AWS Organizationsで管理している組織に展開するCloudFormation StackSetsのテンプレートを生成するCDKのコードを載せておきます。 今回は例なので、AdministratorAccessというかなり強い権限がついているので、実際には別のマネージドポリシーや自前のポリシーを展開することが多いですね。

import * as cdk from '@aws-cdk/core';
import * as iam from '@aws-cdk/aws-iam';

export class AccountOwnerAccessRoleStack extends cdk.Stack {
  constructor(scope: cdk.Construct, id: string, props?: cdk.StackProps) {
    super(scope, id, props);

    // AccountOwnerAccessRole
    const ownerRole = new iam.Role(this, 'AccountOwnerAccessRole', {
      roleName: 'AccountOwnerAccessRole',
      assumedBy: new iam.AccountPrincipal('XXXX'),
      managedPolicies: [
        iam.ManagedPolicy.fromAwsManagedPolicyName('AdministratorAccess')
      ],
    });
  }
}

これを書いた後に、cdk synthを実行して出力された結果を何らかの方法で登録・更新すればOK。 Organizationsに対して一括適用したい場合は、Terraformを利用するよりかは、CloudFormation StackSetsを利用した方が良いですね。

ForegroundでCronを実行した時にCronで実行される各処理の標準出力,標準エラー出力に出力した内容は、 Cronの標準出力,標準エラー出力に出力されずにいずこかへ消えます。 今回は、各処理Cronの標準出力,標準エラー出力にリダイレクトして出力させます。

先に答えを書いておくと /proc/{CronのプロセスID}/fd 配下の1と2にそれぞれを出力すればOKです。

* * * * * /main.sh >/proc/$(</var/run/crond.pid)/fd/1 2>/proc/$(</var/run/crond.pid)/fd/2

/proc/{CronのプロセスID}/fd/1 などは、/dev/pts/1 などのデバイスファイルのシンボリックファイルなので、 procfsが実装されていない環境では、lsofから標準出力,標準エラー出力のデバイスファイルのパスが取得できます。 そのパスに出力すれば似たような挙動を得られます。

ただし、このやり方はrootユーザでの話なので、別ユーザで実行する場合については別記事で書こうかなと思います。

環境

今回はprocfsが使えるLinuxで検証したかったので、以下のDockerfileで環境を作ってコンテナ上でcron -fを実行して確認しました。

FROM ubuntu:20.04

RUN apt-get update && \
    apt-get install --no-install-recommends -y cron vim && \
    rm -rf /var/lib/apt/lists/*

CMD ["bash"]

Node.jsのバージョン管理ツールであるnっぽい、Kustomizeバージョン管理ツールを書いてみました。

github.com

元々kustomizeをインストールするためのサポートスクリプトがあって、これは指定したバージョンをインストールすることも可能なんだけど、複数バージョンをいい感じに扱うのはできなかったです。

kubectl.docs.kubernetes.io

そして、複数バージョンのkustomizeが使いたくなるケースが増えてきたので、nを参考にしつつ最低限のコマンドだけ書くかーと思い立ちました。 Argo CDで使うKustomizeのバージョンを固定化しているケースなどでは、ローカルで複数バージョンのkustomizeを動かしたいケースもそれなりにあるので、 こうしたツールが欲しいと探していたけど、パッと見つからなかったですし。

インストール

基本的にREADMEに書いてある通りで、kzのスクリプトファイルをダウンロードして実行権限を付与してパスが通るところに配置すればOK。

curl -L https://raw.githubusercontent.com/corrupt952/kz/main/bin/kz -o kz
chmod u+x kz
mv kz /path/to/bin

後は環境変数を設定するのがオススメ。 nのようにデフォルトだと、/usr/localにインストールしようとするので、それが嫌なら$HOME/.cacheとかにインストールすると良いです。

export KZ_PREFIX=$HOME/.cache/kz
export PATH=$KZ_PREFIX/bin:$PATH

使い方

kustomizeのインストール

nのような操作感でKustomizeをインストールできます。 インストール後には、$KZ_PREFIX/binに指定したバージョンのバイナリへのシンボリックリンクを配置します。 正直なところ、次で説明するuseと差別化はできていないですね。

kz i v3.9.3

kustomize version
# {kustomize/v3.9.3  2021-02-07T17:02:13Z  }

バージョンの切り替え

指定したバージョンのkustomizeへのシンボリックリンクを、$KZ_PREFIX/binに指定したバージョンのバイナリへのシンボリックリンクを配置します。 指定したバージョンがインストールされていなかったらインストールするようにもしています。

kz use v3.9.3

kustomize version
# {kustomize/v3.9.3  2021-02-07T17:02:13Z  }

指定したバージョンでの実行

$KZ_PREFIX/binにパスを通したり、切り替えをしなくても指定したバージョンのkustomizeで、 コマンドを実行するexecも追加してみました。

kz exec v3.9.3 vesrion --short
# {kustomize/v3.9.3  2021-02-07T17:02:13Z  }

kz exec v4.4.0 vesrion --short
# {kustomize/v4.4.0  2021-09-27T16:24:12Z  }

複数バージョンのkustomize間でビルドしたマニフェストを比較したい時に重宝しています。

さいごに

それぞれのバージョンのkustomizeコンテナでやれっていう話かもしれないけど、ローカルで動かせるバイナリに関してはローカルで動かしたほうが速いので許してください 🙇 あと、似たようなツールでいい感じのがあれば教えて下さい！

昨日VPNサーバを構築した際に知ったのですが、比較的新しいバージョンであれば有効化と起動をワンラインでできるようです.

man.kusakata.com

例えばnginxサービスをsystemdで有効化と起動をすると言えば、

systemctl enable nginx
systemctl start nginx

といった書き方でしたが、バージョン220から使えるようになった--nowオプションを使うことでワンラインで実行できます.

systemctl enable --now nginx

無効化と停止も同様に書けます.

systemctl disable --now nginx

昔よく触っていた時代と比べて、便利になっていて助かります.

VPNサーバを構築した記事

khasegawa.hatenablog.com