# OperationHubをAWSに構築

----

開発用に Amazon&nbsp;EC2インスタンスを確保します。 VPCなどのリソースを合わせて確保するため、CloudFormationを使用しています。


本Notebookでは、以下のようなVPC, Subnet, VMを構築します。

![image.png](attachment:image.png)

# 事前条件

**事前にTerminalから、 `aws configure` を実施してください。**

`aws configure` の実施例:

```
$ aws configure
AWS Access Key ID [None]: (自身のアカウントのアクセスキー)
AWS Secret Access Key [None]: (自身のアカウントのシークレットアクセスキー)
Default region name [None]: ap-northeast-1 (使用したいリージョン)
Default output format [None]: json (jsonを指定)
```

アクセスキー管理方法は様々ありますが、AWS IAMのユーザー https://console.aws.amazon.com/iam/home?region=us-west-2#/users からNotebook用のユーザーを作成する方法があります。万が一アクセスキーが漏れた場合に備えて、権限を最小限に、いつでも無効化できるように設定する必要があります。

![image.png](attachment:image.png)

権限は `AmazonEC2FullAccess` と `AWSCloudFormationFullAccess` を想定しています。

正しくアクセス情報が指定されているかどうかを、`describe-vpcs`により確認します。**以下のコマンド実行がエラーとなる場合、`aws configure`が正しくなされていない可能性があります。**

In [2]:
import json
import sys

vpc_result = !aws ec2 describe-vpcs
try:
    vpcs = json.loads('\n'.join(vpc_result))['Vpcs']
    print('{} VPCs exist'.format(len(vpcs)))
except:
    print(vpc_result)
    raise sys.exc_info()

1 VPCs exist


本Notebookは、デモ用VPCとして、1つのVPCを追加します。

また、CloudFormationを利用してVPCやその他のリソースの準備を行います。CloudFormationのStackを1つ作成しますので、**本VMが不要になったら削除**してください。

In [3]:
stacks_result = !aws cloudformation list-stacks
try:
    stacks = json.loads('\n'.join(stacks_result))['StackSummaries']
    print('{} Stacks exist'.format(len(stacks)))
except:
    print(stacks_result)
    raise sys.exc_info()

1 Stacks exist


# リソースの定義



## CloudFormationのStack名

本Notebookが作成するリソースを管理するための CloudFormationのスタック名を設定してください。

In [4]:
cloudformation_stack_name = 'ophubtest0001'
cloudformation_stack_name

'ophubtest0001'

## イメージのID

イメージは CentOS 7を前提とする。

In [5]:
# CentOS 7
# ap-northeast-1を使用する場合
image_id = 'ami-06a46da680048c8ae'
# us-west-2 (オレゴン) を使用する場合
#image_id = 'ami-0bc06212a56393ee1'

## Keypairの準備

使用するキーペア名を設定します。

In [6]:
resource_prefix = 'ophubtest'
resource_prefix

'ophubtest'

以下のセルは、誤ってRun Allでまとめ実行した際に先に進まないように設定しています。
これまでのセル実行が問題なければ、以下のコードセルを選択してFreezeボタンを押してFreezeして先に進めてください。

![image.png](attachment:image.png)

In [7]:
# ここまでのパラメータを確認したら本セルはFreezeして先に進める。
assert False

AssertionError: 

In [8]:
hostname = !hostname
keypair_name = '{}-{}'.format(resource_prefix, hostname[0])
keypair_name

'ophubtest-fff565a667d2'

本Notebookはインスタンスとの接続のために、 `~/.ssh/ansible_id_rsa` と言う名前の秘密鍵ファイルを生成します。
Notebook環境の `/home/jovyan` をホストディレクトリにマウントするなどして永続化していないと、この秘密鍵もコンテナの削除とともに消えますのでご注意ください。

> デモ用途なのでPassphraseなしで作っています。実際にはPassphraseをつけて、ssh-agentで鍵の取り回しをしています。

In [None]:
import os
ssh_keypath = os.path.expanduser('~/.ssh')
if not os.path.exists(os.path.join(ssh_keypath, 'ansible_id_rsa')):
    !ssh-keygen -t rsa -b 2048 -C ansible -f {ssh_keypath}/ansible_id_rsa -P ''
!cat {ssh_keypath}/ansible_id_rsa.pub

現在のキーの一覧を確認しておきます。

In [10]:
import json
result = !aws ec2 describe-key-pairs
keypairs = json.loads('\n'.join(result))['KeyPairs']
print('{} keys'.format(len(keypairs)))

8 keys


本Notebookは設定された resource_prefix 変数と hostname を使ってキーペア名を決定します。同一名称のキーペア名があれば特に何もしません。

In [None]:
if keypair_name not in [k['KeyName'] for k in keypairs]:
    !aws ec2 import-key-pair --key-name {keypair_name} --public-key-material file://{ssh_keypath}/ansible_id_rsa.pub

# CloudFormation Stack作成

## Templateの定義

In [12]:
import tempfile
work_dir = tempfile.mkdtemp()
work_dir

'/tmp/tmp7_6eto2j'

In [13]:
%%writefile {work_dir}/template.yml
AWSTemplateFormatVersion: "2010-09-09"
Description: 'A template for OperationHub(DEMO)'
Parameters:
  KeyName:
    Type: String
        
  ImageId:
    Type: String

Resources:
  VPC:
    Type: "AWS::EC2::VPC"
    Properties:
      CidrBlock: 10.1.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
      - Key: Name
        Value:  !Join ['', [!Ref "AWS::StackName", "-VPC" ]]
            
  InternetGateway:
    Type: "AWS::EC2::InternetGateway"
    DependsOn: VPC
        
  AttachGateway:
    Type: "AWS::EC2::VPCGatewayAttachment"
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway
        
  OpHubSubnet:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.1.1.0/24
      AvailabilityZone: !Select [ 0, !GetAZs ]    # Get the first AZ in the list       
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-OpHub
                
  OpHubPublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
      - Key: Name
        Value: OpHubPublic

  OpHubRoute1:
    Type: AWS::EC2::Route
    DependsOn: AttachGateway
    Properties:
      RouteTableId: !Ref OpHubPublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway  
        
  OpHubPublicRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref OpHubSubnet
      RouteTableId: !Ref OpHubPublicRouteTable
        
  OpHubSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: security group for OperationHub
      VpcId: !Ref VPC
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-OpHubSG

  OpHubEIP:
    Type: AWS::EC2::EIP
    Properties:
      InstanceId: !Ref OpHubInstance

  OpHubInstance:
    Type: "AWS::EC2::Instance"
    Properties: 
      ImageId: !Ref ImageId
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SecurityGroupIds:
        - !Ref OpHubSecurityGroup
      SubnetId: !Ref OpHubSubnet
      Tags:
      - Key: Name
        Value: !Sub ${AWS::StackName}-OpHub
      BlockDeviceMappings:
        - DeviceName: /dev/sda1
          Ebs:
            VolumeSize: 50
            DeleteOnTermination: true

Outputs:
  OpHubInstanceId:
    Value: !Ref OpHubInstance

  OpHubIP:
    Value: !Ref OpHubEIP

  OpHubSecurityGroup:
    Value: !Ref OpHubSecurityGroup

Writing /tmp/tmp7_6eto2j/template.yml


## Stackの作成

Cloud FormationのStackを作成します。

In [14]:
stack_result = !aws cloudformation create-stack --stack-name {cloudformation_stack_name} \
    --parameters ParameterKey=KeyName,ParameterValue={keypair_name} ParameterKey=ImageId,ParameterValue={image_id} \
    --template-body file://{work_dir}/template.yml
try:
    stack_id = json.loads('\n'.join(stack_result))['StackId']
    print('StackId', stack_id)
except:
    print(stack_result)
    raise sys.exc_info()

StackId arn:aws:cloudformation:ap-northeast-1:274050600818:stack/ophubtest0001/cc288770-d0ce-11ea-8903-06dc4f4916a2


以下のセルの実行結果に表示されるURLをクリックして、作成状況を確認してください。ステータスがCREATE_COMPLETEとなれば、Stackの作成は成功です。

In [None]:
import urllib.parse
regions = !aws configure get region
print('https://{region}.console.aws.amazon.com/cloudformation/home#/stacks/stackinfo?stackId={stack_id}'.format(region=regions[0], stack_id=urllib.parse.quote(stack_id)))

**ステータスがCREATE_COMPLETEに変化したことを確認**したら、以下のセルを実行してください。

> 以下のセルは、Stack作成中の場合はエラーとなります。

In [17]:
describe_stack_result = !aws cloudformation describe-stacks --stack-name {stack_id}
stack_desc = json.loads(''.join(describe_stack_result))['Stacks'][0]
assert stack_desc['StackStatus'] == 'CREATE_COMPLETE', stack_desc['StackStatus']

## Security Groupの変更

CloudFormationにより、VMインスタンスが起動したようなので、Notebook環境から疎通確認をする。VMインスタンスのSecurity Groupは**デフォルトではどこからも接続を受け入れないようにしている**ので以下のURLから設定変更する。

AnsibleでのVM操作にはSSH(TCPポート22)を使用する。このJupyter Notebook環境からVMへのSSHアクセスを許可するよう適切なポートおよびアクセス元IPアドレスを指定する。**インバウンドルールを編集**ボタンを選択して、以下のようなルールを追加する。

![image.png](attachment:image.png)

参考までに、このJupyter Notebookのアクセス元IPアドレスは以下となる。

> IPアドレスの取得に https://ifconfig.co サービスを使用します。

In [None]:
import requests
print(requests.get('https://ifconfig.co/json').json()['ip'])

Security GroupのIDはStackのOutputsに記録されている。

In [30]:
stack_desc['Outputs']

[{'OutputKey': 'OpHubIP', 'OutputValue': '18.176.115.105'},
 {'OutputKey': 'OpHubSecurityGroup', 'OutputValue': 'sg-08818576bfc434863'},
 {'OutputKey': 'OpHubInstanceId', 'OutputValue': 'i-0193be1f76056b380'}]

In [31]:
security_group_id = [o['OutputValue'] for o in stack_desc['Outputs'] if o['OutputKey'] == 'OpHubSecurityGroup'][0]
security_group_id

'sg-08818576bfc434863'

In [None]:
regions = !aws configure get region
print('https://{region}.console.aws.amazon.com/ec2/v2/home?region={region}#SecurityGroup:groupId={security_group_id}'.format(region=regions[0], security_group_id=security_group_id))

In [33]:
# セキュリティグループにSSHに関する許可が含まれていれば先に進める
sg_result = !aws ec2 describe-security-groups --group-ids {security_group_id}
sg_desc = json.loads(''.join(sg_result))['SecurityGroups'][0]

assert 'IpPermissions' in sg_desc and any([ipperm['IpProtocol'] == 'tcp' and ipperm['ToPort'] <= 22 and 22 <= ipperm['FromPort'] for ipperm in sg_desc['IpPermissions']]), sg_desc['IpPermissions']

# Ansibleユーザの設定

In [34]:
default_username = 'centos'
default_username

'centos'

In [35]:
import os

with open(os.path.join(work_dir, 'hosts'), 'w') as f:
    host = [o['OutputValue'] for o in stack_desc['Outputs'] if o['OutputKey'] == 'OpHubIP'][0]
    f.write('{host} ansible_ssh_user={user} ansible_ssh_private_key_file={pkpath}\n'.format(host=host,
                                                                                          user=default_username,
                                                                                          pkpath='~/.ssh/ansible_id_rsa'))

!cat {work_dir}/hosts

18.176.115.105 ansible_ssh_user=centos ansible_ssh_private_key_file=~/.ssh/ansible_id_rsa


In [36]:
%%writefile {work_dir}/init-password-aws
#!/usr/bin/expect

set host [lindex $argv 0]
set key [lindex $argv 1]
set username [lindex $argv 2]

spawn env LANG=C ssh -i $key "${username}\@${host}"

expect {
    -glob "(yes/no/*)?" {
        send "yes\n"
        exp_continue
    }
}

exit 0



Writing /tmp/tmp7_6eto2j/init-password-aws


In [37]:
import time

# VMのsshserverが落ち着くまで待つ...
time.sleep(30)

In [None]:
target_hostname = [o['OutputValue'] for o in stack_desc['Outputs'] if o['OutputKey'] == 'OpHubIP'][0]
!ssh-keygen -R {target_hostname} || exit 0
!expect {work_dir}/init-password-aws {target_hostname} ~/.ssh/ansible_id_rsa {default_username}

In [39]:
!ansible -m ping -i {work_dir}/hosts all

[0;32m18.176.115.105 | SUCCESS => {[0m
[0;32m    "ansible_facts": {[0m
[0;32m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;32m    },[0m
[0;32m    "changed": false,[0m
[0;32m    "ping": "pong"[0m
[0;32m}[0m


上記のセルがエラーとなる場合は、以下のように `-vvvv` オプションをつけてどんなメッセージが流れているかを確認してみましょう。

> !ansible -vvvv -m ping -i {work_dir}/hosts all
>
> Connection timed out の場合は、先のSecurity Groupがあっているかを確認すると良い...

OK。

# Inventoryへの追記

さてこれでVMが確保できました。Inventoryにhost情報を追記して、Ansibleからアクセスできるようにしましょう。


In [40]:
if not os.path.exists('./hosts'):
    !touch ./hosts
!cp ./hosts {work_dir}/hosts-backup

Inventoryに記述する例は以下のような感じ...

In [41]:
print('[{}]'.format(cloudformation_stack_name))
!cat {work_dir}/hosts

[ophubtest0001]
18.176.115.105 ansible_ssh_user=centos ansible_ssh_private_key_file=~/.ssh/ansible_id_rsa


Inventoryを編集する。
1. [このNotebookがあるディレクトリ](/tree/) と同じ階層に `hosts` というファイルがあるので、これをクリックしてエディタを開く
2. 上記セルの出力 **2行分(スタック名とIPアドレスを含む)** をコピー＆ペーストする

`hosts`の変更差分を控えておく。

In [43]:
# ./hostsに変更を加えるとこのセルを通過できる
! ! diff -u {work_dir}/hosts-backup ./hosts

--- /tmp/tmp7_6eto2j/hosts-backup	2020-07-28 12:43:59.158842000 +0000
+++ ./hosts	2020-07-28 12:45:01.627370000 +0000
@@ -0,0 +1,2 @@
+[ophubtest0001]
+18.176.115.105 ansible_ssh_user=centos ansible_ssh_private_key_file=~/.ssh/ansible_id_rsa
\ No newline at end of file


`hosts` ファイルのテストを実施する。

Ansibleに上記で設定したグループ名を与えてpingモジュールを実行する。

In [44]:
target_group = '-i ./hosts {}'.format(cloudformation_stack_name)
target_group

'-i ./hosts ophubtest0001'

In [45]:
!ansible -m ping {target_group}

[0;32m18.176.115.105 | SUCCESS => {[0m
[0;32m    "ansible_facts": {[0m
[0;32m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;32m    },[0m
[0;32m    "changed": false,[0m
[0;32m    "ping": "pong"[0m
[0;32m}[0m


これでVMの準備は完了です！

# About: OperationHubのインストール

# 各種設定

## インストール対象VM

In [46]:
ophub_dir = '/opt/ophub'

!ansible -b -m file -a 'path={ophub_dir} state=directory' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "gid": 0,[0m
[0;33m    "group": "root",[0m
[0;33m    "mode": "0755",[0m
[0;33m    "owner": "root",[0m
[0;33m    "path": "/opt/ophub",[0m
[0;33m    "secontext": "unconfined_u:object_r:usr_t:s0",[0m
[0;33m    "size": 6,[0m
[0;33m    "state": "directory",[0m
[0;33m    "uid": 0[0m
[0;33m}[0m


対象ホストはCentOS 7 または RHEL 7 がデプロイされているものとします。

In [47]:
!ansible -a 'cat /etc/centos-release' {target_group} || ansible -a 'cat /etc/redhat-release' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33mCentOS Linux release 7.7.1908 (Core)[0m


## ドメイン名設定

`server_name`変数に、OperationHubを動作させるホストのドメイン名を設定する。

ここではデモ用と限定して、AWSで確保されたインスタンスである前提で設定する。

In [48]:
server_name = target_hostname
assert server_name is not None, 'Unexpected result: {}'.format(''.join(ping_result))
server_name

'18.176.115.105'

## サーバ証明書設定

`cert_file`, `key_file` 変数に、サーバ証明書と秘密鍵のパス(Notebookサーバ上のパス)を指定する。

ここではデモ用と限定して、自己署名の証明書を設定する。

In [None]:
import os

key_file = '.cert-20200702/demo.key'

!mkdir -p {os.path.split(key_file)[0]}
!openssl genrsa 2048 > {key_file}

In [50]:
cert_file = '.cert-20200702/demo.cer'

!openssl req -new -subj "/C=JP/CN={server_name}" -x509 -days 31 -key {key_file} -sha512 -out {cert_file}

内容を確認する。

In [None]:
!openssl x509 -in {cert_file} -noout -text

## 管理者ユーザ設定

最初に作る管理者ユーザのユーザ名及びパスワードを指定する。

PasswordはNotebookに残らないよう、getpassを使用して入力する。
パスワード入力用のフィールドが現れるので、新規作成する管理者ユーザのパスワードを入力し、ENTERを押す。

In [52]:
import getpass

admin_username = 'john'
admin_password = getpass.getpass()

········


In [53]:
# ユーザ名とパスワードを確認したらFreezeして先に進める
assert False

AssertionError: 

# インストールの実施

https://github.com/NII-cloud-operation/OperationHub に従いながら...

## Step 1: Download OperationHub files

まず、対象のホストにgitをインストールする。

In [54]:
!ansible -b -m yum -a 'name=git' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "changes": {[0m
[0;33m        "installed": [[0m
[0;33m            "git"[0m
[0;33m        ][0m
[0;33m    },[0m
[0;33m    "rc": 0,[0m
[0;33m    "results": [[0m
[0;33m    ][0m
[0;33m}[0m


リポジトリのcloneはAnsible gitモジュールを使う。

In [55]:
!ansible -b -m git -a 'repo=https://github.com/NII-cloud-operation/OperationHub.git dest={ophub_dir}' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "after": "50d8d88f410a618c28371cd5fee6b5cc00641683",[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "before": null,[0m
[0;33m    "changed": true[0m
[0;33m}[0m


cloneされたバージョンを押さえておこう... あとでうまく動作しなくなった！と言う時に良いヒントとなります。

In [56]:
!ansible -a 'ls -la {ophub_dir}' {target_group}
!ansible -a 'chdir={ophub_dir} git log -1' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33mtotal 48[0m
[0;33mdrwxr-xr-x. 7 root root   256 Jul 28 12:46 .[0m
[0;33mdrwxr-xr-x. 3 root root    19 Jul 28 12:45 ..[0m
[0;33m-rw-r--r--. 1 root root  3127 Jul 28 12:46 docker-compose.yml[0m
[0;33mdrwxr-xr-x. 2 root root    59 Jul 28 12:46 docs[0m
[0;33m-rw-r--r--. 1 root root   566 Jul 28 12:46 .env.sample[0m
[0;33mdrwxr-xr-x. 8 root root   180 Jul 28 12:46 .git[0m
[0;33m-rw-r--r--. 1 root root    14 Jul 28 12:46 .gitignore[0m
[0;33mdrwxr-xr-x. 2 root root   126 Jul 28 12:46 host-service[0m
[0;33mdrwxr-xr-x. 4 root root    37 Jul 28 12:46 images[0m
[0;33m-rwxr-xr-x. 1 root root   598 Jul 28 12:46 install-docker.sh[0m
[0;33m-rwxr-xr-x. 1 root root   972 Jul 28 12:46 install-host-services.sh[0m
[0;33m-rw-r--r--. 1 root root 10321 Jul 28 12:46 jupyterhub-logo.png[0m
[0;33m-rw-r--r--. 1 root root  1534 Jul 28 12:46 LICENSE[0m
[0;33mdrwxr-xr-x. 2 root root    33 Jul 28 12:46 nginx[0m
[0;33m-rw-r--r--. 1 roo

##  Step 2: Install Docker Engine and docker-compose

Docker EngineとDocker Composeを対象ホストにインストールする。

In [57]:
!ansible -b -a 'chdir={ophub_dir} ./install-docker.sh' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33mLoaded plugins: fastestmirror[0m
[0;33mLoading mirror speeds from cached hostfile[0m
[0;33m * base: d36uatko69830t.cloudfront.net[0m
[0;33m * extras: d36uatko69830t.cloudfront.net[0m
[0;33m * updates: d36uatko69830t.cloudfront.net[0m
[0;33mResolving Dependencies[0m
[0;33m--> Running transaction check[0m
[0;33m---> Package device-mapper-persistent-data.x86_64 0:0.8.5-2.el7 will be installed[0m
[0;33m--> Processing Dependency: libaio.so.1(LIBAIO_0.4)(64bit) for package: device-mapper-persistent-data-0.8.5-2.el7.x86_64[0m
[0;33m--> Processing Dependency: libaio.so.1(LIBAIO_0.1)(64bit) for package: device-mapper-persistent-data-0.8.5-2.el7.x86_64[0m
[0;33m--> Processing Dependency: libaio.so.1()(64bit) for package: device-mapper-persistent-data-0.8.5-2.el7.x86_64[0m
[0;33m---> Package lvm2.x86_64 7:2.02.186-7.el7_8.2 will be installed[0m
[0;33m--> Processing Dependency: lvm2-libs = 7:2.02.186-7.el7_8.

## Step 3: Install the host services for OperationHub

OperationHubに必要なサービスを対象ホストにインストールする。

In [58]:
!ansible -b -a 'chdir={ophub_dir} ./install-host-services.sh' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33mLoaded plugins: fastestmirror[0m
[0;33mLoading mirror speeds from cached hostfile[0m
[0;33m * base: d36uatko69830t.cloudfront.net[0m
[0;33m * extras: d36uatko69830t.cloudfront.net[0m
[0;33m * updates: d36uatko69830t.cloudfront.net[0m
[0;33mResolving Dependencies[0m
[0;33m--> Running transaction check[0m
[0;33m---> Package epel-release.noarch 0:7-11 will be installed[0m
[0;33m--> Finished Dependency Resolution[0m
[0;33m[0m
[0;33mDependencies Resolved[0m
[0;33m[0m
[0;33m Package                Arch             Version         Repository        Size[0m
[0;33mInstalling:[0m
[0;33m epel-release           noarch           7-11            extras            15 k[0m
[0;33m[0m
[0;33mTransaction Summary[0m
[0;33mInstall  1 Package[0m
[0;33m[0m
[0;33mTotal download size: 15 k[0m
[0;33mInstalled size: 24 k[0m
[0;33mDownloading packages:[0m
[0;33mRunning transaction check[0m
[0;33mRunning transaction t

## Step 4: Setting domain name

DNS名を設定します。

In [59]:
import tempfile

work_dir = tempfile.mkdtemp()
work_dir

'/tmp/tmpcibqz6et'

In [60]:
!ansible -b -a 'chdir={ophub_dir} cat .env.sample' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33m# Server Name for nginx TLS communication (reverse proxy)[0m
[0;33mSERVER_NAME=example.com[0m
[0;33m[0m
[0;33m# JupyterHub single-user docker image[0m
[0;33mSINGLE_USER_IMAGE=niicloudoperation/notebook[0m
[0;33m[0m
[0;33m# Configuration for culling idle servers[0m
[0;33m## Enable culling[0m
[0;33mCULL_SERVER=yes[0m
[0;33m[0m
[0;33m## The idle timeout (in seconds) for culling server[0m
[0;33mCULL_SERVER_IDLE_TIMEOUT=300[0m
[0;33m[0m
[0;33m## The maximum age (in seconds) of servers that should be culled even if they are active[0m
[0;33mCULL_SERVER_MAX_AGE=86400[0m
[0;33m[0m
[0;33m## The interval (in seconds) for checking for idle servers to cull[0m
[0;33mCULL_SERVER_EVERY=60[0m
[0;33m[0m
[0;33m# Enable Debug Logging[0m
[0;33m# DEBUG=yes[0m


サンプル環境はawscliを含むイメージを用意する。

In [82]:
image_name = 'niicloudoperation/test-notebook'
image_name

'niicloudoperation/test-notebook'

In [83]:
with open(os.path.join(work_dir, '.env'), 'w') as f:
    f.write('''# Server Name for nginx TLS communication (reverse proxy)
SERVER_NAME={server_name}

# JupyterHub single-user docker image
SINGLE_USER_IMAGE={image_name}

# Configuration for culling idle servers
## Enable culling
CULL_SERVER=yes

## The idle timeout (in seconds) for culling server
CULL_SERVER_IDLE_TIMEOUT=300

## The maximum age (in seconds) of servers that should be culled even if they are active
CULL_SERVER_MAX_AGE=86400

## The interval (in seconds) for checking for idle servers to cull
CULL_SERVER_EVERY=60

# Enable Debug Logging
# DEBUG=yes
'''.format(**locals()))

!cat {work_dir}/.env

# Server Name for nginx TLS communication (reverse proxy)
SERVER_NAME=18.176.115.105

# JupyterHub single-user docker image
SINGLE_USER_IMAGE=niicloudoperation/test-notebook

# Configuration for culling idle servers
## Enable culling
CULL_SERVER=yes

## The idle timeout (in seconds) for culling server
CULL_SERVER_IDLE_TIMEOUT=300

## The maximum age (in seconds) of servers that should be culled even if they are active
CULL_SERVER_MAX_AGE=86400

## The interval (in seconds) for checking for idle servers to cull
CULL_SERVER_EVERY=60

# Enable Debug Logging
# DEBUG=yes


In [84]:
!ansible -b -m copy -a 'src={work_dir}/.env dest={ophub_dir}/.env' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "checksum": "fc93852b470397717c13ca9d15404bd03e77d2a6",[0m
[0;33m    "dest": "/opt/ophub/.env",[0m
[0;33m    "gid": 0,[0m
[0;33m    "group": "root",[0m
[0;33m    "md5sum": "879fedd2ca2c703abbb5014c4187dcdd",[0m
[0;33m    "mode": "0644",[0m
[0;33m    "owner": "root",[0m
[0;33m    "secontext": "system_u:object_r:usr_t:s0",[0m
[0;33m    "size": 573,[0m
[0;33m    "src": "/home/centos/.ansible/tmp/ansible-tmp-1595941366.012258-745-70382086628102/source",[0m
[0;33m    "state": "file",[0m
[0;33m    "uid": 0[0m
[0;33m}[0m


## Step 5: Install TLS certificate and key

In [63]:
!ansible -b -m file -a 'path={ophub_dir}/cert state=directory' {target_group}
!ansible -b -m copy -a 'src={cert_file} dest={ophub_dir}/cert/server.cer' {target_group}
!ansible -b -m copy -a 'src={key_file} dest={ophub_dir}/cert/server.key' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "gid": 0,[0m
[0;33m    "group": "root",[0m
[0;33m    "mode": "0755",[0m
[0;33m    "owner": "root",[0m
[0;33m    "path": "/opt/ophub/cert",[0m
[0;33m    "secontext": "unconfined_u:object_r:usr_t:s0",[0m
[0;33m    "size": 6,[0m
[0;33m    "state": "directory",[0m
[0;33m    "uid": 0[0m
[0;33m}[0m
[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "checksum": "088d5d978434babf566f6127cde49fe2cd6ce3b7",[0m
[0;33m    "dest": "/opt/ophub/cert/server.cer",[0m
[0;33m    "gid": 0,[0m
[0;33m    "group": "root",[0m
[0;33m    "md5sum": "2055b3d1bd487b8bf333036a0d5b3c04",[0m
[0;33m    "mode": "0644",[0m
[0;33m    "o

## Step 6: Setting JupyterHub administrator

最初の管理者ユーザを設定する。ユーザ名とパスワードは 各種設定 - 管理者ユーザ設定 で実施されているものとする。

In [64]:
from passlib.hash import sha512_crypt

# 参考: https://docs.ansible.com/ansible/faq.html#how-do-i-generate-encrypted-passwords-for-the-user-module
!ansible -b -m user -a 'name={admin_username} password={sha512_crypt.using(rounds=5000).hash(admin_password)}' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "comment": "",[0m
[0;33m    "create_home": true,[0m
[0;33m    "group": 1001,[0m
[0;33m    "home": "/home/john",[0m
[0;33m    "name": "john",[0m
[0;33m    "password": "NOT_LOGGING_PASSWORD",[0m
[0;33m    "shell": "/bin/bash",[0m
[0;33m    "state": "present",[0m
[0;33m    "system": false,[0m
[0;33m    "uid": 1001[0m
[0;33m}[0m


In [65]:
!ansible -b -a 'usermod -aG wheel {admin_username}' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33m[0m


## ユーザ用イメージの準備

ユーザ用イメージをあらかじめPullしておく。

In [66]:
!ansible -b -a 'docker pull niicloudoperation/notebook' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33mUsing default tag: latest[0m
[0;33mlatest: Pulling from niicloudoperation/notebook[0m
[0;33ma4a2a29f9ba4: Pulling fs layer[0m
[0;33m127c9761dcba: Pulling fs layer[0m
[0;33md13bf203e905: Pulling fs layer[0m
[0;33m4039240d2e0b: Pulling fs layer[0m
[0;33m16baf7565818: Pulling fs layer[0m
[0;33m8d4b4e3fa8e0: Pulling fs layer[0m
[0;33m9b5cd6dc7e5c: Pulling fs layer[0m
[0;33m2fadbbcf7ce9: Pulling fs layer[0m
[0;33m0cd922ae20a5: Pulling fs layer[0m
[0;33mf5e764406ee1: Pulling fs layer[0m
[0;33m011a76fea054: Pulling fs layer[0m
[0;33m1b59e5a8c825: Pulling fs layer[0m
[0;33m3f4f1174f174: Pulling fs layer[0m
[0;33m430109c788cf: Pulling fs layer[0m
[0;33mef6b34bbbee3: Pulling fs layer[0m
[0;33medc996f5b41a: Pulling fs layer[0m
[0;33m5c69830ff598: Pulling fs layer[0m
[0;33m17932824baa9: Pulling fs layer[0m
[0;33m25c98e42fcbd: Pulling fs layer[0m
[0;33mb6f59bca789a: Pulling fs layer[0m
[0;33m9bce9285d93

In [87]:
%%writefile {work_dir}/Dockerfile
FROM niicloudoperation/notebook

USER root

# Installing awscli
RUN conda install --quiet --yes awscli passlib && conda clean --all -f -y
RUN apt-get update && apt-get install -y expect && \
    apt-get clean && rm -rf /var/lib/apt/lists/*

USER $NB_USER

Overwriting /tmp/tmpcibqz6et/Dockerfile


In [88]:
!ansible -b -m file -a 'path={ophub_dir}/sample state=directory' {target_group}
!ansible -b -m copy -a 'src={work_dir}/Dockerfile dest={ophub_dir}/sample/Dockerfile' {target_group}

[0;32m18.176.115.105 | SUCCESS => {[0m
[0;32m    "ansible_facts": {[0m
[0;32m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;32m    },[0m
[0;32m    "changed": false,[0m
[0;32m    "gid": 0,[0m
[0;32m    "group": "root",[0m
[0;32m    "mode": "0755",[0m
[0;32m    "owner": "root",[0m
[0;32m    "path": "/opt/ophub/sample",[0m
[0;32m    "secontext": "unconfined_u:object_r:usr_t:s0",[0m
[0;32m    "size": 6,[0m
[0;32m    "state": "directory",[0m
[0;32m    "uid": 0[0m
[0;32m}[0m
[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "checksum": "753a37a511d2c718475a18a4a3993347f7e740c7",[0m
[0;33m    "dest": "/opt/ophub/sample/Dockerfile",[0m
[0;33m    "gid": 0,[0m
[0;33m    "group": "root",[0m
[0;33m    "md5sum": "2461e7d4775949e60ea631463eb2e3b4",[0m
[0;33m    "mode": "0644",[0m
[0;33m 

In [89]:
!ansible -b -a 'chdir={ophub_dir}/sample docker build -t {image_name} .' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0m
[0;33mStep 1/5 : FROM niicloudoperation/notebook[0m
[0;33m ---> b0450299a1fb[0m
[0;33mStep 2/5 : USER root[0m
[0;33m ---> Running in 1a561ea1a57a[0m
[0;33mRemoving intermediate container 1a561ea1a57a[0m
[0;33m ---> 3ceeac254db0[0m
[0;33mStep 3/5 : RUN conda install --quiet --yes awscli passlib && conda clean --all -f -y[0m
[0;33m ---> Running in 688c342da0cc[0m
[0;33mCollecting package metadata (current_repodata.json): ...working... done[0m
[0;33mSolving environment: ...working... done[0m
[0;33m[0m
[0;33m## Package Plan ##[0m
[0;33m[0m
[0;33m  environment location: /opt/conda[0m
[0;33m[0m
[0;33m  added / updated specs:[0m
[0;33m    - awscli[0m
[0;33m    - passlib[0m
[0;33m[0m
[0;33m[0m
[0;33mThe following packages will be downloaded:[0m
[0;33m[0m
[0;33m    package                    |            build[0m
[0;33m    ---------------------------|-----------------[0m


## Step 7: Starting OperationHub

関連イメージをビルドする。

In [90]:
!ansible -b -a 'chdir={ophub_dir} docker-compose build' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0;33mStep 1/12 : FROM jupyterhub/jupyterhub:1.0.0[0m
[0;33m ---> 64d82994fd55[0m
[0;33mStep 2/12 : RUN apt-get update && apt-get install -y make && apt-get autoclean && apt-get clean && apt-get autoremove[0m
[0;33m ---> Using cache[0m
[0;33m ---> 7decb66dead1[0m
[0;33mStep 3/12 : RUN curl -fsSL https://get.docker.com/ | sh[0m
[0;33m ---> Using cache[0m
[0;33m ---> b82d75111826[0m
[0;33mStep 4/12 : RUN apt-get update && apt-get install -y acl && apt-get autoclean && apt-get clean && apt-get autoremove[0m
[0;33m ---> Using cache[0m
[0;33m ---> f710c769f163[0m
[0;33mStep 5/12 : RUN pip --no-cache-dir install git+https://github.com/NII-cloud-operation/Jupyter-LC_nblineage.git[0m
[0;33m ---> Using cache[0m
[0;33m ---> bc88f587ba34[0m
[0;33mStep 6/12 : RUN pip --no-cache-dir install git+https://github.com/jupyterhub/dockerspawner.git     requests-unixsocket[0m
[0;33m ---> Using cache[0m
[0;33m --

サービスを起動する。

In [91]:
!ansible -b -a 'chdir={ophub_dir} docker-compose up -d' {target_group}

[0;33m18.176.115.105 | CHANGED | rc=0 >>[0m
[0m
[0m
[1B[0m


# テストコンテンツの配備

体験コンテンツを管理者アカウントのディレクトリに配置する。

In [81]:
!ansible -b -m file -a 'path=/home/{admin_username}/notebooks state=directory owner={admin_username} group={admin_username}' {target_group}
for notebook in ['05_OperationHubをAWSに構築.ipynb']:
    !ansible -b -m copy -a 'src=./{notebook} dest=/home/{admin_username}/notebooks/{notebook} owner={admin_username} group={admin_username}' {target_group}

[0;32m18.176.115.105 | SUCCESS => {[0m
[0;32m    "ansible_facts": {[0m
[0;32m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;32m    },[0m
[0;32m    "changed": false,[0m
[0;32m    "gid": 1001,[0m
[0;32m    "group": "john",[0m
[0;32m    "mode": "0755",[0m
[0;32m    "owner": "john",[0m
[0;32m    "path": "/home/john/notebooks",[0m
[0;32m    "secontext": "system_u:object_r:user_home_t:s0",[0m
[0;32m    "size": 75,[0m
[0;32m    "state": "directory",[0m
[0;32m    "uid": 1001[0m
[0;32m}[0m
[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "ansible_facts": {[0m
[0;33m        "discovered_interpreter_python": "/usr/bin/python"[0m
[0;33m    },[0m
[0;33m    "changed": true,[0m
[0;33m    "checksum": "b8dd157d4c18b4cb00dca493aee4d4d167d9710d",[0m
[0;33m    "dest": "/home/john/notebooks/05_OperationHubをAWSに構築.ipynb",[0m
[0;33m    "gid": 1001,[0m
[0;33m    "group": "john",[0m
[0;33m    "md5sum": "14a5fd3c374017d47fbf8266a8498288",[0m
[0

In [94]:
!ansible -b -m copy -a 'src=~/.aws dest=/home/{admin_username}/ owner={admin_username} group={admin_username}' {target_group}

[0;33m18.176.115.105 | CHANGED => {[0m
[0;33m    "changed": true,[0m
[0;33m    "dest": "/home/john/",[0m
[0;33m    "src": "/home/jovyan/.aws"[0m
[0;33m}[0m


# 動作確認

自身のPCからVMのHTTPS (TCP 443)を許可するように設定する。SSHの設定と同じ要領でOK。アクセス元IPアドレスは動作確認をするPCのものを指定すること。

In [None]:
regions = !aws configure get region
print('https://{region}.console.aws.amazon.com/ec2/v2/home?region={region}#SecurityGroup:groupId={security_group_id}'.format(region=regions[0], security_group_id=security_group_id))

In [78]:
# セキュリティグループにHTTPSに関する許可が含まれていれば先に進める
sg_result = !aws ec2 describe-security-groups --group-ids {security_group_id}
sg_desc = json.loads(''.join(sg_result))['SecurityGroups'][0]

assert 'IpPermissions' in sg_desc and any([ipperm['IpProtocol'] == 'tcp' and ipperm['ToPort'] <= 443 and 443 <= ipperm['FromPort'] for ipperm in sg_desc['IpPermissions']]), sg_desc['IpPermissions']

以下のURLにブラウザからアクセスする。

サーバ証明書に関する警告が出るので、適当なブラウザを使用し、例外設定して確認すること。ユーザ名とパスワードを求められたら、各種設定 の **管理者ユーザ設定** で設定したユーザ名及びパスワードでログインする。

> 下記のURLのアクセスがタイムアウトになる場合は、先のSecurity Groupで適切にHTTPSが許可されていない可能性が高い...

In [80]:
print('https://' + server_name)
print('  Username', admin_username)
print('  Password', '入力したもの')

https://18.176.115.105
  Username john
  Password 入力したもの


サービスの状態・ログは以下から確認することができます。

In [None]:
!ansible -b -a 'chdir={ophub_dir} docker-compose ps' {target_group}

In [None]:
!ansible -b -a 'chdir={ophub_dir} docker-compose logs jupyterhub' {target_group}

# (試用後)不要AWSリソースの削除

AWSのリソースはCloudFormationから管理できる。このStackを削除すると、関連するリソースを削除することができる。

In [None]:
regions = !aws configure get region
print('https://{region}.console.aws.amazon.com/cloudformation/home#/stacks/stackinfo?stackId={stack_id}'.format(region=regions[0], stack_id=urllib.parse.quote(stack_id)))