学校の友達とハッカソンにでてきた話

こんにちは。現役専攻科生の たか です。 この記事は 豊田高専 Advent Calendar 2021 の 5日目の記事です。

tl;dr

• 同級生とつながりをもっておくと卒業しても遊べる
• ハッカソンに出るのは楽しい

ハックツハッカソン

本科の同級生と 9月に行われたハックツハッカソン スピノカップに参加していました。 メンバーは ssssota と かんべぇ でした。

彼らは高専の同級生で、本科を卒業しても一緒になにかできるのはやはりとても嬉しいです。

ハッカソンでは me-shi というWebサービスを開発しました。 me-shi では、ハッカソンでつくったプロダクトの説明だったり、ハッカソンに参加している別のチームの方とコミュニケーションを取ることができます。 くわしくは topa'z - me-shi をどうぞ。

僕は基本的にバックエンドを開発していて、 AWS CDK + AWS AppSync で開発していました。 (もともと AppSync の話でアドベントカレンダー書こうと思ってたのですが、特に書くことないなって思っちゃって参加ログにしています)

TypeScript で IaC できるのは割と体験が良かったです。

アイディアなど、準備していった甲斐あってかスピノカップで優勝することができました。 Hack'z の方々、ありがとうございました。

#ハックツハッカソン スピノカップ
最優秀賞はチーム「閑古鳥」でした！
おめでとうございます！！
優勝商品のハックツカタログを受け取ってくれっチュ！

ハッカソンが終わった後もあと少しだけ繋がってみるアプリ、「me-shi」
Topa'zはこちらhttps://t.co/H28FjKCVgD pic.twitter.com/5QVSdFyEoc

— ハックちゅう＠株式会社ハックツ (@Hackz_team) 2021年9月23日

今回は割と実装に難航して、徹夜に加えてギリギリまで(sssota先生が)手を動かしていました。 まだまだ改善点はあるものの、やっぱりハッカソンは楽しいなと思っています。 またぜひ参加したいです！

九州旅行

ハッカソンのあと、別府温泉に一泊しました。 （今思えば、ハッカソンで優勝できたから和気あいあいと楽しく旅行ができたものの、勝てなかったらどんな気持ちだったかとおもうとゾッとします）

地獄

地獄に落ちた pic.twitter.com/qugwRFLinF

— たか (@onsd_) 2021年9月23日

世にも珍しい解体中の地獄

解体中の地獄 pic.twitter.com/9tFC8QXHev

— たか (@onsd_) 2021年9月23日

地獄蒸し美味しかったのでおすすめです

地獄蒸しなど pic.twitter.com/F5KHVtIzby

— たか (@onsd_) 2021年9月23日

宣伝

ハックツハッカソンは宿泊施設で行われることがおおく、参加者は無料で宿泊することができました。 これは、愛知県から遊びに行った身としてはとてもありがたかったです。 RedBullも飲めるので、興味ある方はぜひ遊びに行ってみてほしいです！！

おまけ

AWS CDK をつかって AppSync を構築するときに、OIDC 認証を使う例

const appsync = new GraphqlApi(this, 'appsync', {
      name: "some-appsync-name",
      schema: Schema.fromAsset(
        path.join(__dirname, 'schema.graphql')
      ),
      logConfig: {
        excludeVerboseContent: true,
        fieldLogLevel: FieldLogLevel.ALL,
      },
      authorizationConfig: {
        defaultAuthorization: {
          authorizationType: AuthorizationType.OIDC,
          openIdConnectConfig: {
            tokenExpiryFromAuth: 0,
            tokenExpiryFromIssue: 0,
            clientId: process.env.OIDC_CLIENTID || '',
            oidcProvider: process.env.OIDC_PROVIDER || '',
          },
        }
      }
    })

authorizationConfig がミソっぽいです

Workload Identityを用いてGKEからAWSのリソースにアクセスする

この記事で使用する手順は主に dotintl/gtoken に沿っています

Workload Identity とは

Workload Identity GKEアプリケーションが　Google API 提供のサービスを使用するための推奨された方法です

GoogleサービスアカウントのメールアドレスがAnnotateされたKubernetesサービスアカウントを用いることで、サービスアカウントを使用してクラウドサービスへの認証を行うことができます

AWSにも似たような機能があります

今回は、Workload Identityを用いてAWSのサービスに対し認証情報を持たずにセキュアにアクセスを行う方法を紹介します。

アプローチ

AWS IAM Role を GKEのPodに割り当てる

• AWS
  • OIDC IDプロバイダーのIAMロールを作成する
  • GoogleのサービスアカウントでAssumeRoleできるようにする
• Google
  • サービスアカウントを作成する
  • Workload Identityを通じてPodに有効なOIDCトークンを付与する
  • OIDCトークンを用いてAWSに作成したIAMロールにAssumeRoleする

AWS SDKは、次の環境変数が設定されている場合、STSサービスから一時的なAWS認証情報をリクエストします

• AWS_WEB_IDENTITY_TOKEN_FILE
  • OIDCトークンへのパス
• AWS_ROLE_ARN
  • 引き受ける役割のARN
• AWS_ROLE_SESSION_NAME
  • このセッションの名前

OSSであるdointl/gtoken を用いることで簡単にセットアップができます

gtoken

gtokenとは、OIDC ID tokenの期限が切れる前に更新する役割をもつコンテナ

• 有効な GCP OIDC ID tokenを生成

• 必要なAWSの環境変数を自動で挿入

gtoken-webhook のデプロイ

gtoken-webhook とは

特定のAnnotationがついたサービスアカウントで実行されるPodに対して、gtokenをinjectするサービスです

デプロイには、Webhookサービスとデプロイメントを作成する必要があります。

また、gtokenのデプロイには通常のサービスと違い、証明書を作成する必要があります。

git clone https://github.com/doitintl/gtoken

./deployment/webhook-create-signed-cert.sh

証明書の作成が完了したら、デプロイメントとサービスを作成します。

kubectl apply -f deployment/deployment.yaml

kubectl apply -f deployment/service.yaml

次にMutatingWebhookConfiguration をApplyします。

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: mutating-gtoken-webhook-cfg
  labels:
    app: gtoken-webhook
webhooks:
  - name: gtoken.doit-intl.com
    clientConfig:
      service:
        name: gtoken-webhook-svc
        namespace: default
        path: "/pods"
      caBundle: ${CA_BUNDLE}
    rules:
      - operations: [ "CREATE" ]
        apiGroups: ["*"]
        apiVersions: ["*"]
        resources: ["pods"]

ここで、${CA_BUNDLE} を適切に設定する必要があります。 CAを置き換えるスクリプトが同梱されているので、それを使います。

cat ./deployment/mutatingwebhook.yaml | ./deployment/webhook-patch-ca-bundle.sh > ./deployment/mutatingwebhook-bundle.yaml

kubectl apply -f deployment/mutatingwebhook-bundle.yaml

gtoken-webhook の RBACを構成する

gtoken-webhookが使用するサービスアカウントと、その権限を作成します。

# create a service account
kubectl create -f deployment/service-account.yaml

# create a cluster role
kubectl create -f deployment/clusterrole.yaml
# create a cluster role binding
kubectl create -f deployment/clusterrolebinding.yaml

GKE Workload Identity の設定

以下の設定で、いくつかの環境変数を使います。 .envrc などで定義しておくと便利です。

• PROJECT_ID
  • GCP の project ID
• CLUSTER_NAME
  • GKEのクラスタの名前
• GSA_NAME
  • Google Cloud の サービスアカウントの名前
• KSA_NAME
  • Kubernetes のサービスアカウントの名前
• KSA_NAMESPACE
  • Kubernetes の namespace名
• AWS_ROLE_NAME
  • AWSのIAM Role の名前
• AWS_POLICY_NAME
  • $AWS_ROLE_NAME に紐付けたいポリシーの名前
• 生成されるもの
  • GSA_ID
    • gcloud iam service-accounts describe --format json $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com | jq -r '.uniqueId' で取得可能
  • AWS_ROLE_ARN
    • $AWS_ROLE_NAMEを　生成したときに割り当てられるARN
    • aws iam get-role --role-name $ROLE_NAME --query Role.Arn --output text で取得可能

Gcloud Workload Identity を 有効にする

Workload Identity

ノードプールに--workload-metadata-from-node=GKE_METADATA_SERVERを付加すると、そのノードでWorkload Identity を使うことができます

新しいクラスタの場合

gcloud beta container clusters create ${CLUSTER_NAME} --identity-namespace=${PROJECT_ID}.svc.id.goog

既存のクラスタの場合

gcloud beta container clusters update ${CLUSTER_NAME} --identity-namespace=${PROJECT_ID}.svc.id.goog

この場合、既存のノードプールへの影響はなく、新しいノードプールでは--workload-metadata-from-node=GKE_METADATA_SERVER が有効になります。 よって、Workload Identityを使用するにはノードプールを更新するか、新しく作成する必要があります。

# 既存のノードプールを更新する場合
gcloud beta container node-pools update ${NODEPOOL_NAME} \
  --cluster=${CLUSTER_NAME} \
  --workload-metadata-from-node=GKE_METADATA_SERVER
  
# 新しくノードプールを作成する場合
gcloud beta container node-pools create ${NODEPOOL_NAME} \
  --cluster=${CLUSTER_NAME} \
  --workload-metadata-from-node=GKE_METADATA_SERVER
  

Google Cloud Service Account を作成する

gcloud iam service-accounts create ${GSA_NAME}

GSA_ID=$(gcloud iam service-accounts describe --format json ${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com  | jq -r '.uniqueId')

GSA_NAME に以下の役割を与えます。 - roles/iam.workloadIdentityUser - GKE ワークロードのサービスアカウントを使用するため -roles/iam.serviceAccountTokenCreator` - サービス アカウント権限を使用するため

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.serviceAccountTokenCreator \
  --member "serviceAccount:${PROJECT_ID}.svc.id.goog[${K8S_NAMESPACE}/${KSA_NAME}]" \
  ${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com
  
gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:${PROJECT_ID}.svc.id.goog[${K8S_NAMESPACE}/${KSA_NAME}]" \
  ${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

参考にしたブログ では一行になってましたが、やったらできなかったので２つに分けてます

Google OIDC フェデレーション用のAWS IAM Roleを作成する

Google OIDC フェデレーション用のAWS IAM Roleを作成するためのトラストポリシーを作成しておきます。

cat > gcp-trust-policy.json << EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "accounts.google.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "accounts.google.com:sub": "${GSA_ID}"
        }
      }
    }
  ]
}
EOF

AWS IAM Roleを作成します

# assume-role-policy-documentでさっきのファイルを指定する
aws iam create-role --role-name ${AWS_ROLE_NAME} --assume-role-policy-document file://gcp-trust-policy.json

# policy を割り当てる
aws iam attach-role-policy --role-name ${AWS_ROLE_NAME} --policy-arn arn:aws:iam::aws:policy/${AWS_POLICY_NAME}

Kubernetes サービスアカウントのアノテーションに使用するため、ARNを取得しておきます

AWS_ROLE_ARN=$(aws iam get-role --role-name ${ROLE_NAME} --query Role.Arn --output text)

Kubernetes サービスアカウントの作成

Kubernetes namespace と サービスアカウントを作成します

# Kubernetes namespace の作成
kubectl create namespace ${K8S_NAMESPACE}

# Kubernetes service account の作成
kubectl create serviceaccount --namespace ${K8S_NAMESPACE} ${KSA_NAME}

# service account に GKE Workload Identity(GCP ServiceAccountのメールアドレス) を annotate
kubectl annotate serviceaccount --namespace ${K8S_NAMESPACE} ${KSA_NAME} \
  iam.gke.io/gcp-service-account=${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

# service account に AWS Role ARN を annotate

kubectl annotate serviceaccount --namespace ${K8S_NAMESPACE} ${KSA_NAME} \
amazonaws.com/role-arn=${AWS_ROLE_ARN}

試す

GKE Workload Identity

kubectl run --rm -it \
  --generator=run-pod/v1 \
  --image google/cloud-sdk:slim \
  --serviceaccount $KSA_NAME \
  --namespace $K8S_NAMESPACE \
  workload-identity-test

root@workload-identity-test:/ gcloud auth list
                       Credentialed Accounts
ACTIVE  ACCOUNT
*       test-service-account@$PROJECT_ID.iam.gserviceaccount.com

To set the active account, run:
    $ gcloud config set account `ACCOUNT`

正しく設定できていた場合、Googleサービスアカウントのメールアドレスのみが表示されるはずです。

AWS

kubectl run -it --rm --generator=run-pod/v1 --image mikesir87/aws-cli --serviceaccount ${KSA_NAME} test-pod -n {$K8S_NAMESPACE}

If you don't see a command prompt, try pressing enter.
root@test-pod:/aws#
root@test-pod:/aws# aws sts get-caller-identity
{
    "UserId": "XXXXX:gtoken-webhook-vqbhasptyassltln",
    "Account": "XXXXXXXX",
    "Arn": "arn:aws:sts::XXXXXXX:assumed-role/test-gcp-service-account/gtoken-webhook-vqbhasptyassltln"
}
root@test-pod:/aws# exit

指定したARNが表示されていたら成功です。

クリーンアップ

# remove aws iam role
aws iam detach-role-policy --role-name $AWS_ROLE_NAME --policy-arn arn:aws:iam::aws:policy/$AWS_POLICY_NAME

aws iam delete-role --role-name $AWS_ROLE_NAME

# remove k8s sa, namespace
kubectl delete sa -n $K8S_NAMESPACE  $KSA_NAME

kubectl delete namespace $K8S_NAMESPACE

#remove Google Cloud IAM 
gcloud iam service-accounts remove-iam-policy-binding \
     --role roles/iam.serviceAccountTokenCreator \
    --member "serviceAccount:$PROJECT_ID.svc.id.goog[$K8S_NAMESPACE/$KSA_NAME]" \
      ${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

gcloud iam service-accounts remove-iam-policy-binding \
    --role roles/iam.workloadIdentityUser \
    --member "serviceAccount:$PROJECT_ID.svc.id.goog[$K8S_NAMESPACE/$KSA_NAME]" \
      ${GSA_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

gcloud iam service-accounts delete $GSA_NAME@$PROJECT_ID.iam.gserviceaccount.com

# disable workload identity
# update node
gcloud beta container node-pools update $K8S_NODEPOOL --cluster=$K8S_CLUSTER   --workload-metadata-from-node=EXPOSED

# disable workload identity
gcloud beta container clusters update $CLUSTER_NAME  --disable-workload-identity

# delete resources
kubectl delete -f deployment/

おわりに

この記事は3月に株式会社オプティマインドで検証した記録です。

U16プロコン愛知大会の開催記録

この記事は、第二弾 地方IT勉強会 Advent Calendar 2019の7日目の記事です。

ラッキーセブンを頂いたのにも関わらず大遅刻をかまして申し訳ないです。。。

自己紹介

豊田高専の学生です。 先生からお話をいただき、U16プロコンの主催の一員として活動させていただくことになりました。

U16プロコンとは？

もともと北海道の旭川で行われていたコンテストです。

課題部門・作品部門に別れており、参加者はそれぞれ作品を持ち寄り対戦したり展示を行います。

愛知大会

https://u16aichiprocon.connpass.com/event/137745/

愛知大会は豊田高専で行われ、作品部門のみ開催しました。

これは、初回ということで参加者数が読めないことや、運営のノウハウが足りないことに起因しています。。。

大会は8/24に行われました。

また、それに先立ち開発支援日として学生が開発のお手伝いをする日を設けました。

大会の様子

当日は想定を超える10人が参加してくださり、とても良い雰囲気で進行することができました。

当日は小学生の子が優勝し、来年行われる全国大会に出場する権利を得ることができました！

主催した感想

今回U16プロコンを愛知で初開催して、参加してくれる方がいたのは開発支援日をやったのが大きいと思っています。 開発支援日では、IchigoJamの使い方を教えたり開発のお手伝いをしたりしていました。

小さいメモリにいくつものゲームをつくってみる方がいたり、できることを探して作る姿勢がすごいいいなぁと思っていました。

おわりに

大会の開催は初めてのことで、とても不安でしたが何事もなく終了できてよかったです。 主催側の大変さを学ぶことができ、とても有意義でした。

また、開催にあたってそもそものお話を頂いたITジュニア育成交流協会様、当日来ていただいた@tomio2480先生、参加してくれた方、尽力してくださった先生、本当にありがとうございました。

また機会があればこういった運営に携わりたいです。