ConoHa VM に websocket 経由でコンソール接続してみる
ConoHa で WebSocket 経由でVMのコンソールへ接続してみます。
とりあえず、下記の 3 種類で接続してみるつもりです。
1. 公開 API で websocket のインターフェイスを作って python スクリプトで接続
2. 公開 API で websocket のインターフェイスを作って novaconsole という公開されているクライアントを利用して接続
3. websocket backend を tornado サーバで立てて、xterm.js から接続
1. 公開 API で websocket のインターフェイスを作って python スクリプトで接続
まず、公開APIで websocket 通信を発行する方法について
トークン取得
https://www.conoha.jp/docs/identity-post_tokens.html
curl -i -X POST \
-H "Accept: application/json" \
-d '{"auth":{"passwordCredentials":{"username":"ConoHa","password":"paSSword123456#$%"},"tenantId":"1864e71d2deb46f6b47526b69c65a45d"}}' \
https://identity.tyo1.conoha.io/v2.0/tokens
こちらで、トークン ID を取得
websocket のインターフェイス作成
https://www.conoha.jp/docs/compute-web_serial_console.html
curl -i -X POST \
-H "Accept: application/json" \
-H "X-Auth-Token: 35941e7df872405d84e5b026dba8323c" \
-d '{"os-getSerialConsole": {"type": "serial"}}' \
https://compute.tyo1.conoha.io/v2/1864e71d2deb46f6b47526b69c65a45d/servers/e25b3611-96df-4514-a54b-7729aec48dc1/action
こちらのAPIで先程指定したトークンを指定して、websocket のインターフェイスを取得してください。
bash
{"console":{"url":"wss://console.tyo1.conoha.io/?token=9ab9223c-727b-4620-872f-228c44e3c89e","type":"serial"}}
正しく取得できればこんな感じで websocket URL 取得できます。
https://docs.openstack.org/nova/queens/contributor/testing/serial-console.html
↑の URL から websocket 接続用の URL をお借りします。
# sudo easy_install ws4py || sudo pip install ws4py
# cat >> client.py <<EOF
import sys
from ws4py.client.threadedclient import WebSocketClient
class LazyClient(WebSocketClient):
def run(self):
try:
while not self.terminated:
try:
b = self.sock.recv(4096)
sys.stdout.write(b)
sys.stdout.flush()
except: # socket error expected
pass
finally:
self.terminate()
if __name__ == '__main__':
if len(sys.argv) != 2 or not sys.argv[1].startswith("ws"):
print "Usage %s: Please use websocket url"
print "Example: ws://127.0.0.1:6083/?token=xxx"
exit(1)
try:
ws = LazyClient(sys.argv[1], protocols=['binary'])
ws.connect()
while True:
# keyboard event...
c = sys.stdin.read(1)
if c:
ws.send(c)
ws.run_forever()
except KeyboardInterrupt:
ws.close()
EOF
client.py のファイル名で保存して、pip 利用してws4pyをinstallしてください。
$ python client.py wss://console.tyo1.conoha.io/?token=9ab9223c-727b-4620-872f-228c44e3c89
こんな感じ。
終了するときは、CTRL + C で終了してください。
これでAPIで作成した websocket のインターフェイス経由でVMコンソールへ接続できます。
しかし!
取得したバイナリをそのまま標準出力へ flush しているからか、ずっと使っていると文字化けしてしまいます。
そして、TTY のフォーマットで出力されていないので、ログインパスワードなど本来表示されて欲しくない文字列もそのまま表示されてしまいます。
なので、次に公開されているクライアントを使ってみます。
2. 公開 API で websocket のインターフェイスを作って novaconsole という公開されているクライアントを利用して接続
novaconsole
https://github.com/larsks/novaconsole
↑のクライアントで接続
基本的に pip install で install できます。
けれど、依存性のある websocket client の関係で Python 2.7.9 以上でないと動作しません。
なので、予め python のバージョン確認をお願いします。
とりあえず、必要なライブラリをインストール
# yum install python-devel
# yum install libevent-devel
Installation にある通りにやってみる
# git clone http://github.com/larsks/novaconsole.git
# cd novaconsole
# python setup.py install
インストールできたら novaconsle コマンド実行
$ novaconsole --url wss://console.tyo1.conoha.io/?token=9ab9223c-727b-4620-872f-228c44e3c89
これで、VM への接続ができます。
次は公開APIを使わず、websocket 経由で VM へ接続する方法
3. websocket backend を tornado サーバで立てて、xterm.js から接続
利用するのは ConoHa で提供されている CentOS7.5です。
pip install で tornado と terminado インストール
# curl https://bootstrap.pypa.io/get-pip.py | python
# python get-pip.py
# pip install tornado
# pip install terminado
この terminado で websocket のバックエンドサーバを立てることができます。
firewall の 8765 ポートを開けておきます。
※ ちなみに、8765 ポートで VM へのソケット通信がグローバルで公開されてしまうので、自分の接続IPを確認して firewall でその IP のみ開けています。
# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="{IP address}" port protocol="tcp" port="8765" accept"
# firewall-cmd --reload
websocket の backend は terminado というサーバして、フロントエンドの term.js へ接続します。
なので、term.js 接続関係のライブラリをインストール
# pip install tornado_xstatic
# pip install XStatic-term.js
terminado: https://github.com/jupyter/terminado
上記URL記載のサンプルコードを利用します。
import os.path
import tornado.web
import tornado.ioloop
# This demo requires tornado_xstatic and XStatic-term.js
import tornado_xstatic
import terminado
STATIC_DIR = os.path.join(os.path.dirname(terminado.__file__), "_static")
class TerminalPageHandler(tornado.web.RequestHandler):
def get(self):
return self.render("termpage.html", static=self.static_url,
xstatic=self.application.settings['xstatic_url'],
ws_url_path="/websocket")
if __name__ == '__main__':
term_manager = terminado.SingleTermManager(shell_command=['bash'])
handlers = [
(r"/websocket", terminado.TermSocket,
{'term_manager': term_manager}),
(r"/", TerminalPageHandler),
(r"/xstatic/(.*)", tornado_xstatic.XStaticFileHandler,
{'allowed_modules': ['termjs']})
]
app = tornado.web.Application(handlers, static_path=STATIC_DIR,
xstatic_url = tornado_xstatic.url_maker('/xstatic/'))
# Serve at http://localhost:8765/ N.B. Leaving out 'localhost' here will
# work, but it will listen on the public network interface as well.
# Given what terminado does, that would be rather a security hole.
app.listen(8765)
try:
tornado.ioloop.IOLoop.instance().start()
finally:
term_manager.shutdown()
app.listen(8765, localhost) を app.listen(8765)へ変更しています。
このファイルをconsole.py という名前で保存して、同じ場所にdemo用の template ファイルをダウンロードします。
以下2つのファイルを termpage.html, uimod.html で保存
https://raw.githubusercontent.com/jupyter/terminado/master/demos/templates/termpage.html
https://raw.githubusercontent.com/jupyter/terminado/master/demos/templates/uimod.html
そして、console.py を実行
# python console.py
Firewall で IP アクセス許可した場所から、console 用の websocket backend を許可したサーバで Http 経由で該当サーバへアクセスしてください。
http://{ip address}:8765
アクセスできました。
まとめ
最後の「3. websocket backend を tornado サーバで立てて、xterm.js から接続」はDEMOのコードを用いて簡単に接続しましたが、セキュリティのことを考えるとちょっと危険です。
firewall でのアクセスを絞ったり、認証の仕組みを作ったりしないといけないかも。
ConoHa では websocket 経由で安全にアクセスできる 公開 API が提供されているので、いろいろなことに活用できそうだなと感じました。