Docker Meetup Tokyo #4 に行きました


Docker Meetup Tokyo #4 - connpass

 

動画

Docker Meetup Tokyo #4 part 2 #dockerjp - YouTube

 

発表

@deeeetさん CoreOSの基礎/CoreOSに期待すること


CoreOSクラスタにDockerコンテナをデプロイ #dockerjp // Speaker Deck

 

@y_uuk1さん WebアプリケーションにおけるDockerパフォーマンスチューニング

資料不明、内容は以前のISUCONでの話


ISUCONでNginxとMySQLをDocker化したときのパフォーマンス - ゆううきブログ


@shot6さん Amazon EC2 Container Service(ECS)

ECS for Docker Meetup #4


@yuguiさん Kubernetesの機能とデモ、開発体制について

資料不明


@ten_forwardさん cgroupによるリソース隔離入門


Cgroupによるリソース隔離入門 (2015-01-17) // Speaker Deck

 

@yuryuさん RedHat atomic hostの話

Docker on RHEL & Project Atomic 入門 - #Dockerjp 4


@spesnovaさん Docker at Wantedly

資料不明

 

LT

@ixixiさん Development and Deployment with Docker at Dwango


'D'evelopment and 'D'eployment with 'D'ocker at 'D'wango // Speaker Deck

 

@kazunori_279 Google Container Engineについて

資料不明、GKE(GCEは他にあるから、略称はKになってるらしい)のお話


Google Container Engine — Google Cloud Platform

 

DatadogさんのLT

資料不明、今はコンテナ数5くらいだけど、今後10くらいいくだろうし、そうすると監視とか必要になるよねって流れで出てきたキーワードcgroup, cAdvisor, influxdbでぐぐると、このあたりのお話を見つけた。


Docker監視環境 - Part3: cAdvisor, InfluxDB, Grafanaの構築 | masato's blog

 

@iNutさん 共用スパコンシステム上でデータ解析 with Docker


Large Scale Biological Data Science with Docker // Speaker Deck


@IanMLewisさん Docker Remote APIをGoから使う


IanLewis/docker_meetup_tokyo_jan2015_presentation · GitHub


@takiponeさん Docker/ECSでIAMロールを利用する


Docker/ECSでIAMロールを利用する // Speaker Deck


Mookさん GitのコミットごとにQA環境を作成するプロキシを作ってみた(仮

資料不明、URLアクセス時にコンテナがない場合は作成してくれるprevs.ioというサービスのお話。

prevs.io


@ytnobodyさん tutumで雑に包んで雑にデプロイ

https://gist.github.com/ytnobody/fee6da2321921a7df081

 

 職場でテスト環境とかを作るために構築している人がいるけど、自分ではまだ構築できていないので、突っ込んだところまではわからないのですが。

 

  • 海外でのイベントで、dockerは小規模コンテナを沢山つくるのには向いてるけど、大規模のものをつくるのはVMのほうが良いね、という話があったとか
  • CoreOSでコンテナのオーケストレーション解決できるか
  • 監視とかkubernetesでできるとか、CoreOSのfleetでよくね?とか、いやいやdocker APIでいいでしょ、とか
  • RHELCentOSのAtomic Hostは別プロジェクトで開発されてるから、ちょいちょい違いがあるとか
  • dockerにバグは沢山あるけど修正スピードが早くて、pull requestする頃には治ってることはままあるけど、CentOSの旧バージョン(互換)のせいで保留/却下されることもあるとか

 

後、細々、追記します。
 

途中メモ

dockerをCentOSに入れる時、

ver.7なら、docker

ver.6なら、docker-io ※epel

 

CentOS6.xだといっぱいエラーでて、起動できない

Starting cgconfig service: Error: cannot mount memory to /cgroup/memory: No such file or directory
/sbin/cgconfigparser; error loading /etc/cgconfig.conf: Cgroup mounting failed
Failed to parse /etc/cgconfig.conf or /etc/cgconfig.d      [FAILED]

 

https://coreos.com/docs/running-coreos/platforms/iso/#known-limitations

 を参考に、/etc/cgconfig.confmemory = /cgroup/memory;  コメントアウトして、OS再起動。

 

それでもまだエラーでる。

docker daemon: 1.3.2 39fa2fa/1.3.2; execdriver: native; graphdriver:
[0612bedc] +job serveapi(unix:///var/run/docker.sock)
[info] Listening for HTTP on unix (/var/run/docker.sock)
[0612bedc] +job init_networkdriver()
Unable to enable network bridge NAT: iptables failed: iptables -I POSTROUTING -t nat -s 172.17.42.1/16 ! -o docker0 -j MASQUERADE: iptables v1.4.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
 (exit status 3)
[0612bedc] -job init_networkdriver() = ERR (1)
(exit status 3)

 

iptablesの問題でdockerが起動できない障害 - Qiita

これ?

kmod (ipt_MASQUERADE.ko) がない。

未解決状態

 

 


 

CentOS6.5のkernelのバージョンを3.x系にする

 CentOS6.5のkernelは2.6.xだけど、dockerを動かすためには3.xが必要なので、バージョンアップする。

 

# wget https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.17.tar.xz
# xz -dv linux-3.17.tar.xz | tar -xvf linux-3.17.tar
# tar -xvf linux-3.17.tar
# cd linux-3.17
# cp /boot/config-2.6.32-431.el6.x86_64 ./.config
# make oldconfig
# make
# make modules_install
# make install

 

Googleウォレットを不正利用されて、自分が不正利用してるような状態になった件

 多少盛った感じのタイトルですが、だいたいこんな感じです。おおまかにいうと、不正利用されたのをGoogleに報告したら、正規利用分も払い戻しされて、無料でアプリ内アイテムを入手している状態になっていました。

 

不正利用されたのに気付いた時

 ある日GMailを見ると、中国語?のメールが来てました。日付はメールを確認した前日です。

f:id:wankomagic:20140621000851j:plain

 あー、とうとう不正アクセスされたのかと思いました。このアプリは以前やってました。パスワード変更とか他の設定は全然変わってないので、Googleアカウントを不正アクセスしたのではなく、このアプリにアクセスしてGemsを購入した可能性もあるのかもしれません。アカウント削除していないので。あるいは、やっぱりGoogleアカウントに不正アクセスされたのだけれど、クレジットカード登録していなくて、ウォレットの残金が1200円しかなかったため、特に被害がなかったのかもしれません。

 ひとまず、Googleアカウントのパスワードを変更して、不正利用の申請をしました。

https://support.google.com/googleplay/answer/2851610?hl=ja

 

不正利用の申請をした後にしたこと

 こちらのサイトを参考に、ログイン履歴を確認しました。

http://usedoor.jp/howto/web/google/googleplay-husei-login-creditcard/

 あんまりあてにはなりませんでした。IPからおおよその住所が表示されるのですが、全く違う住所でした。外では2回線持ってるし、自宅からのアクセスも違う住所。会社だけは正しい住所でした。とりあえず時間で確認したところ、深夜寝てる時に鹿児島とかからアクセスあったので、不正アクセスはあったんだな、と判断しました。

 そこで、また不正アクセスされても被害を最小限にするために、ウォレットの残りの残金でアプリ内課金しました。これが今回の悩みの種になりました。

 

Googleアカウントがサービス利用停止になりました

 翌日、これから調査するね、といった感じのメールが届きました。本文にも書いてあるのですが、その日の夕方、利用停止になりました。先日パスワード変えたばかりですが、再開に際して、再度パスワードを変えました。

※メールが消されてたので、他のアドレスに転送したやつです。

f:id:wankomagic:20140621010445j:plain

払い戻しされる

 二日後、払い戻ししたよ、というメールが届きました。

f:id:wankomagic:20140621010913j:plain

 アプリ内課金のやつなんて戻ってくるとは思っていなかったので、嬉しかったです・・・が、よくみると???

f:id:wankomagic:20140621011258j:plain

 上の2つは不正ではなく、私が購入したもので、一番下のが不正利用分で、Google二申請したのは一番下のやつだけです。どうやら、不正利用の申請をしたものから後のものをすべて払い戻し処理してしまわれたようです。

 じゃあ、上の2つのアプリ内課金の品はどうなのか、アプリを起動してみてみると、無くなっていないし、購入履歴も残ったままでした。つまり、私が無料でこのアイテムを入手したような状態になっていたわけです。心配性な私は、ラッキー♪よりも、BANされたらどうしよう~~と考えてしまって、Googleとアプリ開発側に不適切な払い戻しがあった件についてメールしました。

 

不適切な払い戻しに対する対応

 翌日Googleから返答が来ました。戻してやったんだからガタガタ言うな、的な感じでした。

f:id:wankomagic:20140621012641j:plain

 う~~~~~ん、、とモヤモヤしてる所、アプリ開発側からもメール来ました。メール本文の無断転載禁止とのことなのでスクショ貼りませんが、払い戻された分を削除するから、IDと取引内容のスクショ頂戴、というものでした。BANされる恐れがなさそうだとわかって、一安心したので、これでおしまい。

 

教訓

  • 不正利用申請をした後、払い戻し処理されるまでは何も購入しない

 

 

rhsmcertdのメモ

見た資料のメモです。特に説明もなく。

 

rhsmcertd : RedHatサブスクリプションマネージャのサービス

 

Reload this Page problem with zabbix-agent-2.0.10-1.el6.x86_64 and selinux on SL 6.3

https://www.zabbix.com/forum/showthread.php?t=43550

 

Bug 694879 - [RFE] subscription-manager does not have its own policy (rhsmcertd runs as initrc_t)

https://bugzilla.redhat.com/show_bug.cgi?id=694879

 

RPM resource selinux-policy-targeted

http://rpmfind.net/linux/rpm2html/search.php?query=selinux-policy-targeted&submit=Search+...&system=&arch=

 

refpolicy-contrib / rhsmcertd.te

https://github.com/TresysTechnology/refpolicy-contrib/blob/master/rhsmcertd.te

The SELinux Coloring Bookを読みました

こちら

http://blog.linuxgrrl.com/2014/04/16/the-selinux-coloring-book/

 

SELinuxの言葉と、それを使うとどういうことができるか、がイラスト付きで説明されているもので、SELinuxを使った場合と使わなかった場合を説明するものではないと思います。

ご飯とられたSPOTの悲壮感漂う表情が印象に残りました。

 

SELinux関連のドキュメント

hbstudy# 28 SELinux HandsOn 公開版
http://www.slideshare.net/ishikawa84g/hbstudy-28-selinuxhandson
SELinuxの必要性や問題の調べ方・対応方法についてひと通り書いています。

Red Hat Enterprise Linux 6.4 Security-Enhanced Linux ユーザーガイド
https://access.redhat.com/site/documentation/ja-JP/Red_Hat_Enterprise_Linux/6/html/Security-Enhanced_Linux/index.html
RedHatの公式資料の日本語版。6.5の日本語版はまだありませんでした。
SELinuxの資料はFedraかRedHatを漁れば出てきます。

SELinux Project Wiki
http://selinuxproject.org/page/Main_Page
Additional Resourcesに様々な情報のリンクがあるので、キーワードを知らない時はググる前にこちらを参照してみると良いと思います(ググるとdisabled率が高いし)。

Download a Reference Policy Release
http://oss.tresys.com/projects/refpolicy/wiki/DownloadRelease
最新のポリシーファイルが公開されています。
selinux-policy-targetedの最新は http://rpmfind.net/linux/rpm2html/search.php?query=selinux-policy-targeted では3.13.1-45(fc21)だそうですが、CentOS-Baseだと3.7.19-231になってしまいます。運用面を考えるとRPMを入れた方が楽なのですが、とりあえずアプリケーションの動作を確認したいためなら、こちらからソースを取得した方が簡単です。ちなみに、zabbixは最新は1.7.0でしたが、3.7.19-231のポリシーだと1.2.0でした。

 

書籍については、SELinux System Administration Kindle版が入手しやすいと思います。
 

SELinux System Administration

SELinux System Administration

 

 

日本語訳版のSELinuxシステム管理は絶版になっていますが、丸善紀伊國屋書店にはまだあるかもしれません。ネットで調べて在庫のある店舗を見つけたら、近所の店舗に送ってもらえます。

 

SELinuxシステム管理 ―セキュアOSの基礎と運用

SELinuxシステム管理 ―セキュアOSの基礎と運用

 

 

 ※2014/4/14 追記

 

Download a Reference Policy Release

ポリシーファイルのリポジトリはこちらです。

http://oss.tresys.com/git/refpolicy-contrib.git

このリポジトリの開発メーリングリストはこちらです。

http://oss.tresys.com/mailman/listinfo/refpolicy