これまでcache-stnsdにおいてはサーバ側の障害発生時に、自動でキャッシュを延命するように、最後にリクエストが失敗した時刻を記録しておき、リクエストが失敗しているならば、キャッシュを執行させないという処理を行っていました。

しかし、例えばプリフェッチの感覚や、キャッシュの失効時間と、リクエストの失敗し始めるタイミングによってはうまくこの機構が利用できないケースが有りました。

それを改善するために、キャッシュの失効処理の際には事前に status エンドポイントへのリクエスト実行することで、失効処理の直前にサーバとの通信状況を確認するようにしました。

これにより、リクエスト自体は増える可能性がありますが、意図しない失効を避けることが出来るようになりました。

この機能自体は RaneKroon/ttlcache の機能を利用しており、下記のように失効処理の直前にコールバック関数を挟むことができます。

// ref: https://github.com/ReneKroon/ttlcache/README.md
func main() {
	checkExpirationCallback := func(key string, value interface{}) bool {
		if key == "key1" {
			// if the key equals "key1", the value
			// will not be allowed to expire
			return false
		}
		// all other values are allowed to expire
		return true
	}
	cache := ttlcache.NewCache()
	defer cache.Close()
	cache.SetTTL(time.Duration(10 * time.Second))
	cache.SetExpirationCallback(expirationCallback)
        ...
}

設定するコールバック関数の戻り値が偽の場合、キャシュをTTL文延命することができます。

キャッシュを利用している箇所において、変更が少ない情報かつ、万が一誤った情報が返却されても影響が少ないケースの場合に使える実装だと思うので、知っておくとどこかでお得かもしれません。

allow_ips = ["10.1.1.1/24"]

上記のようなシンタックスがコンフィグにかけるようになりました。

用途としてはこれまで僕自身はクラウドサービスのSGでアクセス制限をしていたのですが、STNSをマルチクラウドで動かすにあたり、DNSフェイルオーバーを利用したいと考えました。その際にヘルスチェックをRoute53から行いたかったので、IPフィルターをサーバサイドで実装して、 /status はすべてのIPからアクセスを可能にして、それ以外のエンドポイントはIP制限を行うようにしました。

STNS自体がアクセスできなくなると、困るケースが多いと思うのでマルチクラウド化を進めていく際に活用していただければと思います。

GitHub

 

1 pocket

pyama86/issuer-bot

https://github.com/pyama86/issuer-bot

GitHub Issue maker for Slack. Contribute to pyama86/issuer-bot development by creating an account on GitHub.

僕は現在GMOペパボの技術基盤チームに所属しており、多くの開発基盤を運用開発していることに加えて、個人で開発しているOSSを数多くペパボ内で活用しているので、日に数回程度は社内のメンバーから問い合わせを受けることがあります。

その際に、Slackで

「ほいー、調べます〜」

とかで対応してしまう事が多いのですが、Slackの情報の流れは早く、検索のUXもさほど高くないことから、情報をストックするという観点ではあまり向いていないと僕は思っています。

そこで考えたのが Issuer-bot です。社内の大和田チャンネルで、:oowada: をつけるとowadaリポジトリにissueが作成されます。

こんな感じで、Slackからいい感じに本文を拾って、自動で登録してしてくれます。

登録のUIはスラッシュコマンドを用いており、

/register-reaction :oowada: tech/owada label

のように登録すると、登録したチャンネルとリアクション、リポジトリを紐付けることができます。 list や deregister もエンドポイントとして備えているので、一覧、削除も可能です。

ほかに想定しているユースケースは、MackerelやPrometheusからのアラートが来たときにピッとリアクションをつけてissueを作っておくと便利とかそういうのがあると思います。

Slackが主流になり、なかなかストック情報化が進まないという課題がある職場でご利用いかがでしょうか！

Twitterで @angel_p_57 さんからご指摘頂いて実装を追加した。

GitHub

Provide Challenge Code Authentication by pyama86 · Pull Request #1 · STNS/lib...

https://github.com/STNS/libstns-go/pull/1/

refs: https://twitter.com/angel_p_57/status/1324698875521724416This PR provide Challenge Code Authentication.In Detail, There had Risk that Signature outflow and attacker use it before this PR.b...

もともとパスワードより危ういというツイートを見て、色々聞いていると、おっしゃっている内容としては署名が流出した場合に、それを悪意を持って利用すると認証が突破できてしまうという問題提起を頂いているようだった。

一方で、僕自身は今回実装した認証はパスワード認証と比較すると危ういかというとそうとは思わない。理由としては下記がある。

1. STNSを利用するインフラはHTTPSを前提としており、署名の盗聴や、クライアントプログラムに任意の署名を行わせることがそもそも困難である
2. 署名が流出したとして、その署名がそのまま利用できるかどうかはサーバサイドで同じパラメーターの受け取り方や、同じ署名対象データを利用していないと認証は通らないので、必ずしも署名が使い回せるわけではない。要するにSSHなどと異なり、パラメーターの受け渡し方法にはグラデーションがある。
3. セキュリティ的には無意味な要件ではあるが、署名検証に利用する公開鍵はSTNSで管理されているので、そもそも消してしまえばその流出した署名の検証が通らなくなる。セキュリティ的に無意味なのは流出すると単位時間あたりに処理できる内容は昨今膨大なので、すぐ消せばいいとかそういう話ではないから。

加えて僕自信のユースケースとしては多要素認証の一要素としてこの認証を用いていたたため、署名の流出というかなり高い攻撃難易度を考えると妥当な実装であると考えている。

しかし、セキュリティ上安全であるに越したことはないので、利用者の意図を持って署名の再利用が困難になるようなチャレンジコードによる認証を追加した。実装としては認証前にクライアントからサーバにチャレンジコードを要求し、それに対する署名を作成して、サーバサイドでチャレンジコードと署名の検証を行うようにした。なおこのチャレンジコードは一回しか利用できない。これによって署名そのものが流出したとしても、その署名を利用したなりすましは原理的に困難になる。

考えられる攻撃ケースとしては悪意を持ったサーバが正規サーバにチャレンジコード要求を行い、払い出された値を、たまたま悪意を持ったサーバにチャレンジ要求を投げてきたクライアントに、正規サーバから払い出されたチャレンジコードを払って署名させるみたいなケースだが、これを防ぐならば何かしらのサーバ、クライアントを認証する仕組みのTLSクライアント認証なり、何かしらのシークレットキーを互いに持ち合うなどを追加すると良さそう。

最後に、今回Twitterでお話させてもらって思ったのだが、セキュリティの評価をするときにユースケースや背景にある技術をすり合わせずに話すと、原理的な話だけしかできなくて、攻撃容易性や危険度について正しい評価がされないなぁと感じたので、議論のベースをすり合わせてから話すのちゃんとやらないとなぁと思った。

先日ペパボのあるサービスでKubernetes1.12系から1.17系に更新した際にflannelに起因したパフォーマンス問題が発生したので紹介します。

なお、本事象はGitHubのIssue上に情報がありますが、日本語話者の情報はあまりないので記事に書くことにしました。

余談を最後に書くと、1.12系から、1.17系のウルトラジャンプがなせたのは、AWSとオンプレミスOpenStackなハイブリッドクラウド環境なので、クラウドをまたいだBG運用ができるからこそなせる技だと思います。それでは本題になります。

1.12のときと比較して全体的にレスポンスタイムが遅い

事象として、1.17にバージョンを上げた直後から、WEBサーバのレスポンスが全体的に1.5～2倍程度遅くなったという事象が発生しました。

その際に調査として下記のようにcurlの出力を変更して調査したところ、接続処理が遅いということがわかりました。

# cat time-format.txt
     time_namelookup:  %{time_namelookup}s\n
        time_connect:  %{time_connect}s\n
     time_appconnect:  %{time_appconnect}s\n
    time_pretransfer:  %{time_pretransfer}s\n
       time_redirect:  %{time_redirect}s\n
  time_starttransfer:  %{time_starttransfer}s\n
                     ----------\n
          time_total:  %{time_total}s\n
 curl -I -w @time-format.txt  -s 10.240.0.125:xxxx/example -H "Host:api.example.com"
...
     time_namelookup:  0.000s
        time_connect:  3.002s
     time_appconnect:  0.000s
    time_pretransfer:  3.002s
       time_redirect:  0.000s
  time_starttransfer:  3.349s
                     ----------
          time_total:  3.349s

3.349秒のうち、time_connectが3.002秒なので、接続処理が支配的というのがわかります。

次にKubernetesでflannelを利用している場合、NATを利用して通信されるため、接続にあたりを付けるために、conntrack tableを覗いていきます。

# conntrack -L -n|grep 31576 |&grep -v TIME_WAIT
conntrack v1.4.3 (conntrack-tools): 2922 flow entries have been shown.
tcp      6 118 SYN_SENT src=10.240.0.125 dst=10.240.0.125 sport=40112 dport=31576 [UNREPLIED] src=10.233.86.51 dst=10.233.79.0 sport=80 dport=15474 mark=0 use=1

このとき、何度かコマンドを実行していると SYN_SENT でしばらく表示されるレコードがあることに気づきました。ここまで絞れると、お得意の古代兵器である程度原因を特定することができます。

~# tcpdump -i flannel.1 dst port 80 and src host 10.233.79.0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on flannel.1, link-type EN10MB (Ethernet), capture size 262144 bytes
17:01:03.483430 IP 10.233.79.0.10024 > 10.233.71.50.http: Flags [S], seq 2340116947, win 43690, options [mss 65495,sackOK,TS val 151530136 ecr 0,nop,wscale 7], length 0
17:01:04.481397 IP 10.233.79.0.10024 > 10.233.71.50.http: Flags [S], seq 2340116947, win 43690, options [mss 65495,sackOK,TS val 151530386 ecr 0,nop,wscale 7], length 0
17:01:06.485388 IP 10.233.79.0.10024 > 10.233.71.50.http: Flags [S], seq 2340116947, win 43690, options [mss 65495,sackOK,TS val 151530887 ecr 0,nop,wscale 7], length 0

flannelのインターフェースを覗いていると、Synパケットを再送している処理を確認することができました。これで何かしらの問題が発生して、Synパケットが到達できていないという事象が特定できたのであとはおもむろに「Kubernetes 1.17 flannel syn」とかでGitHubのIssueを探してみます。

GitHub

Service cannot be accessed via nodeport · Issue #86507 · kubernetes/kubernetes

https://github.com/kubernetes/kubernetes/issues/86507

What happened: A NodePort service can be accessed via the ClusterIP, but not via the NodePort (the request hangs) What you expected to happen: Request works the same as called via cluster IP. How t...

Issueではflannelを利用しているかつ、処理が低速である場合にSynパケットが再送され、かつ、その2パケット目がiptablesでマークされないことからこの事象が発生すると述べられており、対応方法としてはnicのTCP Offloadを無効にすることが挙げられていました。要はnicでのパケット分割をやめてカーネルでやるということです。

この事象以外でもTCP Offloadは度々踏み抜くことがあり、またお前か・・・という気持ちになりましたが、下記で無事解決。

# ethtool --offload flannel.1 rx off tx off

ピークタイムにおいてレスポンスタイムが律速になる

前述の問題を解決してめでたしめでたしと思っておったところ、次はサービスのピークタイムにおいて、レスポンスタイムが律速になるという問題が発生しました。ピークタイムということからアクセス数もしくはコネクション数に起因する問題というのはすぐに経験から想定できたので、contrack周りを調べましたが、特にコネクション数がシステム上限を超えているような状況ではありませんでした。しかし、ワークアラウンドとしてサービスの受け口となるKubernetesのIngressを増やしたところ症状が良化したたため、なにかネットワーク周りの問題であることは間違いなさそうということだけがわかっていました。

何か類似の事象があるはずと思い、GitHubのIssueを探していると下記のIssueを見つけました。

GitHub

 

5 pockets

Slow connect (TCP retransmits) via NodePort · Issue #76699 · kubernetes/kuber...

https://github.com/kubernetes/kubernetes/issues/76699

What happened: In out archutecture we have some kinda external (out-of-cluster) Ingress Controller, based on HAProxy + self-written scripts for Kubernetes service discovery (2 instances). ~60 Kuber...

また上記から参照されているIssueは下記です。

GitHub

Use --random-fully when creating MASQ rules · Pull Request #1040 · coreos/fla...

https://github.com/coreos/flannel/pull/1040

DescriptionThis makes Flannel apply a workaround for the infamous Linux conntrack race that causes major problems for many Kubernetes deployments, often manifesting as DNS delays or failures (see...

これらは端的にはLinuxにおいてiptablesがポート採番でレースコンディションになり、パフォーマンスが低下するのを避けるために、iptablesのオプションとして --random-fully を採用するというものです。

このフラグについては下記ページが詳しいです。

ipset.netfilter.org

 

60 pockets

Man page of iptables-extensions

https://ipset.netfilter.org/iptables-extensions.man.html

対応としては我々が利用していたKernelではiptablesのバージョンが低く、上記のフラグを利用できなかったため、Kernelとディストリビューションを変更することで根本的な対応を行いました。

まとめ

今回起きたものは割とKubernetesというよりかはLinuxのレイヤーに関連するもので、やはりKubernetesが導入されて楽になった部分はあれど、パフォーマンスの問題が起きたときに解決するためには古代兵器を活用できることや、Linuxカーネルに対する理解などが必要になるなぁと思いました。一方で、Kubernetesに対する理解がないと解決できないのも事実なので、自分の得意な領域で慢心することなく、どんどん知識を増やしていかねばなぁとおもたので、Pythonと機械学習の本を買ったのが今です。それでは、皆様良い週末をお過ごしください。

最近仕事でElasticAPMを導入しているのだけど、その際にelasticapmのgemがtmpディレクトリを利用する。kubernetesで動作させるアプリは可能な限りreadOnlyRootFilesystemということもあり、試していると下記のエラーに出くわした。

usr/local/lib/ruby/2.6.0/tmpdir.rb:35:in `tmpdir': could not find a temporary directory (ArgumentError)

理由は下記のブログが詳しい。

koukiblog

Entry is not found - koukiblog

https://kamihikouki.hatenablog.com/entry/2019/03/07/170543v

たぶんweb系の話題

先のブログだと、Rubyにモンキーパッチを当ててるのだけど、うーむという感じで考えてみたら、普通にinit containerでsticky bit与えればええやんということに気づいた。

 volumes:
   - name: tmp
     emptyDir: {}
 initContainers:
   - name: setup-tmpdir
     command: ["sh", "-c", "chmod 1777 /tmp && ls -lda /tmp"]
     image: busybox:latest
     imagePullPolicy: IfNotPresent
     volumeMounts:
     - mountPath: /tmp
       name: tmp

こんな感じでmanifestを書くと、モンキーパッチを入れる必要がない。

個人的な思想信条なのだけど、アプリケーションのコードに環境に依存するようなコードを入れるのはこれからのインフラの局面を考えるとあまりベターではないように思う。アプリケーションレイヤーは分離して、アプリケーションはどのような環境でも動くという状態で記述するのがいいと思うので、モンキーパッチをせずに、アプリケーションとインフラの中間にk8sという環境があるわけだからそこで吸収するとシンプルに構成管理できるんじゃなかろうかと思う。

こんにちは!!1

awk、してますか？？？

はい、というわけで僕は普段OpenStackを触っているときによく下記のようなコマンドを打ちます。

$ openstack server list | grep example |awk '{print $2}' | xargs -o -n1 openstack server show

この中の、 awk '{print $2}' これで2カラム目のサーバのID列を抽出するのですが、やりたいことに対してタイプ数が多すぎる。

一時はtrとか覚えようと思ったが毎回オプションを忘れてしまう。

そんな悩みがあるのは僕だけじゃないはずです。そして、僕が考え出した神がかった関数がこちらです。

function t() {
    cat - | awk "{ print \$$1 }"
}

これをzshrcなりに定義しておくと、

command | t 1

とか打つだけで、1カラム目が取得できます。awk使うとき、大体スペース区切りだしこれでいいやろ的なアプローチですが、よくやる作業ならこのタイプ数、馬鹿にできないので、ぜひおすすめです！

はじめに

GMOペパボではPuppetをサーバのミドルウェアインストールやセットアップに利用しているサービスが多くあり、ユースケースとしてはサーバ・クライアント構成でサーバにPuppetの資産をCapistranoなどでデプロイして、クライアント側で puppet apply コマンドを利用して開発しています。

一方で、僕が開発しているサーバは基本的にはChefないし、Itamae(mitamae)を利用して開発しており、特にいま一緒に仕事させていただいる @sawanoboly さんが開発しているKnife Zeroを1日に549858回くらい実行しています。

そんな僕がPuppetを利用する場合に非常に手間に感じるのが、開発サーバなどでレシピを開発しているときに、変更のたびにマニフェストをPuppetサーバにデプロイしないといけなくて、それが非常に手間に感じており、僕はあまりやらないのですが本番サーバに直接手で変更を加えて、Puppetに書き戻すというようなオペレーションも散見されていました。これはスノーフレークサーバを作ってしまう習慣となり得るので、システムを開発運用する上で望ましいこととは思えませんでした。

DockerとSSHポートフォワードを利用して、Puppet Apply

これらの課題を解決するために、開発においていちいち資産をデプロイしなくてもPuppetをApply出来る、Peroというgemを開発しました。この名前はあんちぽさんがのりでPeroとどっかに書いたのをそのまま採用したのですが、ソフトウェア自体が前述のKnife Zeroに影響をうけているので、Puppet Zeroの略なのかもしれません。

作りとしては非常にシンプルです。

1. laptop上でDockerを利用して、任意のバージョンのPuppetサーバを起動し、マニフェストをボリュームマウント
2. laptopからTargetサーバにSSH接続し、Targetサーバの localhost:8140 を laptopのPuppet Serverプロセスにポート転送。
3. PuppetはSSL証明書を利用した通信を行うので、Targetサーバが既存のPuppetサーバと接続性を失うのを避けるために、Targetサーバでマウントネームスペースを分離し、PuppetのSSLディレクトリを一時ディレクトリでバインドマウントします。 こうすることで、このSSHセッションで起動されたbashだけが、一時的なSSLディレクトリを参照するので、もともとTargetサーバが利用してたPuppetサーバとの接続性には影響を及ぼさずに利用することが出来ます。
4. Targetサーバで localhost:8140 をPuppetサーバとしてApply.

実行例

まずpuppetをクライアントにインストールするとともに、Peroが利用する構成情報を作成します。

$ pero install --agent-version 6.17.0 example.com

あとはこれらの情報を基に、マニフェストをApplyすることが出来ます。

$ pero apply --noop example.com
$ pero apply example.com

便利な使い方

手元からデプロイ無しでマニフェストをApply出来るだけでもハチャメチャ便利なのですが、いくつか便利な使い方があります。

並列で手元からマニフェストをApply

puppet apply -C5 example.* のように登録されたノードを正規表現で指定できるようにしてあり、合致したノードに並列してマニフェストをApplyすることが出来ます。

またinstallコマンドも複数の引数を受け付けることが出来るので、下記のように一気にインストールすることが出来ます。

$ pero install --agent-version 6.17.0 10.1.1.1 20.1.1.1

バージョンアップの支援

これが最大のメリットだと思うのですが、サーバ・クライアント構成をとっている場合に、双方を一気にあげてしまうか、何かしらの環境を作り込まないとバージョンアップしづらいのがPuppetのサーバ・クライアント構成運用の大変なところだと思います。しかし、PeroはPuppetサーバをDockerで起動するので、例えばPuppet5ブランチと、Puppet6ブランチを共存して運用することが用意になります。これまですべてのロールを一気にバージョンアップするのが辛くて、バージョンアップが進んでいないようなリポジトリやサービスも、Peroを利用すると既存の環境に影響を与えることなく、安心してバージョンアップすることが出来ます。

最後に

もともとは最近色々な商材のPuppetを触る機会があって、ぼくがふわっと立てたIssueがきっかけだった。

ちょうど一ヶ月くらい前だったんだけど、そこからなんとなく頭の片隅にありながらも証明書の扱いどうすっかなぁと考えていたりして、最初はsshfsでmasterの証明書ディレクトリをマウントしてしまうかとかも考えたのだけど、何かの拍子にunshareが振ってきて、今の実装を思いついて、合計3〜4日くらいで出来たと思う。

僕は仕事でたまたまコンテナの基礎技術を @udzura の影響で扱うことがあったから着想出来たけど、まあこれも普段からLinuxプログラミングインターフェースを読んだり、そういうコミュニティで活躍してたから思いつけたなぁと思っていて、こういう発想を得て、課題を解決出来うるためには日々精進だなぁと改めて思った。

GitHub

pyama86/pero

https://github.com/pyama86/pero

puppet apply from local machine. Contribute to pyama86/pero development by creating an account on GitHub.