はじめに
この記事は、Oracle Cloud Infrastructure Advent Calendar 2022 その2 Day 16の記事として書かれています。
皆さんはHelidonというアプリケーションフレームワークをご存知でしょうか?
私の過去記事では何度か登場しているのですが、今回はそのHelidonを使うとOCIを楽々に操作できますよというお話をしたいと思います。
ちなみにHelidonはOracleが開発しているJava製のオープンソースのアプリケーションフレームワークであり、非常に軽量に扱うことができるので、マイクロサービスの開発に向いているフレームワークです。
ちなみに過去の記事では以下などで登場しています。
実はHelidonを使うとOCIサービスやリソースに楽々にアクセスできるのです!!
今回はHelidonを使うとなぜOCIを楽々操作できるかを早速見ていきましょう!!
Helidon OCI SDK
早速ですが、HelidonにはHelidon OCI SDK(OCI Integrationの機能)が実装されています。
一体どういう機能かというと、一言で言えば、OCIサービスやリソースを動作するのに必要な認証を非常に楽に行える機能になります。
言葉だけだと分かりづらいと思うので、早速コードで見ていきましょう。
まずは、通常のOCI SDKでは各サービスを操作するためにどのような処理が必要かを見ていきます。
通常のOCI SDKにおける認証のやり方は大きく以下の3種類あります。
- APIキーによる認証
- インスタンス(リソース)プリンシパルによる認証(インスタンスプリンシパルとリソースプリンシパルは正確には別の認証方法ですが、手法としてはほとんど変わらないので、今回は同じ認証方法として扱います)
- セッショントークンベースの認証
これら3種類の認証のコードは以下のようになります。(今回はHelidonがテーマなので、Javaのサンプルコードを記載します)
データベースのクライアントの生成を例にします。
APIキーによる認証
この方法では、事前にOCI構成ファイルを~/.oci/configとして作成しておく必要があります。
詳細はこちらです。
public static void main(String[] args) throws Exception {
String configurationFilePath = "~/.oci/config";
String profile = "DEFAULT";
final ConfigFileReader.ConfigFile configFile = ConfigFileReader.parseDefault();
final AuthenticationDetailsProvider provider =
new ConfigFileAuthenticationDetailsProvider(configFile);
DatabaseClient databaseClient = new DatabaseClient(provider);
}
インスタンス(リソース)プリンシパルによる認証
この方法では、事前に動的グループとポリシーを作成しておく必要があります。
詳細はこちらです。
public static void main(String[] args) throws Exception {
InstancePrincipalsAuthenticationDetailsProvider provider;
provider = InstancePrincipalsAuthenticationDetailsProvider.builder().build();
DatabaseClient databaseClient = new DatabaseClient(provider);
}
セッショントークンベースの認証
この方法では、事前にこちらの手順に従い、security_token_fileパラメータをOCI構成ファイル(~/.oci/config)に記載する必要があります。
public static void main(String[] args) throws IOException {
final AuthenticationDetailsProvider provider =
new SessionTokenAuthenticationDetailsProvider();
DatabaseClient databaseClient = new DatabaseClient(provider);
}
このように、通常SDKを利用する場合は、認証情報(上記コードのprovider)を各サービスのクライアント(上記コードではclient)に渡す必要があります。
これをHelidonのOCI Integration(Helidon OCI SDK)を使うとどうなるかを見てみましょう!!
何も書かれていませんが、間違いではありません。そうです。
Helidon OCI SDKでは認証を行うコードが不要なのです。
その代わり、CDIを利用してクライアントをインジェクションする必要があります。
インジェクションはコンストラクタとフィールドに対して行えます。
例えば、以下のようなコードになります。
コンストラクタでのインジェクション例
public class OciAtpResource {
private final DatabaseClient databaseClient;
@Inject
OciAtpResource(DatabaseClient databaseClient) {
this.databaseClient = databaseClient;
}
}
フィールドへのインジェクション例
@Inject
private DatabaseClient databaseClient;
ここで宣言されているdatabaseClientは、認証情報を渡すことなくそのまま利用できます。
正確にはHelidon OCI SDKが裏側で自動的に認証情報を取得しています。
なので、そのまま以下のようにクライアントを利用してデータベースの動作を行うことができます。
GenerateAutonomousDatabaseWalletResponse walletResponse =
databaseClient.generateAutonomousDatabaseWallet();
このようにHelidonのOCI Integration(Helidon OCI SDK)を使うと簡単にOCIサービスやリソースを動作することができます。
この時、Helidon OCI SDKがどの認証手法を利用するかというのはconfigとして指定できます。
HelidonにはMETA-INF/microprofile-config.propertiesもしくはapplication.yamlという設定ファイルを持たせることができます。
この設定ファイルの中にOCIに関する設定値を持たせることができ、認証手法はoci.auth-strategiesとして定義できます。
oci.auth-strategiesは以下から選択でき、Stringの配列として定義することができるので、複数の定義が可能です。
- auto
- config
- config-file
- instance-principals
- resource-principal
設定値がない場合もしくはautoを指定した場合は、いずれかの認証手法が自動的に選択されます。
詳細はこちらにあります。
ここで紹介した機能を利用するための依存関係について説明します。
まずはHelidon OCI SDKのCDIを利用するためのライブラリです。
<dependency>
<groupId>io.helidon.integrations.oci.sdk</groupId>
<artifactId>helidon-integrations-oci-sdk-cdi</artifactId>
<scope>runtime</scope>
</dependency>
そしてOCI SDKの依存関係を追加します。
Helidon3系の場合は関連する依存関係も含めて以下のようになります。
今回はOCI SDKのバージョンが2.37.0です。
<dependency>
<groupId>com.oracle.oci.sdk</groupId>
<artifactId>oci-java-sdk-shaded-full</artifactId>
<version>2.37.0</version>
</dependency>
<dependency>
<groupId>org.bouncycastle</groupId>
<artifactId>bcpkix-jdk15on</artifactId>
<version>1.70</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-jdk14</artifactId>
<version>1.7.32</version>
<scope>runtime</scope>
</dependency>
依存関係については以上です。
Helidon OCI SDKを使ってATPを操作してみよう
では、最後にOKE上でHelidonからATPを動作してみます。
今回はHelidon OCI SDKのクライアントを利用して、Autonomous DatabaseのWalletファイルを生成し、クエリ結果を取得するコードを書いてみました。
コードの一部ですが、以下に記載します。
今回はクライアントに対するインジェクションはコンストラクタで実施しています。
コードの全体は後ほどレポジトリを記載します。
@Path("/atp")
public class OciAtpResource {
private static final Logger LOGGER = Logger.getLogger(OciAtpResource.class.getName());
private final DatabaseClient databaseClient;
private final PoolDataSource atpDataSource;
private final String atpTnsNetServiceName;
private final String atpOcid;
private final String walletPassword;
@Inject
OciAtpResource(DatabaseClient databaseClient, @Named("atp") PoolDataSource atpDataSource,
@ConfigProperty(name = "oracle.ucp.jdbc.PoolDataSource.atp.tnsNetServiceName") String atpTnsNetServiceName,
@ConfigProperty(name = "oci.atp.ocid") String atpOcid,
@ConfigProperty(name = "oci.atp.walletPassword") String walletPassword) {
this.databaseClient = databaseClient;
this.atpDataSource = Objects.requireNonNull(atpDataSource);
this.atpTnsNetServiceName = atpTnsNetServiceName;
this.atpOcid = atpOcid;
this.walletPassword = walletPassword;
}
/**
* Walletを作成してDBに接続し結果を返す
*
* @return Response
*/
@GET
@Path("/wallet")
public Response generateWallet() {
ResponseHelper.shouldAutoCloseResponseInputStream(false);
GenerateAutonomousDatabaseWalletResponse walletResponse =
databaseClient.generateAutonomousDatabaseWallet(
GenerateAutonomousDatabaseWalletRequest.builder()
.autonomousDatabaseId(this.atpOcid)
.generateAutonomousDatabaseWalletDetails(
GenerateAutonomousDatabaseWalletDetails.builder()
.password(this.walletPassword)
.build())
.build());
if (walletResponse.getContentLength() == 0) {
LOGGER.log(Level.SEVERE, "GenerateAutonomousDatabaseWalletResponse is empty");
return Response.status(Response.Status.NOT_FOUND).build();
}
byte[] walletContent = null;
try {
walletContent = walletResponse.getInputStream().readAllBytes();
} catch (IOException e) {
LOGGER.log(Level.SEVERE, "Error processing GenerateAutonomousDatabaseWalletResponse", e);
return Response.status(Response.Status.INTERNAL_SERVER_ERROR).build();
}
String returnEntity = null;
try {
this.atpDataSource.setSSLContext(getSSLContext(walletContent));
this.atpDataSource.setURL(getJdbcUrl(walletContent, this.atpTnsNetServiceName));
try (
Connection connection = this.atpDataSource.getConnection();
PreparedStatement ps = connection.prepareStatement("SELECT 'Hello world!!' FROM DUAL");
ResultSet rs = ps.executeQuery()
){
rs.next();
returnEntity = rs.getString(1);
}
} catch (SQLException e) {
LOGGER.log(Level.SEVERE, "Error setting up DataSource", e);
return Response.status(Response.Status.INTERNAL_SERVER_ERROR).build();
}
return Response.status(Response.Status.OK).entity(returnEntity).build();
}
この場合に利用する設定については、今回はapplication.yamlとして以下のように定義しました。
server:
port: 8080
oracle:
ucp:
jdbc:
PoolDataSource:
atp:
connectionFactoryClassName: oracle.jdbc.pool.OracleDataSource
tnsNetServiceName: "${atp.db.tnsNetServiceName}"
user: "${atp.db.user}"
password: "${atp.db.password}"
oci:
atp:
ocid: "${oci.properties.atp-ocid}"
walletPassword: "${oci.properties.atp-walletPassword}"
auth-strategies: instance-principals
oci.auth-strategiesの値から分かるように今回はインスタンスプリンシパルを利用するようにしています。
もちろん、対象のサービスやリソースに対する動的グループとポリシーの設定は必要です。
今回はOKEを利用するので、環境変数をSecretリソースとして定義します。
kubectl create secret generic atp-secret --from-literal=tnsNetServiceName=<servicename> --from-literal=password=<ユーザのpassword> --from-literal=<ATPのOCID> --from-literal=atp-walletPassword=<Adminユーザのパスワード> --from-literal=user=<ユーザ名>
Manifestにも同様に定義してきます。
上記で作成したSecretを利用します。
kind: Deployment
apiVersion: apps/v1
metadata:
name: helidon-atp
spec:
replicas: 1
selector:
matchLabels:
app: helidon-atp
template:
metadata:
labels:
app: helidon-atp
version: v1
spec:
containers:
- name: helidon-atp
image: iad.ocir.io/orasejapan/helidon-atp
imagePullPolicy: Always
ports:
- containerPort: 8080
env:
- name: atp.db.tnsNetServiceName
valueFrom:
secretKeyRef:
name: atp-secret
key: tnsNetServiceName
- name: atp.db.user
valueFrom:
secretKeyRef:
name: atp-secret
key: user
- name: atp.db.password
valueFrom:
secretKeyRef:
name: atp-secret
key: password
- name: oci.properties.atp-ocid
valueFrom:
secretKeyRef:
name: atp-secret
key: atp-ocid
- name: oci.properties.atp-walletPassword
valueFrom:
secretKeyRef:
name: atp-secret
key: atp-walletPassword
これで環境が構築できます。
まとめ
今回ご紹介してきた構成のサンプルアプリは以下に置いています。
皆さんもHelidonを使ってどんどんOCIを使っていきましょう!!
参考情報