C# & JavaScript

今回は「Kubernetes上にRedisのSentinel構成を構築する方法」についてまとめます。

今回はRedisの冗長化構成３種（Replication、Sentinel、Cluster）のうち「Sentinel」構成について、構築する方法をまとめました。 ただ…残念ながら現状のRedis（v5.0.5）では標準付属の Sentinel のみを利用した Kubernetes上での"完全な" 冗長構成は作れなさそうです。 もし完全な冗長構成を作りたい場合は少し自作が必要そうです。

概要

今回は以下のような構成で Redis Sentinel 構成を組み上げていきます。

構成としては「マスター１台、スレーブ１台、センチネル３台」で、「パスワードを共有」するような構成にしています。

「Redis Seerver の StatefulSet に Sentinel を同梱」するような実装だと Pod 内に Redis Server と Sentinel が一緒になってしまってPodの再起動がしづらくなってしまいます。 まぁ、そもそも役割違うのでPod分けてあげるのが妥当かと思って上のような構成にしています。

なお、Sentinel側もStatefulSetで構築していますが、こちらはDeploymentでもいいかもしれません（Sentinel は順序性の意味がないので）。

構築（共通）

まずは共有するパスワードをSecretリソースに準備します。 作成方法は単独サーバーのときと同じなのでほぼ再掲になります。 一応、今回は作成リソースが多くなるのであとから検索しやすくするようラベルを追加しておきます。

Secret

1. パスワードファイルを作成

   OpenSSL を利用してランダムなパスワード文字列を作成します。 デフォルト指定する base64 オプションだと 約3割り増し の文字列生成されるので、改行削除して先頭512文字をパスワードとして利用します。

   openssl rand -base64 512 | tr -d '\r\n' | cut -c 1-512 > redis-password
   

   この後で動作確認をする際に毎回このパスワードを入力します。 パスワードが長いとテスト向けに動作確認するのはつらくなるので、本番まで間はいったん適当にしておくのもあり。

2. KubernetesにSecreetリソースを作成

   kubectl create secret generic redis-secret --from-file=redis-password
   

3. Secreetリソースをラベルを追加

   kubectl label secrets/redis-secret app=redis
   

構築（Replication）

Service

Redis Server 用の Service を作成していきます。

1. マニュフェストの作成

   redis-server-service.yml

   apiVersion: v1
   kind: Service
   metadata:
     name: cache-service
     labels:
       app: redis
   spec:
     ports:
     - port: 6379
       targetPort: 6379
     clusterIP: None               # Headless Service
     selector:
       app: redis                  # match "StatefulSet spec.template.metadata.labels"
       type: server
   

   selector には app 以外にも type を指定しています。 今回は Redis Server と Sentinel の２つがあるので、その違いを type で区別するようにしています。

2. リソースの作成

   kubectl apply -f redis-server-service.yml
   

StatefulSet

Redisサーバーの実態を作成します。

1. マニュフェストの作成

   redis-server-statefulset.yml

   apiVersion: apps/v1
   kind: StatefulSet
   metadata:
     name: redis
     namespace: default
     labels:
       app: redis
       ver: "0.0.1"
       env: staging
   spec:
     selector:
       matchLabels:
         app: redis
         type: server
     serviceName: cache-service    # match "Service metadata.name"
     replicas: 2
     template:
       metadata:
         name: redis
         namespace: default
         labels:
           app: redis
           type: server
           ver: "0.0.1"
           env: staging
       spec:
         terminationGracePeriodSeconds: 10
         containers:
         - name: redis
           image: redis:5.0.5-alpine3.10
           ports:
           - containerPort: 6379
           command:
           - "/bin/sh"
           - "-c"
           args:
           - |
             CONFIG_FILE_PATH=/data/redis.conf
             
             create_config() {
             if [ $HOSTNAME = ${REDIS_STATEFULSETNAME}-0 ]; then
             
             # 
             # Master server config file
             # 
             cat <<-EOF > "${CONFIG_FILE_PATH}"
             ########### NETWORK ##########
             bind 0.0.0.0
             port 6379
             protected-mode no
   
             ########### GENERAL ##########
             daemonize no
             logfile ""
   
             ######## SNAPSHOTTING ########
             save 900 1
             save 300 10
             save 60 10000
             dir "/data"
             dbfilename "dump.rdb"
   
             ######### REPLICATION ########
             masterauth ${REDIS_PASSWORD}
             replica-announce-ip "${HOSTNAME}.${REDIS_SERVICENAME}"
             replica-announce-port 6379
   
             ########## SECURITY ##########
             requirepass ${REDIS_PASSWORD}
   
             ##### MEMORY MANAGEMENT ######
             maxmemory 100mb
             maxmemory-policy allkeys-lru
             EOF
             
             else
             
             # 
             # Slave server config file
             # 
             cat <<-EOF > "${CONFIG_FILE_PATH}"
             ########### NETWORK ##########
             bind 0.0.0.0
             port 6379
             protected-mode no
   
             ########### GENERAL ##########
             daemonize no
             logfile ""
   
             ######## SNAPSHOTTING ########
             save 900 1
             save 300 10
             save 60 10000
             dir "/data"
             dbfilename "dump.rdb"
   
             ######### REPLICATION ########
             replicaof ${REDIS_STATEFULSETNAME}-0.${REDIS_SERVICENAME} 6379
             masterauth ${REDIS_PASSWORD}
             replica-announce-ip "${HOSTNAME}.${REDIS_SERVICENAME}"
             replica-announce-port 6379
   
             ########## SECURITY ##########
             requirepass ${REDIS_PASSWORD}
   
             ##### MEMORY MANAGEMENT ######
             maxmemory 100mb
             maxmemory-policy allkeys-lru
             EOF
             
             fi
             }
   
             if [ ! -e ${CONFIG_FILE_PATH} ]; then
               create_config
             fi
   
             redis-server "${CONFIG_FILE_PATH}"
           env:
           - name: "REDIS_STATEFULSETNAME"
             value: "redis"
           - name: "REDIS_SERVICENAME"
             value: "cache-service"
           - name: "REDIS_PASSWORD"
             valueFrom:
               secretKeyRef:
                 name: redis-secret
                 key: redis-password
   

   あまり特筆事項はありませんが…もし設定ファイルを ConfigMap から与えたいのであれば、initContainerやShellで別途コピーして書き込みできるようにする必要があります。

2. リソースの作成

   kubectl apply -f redis-server-statefulset.yml
   

構築（Sentinel）

Redisレプリケーションを監視するセンチネルを構築します。 センチネルはステートフルである必要ありませんが・・・サーバー本体と同じ作りのほうがわかりやすいかと思うので、今回は StatefulSet で準備します。

Service

サーバーを個別に特定できるようHeadlessサービスを作っておきます。

1. マニュフェストの作成

   redis-sentinel-service.yml

   apiVersion: v1
   kind: Service
   metadata:
     name: cache-monitoring
     labels:
       app: redis
   spec:
     ports:
     - port: 26379
       targetPort: 26379
     clusterIP: None               # Headless Service
     selector:
       app: redis                  # match "StatefulSet spec.template.metadata.labels"
       type: sentinel
   

2. リソースの作成

   kubectl apply -f redis-sentinel-service.yml
   

StatefulSet

センチネルを構築します。

1. マニュフェストの作成

   redis-sentinel-statefulset.yml

   apiVersion: apps/v1
   kind: StatefulSet
   metadata:
     name: sentinel
     namespace: default
     labels:
       app: redis
       ver: "0.0.1"
       env: staging
   spec:
     selector:
       matchLabels:
         app: redis
         type: sentinel
     serviceName: cache-monitoring # match "Service metadata.name"
     replicas: 3
     template:
       metadata:
         name: redis
         namespace: default
         labels:
           app: redis
           type: sentinel
           ver: "0.0.1"
           env: staging
       spec:
         terminationGracePeriodSeconds: 10
         containers:
         - name: sentinel
           image: redis:5.0.5-alpine3.10
           ports:
           - containerPort: 26379
           command:
           - "/bin/sh"
           - "-c"
           args:
           - |
             CONFIG_FILE_PATH=/etc/redis.conf
   
             while ! ping -c 1 ${REDIS_MASTER_HOST} &> /dev/null
             do
               echo "Waiting for redis master server boot ..."
               sleep 1
             done
   
             cat <<-EOF > "${CONFIG_FILE_PATH}"
             ########### NETWORK ##########
             bind 0.0.0.0
             port 26379
             protected-mode no
             
             ########### GENERAL ##########
             daemonize no
             logfile ""
             sentinel announce-ip "${HOSTNAME}.${REDIS_SENTINEL_SERVICENAME}"
             sentinel announce-port 26379
             
             ########## SECURITY ##########
             requirepass ${REDIS_PASSWORD}
             
             ########## SENTINEL ##########
             sentinel monitor mymaster ${REDIS_MASTER_HOST} 6379 2
             sentinel auth-pass mymaster ${REDIS_PASSWORD}
             sentinel down-after-milliseconds mymaster 5000
             sentinel failover-timeout mymaster 180000
             sentinel parallel-syncs mymaster 1
             EOF
   
             redis-server "${CONFIG_FILE_PATH}" --sentinel
           env:
           - name: "REDIS_MASTER_HOST"
             value: "redis-0.cache-service"
           - name: "REDIS_SENTINEL_SERVICENAME"
             value: "cache-monitoring"
           - name: "REDIS_PASSWORD"
             valueFrom:
               secretKeyRef:
                 name: redis-secret
                 key: redis-password
   

   センチネルは３台以上が推奨なので、 replication は 3以上 を指定します。

2. リソースの作成

   kubectl apply -f redis-sentinel-statefulset.yml
   

確認

ここまでに作成したクラスタの動作確認をしていきます。

作成したリソースの確認

1. ラベル指定で作成リソースを確認

   [root@k8s-master ~]# kubectl get sts,svc,po,secrets -l app=redis
   NAME                        READY   AGE
   statefulset.apps/redis      2/2     13h
   statefulset.apps/sentinel   3/3     12h
   
   NAME                       TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)     AGE
   service/cache-monitoring   ClusterIP   None         <none>        26379/TCP   12h
   service/cache-service      ClusterIP   None         <none>        6379/TCP    13h
   
   NAME             READY   STATUS    RESTARTS   AGE
   pod/redis-0      1/1     Running   0          146m
   pod/redis-1      1/1     Running   0          13h
   pod/sentinel-0   1/1     Running   0          12h
   pod/sentinel-1   1/1     Running   0          12h
   pod/sentinel-2   1/1     Running   0          12h
   
   NAME                  TYPE     DATA   AGE
   secret/redis-secret   Opaque   1      13h
   

マスター→スレーブへデータがコピーされる動作確認

1. 動作確認用Pod作成

   kubectl run -it redis-debug --image=redis:5.0.5-alpine3.10 --restart=Never --rm -- sh
   

2. マスターへログイン

   redis-cli -h redis-0.cache-service -a password
   

3. マスターにデータ投入

   set key1 "Hello World"
   

4. マスターからログアウト

   exit でログアウトします。

5. スレーブにログイン

   redis-cli -h redis-1.cache-service -a password
   

6. スレーブでデータ確認

   get key1
   "Hello World"
   

マスター停止時にスレーブがマスターに昇格する動作確認

1. 動作確認用Pod作成

   kubectl run -it redis-debug --image=redis:5.0.5-alpine3.10 --restart=Never --rm -- sh
   

2. 現在の状態を確認

   redis-cli -h redis-0.cache-service -a password info | grep role
   redis-cli -h redis-1.cache-service -a password info | grep role
   

3. マスターを停止

   redis-cli -h redis-0.cache-service -a password debug sleep 30
   

4. スレーブが昇格していることを確認

   redis-cli -h redis-0.cache-service -a password info | grep role
   redis-cli -h redis-1.cache-service -a password info | grep role
   

…と、まぁ、"1回" だけは自動でフェールオーバーしてくれるのですが…２回目を続けて実施すると動かないんですよね。。 おそらく Redis Sentinel が内部的に管理しているものが「IPアドレス」で「ホスト名」ではないことに起因しているように見えます。 また、 sleep ではなく kubectl delete pod/redis-0 のようなことをすると、そもそもIPアドレスが変わってしまって動きがおかしくなります。

これに対する対策は…「ホスト名解決できる実装を待つ」か「IPアドレスがおかしな場合に補正を行うスクリプトを書く」かどちらかになりそうです。 後者（補正するスクリプト）については実際に作っている人がいる（hortonworks/k8s-redis-ha ）ので参考にしてみるとよいかも。

今回は「Kubernetes 上 に Redis Sentinel 構成 を構築する方法」についてまとめました。 ポイントは以下の通りです。

• レプリケーションは StatefulSet で構築、 Headless サービスで特定できるようにする
• センチネルは StatefulSet ないし Deployment で構築
• 標準機能だけだと１回しかフェールオーバーできない

参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「Kubernetes上に 単独 Redis サーバーを構築する方法」についてまとめます。

概要

単独サーバーとして Redis を動作させる構成を作っていきます。 冗長構成はとっていないので落ちたら止まります…が、基本構成の学習にはシンプルなほうが良いのでまずは単独サーバーで構築を行っていきます

構築

Secret

Redis の パスワード は最大512文字まで指定できるので512文字でランダム文字列を作成します。

1. パスワードファイルを作成

   OpenSSL を利用してランダムなパスワード文字列を作成します。 デフォルト指定する base64 オプションだと 約3割り増し の文字列生成されるので、改行削除して先頭512文字をパスワードとして利用します。

   openssl rand -base64 512 | tr -d '\r\n' | cut -c 1-512 > redis-password
   

2. KubernetesにSecreetリソースを作成

   kubectl create secret generic redis-secret --from-file=redis-password
   

もし作成されていることを確認したいのであれば以下のコマンドで確認します。

kubectl get secrets

Pod

構築の方法はいろいろ考えられます。 ConfigMap を使う方法が真っ先に思い浮かぶのですが…単純に組み込むと ReadOnly になってしまってうまく動作しません。 initContainer と PersistentVolume ないし emptyDir 使えば回避できますが…複雑なので今回はやめておきます。 今回は簡単な方法として、Redis設定ファイル（redis.conf）をシェル内で作成する方法をとりました。

1. マニュフェストファイル作成

   redis-pod.yml

   apiVersion: v1
   kind: Pod
   metadata:
     name: redis
     namespace: default
     labels:
       app: redis
       ver: "0.0.1"
       env: staging
   spec:
     containers:
     - name: redis
       image: redis:5.0.5-alpine3.10
       command:
       - "/bin/sh"
       - "-c"
       args:
       - |
         cat <<-EOF > /etc/redis.conf
         ########### NETWORK ##########
         bind 0.0.0.0
         port 6379
   
         ########### GENERAL ##########
         daemonize no
         logfile ""
   
         ########## SECURITY ##########
         requirepass ${REDIS_PASSWORD}
   
         ##### MEMORY MANAGEMENT ######
         maxmemory 100mb
         maxmemory-policy allkeys-lru
         EOF
   
         redis-server /etc/redis.conf
       env:
       - name: "REDIS_PASSWORD"
         valueFrom:
           secretKeyRef:
             name: redis-secret
             key: redis-password
   

2. リソース作成

   kubectl apply -f redis-pod.yml
   

動作確認は以下のコマンドで行います。

kubectl get pods

確認

1. RedisサーバーのIPアドレス確認

   [root@k8s-master ~]# kubectl get po -o wide
   NAME    READY   STATUS    RESTARTS   AGE   IP             NODE         NOMINATED NODE   READINESS GATES
   redis   1/1     Running   0          11m   10.244.1.119   k8s-node02   <none>           <none>
   

2. デバッグ用のPod起動

   ポッド名は「redis-debug」、イメージは「Redisサーバーと同じもの（= redis:5.0.5-alpine3.10）」、再起動はさせず終了時に削除を指定（--restart=Never --rm）して起動します。

   [root@k8s-master ~]# kubectl run -it redis-debug --image=redis:5.0.5-alpine3.10 --restart=Never --rm -- sh
   If you don't see a command prompt, try pressing enter.
   /data #
   

3. Redisサーバーに接続して動作確認

   接続先（-h オプションへ渡すIP）は 1 で確認した IP を指定します。 パスワードはSecret作成時に作った redis-password の値を指定します。

   /data # redis-cli -h 10.244.1.119
   10.244.1.121:6379> auth xxxxxxxxx
   OK
   10.244.1.121:6379> set key1 Hello
   OK
   10.244.1.121:6379> get key1
   "Hello"
   10.244.1.121:6379> keys
   1) "key1"
   

今回は「Kubernetes上に 単独 Redis サーバーを構築する方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は Redis の 冗長構成３種類（Replication、Sentinel、Cluster）のうち Sentinel 構成 について、その構築方法と動作確認をまとめます。

概要

Sentinelとは

Redis Sentinel は Replication だけではできなかった「マスター障害時、自動的に起こったスレーブから任意の１台を選出してマスター昇格させる仕組み」を実現する機能になります。

構成例

構成方法のポイントをかいつまんでまとめると「マスターサーバー、スレーブサーバーとは別に Sentinel サーバー を用意します。台数は3台以上の奇数台で配置場所は任意の場所で起動しておきます」となります。 Sentinel はその配置場所によって検出できる障害や復帰できる状態が異なってきます。 なので、構築する環境にあわせて Sentinel の配置場所を考える必要があります。

以下にSentinel配置のサンプルを図示しておきます。

• Redisサーバーと同じ場所にSentinelを配置する

  

• Redisクライアントと同じ場所にSentinelを配置する

  

• RedisサーバーとクライアントのすべてにSentinelを配置する

  

本記事での構成

今回は検証用途として「Master １台、Slave １台、Sentinel 3台」の構成を１台の実機の中でポートを振り分けて実験してみます。 イメージ的には「Redisクライアントと同じ場所にSentinelを配置する」に近い環境を作っていきます。

Sentinel構築

マスター/スレーブは基本的な設定が単独サーバーとほぼ同じです。 センチネルは独自設定項目が sentinel 接頭辞のついてもので指定できます。

マスター

1. マスターサーバー用設定ファイルを作成

   /data/redis/server01/redis.conf

   ########### NETWORK ##########
   bind 0.0.0.0
   port 6379
   
   ########### GENERAL ##########
   daemonize no
   logfile "/data/redis/server01/master.log"
   
   ######## SNAPSHOTTING ########
   save 900 1
   save 300 10
   save 60 10000
   dir "/data/redis/server01"
   dbfilename "dump.rdb"
   
   ######### REPLICATION ########
   masterauth "YOUR-STRONG-PASSWORD"
   replica-announce-ip 127.0.0.1
   replica-announce-port 6379
   
   ########## SECURITY ##########
   requirepass "YOUR-STRONG-PASSWORD"
   
   ##### MEMORY MANAGEMENT ######
   maxmemory 100mb
   maxmemory-policy allkeys-lru
   

   認証を有効化したい場合（requirepass を利用する場合）、マスター/スレーブに関わらず masterauth と requirepass を設定します。

2. マスターサーバー起動

   # redis-server /data/redis/server01/redis.conf
   

スレーブ

1. スレーブサーバー用設定ファイルを作成

   /data/redis/server02/redis.conf

   ########### NETWORK ##########
   bind 0.0.0.0
   port 6380
   
   ########### GENERAL ##########
   daemonize no
   logfile "/data/redis/server02/slave.log"
   
   ######## SNAPSHOTTING ########
   save 900 1
   save 300 10
   save 60 10000
   dir "/data/redis/server02"
   dbfilename "dump.rdb"
   
   ######### REPLICATION ########
   replicaof 127.0.0.1 6379
   masterauth "YOUR-STRONG-PASSWORD"
   replica-announce-ip 127.0.0.1
   replica-announce-port 6380
   
   ########## SECURITY ##########
   requirepass "YOUR-STRONG-PASSWORD"
   
   ##### MEMORY MANAGEMENT ######
   maxmemory 100mb
   maxmemory-policy allkeys-lru
   

   スレーブ側設定として replicaof IP PORT でマスターサーバーのIPアドレスとポート番号を指定します。 また、masterauth PASSWORD でマスターサーバーのパスワードを指定します。

   ポート番号を変更しているので replica-announce-port でポート番号を伝えます。

2. マスターサーバー起動

   # redis-server /data/redis/server02/redis.conf
   

センチネル

センチネルはポート違い（5000, 5001, 5002）で3台起動します。

1. センチネル用設定ファイルを作成

   他のセンチネル設定も同様に作成します。変更箇所はポート番号とフォルダパスです。

   /data/redis/server10/sentinel.conf

   ########### NETWORK ##########
   bind 0.0.0.0
   port 5000
   protected-mode no
   
   ########### GENERAL ##########
   daemonize no
   logfile /data/redis/server10/redis.log
   dir /data/redis/server10
   sentinel announce-ip 127.0.0.1
   sentinel announce-port 5000
   
   ########## SENTINEL ##########
   sentinel monitor mymaster 127.0.0.1 6379 2
   sentinel auth-pass mymaster YOUR-STRONG-PASSWORD
   sentinel down-after-milliseconds mymaster 5000
   sentinel failover-timeout mymaster 180000
   sentinel parallel-syncs mymaster 1
   

   ポート番号を変更しているので sentinel announce-port PORT で自身のポート番号を通知します。

   認証を有効化している場合、 sentinel auth-path PASSORD で認証に利用しているパスワードを指定します。

2. センチネル起動

   # redis-server /data/redis/server10/sentinel.conf --sentinel
   

動作確認

マスター停止時にスレーブがマスターに昇格

1. 現状のロールを確認

   # redis-cli -p 6379 -a YOUR-STRONG-PASSWORD info | grep role
   role:master
   # redis-cli -p 6380 -a YOUR-STRONG-PASSWORD info | grep role
   role:slave
   

2. マスターを停止

   # redis-cli -p 6379 -a YOUR-STRONG-PASSWORD shutdown
   

3. スレーブ接続、昇格確認

   # redis-cli -p 6380 -a YOUR-STRONG-PASSWORD info | grep role
   role:master
   

停止したマスターは復帰時にスレーブで参画

1. 旧マスターを起動

   # redis-server /data/redis/server01/redis.conf
   

2. ロールの確認

   # redis-cli -p 6379 -a YOUR-STRONG-PASSWORD info | grep role
   role:slave
   # redis-cli -p 6380 -a YOUR-STRONG-PASSWORD info | grep role
   role:master
   

今回は「Redis の Sentinel 構成 の構築方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は Redis の冗長構成３種類（Replication、Sentinel、Cluster）のうち Replication（マスター/スレーブ）構成 について その構築方法と動作確認についてまとめます。

概要

今回は単一サーバー上に Redis サーバー をポート違いで２台立ち上げて 「マスター/スレーブ 構成」を作ってみます。 利用している環境は以下の通りです。

[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)
[root@localhost ~]# redis-server --version
Redis server v=5.0.5 sha=00000000:0 malloc=jemalloc-5.1.0 bits=64 build=76ba031b1adc8963

Replication構築

マスター

マスターサーバーを設定、起動します。 基本的には単独サーバーの設定と同じです。

1. マスターサーバー用設定ファイルを作成

   /data/redis/server01/redis.conf

   ########### NETWORK ##########
   bind 0.0.0.0
   port 6379
    
   ########### GENERAL ##########
   daemonize no
   logfile /data/redis/server01/redis.log
    
   ######## SNAPSHOTTING ########
   save 900 1
   save 300 10
   save 60 10000
   dir /data/redis/server01/
   dbfilename dump.rdb
    
   ########## SECURITY ##########
   requirepass master-password
    
   ##### MEMORY MANAGEMENT ######
   maxmemory 100mb
   maxmemory-policy allkeys-lru
   

2. マスターサーバー起動

   # redis-server /data/redis/server01/redis.conf
   

スレーブ

スレーブサーバーを設定、起動します。

1. スレーブ用設定ファイルを作成

   単一サーバーで実行しているので port 、 フォルダ を変更します。 スレーブとしての設定は requirepass の修正、replicaof と masterauth の追加です。

   /data/redis/server02/redis.conf

   ########### NETWORK ##########
   bind 0.0.0.0
   port 6380
    
   ########### GENERAL ##########
   daemonize no
   logfile /data/redis/server02/redis.log
    
   ######## SNAPSHOTTING ########
   save 900 1
   save 300 10
   save 60 10000
   dir /data/redis/server02/
   dbfilename dump.rdb
   
   ######### REPLICATION ########
   replicaof 192.168.1.1 6379
   masterauth master-password
   
   ########## SECURITY ##########
   requirepass slave-password
    
   ##### MEMORY MANAGEMENT ######
   maxmemory 100mb
   maxmemory-policy allkeys-lru
   

   replicaof <MASTER_IP> <MASTER_PORT>

   マスターサーバーのIPアドレス、ポート番号を指定します。

   masterauth <MASTER_PASSWORD>

   マスターが認証を有効にしている場合（ requirepass 指定がある場合）、マスターのパスワードを指定します。

2. スレーブサーバー起動

   # redis-server /data/redis/server02/redis.conf
   

動作確認

マスター→スレーブへのデータ転送

1. マスター接続

   # redis-cli -p 6379
   127.0.0.1:6379> auth master-password
   OK
   

2. マスターにデータ書き込み/確認

   127.0.0.1:6379> set key1 "Hello"
   OK
   127.0.0.1:6379> get key1
   "Hello"
   127.0.0.1:6379> keys *
   1) "key1"
   

3. スレーブ接続

   # redis-cli -p 6380
   127.0.0.1:6380> auth slave-password
   OK
   

4. スレーブのデータ確認

   127.0.0.1:6380> get key1
   "Hello"
   127.0.0.1:6380> keys *
   1) "key1"
   

マスター障害時にスレーブが昇格しない

1. マスターシャットダウン

   # redis-cli -p 6379 -a master-password shutdown
   

2. スレーブ接続

   # redis-cli -p 6380 -a slave-password
   

3. スレーブのデータ確認

   127.0.0.1:6380> get key1
   "Hello"
   127.0.0.1:6380> keys *
   1) "key1"
   

4. スレーブへ書き込み

   127.0.0.1:6380> set key2 "World"
   (error) READONLY You can't write against a read only replica.
   

マスター復活時に再接続する

1. マスターを起動

   # redis-server /data/redis/server01/redis.conf
   

2. マスターに接続

   # redis-client -p 6379 -a master-password
   

3. マスターに書き込み/確認

   127.0.0.1:6379> get key2 "World"
   OK
   127.0.0.1:6379> get key2
   "World"
   127.0.0.1:6379> keys *
   1) "key2"
   2) "key1"
   

4. スレーブに接続

   # redis-client -p 6380 -a slave-password
   

5. スレーブのデータを確認

   127.0.0.1:6380> get key2
   "World"
   127.0.0.1:6380> keys *
   1) "key2"
   2) "key1"
   

参考記事

• redis - レプリケーション
• 設定ファイル
• Qiita - redisレプリケーション周りの設定手順まとめ
• Qiita - Redis Replication検証

今回は「Redisでマスター/スレーブ構成を構築する方法とその動作確認」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「Redis を CentOS に インストール する 方法」についてまとめます。

動作環境

今回は以下の環境で確認しています。

[root@localhost ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)

インストール

1. 以下のコマンドを実行してインストール

   wget http://download.redis.io/releases/redis-5.0.5.tar.gz
   tar xzf redis-5.0.5.tar.gz
   cd redis-5.0.5
   make
   make install
   

インストール先は /usr/local/bin 配下になります。 とりあえず起動したい場合 redis-server で起動できます。

初期設定

ポート開放

デフォルト「6379」ポートを利用するので該当ポートを開放します。

firewall-cmd --zone=public --add-port=6379/tcp --permanent
firewall-cmd --reload

設定ファイル作成

設定ファイル（ redis.conf ） はダウンロードした tar.gz の中にサンプルが含まれているのでそれをコピーして利用してもよいです。 今回は最低限必要そうな設定だけしたものを用意します。

/etc/redis.conf

########### NETWORK ##########
bind 0.0.0.0
port 6379

########### GENERAL ##########
daemonize no
supervised systemd
logfile /var/log/redis/redis.log

######## SNAPSHOTTING ########
save 900 1
save 300 10
save 60 10000
dir /var/lib/redis
dbfilename dump.rdb

########## SECURITY ##########
requirepass master-password

##### MEMORY MANAGEMENT ######
maxmemory 100mb
maxmemory-policy allkeys-lru

設定

各種設定に関する補足を以下にまとめておきます。

• ネットワーク

  bind <IP1> [[<IP2> [<IP3> ...]]]

  受け付けるIPアドレスを指定します。複数指定する場合は " "(空白) で連結して指定します。

  port <PORT>

  受け付けるポート番号を指定します。

• 一般

  daemonize [yes|no]

  デーモン起動するかどうかを指定します。デフォルト no 。

  supervised [no|upstart|systemd|auto]

  upstart か systemd を指定するとスーパーバイザと通信します。

  loglevel [debug|verbose|notice|warning]

  ログレベルを指定します。debug が一番多く、 warning が一番少ない。プロダクション推奨は notice 。

  logfile <PATH>

  ログファイルの出力先を指定します。 ""(空白) は標準出力を意味しますが、daemonize している場合は出力先が /dev/null となり破棄されます。 意図的に標準出力を指定したい場合は stdout を指定します。

• スナップショット

  save <SECONDS> <CHANGES>

  SECONDS 秒以上経過したとき少なくとも CHANGES 回数変更があった場合ディスク保存します。

  dir <PATH>

  DBファイル保存先ディレクトリを指定します。

  dbfilename <FILENAME>

  DBファイル名を指定します。

• セキュリティ

  requirepass <PASSWORD>

  Redisを利用するためのパスワードを指定します。 Redisは性能が良いので秒間150,000回以上の試行ができてしまいます。 パスワードは十分長い文字列を指定してください。

• メモリ管理

  maxmemory <BYTES>

  Redisが使用できるメモリ上限を指定します。 メモリ上限に到達した場合、 maxmemory-policy に従って削除を行います。

  maxmemory-policy [volatile-lru|allkeys-lru|volatile-lfu|allkeys-lfu|volatile-random|allkeys-random|volatile-ttl|noeviction]

  メモリ上限に到達した際どのようなルールでメモリ上のデータを削除するかを指定します。

自動起動設定

make しただけだとサービス設定がなされないので手動でサービスを追加します。

1. ユーザー/グループの作成

   # useradd redis
   # mkdir -p /var/lib/redis
   # mkdir -p /var/log/redis
   # chown -R redis:redis /var/lib/redis /var/log/redis
   

2. サービスファイルの作成

   /etc/systemd/system/redis-server.service

   [Unit]
   Description=Redis
   
   [Service]
   Type=notify
   ExecStart=/usr/local/bin/redis-server /etc/redis.conf
   ExecStop=/usr/local/bin/redis-cli shutdown
   User=redis
   Group=redis
   
   [Install]
   WantedBy=multi-user.target
   

3. systemctl の再読み込み

   # systemctl daemon-reload
   

4. サービス有効化/起動

   # systemctl enable redis-server
   # systemctl start redis-server
   

動作確認

1. サーバー起動

   手動起動する場合は以下のコマンドを実行します。 サービス実行しているようであればこの手順をスキップします

   # redis-server
   

2. サーバー接続

   # redis-cli
   

3. 認証

   127.0.0.1:6379> AUTH master-password
   OK
   

4. データ挿入/確認/削除/キー一覧

   127.0.0.1:6379> set mykey1 "Hello World"
   OK
   127.0.0.1:6379> get mykey1
   "Hello World"
   127.0.0.1:6379> del mykey1
   (integer) 1
   127.0.0.1:6379> keys *
   (empty list or set)
   

5. サーバー停止

   127.0.0.1:6379> shutdown
   not connected>
   

6. サーバー切断

   not connected> exit
   

今回は「Redis を CentOS に インストール する 方法」についてまとめました。 RedisはオンメモリDBと思ってましたが、実はデータ保存する仕組みがあったんですね。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

参考記事

• redis - Download
• YOMON8.NET - CentOS7にRedisのインストールとsystemdサービス化まで
• 設定ファイル

今回は Docker や Kubernetes を触っているとよく出てくる Alpine Linux について、「ユーザー/グループ を 追加/削除/一覧 する 方法」をまとめます。

今回はどちらかというと備忘のためのまとめです。

ユーザー

ユーザー追加

# adduser [-u UID] USER 

ユーザー削除

# deluser [--remove-home] USER

ユーザー一覧表示

# cat /etc/passwd

passwdファイルに保存されているデータは以下のデータを ":"(コロン) でつないだデータ形式になっている。

• ユーザー名
• パスワード
• ユーザーID
• グループID
• コメント
• ホームディレクトリ
• ログインシェル

グループ

グループ追加

# addgroup [-g GID] GROUP

グループ削除

# delgroup GROUP

グループ一覧

# cat /etc/group

グループにユーザー追加

# addgroup USER GROUP

グループからユーザー削除

# delgroup USER GROUP

(参考) コマンドリファレンス

adduser

Usage: adduser [OPTIONS] USER [GROUP]

Create new user, or add USER to GROUP

        -h DIR          Home directory
        -g GECOS        GECOS field
        -s SHELL        Login shell
        -G GRP          Group
        -S              Create a system user
        -D              Don't assign a password
        -H              Don't create home directory
        -u UID          User id
        -k SKEL         Skeleton directory (/etc/skel)

deluser

Usage: deluser [--remove-home] USER

Delete USER from the system

addgroup

Usage: addgroup [-g GID] [-S] [USER] GROUP

Add a group or add a user to a group

        -g GID  Group id
        -S      Create a system group

delgroup

Usage: delgroup [USER] GROUP

Delete group GROUP from the system or user USER from group GROUP

今回は「Alpine Linux 上で ユーザー/グループ を追加/削除/一覧 する方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！

今回は「Kubernetes 上 に MongoDB の レプリカセット を 構築する 方法」についてまとめます。

概要

MongoDB 3台構成 の レプリカセット を構築します。 また、レプリカセット構築にあたっては「キーファイル（--keyFile）」「認証（--auth）」「実行ユーザー変更（runAsUser）」も含めた内容になっています。 最後の StatefulSet がいろいろな情報を含んでしまって濁ってしまっていますが…３種類を含んでいることを踏まえて読んでいただければ理解しやすいと思います。

前提

今回の検証は以下のような環境で実施しています。

• Kubernetes v1.14.2
• Docker v18.09.6

PersistentVolume

今回は3台構成なのでデータ保存先も3か所用意します。 環境の都合で保存先は同じ NFS になっています。

1. マニュフェスト作成

   mongo-pv.yml

   apiVersion: v1
   kind: PersistentVolume
   metadata:
     name: pv0001
     labels:
       type: nfs
   spec:
     capacity:
       storage: 3Gi
     storageClassName: slow
     accessModes: ["ReadWriteMany"]
     persistentVolumeReclaimPolicy: Retain
     nfs:
       server: 10.51.1.103
       path: /var/share/pv0001
   
   ---
   apiVersion: v1
   kind: PersistentVolume
   metadata:
     name: pv0002
     labels:
       type: nfs
   spec:
     capacity:
       storage: 3Gi
     storageClassName: slow
     accessModes: ["ReadWriteMany"]
     persistentVolumeReclaimPolicy: Retain
     nfs:
       server: 10.51.1.103
       path: /var/share/pv0002
   
   ---
   apiVersion: v1
   kind: PersistentVolume
   metadata:
     name: pv0003
     labels:
       type: nfs
   spec:
     capacity:
       storage: 3Gi
     storageClassName: slow
     accessModes: ["ReadWriteMany"]
     persistentVolumeReclaimPolicy: Retain
     nfs:
       server: 10.51.1.103
       path: /var/share/pv0003
   

2. 適用

   kubectl apply -f mongo-pv.yml
   

3. 確認

   kubectl get pv
   

Service

Podネットワーク中でサービス名を使った検索をするわけではないので、ClusterIP は不要になります。 必要なのはPodの名前からIPアドレスを引けるようにするため、ヘッドレスサービス を作成します。

1. マニュフェスト作成

   mongo-svc.yml

   apiVersion: v1
   kind: Service
   metadata:
     name: mongo-svc
     labels:
       app: mongodb
   spec:
     ports:
       - port: 27017
         targetPort: 27017
     clusterIP: None               # Headless Service
     selector:
       app: mongodb                # match "StatefulSet spec.template.metadata.labels"
   

   HeadlessService は clusterIP に None を指定することで実現できます。

2. 適用

   kubectl apply -f mongo-svc.yml
   

3. 確認

   kubectl get svc
   

Secret

「ユーザー名、パスワード、キーファイル」を準備します。

1. キーファイル作成

   openssl rand -base64 768 > keyfile
   

   MongoDBのキーファイルは「6～1024文字」なのですが…1024文字で生成すると少しデータが膨らむようでうまく動きませんでした。 そのため文字数は少な目で生成します。

2. Secretリソース作成

   kubectl create secret generic mongo-secret \
     --from-literal=root_username=admin \
     --from-literal=root_password=Passw0rd \
     --from-file=./keyfile
   

3. 確認

   kubectl get secrets
   

StatefulSet

とても残念なことに MongoDB の公式イメージを素のまま使おうとすると認証回りの初期化処理がうまく動きませんでした。。 仕方ないので、公式イメージのコマンドに対してシェルスクリプトを挟むことで回避するようにしています。 ただ…結果としてマニュフェストが大きくなってしまってます。。 実運用する場合はきちんとDockerイメージ作って運用したほうがよさそうです。

1. マニュフェスト作成

   mongo-sts.yml

   apiVersion: apps/v1
   kind: StatefulSet
   metadata:
     name: mongo-sts
     namespace: default
     labels:
       app: mongodb
   spec:
     selector:
       matchLabels:
         app: mongodb
     serviceName: mongo-svc        # match "Service metadata.name"
     replicas: 3
     template:
       metadata:
         name: mongodb
         namespace: default
         labels:
           app: mongodb
           ver: "0.0.1"
           env: staging
       spec:
         terminationGracePeriodSeconds: 10
         containers:
           - name: mongodb
             image: mongo:4.0
             ports:
               - containerPort: 27017
             command:
               - "/bin/sh"
               - "-c"
             args:
               - |
                 INIT_FLAG_FILE=/data/db/init-completed
                 INIT_LOG_FILE=/data/db/init-mongodb.log
   
                 start_mongod_as_daemon() {
                 echo 
                 echo "> start mongod ..."
                 echo 
                 mongod \
                   --fork \
                   --logpath ${INIT_LOG_FILE} \
                   --quiet \
                   --bind_ip 127.0.0.1 \
                   --smallfiles;
                 }
   
                 create_user() {
                 echo 
                 echo "> create user ..."
                 echo 
                 mongo "${MONGO_INITDB_DATABASE}" <<-EOS
                   db.createUser({
                     user: "${MONGO_INITDB_ROOT_USERNAME}",
                     pwd: "${MONGO_INITDB_ROOT_PASSWORD}",
                     roles: [{ role: "root", db: "${MONGO_INITDB_DATABASE}" }]
                   })
                 EOS
                 }
   
                 create_initialized_flag() {
                 echo 
                 echo "> create initialized flag file ..."
                 echo 
                 cat <<-EOF > "${INIT_FLAG_FILE}"
                 [$(date +%Y-%m-%dT%H:%M:%S.%3N)] Initialize scripts is finished.
                 EOF
                 }
   
                 stop_mongod() {
                 echo 
                 echo "> stop mongod ..."
                 echo 
                 mongod --shutdown;
                 }
   
                 
                 start_mongod() {
                 mongod \
                   --auth \
                   --clusterAuthMode "keyFile" \
                   --keyFile "/home/mongodb/keyfile" \
                   --replSet "rs0" \
                   --bind_ip_all \
                   --smallfiles;
                 }
                 
                 
                 if [ ! -e ${INIT_FLAG_FILE} ]; then
                 echo 
                 echo "--- Initialize MongoDB --------------"
                 echo 
                 start_mongod_as_daemon
                 create_user
                 create_initialized_flag
                 fi
   
                 echo
                 echo "--- Start MongoDB -------------------"
                 echo
                 start_mongod
   
             env:
               - name: "MONGO_INITDB_ROOT_USERNAME"
                 valueFrom:
                   secretKeyRef:
                     name: mongo-secret
                     key: root_username
               - name: "MONGO_INITDB_ROOT_PASSWORD"
                 valueFrom:
                   secretKeyRef:
                     name: mongo-secret
                     key: root_password
               - name: "MONGO_INITDB_DATABASE"
                 value: "admin"
             volumeMounts:
               - name: mongo-secret-keyfile
                 mountPath: /etc/mongo/secrets
                 readOnly: true
               - name: volatile-volume
                 mountPath: /home/mongodb
               - name: nfs-storage
                 mountPath: /data/db
             securityContext:
               runAsUser: 999
               runAsGroup: 999
         initContainers:
           - image: centos:7
             name: mongo-init
             volumeMounts:
               - name: mongo-secret-keyfile
                 mountPath: /etc/mongo/secret
               - name: volatile-volume
                 mountPath: /home/mongodb
             command:
               - "/bin/sh"
               - "-c"
             args:
               - |
                 cp /etc/mongo/secret/keyfile /home/mongodb/keyfile
                 chown 999:999 /home/mongodb/keyfile
                 chmod 700 /home/mongodb/keyfile
                 exit
         securityContext:
           fsGroup: 999
         volumes:
           - name: mongo-secret-keyfile
             secret:
               secretName: mongo-secret
               items:
                 - key: keyfile
                   path: keyfile
                   mode: 384
           - name: volatile-volume
             emptyDir: {}
     volumeClaimTemplates:
       - metadata:
           name: nfs-storage
         spec:
           storageClassName: slow
           accessModes:
             - ReadWriteMany
           resources:
             requests:
               storage: 3Gi
   

   L.12
   serviceName は 作成済みの HeadlessService 名 と同じ名前を指定してあげます。 ここでサービス名が異なっているとサービス利用してPod名を解決できません（=DNSにレコードが登録されない）。

   L.34-102
   DBの初期化で利用するユーザー名、パスワードは 作成済の Secretリソース から取得します。 こうすることで、機微な情報をリポジトリにコミットせずにすみます。 MongoDB公式の初期化処理がいまいちなので…結局このあたりの処理は自前実装しています。

   L.128, L.146, L.154
   keyfile の パーミッションは実行ユーザーのみに限定しないと MongoDB が起動しません。 これを実現するためには、 mode に 10進数 か 8進数 でパーミッションを指定し、fsGroup に mongodb (UID=999) を指定します。 本来であればこの設定（mode と fsGroup）のみでうまく動いてほしいのですが… Secrets と ConfigMap はマウントする際、強制的に「root 所有の 読み取り専用、フルアクセス」になってしまいます。 そのため、 initContainers と emptyDir の組み合わせ技で中間処理を挟んで適切な所有者とアクセス権になるよう修正します。

   L.161, 162, 163, 166
   volumeClaimTemplates は作成した PersistentVolume にあわせて指定します。 一致しなければいけないのは storageClassName 、 accessModes 。 storage は PersistentVolume より小さい値であればOKです。

2. 適用

   kubectl apply -f mongo-sts.yml.yml
   

3. 確認

   kubectl get sts,po
   

初期設定

前述までの実装ができていれば MongoDB サーバー が 3台 立ち上がっているはずです。 まだ単独で動作しているだけの状態なので、レプリカセットとしての初期化を行っていきます。

1. いずれかのPodに入る

   [root@k8s-master ~]# kubectl exec -it mongo-sts-0 -- sh
   

2. MongoDBに接続

   # mongo mongo-sts-0.mongo-svc
   

3. adminデータベースにログイン

   > use admin
   > db.auth("admin", "Passw0rd")
   

4. レプリカセットを初期化

   > config = {
      _id : "rs0",
      members: [
         { _id: 0, host: "mongo-sts-0.mongo-svc:27017" },
         { _id: 1, host: "mongo-sts-1.mongo-svc:27017" },
         { _id: 2, host: "mongo-sts-2.mongo-svc:27017" },
      ]
   }
   > rs.initiate(config)
   

動作確認

動作確認は MongoDB クラスタに接続して以下のようなコマンドを実行することで状態確認してみます。

> rs.status()

今回は「Kubernetes 上 に MongoDB の レプリカセット を 構築する 方法」についてまとめました。 参考になったでしょうか？ 本記事がお役に立っていると嬉しいです！！