Elastic Beanstalk - O'Reilly

Elastic Beanstalk: Simple Cloud Scaling for Java Developers

• 作者: Jurg van Vliet,Flavia Paganelli,Steven van Wel,Dara Dowd
• 出版社/メーカー: O'Reilly Media
• 発売日: 2011/08/06
• メディア: ペーパーバック
• クリック: 1回
• この商品を含むブログ (1件) を見る

著者はProgramming Amazon EC2: Survive your Successと同じJurg van Vliet氏と Flavia Paganelli氏を含めた4名の方で、AWS Solution Providerの9apps（オランダ）のエンジニアの皆さんです。

この本は50ページしかないのですが、Elastic Beanstalkの解説に加えて、実際にURL短縮ツールをBeanstalkを使ってAWS上にdeployする例が紹介されてます。Beanstalkでは、Auto Scalingによって自動的にEC2インスタンスが起動・停止されるので、ローカルにデータを保存するというアプローチは取れないわけですが、そのためにどのようなアーキテクチャをとるべきかといった点も簡単に説明されています。Hudsonを使ってCIの環境を構築している点など、実務的な視点が貫かれているのが特徴だと感じました。

AWS tips

AWSのwebサイトなどに明示的に書かれていない内容で、執筆陣が経験的に学んだAWS利用上のtip（コツ）的な内容も有意義だと感じました。アベイラビリティ・ゾーンを複数利用することが可用性向上に極めて重要であり、EC2障害時に有効に機能する方策であることなどもしっかり書かれています（p.19）。

Beanstalk固有の話題ばかりではないですが、3箇所ほど印象的な部分を引用すると・・・

There is an EBS volume and ephemeral storage. Both are unreliable for storage that needs to be persisted. (p.4)

参考訳：EBSとephemeral storageがあるが、どちらもストレージとして十分な信頼性があるわけではないので（S3にスナップショットをとったり、DBに記録するなどの方法で）永続化する必要がある。

EBSのスナップショットはS3に保存されるので、スナップショットまでとっておけば、相当安心できますねー。

Elastic Beanstalk is not a PaaS. You can forget about servers for a while, but if you are not happy with them, you can take control. (p.17)

参考訳：BeanstalkはPaaSではない。しばらくは個別のサーバーについて考えなくて済むが、もし都合が悪いことがあれば細かく制御することができる。

AWS公式ブログにも書かれていますが、必要に応じてサーバー単位でトラブルシュートを行ったり、ロードバランサーの設定を変更したりといったことが可能であったり、Elastic Beanstalkは、いわゆるPaaSとは毛色の違うサービスなのですが、案外メッセージが伝え切れていないのかな、と思うこともあります。

It is important to realize that the command-line tools always implement 100% of the available features. The Console does not. (p.20)

参考訳：コマンドラインツールは100%の機能を常に網羅している一方で、マネージメント・コンソールは必ずしもそうではない。

スクリプトで自動化したりする上で、実際にはコマンドラインツールが有用な局面も多いのですが、一部の操作についてはコマンドラインツールを使わないと行けないという現実があります。GUIで100%の機能が網羅されているとさらに良いですね。

Hacking Elastic Beanstalk

本書の第4章は"Hacking Elastic Beanstalk"と題されていて、Beanstalkの応用的な話題として、Apache httpdをNginxに置き換えたり、OpenJDKをSun JDKに置き換えたりといった内容が触れられてます。

まとめ

ページ数の割に少々値段が張りますが、Beanstalkの解説として記念碑的な本ですし、EC2などについても学べる内容が大ですので、Beanstalkに興味があれば読んでみて損はないと感じました。

この記事のリンクはAmazon.co.jpのアフィリエイトになってますが、Amazon.com（米国）だと$9.99でKindle版を購入できます。円高のおかげで、今なら800円未満です。また、O'Reillyのオンラインサイトからは、$16.99ですが、DRMフリーなePub, Mobi, PDFの電子ファイル形式で購入することも可能です。

YAMAHAルーターのLuaスクリプティング機能

最近のYAMAHAのファームにはLuaスクリプティング機能が付いていて、定期的にconfigをダウンロードして適用させたり、時間帯に応じてルーティングを変えたりといった柔軟な運用ができます。詳しくは本家のサイトに解説されています。この機能を使ってAWSのAPIを叩けたらいろいろなことができるんじゃないかと思って、POC的に実験してみました。

YAMAHAファームが準拠しているのはLua 5.1.4ということになっていますが、フル仕様ではなくサブセットのみが実装されているので、やや工夫が必要でしたが、とりあえずDescribeSecurityGroupsでセキュリティ・グループのリストを取得するスクリプトを書いてみました。

AWS REST APIのシグネチャ計算

HMAC-SHA1の計算とBASE64エンコーディングが必要になるので、以下の2カ所から先達のスクリプトを探してきました。
SHA-1 and HMAC-SHA1 Routines in Pure Lua (by Jeffrey Friedl. Public Domain)
Base Sixty Four (by Alex Kloss. LGPL2)

AWSのドキュメント（Making Query Requests）に従ってクエリを組み立てて、シグネチャを計算します。

access_key = "YOUR_ACCESS_KEY_ID"
secret_key  = "YOUR_SECRET_ACCESS_KEY"
api             = "DescribeSecurityGroups"

api_version   = "2011-07-15"
host              = "ec2.amazonaws.com"
http_method = "GET"

--ISO8601でタイムスタンプを取得
time_stamp_raw = os.date("!%Y-%m-%dT%H:%M:%S.000Z")
time_stamp        = string.gsub(time_stamp_raw, ":", "%%3A")

--アクセスキー以外の引数を昇順に並べたクエリを組み立てる
s2s = http_method .. "\n" .. host .. "\n/\nAWSAccessKeyId=" .. access_key .. "&Action=" .. api .. "&SignatureMethod=HmacSHA1&SignatureVersion=2&Timestamp=" .. time_stamp .. "&Version=" .. api_version

--HMAC-SHA1の計算結果をBASE64エンコーディングしてシグネチャを生成
signature = base64(hex_to_binary(hmac_sha1(secret_key, s2s)))

なお、オリジナルのHMAC-SHA1の計算ロジックをYAMAHA版Luaの制約に合わせて修正する必要がありました。引っかかった制約は、

1. 数値が整数のみで浮動小数点数が扱えない
2. Mathライブラリのmodf関数が実装されていない

の2点でした。

今回はクエリの文字数が一定であれば計算結果が変わらない部分だったので、計算リソースの節約の意味も兼ねて、結果をハードコーディングすることで回避しました。その他のAPIも同じスクリプトで扱うようにする場合は、APIコールと計算結果をtableで関連づけるような実装になるかと思われます。（Luaにおけるtableは、RubyのHashのようなものです。）

--浮動小数点数とmath.modfはYAMAHA Luaで実装されていない
--local B1, R1 = math.modf(msg_len_in_bits  / 0x01000000)
--local B2, R2 = math.modf( 0x01000000 * R1 / 0x00010000)
--local B3, R3 = math.modf( 0x00010000 * R2 / 0x00000100)
--local B4       = 0x00000100 * R3

--EC2 DescribeSecurityGroupsコールのためのdirty hack
if msg_len_in_bits == 2040 then
    B1, B2, B3, B4 = 0, 0, 7, 248
elseif msg_len_in_bits == 672 then
    B1, B2, B3, B4 = 0, 0, 2, 160
end

ちなみに、浮動小数点数さえ使えれば、math.modfを実装するのは簡単で、以下のようになるはずです。

--math.modf
function modf_(n)
    if n > 0 then
        f = n % 1
    else
        f = n % -1
    end
    i = n - f
    return i, f
end

HTTPリクエストの発行と結果の取得

YAMAHAルーターのLuaでは、configの操作など、標準Lua以外のライブラリが実装されています。そのうちの一つであるrt.httprequestを使ってEC2エンドポイントにAPIコールを投げます。rt.httprequestでは結果のボディをファイルに書き込むことができるので、以下の例ではルーターの内蔵メモリに書き込んでいます。そのほか、機種によって差がありますが、ルーターに挿入したmicroSDやUSB接続されたストレージにファイルを書き込むことができます。

--シグネチャをつかってクエリを組み立てる
query = "Action=" .. api .. "&AWSAccessKeyId=" .. access_key .. "&Version=" .. api_version ..  "&Timestamp=" .. time_stamp_raw .. "&Signature=" .. signature .. "&SignatureVersion=2&SignatureMethod=HmacSHA1"

--rt.httprequestではSSLは未実装
req_url = "http://" .. host .. "/?" .. query

--リクエスト・パラーメータを格納したテーブルを作成してGETを発行
--rsp_t.codeでHTTPステータスコード、rsp_t.errでエラーメッセージを確認可能
file_path = "/sg_out.txt"
req_t      = {url=req_url, method="GET", save_file=file_path}
rsp_t      = rt.httprequest(req_t)

実行結果の確認

1. tftpでスクリプトをルーターにアップロード
2. ルーターでスクリプトを実行
3. 結果のファイルをローカルにダウンロードして確認

という手順で動作確認を行います。

Macですが以下のようにtftpでファイルをアップロードしました。直後にgetを行うため、個人的にはインタラクティブ・モード（？）が使いやすいと感じました。ROUTER_IP_ADDRESSとROUTER_ADMIN_PASSORDの部分は、それぞれ適切な値に置き換えてください。

$ tftp 
tftp> connect ROUTER_IP_ADDRESS
tftp> put desc_sg.lua /desc_sg.lua/ROUTER_ADMIN_PASSWORD
Sent 34235 bytes in 0.6 seconds

ルーターでLuaスクリプトを実行します。administratorで実行している点に注意。

# lua desc_sg.lua 

結果をローカルPCにダウンロードして内容を確認します。

$ tftp 
tftp> connect ROUTER_IP_ADDRESS
tftp> get /sg_out.txt/ROUTER_ADMIN_PASSWORD sg_out.txt
Received 2130 bytes in 0.1 seconds
tftp> quit
$ cat sg_out.txt
846
<?xml version="1.0" encoding="UTF-8"?>
<DescribeSecurityGroupsResponse xmlns="http://ec2.amazonaws.com/doc/2011-07-15/">
    <requestId>########-####-####-####-############</requestId>
    <securityGroupInfo>
        <item>
            <ownerId>
  （以下省略）

制約とハマリどころ

繰り返しになる内容も多いですが、YAMAHA Lua上でAWS APIを叩く上で制約となりそうな点を列挙します。MacやLinux用のものとは言語仕様やライブラリの実装状況に差があるので、こまめに実機でテストするのが無難だと感じました。自分はRuby (Sinatra) でスタブを書いて、デバッグを行いました。

1. 浮動小数点が使えない
2. 一部関数が実装されていない
3. URL末尾に'/'（スラッシュ）がないとinvalid URLとなってリクエストが飛ばない
4. URLが255文字までに制限されている。そのため、GETで叩けるAPIコールは制限が厳しい。
5. rt.httprequestは勝手にURLエンコーディングしてくれるので、"="を"%3D"に置き換えておくと、さらに"%"をエスケープして"%253D"に変換されてしまうのでシグネチャが一致しないことになる。
6. ボディの大きさにも制限がある。
7. SSLが使えないので、Access Key IDやクエリのパラーメーターが平文で飛んでしまう。

まとめ

YAMAHAルーター上のLuaスクリプティング機能を使ってEC2 APIの1つであるDescribeSecurityGroupを発行することができました。色々と制約はありますが、スクリプトからVPCの作成とconfigまでできたりしてしまうとおもしろいかもしれないと感じました。

なお、Credentials （Access Key IDなど） の扱いには注意する必要があるかと思われます。rt.httprequestの制限によってSSLが使えないこともありますが、実際にはIAMを使って権限に制約をつけた鍵を利用するのがいいかと思われます。

（言わずもがなですが、私の勤め先などは本記事の内容に一切関知していません。）

gistに貼っておきました → https://gist.github.com/1174442