Help us understand the problem. What is going on with this article?

CloudWatch SyntheticsでオンプレミスのProxyサーバーを経由して監視する

はじめに

2020/4/23に CloudWatch Synthetics がついに一般利用可能になりました。
アプリケーションのエンドポイントのモニタリングが簡単に実行できるようになります。
基本的な使い方に関しては本記事では割愛しますが、以下の公式Blogが参考になります。

New – Use CloudWatch Synthetics to Monitor Sites, API Endpoints, Web Workflows, and More
https://aws.amazon.com/jp/blogs/aws/new-use-cloudwatch-synthetics-to-monitor-sites-api-endpoints-web-workflows-and-more/

やりたいこと

オンプレミスの Proxy サーバーを経由して CloudWatch Synthetics によるエンドポイント監視を行う。
以下のような止むに止まれぬ事情があっても対応できます。

  • VPC とオンプレミス環境を閉域接続している
  • VPC 側はプライベートサブネットのみの構成で、NAT Gateway すら使いたくない(使えない)
  • インターネットに抜ける口はオンプレミス側の Proxy サーバーのみ

参考: CloudWatch Synthetics の VPC 対応

GA に先駆けて 2020/4/16 にプライベートエンドポイント対応がリリースされています。

Monitor your private internal endpoints 24×7 using CloudWatch Synthetics
https://aws.amazon.com/jp/blogs/mt/monitor-your-private-endpoints-using-cloudwatch-synthetics/

Canary の実体となる Lambda 関数が VPC 内で起動することによってプライベートサブネットや
オンプレミス内のエンドポイントをモニタリングできるようになっています。
image.png
(AWS Blogより引用)

また上記のブログでは VPC内で起動する Canary が NAT Gatewayを経由してインターネットアクセスする
例も記載されています。アクセス元がNat Gateway の Elastic IP に固定できるため、
接続元 IP アドレス制限を行っているようなアプリケーションであってもモニタリングできるようになります。
image.png
(AWS Blogより引用)

やりたいことの構成図

VPC 内で起動した Canary の Lambda 関数がオンプレミス側の Proxy サーバーを介して
外部アプリケーションを参照するように設定します。
image.png
これにより VPC 側がプライベートサブネットのみでもアプリケーションエンドポイントを監視できます。
またアクセス元が Proxy サーバーが持つグローバル IP に固定されるため、
接続先アプリケーションで IP アドレス制限を行っている場合でも、Proxy からのアクセスが
許可されていれば 接続先の Firewall 変更等は不要になります。

手順

前置きが長くなってしまいましたが、やってみます。

前提

さきほどの構成図のように AWS 側がプライベートサブネットのみとなる場合は、Canaryの実行結果を
保存するために CloudWatch および S3 の VPC エンドポイントを予め作成しておく必要があります。
本記事では割愛します。

Canary の作成

コンソールの Canary を作成から、設計図を使用するを選択します。
設計図はここでは一番単純なハートビートのモニタリングを選択しています。
image.png
Canary ビルダーで Canary の名前を設定し、エンドポイントURLには
http://checkip.amazonaws.com を設定します。
AWS が提供する接続元の IP アドレスを表示するだけのサイトです。
それだけなのですが、クライアント側の IP を使用した処理が必要な場合に重宝します。
image.png
スクリプトエディタでデフォルトの内容を以下のように編集します。
http://<ipaddress>:<port> に Proxy サーバーを指定します。

var synthetics = require('Synthetics');
const log = require('SyntheticsLogger');

const pageLoadBlueprint = async function () {

    // INSERT URL here
    const URL = "http://checkip.amazonaws.com";
+   const launchOptions = {args: ['--proxy-server=http://<ipaddress>:<port>']};
-   let page = await synthetics.getPage();
+   let page = await synthetics.getPage(launchOptions);   
    const response = await page.goto(URL, {waitUntil: 'domcontentloaded', timeout: 30000});
    //Wait for page to render.
    //Increase or decrease wait time based on endpoint being monitored.
    await page.waitFor(15000);
    await synthetics.takeScreenshot('loaded', 'loaded');
    let pageTitle = await page.title();
    log.info('Page title: ' + pageTitle);
    if (response.status() !== 200) {
        throw "Failed to load page!";
    }
};

exports.handler = async () => {
    return await pageLoadBlueprint();
};

テスト目的ですので、ここではスケジュールは1回実行、
データ保持、データストレージ、アクセス許可はデフォルトのままとします。アラームも設定しません。

VPC 設定では Canary を起動する VPC、サブネット、セキュリティグループをそれぞれ選択し、
設定を保存します。
image.png
Canary 実行が成功し、保存されたスクリーンショットに Proxy サーバーの IP が表示されていれば OK です。
image.png

解説

Canary の Lambda 関数内で使用されている Synthetics ランタイムでは Puppeteer-core が使用されており
synthetics.getPage(); では Puppeteer オブジェクトが返ります。
そのため、ドキュメントには詳細の記載はありませんが、Pupppeteer のオプションを渡すように
記述することで Proxy サーバー経由の通信となることが確認できました。
UI Canary でのみ指定可能なことに注意してください。

Library Functions Available for Canary Scripts
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries_Function_Library.html#CloudWatch_Synthetics_Library_getPage

getPage();

Returns the current open page as a Puppeteer object. For more information, see Puppeteer API v1.14.0.

以上です。
参考になれば幸いです。

hayao_k
インフラ大好きです。2019 & 2020 APN AWS Top Engineers に選出いただきました。 掲載内容は個人の見解であり、所属する企業を代表するものではありません。
saison_information_systems
モード1(守りのIT)・モード2(攻めのIT)を兼ね備えたバイモーダル・インテグレーターとしてデータ連携プラットフォームのHULFTシリーズ, リンケージサービス, 流通ITサービス, フィナンシャルITサービスを提供します。
https://home.saison.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした