CloudFormation Drift Detection을 사용해 보았습니다.

투고 내용은 개인의 의견이며, 소속 기업·부문 견해를 대표하는 것이 아닙니다.

소개

작년(2017년)의 Re:Invent에서 발표된 CloudFormation Drift Detection이 출시되었습니다.
htps : // 아 ws. 아마존. 이 m / jp / b ぉ gs / 아 ws / 네 wc ぉ d d ぉ r 마치 온-d ft-에서 c chion /

CloudFormation Drift Detection은 CloudFormation에서 만든 Stack의 리소스에 대해 수동으로 변경한 내용을 감지하고 표시하는 기능입니다.

수동으로 변경해 버린 후에, 변경 개소와는 다른 개소를 변경하기 위해 템플릿을 수정해 update stack를 했을 경우는, 수동으로 변경한 개소가 원래대로 돌아간다고 하는 일이 일어납니다.

이번에 출시된 CloudFormation Drift Detection은 변경 내용을 감지하여 사전에 템플릿에 수동 변경 내용을 반영하여 의도하지 않은 동작을 방지할 수 있습니다.

지원되는 리소스는 다음과 같습니다.
htps : // / cs. 아 ws. 아마존. 이 m / 그럼 _ jp / 아 WSC ぉ う ふぉ r 마치 온 / ㅁ st / うせ r 굿이 / うしん gcf HTML? ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ

분위기를 잡기 위해 움직여보세요

흐름

CloudFormation (이후 cFn으로 표시)으로 보안 그룹 만들기
보안 그룹의 CidrIP를 수동으로 변경
템플릿 파일의 포트를 변경하여 업데이트 스택
Drift Detection하기

CloudFormation (이후 cFn이라고 함)으로 보안 그룹 만들기

AWSTemplateFormatVersion: '2010-09-09'
Resources:
  SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      VpcId: vpc-26505643
      GroupDescription: SecurityGroup
      SecurityGroupIngress:
      - IpProtocol: tcp
        FromPort: '80'
        ToPort: '80'
        CidrIp: 0.0.0.0/0

보안 그룹의 CidrIP를 수동으로 변경

템플릿 파일의 포트를 변경하여 업데이트 스택

AWSTemplateFormatVersion: '2010-09-09'
Resources:
  SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      VpcId: vpc-26505643
      GroupDescription: SecurityGroup
      SecurityGroupIngress:
      - IpProtocol: tcp
        FromPort: '443'
        ToPort: '443'
        CidrIp: 0.0.0.0/0

수동으로 기존 규칙을 편집하기 위해 새 규칙이 작성되었습니다. cfn이 관리하는 리소스 자체는 템플릿대로 변경되었습니다.

참고: 기존 규칙을 편집하면 편집한 규칙이 삭제되고 새 세부 정보가 포함된 새 규칙이 만들어집니다. 이렇게 하면 해당 규칙에 종속된 트래픽이 새 규칙이 만들어질 때까지 단기간에 연결이 끊어집니다.

Drift Detection하기

왼쪽 창에서 Drifts 선택


보안 그룹을 선택하고 View drift details를 클릭합니다.


수동으로 추가한 변경이 차분으로 출력된다.
수동으로 추가한 규칙 삭제
Detect drift for resource 클릭

IN_SYNC가 되는지 확인한다.

요약

실제 운용에서는 Update stack을 실시하기 전에 Drift Detection을 실시하여 차이가 없는지 확인하는 것이 상정된다. cFn 용 파이프 라인을 구현하는 경우 update stack 전에 Drift Detection을 수행하는 단계를 추가하는 데 어떤 사용 사례가 있는지 생각합니다.