Receptor (3): 暗号化と認証、ファイアウォール、電子署名

はじめに

これまでのエントリ(前々回前回)では、Receptor の基本的な動きと、Kubernetes との連携を紹介しました。

本エントリでは、Receptor の持つ以下のセキュリティ関連の機能を取り扱います。

  • 接続できるピアの制限
  • TLS による暗号化と認証
  • ファイアウォール
  • ワークの電子署名

必要なファイルは、これまで通り GitHub のリポジトリに配置 しています。

続きを読む

Receptor (2): Kubernetes 上でのワークの実行

はじめに

前回のエントリ では、Receptor によるメッシュネットワークの構成と、メッシュネットワークを介したリモートノードでのコマンド実行、障害からの回復性を紹介しました。

本エントリでは、リモートノードで何らかの処理をさせるもう一つの手段である、Kubernetes クラスタ上でのワークの実行Kubernetes ワーク)を紹介します。

この機能を利用すると、Receptor の Executor ノード から 任意の Kubernetes クラスタに任意の構成の Pod を作成 できます。Pod で利用するイメージ、そこで実行する コマンドと引数 だけでなく、Pod 自体もカスタマイズでき ます。また、前回のエントリ で紹介したリモートノードでのコマンド実行と同様、任意のペイロードをコマンドの標準入力に渡す ことも引き続き可能なため、非常に柔軟な処理を行えます。

続きを読む

Receptor (1): Receptor はじめの一歩

はじめに

Ansible Automation Platform(AAP)には、その構成の柔軟性を飛躍的に向上させる Automation Mesh と呼ばれる仕組みがあります。AWX でも Execution Node がサポートされ、より近いことができるようになってきました(詳細は 別のエントリ で紹介しています)。

この Automation Mesh の中核 とも呼べる技術が、Receptor です。本エントリではこの Receptor を理解するはじめの一歩として、概要と基本的な使い方と動きを確認します。

Receptor は、Ansible 関連のプロジェクトではありますが、ざっくりとは 任意のコマンドをリモートノードで実行する仕組み であり、本来は Ansible とはまったく関係なく単体でも利用できる モノです。そのため本エントリでは、Automation Mesh や AWX、Ansible Runner などの Ansible 周辺との関係はいったん忘れて、まずは あくまで Receptor 単体に着目 します。

なお、エントリ中で紹介する設定ファイル類やそれを実際に動作させられる Docker 用の Compse ファイルは、GitHub のリポジトリ にも配置しています。お手元で試したい方は併せてどうぞ。

続きを読む

vSphere vMotion Notifications を試す

はじめに

vSphere 8 で vSphere vMotion Notifications と呼ばれる機能が追加されました。

ざっくりとは、 vMotion に耐えられないアプリケーションが動作している VM 向け の機能で、ゲスト OS に vMotion の事前準備と事後処理を行う機会を与える ものです。ESXi は、vMotion がトリガされると対象のゲスト OS に通知し、その通知に対するゲスト OS からの応答(Acknowledgement)が返ってくるまで実際の移行処理を遅延させます。ゲスト OS 目線では、通知を受けたら必要な事前準備を行い、その後に応答を返すことで、vMotion に安全に備えられることになります。その後の移行処理の完了も別途通知を受け取れるため、事後処理も行えます。

この仕組みにより、厳しい動作要件があって vMotion に耐えられなかったアプリケーションも、vMotion を乗り越えられるようになる…… ということのようです。例えば、複数ノードでクラスタ化されているアプリケーションで、vMotion の前後でクラスタからの離脱と再参加を自動で行うようなイメージですね。

自宅に何かそういう厳しいアプリケーションがあるわけではないのですが、おもしろそうな機能なので実際に触ってみました。本エントリでは実際の設定や動作を紹介します。

続きを読む

vSphere 8: vCenter Server と ESXi を 7.0 から 8.0 にアップグレードする

はじめに

vSphere 8 が公開された ので、おうちラボをアップグレードしました。本エントリはその記録です。

なお、vSphere 8 から製品のリリースモデルに変更があり、従来のように いきなり GA(General Availability)ではなく、今後は IA(Initial Availability)と GA の 2 段階方式 になるようです。ということで、今回は厳密には IA リリースへのアップグレード です。

詳細は次の公式ブログのエントリで解説されていますが、ざっくりいえば、従来の GA 相当のモノをまず IA の扱いでリリース し、1 ~ 2 ヶ月ほど経って IA の採用が充分に広まったら GA 扱いに変更する ようです。GA 前の公開という意味では IA がいわゆるパブリックベータのような扱いとも思えてしまいますが、そうではなく、IA でも品質は従来の GA と何ら変わらないということのようでした。

Our intent going forward is that all major and update vSphere releases will be delivered first with an IA designation. An IA release is a production-quality release that meets all GA quality gates and is fully partner certified. IA releases will be available during the IA phase to all customers for production deployments.

We will follow up once we determine each release has achieved sufficiently wide adoption and announce the transition of the release to a GA designation. We expect this to typically happen after 4-6 weeks from IA.

New Release Model for vSphere 8 – VMware vSphere Blog

率先して新しいモノを使いたいヒト向けが IA で、ある程度ワールドワイドで実績ができてから採用したいヒト向けが GA って感じでしょうか。たぶん。

とはいえ、IA から GA まで最大で 2 ヶ月ちかく空くことになりそうなので、IA のビルドが本当に完全にそのまま GA になるのか、あるいはなんだかんだで GA にあわせてパッチリリースなど新しいビルドが出てくるのか、断定はしづらそうです。いつものビルド番号の一覧の KB(vCenter ServerESXi)では 8.0 IA と書かれているので、この行が GA に書き換わるのか、あるいは行が増えるのか、要注視ということで。

続きを読む

AWX に Kubernetes クラスタ外のスタンドアロン実行ノードを追加する

はじめに

AWX の 21.7.0 から、Execution Node実行ノード)がサポートされました。これにより、AWX が動作する Kubernetes クラスタの 独立したホスト に、ジョブの実処理を任せられる ようになります。

構築方法のドキュメント も提供されており、これが親切なので愚直に従えば動くところまで比較的簡単に持っていけますが、本エントリでは、概要や構成方法、使い方を、実装面を少し紐解きつつ紹介します。

続きを読む

AKS 上の AWX で実行時間の長いジョブが失敗するときの対処

はじめに

Azure Kubernetes Service (AKS) 上の AWX で、ジョブやインベントリの同期を実行したとき、それにおおむね 4 分から 5 分程度以上の待ち時間 を要するタスクが含まれると、ジョブが失敗してしまうことがあるようです。

AWX の Issue として報告されている事象 で、もろもろ調べたり試したりした結果、なんやかんやで現時点では わりとダーティハック感の強いワークアラウンド しかなさそうな気配があったため、簡単に紹介です。

例えば、次のような シンプル極まりないプレイブック を動かすだけでも、AKS 上の AWX では 途中で失敗 してしまうことがあります。

---
- hosts: localhost
  gather_facts: false

  tasks:
    - ansible.builtin.pause:
        minutes: 10

追記: この問題は AWX 21.14.0 で解決されました。詳細は最下部で紹介しています。

続きを読む

AWX で Kerberos 認証を使って Windows ホストに接続する

はじめに

Ansible で Windows ホストに対してプレイブックを実行したい場合、典型的にはホストへの接続には WinRM を利用します。この際、対象の Windows ホストに そのホストのローカルユーザで認証 する場合は、特別な工夫をしなくてもユーザ名とパスワードを使った Basic 認証や CredSSP 認証が利用できます。

一方で、対象の Windows ホストが Windows ドメインに参加していて、Ansible から ドメインユーザ で認証したい場合、WinRM の接続には Kerberos 認証 が推奨されており、そのためにはあらかじめ Ansible の実行ホストで Kerberos クライアントが正しく構成されている必要があります。

Ansible を ansible-playbook で直接実行する場合はそこまでハードルは高くないですが、AWX で実行するジョブで Kerberos 認証を使いたい 場合は、わりと混乱しがちです。Ansible Automation Controller のドキュメント に手順があるものの、あくまで AAC 用であって AWX には適合しない ものです。

本エントリでは、AWX で Kerberos 認証を使って Windows ホストに接続する 方法を紹介します。

続きを読む

AutoMuteUs 7.0 のリリース: スラッシュコマンド対応などいろいろ

AutoMuteUs7.0 にメジャアップデートされ、操作方法が .au やメンション から スラッシュコマンド に変更されました。これによって操作感が大きく変わり、またセルフホストでは関連するオプションがいくつか追加されています。

本エントリでは、公式ボットサービスの利用者セルフホストの利用者双方 を対象に、簡単に変更点とその概要、使い方を紹介します。

続きを読む

oVirt の VM のクローンを Ansible で作成する

背景

oVirt で VM のクローンを作成したいとき、GUI ではメニュから何も気にせず実行できます。

一方で、これを Ansible から実行しようとしても、oVirt の VM を管理するときに利用する ovirt.ovirt.ovirt_vm モジュール では実現は難しいようです。クローンに類する操作は次の二種のみしか対応していなさげでした。

  • テンプレートからの仮想マシンの作成
  • 他の VM のスナップショットからの仮想マシンの作成

実行したいのは、既存の VM からの Ansible を使ったダイレクトなクローン作成です。本エントリでは、これを API を直接叩いてがんばってどうにかする実装例を紹介します。

oVirt 4.4 でテスト済みです。RHV でも動きそうな気はしますが未テストです。AWX での利用を想定していますが、ansible-playbook でも動作します。

続きを読む