インフラエンジニアになって半年が経った（駆け出しインフラエンジニアというのは怪しい？）．インフラエンジニアたるもの1度は読んでおきたい本だったので「インフラエンジニアの教科書２」を読んでみた．本の中でインフラエンジニアが実務で注目しておくべき点がまとめられていたのでそれらを紹介していこうと思う．

読んだ感想としては，書名に教科書という単語が入っているのが納得なほどインフラエンジニアに欠かせない知識が体系的にまとめられている本だった．自分のようにインフラエンジニアになって日が浅い人は，インフラエンジニアとして学ぶべき技術を把握することがそもそも大変なので，この本を読むことで学ぶべき技術の対象がある程度はっきりする．また，オンプレでインフラを構築している方なら，この本を読んだ後に「これインフラエンジニアの教科書２で見たやつだ」ということが実務で起こりうる内容になっていると思う．駆け出しインフラエンジニアには何はともあれ読んでほしい！！

インフラエンジニアの教科書2 スキルアップに効く技術と知識

• 作者:佐野 裕
• 出版社/メーカー: シーアンドアール研究所
• 発売日: 2016/08/26
• メディア: 単行本（ソフトカバー）

目次

• 第1章：プロトコル
• 第2章：OS
• 第3章：ネットワーク
• 第4章：データベース
• 第5章：WEBのサーバサイド開発言語
• 第6章：共通鍵暗号方式と公開鍵暗号方式
• 第7章：障害対策と障害対応
• 第8章：よく知られたセキュリティ攻撃
• 第9章：インターネットの運用と発展をつかさどる組織や団体
• 第10章：RFCの読み方と作られ方
• 第11章：世界規模のインターネットサービス運営
• 第12章：インフラエンジニアとして目指す方向

インフラエンジニアのプロセス管理

サーバ上で何か問題が発生したときに各プロセスの状態に着目すると，サーバ上で何が起こっているか把握でき，その対策を考えることができる．
ここではインフラエンジニアがプロセス管理で意識しておくべきことを紹介する．

• シングルプロセスかつシングルスレッドの処理速度向上

シェルスクリプトなどのシングルプロセスかつシングルスレッド型のプログラムでは，プロセスが１つしかないので実行時にCPUコアが１つしか使われない．このような場合はクロック数が高いCPUに入れ替えると処理速度が向上する．

• CPUコアを無駄なく使う

マルチコアCPUを搭載したサーバにおいて，実行状態のプロセス数が少なくて，CPU使用率が0％のCPUコアが目立つ場合はCPUリソースが余っている状態である．このような場合は，他のアプリケーションを起動するか，もしくはすでに起動しているマルチプロセス型のプログラムの設定変更を行ってさらにCPUコアを割り当てることでCPUリソースを無駄なく使うことができる．

• コンテキストスイッチの発生を抑える

頻繁にプロセスのコンテキストスイッチが発生する環境では応答速度が落ちる．実行可能状態のプロセスを減らすことでコンテキストスイッチの発生を可能な限り抑えることが好ましい．

• 割り込み処理

OSに割り込みが発生した場合もCPUコアが使われる．割り込みはIRQ（Interupt ReQuest）とも呼ばれる．Linuxカーネルの場合は割り込みが発生すると常に0番目のCPUコアを使おうとするが，irqbalanceサービスを起動しておくと，他のCPUコアにも割り当てが分散されるようになる．

インフラエンジニアのメモリ管理

不適切なメモリ利用が原因でメモリ使用量が限界近くまで上がると突然パフォーマンスが低下したり，カーネルパニックが発生してOSが落ちたりすることがある．
ここではインフラエンジニアがメモリ管理をするうえで気をつけるべき点を紹介する．

• スワップの発生

スワップが発生する場合，「物理メモリが足りない」か「物理メモリの断片化が進んでまとまったメモリを確保できない」の2つの原因が考えられる．
「物理メモリが足りない場合」は，物理メモリの増設を行うことで対応する．
「物理メモリの断片化が進んでまとまったメモリを確保できない場合」は，大量のメモリを確保しているプロセスを終了させることで割り当てられていた仮想メモリ空間を解放することが一番確実な方法である．下記の例のように，OSによってはスワップ領域自体を解放する方法もあるが，ディスクI/O負荷が非常に高く，かつとても時間のかかる処理なので実サービスで実施するのは危険．

# Linuxにおけるswap領域の操作コマンド
$ swapoff -a ← スワップ領域の解放と無効化
$ swapon -a ← スワップ領域の有効化

• 空き物理メモリが足りなく見える

物理メモリ使用量が多くて空き物理メモリ量が足りなく見える場合でも，空き物理メモリのほとんどがキャッシュとして使われているだけで実質的には空き物理メモリとみなすことができる場合が多い．キャッシュには「ページキャッシュ」（ファイルのページ単位でのキャッシュ）と「バッファキャッシュ」（ディスクのブロック単位でのキャッシュ）がある．バッファキャッシュはOSで少しだけ使われるが，ページキャッシュはファイルにアクセスすればするほど肥大化していく．
下記の例をみると，32GBの物理メモリに対して，①空き物理メモリ量が1016MB（≒1GB程度）しか残っていないように見えるが，②実質的なメモリ使用量は21868MG（≒21.8GB程度）が使われていて，③キャッシュを除いた実質的な空きメモリ量は10226MB（≒10GB程度）となる．

$ free -m
              total          used           free        shared        buffers        cached
Mem:          32095         31078         ①1016             0            357          8852
-/+ buffers/cache:         ②21868        ③10226
Swap:          4095            10           4085

③キャッシュを除いた実質的な空きメモリ量は以下のように算出される．

10.226（MB）≒ Mem free 1016(MB) + buffers 357(MB) + cached  8852(MB)

• バックアップとページキャッシュ

バックアップを取るために一時的に巨大なファイルを操作すると，ページキャッシュに乗っていたデータが追い出されて，一時的にしか使われないバックアップデータに取って代わられてしまうことがある．日常から負荷が高いサーバの場合，ページキャッシュに乗っていたデータが追い出された瞬間からサーバ負荷が急増してパフォーマンスに影響を与えることがある．
この回避策として，以下のようにddコマンドのダイレクトI/Oオプションを用いてブロック単位でバックアップを取る方法がある．ただし，この方法はとても遅いので注意する．

↓NFSマウントした外部ストレージにバックアップを取る場合
$ dd if=/home/user/1GB.txt of=/mnt/extdisk iflag=direct

↓同じサーバにバックアップを取る場合
$ dd if=/home/user/1GB.txt of=/home/backup/1GB.txt iflag=direct oflag=direct

インフラエンジニアのファイル管理

ファイルの操作はOSを利用する上でもっとも基本的な機能だが，OSのファイル管理の仕組みを理解していないと一見よく分からない事象がまれに起こる．
ここではファイル管理において時折見かける現象を紹介する．

• ファイルを消しても空き容量が増えない

プロセスがファイルをオープンしている場合は元のファイルを消しても実際は削除されない．この場合，ファイルをオープンしているプロセスを終了すればファイルが完全に削除される．LinuxなどにおいてファイルをオープンしているプロセスIDを特定したい場合にはlsofコマンドを使う．以下の例では，削除したアクセスログをWebサーバのプロセスがオープンしているので，空き容量を増やすにはWebサーバの再起動が必要である．

$ rm /var/log/httpd/access_log
$ lsof | grep deleted
COMMAND        PID          USER          FD          TYPE          DEVICE          SIZE/OFF          MODE          NAME
httpd       103317        apache          3r           REG           8.1               7              273722        /var/log/httpd/access_log（deleted）

• ディスク容量に空きがあるのにファイルを生成できない

Linuxなどで容量に空きがあるのにファイルを生成しようとすると「No space left on device」というエラーが出てファイルが書き込めないことがある．これはinodeテーブルが枯渇している状態である．以下のようにしてinodeの枯渇を調べることができる．

$ df
Filesystem       1K-blocks            Used           Available      Use% Mounted on
/dev/sba1       262930508           71539660         191390848           28% /    ←空き容量に余裕があるように見える

$ df -i
Filesystem       Inodes                 IUsed       IFree       IUse% Mounted on
/dev/sda1       16703488             16703488           0               100% /    ←inodeが枯渇していることがわかる

ファイルかディレクトリを1個生成する度にinodeが1個消費される．通常の用途では十分な量のinodeが用意されているが，小さいファイルやディレクトリを大量に作るとinodeが枯渇してしまうことがある．この場合はファイルかディレクトリを削除するか，もしくはinodeに余裕がある他のファイルシステム上のディレクトリに移動することでinodeの使用率を下げる方法がある．もしくは動的にinodeテーブルサイズを変更できるファイルシステムを使っている場合はinodeテーブルを拡張するという方法もある．

• ログ出力でディスク容量を使い果たした

ApacheやTomcat，アプリケーションなどのログが肥大化してディスク容量を使い果たしてしまうことがある．このような場合はログを出力しているプロセスを停止してからログファイルを削除するか，もしくは他の大きいパーティションにログファイルを移動してからシンボリックリンクを貼ることで対処可能である．
しかし，どうしてもプロセスを停止できない場合は，以下のように既存のログファイルを他のパーテションにコピーして上書きすることでログファイルの中身を空にするという方法がある．

$ ls -lh /var/log/httpd/access_log
-rw-r--r-- 1 root root 480G Apr 1 19:27 access_log

$ cp /var/log/httpd/access_log /home/user/    ←他のディスクにデータを退避する
$ cp /dev/null /var/log/httpd/access_log      ←ログファイルの中身を空にする

$ ls -lh /var/log/httpd/access_log
-rw-r--r-- 1 root root 211 Apr 1 19:29 access_log  ←ログファイルが空になった後，新しいログが書き込まれている

このときによくある失敗としては，ログファイルをmvコマンドで他のパーテションに退避した後，同じファイル名でログファイルを作成してしまうというものである．この場合，プロセスがオープンしているログファイルのinode番号と新しく生成したログファイルのinode番号が異なるので，同じファイル名であったとしても，プロセスを再起動しない限りは新しいファイルにログが書き込まれることはない．そもそも古いファイルはまだ解放されていない状況なので空きディスク容量は増えない．

$ mv /var/log/httpd/access_log /home/user/           ←他のディスクにデータを移動する
$ echo "" > /var/log/httpd/access_log                ←同じファイル名でログファイルを新規作成する

...しばらくして...

$ ls -lh /var/log/httpd/access_log
-rw-r--r-- 1 root root 0 Mar 27 01:02 access_log     ←新しく作成したファイルにログが書き込まれない

• 想定よりもハードディスクの空き容量が少ない

ext3/ext4などのファイルシステムでは，リザーブ領域もしくは予約領域と呼ばれるrootしか使えない専用領域がデフォルトで5%確保されている．そこでtune2fsコマンドでリザーブ領域を0%に変更すると，すべての領域が使えるようになる．

$ df -kh | grep -e /dev/sda3 -e Filesystem
Filesystem        Size        Used        Avail        Use% Mounted on
/dev/sda3         536G          0G         508G          0%    /home        ←使用率が0%なのに使える容量が実容量より少ない

$ tune2fs -l /dev/sda3 | grep -e "Block count" -e "Reserved block count"
Block count:             142540544
Reserved block count:    7127027     ←予約領域が5%分割り当てられている

$ tune2fs -m 0 /dev/sda3             ←予約領域を0%にする
tune2fs 1.41.12（17-May-2010）
Setting reserved blocks percentage to 0%（0 blocks）

$ tune2fs -l /dev/sda3 | grep -e "Block count" -e "Reserved block count"
Block count:             142540544
Reserved block count:    0           ←予約領域が0%になった

$ df -kh | grep -e /dev/sda3 -e Filesystem
Filesystem        Size        Used        Avail        Use% Mounted on
/dev/sda3         536G          0G         536G           0%    /home         ←使える容量が実容量と一致した

インフラエンジニアのネットワーク管理

ここではネットワークまわりでインフラエンジニアが関与すべきことを紹介する．

• ネットワーク経由でのファイルコピーが遅い

ネットワーク経由でファイルコピーを行うとき，期待通りの速度が出ないことがある．この場合，以下のようにさまざまな要因が考えられる．

1. 「ネットワークインタフェースの制限」
   1GbpsのNICを使っている場合，理論上は1Gbps / 8bit = 125MB/sが転送速度の上限となる．
2. 「ネットワークスイッチのスイッチング性能不足」
   サーバとサーバの間にネットワークスイッチを挟んでいる場合，そのネットワークスイッチのスイッチング性能不足の場合がある．特に家庭用スイッチングハブを挟んでいる場合はそこがボトルネックになっている場合がある．この場合は業務用スイッチに置き換えるか，もしくはサーバ間をクロスケーブルを用いて直結することで転送速度が向上する．
3. 「WindowsでNICのオフロード機能を使っている」
   Windowsの場合，ネットワークアダプタのオフロード機能が有効になっていると，転送速度が落ちる場合がある．この場合，ネットワークアダプタのプロパティでオフロードという名前がついている設定項目をすべて無効にすると転送速度が向上する可能性がある．
4. 「プロトコル」
   扱うプロトコルによって桁違いの速度差が出ることがある．例えば，Windows Server 2003まで使われていたSMB1.0の場合，WAN間でのファイルコピーが特に遅いと言われている．

インフラエンジニアのデータベース管理

ここではデータベースまわりでインフラエンジニアが気をつけるべき点を紹介する．

• バックアップとリカバリ

万が一のデータベース障害に備えて正しい方法で定期的にバックアップを取っておくことが重要である．障害が発生したデータベースを障害発生直前の状態に復旧するためには，バックアップデータだけではなく，バックアップ取得時点から障害発生直前までに出力されたすべてのWAL（Write Ahead Logging）ログが必要であることに注意する．WALとは，書き込みや更新といった更新処理が走るとき，変更内容をログとして記録し，その後，実データに反映する仕組みである．バックアップデータを復元しただけだと，データベースはバックアップ取得時点の状態に戻るだけなので，障害発生直前の状態まで復旧するには，バックアップを復元した後WALログを流し込む必要がある．

• RDBMS起因でない原因不明のパフォーマンス低下対応

原因不明のパフォーマンス低下が起こった場合，ハードウェアやOS側に問題がある場合がある．ハードウェア故障はOSのシステムログ（/var/log/syslogやイベントログなど）やRAIDコントローラーのログで確認できる．比較的よくみかけるのがハードディスクにエラーが発生していてパフォーマンスが低下するパターンである．ハードディスクは不良セクターが発生してもある程度は自己修復機能で修復され，エラーカウントが閾値を超えるとサーバはやっとハードディスク故障と認定する．しかし，実際はサーバが故障と認定する前の状態でも事実上，故障状態でパフォーマンス低下によるサービス影響が起きていることがある．このとき，ハードディスク内のエラーカウント値が急速に増えているものの，まだ閾値を下回っているため，OSのシステムログに現れてこず，普通に見ただけではハードウェア故障に気づくことができない．このような場合はRAIDコントローラーのログやステータス情報を見てハードディスクの劣化状態を知る以外に方法がない．MegaRAIDコントローラを使用している場合の例を以下に示す．

$ MegaCli -PDList -aall | grep -e Slot -e Count
Slot Number: 1
Media Error Count: 0
Other Error Count: 0
Predictive Failure Count: 0

Slot Number: 2
Media Error Count: 0
Other Error Count: 0
Predictive Failure Count: 0

↓ハードディスク故障の兆候が見える
Slot Number: 3
Media Error Count: 35
Other Error Count: 6
Predictive Failure Count: 2

Slot Number: 4
Media Error Count: 0
Other Error Count: 0
Predictive Failure Count: 0

誤植

以下のサイトに公開されている正誤表以外の誤植があったのでメモ程度にまとめておく．

www.c-r.com

• Chapter3 P.105：特にdiscard値とunbindの発生は特に注意 -> 「特に」が2回出てきている
• Chapter12 P.248：現在のバージョンの課題なそ -> 現在のバージョンの課題など
• あとがき P.250：本があったいいのに -> 本があったらいいのに

まとめ

• 「インフラエンジニアの教科書２」を読んだ
• インフラエンジニアに欠かすことのできない知識が体系的にまとめられており，特に駆け出しインフラエンジニアにおすすめ
• 記事ではインフラエンジニアが意識しておくべき点をまとめてみたが，これは一部分でありこれ以外にもまだ紹介されていた

先日のre:Inventで発表されたEC2 Image Builderを試してみた．EC2 Image Builderで簡単なAMIを作成して，つまづいた箇所があったのでメモとして残しておこうと思う．

EC2 Image Builder

EC2 Image Builderとは，OSイメージのレシピとイメージ作成後のテストをパイプラインでつないでAMIの作成を自動化してくれるサービスである．従来，AMIの作成を自動化するにはAWS Systems Manager（以下，SSM）やHashiCorp製品のPackerなどを組み合わせる利用が目立ったが，EC2 Image BuilderはAMI作成に関する一連の作業を一気に引き受けて自動化してくれる．仕組みとしてはEC2 Image Builderが裏でSSMを動かしてAMI作成作業を抽象化している．現状ではAmazon Linux 2，Windows Server 2012R2, 2016, 2019をOSとしてサポートしており，すべてのリージョンで使用可能である．

今回試してみること

以下のブログを参考にEC2 Image BuilderでAMIを作成する．今回はPHP7.3がインストールされたAMIを作成し，そのAMIが正常にEC2で起動するかテストする．その中でつまづいたポイントを紹介していく．

aws.amazon.com

EC2 Image Builderを使用してAMIを作成

説明に入る前につまづいたポイントを列挙しておく．

1. EC2 Image Builderで使うロールのポリシーにEC2InstanceProfileForImageBuilderとAmazonSSMManagedInstanceCoreが必要
2. AMIをビルドする環境がインターネットに出ることができないとダメ

それではEC2 Image BuilderでAMIを使っていく．まずはEC2 Image Builderのサービスページで「Create image pipeline」を押下する．すると全部で3ステップあるパイプラインの作成画面が出てくる．1ステップ目でレシピを設定し，2ステップ目でパイプラインを設定し，3ステップ目でオプションを設定する．それぞれ設定していく．

1ステップ目では，AMIのOS，AMIに入れるソフトウェア，テスト方法を設定する．
今回使うOSはAmazon Linux 2とし，新規でAMIを作成することとする．ちなみに既存のAMIを指定することも可能である．
次に，componentsを選択する．EC2 Image BuilderではAMIにインストールするパッケージやミドルウェアをcomponentsとして管理しており，componentsを選択することでAMIに必要なソフトウェア群を入れることができる．componentsはカスタムして作成することもできるが，ここではAWS管理のPHP7.3のパッケージを指定する．設定は以下のようになる．

2ステップ目では，EC2 Image Builderを実行するロール，ビルドのスケジュール，ビルドする環境を設定する．
ロールの設定では1つめのつまづきポイントに気をつける必要がある．AWS管理のcomponentsのビルドとテスト実行に必要十分な権限を持つEC2InstanceProfileForImageBuilderポリシーとSSMを動かすためのAmazonSSMManagedInstanceCoreポリシーをロールに付与しなければ，ほとんどの場合EC2 Image Builderが正常に動かない．自分はAmazonSSMManagedInstanceCoreポリシーをつけ忘れたのでエラーが出た．エラーの詳細はSSMの「オートメーション」ページで確認することができる．このポリシーをつけ忘れると下図のようなタイムアウトが起こるので，もしこのエラーが出たらAmazonSSMManagedInstanceCoreポリシーの付与忘れを疑うとよいかもしれない．

ビルドのスケジュールは手動で行うように設定しておき，ビルドする環境の設定に移る．ここでは2つめのつまづきポイントに気をつける．AMIを作成する際多くの場合インターネットを通して通信すると思うので，ビルドする環境はインターネットへ通信可能なところに置いておく必要がある．自分はビルド環境を特に何も指定していなかったので，インターネットに出ることができないデフォルトの環境でビルドしてエラーが出てしまった．このエラー画面はいくつかあるので割愛させていただくが，1つめのつまづきポイントを解消してなお失敗する場合はビルド環境を疑うとよいかもしれない．設定は以下のようになる．

3ステップ目は，ソフトウェアライセンスとAMIの関連付け，AMIの名前・タグ，AMIの配布先指定の設定を行う．
こちらはオプションなので必要であれば設定する．

これでパイプラインの設定は終わりである．あとは作成したパイプラインを実行すれば，EC2上での起動テスト済みかつPHP7.3がインストールされたAMIの出来上がり．

まとめ

• EC2 Image Builderを使って簡単なAMIを作成した
• AMI作成に自動化をサクッと作れるのはいい
• エラー内容から直接的な原因が分かりづらかった
• AWS管理されていないソフトウェアをcomponentsに書いて管理するより，既存で管理しているGitHubやCodeCommitから適用したいができない
• サポートしているOSが増えて欲しいなという気持ち
• まだまだ出たばかりなので今後に期待

世の中の数多くのサービスがAWSやAzure，GCPなどのクラウドにホストされることが普通になり，オンプレの時に比べてサーバや各種リソースのIPアドレスが動的に変わることが増えてきた．そんななか，業務でどうしてもクラウドで動作中のリソースに紐づいているIPアドレスの変更を検知して通知する仕組みが必要だったので，今日はその方法を紹介しようと思う．

前提

今回はAWSのロードバランサの1つであるApplication Load Balancer(以降ALB)を検知対象とする．ALBを立てると多くの場合，1つのDNS名に対して複数のIPアドレスを持つ状態となる，ここでは2つIPアドレスを持つ場合を考える．

やりたいこと

ALBが持つ2つのIPアドレスのうち，片方を事前に記録しておく．ALBのIPアドレスの変更により，その記録したIPアドレスがALBのIPアドレスと異なる状態になったとき通知を行う．

検知と通知方法

スプレッドシートでGoogle Apps Script（以降GAS）を使い，Slackへ通知する方法で実現する． まずはシートに初期値として現状のALBのIPアドレスをメモしておく．また検知した日と新しいIPアドレスを記録するように列を用意しておく．

GASで実装する内容は主に以下の2つ．

1. DNS over HTTPSを使ってクラウド上のALBのIPアドレスを取得
2. もし今記録しているIPアドレスと違ったら変更履歴をシートに記録しSlackへ通知

まずはDNS over HTTPSを使って名前解決する．DNS over HTTPSとは，文字通りHTTPSを用いてDNSの通信を行う技術である．今回はGoogleが提供してくれているGoogle Public DNS over HTTPSという全世界の人が無料で使えるフルリゾルバを使用する．どんなものかというのは，以下のURLを叩くと雰囲気がわかると思う．

https://dns.google.com/resolve?type=A&name=example.com

次に，Slack通知を行う部分を書く．以下のブログが参考になった．

qiita.com

Incoming WebhookをSlackのチャンネルに設定して，hookするURLさえ分かれば通知できる．完成版のGASは以下のようになる．

function resolveName() {
  var ss = SpreadsheetApp.getActiveSheet();
  var apiUrl = 'https://dns.google.com/resolve'; // Google Pubic DNS API URL
  var type = 'A'; // Aレコードを指定
  var name = 'hogehoge.com'; // 検知するドメイン名

  // 名前解決
  var requestUrl = apiUrl + '?name=' + name + '&type=' + type;
  var response = UrlFetchApp.fetch(requestUrl);
  var responseText = response.getContentText();
  
  // レスポンスをパース
  var json = JSON.parse(responseText);
  var newIpList = json.Answer.map(function(ans) {
      return ans.data
    });
  
  // 登録IPアドレス取得
  var oldIp = ss.getRange(2,1).getValue();

  // IPが変更したか確認
  if (newIpList.indexOf(oldIp) !== -1) {
    return;
  }
  
  // 文字列としてパース
  newIpList.sort();
  var ipAddr = newIpList.join('\n');

  // 変更日時とIPアドレスを記録
  var date = new Date();
  Utilities.formatDate( date, 'Asia/Tokyo', 'yyyyMMdd: hhmm');
  var lastRow = ss.getLastRow();
  ss.getRange(lastRow + 1, 3).setValue(date);
  ss.getRange(lastRow + 1, 4).setValue(ipAddr);

  // Slackへ通知
  notifySlack(name,ipAddr);
}

function notifySlack(name,ip_addr) {
  var postUrl = 'https://hooks.slack.com/services/hoge/fuga/moge';
  var username = 'IP報告する男';
  var message = name + 'のIPアドレスが変わりました\n' + ip_addr;

  var jsonData =
  {
     "username" : username,
     "text" : message
  };
  var payload = JSON.stringify(jsonData);

  var options =
  {
    "method" : "post",
    "contentType" : "application/json",
    "payload" : payload
  };

  UrlFetchApp.fetch(postUrl, options);
}

テストとしてGAS上のタブから「実行」を選んでresolveName関数を実行する．IPアドレスが変わっていればスプレッドシートに検知した日と新しいIPアドレスが記録され，Slackへ通知が届く．

あとは，GAS上のタブから「編集」->「現在のプロジェクトのトリガー」をクリックし，このスクリプトを時間ベースで定期実行するようにしておけば，IPアドレスが変わったタイミングでSlackに通知が届く．Slackに気づいたら，シートの初期値として設定したIPアドレスを通知された新しいIPアドレスに手動で書き換える運用をしている．もちろんGASで自動的に書き換えてもらってもよい．

まとめ

• GASを使ってALBのIPアドレス変更を検知してSlackへ通知した
• GASからSlack通知も便利だが，Google Public DNS over HTTPSも便利だった
• 今回の対象はALBだったが，他の対象にも使えそうな手段だと思う

業務でHashiCorpのVaultを使うかもしれないのでハンズオンをやってみた．GitHubに日本語のハンズオン資料が公開されているのでそれをもとに進めた．

github.com

ハンズオンアジェンダ

GitHubで公開されている日本語のハンズオンアジェンダを以下に示す．この中にはハンズオンとしての内容がまだ公開されていないものも含まれている．

• 初めてのVault
• Secret Engine 1: Key Value
• Secret Engine 2: Databases
• 認証とポリシー
• Auth Method 1: LDAP
• Auth Method 2: AppRole
• Auth Method 3: OIDC
• Auth Method 4: GitHub
• Response Rapping
• Secret Engine 3: Public Cloud (AWS, Azure, GCP)
• Secret Engine 4: PKI Engine
• Secret Engine 5: Transit (Encryption as a Service)
• Secret Engine 6: SSH
• 運用系機能色々
• CIツール連携(Concourse, Jenkins)
• Kubernetes連携
• Cloud Foundry連携
• Enterprise機能の紹介

今回は初めてVaultに触るので初めてのVault，Secret Engine 1: Key Value，Secret Engine 2: Databases，認証とポリシーの4つをやってみる．具体的な手順はハンズオンに任せるとして，この記事ではそれぞれのハンズオンで学んだことと，自分が思う重要な概念や押さえるべきポイントについてまとめてみようと思う．

1. 初めてのVault

ここではVaultをインストールしてVaultを立ち上げ，あとのハンズオンの準備をしていく．

このハンズオンで学んだこと

• Vaultのインストール
• Vaultサーバの立ち上げ(開発モード)
• シークレットエンジン
  • シークレットの保存・取得
• Vaultサーバの立ち上げ(本番モード)
  • Vaultの初期化処理

シークレットエンジン

シークレットエンジンとはkey=valueでデータを格納・生成・暗号化するVaultのコンポーネントである． AWSのIAMのキーやDatabaseへアクセスするシークレットなどさまざまな用途で使えるように，Vaultで専用のコンポーネントが用意されている．例えばkvシークレットエンジンを新規で使う時はvault secrets enable -path=kv kvのようにシークレットエンジンを有効にする．さらに，パスを指定してエンドポイントにみたてて，以後そのエンドポイントに操作を実行するのが特徴である．用途にあったシークレットエンジンを使うことでシークレットを適切に扱うことが可能となる．

Vaultの初期化処理

本番モードのVaultではセキュアな設計がされているので，起動直後はsealedという状態になっておりVaultへログインできない．ログインするにはinitとunsealという初期化処理が必要になる．まずinit処理をする．

$ vault operator init
Unseal Key 1: JLYUBHrdwWu2dxwjCazqsCQ4OJPJtiMFsIZeO1osyJ1t
Unseal Key 2: nEjGt+rYSOomqmyTsuF7PnKPS+NE3yPEfuo6WDXm/QDR
Unseal Key 3: d5nTCzEGKIBPFGCC3ANzKf8gGgwoV8APr6V9KdDcNjOW
Unseal Key 4: sd7vzV1FQk/96xQmIuKRKhydy9tGEmORbFyozAKxFc4n
Unseal Key 5: JqLGxcvA3gLrwQHIliWvl1ytkMbuDGu/6p2KzGpvnCa9

Initial Root Token: s.Wi5WjPfPHqbFAcXjwsDCHQLd
~~~

initの処理をすると，VaultをunsealするためのUnseal KeyとInitial Root Tokenが生成される．試しにこの状態でRoot Tokenを使ってログインしてみる．

$ vault login
Token (will be hidden):
Error authenticating: error looking up token: Error making API request.

URL: GET http://127.0.0.1:8200/v1/auth/token/lookup-self
Code: 503. Errors:

* error performing token check: Vault is sealed

エラーになる．Vaultではsealed状態になっているといかに強力な権限のあるトークンを使ったとしても操作は受け付けない．unsealの処理はUnseal Keyを使う．デフォルトだと5つのキーが生成され，そのうち3つのキーが集まるとunsealされる．このアルゴリズムはシャミアの秘密鍵分散法と呼ばれる．3つのUnseal Keyを入れてみる．

$ vault operator unseal
Unseal Key (will be hidden):
Key                Value
---                -----
Seal Type          shamir
Initialized        true
Sealed             true
Total Shares       5
Threshold          3
Unseal Progress    1/3
Unseal Nonce       32d20912-88dd-16e2-28d3-87344abec5fc
Version            1.2.3
HA Enabled         false
$ vault operator unseal
Unseal Key (will be hidden):
Key                Value
---                -----
Seal Type          shamir
Initialized        true
Sealed             true
Total Shares       5
Threshold          3
Unseal Progress    2/3
Unseal Nonce       32d20912-88dd-16e2-28d3-87344abec5fc
Version            1.2.3
HA Enabled         false
$ vault operator unseal
Unseal Key (will be hidden):
Key             Value
---             -----
Seal Type       shamir
Initialized     true
Sealed          false
Total Shares    5
Threshold       3
Version         1.2.3
Cluster Name    vault-cluster-7815e4aa
Cluster ID      12747d60-78d3-8fad-6082-102052ac8c74
HA Enabled      false

これでログインができる．

$ vault login
s.Wi5WjPfPHqbFAcXjwsDCHQLdToken (will be hidden):
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.

Key                  Value
---                  -----
token                s.Wi5WjPfPHqbFAcXjwsDCHQLd
token_accessor       NX8h0laChNLO5oObu2nDtovT
token_duration       ∞
token_renewable      false
token_policies       ["root"]
identity_policies    []
policies             ["root"]

やや面倒なこの仕組みの何が嬉しいのかということについては以下のブログが参考になった．

christina04.hatenablog.com

2. Secret Engine 1: Key Value

ここではシンプルなKeyValueStore型のシークレットエンジンを使ってデータのCRUDをするハンズオンを行う．

このハンズオンで学んだこと

• Key Value Store型のシークレットエンジン
  • データのCRUD
  • データのバージョニング管理
  • 2つのデータ更新パターン

3. Secret Engine2: Databases

ここではMySQLとVaultを使い，Vaultで発行したシークレットを用いてMySQLにアクセスするハンズオンを行う．

このハンズオンで学んだこと

• Databaseのシークレットエンジン
• Vaultが対応しているDatabaseシークレットエンジン一覧
  • Cassandra
  • Influxdb
  • HanaDB
  • MongoDB
  • MSSQL
  • MySQL/MariaDB
  • PostgreSQL
  • Oracle
• VaultがMySQLの操作を制限するようなロールを作成し，そのロールの内容に基づいてVaultがアプリケーションへシークレットを生成する流れ
• 動的シークレットの破棄
• Rootユーザのパスワードローテーション

MySQLへのアクセスの流れ

以下の図のような流れでアプリケーションはMySQLへのアクセスを実現する．

それぞれのステップをみていく．

① Vaultに特権ユーザのクレデンシャルとデータベースの接続先を登録する．MySQLのrootユーザ(特権ユーザ)を指定してコネクションの設定をする．②で作成するロールもここで指定しておく必要がある．また，ロールは複数指定できる．

$ vault write database/config/mysql-handson-db \
  plugin_name=mysql-legacy-database-plugin \
  connection_url="{{username}}:{{password}}@tcp(127.0.0.1:3306)/" \
  allowed_roles="role-handson" \
  username="root" \
  password="rooooot"

② MySQLへの権限やシークレットのTTLを記述したロールを定義する

$ vault write database/roles/role-handson \
  db_name=mysql-handson-db \
  creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}';GRANT SELECT ON *.* TO '{{name}}'@'%';" \
  default_ttl="1h" \
  max_ttl="24h"

③ クライアントからVaultに対してシークレットの発行を依頼する

$ vault read database/creds/role-handson
Key                Value
---                -----
lease_id           database/creds/role-handson/G3tJu3gN8nGoL8Z8MlVkvD2g
lease_duration     1h
lease_renewable    true
password           A1a-qIpUomJUoXOiHlQh
username           v-role-PaKXo1BO1

④ 取得したシークレットでMySQLにアクセス

$ mysql -u v-role-PaKXo1BO1 -p -h 127.0.0.1
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 9
Server version: 5.7.22 MySQL Community Server (GPL)

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

$ mysql>

⑤ ロールによりSelectはできるがInsertはできないことを確認する．

$ mysql> select * from products;
+------+-------------+-------+
| id   | name        | price |
+------+-------------+-------+
|    1 | Nice hoodie | 1580  |
+------+-------------+-------+
1 row in set (0.00 sec)

$ mysql> insert into products (id, name, price) values (2, "hoge", 1600);
ERROR 1142 (42000): INSERT command denied to user 'v-role-PaKXo1BO1'@'127.0.0.1' for table 'products'

動的シークレットの破棄

ロールにシークレットのTTLを設定できる．TTLを過ぎれば当該シークレットではMySQLにログインできなくなる．またrevoke処理で発行したシークレットを明示的に無効にできる．再びMySQLにログインしたい場合は，再度シークレットを発行するか，シークレットのTTLが切れる前にrenew処理と呼ばれるTTLを延長する処理のどちらかを実行すればよい．

Rootユーザのパスワードローテーション

VaultにMySQLの特権を持たせているためそのパスワードの扱いが非常にセンシティブである．Vaultにはコンフィグレーションとして登録したデータベースのパスワードをローテーションさせるAPIがある．これを使ってこまめにRootのパスワードをリフレッシュできる．ただし，MySQLのRootユーザがVaultに登録してあるもの1つだけだと，Rootユーザのパスワードのローテーションを行った後はRootのパスワードはVaultしか扱うことができない．そのため通常別の特権ユーザをMySQLに準備してから行う．

4. 認証とポリシー

ここではエンドポイントごとにポリシーを設定してトークンを発行し，アクセスコントロールを試してみるハンズオンを行う．

このハンズオンで学んだこと．

• ポリシーの利用方法

ロールとポリシーの違い

ポリシーの作成方法や使い方はハンズオンで十分学ぶことができる．個人的に思うここでの重要なポイントは1つ前のSecret Engine2: Databasesで学んだロールと今回のポリシーの違いだと思う．利用するアプリケーションのアクセスをコントロールをしているという点においては同じだが，ロールとポリシーではコントロールする対象領域が異なる．1つ前のハンズオンを例にとると，ロールの場合コントロールする対象領域はMySQLだった．つまり，MySQLへアクセスするシークレットが発行された上で，そのシークレットでMySQLにログインするアプリケーションにどんな制限を持たせるかというのを定義するのがロールである．一方，ポリシーはVaultのエンドポイントを対象領域としている．例えば，「kvタイプのとあるエンドポイントにはread,writeを持たせるけど，databaseタイプのエンドポイントにはアクセスさせない」というようなポリシーを定義をする．もしこの例が適用されたトークンが発行されると，たとえロールの設定にすべてのテーブルへのアクセス許可を書いていたとしても，そもそもdatabaseタイプのエンドポイントにアクセスができないのでシークレットが発行されず，MySQLにログインすることすらできない．まとめると，ポリシーはエンドポイント単位でのアクセスコントロールを制御し，ロールはエンドポイントに対応しているSecret Engineの中でもっと細かいアクセスコントロールを制御するものだと思う．

まとめ

• HashiCorpのVaultハンズオンを一部試してみた
• Vaultの日本語ハンズオンはとても分かりやすかった．Vaultが何か分からない方におすすめ！
• 認証を絡めたハンズオンもいくつかあるのでやっていこうと思う．また，この記事を書いている間にもハンズオンが変更されたり増えていたりしたのでまた試してみようと思う．