はじめに

AWXバージョン21をk3s上にawx-operatorで構築します。
構築手順は、整理したらそんなに複雑ではなかったです。また、Githubにはminikubeを例にした構築手順が載っていますが、k3sは軽いというし触ってみたかったので。

GitHub - ansible/awx-operator: An Ansible AWX operator for Kubernetes built with Operator SDK and Ansible. 🤖

• はじめに
• 更新2023.03.28
  • 環境
• 環境
• Ubuntuのパッケージアップデート
• k3sのインストール
• Kustomizeのインストールとマニフェストの適用
• AWXのインストール（マニフェストの追加）
• AWXにアクセス
• その他
• 参考

更新2023.03.28

いくつかワーニングが出ますが、以下の環境(latest)でも同じ手順で構築できました。

環境

• AWX: 21.14(latest)
• OS: Ubuntu 22.04
  • Keyのタイプはed25519で作成してください。
  • インスタンスタイプ: t3.medium
  • 容量: 30GB
  • セキュリティグループ: sshとポート30080をあけます。
• k3s: v1.25.7(latest)
• kustomize: v5.0.1(latest)
• awx-operator: 1.4.0

環境

EC2に構築します。

• AWX: 21.4
• OS: Ubuntu 22.04
  • Keyのタイプはed25519で作成してください。
  • インスタンスタイプ: t3.medium
  • 容量: 30GB
  • セキュリティグループ: sshとポート30080をあけます。
• k3s: v1.24.3
• kustomize: v4.5.7
• awx-operator: 0.26.0

Ubuntuのパッケージアップデート

パッケージを最新に上げます。

$ sudo apt update
$ sudo apt upgrade -y
$ sudo reboot
# OKを押す

k3sのインストール

1行でインストールできます。
インストール後、サービスが起動完了するまで少々待ちます。

• 参考手順
  • Configuration Options | K3s
• 日本語マニュアル
  • https://rancher.co.jp/pdfs/K3s-eBook4Styles0507.pdf

$ sudo curl -sfL https://get.k3s.io | sh -s - --write-kubeconfig-mode 644
[INFO]  Finding release for channel stable
[INFO]  Using v1.24.3+k3s1 as release
[INFO]  Downloading hash https://github.com/k3s-io/k3s/releases/download/v1.24.3+k3s1/sha256sum-amd64.txt
[INFO]  Downloading binary https://github.com/k3s-io/k3s/releases/download/v1.24.3+k3s1/k3s
[INFO]  Verifying binary download
[INFO]  Installing k3s to /usr/local/bin/k3s
[INFO]  Skipping installation of SELinux RPM
[INFO]  Creating /usr/local/bin/kubectl symlink to k3s
[INFO]  Creating /usr/local/bin/crictl symlink to k3s
[INFO]  Creating /usr/local/bin/ctr symlink to k3s
[INFO]  Creating killall script /usr/local/bin/k3s-killall.sh
[INFO]  Creating uninstall script /usr/local/bin/k3s-uninstall.sh
[INFO]  env: Creating environment file /etc/systemd/system/k3s.service.env
[INFO]  systemd: Creating service file /etc/systemd/system/k3s.service
[INFO]  systemd: Enabling k3s unit
Created symlink /etc/systemd/system/multi-user.target.wants/k3s.service → /etc/systemd/system/k3s.service.
[INFO]  systemd: Starting k3s

オプションについて

• --write-kubeconfig-mode 644
  • 後の工程でパーミッションエラーとなるため、644に設定しています。

エラーメッセージ

error: error loading config file "/etc/rancher/k3s/k3s.yaml": open /etc/rancher/k3s/k3s.yaml: permission denied

Kustomizeのインストールとマニフェストの適用

Kustomizeは、マニフェスト管理ツールです（今回初めて触りました）。
Kustomizeをインストールし、マニフェストを作成・適用します。
マニフェストには、awx-operatorのバージョンを指定します。

$ sudo curl -s "https://raw.githubusercontent.com/kubernetes-sigs/kustomize/master/hack/install_kustomize.sh"  | bash
{Version:kustomize/v4.5.7 GitCommit:56d82a8378dfc8dc3b3b1085e5a6e67b82966bd7 BuildDate:2022-08-02T16:35:54Z GoOs:linux GoArch:amd64}
kustomize installed to /home/ubuntu/kustomize
$ 
$ 
$ vi kustomization.yaml
apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization
resources:
  # Find the latest tag here: https://github.com/ansible/awx-operator/releases
  - github.com/ansible/awx-operator/config/default?ref=0.26.0        # 任意のバージョンを指定

# Set the image tags to match the git version from above
images:
  - name: quay.io/ansible/awx-operator
    newTag: 0.26.0        # 任意のバージョンを指定

# Specify a custom namespace in which to install AWX
namespace: awx
$ 
$ 
$ sudo ./kustomize build . | kubectl apply -f -
namespace/awx created
customresourcedefinition.apiextensions.k8s.io/awxbackups.awx.ansible.com created
customresourcedefinition.apiextensions.k8s.io/awxrestores.awx.ansible.com created
customresourcedefinition.apiextensions.k8s.io/awxs.awx.ansible.com created
serviceaccount/awx-operator-controller-manager created
role.rbac.authorization.k8s.io/awx-operator-awx-manager-role created
role.rbac.authorization.k8s.io/awx-operator-leader-election-role created
clusterrole.rbac.authorization.k8s.io/awx-operator-metrics-reader created
clusterrole.rbac.authorization.k8s.io/awx-operator-proxy-role created
rolebinding.rbac.authorization.k8s.io/awx-operator-awx-manager-rolebinding created
rolebinding.rbac.authorization.k8s.io/awx-operator-leader-election-rolebinding created
clusterrolebinding.rbac.authorization.k8s.io/awx-operator-proxy-rolebinding created
configmap/awx-operator-awx-manager-config created
service/awx-operator-controller-manager-metrics-service created
deployment.apps/awx-operator-controller-manager created
$ 
$ 
$ kubectl get pods -n awx
NAME                                               READY   STATUS    RESTARTS   AGE
awx-operator-controller-manager-7f89bd5797-89w7b   2/2     Running   0          4m5s

AWXのインストール（マニフェストの追加）

AWXをデプロイするawx-demo.yamlの作成と、kustomization.yamlのresourcesにawx-demo.yamlを追加します。
awx-demo.yamlのportは適宜変更してください。

• AWXをデプロイするawx-demo.yamlの作成

$ vi awx-demo.yaml
---
apiVersion: awx.ansible.com/v1beta1
kind: AWX
metadata:
  name: awx-demo
spec:
  service_type: nodeport
  # default nodeport_port is 30080
  nodeport_port: 30080

• kustomization.yamlのresourcesにawx-demo.yamlを追加

$ vi kustomization.yaml
apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization
resources:
  # Find the latest tag here: https://github.com/ansible/awx-operator/releases
  - github.com/ansible/awx-operator/config/default?ref=0.26.0
  - awx-demo.yaml                     # この行を追加

# Set the image tags to match the git version from above
images:
  - name: quay.io/ansible/awx-operator
    newTag: 0.26.0

# Specify a custom namespace in which to install AWX
namespace: awx

• マニュフェストの適用

$ sudo ./kustomize build . | kubectl apply -f -
namespace/awx unchanged
customresourcedefinition.apiextensions.k8s.io/awxbackups.awx.ansible.com unchanged
customresourcedefinition.apiextensions.k8s.io/awxrestores.awx.ansible.com unchanged
customresourcedefinition.apiextensions.k8s.io/awxs.awx.ansible.com unchanged
serviceaccount/awx-operator-controller-manager unchanged
role.rbac.authorization.k8s.io/awx-operator-awx-manager-role configured
role.rbac.authorization.k8s.io/awx-operator-leader-election-role unchanged
clusterrole.rbac.authorization.k8s.io/awx-operator-metrics-reader unchanged
clusterrole.rbac.authorization.k8s.io/awx-operator-proxy-role unchanged
rolebinding.rbac.authorization.k8s.io/awx-operator-awx-manager-rolebinding unchanged
rolebinding.rbac.authorization.k8s.io/awx-operator-leader-election-rolebinding unchanged
clusterrolebinding.rbac.authorization.k8s.io/awx-operator-proxy-rolebinding unchanged
configmap/awx-operator-awx-manager-config unchanged
service/awx-operator-controller-manager-metrics-service unchanged
deployment.apps/awx-operator-controller-manager configured
awx.awx.ansible.com/awx-demo created

• AWXの構築

ログを確認しながら、インストール完了まで待ちます。

$ kubectl logs -f deployments/awx-operator-controller-manager -c awx-manager -n awx
(略)
--------------------------- Ansible Task StdOut -------------------------------

 TASK [Remove ownerReferences reference] ********************************
ok: [localhost] => (item=None) => {"censored": "the output has been hidden due to the fact that 'no_log: true' was specified for this result", "changed": false}

-------------------------------------------------------------------------------
{"level":"info","ts":1662367322.9867978,"logger":"runner","msg":"Ansible-runner exited successfully","job":"3826332412612488260","name":"awx-demo","namespace":"awx"}

----- Ansible Task Status Event StdOut (awx.ansible.com/v1beta1, Kind=AWX, awx-demo/awx) -----


PLAY RECAP *********************************************************************
localhost                  : ok=69   changed=0    unreachable=0    failed=0    skipped=50   rescued=0    ignored=0

----------
Ctrl+cで抜けます

awx-demoのステータスがRunningになったら、portとadminパスワードを確認します。

$ kubectl get pods -l "app.kubernetes.io/managed-by=awx-operator" -n awx
NAME                        READY   STATUS    RESTARTS   AGE
awx-demo-postgres-13-0      1/1     Running   0          3m25s
awx-demo-858b46b795-rqj2j   4/4     Running   0          2m54s
$ 
$ 
$  kubectl get svc -l "app.kubernetes.io/managed-by=awx-operator" -n awx
NAME                   TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)        AGE
awx-demo-postgres-13   ClusterIP   None           <none>        5432/TCP       9m52s
awx-demo-service       NodePort    10.43.66.172   <none>        80:30080/TCP   9m23s　# ポートの確認
$ 
$ 
$ kubectl get secret awx-demo-admin-password -o jsonpath="{.data.password}" -n awx | base64 --decode
qJcokXXXXXXXXXXXXX    # パスワードの確認

AWXにアクセス

AWXにブラウザで接続します。

• URL： http://IPアドレス:30080
  • インスタンスのIPアドレスを指定すること。kubectl で表示されたCLUSTER-IP ではない。
• ユーザ名： admin
• パスワード： 上記コマンドで確認したパスワード

無事アクセスでき、DEMOジョブテンプレートも動きました。

その他

UIもそうだけど、ワークフローテンプレートが作り方が結構変わっていて興味深い。
トポロジーは小規模ならそこまで気にしなくていいのかな？コントローラーと実行ノードが分かれているだけで、この辺りは使いやすそう。

参考

大変助かりました！

• AWX を AWX Operator でシングルノード K3s にホストする | kurokobo.com
• [Ansible] AWX 21.1.0をAWS上へ構築してみた - るつぼっと

はじめに

Backlogのインテグレーションでは、本日が期限日だけど完了していない課題を通知出来ません。そのため、GoogleAppsScriptで課題にコメントを登録するコードを作成し、Backlogのインテグレーションで通知できるようにしました。
GoogleAppsScriptを選んだ理由は、触ってみたかったのとトリガーの定時実行があるからです。

• Backlog API
  • Backlog API とは | Backlog Developer API | Nulab
• Google Apps Script -はじめに-
  • Apps Script – Google Apps Script

サンプルコード

サブドメインやプロジェクトIDは、Backlogを開いたURLに含まれています。
検索する課題のステータスのIDはデフォルトとし、完了していない課題は未処理・処理中・処理済みとしています

function func_backlog() {
  // 課題一覧を取得するためのパラメータ
  let parameter_get = {
    "method" : "GET",
    "contentType": "application/json",
  };

  // 本日の日付を取得する
  let today = Utilities.formatDate(new Date(), "JST","yyyy-MM-dd")

  // 取得したい課題の検索条件をURLの後に記載する
  let issues_url = "https://【サブドメイン】.backlog.com/api/v2/issues?apiKey=【API Key】&projectId[]=【プロジェクトID】&statusId[]=1&statusId[]=2&statusId[]=3&dueDateSince=" + today + "&dueDateUntil=" + today;

  // 課題一覧を取得する
  let rslt = UrlFetchApp.fetch(issues_url, parameter_get);

  // JSONにパースする
  let json_rslt = JSON.parse(rslt);

  // 課題にコメントを登録するパラメータ
  let parameter_post = {
    "method": "POST",
    "contentType": "application/x-www-form-urlencoded",
    "payload" : {
      // 任意のメッセージに変更してください
      "content" : "本日が期限日です",
    },
  };

  // 複数の課題に対応
  for (let i = 0; i < json_rslt.length ; i++) {
    // コメントを登録したい課題を指定する
    issues_comments_url = "https://【サブドメイン】.backlog.com/api/v2/issues/" + json_rslt[i]["issueKey"] + "/comments?apiKey=【API Key】";

    // 課題にコメントを登録する。rsltは無くてもいい
    rslt = UrlFetchApp.fetch(issues_comments_url, parameter_post);
    
    // ログ出力用。無くてもいい
    console.log("期限日 " + today + " のタスク: " + json_rslt[i]["issueKey"]);
  }
}

課題の検索条件について

• projectId
  • 複数のプロジェクトIDを指定できます
  • 複数の指定例（&は検索条件をorでつなぐイメージ）
    • projectId=100001&projectId=100002&projectId=100003
• statusId
  • デフォルト設定の場合、1=未処理、2=処理中、3=処理済みです
  • 複数の指定例（&は検索条件をorでつなぐイメージ）
    • statusId=1&statusId=2&statusId=3
• dueDateSince
  • 期限日の範囲（開始日）を指定する
• dueDateUntil
  • 期限日の範囲（終了日）を指定する
  • dueDateUntil以前の課題をすべて検索したい場合は、dueDateSinceを指定しない

BacklogのAPI Key取得手順

API Keyを発行した、個人アカウント名でコメントが書かれます。そのため、あたかもその個人から言われたと感じる恐れがあり、人を連想しないアカウント（例えばシステム、またはチコちゃん）でAPI Keyの発行することをお勧めします。

• API Key取得手順
  • APIの設定 – Backlog ヘルプセンター

Backlogのインテグレーション設定

下記を参考に設定します。SlackやTeamsなどがあります。

• インテグレーションの設定手順
  • インテグレーション – Backlog ヘルプセンター

GoogleAppsScriptのトリガー実行設定

GUIでさっと時間や日、週指定などが設定でき、なんならログも保存されます。便利ですね。

• 参考
  • GASでスクリプトを定期実行させてみる - Qiita

はじめに

JAVAアプリをビルドし、JenkinsのパイプラインでVeracodeのアプリケーション診断を実行してみます。
なお、フリースタイルプロジェクトではなく、パイプラインで実装します。

• Veracodeとは
  • ソースコードの静的解析やアプリケーションに対する動的解析をクラウド上で行います。
  • Webアプリケーションファイアウォール(WAF)と組み合わせることで、より堅牢なセキュリティになるかと思います。
  • Veracode for AWS CodeStarやVeracode Azure DevOps Extensionもあるようです。
  • Veracode Jenkins Plugin
  • Veracode Scan | Jenkins plugin

環境

• Jenkins : 2.332.2
• Veracode Scanプラグイン : v22.5.17.2

事前準備

• Veracode Platformで実施すること
  • API IDとSecretKeyを作成する
  • JARファイルのアップロード先となるアプリケーション(ガワみたいなもの)を追加する
    • アプリケーションの検査ポリシーのレベルや、Sandboxの使用可否を設定する
• Jenkinsで実施すること
  • Veracode Scanプラグインを導入する
  • Jenkinsの認証情報にAPI IDとSecretKeyを登録する
    • 認証情報の種類はユーザ名とパスワードとする

Jenkinsパイプラインの設定

• なるべく少ないオプションで実現しています
  • Jenkinsパイプライン内で、 Veracode Platformにアプリケーション(ガワみたいなもの)を追加したり、Sandboxを設定する事もできます

stage('VeracodePipelineスキャン') {
    steps {
        withCredentials([
            usernamePassword (
                // 認証情報をIDとSecretKeyに分割します
                credentialsId: '【認証情報のID】',
                usernameVariable: 'VERACODE_API_ID',
                passwordVariable: 'VERACODE_API_KEY'
            )
        ]) {
            veracode applicationName: '【アプリケーション名】',
            // コンソールにデバッグ情報を表示します
            debug: true,
            sandboxName: '【サンドボックス名】',
            // scanNameがスキャン結果の名前になります。毎回変わる値が含まれていると良いです
            scanName: "${BUILD_TAG}",
            // Scanの待ち時間(分) 
            timeout: 60, 
            // ワークスペースのルートディレクトリが基準のようです
            uploadIncludesPattern: '**/【ファイル名】.jar',
            vid: "${VERACODE_API_ID}",
            vkey: "${VERACODE_API_KEY}",
            // スキャンが終わるまで待ちます。また、スキャン結果がJenkinsパイプラインの結果に表示されます
            // trueを指定しない場合、Veracodeにアプリケーションのアップロードとスキャン指示を出して、次の処理に進みます。スキャン結果は、Veracode Plaformでの確認になります
            waitForScan: true
        }
    }
}

パイプラインの実行結果

• スキャン結果
  • 6段階のSeverityで表示されます。

• ログ

[Pipeline] withCredentials
Masking supported pattern matches of $VERACODE_API_ID or $VERACODE_API_KEY
[Pipeline] {
[Pipeline] veracode
Warning: A secret was passed to "veracode" using Groovy String interpolation, which is insecure.
         Affected argument(s) used the following variable(s): [VERACODE_API_KEY, VERACODE_API_ID]
         See https://jenkins.io/redirect/groovy-string-interpolation for details.
------------------------------------------------------------------------
Upload and Scan with Veracode Pipeline
------------------------------------------------------------------------

[Debug mode is on]

Can Fail Job: false

Timeout: 60

Version information:
VeracodeJavaAPI v22.1.9.3 cUnknown

HPI location: 
var/lib/jenkins/plugins/veracode-scan/WEB-INF/lib/veracode-scan.jar

Processing files in [remote] workspace: 
/var/jenkins/workspace/xxx

Performing scan from [remote] workspace?
true

Invoking the following command in remote workspace:
[xxx] $ java -jar /var/jenkins/veracode-scan/VeracodeJavaAPI.jar -action UploadAndScan -vid **** -vkey ******** -scantimeout 60 -appname 【アプリケーション名】 -createprofile false -sandboxname "Development Sandbox" -createsandbox false -version jenkins-xxx-22 -autoscan true -maxretrycount 5 -debug -filepath /var/jenkins/workspace/xxx.jar -useragent "VeracodeScanJenkins/22.5.17.2 (Jenkins/2.332.2; Java/Unknown)"
[2022.06.08 07:21:17.069] VeracodeJavaAPI v22.1.9.3 c17.0.3
[2022.06.08 07:21:17.070] Wrapper action: UploadAndScan
(略)
[2022.06.08 07:41:55.212] Requesting analysis info again in 60 seconds.
[2022.06.08 07:43:55.214] 
[2022.06.08 07:43:55.214] The status of the new analysis is "Results Ready".
[2022.06.08 07:43:55.216] Invoking API https://analysiscenter.veracode.com/api/4.0/summaryreport.do
[2022.06.08 07:43:55.216] Query string: build_id=xxx
[2022.06.08 07:43:55.216] Connecting to host: analysiscenter.veracode.com
[2022.06.08 07:43:55.322] Writing to request output stream
[2022.06.08 07:43:55.322] Close request output stream
[2022.06.08 07:43:55.322] Getting response status code from HTTP response message
[2022.06.08 07:44:08.371] Server returned HTTP response code: 200
[2022.06.08 07:44:08.371] Retry is not required
[2022.06.08 07:44:08.371] Connecting to response input stream
[2022.06.08 07:44:08.371] Reading response input stream
[2022.06.08 07:44:08.391] Close response input stream
[2022.06.08 07:44:08.604] 
[2022.06.08 07:44:08.604] The scan finished with policy status 'Pass'.
[2022.06.08 07:44:08.609] Wrapper return code 0 = Success
[Pipeline] }
[Pipeline] // withCredentials
[Pipeline] }

参考

診断時間は早いのか遅いのか他と比較してないから分からないけど、JARファイル80MBで平均20分(試行回数10回)くらいでした。