Rundeck使ったOCIリソース Job管理(Rundeck準備編)

概要

Job管理ツールのRundeckをOCIに導入しました。
Rundeck準備編、Job実行編とRundeck運用編と3つのパートに分けています。

Rundeck準備編←今ココ
Job実行編
Rundeck運用編

構成

VM作成前準備

OCI公式ガイド等を参照しながら各リソースを準備します。

• VCN
• 管理対象VMやLoad balancerを設置するPublic subnet
• Rundeckを設置するPrivate subnet
• Public subnetにInternet Gatewayを追加
• Public subnetのRoute tableにデフォルトルートをInternet Gatewayに向くよう設定
• Public subnetのSecurity listに必要な通信許可を設定
• Private subnetにNAT Gatewayを追加
• Private subnetのRoute tableにデフォルトルートをNAT Gatewayに向くよう設定
• Private subnetのSecurity listに送信元IP 0.0.0.0/0, 宛先IP 0.0.0.0/0のOutbound通信を許可
• Private subnetのSecurity listに送信元IPをOpretator subnet, 宛先Port 4440のInbound通信を許可

VM作成

Instance System Requirementsを参考にしてVMを作成します

• OCIコンソールのナビゲーションメニューからコンピュート>>インスタンスを選択して「インスタンスの作成」を押下
• 名前を設定

• OSイメージとシェイプを設定

• Network設定

• SSHキー設定

• ブートボリューム設定

• 「作成」を押下

(オプション)プライベートDNSを使用したホスト名アクセス

外部ネットワークからサーバーに名前でアクセスする場合はVCN内にリスニングのエンドポイントを作成します。作成後、外部ネットワークDNSからエンドポイントにフォワードすることによって名前解決が可能です。
リゾルバ・エンドポイントの作成

時刻設定

時刻をJSTに変更して再起動します。

[user@linux-rundeck]$ sudo timedatectl set-timezone Asia/Tokyo
[user@linux-rundeck]$ sudo timedatectl
               Local time: Tue 2024-01-09 01:12:09 JST
           Universal time: Mon 2024-01-08 16:12:09 UTC
                 RTC time: Mon 2024-01-08 16:12:09
                Time zone: Asia/Tokyo (JST, +0900)
System clock synchronized: yes
              NTP service: active
          RTC in local TZ: no
[user@linux-rundeck]$ sudo reboot

OCI CLIインストールおよびPython確認

JobのShell実行用にOCI CLIをインストールしてPythonバージョンを確認します。
Oracle Cloud Infrastructureドキュメント CLIのインストール

# インストール後の確認
[user@linux-rundeck]$ oci -v
3.37.1
[user@linux-rundeck]$ python --version
Python 3.6.8

Rundeck インストール

ガイドを参照してRundeckを導入します。
Installing on Red Hat, Amazon or Oracle Linux distributions
導入後rundeckを起動できることを確認します。

• 導入後の確認

[root@linux-rundeck]# service rundeckd start
Starting rundeckd (via systemctl):                         [  OK  ]
[root@linux-rundeck]# service rundeckd status
● rundeckd.service - SYSV: rundeckd, providing rundeckd
   Loaded: loaded (/etc/rc.d/init.d/rundeckd; generated)
   Active: active (running) since Tue 2024-01-09 09:42:49 JST; 5s ago

[user@linux-rundeck opc]# netstat -an | grep 4440
tcp6       0      0 :::4440                 :::*                    LISTEN

• tcp/4440でlistenするためFirewallを許可

[root@linux-rundeck]# firewall-cmd --add-port=4440/tcp --zone=public --permanent
success
[root@linux-rundeck]# firewall-cmd --reload
success
[root@linux-rundeck]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens3
  sources:
  services: dhcpv6-client ssh
  ports: 4440/tcp

Rundeckプロファイル設定

デフォルトではローカルアクセスのみのため、プロファイルを編集してサービス再起動してアクセスできることを確認します。

• プロファイル編集と再起動

[root@linux-rundeck]# vi /etc/rundeck/rundeck-config.properties
grails.serverURL=http://【IPアドレスまたはhost名】:4440

[root@linux-rundeck]# vi /etc/rundeck/framework.properties
framework.server.name = 【IPアドレスまたはhost名】
framework.server.hostname = 【IPアドレスまたはhost名】
framework.server.port = 4440
framework.server.url = http://【IPアドレスまたはhost名】:4440

[root@linux-rundeck]# service rundeckd restart

• アクセス確認

(オプション)httpsオフロード

今回はRundeckへのWebアクセスは閉域網からのアクセスを想定しています。
しかし、http通信なのでusername/password等の通信内容は暗号化されていません。
セキュリティ上考慮が必要な場合はhttps通信に切り替えが可能です。
WAN通信を暗号化する場合はOCI Loadbalancerでhttpsオフロードすることによりrundeckの負担を軽減することが可能です。

• Loadbalancer設定
  OCI LoadBalancerを使ってNATとSSL/TLS終端を行うを参考にLoadbalancerを設定
• プロファイル編集と再起動

[root@linux-rundeck]# vi /etc/rundeck/rundeck-config.properties
grails.serverURL=https://【ドメイン名】:4430
server.useForwardHeaders=true

[root@linux-rundeck]# vi /etc/rundeck/framework.properties
framework.server.name = 【host名】
framework.server.hostname = 【host名】
framework.server.port = 4440
framework.server.url = http://【host名】:4440
framework.rundeck.url = https://【ドメイン名】:4430

[root@linux-rundeck]# service rundeckd restart

(オプション)adminパスワード変更、ユーザー追加

adminの初期パスワードはadminなので必要に応じて
Authenticating Usersを参考にパスワードを変更します。
ユーザーを追加する場合は、上記に加えてaclpolicyファイルをAccess Control Policyを参考に作成します。

[root@linux-rundeck]# vi /etc/rundeck/realm.properties
admin:【パスワード】,user,admin,architect,deploy,build

#ユーザーを追加する場合はユーザー名:パスワード,グループを追加
user1:【パスワード】,user

#user1が所属するグループuserのaclpolicyを作成
[root@linux-rundeck]# vi /etc/rundeck/user.aclpolicy

description: user
context:
  project: '【Project】' #後述するProjectと一致させる
for:
  resource:
    - allow: [read] # allow read all kinds
  adhoc:
    - allow: [read] # allow read adhoc jobs
  job:
    - allow: [read,run,kill] # allow readr/run/kill of all jobs
  node:
    - allow: [read,run] # allow read/run for all nodes
by:
  group: user

---

description: user
context:
  application: 'rundeck'
for:
  project:
    - match:
        name: '【Project】' #後述するProjectと一致させる
      allow: [read] # allow read of 【Project】
by:
  group: user

Project作成

Jobを登録するためのProjectを作成します。

• adminでログイン後Create New Projectを押下
• Project name等を入力し作成

rundeck-cliインストール

rundeck運用のためrundeck-cliツールをRundeck CLI - Installを参考にインストールします。

• rundeck-cliインストール

[root@linux-rundeck]# curl https://raw.githubusercontent.com/rundeck/packaging/main/scripts/rpm-setup.sh 2> /dev/null | bash -s rundeck
[root@linux-rundeck]# dnf install rundeck-cli

• rundeck-cli定義ファイル作成

[root@linux-rundeck]# vi rd.conf
export RD_URL=http://【host名】:4440
export RD_USER=admin
export RD_PASSWORD=【パスワード】

• rundeck-cliの確認

[root@linux-rundeck]# export RD_CONF=/path/to/rd.conf
[root@linux-rundeck]# rd system info
#システム情報が表示されればOK

Rundeck準備編はここまでです。
次はJob実行編にてJobを登録します。