病みつきエンジニアブログ

機械学習、iPhoneアプリ、Javascript,Ruby on Railsなどなど。

Apexを使ってAWS Lambdaを楽に管理しよう

AWS Lambdaでサーバーレス楽しんでるみなさん。

私の所属するJX通信社では、AWS Lambdaを結構活用しています。Lambdaのデプロイ管理のために、個人的にはApexというツールを使っているので、今回はその紹介をしたいと思います。

apex.run

TL; DR

Lambda使うならApex使おう

Lambdaやってて発生する辛み

Lambdaを継続して使ってくると、だいたいこんな辛みがでてきます。

  • Lambda関数が増えてくるので管理が大変
  • Lambda関数を更新するために必要なステップが多すぎる

Lambda関数を更新するためには、だいたい次の作業が発生してきます。

  • pip install とか npm install とかして、依存ライブラリをインストール
  • ソースコードと依存ライブラリを一つのzipに梱包
  • S3にアップロード
  • Lambda関数を更新
  • 必要であれば、エイリアスを更新
  • 実行して動作を確認
  • CloudWatch Logsを見て動作を確認

というところで、これを自動化したくなってくるわけですが、それを自動化してくれるOSSが既に存在しています。本稿で紹介するApexもそのようなツールの一つです。ここでは「デプロイ管理ツール」と呼称します。

デプロイ管理ツールの分類

デプロイ管理ツールはいくつかあります。awesome-servelessというリポジトリが参考になりますが、デプロイ管理ツールを分類すると、

  • 特定の言語(ランタイム)に依存するか、全ての言語に対応するか
  • アップロードだけか、それ以外の機能も備わっているか
  • インフラ管理をする機能が備わっているか
  • API Gatewayの管理をする機能が備わっているか
  • 依存ライブラリの管理をする機能が備わっているか
  • 関数を呼び出したり、ログを確認したり、ロールバックの機能があるか

Apexはその中でも、「全ての言語に対応(というかGoにすら対応!)」「アップロード以外に、ログ確認や呼び出し機能も含む」「Terraformと連携してインフラ管理ができる」「API Gatewayの管理や依存ライブラリ管理の機能は備わってない」という分類のツールです。

参考にするべきページ

何か困ったら、Githubで検索すると良いです。

使い方の紹介

Apexにはinitスクリプトが入っているので、簡単に始めることができます。使い方を知るために、まずは空のプロジェクトから始めると良いです。

# インストール
curl https://raw.githubusercontent.com/apex/apex/master/install.sh | sh
# 初期化
apex init

apex init すると、次のようなディレクトリができます。

.
├── functions
│   └── hello
│       └── index.js
├── infrastructure
│   ├── dev
│   │   └── main.tf
│   └── modules
│       └── iam
│           ├── iam.tf
│           └── outputs.tf
└── project.json

このうち、project.jsonが設定ファイルで、infrastructureはterraformで扱うコードfunctionsがLambda関数です。functionsの下のディレクトリと、デプロイされるLambda関数が、一対一に対応します(つまり、 {プロジェクト名}_hello というLambda関数がデプロイされる)。

デフォルトのhello関数は index.js が入っているので、当然nodeランタイムが選択されます。main.py だったらPythonが選択されます。ランタイムの推論ルールはソースコードで確認できますが、function.json を変更することで、ランタイムや、ハンドラー関数を明示的に指定することもできます(このあたりは、Githubで検索するとわかりやすいかも)。

Terraformは、terraform hogehoge の代わりに、 apex infra hogehoge のように扱います。そうすることで、関数名のARNとかがうまい感じにTerraformに引き渡されます。

デプロイ

apex deploy

こうすると、デフォルトで current というエイリアスが貼られて、全ての関数がデプロイされます(コードが変更されてなければ、もちろんデプロイされない)。--alias フラグとかをつけると、エイリアスを明示的に変えることも出来ます。

呼び出し

apex invoke hello < event.json

渡すJSONを指定して、上記のように呼び出せます。

ログの確認

呼び出した際、当然ログを確認したいですね、ということで、ログの確認は下記のようにします。tail -f のようにしたい場合は、-f フラグをつけます

apex logs hello
# または
apex logs -f hello

Apexの悪いところ

  • dev, prod のような環境管理が、別アカウントであることが前提になっている。つまり、Lambdaのエイリアスであったり、API Gatewayのステージで環境管理をすることがあまり想定されていない
  • Terraformを使ったことがない人には、Terraformの学習コストが高い。ただし、Terraformを使わずにGUIでポチポチインフラ管理をすることももちろんできる
  • Pythonのpipのサポートが特にない(というかnode以外のサポートが薄い? ちなみに作者はJS界隈で有名な @tj さん)

ApexのTips

Apexの悪いところをあげてみたのですが、回避策もあります。そんなTipsを紹介します。

強制的にデプロイする

デプロイする際、--alias というフラグをつけるとエイリアスcurrent以外にできると紹介しました。しかし、次のようにすると、コードが更新されていないためにデプロイされません。

# currentを更新
apex deploy
# devを更新、、、されない!
apex deploy --alias dev

こういうときは、--set という環境変数を変更するためのフラグを使って、強制的にコードが変わった状態を作ってデプロイすると良いです。

# currentを更新
apex deploy
# 環境変数を入れるために、コードが変更されるので、devが更新される!
apex deploy --alias dev --set tekitounahensuu=dev

Pythonで使う

先ほども述べたとおり、pipとかrequirements.txt のための仕組みは特にありません。

Apexでは、 functions というディレクトリ規約で、関数をデプロイします。つまり、functions というディレクトリをうまく使ってあげるといろいろできます。言い換えると、functionsディレクトリはビルド用ディレクトリ(コミットしないディレクトリ)として割りきりましょう

例えば、次のようなディレクトリ構成を考えます。

.
├── functions
│   └── hello
│       └── .gitkeep
├── infrastructure
├── project.json
└── src
    └── hello
        ├── main.py
        └── requirements.txt

src というディレクトリを作りました。例えば、apex deployする前に、次のようなステップを踏んであげれば、「requirements.txtの依存関係をインストール」「ソースコードディレクトリを綺麗にする」という2つの要望がかなえられます。

1. pip install -r requirements.txt -t functions/hello して、依存ライブラリをインストール
2. cp -r hello functions/ して、ソースコードをfunctions下にコピー
3. apex deploy すると、functions/hello の中身をデプロイしてくれる

ちなみに、Apexにはhookの仕組みがあるので、活用すると良いと思います。

Javaで使う

Javaの場合は、apex.jar というファイルがあれば、それをデプロイします。つまり、こんな感じ。

.
├── functions
│   └── hello
│       └── apex.jar
├── infrastructure
├── project.json
└── src
    └── hello
        └── 適当にJavaプロジェクトとか作ればいいじゃない

同じように、ソースコードfunctions 以外で管理しましょう。jarさえ作れば良いので、ScalaだろうとClosureだろうとGroovyだろうと(たぶん)動きます(Scalaしかやったことないけど)。

APIの管理にはTerraformを使わない

突然ですが、TerraformのAPI Gatewayの管理は貧弱です。貧弱というか、「ステージへデプロイをする」ということを想定していない作り、だと思います。

API Gatewayは幸いなことにSwaggerによる管理ができるようになっています。これをインポートするための公式ツールもあるので、これを使うと良いでしょう(awslabs/aws-apigateway-importer: Tools to work with Amazon API Gateway, Swagger, and RAML)。

ちなみにSwaggerによるインポートに対応する予定はあるみたいです。

まとめ

いろいろ書いてきましたが、Apexというツール自体、高速に動くし、便利だし、縛りも少ないし、おすすめです。

日本で一番Apexで苦しんできたかもしれないので、何か質問などあればTwitterとかでメンションください。

ところで、JX通信社では素敵なPythonistaや素敵なiOSエンジニア募集中です。

www.wantedly.com

通信系テストのためのサイトのススメ:example.com、httpbin.org、badssl.com

HTTP通信の機能を持ったプログラムをテストするときに、どこにアクセスするか、迷うことがある。(モックが使えるならそれがいいけど)

そんなときにおすすめな、example.comhttpbinbadssl.comを紹介してみる。

example.com

名前がそのままだが、example.com はちゃんと動くサイトである。よくサンプル文字列として(例えばメールアドレスとかで)仕込んでたのだが、最近まで本当に生きたサイトだとは知らなかった

亜種に example.org とか example.netもある。RFC 2606に定義されているそうで、第三者に悪影響が及ばないことを保障することができるとある。Wikipediaにも記事がある。

ただ、あくまで普通のウェブサイトであり、「403をテストしたい」といった特殊なテストには合わない。そんな人にhttpbinをおすすめしたい。

httpbin

httpbin は高機能なレスポンスをJSONで返してくれるサイトだ。トップページを見ると、返してくれるエンドポイントの一覧が見られる。

具体的なエンドポイントを軽く紹介する。

/ip

https://httpbin.org/ip を叩くと自分のIPアドレスが返ってくる。つまり、IPアドレスを返すためのエンドポイント。

/headers

http://httpbin.org/headers を叩くと、リクエストしたヘッダーが返ってくる。ヘッダーのテストなどに。

/status/:statusCode

このエンドポイントは、特定のステータスコードを常に返すことができる。例えば、https://httpbin.org/status/418 は 418のステータスコードになる。

/delay/:n

これは、遅延したレスポンスを返す。例えばhttp://httpbin.org/delay/3は3秒待ってレスポンスを返す。

その他

他にも、認証のテストであったり、Cookieのテスト、リダイレクトのテスト、キャッシュのテストなどなどいろいろできるので、便利。

badssl.com

最後に、SSLのテストができる badssl.comを紹介する。このサイト上では、いろんな種類の良い/ダメなSSLサブドメインがテストできる。例えばオレオレ証明書などがあるので、こういったサイトに接続できないようになってるかなど、テストすると良いと思う。

他にもおすすめなサイトがあったら教えて下さい〜!

そろそろニューラルネットやディープラーニングを「人間の脳を模倣してる」というのをやめませんか?

最近(?)ニューラルネット(Neural Network)やらディープラーニング(Deep Learning; 深層学習)やらが流行ってきて、人工知能やらシンギュラリティやら言われるようになって、その中でよく言われるのが「ディープラーニングは人間の脳を模倣してる」とか「特徴量を選ばずに学習できる」とか、そんなことが言われるわけです。

けど、そういったキーワードが一人歩きして、「人工知能は危険だ」論とか、人工知能に対する過剰な期待論がはびこってしまっている気がする。そこで言いたいのが「ディープラーニングは人間の脳を模倣している」と言ってしまうのをやめましょう、という話。

ニューラルネットワークが「人間の脳を模倣」してる話

まず最初に、「ニューラルネットワークが人間の脳を模倣してる」論が、あながち間違ってないよ、ということを話しておきたい。あながち間違ってないんだけど、それでもやめたほうが良いよということを言いたい。

そもそも、ニューラルネットワークは、「Artificial Neural Network=人工ニューラルネットワーク」とか言われたりする。つまり、わざわざ「人工」という言葉をつけている。逆に「人工」じゃないものが何かというと、それはBiologicalなニューラルネットワークであって、つまり生物に備わる脳の話だ。

ニューラルネットワーク系に出現する用語も、明らかに脳の用語から出現するものがある。わかりやすいものだと「ニューロン」とかもそうだし、視覚野を模しているものもあると聞く。「細胞」という言葉が出てくることもある。

実際、PRMLにはこう書いてある(上巻5章 p.226)

ニューラルネットワーク」という語は、生体システムにおける情報処理を数学的に表現しようという試みにその起源がある(McCulloch and Pitts, 1943, Widrow and Hoff, 1960; Rumelhart et al., 1986)

「脳から学ぶ」という分野もあるし、生物から学ぶこと自体、とても価値のあることだと思う。

それでもなお、「ニューラルネットワークは人間の脳を模倣している」という表現は、かなりのミスリーディングを生んでいると思う。その話をしたい。

理由1:ニューラルネットワークは関数であって、「意識」ではない

そもそも、ニューラルネットワークは確定的な関数として表現されたりする。単純な例で、三層パーセプトロンの話を持ちだそう。

三層パーセプトロンは、次のような図式で表現される。多層パーセプトロンより引用

f:id:yamitzky:20160513011244j:plain

確かに、これではまるで脳に見えてくるかもしれない。しかし数式化するとこうなる。(PRML p.228より引用し、簡略化のためバイアス項を削除)

{ \displaystyle
y=\sigma \sum_{j=1}^{M}{w_{kj}^{( 2)} h \left ( \sum_{i=1}^{D}{w_{ji}^{( 1 )}x_{i}} \right )}
}

この式は、かなり乱暴に言えば「出力=係数2×(係数1×入力)」だ。ちなみに、「係数×入力」というのは、有名な「線形回帰」だ。つまり、かなり単純には線形回帰を2段階にしたもの、ということができる。「線形回帰」をもっと単純な話に言い換えると、中学だか高校の数学の「y = ax + b」だ。これを多段階にしただけで人間の「意識」と呼ぶのはさすがにおこがましいし、この三層パーセプトロンは入力に対して掛け算をしていくだけのものだ。途中でニューロンがプッツンすることはないし、アルツハイマーになることはない。

ニューラルネットワークのキーポイントの1つは、関数として目標と近似できる能力の高さではないかと思う。「意識」というものがあって、「人格」というものがあって、「考える」という能力があるような「人間シミュレーション」とは、現状は根本的に異なる。(そのうちぶつかるかもしれないけど)

ここにあげた例はかなり単純な例であるが、画像処理に使われる畳込みニューラルネットワークなども同様に、パラメータと入力に対して確定的に計算することになる。もちろんそこに確率的な枠組みを導入することはできるが、そうでなければ必ずしも精度が出ないということではない。ましてや、ここに意識という存在を考えるのは、さすがにバカバカしい。

理由2:脳を模倣するほど精度があがるわけではないし、必ずしも脳の模倣ではない

自然言語に対するニューラルネットワークの適用で言うと、LSTMというものが使われることがある。LSTMについてはわかるLSTM ~ 最近の動向と共に - Qiitaが詳しいが、その発展の仕方が興味深い。

もともとRNNのような構造があって、そこに「勾配消失問題」と呼ばれる課題があり、それによって精度が出ない類のタスクがあった(超深い層のNNを学習するようなものだった)。そこで、入力ゲート・出力ゲート・忘却ゲート、etc...みたいなものが提案され、精度が改善されて、、、という進化をたどっている。

そこで疑問なのは、果たして人間の脳はLSTMのような構造を持つだろうか? もしくは、生物の脳はLSTMのような進化を経ただろうか?

答えについては、自分は知らない(正しいか間違っているかわからない)。ひょっとしたら繋がりがあるかもしれないが、提案されている論文には「人間の脳がそういう風にできているから」という話は書いていない。

それよりもむしろ、提案者は「モデルとして現在勾配消失問題があって、それを解決するためにはどういう構造を提案すればよいか?」と考えているだろう。脳を模倣するという話は、1つのアイディアの起点でしかなくて、既存の課題を解決する構造は何か、という話の方がむしろ大事だと思う。

まとめ

言いたいのは、ニューラルネットは人間の脳とは全く関係がないだとか、脳を模倣することに意味はないだとかではなくて、「ニューラルネットが人間の脳を模倣している」ということによって、過剰な恐怖を煽ったり、過剰な期待を煽ったり、誤った認識を導いてたり、NNのブレイクスルーの本質を見誤ったりないですか?ということ。

そろそろ、ニューラルネットやディープラーニングを「人間の脳を模倣してる」というのをやめませんか?

転職しました&新年の抱負

昨年の12月に新卒入社したサイバーエージェントを退社して、今月からJX通信社で働きます。 JX通信社は大学時代にアルバイトしていた会社なので、カムバックすることになります。 (といっても、ロゴとかオフィスとかいろいろ変わっているのですが…)

本当に何の実力もないところから、iOS/Android/フロント/サーバーサイド/トピックモデルでほげほげなどやらせていただいた会社で、 恩返しできるのがすごく嬉しいなあと感じています。

「ビジネスとジャーナリズムの両立」という会社ビジョンがあるのですが、まだそこまで踏み込んだ思考はできないまでも、 テクノロジーの観点、もっと具体的には機械学習とかデータ分析とかの観点から、 ニュースの新しい風を提案&実現していきたいなぁと思っています。

去年の振り返り

去年は結構辛いことが多かったのですが、一年半近く悩んでた退社の最後の一押しになったので、結果的にはすごく良かったかなと思います。

一昨年とか本当に勉強していなくて、技術的に新しいこともなかったので、完全に失われた一年でしたが、 去年は終業後に勉強ちゃんとできたりして良かったです。(それでも11時とかに帰ることが多かったけども) また、去年は機械学習の活用にどっぷり浸かれたり、AWS周りやったり、ミドルウェアと戦うこともあり、 改めて振り返ると知識が深まった一年でもありました。(教えてくださった方々ありがとうございます、本当にm( )m)

プライベートの方だと、最近休日に外に出るっていうのができるようになりまして、 何もなくてもとりあえず外に出て、一人でランチ食べて、カフェに行って読書、みたいなことができるようになりました。 これだけ書くと人としてやばそう

今年の抱負

10個目標立ててみました。テーマは「人間++」

プログラミング編

・技術ブログのアウトプット 月1くらいは、納得できるボリューム感のブログ書いときたい 酔っ払って書いたメールの添付ファイルがどうこうみたいなブログじゃなくてな!

・Kaggleなどのコンペ そもそもやったことないので、今年は2個くらいやってみる、かつ、順位は半分よりは上くらいの緩い感じで。

・読書 一日1時間くらいの読書。MLaPPとか論文とか。あとはプログラミング全般の本とか(特に設計周りが弱いので、、、)。 会社から徒歩でおうち帰れるので、帰りの途中のカフェで読む、とかだったら続くはず。 読書の結果をどうアウトプットするか、というのがまだ確立できていない。

ライフログ 体重、Pocketの量、データ通信量、帰宅時間、などなど、とりあえずデータ取ってみる

・スマートホーム IRKitとかKinectとかルンバあるので、電動カーテンレールとか、スマホで鍵開けるのとか、いろいろやってみたい。 あとは、音声で家の操作できたら最高

・情報収集ツールを作る 自分だけの情報収集ツールを作る。ほかの人が見る情報ソースだけ取ってても勝てないので。 翻訳、レコメンド、アプリ化、あたりはしたいかなぁ

プライベート編

・72kgまでダイエット ダイエット方法は、毎日体重を記録する、だけでまずは始める。「気持ちダイエット」だ!!!! KibanaとかでWeb上に公開して、Twitterの名前とかも自動で変えられるようにする

・映画 見たいなあと思って見逃すこと多いので、月1くらいのペースで映画館行く 新年一発目はスターウォーズ見たいので、「スターウォーズファンってほどじゃないけどスターウォーズ見たい人」を募集しています。宛先はこちら! @yamitzky

・投資 ボーナスとか有給消化とか、実質使わずに取っておいているような状態なので、投資したい。 今のところ考えているのは株

・整頓された部屋 結構家が汚い(しかし足の踏み場はあり、生活はできるし虫も出ない)ので、もう少し整った家をキープしたい。年明け早々引っ越すし。 詳細を書くと生活レベルの低さに驚かれるので、書きません。

触っておきたい技術とか

・TensorFlow → 生成系の実装とかしたい。アルゴリズムによって生成した画像と、著作権の関係とかに問題提起したい ・MCMC系ライブラリ → トピックモデルの実装したい ・Spark → 分散前提のアルゴリズムの実装したい ・Jupyter、Rodeo → 手に馴染むデータ分析環境つくりたい ・Kibana → ライフログ可視化周り ・Julia、Elixir

そんじゃーね! 今年もよろしく!

今更始めるDocker on Mac、今更覚えるDockerコマンド

今更ながらDocker始めてみた。モチベーションとしては、Sparkとか試すために、手元に仮想環境がほしいから。なので、Immutable Infrastructureとか、KubernetesとかPackerはもちろん、Dockerfileとかにも踏み込まず、Dockerを始めてみる

Docker始めるにあたり読んだ記事

基本的には Installation on Mac OS X を参考にしながら、若干逸脱しつつ、基本コマンドなどを触ってみる。

インストール方法

Installation on Mac OS X を参考にする。 boot2dockerは非推奨なので Docker Toolbox使う。基本的にはGUIに従えば良い。

OSXでは、Linux上のDockerと違い、default というLinux VM上で動く。このVMdocker-machine コマンドで動かす

GUIからインストールしていると、VMは既に作成されているはず。Linux上でのDockerとの違いにより、この“URL”がちょっと重要

$ docker-machine ls
NAME      ACTIVE   DRIVER       STATE     URL                         SWARM   DOCKER   ERRORS
default   *        virtualbox   Running   tcp://192.168.99.100:2376           v1.9.1

default VMが死んでいると、dockerコマンドは動かないので、docker-machine コマンドから立ち上げるなり作成するなり

$ docker images
Cannot connect to the Docker daemon. Is the docker daemon running on this host?
$ docker-machine start default  # 立ち上げ
(default) Starting VM...
Started machines may have new IP addresses. You may need to re-run the `docker-machine env` command.
$ docker-machine env default  # 環境変数が設定されていないと、dockerコマンドが動かないため
$ eval "$(docker-machine env default)"  # dockerコマンドが動くようにする
$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE

基本的な用語:イメージとコンテナ

イメージは、docker pullしてくるやつ。特定の生きたインスタンスじゃなくて、テンプレート的なもの。Dockerfileなどの定義体を含むもの。AWSでいうところのAMI。一覧を見るには、docker images

コンテナは、イメージから作成するもの。特定の生きたプロセス。AWSでいうところのインスタンス。一覧を見るには、docker ps

コンテナの作成

コンテナを作成するためには、イメージを取ってきて、そのイメージを元にコンテナを作る。まずはhello-worldというイメージを使ってみる。

コンテナの作成はdocker run 。runというと走らせる=起動っぽく感じるけど、AWSで言うとrun-instances に当たり、新規に作るもの。docker run する際、イメージがなければ自動で取ってくるようなので、docker pull をする必要は本当はない。

$ docker pull hello-world
Using default tag: latest
latest: Pulling from library/hello-world

b901d36b6f2f: Pull complete
0a6ba66e537a: Pull complete
Digest: sha256:8be990ef2aeb16dbcb9271ddfe2610fa6658d13f6dfb8bc72074cc1ca36966a7
Status: Downloaded newer image for hello-world:latest

$ docker images  # イメージが取得できている
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
hello-world         latest              0a6ba66e537a        9 weeks ago         960 B

$ docker run hello-world
Hello from Docker(ry

hello-dockerのイメージの中身は、 docker-library/hello-world で見ることができる(Dockerfile)。

一瞬で死ぬためよくわからないが、コンテナが作成された過去を垣間見ることができる(StatusはExited)。そして変な名前がついているw

$ docker ps --all
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS                      PORTS               NAMES
15eb91d087e0        hello-world         "/hello"            4 minutes ago       Exited (0) 4 minutes ago                        amazing_mahavira

コンテナへのアクセス

ubuntu イメージをrunしてみてもわかるが、コンテナは基本一瞬で死ぬ。コンテナ内で作業するには、 -it オプションを付ける。exitをすると(またはCtrl-D)、コンテナはまた停止する。

$ docker run -it ubuntu
root@a46509616ebe:/# exit

コンテナを立ち上げっぱにしておきたければ docker run -idt する。

$ docker run -idt --name my_ubuntu ubuntu
$ docker attach my_ubuntu
root@6acce8e05501:/#

立ち上げっぱのまま抜けるのは、Ctrl+p→Ctrl+q。

コンテナの再開

runして暗黙的に停止するライフサイクルだけではなく、停止したコンテナを docker start で再開することもできる。

当たり前だが、作成したコンテナのファイルは別に消えない。

$ docker run --name="my_ubuntu" -it ubuntu
root@7bd211d00874:/# echo "hogehoge" > hoge; exit  # てきとーにファイル作る
$ docker start -i my_ubuntu
root@7bd211d00874:/# cat hoge
hogehoge

ライフサイクル周りは Dockerライフサイクルをハンズオンで学ぶ - Qiita

コンテナのスナップショット

コンテナをイメージとして登録する=スナップショットを取るには、commit をする。gitと同じく、コミットメッセージもつけられる。イメージ間では特に差分の概念とか取らないんだろうか?

$ docker commit -m "hoge" a46509616ebe my_ubuntu
25185d37f98957a60309c73ae6c5d11ca8beea821306ef7b3edd37644d236677
$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
my_ubuntu           latest              25185d37f989        21 seconds ago      187.9 MB
ubuntu              latest              89d5d8e8bafb        13 days ago         187.9 MB

これで、特にDockerfileなどは意識していないが、仮想環境のスナップショットを取ってイメージを作成する、という手順が出来たことになる。仮にクラスターなどを作る場合、一つのイメージを複製すれば良さそう。

ネットワーク周り

nginxのイメージで試す(参考:Dockerfile)。他にもJenkinsイメージとかもある。

$ docker run -d -P --name web nginx
$ docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                           NAMES
cc343576e1aa        nginx               "nginx -g 'daemon off"   16 minutes ago      Up 16 minutes       0.0.0.0:32769->80/tcp, 0.0.0.0:32768->443/tcp   web

ここで、ポートのマッピング情報が書いてある。nginxの普通のポート80番は、32769番にマッピングされている。これは、VMのIPに対してのポート番号である

$ docker-machine ls
NAME      ACTIVE   DRIVER       STATE     URL                         SWARM   DOCKER   ERRORS
default   *        virtualbox   Running   tcp://192.168.99.100:2376           v1.9.1

よって、http://192.168.99.100:32769 にアクセスすると、nginxの画面が表示される。

コンテナへのログイン

nginxサーバーを立ち上げているということで、例えばサーバー内に何か不具合があって、調査する場合など、コンテナにログインしたいケースは、exec コマンドに使うことができるようだ。

$ docker exec -it web bash

ちなみに、この場合はexitしてもコンテナは停止しない。

コンテナへのディスクマウント

ログなどの永続化したいファイルなどを入れるために、コンテナにローカルの(Macの)ディレクトリをマウントさせることができる。

$ echo "my new site" > /path/to/site/index.html  # ローカルに適当なhtmlファイルを作る
$ docker run -d -P -v /path/to/site:/usr/share/nginx/html --name web nginx
$ open "http://xxxxx"  # コンテナのnginxを開く

上記はローカルのファイルをコンテナが参照した形だが、逆に、コンテナからファイルを書き込むこともできる。

$ docker exec -it web bash
root@35f1b0480264:/# echo "hogehoge" > /usr/share/nginx/html/hoge.html; exit
$ cat /path/to/site/hoge.html
hogehoge

その他

15 Docker Tips in 5 Minutes // Speaker Deck より

最後に作ったコンテナIDを指すエイリアスを貼っておくと便利

alias dl="docker ps -l -q"

GUIインターフェース

以上説明したコマンドは、KitematicというGUIアプリケーションでもできる。GUIでインストールしていると、Applicationフォルダに勝手にインストールされているはず。

f:id:yamitzky:20151224114622j:plain

まとめ

使ったコマンドは、だいたい下記の通り

docker-machine ls # 起動しているVMの確認
docker-machine start # default VMを起動

docker images # イメージの一覧
docker ps # コンテナの一覧
docker run # コンテナの作成
docker start # コンテナの開始
docker attach # コンテナへのアタッチ
docker exec # コンテナでのコマンド実行; bashログインなど
docker commit # コンテナのコミット=スナップショットを取る

保存できないけどread-onlyではないJupyter Notebookサーバーを立ち上げる

誰でも触れる、かつ、誰でもパラメータ変更できる、けど保存はしないでほしいJupyter(a.k.a IPython) Notebookサーバー作りたいことってあるじゃないですか。

例えば、社内のMySQLサーバーとかHadoop環境とかのクエリを叩けるようなJupyter Notebookを作ったとき。 誰でもクエリの内容は変えられていいけど、それが保存されると、他の人が叩くときに困る。 こんな感じ↓

f:id:yamitzky:20151204192809p:plain

configを変更する

Jupyterの場合は「~/.jupyter/jupyter_notebook_config.py」の設定ファイルに、次のような設定を加えます。

import notebook
from tornado import web

class FreezeFileContentsManager(notebook.services.contents.filemanager.FileContentsManager):
    def save(self, model, path=''):
        raise web.HTTPError(400, "You cannot save notebook on this server.")

c.NotebookApp.contents_manager_class = FreezeFileContentsManager

FreezeFileContentsManagerというふうにファイルマネージャーを自分で定義することによって、処理を乗っ取ることができます。 この場合は、saveの処理を上書きしています。

元になっているFileContentsManagerのコードはこちら。他にもいろいろoverrideすれば、処理を変えられそうです。

github.com

アウトプット変更とかだけだったら、 pre_save_hookを変更するのが良いかと思います。(参考)

AWS IAMによる権限設定のハマりどころと、効率的なデバッグ方法

Amazon Web ServiceのIAM(Identity and Access Management)は、AWSの各種サービスに対してのアクセス制御を(結構細かく)設定するためのシステムです。

ただ、いくつか掛けられる制約にも制限があり、いろいろハマるところがあったので、メモを。

シナリオ

Jenkins経由で、特定のAMIからのみ、EC2インスタンスを一時的に立ち上げたり(run-instances)、消したりしたい(terminate-instances)。
停止(stop-instances)したり再開(start-instances)したり、というライフサイクルではない。
誤って全然関係ないインスタンスを消せないように制約をつけたいし、関係ないAMIから立ちあげられないように制限したい。
ついでにインスタンスタイプにしぼりたい。
また、安全のため特定のIPからのみアクセスできるようにしたい。

このようなシナリオでも、一応それっぽい権限で設定することができます。

IAMポリシーファイルの説明

IAMのポリシーファイルは、下記のような感じです。

{
  "Version": "2012-10-17", // バージョンは2012-10-17で固定
  "Statement": [
    {
      "Effect": "Allow",  // 許可するのか拒否するのか。デフォルトは全て"Deny"なので、"Allow"を記載していく感じ
      "Action": [ "ec2:TerminateInstances" ],  // 何のアクションを許可|拒否するのか。
      "Resource": [ "arn:aws:ec2:ap-northeast-1:1234567890:instance/*" ],  // そのアクションはどのリソース(インスタンスとかセキュリティーグループとか)へアクセス可能か
      "Condition": {  // どのような条件下でのみ、このStatementが有効か
        "StringEquals": { "ec2:InstanceType": "t2.micro" }
      }
    }
  ]
}

Statementが配列なので、いっぱい増やしていく感じ。

リソース条件はアスタリスク( "*" とか "arn:aws:ec2:ap-northeast-1:1234567890:instance/*" )で指定することもできるが、リソースを絞り込めば「そのリソースにしかアクセスできない」という状態を担保できる( "arn:aws:ec2:ap-northeast-1:1234567890:instance/id-hogehoge" )。

リソース指定できるアクションに制約がある

リソース指定によってIAMに制約をかけられる・・・と思いきや、全てのアクションがリソース指定できるわけではありません

特に、DescribeInstancesなどのGET系はだいたいダメで、他にもCreateTagsもダメです。その一覧はこちら

下記のようなresource指定してしまうと、そのStatementは無効になり、その操作は許可されなくなってしまいます。 リソースに指定できるのは "*" だけです。

{
  "Effect": "Allow",
  "Action": "ec2:DescribeInstances",
  "Resource": [ "arn:aws:ec2:ap-northeast-1:1234567890:instance/*" ], // NGな例
}

アクションとリソースと条件の組み合わせに制約がある

ここに書いてある通りですが、アクションごとに指定できるリソースに種類があり、リソースごとに指定できる条件キーが決まっています。

例えば、TerminateInstancesのアクションは、インスタンスIDに関するリソースのみ指定できます。 RunInstancesはイメージ、インスタンス、キーペア、etc。。。が指定できます。逆に、指定しないとそのリソースを使うことはできません。例えば、既存のキーペアを使ってインスタンスを作成したいなら、キーペアに対するリソース指定が必要になります。

RunInstancesのように複数のリソース指定をする場合に注意が必要なのが、複数のリソースで設定できる条件キーが異なることです。 例えば、イメージには「InstanceType」を指定できますが、キーペアには「Region」しか指定できません。 そのため、次のような設定をすると、「このキーペアにアクセスできないよ><」って言われます。

{
  "Effect": "Allow",
  "Action": "ec2:RunInstances",
  "Resource": [
    "arn:aws:ec2:ap-northeast-1:1234567890:instance/*",
    "arn:aws:ec2:ap-northeast-1:1234567890:key-pair/test-key-pair"
  ],
  "Condition": {
    "StringEquals": {
      "ec2:InstanceType": "t2.micro"
    }
  }
}

この場合は、おとなしく2つのStatementに分割します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:RunInstances",
      "Resource": [
        "arn:aws:ec2:ap-northeast-1:1234567890:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:InstanceType": "t2.micro"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:RunInstances",
      "Resource": [
        "arn:aws:ec2:ap-northeast-1:1234567890:key-pair/test-key-pair",
        // その他のリソース許可の指定
      ]
    }
  ]
}

このシナリオを「リソースタグ」でクリアするのは厳しい

AWSのブログにて言及されていますが、リソースタグを活用すれば「特定のAMIから、特定のタグを設定したインスタンスを作成し、特定のタグのインスタンスのみ削除できる」ということができそうです(まぁできないんですけど)。 作るStatementとしては、

  • 特定のAMIからのみ run-instances できるStatement
  • 特定のResourceTagを持つインスタンスのみ terminate-instances できるStatement

の2つを作る、という感じ。

しかし、 run-instances する際にResourceTagは設定できず(例えばインスタンス名とか)、 create-tags しないといけないのですが、CreateTagsアクションにはリソース条件などが設定できないのです(=全許可しかできない)。ブログでもコメント欄で突っ込まれています。

create / terminate のライフサイクルではなく、start / stop のライフサイクルであれば、この方式は良さそうです。ただ今回の場合は、インスタンスは消し去りたかったので、この方式は取れませんでした。

IP制御もできるが、IPはグローバルIP

ec2に限らず、「どこのIPからリクエストがあったか?」を条件とできる、 aws:SourceIp という条件キーもあります。指定する場合は、一番最初にDenyしておくと良いです。

{
  "Effect": "Deny",
  "Action": "*",
  "Resource": "*",
  "Condition": {
      "NotIpAddress": {
          "aws:SourceIp": "123.45.67.89"
      }
  }
}

一点注意点なのが、IPはグローバルIPとして展開されます。なので、EC2インスタンス上からのみ「俺をTerminateしてくれ」という処理をできるように制限したい場合、グローバルIPが事前にわかっていないといけません。

IAMPolicy Simulatorが使いづらい

IAM Policy Simulatorは正直使いづらいです。条件に合致しないときには、「何も一致しませんでした」としか言われません。何がダメだったのかもわからないです。

そこで、AWS CLIから実際にdry-runすると良いです。

aws ec2 run-instances --dry-run --image-id=ami-abcdefg --count=1 --instance-type t2.micro

こうすると、権限が不足してれば、エンコードされたエラーメッセージが出てきます。エラーメッセージのデコードは Management Consoleの権限不足エラーをデコードする | Developers.IO を参考に、resourceという項目を見ると良いです。このresourceに対して、適切な条件が設定されていない、ということがわかります。

zshの場合は、こんな感じで関数作るとデバッグが楽です(bashは知らん)。

function sts() {
  aws sts decode-authorization-message --encoded-message $1 | jq -r ".DecodedMessage" | jq -c ".context.resource"
}

sts "エンコードされたエラーメッセージ"

最終的に取った手段

結局、うまくTerminateInstancesの条件を指定できないため、TerminateInstancesの権限を与えるのはやめました。 代わりに、次の手段を取りました。

  • EC2の作成時、shutdown時の動作を「terminate(削除)」になるようにした
  • AWS CLI経由で terminate-instances するのをやめ、EC2インスタンス内で shutdown -h now した

shutdown時の動作をterminateにするには、

aws ec2 run-instances --image-id=ami-abcdefg --count=1 --instance-type t2.micro --instance-initiated-shutdown-behavior=terminate

というように、「 --instance-initiated-shutdown-behavior=terminate 」をつけます。こうすれば、terminate-instances しなくても、shutdownするだけで同じことができます。

最終的なポリシーファイルは、下記のような感じ。思い出しながら書いてるからいろいろ間違っているかもしれんけど。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": "123.45.67.89"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:RunInstances",
      "Resource": "arn:aws:ec2:ap-northeast-1:1234567890:instance/*",
      "Condition": {
        "StringEquals": {
          "ec2:InstanceType": "t2.micro"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:RunInstances",
      "Resource": [
        "arn:aws:ec2:ap-northeast-1::image/ami-abcdefg",
        "arn:aws:ec2:ap-northeast-1:1234567890:security-group/*",
        "arn:aws:ec2:ap-northeast-1:1234567890:network-interface/*",
        "arn:aws:ec2:ap-northeast-1:1234567890:subnet/*",
        "arn:aws:ec2:ap-northeast-1:1234567890:volume/*",
        "arn:aws:ec2:ap-northeast-1:1234567890:key-pair/test-key-pair"
      ]
    }
  ]
}