はじめに

先日からAzure Kubernetes Serviceを検証しています。まだまだKubernetesがあまりよくわかっていないのですが、一個ずつ学べていけたらと。

過去のものは以下。

• Spring BootアプリをAzure Kubernetes Serviceで動かす（1） - miyohide's blog

YAMLファイルを書くのが面倒だと言っていたら、同僚から「簡単なものならkubectlコマンドでデプロイするのが一般的ですよ」と言われたのでちょっとやってみました。

コマンドの調査

コマンドを調査してみると以下のページがヒットしました。

kubernetes.io

ここに、以下のコマンドがあるのでこれを実行してみます。

kubectl create deployment nginx --image=nginx

また、kubecl create -hを実行してみるとcreateの次のコマンドはdeployment以外に以下のものが取れるようです。

Create a resource from a file or from stdin.

 JSON and YAML formats are accepted.

Examples:
  # Create a pod using the data in pod.json
  kubectl create -f ./pod.json
  
  # Create a pod based on the JSON passed into stdin
  cat pod.json | kubectl create -f -
  
  # Edit the data in registry.yaml in JSON then create the resource using the edited data
  kubectl create -f registry.yaml --edit -o json

Available Commands:
  clusterrole           Create a cluster role
  clusterrolebinding    Create a cluster role binding for a particular cluster role
  configmap             Create a config map from a local file, directory or literal value
  cronjob               Create a cron job with the specified name
  deployment            Create a deployment with the specified name
  ingress               Create an ingress with the specified name
  job                   Create a job with the specified name
  namespace             Create a namespace with the specified name
  poddisruptionbudget   Create a pod disruption budget with the specified name
  priorityclass         Create a priority class with the specified name
  quota                 Create a quota with the specified name
  role                  Create a role with single rule
  rolebinding           Create a role binding for a particular role or cluster role
  secret                Create a secret using specified subcommand
  service               Create a service using a specified subcommand
  serviceaccount        Create a service account with the specified name
  token                 Request a service account token

serviceを作るためにはkubectl create serviceを実行すればよさそうです。例によってkubectl create serviceに-hをつけてコマンドの使い方を見てみます。

miyohide [ ~ ]$ kubectl create service -h
Create a service using a specified subcommand.

Aliases:
service, svc

Available Commands:
  clusterip      Create a ClusterIP service
  externalname   Create an ExternalName service
  loadbalancer   Create a LoadBalancer service
  nodeport       Create a NodePort service

Usage:
  kubectl create service [flags] [options]

Use "kubectl <command> --help" for more information about a given command.
Use "kubectl options" for a list of global command-line options (applies to all commands).

今回はloadbalancerを作るので、さらにkubectl create service loadbalancerに-hをつけてコマンドの使い方を見てみます。

miyohide [ ~ ]$ kubectl create service loadbalancer -h
Create a LoadBalancer service with the specified name.

Examples:
  # Create a new LoadBalancer service named my-lbs
  kubectl create service loadbalancer my-lbs --tcp=5678:8080

Options:
    --allow-missing-template-keys=true:
        If true, ignore any errors in templates when a field or map key is missing in the template. Only applies to
        golang and jsonpath output formats.

    --dry-run='none':
        Must be "none", "server", or "client". If client strategy, only print the object that would be sent, without
        sending it. If server strategy, submit server-side request without persisting the resource.

    --field-manager='kubectl-create':
        Name of the manager used to track field ownership.

    -o, --output='':
        Output format. One of: (json, yaml, name, go-template, go-template-file, template, templatefile, jsonpath,
        jsonpath-as-json, jsonpath-file).

    --save-config=false:
        If true, the configuration of current object will be saved in its annotation. Otherwise, the annotation will
        be unchanged. This flag is useful when you want to perform kubectl apply on this object in the future.

    --show-managed-fields=false:
        If true, keep the managedFields when printing objects in JSON or YAML format.

    --tcp=[]:
        Port pairs can be specified as '<port>:<targetPort>'.

    --template='':
        Template string or path to template file to use when -o=go-template, -o=go-template-file. The template format
        is golang templates [http://golang.org/pkg/text/template/#pkg-overview].

    --validate='strict':
        Must be one of: strict (or true), warn, ignore (or false).              "true" or "strict" will use a schema to validate
        the input and fail the request if invalid. It will perform server side validation if ServerSideFieldValidation
        is enabled on the api-server, but will fall back to less reliable client-side validation if not.                "warn" will
        warn about unknown or duplicate fields without blocking the request if server-side field validation is enabled
        on the API server, and behave as "ignore" otherwise.            "false" or "ignore" will not perform any schema
        validation, silently dropping any unknown or duplicate fields.

Usage:
  kubectl create service loadbalancer NAME [--tcp=port:targetPort] [--dry-run=server|client|none] [options]

Use "kubectl options" for a list of global command-line options (applies to all commands).

これで使い方が大体理解できたので、実際に実行してみます。

実行

まずはnginx Deploymentを作成します。

miyohide [ ~ ]$ kubectl create deployment nginx --image=nginx
deployment.apps/nginx created
miyohide [ ~ ]$ 

あっけなくサクッとできます。Azure Portal上でも作成されていることが確認できます。

その後、Serviceを作成します。最初、loadbalancerの次に指定するNAMEを適当なものに指定してしまい、nginxのページが表示されなかったのですが、Deploymentで指定したものと同じもの（nginx）にしたら無事動きました。

miyohide [ ~ ]$ kubectl create service loadbalancer nginx --tcp=80:80
service/nginx created
miyohide [ ~ ]$ 

これもサクッとできました。Azure Portal上でも作成されていることが確認できます。

これで外部IPに表示されているアドレスにアクセスすると、nginxのページが表示されます。

YAMLを出力したい

今回はYAMLを使わずにデプロイすることをやったのですが、細かいカスタマイズをするためにYAMLファイルを生成することもできるようです。--dry-run=client -o yamlを指定してあげれば良いようです。

Deploymentの場合、以下の結果となりました。

miyohide [ ~ ]$ kubectl create deployment nginx --image=nginx --dry-run=client -o yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    app: nginx
  name: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  strategy: {}
  template:
    metadata:
      creationTimestamp: null
      labels:
        app: nginx
    spec:
      containers:
      - image: nginx
        name: nginx
        resources: {}
status: {}
miyohide [ ~ ]$ 

Serviceの場合は以下の結果となりました。

miyohide [ ~ ]$ kubectl create service loadbalancer nginx --tcp=80:80 --dry-run=client -o yaml
apiVersion: v1
kind: Service
metadata:
  creationTimestamp: null
  labels:
    app: nginx
  name: nginx
spec:
  ports:
  - name: 80-80
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: nginx
  type: LoadBalancer
status:
  loadBalancer: {}
miyohide [ ~ ]$ 

はじめに

「FTPでファイルをやりとりしたいんだけれども、何かいい手はないか？」という話をいただくことがあります。少し前にAzure Blob StorageでのSFTPサポートがプレビューで提供されたのですが、プレビューということもあって現時点（2022年10月）で本番投入はしにくいです。

learn.microsoft.com

そんな中、Azureのサンプルの中にAzure Container Instance上でSFTPサーバーを起動する方法が記されていました。

learn.microsoft.com

これをやってみました。

実装

上記サイトからリンクされているGitHubリポジトリにあるARMテンプレートやBicepファイルを元に実装してみます。

github.com

個人的にはTerraformのほうが馴染みがあるのでTerraformで実装してみます。

やっていることは単純で、以下のことを実装します。

1. Azure Storage File Shareを作成する
2. Dockerコンテナatomz/sftpを使ってSFTPサーバーを起動する
3. ユーザー名とパスワードの設定は環境変数SFTP_USERSで指定しておく

hub.docker.com

こんな感じの実装になりました。全部のソースは末尾を参照してください。

resource "azurerm_resource_group" "main" {
  name     = "rg-myftp"
  location = var.location
}

resource "azurerm_storage_account" "main" {
  name                     = "st${var.prefix}myftp001"
  resource_group_name      = azurerm_resource_group.main.name
  location                 = azurerm_resource_group.main.location
  account_tier             = "Standard"
  account_replication_type = "LRS"
}

resource "azurerm_storage_share" "main" {
  name                 = var.filesharename
  storage_account_name = azurerm_storage_account.main.name
  quota                = 5
}

resource "azurerm_container_group" "main" {
  name                = "aci-myftp-name"
  location            = azurerm_resource_group.main.location
  resource_group_name = azurerm_resource_group.main.name
  ip_address_type     = "Public"
  os_type             = "Linux"
  restart_policy      = "Never"

  container {
    name   = "sftp"
    image  = "atmoz/sftp"
    cpu    = "1.0"
    memory = "1.0"

    ports {
      port     = 22
      protocol = "TCP"
    }

    secure_environment_variables = {
      SFTP_USERS = "${var.sftpuser}:${var.sftppassword}:1001"
    }

    volume {
      name       = "sftpvolume"
      mount_path = "/home/${var.sftpuser}/upload"
      read_only  = false
      share_name = var.filesharename

      storage_account_name = azurerm_storage_account.main.name
      storage_account_key  = azurerm_storage_account.main.primary_access_key
    }
  }
}

実行

Terraformでリソースを作成し、sftpコマンドで接続をしてみました。

miyohide@tsubame 01_exec % sftp sftpuser001@xxx.xxx.xxx.xxx
sftpuser001@xxx.xxx.xxx.xxx's password:
Connected to xxx.xxx.xxx.xxx.
sftp> ls
upload
sftp> cd upload
sftp> pwd
Remote working directory: /upload
sftp> put test.txt
Uploading test.txt to /upload/test.txt
test.txt                                      100%   16     1.4KB/s   00:00
sftp> ls
test.txt
sftp> quit
miyohide@tsubame 01_exec %

mount_pathで指定したパスがディレクトリにあるのでそこに移動してファイルをputします。

putコマンドでファイルをアップロードしたところ、Azure Storage上にファイルが作成されました。

ソース

実装したソースは以下に置いてあります。

github.com

以前、Azure Container AppsのVNet統合を試してみたのですが、うまく動きませんでした。

miyohide.hatenablog.com

ある程度時間も経っているのでリベンジしてみることにしました。

公式ドキュメント

公式ドキュメントにやり方が書かれているのでContainer Appsの作成はその通りにします。

learn.microsoft.com

これで作成した時点では、インターネットから接続できないのはもちろんのこと、同じVNet上にある仮想マシンからでも接続できないでいます。

これを解決するには、「その他の技術情報」に書かれている「内部サービスの DNS 名前解決を設定するには、専用の DNS サーバーを設定する必要があります。」を実施します。

リンク先がAzure DNSのリンク先であるのが若干不親切ですが、プライベートDNSを作成すれば良いです。

具体的な手順は以下のブログを参考にしました。

kogelog.com

各種設定値は、Container Apps環境のJSONビューを参照しました。

接続

これで接続してみると...あっさりと接続できました。

少しわかりにくいですが、左側に赤丸・黄色丸・緑色丸があるのがローカルのMacから接続したものです。こちらは接続できていません。 一方で、角張ったWindowのものは仮想マシン上のEdgeからアクセスしたもので、これは接続できています。

先日試しに動かしてみたAzure Container Instanceでpg_dumpを実行してみることの続きをやってみました。

miyohide.hatenablog.com

Terraform

環境構築を逐一手で行うのが面倒くさかったので、Terraformで構築することにします。

PostgreSQLはこんな感じで用意します。

resource "azurerm_postgresql_flexible_server" "main" {
  name                   = "pg-${var.prefix}-${random_string.name.result}"
  resource_group_name    = azurerm_resource_group.main.name
  location               = azurerm_resource_group.main.location
  version                = "13"
  administrator_login    = var.postgresql_admin
  administrator_password = var.postgresql_password
  storage_mb             = 32768
  sku_name               = "B_Standard_B1ms"
}

resource "azurerm_postgresql_flexible_server_database" "main" {
  name      = var.postgresql_database
  server_id = azurerm_postgresql_flexible_server.main.id
}

resource "azurerm_postgresql_flexible_server_firewall_rule" "main" {
  name                = "allowazure1"
  server_id           = azurerm_postgresql_flexible_server.main.id
  start_ip_address    = "0.0.0.0"
  end_ip_address      = "0.0.0.0"  
}

本当は「Azure内の任意のAzureサービスにこのサーバーへのパブリックアクセスを許可する」を設定する必要があるのですが、どうもTerraformでの設定はうまく動きませんでしたので手で設定することにしました。 単純にazurerm_postgresql_flexible_server_firewall_ruleをazurerm_postgresql_firewall_ruleに間違えただけでした...

バックアップファイルをFileShareに格納するためにStorageアカウントを作ります。

resource "azurerm_storage_account" "main" {
  name                     = "st${var.prefix}${random_string.name.result}"
  resource_group_name      = azurerm_resource_group.main.name
  location                 = azurerm_resource_group.main.location
  account_tier             = "Standard"
  account_replication_type = "LRS"
}

resource "azurerm_storage_share" "main" {
  name                 = var.fileshare_name
  storage_account_name = azurerm_storage_account.main.name
  quota                = 5
}

あとはAzure Container Instanceを作成するようにします。

data "terraform_remote_state" "backend" {
  backend = "local"

  config = {
    path = "../99_tfstate/terraform.tfstate"
  }
}

data "azurerm_resource_group" "main" {
  name = data.terraform_remote_state.backend.outputs.resource_group_name
}

data "azurerm_postgresql_flexible_server" "main" {
  name                = data.terraform_remote_state.backend.outputs.postgres_server_name
  resource_group_name = data.azurerm_resource_group.main.name
}

data "azurerm_storage_account" "main" {
  name                = data.terraform_remote_state.backend.outputs.storage_account_name
  resource_group_name = data.azurerm_resource_group.main.name
}

resource "azurerm_container_group" "main" {
  name                = "aci-${var.prefix}-name"
  location            = data.azurerm_resource_group.main.location
  resource_group_name = data.azurerm_resource_group.main.name
  ip_address_type     = "None"
  os_type             = "Linux"
  restart_policy      = "Never"

  container {
    name     = "postgres"
    image    = "postgres:13"
    cpu      = "0.5"
    memory   = "1.0"
    commands = ["pg_dump", "-f", "/aci/backups/pgdump.bin"]
    secure_environment_variables = {
      PGHOST     = data.azurerm_postgresql_flexible_server.main.fqdn
      PGDATABASE = var.postgresql_database
      PGUSER     = data.azurerm_postgresql_flexible_server.main.administrator_login
      PGPASSWORD = data.terraform_remote_state.backend.outputs.postgres_password
    }

    volume {
      name       = "backups"
      mount_path = "/aci/backups"
      read_only  = false
      share_name = var.fileshare_name

      storage_account_name = data.azurerm_storage_account.main.name
      storage_account_key  = data.azurerm_storage_account.main.primary_access_key
    }
  }
}

Terraformのremote_stateってものを使うと、Outputで出力したものを読み込んで使えるようです。今回はランダムに設定したPostgreSQLのデータベース名とかパスワードなどをremote_stateの機能を使って取得するようにしました。

www.terraform.io

Azure Container InstanceはFile Shareをマウントすることができます。今回はpg_dumpコマンドで出力した結果をFile Shareに出力するようにします。コマンドオプションを見ると、-fオプションを指定するとよさそうなので、設定します。

www.postgresql.jp

commandsの部分を["pg_dump", "-f", "/aci/backups/pgdump.bin"]としておくとよさそうです。

実行

Terraformで実行してみると、きちんと動いてくれました。

File Shareにバックアップも格納されていました。

Terraformの全体像

以下に格納しました。

github.com