search
LoginSignup
1

More than 1 year has passed since last update.

posted at

updated at

Organization

bitnami/rabbitmq で load_definition したら user/password 設定にハマった話

k8s で RabbitMQ を構築したいみなさんこんにちは。
LAPRAS Advent Calendar 2020 の2日目の記事です。

重要なことなので最初と最後で二度言いますが、今からRabbitMQを運用したい方はAWSのマネージドサービスを使うことをおすすめします
2020年11に発表されました。https://aws.amazon.com/jp/about-aws/whats-new/2020/11/announcing-amazon-mq-rabbitmq/

k8s で helm を使って RabbitMQ を動かすときに、ユーザとパスワード設定で2箇所ハマったので、マネージドサービスを使うのが嫌いな人のためにそれについて書いていきます。
これ以外にもいろいろ苦労してたくさん調べものをしたのですが、ほとんど日本語の情報がなくて、皆あまり k8s で RabbitMQ の管理してないのかな…と思ったり思わなかったりしています。

まず注意しないといけないのが helm/chartsrabbitmq が名前からすると一番支持されているように見えますが、こちらは Helm ver 2 から 3 へのバージョンアップに伴い deplicated になっていて、bitnami/charts がメインストリームになっています。(2020年12月現在)
YAMLの書き方もそれぞれで違います。以降 bitnami/rabbitmq の helm chart を使う前提で記述しています。

Load Definitions せずに初期ユーザ/パスワードを設定する

Load Definitions といって、JSON形式で吐き出した RabbitMQ の設定ファイル(definitions)を起動時に読み込む機能があるのですが、それを使わないのであれば README に書かれている通り auth.usernameauth.password でデフォルトのユーザ名とパスワードを作成できます。

helmfile を使う場合こんな感じのYAMLになります。

  - name: rabbitmq
    chart: bitnami/rabbitmq
    values:
      - auth:
          username: your_name
          password: raw_password

これは素直なので特にハマることはないです。

ハマリポイント1: Load Definitions したら初期ユーザが作られない

起動時に vhost の作成や、その権限設定をしたいと思いこんな感じでパラメータを設定します。
showwin というユーザを作って、//hello の権限を付与したい訳です。

  - name: rabbitmq
    chart: bitnami/rabbitmq
    values:
      - auth:
          username: showwin
          password: showwin_password
      - extraSecrets:
          load-definition:
            load_definition.json: |
              {
                "vhosts": [
                  {
                    "name": "/"
                  },
                  {
                    "name": "/hello"
                  }
                ],
                "permissions": [
                  {
                    "user": "showwin",
                    "vhost": "/",
                    "configure": ".*",
                    "read": ".*",
                    "write": ".*"
                  },
                  {
                    "user": "showwin",
                    "vhost": "/hello",
                    "configure": ".*",
                    "read": ".*",
                    "write": ".*"
                  }
                ]
              }
      - loadDefinition:
          enabled: true
          existingSecret: load-definition
      - extraConfiguration: |
          load_definitions = /app/load_definition.json

これで $ helmfile sync すると失敗して、showwin なんてユーザいないぜ!ってエラーがでます。
(エラーメッセージちゃんと残してなくてごめんなさい)

先に答えを書くと

  - name: rabbitmq
    chart: bitnami/rabbitmq
    values:
      - extraSecrets:
          load-definition:
            load_definition.json: |
              {
                "users": [
                  {
                    "name": "showwin",
                    "password_hash": "hcT66xoYpmmZQqzjH934IWfEdSdBZYLhIwP0oULa7DyecDFI",
                    "hashing_algorithm": "rabbit_password_hashing_sha256",
                    "tags": ""
                  }
                ],
                "vhosts": [
                  {
                    "name": "/"
                  },
                  {
                    "name": "/hello"
                  }
                ],
                "permissions": [
                  {
                    "user": "showwin",
                    "vhost": "/",
                    "configure": ".*",
                    "read": ".*",
                    "write": ".*"
                  },
                  {
                    "user": "showwin",
                    "vhost": "/hello",
                    "configure": ".*",
                    "read": ".*",
                    "write": ".*"
                  }
                ]
              }
      - loadDefinition:
          enabled: true
          existingSecret: load-definition
      - extraConfiguration: |
          load_definitions = /app/load_definition.json

このように definitions.json の中にユーザの情報を書かないと作成されません。

その理由を探るためにコードを追いかけてみます。

auth.usernameauth.passwordここ で secret config にされて、 statefulsetRABBITMQ_USERNAMERABBITMQ_PASSWORD という環境変数に設定されます。
(それらの環境変数が設定されていない場合は Docker の entrypoint.sh の中で呼ばれる librabbitmq.shuser, bitnami というユーザ名、パスワードにデフォルトでなるようです。)
RABBITMQ_USERNAMEここ で config file に default_user として設定され、RabbitMQ server 起動時に ここ でそれが読まれてユーザが作成されるはずなのですが、すぐ上のコードを読むと、読み込む definitions がない場合にそのデフォルトユーザを作成して、 definitions がある場合にはデフォルトユーザ(やvhost)を作成しないような動きになっています。
2020年6月の Import definitions in the post-launch phase のPRで入った挙動のようですが、公式のドキュメントも更新されていて

The definitions in the file will not overwrite anything already in the broker. However, if a blank (uninitialised) node imports a definition file, it will not create the default virtual host and user.

ときちんと書かれているので、ちゃんと読めという話でした。

ハマリポイント2: password_hash が毎回変わる問題

先程の設定でこのような部分があります。

- extraSecrets:
    load-definition:
      load_definition.json: |
        {
          "users": [
            {
              "name": "showwin",
              "password_hash": "hcT66xoYpmmZQqzjH934IWfEdSdBZYLhIwP0oULa7DyecDFI",
              "hashing_algorithm": "rabbit_password_hashing_sha256",
              "tags": ""
            }
          ],

ここの password_hash ですが、どうパスワードをハッシュ化すればよいのかわからなかったので、適当に立ち上げたRabbitMQコンテナの中に入って

$ rabbitmqctl change_password showwin raw_password
$ rabbitmqctl export_definitions definitions.json
$ cat definitions.json

をして、吐き出された definitions ファイルにかかれている password_hash をコピペして設定しました。
ところが、これで立ち上げると showwin / raw_password で認証が通りません。

おかしいなと思い、上の手順を再度実行すると、異なる password_hash が得られます。毎回saltが変わっているようですね。

どうも load_definition.jsonpassword_hash で定義するのは悪手のようで、


- extraSecrets:
    load-definition:
      load_definition.json: |
        {
          "users": [
            {
              "name": "showwin",
              "password": "raw_password",
              "hashing_algorithm": "rabbit_password_hashing_sha256",
              "tags": ""
            }
          ],

password のキーを使うとそのパスワードが設定できるようでした。
これは bitnami/rabbitmq の REAMDE の例も password を使っていたので簡単に気づけたかもしれませんが、rabbitmqctl が吐き出す definitions はハッシュ化されたものだったのでそちらに気を取られてしまいました。
(生パスワードを定義する場合はきちんと secret 化しましょう)

以上、ぼくがユーザ、パスワード設定できない…と5,6時間格闘した結果でした。

おまけ: RabbitMQ運用辛い話

高可用性な構成にしたく、replica数3にしてRabbitMQクラスタを組んでいたのですが、1つpodが死ぬと再起動時に Error while waiting for Mnesia tables というログを吐いて正常に立ち上がらなくなります。
https://github.com/bitnami/charts/issues/2868 など複数箇所で同様の報告が上がっており、それに対するPRもマージされているのですが自分の環境では未だに発生し続けています。
bitnami/rabbitmq だけではなくて、その前に使っていた stable/rabbitmq でも同じことが起きていました。

正しく理解できている自信はないですが、起動時にクラスタの他のpodの設定を読んで同期する処理があり、そのときにエラーになっているようです。

AWSのスポットインスタンスで構成されたnode群の上で動かしているので、割と頻繁にnodeが死ぬのですが、そこにRabbitMQのpodが乗っていると、再起動時に立ち上がらなくなり、3,4日に1回RabbitMQが死んでしまう状況でした。
(手動で全podを消して同時に立ち上げれば正常に起動します)

最終的に今は(起動時に同期処理が走らない)1podで動かしており、なんとクラスタを組むよりも高い可用性で運用ができている状況です…クラスタ化とは…

とはいえ使う場所によっては、1podな構成ではさすがに信頼性に欠けると思うので、高い可用性が必要であればAWSのマネージドサービスを使いましょう。
負けた感じもしますが…

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
1