はじめに
リソース・マネージャにOCI CLI、各種SDK(Java、Python、Go)を含むOracle Cloud Development Kitがプリインストールされたサンプルが提供されたので、そちらをつかって開発環境をデプロイしてみました。
何から伝えればいいのかわからないまま時が流れてしまいましたが、どのようなコンポーネントが作成されるのか、どのようなモジュールがインストールされるのかを確認しました。
作業の流れ
- リソース・マネージャのスタックの作成
- リソース・マネージャのスタックからデプロイ
- 作成されたコンポーネントの確認
- インストールされているモジュールの確認
1. リソース・マネージャのスタックの作成
「コンソール・メニュー」→「リソース・マネージャ」→「スタック」
「スタックの作成」をクリックします。
「サンプル・ソリューション」を選択し、「スタック構成」欄の「ソリューションの選択」をクリックします。
「アーキテクチャ」タブの「Oracle Cloud Development Kit」を選択し、「ソリューションの選択」をクリックします。
任意の名前を入力し、「次」をクリックします。
任意のインスタンスシェイプを選択し、「次」をクリックします。
「コンピュート・インスタンスですべてのリソースにテナンシ・レベルでアクセス」のチェックをオンにしておくと、インスタンス・プリンシパルのための動的グループとポリシーが自動的に作成されます。
確認画面の内容を確認し、内容に問題がなければ「作成」をクリックします。
スタックが作成されました。
2. リソース・マネージャのスタックからデプロイ
スタックが作成できたので、こちらを適用してデプロイします。
「Terraformアクション」内の「適用」をクリックします。
ウィザードが表示されるので、任意の適用ジョブ名を入力し、「適用」をクリックします、
ジョブの実行中は処理が進むごとにログが表示され、実行状況を確認できます。
成功と表示されれば、デプロイは完了です。
3. 作成されたコンポーネントの確認
スタックで作成されたコンポーネントを確認するために、ジョブのログの内容を確認します。
(わかりやすくするために、一部順番を入れ替えています。)
Terraformの初期化
Initializing modules...
- compute in modules/compute
- network in modules/network
Initializing provider plugins...
The following providers do not have any version constraints in configuration,
so the latest version was installed.
To prevent automatic upgrades to new major versions that may contain breaking
changes, it is recommended to add version = "..." constraints to the
corresponding provider blocks in configuration, with the constraint strings
suggested below.
*provider.null: version = "~> 2.1"
*provider.oci: version = "~> 4.3"
*provider.tls: version = "~> 2.0"
Terraform has been successfully initialized!
You may now begin working with Terraform. Try running "terraform plan" to see
any changes that are required for your infrastructure. All Terraform commands
should now work.
If you ever set or change modules or backend configuration for Terraform,
rerun this command to reinitialize your working directory. If you forget, other
commands will detect it and remind you to do so if necessary.
module.compute.data.oci_identity_availability_domains.ads: Refreshing state...
module.compute.data.oci_core_images.this: Refreshing state...
module.compute.data.oci_identity_compartment.this: Refreshing state...
キーペアの作成
module.compute.tls_private_key.ssh_keypair: Creating...
module.compute.tls_private_key.ssh_keypair: Creation complete after 0s [id=56f04974edef1b1778a73eec7f5acb923fa1cf9f]
VCNの作成
module.network.oci_core_vcn.this: Creating...
module.network.oci_core_vcn.this: Creation complete after 0s [id=ocid1.vcn.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
インターネット・ゲートウェイの作成
module.network.oci_core_internet_gateway.ig: Creating...
module.network.oci_core_internet_gateway.ig: Creation complete after 1s [id=ocid1.internetgateway.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
セキュリティ・リストの作成
module.network.oci_core_security_list.sl: Creating...
module.network.oci_core_security_list.sl: Creation complete after 1s [id=ocid1.securitylist.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
ネットワーク・セキュリティ・グループの作成
module.compute.oci_core_network_security_group.nsg: Creating...
module.compute.oci_core_network_security_group.nsg: Creation complete after 1s [id=ocid1.networksecuritygroup.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
ルート表の作成
module.network.oci_core_route_table.rt: Creating...
module.network.oci_core_route_table.rt: Creation complete after 0s [id=ocid1.routetable.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
ネットワーク・セキュリティ・グループへのセキュリティ・ルールの追加
module.compute.oci_core_network_security_group_security_rule.ingress_icmp_3_4: Creating...
module.compute.oci_core_network_security_group_security_rule.ingress_icmp_3_4: Creation complete after 0s [id=9A1305]
module.compute.oci_core_network_security_group_security_rule.ingress_icmp_3: Creating...
module.compute.oci_core_network_security_group_security_rule.ingress_icmp_3: Creation complete after 1s [id=00400E]
module.compute.oci_core_network_security_group_security_rule.ingress_ssh: Creating...
module.compute.oci_core_network_security_group_security_rule.ingress_ssh: Creation complete after 0s [id=BB030A]
module.compute.oci_core_network_security_group_security_rule.egress: Creating...
module.compute.oci_core_network_security_group_security_rule.egress: Creation complete after 0s [id=8B5001]
サブネットの作成
module.network.oci_core_subnet.regional_sn: Creating...
module.network.oci_core_subnet.regional_sn: Creation complete after 4s [id=ocid1.subnet.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
コンピュート・インスタンスの作成
module.compute.oci_core_instance.dev_tools: Creating...
module.compute.oci_core_instance.dev_tools: Still creating... [10s elapsed]
module.compute.oci_core_instance.dev_tools: Still creating... [20s elapsed]
module.compute.oci_core_instance.dev_tools: Still creating... [30s elapsed]
module.compute.oci_core_instance.dev_tools: Still creating... [40s elapsed]
module.compute.oci_core_instance.dev_tools: Still creating... [50s elapsed]
module.compute.oci_core_instance.dev_tools: Still creating... [1m0s elapsed]
module.compute.oci_core_instance.dev_tools: Creation complete after 1m7s [id=ocid1.instance.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
動的グループの作成
module.compute.oci_identity_dynamic_group.for_instance: Creating...
module.compute.oci_identity_dynamic_group.for_instance: Creation complete after 0s [id=ocid1.dynamicgroup.oc1..aXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
ポリシーの作成
module.compute.oci_identity_policy.dg_manage_all: Creating...
module.compute.oci_identity_policy.dg_manage_all: Creation complete after 0s [id=ocid1.policy.oc1..XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX]
SSHでの接続確認
module.compute.null_resource.remote-exec: Creating...
module.compute.null_resource.remote-exec: Provisioning with 'remote-exec'...
module.compute.null_resource.remote-exec (remote-exec): Connecting to remote host via SSH...
module.compute.null_resource.remote-exec (remote-exec): Host: xxx.xxx.xxx.xxx
module.compute.null_resource.remote-exec (remote-exec): User: opc
module.compute.null_resource.remote-exec (remote-exec): Password: false
module.compute.null_resource.remote-exec (remote-exec): Private key: true
module.compute.null_resource.remote-exec (remote-exec): Certificate: false
module.compute.null_resource.remote-exec (remote-exec): SSH Agent: false
module.compute.null_resource.remote-exec (remote-exec): Checking Host Key: false
module.compute.null_resource.remote-exec (remote-exec): Connecting to remote host via SSH...
module.compute.null_resource.remote-exec (remote-exec): Host: xxx.xxx.xxx.xxx
module.compute.null_resource.remote-exec (remote-exec): User: opc
module.compute.null_resource.remote-exec (remote-exec): Password: false
module.compute.null_resource.remote-exec (remote-exec): Private key: true
module.compute.null_resource.remote-exec (remote-exec): Certificate: false
module.compute.null_resource.remote-exec (remote-exec): SSH Agent: false
module.compute.null_resource.remote-exec (remote-exec): Checking Host Key: false
module.compute.null_resource.remote-exec: Still creating... [10s elapsed]
module.compute.null_resource.remote-exec (remote-exec): Connecting to remote host via SSH...
module.compute.null_resource.remote-exec (remote-exec): Host: xxx.xxx.xxx.xxx
module.compute.null_resource.remote-exec (remote-exec): User: opc
module.compute.null_resource.remote-exec (remote-exec): Password: false
module.compute.null_resource.remote-exec (remote-exec): Private key: true
module.compute.null_resource.remote-exec (remote-exec): Certificate: false
module.compute.null_resource.remote-exec (remote-exec): SSH Agent: false
module.compute.null_resource.remote-exec (remote-exec): Checking Host Key: false
module.compute.null_resource.remote-exec (remote-exec): Connecting to remote host via SSH...
module.compute.null_resource.remote-exec (remote-exec): Host: xxx.xxx.xxx.xxx
module.compute.null_resource.remote-exec (remote-exec): User: opc
module.compute.null_resource.remote-exec (remote-exec): Password: false
module.compute.null_resource.remote-exec (remote-exec): Private key: true
module.compute.null_resource.remote-exec (remote-exec): Certificate: false
module.compute.null_resource.remote-exec (remote-exec): SSH Agent: false
module.compute.null_resource.remote-exec (remote-exec): Checking Host Key: false
module.compute.null_resource.remote-exec: Still creating... [20s elapsed]
module.compute.null_resource.remote-exec (remote-exec): Connecting to remote host via SSH...
module.compute.null_resource.remote-exec (remote-exec): Host: xxx.xxx.xxx.xxx
module.compute.null_resource.remote-exec (remote-exec): User: opc
module.compute.null_resource.remote-exec (remote-exec): Password: false
module.compute.null_resource.remote-exec (remote-exec): Private key: true
module.compute.null_resource.remote-exec (remote-exec): Certificate: false
module.compute.null_resource.remote-exec (remote-exec): SSH Agent: false
module.compute.null_resource.remote-exec (remote-exec): Checking Host Key: false
module.compute.null_resource.remote-exec (remote-exec): Connected!
module.compute.null_resource.remote-exec: Creation complete after 23s [id=6499544683093114641]
デプロイの完了
Apply complete! Resources: 15 added, 0 changed, 0 destroyed.
Outputs:
compartment_id = ocid1.compartment.oc1..XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
compute_instance_public_ip = xxx.xxx.xxx.xxx
generated_instance_ssh_private_key = -----BEGIN RSA PRIVATE KEY-----
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
・
・
・
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ==
-----END RSA PRIVATE KEY-----
次にコンパートメント・エクスプローラで確認してみます。
ログに表示されていたコンポーネントのうち、動的グループとポリシー以外が表示されています。
動的グループとポリシーはコンパートメント・エクスプローラでは確認できませんので、個別に確認します。
・動的グループ
「コンソール・メニュー」→「アイデンティティ」→「動的グループ」
スタックで作成されたインスタンスのOCIDを含むルールが設定されています。
・ポリシー
「コンソール・メニュー」→「アイデンティティ」→「ポリシー」
テナントレベルのポリシーになりますので、rootコンパートメントのポリシーを確認します。
動的グループに対して、テナント内のすべてのリソースの管理を許可しています。
これにより、動的グループに含まれるインスタンスからは、テナント内のすべてのリソースを操作することが可能になります(インスタンス・プリンシパル)。
コンパートメント・エクスプローラに表示されている各コンポーネントについて確認してみます。
・仮想クラウド・ネットワーク(VCN)
oci-dev-tools-vcnという名前のVCNがCIDR 10.0.0.0/16で作成されています。
・インターネット・ゲートウェイ
oci-dev-tools-internet-gatewayという名前のインターネット・ゲートウェイが作成されています。
・ルート表
oci-dev-tools-route-tableという名前のルート表が作成され、0.0.0.0/0宛のトラフィックをインターネット・ゲートウェイにルーティングするルート・ルールが設定されています。
なお、VCNのデフォルトのルート表にはルート・ルールが設定されていません。
・セキュリティ・リスト
oci-dev-tools-security-listにはルールが何も設定されていません。
VCNのデフォルトのセキュリティ・リストにTCP 22番ポート(SSH)へのアクセス、ICMPレスポンスに関するセキュリティ・ルールが設定されていますが、こちらはサブネットにアタッチされていません。
・ネットワーク・セキュリティ・グループ
VCNのデフォルトのセキュリティ・リストと同様の設定となっています。
・サブネット
oci_dev_tools_subnetという名前のサブネットがCIDRブロック10.0.1.0/24で作成されていることが確認できます。
ルート表としてoci-dev-tools-route-tableが適用されています。
セキュリティ・リストとしてoci-dev-tools-security-listが割り当てられていますが、oci-dev-tools-security-listは何もルールが設定されていませんので、アクセスが許可されていません。
・コンピュート・インスタンス
ネットワーク・セキュリティ・グループが適用されています。
こちらネットワーク・セキュリティ・グループでTCP 22番ポートへのをアクセスを許可しているので、インターネット側からSSH接続ができるようになっています。
4. インストールされているモジュールの確認
ログに表示された秘密鍵を使用して、opcユーザでログインすると、ホームディレクトリにinstall-oci-dev-kit.logというDevelopment Kitのインストールログがあります。
こちらの内容を確認すると、
Packages to install python36-oci-cli terraform terraform-provider-oci oci-ansible-collection python36-oci-sdk.x86_64 oracle-golang-release-el7.x86_64 golang go-oci-sdk.x86_64 java-oci-sdk.x86_64 git-1.8.3.1-23.el7_8.x86_64
との記載がありますので、
**・Git
・Terraform
・Oracle Cloud Infrastructure Terraformプロバイダ
・Oracle Cloud Infrastructure Ansibleコレクション
・OCI CLI
・Python SDK
・Go言語
・Go SDK
・SDK for Java **
の各モジュールと、依存関係のあるモジュールがインストールされたことがわかります。
まとめ
リソースマネージャのOracle Cloud Development Kitがプリインストールされたサンプルをデプロイして、作成されるコンポーネントを確認してみました。
インスタンス・プリンシパルを利用するための動的グループ、ポリシーまで作成してくれるのはとても便利ですが、テナントレベルですべてのリソースの管理を許可する設定となっているので、必要に応じてポリシーを変更して特定のコンパートメントレベルにするなどした方が安全かもしれませんね。
<コンパートメント・エクスプローラで確認できるもの>
・仮想クラウド・ネットワーク(VCN)
・デフォルトのセキュリティ・リスト
・デフォルトのルート表
・デフォルトのDHCPオプション
・インターネット・ゲートウェイ
・ルート表
・セキュリティ・リスト
・ネットワークセキュリティ・グループ
・サブネット
・コンピュート・インスタンス
・ブート・ボリューム
・vNIC
・プライベートIP
・パブリックIP
<その他>
・SSHキーペア
・動的グループ
・ポリシー