TL; DR

• とりあえず --privileged をつける。つけないでいい感じで動かすのは大変そう。
• CentOSは公式でsystemd用のベースイメージを用意してくれているので、Ubuntuを使いたい人以外はそちらを使うのが良さそう
  • https://hub.docker.com/r/centos/systemd/
• STOPSIGNAL SIGRTMIN+3 をつける

例

FROM ubuntu:18.04

RUN apt-get update \
 && apt-get install -y \
    openssh-server \
 && rm -rf /var/lib/apt/lists/*

RUN mkdir -p /var/run/sshd && chmod 755 /var/run/sshd

ARG GITHUB_USER
# ADD ubuntu user, and set password and public key
ADD https://github.com/${GITHUB_USER}.keys /home/ubuntu/.ssh/authorized_keys
RUN useradd -u 1000 ubuntu \
 && usermod -s /bin/bash -G adm,sudo ubuntu \
 && echo "ubuntu ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers \
 && mkdir -p /home/ubuntu && chown -R ubuntu.ubuntu /home/ubuntu

STOPSIGNAL SIGRTMIN+3
CMD [ "/sbin/init" ]

例えばこんな感じのDockerfileでSSHサーバをsystemd経由で起動しようとすると、想定どおりに動作していません。 (ubuntuユーザでコンテナにSSH出来ない)

$ docker build --build-arg GITHUB_USER=${GITHUB_USER} -t kamatama41-ubuntu-systemd-test .

$ docker run -p 2222:22 -d --rm kamatama41-ubuntu-systemd-test
1faf7f57aabba3ccb935cbc3de84224f304021c87a31a7487164a2ac157e33b1

$ ssh ubuntu@localhost -p 2222
ssh_exchange_identification: Connection closed by remote host 

docker runのときに --privileged オプションを付けると想定通りの動きになります。

$ docker run -p 2222:22 -d --privileged --rm kamatama41-ubuntu-systemd-test
f4adaea692edd55bdc059536cebe3b5aac03d842af33c0b902bb79ccb1251e3a

$ ssh ubuntu@localhost -p 2222                                             
Welcome to Ubuntu 18.04.2 LTS (GNU/Linux 4.9.125-linuxkit x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage
This system has been minimized by removing packages and content that are
not required on a system that users do not log into.

To restore this content, you can run the 'unminimize' command.

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

ubuntu@f4adaea692ed:~$ 

とりあえず、テスト用途で動かす場合はこれで大丈夫そうですが、本番では使わない方が良いでしょう。ググった感じsystemdをnon-privilegedなUbuntuのコンテナで動かすのは結構大変そうです。

CentOSは公式でsystemd用のベースイメージを提供してくれているので、本番で使いたい場合はこちらを使うのが良いでしょう。

あと１点注意点として、systemdのコンテナを止めるときは SIGRTMIN+3 を使わないといけないようなので、 STOPSIGNAL を変えてあげておきましょう。

TwitterやFacebookでフォローされてる方は知っているかと思いますが、3月末で前職を退職していました。短い間ですがお世話になった皆さんありがとうございました。1年弱という社会人生活で一番短い在職期間になりました。

これまで

Hosted Embulk for TDである、DataConnector/ResultOutputという２つのサービスをメンテナンスするチームに所属していました。そこで新規/既存のEmbulkプラグインの開発、Embulk本体のメンテナンス、サービスを提供するためのアプリケーション開発、実行環境や開発環境の改善など主にバックエンド周りのことをやっていました。また、夏ごろにアメリカ出張に行ったことは人生初のアメリカということもあって、とても良い経験になりました。

現在

SEQSENSEという警備ロボットを開発しているベンチャー企業に4月から所属しています。コアとなる強みは自律移動ロボットの開発能力でロボット界隈では結構有名な会社のようです。自分が担当しているのはバックエンド周り全般で、具体的には以下のようなものがあります。メインとなる言語はGoなので勉強中です。

• ロボットをWebから管理するためのアプリケーション開発
• ロボットとのコネクティビティ周り
  • AWS IoTを使ったMQTTでのやりとり
  • ロボットと動画、音声をやり取りする*1ためのサーバ開発
• 外部システム *2 との連携
• 全体のインフラ*3、開発環境構築、改善

恥ずかしながらインタビューもしてもらったので、会社についてや転職の理由など詳しいところはこちらを見て頂ければと思います。

興味を持たれた方はぜひDMなりでご連絡いただくか、Wantedlyで応募してください、お待ちしております m(_ _)m

github.com

このバージョンより、Embulk clientとserver間でTLSでの接続ができるようになりました。

設定方法 (クライアント)

まず、use_tls オプションをtrueに設定してください。サーバ側が(クライアントにとって)既知のCA証明書でサインされた証明書を使っていれば、これだけでOKです*1。

exec:
  type: remoteserver
  hosts: ...
  use_tls: true

そうでない場合は、CA証明書をca_cert_pathに追加してください

exec:
  type: remoteserver
  hosts: ...
  use_tls: true
  ca_cert_path: path/to/ca.cert.pem

クライアント認証が必要な場合、クライアント証明書と秘密鍵がセットになったPKCS12ファイルのパスとパスワードをcert_p12_fileで指定してください。

exec:
  type: remoteserver
  hosts: ...
  use_tls: true
  cert_p12_file:
    path: path/to/cert/client.p12
    password: xxxxx

設定方法 (サーバ)

EmbulkサーバをTLSの終端にする場合*2、以下の環境変数を設定してサーバを起動してください

• USE_TLS=true: TLS接続を有効にする
• REQUIRE_TLS_CLIENT_AUTH=true: クライアント認証を有効にする
• CERT_P12_PATH, CERT_P12_PASSWORD: サーバ証明書と秘密鍵のペアのPKCS12ファイルパスとパスワード
• CA_CERT_PATH: CA証明書のパス。クライアント証明書が(サーバにとって)未知のCA証明書でサインされてる場合に必要

例えばdocker-composeで設定する場合以下のようになるかと思います

version: '3'
services:
  server:
    image: kamatama41/embulk-executor-remoteserver
    ports:
      - "30001:30001"
    volumes:
      - ./certs:/root/certs
    environment:
      USE_TLS: "true"
      REQUIRE_TLS_CLIENT_AUTH: "true"
      CERT_P12_PATH: /root/certs/embulk-server.local.p12
      CERT_P12_PASSWORD: xxxxx
      CA_CERT_PATH: /root/certs/ca.cert.pem

CicleCIでDockerイメージを再利用する - かまたま日記3

こちらの記事の最新版です。 現在CircleCIはバージョン2で、Docker Layer Cachingという機能がありますが、残念ながら追加のフィーが必要です。というわけで、会社とかで使っててフィーを払える方はそちらを使うとして、個人のOSS活動などで払うのが厳しい方用に普通にCircleCI 2.0のファイルのキャッシュ機能を使った方法を解説します*1

前回に比べて以下の点が変わっています

• GoのようにMulti stage buildを使って多段ビルドを行う前提 (最初のビルドのステージはas buider でbuilderという名前がついてます)
• Docker image を完全に再利用はしないで中間イメージを再利用する (docker build は毎回やる)
• docker save 後のtarファイルを更にgzに圧縮してリストアの時間短縮を図る

注意として、自分の環境では、数百メガのキャッシュをload cacheとsave cacheするので2~3分かかるのでキャッシュを使うことによって、それ以上短縮出来なければ、総時間は変わらないか悪くなる可能性もあります。

1. キャッシュ用のディレクトリとキャッシュキーを決める

ここではディレクトリは /home/circleci/docker-cache、キャッシュキーは毎回変えたいので {{ .Branch }}-{{ .Revision }} を使います

- restore_cache:
    keys:
      - v1-docker-{{ .Branch }}-{{ .Revision }}
      - v1-docker-{{ .Branch }}-
      - v1-docker-

- save_cache:
    paths:
      - "/home/circleci/docker-cache"
    key: v1-docker-{{ .Branch }}-{{ .Revision }}

2. イメージをビルドする

今回は builder のイメージを取っておきたいので、builderの部分は別にビルドしてbuilerタグを付けています。

IMAGE_NAME=my_app
CACHE_FROM="--cache-from ${IMAGE_NAME}:builder --cache-from ${IMAGE_NAME}"
docker build --pull ${CACHE_FROM} --target builder -t ${IMAGE_NAME}:builder .
docker build --pull ${CACHE_FROM} -t ${IMAGE_NAME} .

3. イメージを保存する

docker save で保存するイメージを docker history コマンドで取得します。 builder を取ってるのがミソです。

mkdir -p /home/circleci/docker-cache
image_ids=$(docker history -q my_app:builder | grep -v '<missing>')
docker save ${image_ids} | gzip > ${DOCKER_CACHE_FILE}

4. イメージを展開する

Gzip化しているのでgunzipコマンドで解答して docker load に渡します

if [ -f /home/circleci/docker-cache/image.tar.gz ]; then
  gunzip -c /home/circleci/docker-cache/image.tar.gz | docker load
fi

全体

キャッシュファイルのパスを変数に入れて、以下のような感じになります。関係ない部分*2は略してます。

version: 2
jobs:
  build:
    environment:
      DOCKER_CACHE_FILE: /home/circleci/docker-cache/image.tar.gz
    steps:
      - checkout
      - restore_cache:
          keys:
            - v1-docker-{{ .Branch }}-{{ .Revision }}
            - v1-docker-{{ .Branch }}-
            - v1-docker-
      - run: |
          name: Load Docker cache
          command: |
            if [ -f ${DOCKER_CACHE_FILE} ]; then
              gunzip -c ${DOCKER_CACHE_FILE} | docker load
            fi
      - run: |
          name: Docker build
          command: |
            IMAGE_NAME=my_app
            CACHE_FROM="--cache-from ${IMAGE_NAME}:builder --cache-from ${IMAGE_NAME}"
            docker build --pull ${CACHE_FROM} --target builder -t ${IMAGE_NAME}:builder .
            docker build --pull ${CACHE_FROM} -t ${IMAGE_NAME} .
      - run:
          name: Save Docker cache
          command: |
            mkdir -p $(dirname ${DOCKER_CACHE_FILE})
            image_ids=$(docker history -q my_app:${t} | grep -v '<missing>')
            docker save ${image_ids} | gzip > ${DOCKER_CACHE_FILE}
      - save_cache:
          paths:
            - ${DOCKER_CACHE_FILE}
          key: v1-docker-{{ .Branch }}-{{ .Revision }}