Serverspecを使用したサーバ設定テストの実例 / かごもく No8

2918edfd0fbcbb87e21a5cf87071374e?s=47 Koichi Shimozono
May 25, 2018
Technology
0
130

Serverspecを使用したサーバ設定テストの実例 / かごもく No8

2918edfd0fbcbb87e21a5cf87071374e?s=128

Koichi Shimozono

May 25, 2018
Tweet

More Decks by Koichi Shimozono

See All by Koichi Shimozono
2918edfd0fbcbb87e21a5cf87071374e?s=48 simozono
0
62
2918edfd0fbcbb87e21a5cf87071374e?s=48 simozono
0
37

Other Decks in Technology

See All in Technology
5bc984d78def65048378c439d77c379f?s=48 tomoyamachi
1
170
Dd672f13e7e17714700544cb355cbaba?s=48 kyoshimoto
2
150
Cd6e67775ba3275c466e9927ede23080?s=48 nk35jk
2
830
48a351a06897d7cc9721e2ddb7198e8a?s=48 dougpuob
0
110
Cb88f765dd38cd942c39aacb5abbea06?s=48 ufoo68
1
220
92e7a56a50535ef4c51c112c71d3f9c1?s=48 jkubota
0
270
A64ac825509279a770c13c6fc517f11a?s=48 kawaguti
2
430
8a84268593355816432ceaf78777d585?s=48 dena_tech
0
2k
9c42c4bc1d91c409d754da88c91cb2ef?s=48 kur0cky
1
210
Ad22fcf5773b906c08330f4d57242212?s=48 inductor
3
760
Ecad9d801d79f6c6e5df93094690685e?s=48 sinsoku
6
870
881b1b57f1cbe3b66b017203f7cb2efb?s=48 nplusone
0
180

Featured

See All Featured
Ecdea9b9714877b86cee08458f085481?s=48 trallard
6
230
5f83ef806155b403c3393160ce51f955?s=48 jlugia
215
16k
Af6a12710770ad9a7cfd08c97efd40d3?s=48 pedronauck
648
110k
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
3
430
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
189
17k
1b8ad785acdd1ce1c99914b1c2a4e10e?s=48 sugarenia
230
750k
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
398
20k
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
333
15k
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
224
8.2k
79acae287842acf29084005533a7fb3b?s=48 hursman
103
9k
C35e01544a0dd94a2cf1619ee8a42ebb?s=48 clairelew
7
1.1k
168ccec72eee0530b818d44f3fedaacf?s=48 shlominoach
174
7.1k

Transcript

  1. Serverspecを使用した サーバ設定テストの実例 https://speakerdeck.com/simozono/kagomoku-no8 鹿児島大学学術情報基盤センター 下園幸一 simozono@cc.kagoshima-u.ac.jp 2018/05/26 かごもく #8 でばっぐ

    1

  2. Serverspecとは  サーバの実際の状態を「ローカルコマンド実 行」、「SSH」、「WinRM」、「Docker API」等を通し てテストする ruby で書かれたツール  宮下剛輔氏によって開発されている

     https://serverspec.org/  特徴 ◦ テスト対象のサーバにはエージェント等を導入する 必要はない ◦ 構成管理ツール(Puppet, Ansible, CFEngine, Itamae(Chef)等と共に使用可能 ◦ ほぼ ruby の Rspec  真の目的は「インフラストラクチャコードのリ ファクタリングを助けること」 2018/05/26 かごもく #8 でばっぐ 2

  3. 2018年の状況  2018年以降、それほど盛んでもない  新機能は「自分で実装してね」という立場 2018/05/26 かごもく #8 でばっぐ 3

  4. 利用方法 2018/05/26 かごもく #8 でばっぐ 4 gem のインストール $ gem

    install serverspec 初期設定(雛形作成): $ serverspec-init Select OS type: 1) UN*X 2) Windows Select number: 1 Select a backend type: 1) SSH 2) Exec (local) Select number: 1 Vagrant instance y/n: n Input target host name: webhost.cc.kagoshima-u.ac.jp + spec/ + spec/webhost.cc.kagoshima-u.ac.jp/ + spec/webhost.cc.kagoshima-u.ac.jp/sample_spec.rb + spec/spec_helper.rb + Rakefile + .rspec $ severspecを導入するマシン テスト対象ホスト webhost.cc.kagoshima-u.ac.jp ssh ホスト名に対応したディレ クトリが作成される サンプルspecファイル

  5. 利用方法 2018/05/26 かごもく #8 でばっぐ 5 実行 $ rake spec:webhost.cc.kagoshima-u.ac.jp

    結果 $ rake spec:webhost.cc.kagoshima-u.ac.jp ASK_SUDO_PASSWORD=1 Enter sudo password: Package "httpd" should be installed Service "httpd" should be enabled should be running Port "80" should be listening Finished in 1.48 seconds (files took 6.75 seconds to load) 4 examples, 0 failures $

  6. 標準のディレクトリ構成と実行について ./ spec host1 http_spec.rb users_spec.rb … _spec.rb host2 hoge1_spec.rb

    hoge2_spec.rb … _spec.rb … spec_helper.rb Rakefile .rspec 2018/05/26 かごもく #8 でばっぐ 6  spec ディレクトリ配下にディレクトリを作成すると、それは「ホスト名」で あると認識する ◦ 複数のホストに対するテストを管理できる  ホスト名ディレクトリ配下の「*_spec.rb」をspecファイルとして認識し、全 てをテストする  これらの制御は Rakefile で行っている ◦ Rakefile をいじれば、いろいろできる  ssh のログイン制御等「テスト対象ホストへのアクセス方法」制御は、 spec_helper.rb で行っている

  7. specファイルについて(1)  リソースタイプ(resource type)  マッチャー(matcher) 2018/05/26 かごもく #8 でばっぐ

    7 sample_spec.rb (抜粋) require 'spec_helper' describe package('httpd') do it { should be_installed } end describe service('httpd') do it { should be_enabled } it { should be_running } end describe port(80) do it { should be_listening } end パッケージ httpd は インストールされているか? サービス httpd は (起動時)有効になって いるか? (現在)起動しているか?

  8. specファイルについて(2)  リソースタイプごとに一部マッチャーは決まっている ◦ もちろん rspec 由来のマッチャーも利用可能  どんなリソースタイプがあるのか? https://serverspec.org/resource_types.html

    2018/05/26 かごもく #8 でばっぐ 8 describe user('simozono') do it { is_expected.to exist } it { is_expected.to belong_to_group 'wheel' } it { is_expected.to have_uid 1101 } it { is_expected.to have_home_directory "/home/simozono" } it { is_expected.to have_login_shell '/bin/bash' } end describe interface('ens160') do it { is_expected.to exist } it { is_expected.to be_up } it { is_expected.to have_ipv4_address "192.168.1.241/24" } end describe file '/etc/ntp.conf' do time_cc_regex = /^server[ ¥t]+timeserver.kagoshima-u.ac.jp/ sinet_ntp_regex = /^server[ ¥t]+ntp[01]1.sinet.ad.jp/ its(:content) { is_expected.to match time_cc_regex } its(:content) { is_expected.to match sinet_ntp_regex } end

  9. 所属組織での利用方法  業務で必要なサーバは仮想化基盤 (Vmware)上に手動で作成 ◦ サーバによって設定がまちまち  logrotate が入っていたり入っていなかったり 

    ログの保存期間が4週だったり60週だったり  9つのサーバに対して serverspec を書いた ◦ 共通のテスト項目(ntpが動いているかとか)は、できるだけまとめた  rspec の shared_examples 機能  ホスト固有の情報(IPアドレス等)は、specファイルには書かずに、yaml ファイル書く  How to use host specific properties  https://serverspec.org/advanced_tips.html  よくなった点 ◦ 設定等が統一された ◦ 新規サーバ構築時に設定が間違っていないかテストできる ◦ 設定変更者と設定変更確認者を分離し業務フローを作成  問題点 ◦ OS標準からの設定変更点を spec ファイルに全部書き出したか? ◦ 標準でマッチャーがないテスト項目は、設定ファイルの変更点を 正規表現 に頼っているため、正規表現の記載が面倒  例: /etc/httpd/conf.d/vhost.conf の <VirtualHost *:80>の中で、ちゃんと ServerName は指定のホスト名となっているか? CustomLog は 指定したファイル名に なっているか? <Directory> は指定したディレクトリになっているか? 2018/05/26 かごもく #8 でばっぐ 9

  10. InSpecについて  InSpecとは ◦ https://inspec.io/  Chef Software が開発 

    特徴 ◦ InSpec is inspired by the wonderful Serverspec project. ◦ InSpec は、コンプライアンス担保を目的としている。  Migrate from Serverspec to InSpec ◦ https://www.inspec.io/docs/reference/migration/  2018年現在、活発に開発が続いている  詳細は…使ってないのでよくわかりません 2018/05/26 かごもく #8 でばっぐ 10

  11. Serverspecに関する参考&感想  本家 ◦ https://serverspec.org/  書籍 ◦ O’Reilly より「Serverspec」

     qiita 等でいっぱい出てきます  少し難しいことをしようと思うと ruby & rspec の知識が必要となります  本気でやると resource type が不足 ◦ firewalld の設定  https://github.com/decors/serverspec-firewalld- resources を利用しました。 2018/05/26 かごもく #8 でばっぐ 11