercontent.com:sub": "repo:enokawa/sam-cicd-sample:*"
                }
            }
        }
    ]
}

IAM Policy に必要な権限は、前述した通り sam deploy に必要なものを指定する必要があります。最小権限の原則に則った権限設定を行うことが望ましいですが、今回はおおざっぱな権限を付与しています。詳しくは以下の行を参照してください。プロダクションで利用する場合は、必要な権限やリソースを洗い出して設定するようにしましょう。

github.com

必要な権限やリソースの洗い出しにはかなりの労力が必要となりますが、以下のドキュメントが参考になるかもしれません。

aws.amazon.com

4. Secrets の登録

AWS アカウント ID やデプロイ先のリージョン、S3 バケット名など固有のリソース名は他者に知られたくないため、GitHub の Secrets に登録します。今回は Public レポジトリのため以下の設定としていますが、Private レポジトリでも利用した方がよいでしょう。

5. Workflow の定義

ここまでできたら準備完了です。 .github ディレクトリ配下に Workflow や Job、Step を定義していきます。今回は、Build 用と Deploy 用で Workflow を分けてみました。YAML を修正しては GitHub に push して Actions がコケてまた YAML を修正して... を繰り返していました。試せていませんが、actionlint や act を使うことでもっとスムーズにデバッグできるかもしれません。

github.com

github.com

最終的に、以下のように無事 Actions が想定通りに動作することが確認できました。以降は、ローカルではデプロイせずに Actions からデプロイする運用を想定しています。ただ GitHub 側の障害もあり得るため、ローカルからデプロイができるように手順を準備しておいた方がよいかと思います。

まとめ

AWS SAM Application を GitHub Actions + OpenID Connect を利用してデプロイする方法を紹介しました。OIDC の利用は初めてだったのですが、IAM User を作成せずに一時 Credential を発行できるためセキュアに CI/CD パイプラインを構築できてよいですね。

参考記事

eh-career.com

zenn.dev

zenn.dev

gkzz.dev

https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/about-security-hardening-with-openid-connect