Codecommit の VPC エンドポイント対応を確認する

Posted on 2019-03-09 in zakki

AWS Codecommit に VPC エンドポイントが対応した

めでたい。偶然にも AWS サポートに要望出していたので報われた感じがすごい。


確認してみる

Private Subnet にインスタンスを作成して、その Subnet に VPC エンドポイントを作成する。

dig で codecommit の名前解決をしてみる。

    [ec2-user@ip-192-168-100-98 ~]$ dig git-codecommit.ap-northeast-1.amazonaws.com                                                  
    ; <<>> DiG 9.9.4-RedHat-9.9.4-61.amzn2.1.1 <<>> git-codecommit.ap-northeast-1.am                                                 azonaws.com
     (略)
    ;; ANSWER SECTION:
    git-codecommit.ap-northeast-1.amazonaws.com. 60 IN A 192.168.100.14

    [ec2-user@ip-192-168-100-98 ~]$ dig codecommit.ap-northeast-1.amazonaws.com 
    ; <<>> DiG 9.9.4-RedHat-9.9.4-61.amzn2.1.1 <<>> codecommit.ap-northeast-1.amazon                                                 aws.com
     (略)
    ;; ANSWER SECTION:
    codecommit.ap-northeast-1.amazonaws.com. 60 IN A 52.119.220.15 
  • Private Subnet は 192.168.100.0/24
  • VPC エンドポイントは git-codecommit で作成
  • エンドポイントの sg は IN 側で Private Subnet の許可のみ

git-codecommit.ap-northeast-1.amazonaws.com192.168.100.14 というような Aレコード となっている。

対する、VPC エンドポイントを作成していない codecommit.ap-northeast-1.amazonaws.com52.119.220.15 で見るからに外部。両者の違いはドキュメントで。

最初は "git" がつかない codecommit のほうかなって思ったけど、普通に考えれば git 使ってCommitしてるし git-codecommit だわってなった。リポジトリのURLでも確認できるのでそちらでも。


何に使うのか

ansible-awx のリポジトリです。

社内で ansible を検討していたときに awx が当然上がってきたのですが、Playbook をどこにおくの?って考えたんですよね。

  • Github:外部サービスは渋い顔をする
  • GitLab/Bitbucket:サーバ構築は渋い顔をする(と思う)(余裕でダメそうだったので上には言わなかった。)
  • コンテナに直接置く:正気?

正直3つ目しかいけそうなのが無かったので、ansible-awx に 素の git の bare リポジトリ立てて、hook で awx コンテナにコピーする。とかを考えてた。個人で使うなら別に Github のプライベートリポジトリで何も問題無いと思っています。

Codecommit も検討の俎上に上がったんですが、EC2 から一回外に出ないといけない=パブリック IP を持たなくてはいけない。(主に弊社のお上の影響で)パブリック IP を持つ=セキュリティ絡みで面倒くさくなることが目に見えている。すごいよ、SIer もびっくりな巨大様式が送られてきて(当然 Excel )全部書けって言われるから。もれなく精神が死ぬ。

となったので、AWS サポートに要望出しつつ日々を過ごしていたんですよね。


じゃあクリアじゃん

と思うじゃん。

時間取って資料(10数枚のスライド)作って紹介してみたら「ウチにはまだ早い」感が上司のお顔に出てきたのでまあご想像通りって感じ。いったいいつになったら早くなくなるんだろう。一生来ないとされているのではないか。

資料を作るぐらいには力を入れたのが功を奏したのか、まったくの Deny 色では無かったのは助かる。どっかで使える場面作って、半ば強引に推し進めよう。