Datadog monitoring with HashiCorp stack

s
Copyright © 2018 HashiCorp
HashiCorp
Solution engineer 伊藤仁智
!1
DataDogにTerraformをあげましょう
In Osaka

About me
!2
名前：伊藤仁智（まさとも）
2018年年9⽉月１⽇日に発⾜足したHashiCorp Japanの⼀一⼈人⽬目の社員です。
以前は、
• ゲームプラットフォーム開発
• Continuous Delivery Pipelineツール販売
• ソフトウェアテストツール販売
• 組込系リアルタイムOS販売
• ガチの組込系エンジニア
などをしてました

About me
!3
キャンプ

About me
!4
愛猫　とらじろう

About me
!5
祭

Copyright © 2018 HashiCorp !6
ミッション
キー製品
設⽴立 2012 by Mitchell Hashimoto and Armon Dadgar
We enable organizations to Provision, Secure, Connect, and Run any
infrastructure for any application
1.アプリケーションを実⾏行行するインフラのProvision
2.アプリケーションをSecureに
3.アプリケーションデプロイをRun
4.アプリケーションをConnectする
CEO Dave MacJannet

TEAMS
& ORG
Enterprise Feature
• Collaboration
• Operations
• Governance & policy
!7
DEVELOPMENT
SECURITY
OPERATIONS
Run applications
Secure infrastructure & applications
Provision infrastructure
HashiCorpの４製品
THE PRACTITIONER

s
!8
Provision

Private
cloud
EARLY CLOUD MULTI-CLOUD + SaaS
Azure GCP …
+
AWS
TRADITIONAL 
DATACENTER
ハイブリッドなインフラへのシフト
専⽤用マシン　　　　　　　→ オンデマンド

INFRASTRUCTURE AS CODE
!10
EXTENSIBLE PROVIDER MODEL
Core
Alibaba
GCP
AWS
Azure
TERRAFORM CONFIGURATION
DEVELOPERS
OPERATOR
様々なインフラへのプロビジョニング - Provision
…
Nomad
Consul
Vault
Github
Kubernetes
Heroku
Docker
Fastly
F5
Datadog
DNSimple

s
!11
Secure

境界のないネットワーク上のアプリケーションセキュリティ
!12
Security

境界のないネットワーク上のアプリケーションセキュリティ
!13
AWS
Private
cloud
Azure GCP Alibaba
Security
「強固な城壁」を作るアプローチはもはや通⽤用しない・・・
Service
App
Service Service Service
App App App
Auth Auth Auth Auth
IPベース　　　　　　　→ IDENTITYベース

信頼できるアイデンティティに、
安全にシークレットを提供する
信頼できる認証基盤
Authentication
認証
アイデンティティによるアクセス
シークレットエンジン
ポリシーに基づいたシークレット管理理
クライアント
Token
アプリやシステムへのアクセスを認可
Authorization
サービスの提供
▪ Credentialの付与
▪ 静的シークレット
▪ 動的シークレット
▪ 証明書
▪ 暗号化サービス
シークレット
ポリシー
• シークレットエンジンへのアクセス
• APIエンドポイントへのアクセス
1
2
3

s
!15
Connect

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
モノリシック　→ マイクロサービス
Web
DB
DB
DB
Big query
Payment
Web
Service 1
Service 2
ホストベース　　　　　　　→ サービスベース
Payment Web
DB
Service 1 Service 2
Big query

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
全てのアプケーションをコネクトする - Connect
Service  
Discovery
Web
DB
DB
DB Big queryPayment
Web
▪ サービスの登録・カタログ化
▪ DNSとHTTPインターフェース
▪ ヘルスチェック
Service 1
Service 2
redis.service.consulpayment.service.consul web.service.consul bq.service.consul

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
Service
Segmentation
Web
DB
DB
DB Big queryPayment
Web
Service 1
Service 2
X
▪ サービス間のAuthorization
▪ サイドカープロキシ
▪ mTLSコネクション
$ consul intention create -deny web '*'
Created: web => * (deny)
$ consul intention create -allow web app
Created: web => app (allow)
$ consul intention create -allow web db
Created: web => db (allow)

AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
Web
DB
DB
DB Big queryPayment
Web
• K/Vストアで設定を保管
• リアルタイムでの設定変更更
– 設定ファイル
– 環境変数
• サービスのリロードやリスタートを実⾏行行
Service 1
Service 2
Service
Configuration
K/V
Config
Config
Config
Config

s
!20
Run

Application
Platform
AWS
Private
cloud
Azure GCP Alibaba
DB JAR
Lambda C# node.js
container
様々なアプリケーション - Run
密結合　　　　　　　→ 疎結合

ユーザー Nomad
Servers
JobをSubmit
のぞむべき状態をコード化
Nomad
Clients
AppのDeploy
Bin Packing
様々なアプリケーション - Run
タスクの実⾏行行

TEAMS
& ORG
Enterprise Feature
• Collaboration
• Operations
• Governance & policy
!23
DEVELOPMENT
SECURITY
OPERATIONS
Run applications
Secure infrastructure & applications
Provision infrastructure
HashiCorpの４製品
THE PRACTITIONER

s
!24
Provision
Secure
Connect
Run

VaultやConsulをDatadogで監視
!26
DogStatsD
DogStatsD
app.datadoghq.com
HTTPS
PUSH
Reference to Vault/Consul metrics
https://www.vaultproject.io/docs/internals/telemetry.html
https://www.consul.io/docs/agent/telemetry.html
プロビジョン

まずはDatadogのAgentをインストール
!27
DD_API_KEY=${dd_api_key} bash -c "$(curl -L https://raw.githubusercontent.com/DataDog/datadog-agent/master/cmd/agent/
install_script.sh)"

VaultとConsulのConfigを変更更
!28
backend "consul" {
address = "127.0.0.1:8500"
path = "vault/"
}
listener "tcp" {
address = "127.0.0.1:8200"
tls_disable = 1
}
telemetry {
dogstatsd_addr = "127.0.0.1:8125"
disable_hostname = true
}
{
"datacenter": "dc1",
"bootstrap_expect": 1,
"server": true,
"advertise_addr": "$${local_ipv4}",
"data_dir": "/opt/consul/data",
"client_addr": "0.0.0.0",
"log_level": "INFO",
"ui": true,
"telemetry": {
"dogstatsd_addr": "localhost:8125",
"disable_hostname": true
}
}
vault.hcl
consul.json

監視できたとしても、
ダッシュボードの構築
はどうするの？

Datadog monitoring with HashiCorp stack

Datadog providerでMonitorを作成
!31
provider "datadog" {
api_key = “${var.datadog_api_key}"
app_key = "${var.datadog_app_key}"
}
# Cpu monitor
resource "datadog_monitor" "cpumonitor" {
name = "cpu monitor ${aws_instance.vault.id}”
type = "metric alert"
message = "CPU usage alert"
query = "avg(last_1m):avg:system.cpu.system{host:${aws_instance.vault.id}} by {host} > 60"
thresholds {
ok = 20
warning = 50
critical = 60
}
}

Datadog providerでtimeboardを作成
!32
resource "datadog_timeboard" "vault" {
title = "Dashboard on ${aws_instance.vault.tags.Name}"
description = "Created using datadog provider in Terraform"
read_only = true
# Memory usage
graph {
title = "System mem usage"
viz = "timeseries"
request = {
q = "avg:system.mem.free{host:${aws_instance.vault.id}}"
}
}
# Vault request handled
graph {
title = "Number of request handled"
viz = “timeseries"
request = {
q = "avg:vault.core.handle_request.count{host:${aws_instance.vault.id}}.as_count()"
type = "bars"
}
}

Terraform applyを実⾏行行すると
!33

Dashboardが作成されます
!34

s
Demo

Demo overview
!36
AWS EC2
DogStatsD
app.datadoghq.com
Provision with AWS provider
• VM Instanceの起動
• Vaultのインストール
• Consulのインストール
• DogStagsDのインストール
Provision with Datadog provider
• Dashboardの作成
• Monitorの設定
• 監視対象の設定
Metricsの送信
ベンチマークテスト

安⼼心だね。
おやすみなさい

HashiCorp製品に興味がありましたら
sales_japan@hashicorp.com
まで！

以上です。
ありがとうございました！

Datadog monitoring with HashiCorp stack

More Related Content

What's hot (20)

Similar to Datadog monitoring with HashiCorp stack (20)

Datadog monitoring with HashiCorp stack