MJHD

エモさ駆動開発

Prometheusの長期ストレージメモ

Prometheusを使うに当たって、長期ストレージについて調査をしたのでそのメモ。

Prometheus v2

Prometheus v2では、Remote Long-Term Storageのサポートがされている。以下のストレージを選択可能。

AppOptics: write
Chronix: write
Cortex: read and write
CrateDB: read and write
Elasticsearch: write
Gnocchi: write
Graphite: write
InfluxDB: read and write
IRONdb: read and write
M3DB: read and write
OpenTSDB: write
PostgreSQL/TimescaleDB: read and write
SignalFx: write

https://prometheus.io/docs/operating/integrations/

Thanos

Thanosは、Prometheusのサイドカーとして動作し、長期ストレージ、クエリの高可用性、ストレージの最適化などを行ってくれるミドルウェア

既存のPrometheusにサイドカーを付け足せば良いため、運用後導入することも可能。

Thanosは複数のコンポーネントから構成され、Sidecar、Store、Query、Rule、Compactorが存在する。

実際の収集はPrometheusが行い、それをSidecarを通してStoreコンポーネントが永続化を行う。

クエリ発行時はQueryコンポーネントがStoreコンポーネントに問い合わせる形でメトリクスを返す。

Compactorは永続化ストレージ上のデータのコンパクションを行う。

RuleはPrometheusのruleなどを分散管理するコンポーネントなのだが、仕組み上実験的なものとなっている。そのため、プロダクションで使用する際にはRuleコンポーネントを使わずに、各Prometheusに個別にRuleを定義し、管理することが推奨されている。

コンポーネントはgossipプロトコルを通してゆるふわに繋がるので、共通のserviceに繋げれば特に設定はいらない。

導入はとても楽であるが、Prometheus詳しい人に聞くと、口を揃えて「良さそうだけど、まだ微妙」みたいな意見が聞ける。

いまさらSSL/TLS証明書

今までSSL証明書をなんとなく雰囲気で使っていた感が否めないため、自信を持って解説ができるよう具体的な仕組みを調べたメモ。

X.509証明書

X.509証明書はISO/IECによって定められている証明書に関する仕様。

公開鍵証明書、属性証明書、特定証明書の三つがあり、主に公開鍵証明書が一般に「証明書」と呼ばれる。

公開鍵証明書は、CA証明書とエンドエンティティ(またはリーフ)証明書に別れる。

CA証明書はルートCA証明書と、中間CA証明書に別れ、ブラウザやOSはルートCA証明書の一覧をあらかじめ持ち検証に使う。ルートCA証明書は中間CA証明書を発行することができ、その中間CAも新しい中間CA証明書を作成することができるため、チェーンする。

CA証明書かどうかは、拡張領域のbasicConstraints(基本制約)フィールドに設定されるフラグにより判断され、CAであれば上位のCAをたどり、ルートCAまで遡れれば検証が完了する。

例えば、以下はGoogleにopensslを用いてアクセスをした例:

depth=1 /C=US/O=Google Trust Services/CN=Google Internet Authority G3
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=www.google.com
   i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
 1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
   i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign

sがSubject(証明の対象)、iがIssuer(発行者)。 www.google.comに対する証明書から、Google Trust ServicesのCA、GlobalSignのルートCAと辿れていることがわかる。 (GlobalSignはGMOグループのルート認証局GoogleGMOに依存してるの意外。)

apacheだと中間証明書を指定するディレクティブがあるため意識しないが、nginxなどでは公開鍵に中間証明書を結合して設定する必要がある。 (PEMファイルの仕様 https://tools.ietf.org/html/rfc7468#page-5サーバ証明書、中間CA証明書の順で結合する。https://tools.ietf.org/html/rfc4346#page-41)

証明書の失効

証明書に記載されている有効期間(notBefore, notAfter)以外の理由で失効する場合、証明書の失効はCRLまたは、OSCPというプロトコルによってクライアントに伝えられる。CRLは証明書に付与されるシリアルナンバーのリストをWeb上でホストする方式で、古いTLSクライアントで用いられている。このリストは肥大化するため、デルタCRLという差分のみを提供する方式がある。

OSCPは認証局に証明書の状態を問い合わせるプロトコル。クライアントが直接叩くか、OSCP staplingを用いてサーバが代わりに認証局へ問い合わせる方式がある。

GoでSpannerを扱う際のポイント

そもそもSpannerって?

SpannerはGCPが提供する高可用性のあるリレーショナルデータベース。SQL文が使え、スキーマ定義・スキーマの変更・SELECT系のクエリを実行できる。(INSERT, UPDATE, DELETEは無い) プライマリーキーを適切に設定すれば、負荷に応じて自動でシャーディングを行ってくれる。トランザクションも使える。 この辺がよくまとまっている。 超実践 Cloud Spanner 設計講座

GoでSpannerを利用した開発を行う中で、何点かわかったことがあったのでそのまとめ。

CreateSessionは遅い

Spannerに対してリクエストを行うとき、まずCreateSessionというgRPCが走るのだが、これが500msぐらいかかるため、Spannerに対して初めてリクエストを送る際など遅延が発生する。 これを防ぐために、SessionPoolConfigを適切に設定する必要がある。 spanner - GoDoc SessionPoolConfigの値は、 https://cloud.google.com/spanner/docs/sessions この記事を見ながら設定すると良い。(Spannerはこの辺のドキュメントが全て日本語で読めるためありがたい…)

クエリの遅延が発生した場合、この辺の設定を見直すことをおすすめする。

DeleteでAllKeyは(基本的に)使えない

テーブル内の全データを削除したいと思ったとき、愚直に考えれば「DeleteにAllKeys渡せばいいんだろ」となるのだが、データ数が増えた場合にこの戦略は使えなくなる。 CloudSpannerは、変更系のクエリの影響範囲が20000件以内、という制限を持つ。これは、UPDATEやINSERTに関しては「影響を受ける列数が20000件以内」で、DELETEに関しては「影響を受ける行数が20000件以内」となる。あくまで「影響を受ける」件数であるため、20000件以上のデータを持つテーブルの初期化は、「一度消して作り直す」しか方法が無いらしい。

ALTERで追加するカラムにはNOT NULL制約が付けられない

SpannerのALTER文の文法にはしっかりと「NOT NULL」という規則が載っているのだが、 https://cloud.google.com/spanner/docs/data-definition-language#alter_table 実際には使うことができない。Spannerは標準で新しく作ったカラムにはNULLを入れるのだが、NOT NULL制約を指定すると矛盾が発生するため、指定することができない。

セカンダリインデックスの場合も、スプリットを意識したキーを選ぶ必要がある

SpannerのPKを選ぶ際、スプリットが入ることを意識してキーを選ぶ必要があるのはご承知の通りだと思うが、セカンダリインデックスについても、スプリットが入ることを意識し、ホットスポットが入らないようなキーを選ぶ必要がある。
ドキュメントにも明記されているのだが、セカンダリインデックスもテーブルとして実装される。よって、セカンダリインデックスに指定したキーは、そのテーブルの主キーとして使用され、スプリットもそのキーによって決められる。
よって、アクセスが集中しやすいテーブルでセカンダリインデックスの先頭にCommit Timestampなどの単調に増加・減少する値を設定した場合、ホットスポットが発生し、スケールしなくなる。

今後、また気づきが増えたタイミングで更新します。

golangとbazelで作るいい感じなビルド環境

Makefileに一部間違いがあったため、修正しました

 

bazelはビルドシステムの一つで、Googleが開発し社内でも使用している。makeなどの従来のビルドシステムと比べると、簡潔な設定で幅広い言語・ビルド対象に対応していて、ビルドが必要なものはほとんどbazelで解決できる。

Bazel - a fast, scalable, multi-language and extensible build system" - Bazel

 

例えば、Goのビルドと同時にdockerイメージもビルドしたい、protoもビルドしたいといった場合、通常であれば個別にビルドコマンドを打つ必要があるのだが、この作業をbazelに一本化でき、とても便利。

必要な物

以下のものを使用する:

1. bazel

2. rules_go

3. gazelle

4. rules_docker

rules_goはGo言語向けbazelルール。go_libraries、go_test、go_binaryなどを提供し、Go言語に関するビルド、テスト処理を記述できるようになる。

gazelleはrules_goを用いたビルド設定を自動生成するツール。importなどを見て、自動で依存を解決し、ビルド設定を吐き出してくれる。

rules_dockerは、bazelを用いてdockerイメージをビルドしたり、プッシュすることができるルール。今回はgoのバイナリを含めたイメージをビルドし、実行する。

オススメの構成

以下にサンプルのレポジトリを作成した。

GitHub - mjhd-devlion/bazel-gazelle-sample

ディレクトリ構造としては以下のようになっており、cmd以下のsampleが、今回動かす対象のプログラム。pkg/sampleパッケージを読み込み、Hello, Worldを出力する。depによるvendoringも行いたかったため、いつもよりキレイめにHello, Worldを表示している。

./
├── BUILD.bazel
├── Gopkg.lock
├── Gopkg.toml
├── Makefile
├── WORKSPACE
├── cmd
│   └── sample
│       ├── BUILD.bazel
│       └── main.go
├── pkg
│   └── sample
│       ├── BUILD.bazel
│       ├── sample.go
│       └── sample_test.go
└── vendor

また、以下のようなMakefileを用意している。make gazelleコマンドを実行することでプロジェクト全体のBUILD.bazelファイルを更新し、その後make runすることによってプログラムを実行することができる。

.PHONY: run
run:
	bazel run //cmd/sample:go_image

.PHONY: build
build:
	bazel build //cmd/sample:go_image

.PHONY: test
test:
	bazel test //...

.PHONY: gazelle
gazelle:
bazel run //:gazelle
bazel run //:gazelle -- update-repos -from_file ./Gopkg.lock

ここで一つ注意点があり、Makefileのgazelleの項に、update-reposという記述をしている。

gazelleとvendoringは相性が悪く、特にprotoをビルドする際など、バージョンの違いによる問題が発生したりする。

ここ(go_proto_library dependency overhaul · Issue #1548 · bazelbuild/rules_go · GitHub)に詳しく載っているのだが、protoをビルドする際にrules_goが提供する依存のバージョンがvendoringしているものと衝突した場合、ビルド時、または実行時のエラーが発生する。

これを解決するためには、WORKSPACEにgo_repositoryルールを用いて依存するライブラリのバージョン指定をする必要があるのだが、手作業でやるのは流石に辛い。

ということで、実はgazelleはupdate-reposという「Gopkg.lockとgo_repositoryを同期する」プログラムを用意してくれている。(つい先日知った)

サンプルでは、このプログラムを用いてdepの解決した依存に、bazelの依存を同期し、安全にビルドが行えるよう、update-reposをgazelle実行時に呼ぶような設定を行っている。

微妙な点

実はvendorディレクトリを削除しても動く。依存はbazelがビルド時にダウンロードし、その後も管理をしてくれるため、vendorディレクトリの中身はビルド時に使用されていない。二重管理になってしまうため、vendorディレクトリを削除したいのだが、vendorディレクトリが無いとエディタが真っ赤になる…。

何かもっと良い方法をご存じの方、是非コメントいただけると嬉しいです。

ノートパソコンをタッチ対応に…Neonode AirBarを購入してみた

www.air.bar

AirBarは、タッチ未対応のノートパソコンの画面を、タッチ対応にするデバイス。(現在はWindows10のみの対応。今後Mac対応の製品が発売されるらしい)

お値段も$69.00で買え、13.3inchから15inchまでのサイズをそろえている。

 

最近、秋葉原で5000円ほどのタッチパネルを購入し、タッチ機能のすばらしさに気づいたため、どうせなら本体のディスプレイもタッチ対応にしてしまおうということで購入した。

 

Amazon.com(co.jpじゃない)だと安い

日本の並行輸入品だと1万超えてきてしまうし、海外で購入しても1週間ほどで届くため、注文時に多少英語を読む必要はあるけどAmazon.comで購入した方がお得。

Amazon.comでは、$69.00+Shipping($11.31)で購入できた。(Shippingはいくつかのオプションから選べたため、最も安いものを選択すれば$5ぐらい安くなる)

 

開封の儀

f:id:wait0000:20170711105004j:plain

f:id:wait0000:20170711105324j:plain

内容物は、予備のマグネット4個、スクリーンクリーナー、ケース、AirBar本体、説明書。

マグネット自体は本体にあらかじめ付いているため、予備は本当に予備。

AirBar本体が思ったよりも細長く、洗練された印象。

 

取付

f:id:wait0000:20170711105838j:plain

AirBar本体の背面に、マグネットが付いているため、このマグネットのシールをはがす。

粘着面が現れるため、AirBar本体のガイドラインをよく見ながら位置を合わせる。

位置は、ガイドラインと画面のはじを合わせ、画面した3mmほどのところに、水平に設置すると良いらしい。

位置を決めたら、AirBarを画面に押し付け、そっとはがすと、マグネットが画面に張り付く。

f:id:wait0000:20170711110502j:plain

これで設定完了。

あとは、AirBarを画面に取り付け、USBを接続すれば画面がタッチ対応になる。

設定が完了したら、

Updating the firmware on your AirBar for Windows 10 device – AirBar by Neonode

からファームウェアをアップデートすると良い。

(例えば、初期の状態では変なブザー音が鳴っていたのだが、解消された。)

 

感想

タッチパネルとしての感想だが、精度は中の下ぐらい。同じ光学式のタッチパネルと比べても、少し感度が悪いため、文字の手書きなどの用途には使えない。

また、設置の具合かもしれないが、画面右上の反応が悪いため、ウィンドウを全画面にした際にバッテンが押せないなどのもどかしさがある。

また、持ち運ぶにもへし折れそうなほど細長いので怖く、あまり持ち歩く気にならない…。

有線接続なのももったいない…かといって無線にすると電源が確保できないか…。

…ただ、ディスプレイを交換することなくタッチ機能を追加できるのは、メリット。

また、マルチタッチにも対応しているので、ちょっとズームをしたい際など、AirBarがあると便利。

 

結論

ノートPCってそもそも程よい位置にトラックパッドがあり、画面まで手をもっていかなくても操作をできるようになっているため、あえて追加のデバイスを使って、ノートPCを畳めなくしてまで、画面をタッチ対応にする必要もないなと思った。

ノートPCをすぐに畳めない、持ち運びに不安があるという懸念点があるため、ノートPCをデスクトップ化して使っている人など、持ち運ばない用途であれば十分価値があると思う。

 

余談

Windowsってタッチパネル2つあると、カーソルがどっちかのタッチパネルにしか表示されないっぽい。

惜しい…。

macOS SierraでJIS配列キーボードを US配列として使う方法

 

mjhd.hatenablog.com

 

この記事でも書いたのだが、macOS SierraからはKarabinerが使えない。

そこで、前回はカスタムキーボードレイアウトを作成することで対処をしたのだが、この方法の難点は、「日本語入力中の配列が JISのまま」というところ。

不完全な方法だった。

 

今回は、完璧にキーボード配列を書き換えられるSierra対応ソフトを見つけたため、その設定ファイルを公開したいと思う。

Locaille

Lacaille - 親指シフト for macOS

このソフトは、もともと親指シフトMacで実現するために作成されたものなのだが、かなり細かくキーボードレイアウトをカスタマイズすることができるのが特徴。

今回は、親指シフトを無効にして、 KarabinerのUS配列を移植した。

 

Locailleをダウンロードし、「設定ファイルを読み込む...」ボタンを押し、以下のファイルを読み込むことによって、完全に US配列に置き換えることができる。

drive.google.com


 

このUS配列の特徴は、単純にキーボードレイアウトをUS配列にした時に入力できない「`」「~」などの文字を「¥」キーの位置に割り当てていること。

 

完璧なUS配列ライフがおくれそう。

 

WSLをXenialにアップデートしてみた

mjhd.hatenablog.com 過去記事で紹介したBashOnWindows(WSL)環境において、UbuntuのバージョンをTrustyからXenialへアップデートしたメモ。

アップデート方法

以下のコマンドを実行するだけ。

sudo do-release-upgrade

その後、いくつかのアプリケーションに問題が起こった。

dbusがらみのエラーが起こる

DBusを使用するアプリケーションが、「Exhausted Authentication Mechanisms」的なエラーを吐いて起動しない。
“/etc/dbus-1/session.conf"を以下のように編集することで対応可能。

<auth>EXTERNAL</auth>

<!--<auth>EXTERNAL</auth>-->

とする。

GnomeTerminalがすぐ終了する

なんでか知らんけど、GnomeTerminalが子プロセス作って自分は勝手に終了しちゃう。
以下のように–disable-factoryを追加することで対応可能。

gnome-terminal --disable-factory

そんなぐらい。