# About: CoursewareHubのセットアップ

前のNotebookで起動したVCノードの上にCoursewareHub環境を構築します。

## 構成

このNotebookで構築するCoursewareHub環境の構成を以下に示します。

![構成](images/cw-002-01.png)

> `auth-proxy`コンテナの SimpleSAMLphp を利用した学認連携には、まだ対応していません。

### グループ名

CoursewareHubの構築環境となるVCPのUnitGroup名を指定してください。

> VCノードを起動した際に指定したものと同じ名前を指定してください。

In [None]:
unit_group = 'CoursewareHub'

## 準備

構築対象のVCノードがAnsibleで操作できることを確認します。

Ansibleの設定ファイルの場所を環境変数に設定しておきます。

In [None]:
from pathlib import Path
import os

os.environ['ANSIBLE_CONFIG'] = str(Path('ansible.cfg').resolve())

構築対象となる各VCノードにアクセスできることを確認します。

In [None]:
target_hub = 'manager'

!ansible {target_hub} -m ping

In [None]:
target_nodes = 'worker'

!ansible {target_nodes} -m ping

`group_vars`の値を読み込みます。

In [None]:
%run scripts/group.py
gvars = load_group_vars(unit_group)

## パラメータの設定

### ホスト名

CoursewareHubのホスト名を指定してください。

In [None]:
# (例)
# hub_hostname = 'hub.vcp-handson.org'

hub_hostname =

設定された値を `group_vars`に保存します。

In [None]:
%run scripts/group.py
update_group_vars(
    unit_group,
    hub_hostname=hub_hostname,
)

### サーバ証明書

CoursewareHubのサーバ証明書の内容を次のセルに設定してください。

In [None]:
# (例)
# auth_proxy_certificate = '''
# -----BEGIN CERTIFICATE-----
# MIIFZTCCBE2gAwIBAgISA4WJm/ZrZzhpSW10gQ4ctmXkMA0GCSqGSIb3DQEBCwUA
# (中略)
# -----END CERTIFICATE-----
# '''

auth_proxy_certificate =

中間CA証明書をサーバ証明書の後に繋げたものを次のセルで設定してください。

In [None]:
# (例)
# auth_proxy_chained_certificate = '''
# -----BEGIN CERTIFICATE-----
# MIIFZTCCBE2gAwIBAgISA4WJm/ZrZzhpSW10gQ4ctmXkMA0GCSqGSIb3DQEBCwUA
# (中略)
# -----END CERTIFICATE-----
# -----BEGIN CERTIFICATE-----
# MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
# (中略)
# -----END CERTIFICATE-----
# '''

auth_proxy_chained_certificate =

秘密鍵を次のセルで設定してください。

In [None]:
# (例)
# auth_proxy_key = '''
# -----BEGIN PRIVATE KEY-----
# MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQDa5BkHUATh5FIm
# (中略)
# -----END PRIVATE KEY-----
# '''

auth_proxy_key =

サーバ証明書の内容を表示してみます。

In [None]:
!echo "{auth_proxy_certificate}" | openssl x509 -noout -text

秘密鍵の内容を表示してみます。

In [None]:
!echo "{auth_proxy_key}" | openssl rsa -noout -text

設定された値を `group_vars`に保存します。

In [None]:
%run scripts/group.py
update_group_vars(
    unit_group,
    auth_proxy_certificate=auth_proxy_certificate,
    auth_proxy_chained_certificate=auth_proxy_chained_certificate,
    auth_proxy_key=auth_proxy_key,
)

### データベース

CoursewareHubのデータを保存するデータベースに関するパラメータを指定します。

CoursewareHubが利用するデータベースの名前を指定してください。

In [None]:
db_name = 'jupyterhub'
db_name

データベースに接続するユーザ名を指定してください。

In [None]:
db_user = 'jhauth'
db_user

データベースに接続するパスワードを指定してください。

In [None]:
from getpass import getpass
db_pass = getpass()

設定された値を `group_vars`に保存します。

In [None]:
%run scripts/group.py

update_group_vars(
    unit_group,
    db_user=db_user,
    db_name=db_name,
    db_password=db_pass,
)

### ユーザコンテナイメージ

CoursewareHubのユーザ用コンテナイメージを指定してください。

In [None]:
singleuser_image = 'harbor.vcloud.nii.ac.jp/vcp/coursewarehub:singleuser'

設定された値を `group_vars`に保存します。

In [None]:
%run scripts/group.py
update_group_vars(
    unit_group,
    singleuser_image=singleuser_image,
)

### 管理者情報の設定

管理者のメールアドレスを指定してください。

In [None]:
# (例)
# teacher_email = 'admin@example.org'

teacher_email =

CoursewareHubでは、メールアドレスから一定のルールで導き出された名前をローカルユーザ名として利用します。管理者のローカルユーザ名を確認します。

In [None]:
%run scripts/utils.py

teacher_id = get_username_from_mail_address(teacher_email)
print(teacher_id)

管理者のパスワードを指定してください。

> Shibboleth/SAML連携を行わない構成なので、管理者ユーザもローカルユーザとして登録します。ここで指定したパスワードは CoursewareHub にログインする際に必要となります。

In [None]:
from getpass import getpass
teacher_password = getpass()

設定された値を `group_vars`に保存します。

In [None]:
%run scripts/group.py

update_group_vars(
    unit_group,
    teacher_email=teacher_email,
    teacher_id=teacher_id,
    teacher_password=teacher_password,
)

## JupyterHubのインストール

### restuserのインストール

コンテナ環境からホスト環境(BaseContainer)のユーザ情報を得るために[restuser](https://github.com/minrk/restuser)を利用しています。

`restuser`をサービスとして実行するための playbook を実行します。

In [None]:
!ansible-playbook playbooks/install-restuser.yml

`restuser`でユーザ情報が取得できることを確認します。

In [None]:
!ansible {target_hub} -b -m shell \
    -a 'echo -e "POST /{{{{default_user}}}} HTTP/1.0\r\n" | nc -U /var/run/restuser.sock'

### ユーザコンテナイメージの取得

各ノードにユーザ用コンテナイメージを取得します。

In [None]:
!ansible {unit_group} -a 'docker pull {{{{singleuser_image}}}}'

取得したイメージに、CoursewareHubからユーザ用のコンテナイメージとして利用する名前をタグづけします。

In [None]:
!ansible {unit_group} -a 'docker tag {{{{singleuser_image}}}} niicloudoperation/jupyterhub-singleuser'

イメージの一覧を確認します。

In [None]:
!ansible {unit_group} -a 'docker images'

### PostgreSQLコンテナのセットアップ

PostgreSQLコンテナに必要となるセットアップを行う playbook を実行します。

この playbook では以下の処理を行います。
* PostgreSQLのデータを格納するディレクトリの作成
* 初期実行SQLファイルの配置
* コンテナイメージの取得

In [None]:
!ansible-playbook playbooks/setup-postgres.yml

### JupyterHubコンテナのセットアップ

JupyterHubコンテナに必要となるセットアップを行う playbook を実行します。

この playbook では以下の処理を行います。
* コンテナイメージの取得
* ロゴの配置

In [None]:
!ansible-playbook playbooks/setup-jupyterhub.yml

### auth-proxyコンテナのセットアップ

JupyterHubコンテナに必要となるセットアップを行う playbook を実行します。

In [None]:
!ansible-playbook playbooks/setup-auth-proxy.yml

### 証明書の配置

サーバ証明書を配置する playbook を実行します。

In [None]:
!ansible-playbook playbooks/setup-certs.yml

### docker-compose.yml の配置

複数のコンテナを実行するので `docker-compose.yml` に設定を記述します。`docker-compose.yml`の内容を次のセルで指定します。

In [None]:
docker_compose = '''version: '3.7'
services:
  postgres:
    image: {{postgres_image}}
    environment:
      POSTGRES_USER: {{db_user}}
      POSTGRES_PASSWORD: {{db_password}}
      POSTGRES_DB: {{db_name}}
    volumes:
      - type: bind
        source: {{postgres_dir}}/data
        target: /var/lib/postgresql/data
      - type: bind
        source: {{postgres_dir}}/init
        target: /docker-entrypoint-initdb.d
    networks:
      - courseware-backend
    deploy:
      replicas: 1
  jupyterhub:
    image: {{jupyterhub_image}}
    environment:
      CONTAINER_IMAGE: niicloudoperation/jupyterhub-singleuser
      POSTGRES_ENV_JPY_PSQL_USER: {{db_user}}
      POSTGRES_ENV_JPY_PSQL_PASSWORD: {{db_password}}
      POSTGRES_PORT_5432_TCP_ADDR: postgres
      BACKEND_NETWORK: courseware-backend
      CONCURRENT_SPAWN_LIMIT: "20"
      SPAWNER_HTTP_TIMEOUT: "120"
      SPAWNER_START_TIMEOUT: "60"
      CPU_LIMIT: "2.0"
      MEM_LIMIT: 1G
    volumes:
      - type: bind
        source: /var/run/docker.sock
        target: /var/run/docker.sock
      - type: bind
        source: /var/run/restuser.sock
        target: /var/run/restuser.sock
      - type: bind
        source: {{base_dir}}/logo.png
        target: /var/jupyterhub/logo.png
    networks:
      - courseware-backend
    deploy:
      replicas: 1
      placement:
        constraints:
          - node.role == manager
  auth-proxy:
    image: {{auth_proxy_image}}
    command: /usr/bin/supervisord -n -c /etc/supervisord.conf
    volumes:
      - type: bind
        source: {{certs_dir}}
        target: /etc/nginx/certs
        read_only: true
      - type: bind
        source: {{certs_dir}}
        target: /var/www/simplesamlphp/cert
        read_only: true
      - type: bind
        source: {{auth_proxy_dir}}/crontab
        target: /var/spool/cron/crontabs/root
        read_only: true
      - type: bind
        source: {{auth_proxy_dir}}/nginx.conf
        target: /etc/nginx/nginx.conf
        read_only: true
      - type: bind
        source: {{auth_proxy_dir}}/hub-const.php
        target: /var/www/lib/hub-const.php
        read_only: true
      - type: bind
        source: {{saml_dir}}/authsources.php
        target: /var/www/simplesamlphp/config/authsources.php
        read_only: true
      - type: bind
        source: {{saml_dir}}/module_cron.php
        target: /var/www/simplesamlphp/config/module_cron.php
        read_only: true
      - type: bind
        source: {{auth_proxy_dir}}/supervisord.conf
        target: /etc/supervisord.conf
        read_only: true
    ports:
      - "443:443"
    extra_hosts:
      - "{{hub_hostname}}:127.0.0.2"
    networks:
      - courseware-backend
    deploy:
      replicas: 1
      placement:
        constraints:
          - node.role == manager    
networks:
  courseware-backend:
    driver: overlay
    name: courseware-backend
    ipam:
      config:
        - subnet: "10.1.0.0/20"
'''

上のセルの内容を `docker-compose.yml` として配置します。

In [None]:
from tempfile import TemporaryDirectory

with TemporaryDirectory() as workdir:
    compose = Path(workdir) / 'templates' / 'docker-compose.yml'
    compose.parent.mkdir()
    with compose.open(mode='w') as f:
        f.write(docker_compose)
    playbook = Path(workdir) / 'deploy-docker-compose.yml'
    playbook_params = [{
        'hosts': target_hub,
        'roles': ['common'],
        'tasks': [{
            'template': {
                'src': 'docker-compose.yml',
                'dest': '{{base_dir}}',
            }
        }],
    }]
    with playbook.open(mode='w') as f:
        yaml.dump(playbook_params, f)
    !cat {str(playbook)}
    roles_dir = Path(workdir) / 'roles'
    roles_dir.symlink_to(Path('playbooks/roles').resolve())
    
    !ansible-playbook {str(playbook)}

配置された `docker-compose.yml` の内容を確認します。

In [None]:
!ansible {target_hub} -a 'cat {{{{base_dir}}}}/docker-compose.yml'

### コンテナの起動

コンテナを起動します。

In [None]:
!ansible {target_hub} -a 'chdir={{{{base_dir}}}} \
    docker stack deploy -c docker-compose.yml {{{{stack_name}}}}'

コンテナの起動状態を確認します。

In [None]:
!ansible {target_hub} -a 'docker stack services {{{{stack_name}}}}'

全てのコンテナが起動するまで待ち合わせを行います。

In [None]:
import time
import requests

for retry in range(18):
    try:
        !ansible {target_hub} -m shell -a \
            "[[ \$(docker stack  services --format '{{%raw%}}{{{{.Replicas}}}}{{%endraw%}}' {{{{stack_name}}}} | \
            grep '1/1' | wc -l) -eq 3 ]]" > /dev/null 2>&1
        time.sleep(3)
        r = requests.get(f'https://{hub_hostname}', verify=False)
        if r.status_code != 502:
            break
        # restart container
        !ansible {target_hub} -a 'docker stack rm {{{{stack_name}}}}'
        !ansible {target_hub} -a 'chdir={{{{base_dir}}}} \
            docker stack deploy -c docker-compose.yml {{{{stack_name}}}}'
    except RuntimeError as ex:
        print('retry')
    time.sleep(10)

起動後の状態を確認します。

In [None]:
!ansible {target_hub} -a 'docker stack services {{{{stack_name}}}}'

`auth-proxy` コンテナのログを表示してみます。

In [None]:
!ansible {target_hub} -a 'docker service logs {{{{stack_name}}}}_auth-proxy'

## 管理者の追加

### Systemユーザの作成

ホームディレクトリの親ディレクトリを作成します。

In [None]:
!ansible {target_hub} -b -m file -a 'path=/jupyter/users state=directory'

管理者のホームディレクトリを変数に設定しておきます。

In [None]:
%run scripts/group.py
gvars = load_group_vars(unit_group)
teacher_homedir = f'/jupyter/users/{gvars["teacher_id"]}'
print(teacher_homedir)

`manager`ノードでユーザを作成します。

In [None]:
!ansible {target_hub} -b -m user -a 'name={{{{teacher_id}}}} home={teacher_homedir}'

ホームディレクトリが作成されていることを確認します。

In [None]:
!ansible {target_hub} -b -a 'ls -la {teacher_homedir}'

`worker`ノードにも同じ名前のユーザを作成します。ホームディレクトリはNFSになるので、`manager` のUID/GIDと同じ値でユーザを作成します。

まず、`manager` での UID/GID の値を確認します。

In [None]:
lines = !ansible -a 'id -u {teacher_id}' {target_hub}
teacher_uid = lines[1]
lines = !ansible -a 'id -g {teacher_id}' {target_hub}
teacher_gid = lines[1]
lines = !ansible -a 'id -g -n {teacher_id}' {target_hub}
teacher_group = lines[1]
(teacher_uid, teacher_gid, teacher_group)

`worker`ノードでグループを作成します。

> GID を指定するので、まずグループを作成します。

In [None]:
!ansible {target_nodes} -b -m group -a 'name={teacher_group} gid={teacher_gid}'

`worker`ノードでユーザを作成します。

In [None]:
!ansible {target_nodes} -b -m user \
    -a 'name={{{{teacher_id}}}} uid={teacher_uid} group={teacher_group} \
        home={teacher_homedir}'

ユーザが作成されたことを確認します。

In [None]:
!ansible {unit_group} -a 'id {teacher_id}'

### Prepare contents directory

コンテンツを格納するディレクトリ `info`, `textbook` を準備します。

In [None]:
for x in ['info', 'textbook']:
    !ansible {target_hub} -b -m file \
        -a 'path={teacher_homedir}/{x} state=directory \
            owner={teacher_uid} group={teacher_group} mode=0777'

### Create SSH key and register

JupyterHubを構成するマシンへログインするための鍵の生成と登録を行います。

SSHの鍵ペアを作成します。

In [None]:
!ansible {target_hub} -b -a 'sudo -u {{{{teacher_id}}}} \
    ssh-keygen -N "" -f {teacher_homedir}/.ssh/id_rsa'

鍵ファイルが作成されたことを確認します。

In [None]:
!ansible {target_hub} -b -m shell -a 'ls -l {teacher_homedir}/.ssh/id_rsa*'

作成した公開鍵を `authorized_keys` に登録します。まず、公開鍵の値を取得します。

In [None]:
lines = !ansible {target_hub} -b -a 'cat {teacher_homedir}/.ssh/id_rsa.pub'
pubkey = lines[1]
print(pubkey)

`authorized_keys`に登録します。

In [None]:
!ansible {target_hub} -b -m authorized_key -a 'user={{{{teacher_id}}}} key="{pubkey}"'

ユーザーのホームディレクトリに不適切なpermissionが設定されているとsshの鍵認証に失敗するので、妥当な値が設定されていることを保証しておきます。

In [None]:
!ansible {target_hub} -b -m file \
    -a 'path={teacher_homedir} mode="0755" \
        owner={{{{teacher_id}}}} group={teacher_group}'

### Grant sudo

JupyterHubを構成するマシン上でのsudo権限を与える設定ファイルを配置します。

事前のチェックを行います。

In [None]:
!ansible {unit_group} -CD -b -m lineinfile \
    -a 'dest=/etc/sudoers.d/{{{{teacher_id}}}} create=yes\
        line="{{{{teacher_id}}}} ALL=(ALL) NOPASSWD: ALL"'

実際に設定ファイルの配置を行います。

In [None]:
!ansible {unit_group} -b -m lineinfile \
    -a 'dest=/etc/sudoers.d/{{{{teacher_id}}}} create=yes\
        line="{{{{teacher_id}}}} ALL=(ALL) NOPASSWD: ALL"'

### Set ansible inventory

JupyterHubを構成するマシンを操作するためのインベントリを配布します。

現在の環境からインベントリを読み込んで、JupyterHubの環境で必要となるデータ形式に変換します。

In [None]:
import yaml
%run scripts/group.py

teacher_id = load_group_var(unit_group, 'teacher_id')
with open('hosts') as f:
    inventory = yaml.safe_load(f)
    
ch_inventory = {
    'all': {
        'children': {
            'ch-all': {
                'children': {
                    'ch-master': inventory['all']['children'][unit_group]['children'][target_hub],
                    'ch-nodes': inventory['all']['children'][unit_group]['children'][target_nodes],
                },
                'vars': {
                    'ansible_user': teacher_id,
                }
            }
        }
    }
}

print(yaml.dump(ch_inventory))

インベントリを`~/ansible/inventory`に配布します。

In [None]:
with TemporaryDirectory() as work_dir:
    # インベントリを配置するディレクトリの作成
    !ansible {target_hub} -b -m file \
        -a 'path={teacher_homedir}/ansible state=directory \
            owner={{{{teacher_id}}}} group={teacher_group}'
    
    # インベントリをローカルの作業ディレクトリに作成
    ch_inventory_file = Path(work_dir) / 'inventory'
    with ch_inventory_file.open(mode='w') as f:
        yaml.dump(ch_inventory, f)

    # インベントリの配布
    !ansible {target_hub} -b -m copy \
        -a 'src={str(ch_inventory_file)} dest={teacher_homedir}/ansible/ \
            owner={{{{teacher_id}}}} group={teacher_group}'
    
    # ansible.cfg をローカルの作業ディレクトリに作成
    ansible_cfg = Path(work_dir) / '.ansible.cfg'
    with ansible_cfg.open(mode='w') as f:
        f.write(f'''
[defaults]
inventory=/home/{{{{teacher_id}}}}/ansible/inventory
deprecation_warnings=False
force_valid_group_names=ignore
''')
    # ansible.cfg の配布
    !ansible {target_hub} -b -m template \
        -a 'src={str(ansible_cfg)} dest={teacher_homedir}/ \
            owner={{{{teacher_id}}}} group={teacher_group}'    

### JupyterHubユーザの作成


初回のユーザー作成ではJupyterHub APIが使用できないので、直接DBを変更してユーザーを登録します。

まず、JupyterHubのユーザテーブルにユーザを追加するための SQL ファイルを作成します。

In [None]:
import random
from datetime import datetime

cookie_id = ''.join(random.choices("0123456789abcdef", k=32))
with TemporaryDirectory() as work_dir:
    sql_file = Path(work_dir) / ('create_user_{:%Y%m%d_%H%M%S}.sql'.format(datetime.now()))
    with sql_file.open(mode='w') as f:
        f.write(f'''
INSERT INTO users (name, admin, cookie_id, last_activity)
  VALUES ('{teacher_id}', TRUE, '{cookie_id}', '{datetime.now().isoformat()}');
''')
    !cat {str(sql_file)}
    !ansible {target_hub} -b -m copy -a 'src={str(sql_file)} dest=/jupyter/psql/init/'

PostgreSQLコンテナのコンテナIDと実行しているホストのIPアドレスを取得します。

In [None]:
lines = !ansible {target_hub} -b -a 'docker service ps {{{{stack_name}}}}_postgres -q'
sid = lines[1]

lines = !ansible {target_hub} -b -a \
    'docker inspect --format "{{% raw %}} {{{{.NodeID}}}} {{{{.Status.ContainerStatus.ContainerID}}}} {{% endraw %}}" {sid}'
nodeid, cid = lines[1].split()
print(cid)

lines = !ansible {target_hub} -b -a \
    'docker node inspect --format "{{% raw %}}{{{{.Status.Addr}}}} {{% endraw %}}" {nodeid}'
target_ip = lines[1].split()[0]
print(target_ip)

SQLファイルを実行します。

In [None]:
!ansible {target_ip} -b -a 'docker exec -i {cid} \
    psql -d {{{{db_name}}}} -U {{{{db_user}}}} -f /docker-entrypoint-initdb.d/{sql_file.name}'

ユーザが登録されたことを確認します。

In [None]:
!ansible {target_ip} -a 'docker exec -i {cid} \
    psql -d {{{{db_name}}}} -U {{{{db_user}}}} -c "SELECT * FROM users"'

ローカルユーザーのテーブルにも登録します。 SQLファイルを作成します。

In [None]:
from crypt import crypt
%run scripts/group.py
teacher_password = load_group_var(unit_group, 'teacher_password')

with TemporaryDirectory() as work_dir:
    sql2_file = Path(work_dir) / ('create_localuser_{:%Y%m%d_%H%M%S}.sql'.format(datetime.now()))
    with sql2_file.open(mode='w') as f:
        f.write(f'''
INSERT INTO local_users VALUES(
  nextval('local_users_id_seq'),
  '{{{{teacher_id}}}}',
  '{crypt(teacher_password)}',
  '{{{{teacher_email}}}}'
);
''')
    !ansible {target_hub} -b -m template -a 'src={str(sql2_file)} dest=/jupyter/psql/init/'
    !ansible {target_hub} -b -a 'cat /jupyter/psql/init/{str(sql2_file.name)}'

SQLファイルを実行します。

In [None]:
!ansible {target_ip} -b -a 'docker exec -i {cid} \
    psql -d {{{{db_name}}}} -U {{{{db_user}}}} -f /docker-entrypoint-initdb.d/{sql2_file.name}'

## コンテンツの準備

CoursewareHubのコンテンツを配置する playbook を実行します。

In [None]:
!ansible-playbook playbooks/manage-tools.yml

## CoursewareHubにアクセスする

構築環境にアクセスして、正しく動作していることを確認してください。

次のセルを実行すると、構築したCoursewareHubのアドレスを表示します。

In [None]:
print(f'https://{hub_hostname}')

次のセルを実行するとログインの際に必要となる管理者のメールアドレスが表示されます。

In [None]:
print(teacher_email)