GSuite BasicからGoogle Workspace Business Starterに切り替える

Googleから催促のメールがきていたので切り替えました。 その時のメモになります。

流れ

公式ドキュメントを参考にしながら、以下の流れで対応しました。

  1. プラン変更時の差分を確認
  2. 組織の設定変更
  3. プランの変更

support.google.com

プラン変更時の差分を確認

今回はBusiness Starterに切り替えるので、以下のページで差分を確認しました。

support.google.com

具体的な差分については引用しますが、

  • Chat の管理機能 - 履歴のオンとオフを切り替えることはできません。また、ユーザーに Chat の招待状を自動的に承諾させることはできません。
  • 高度なエンドポイント管理 - 会社所有のモバイル デバイスを設定したり、モバイル デバイスに個別にアプリを配信したりすることはできません。
  • 組織のブランディング - Google ドキュメントスプレッドシート、スライド、フォーム、サイトのカスタム テンプレートを作成、使用することはできなくなります。テンプレートから作成されたドキュメントは残ります。
  • Chat スペースの高度な機能 機能 - 外部ユーザーが参加できるスペースを作成することはできなくなります。既存のスペースは残り、ユーザーはこれらのスペースにメンバーの追加または削除といった変更を加えることができます。

以下の4つになります。 このうち私が影響を受ける範囲は、「高度なエンドポイント管理」のみでした。

プランの変更画面でもどういった差分があるのかは確認できます。

f:id:corrupt952:20211117031535p:plain

組織の設定変更

「高度なエンドポイント管理」のみ影響があることが分かったので、以下を参考しながら作業をしました。

support.google.com

特に問題はないと思いますが、設定漏れがあると面倒臭そうです。

プランの変更

ドキュメント通りに設定変更すれば問題ないので特筆することはないですが、割当ライセンス数と請求金額だけはチェックしておいた方が良いです。

ForegroundでCronを実行した時に処理の標準出力,標準エラー出力をCronの標準出力,標準エラー出力にリダイレクトする

ForegroundでCronを実行した時にCronで実行される各処理の標準出力,標準エラー出力に出力した内容は、 Cronの標準出力,標準エラー出力に出力されずにいずこかへ消えます。 今回は、各処理Cronの標準出力,標準エラー出力にリダイレクトして出力させます。

先に答えを書いておくと /proc/{CronのプロセスID}/fd 配下の12にそれぞれを出力すればOKです。

* * * * * /main.sh >/proc/$(</var/run/crond.pid)/fd/1 2>/proc/$(</var/run/crond.pid)/fd/2

/proc/{CronのプロセスID}/fd/1 などは、/dev/pts/1 などのデバイスファイルのシンボリックファイルなので、 procfsが実装されていない環境では、lsofから標準出力,標準エラー出力のデバイスファイルのパスが取得できます。 そのパスに出力すれば似たような挙動を得られます。

ただし、このやり方はrootユーザでの話なので、別ユーザで実行する場合については別記事で書こうかなと思います。

環境

今回はprocfsが使えるLinuxで検証したかったので、以下のDockerfileで環境を作ってコンテナ上でcron -fを実行して確認しました。

FROM ubuntu:20.04

RUN apt-get update && \
    apt-get install --no-install-recommends -y cron vim && \
    rm -rf /var/lib/apt/lists/*

CMD ["bash"]

Remote - WSL拡張を使ったVSCodeで新規ファイルをcodeコマンドから開けない

この問題で無駄に時間を消費してしまったんですが、Remote - WSL拡張を使ったVSCodeで新規ファイルをcodeコマンドから開けない現象に遭遇しました。

2021/12/2 追記分

起票していたIssueで1.63.0(追記時点ではInsiders)を使うことで、この問題が発生しないことを確認しました。 急いでアップデートする必要がない場合は、1.63.0が正式リリースされるまで待っておいた方が良さそうです。

github.com

2021/11/15 追記分

System Installerでなくとも、1.62.1(1つ前のバージョン)のUser Installerでも問題が発生しないことは確認できています。

github.com

アップデートされると問題が再発するので、自動アップデートがされないように設定を変更しておくことをオススメします。(あまり良くはないですが)

2021/11/14 に書いてた部分

結論としては原因不明だったのですが、元々VSCodeをUser Installerでインストールしていて1.62.2にアップグレードしたら発生した気がしていたので、 1.62.0のSystem Installerでインストールし直したら再発しなくなりました。

問題が起きていた環境

解決した環境

nっぽいkustomizeバージョン管理ツールを書いた

Node.jsのバージョン管理ツールであるnっぽい、Kustomizeバージョン管理ツールを書いてみました。

github.com

元々kustomizeをインストールするためのサポートスクリプトがあって、これは指定したバージョンをインストールすることも可能なんだけど、複数バージョンをいい感じに扱うのはできなかったです。

kubectl.docs.kubernetes.io

そして、複数バージョンのkustomizeが使いたくなるケースが増えてきたので、nを参考にしつつ最低限のコマンドだけ書くかーと思い立ちました。 Argo CDで使うKustomizeのバージョンを固定化しているケースなどでは、ローカルで複数バージョンのkustomizeを動かしたいケースもそれなりにあるので、 こうしたツールが欲しいと探していたけど、パッと見つからなかったですし。

インストール

基本的にREADMEに書いてある通りで、kzのスクリプトファイルをダウンロードして実行権限を付与してパスが通るところに配置すればOK。

curl -L https://raw.githubusercontent.com/corrupt952/kz/main/bin/kz -o kz
chmod u+x kz
mv kz /path/to/bin

後は環境変数を設定するのがオススメ。 nのようにデフォルトだと、/usr/localにインストールしようとするので、それが嫌なら$HOME/.cacheとかにインストールすると良いです。

export KZ_PREFIX=$HOME/.cache/kz
export PATH=$KZ_PREFIX/bin:$PATH

使い方

kustomizeのインストール

nのような操作感でKustomizeをインストールできます。 インストール後には、$KZ_PREFIX/binに指定したバージョンのバイナリへのシンボリックリンクを配置します。 正直なところ、次で説明するuseと差別化はできていないですね。

kz i v3.9.3

kustomize version
# {kustomize/v3.9.3  2021-02-07T17:02:13Z  }

バージョンの切り替え

指定したバージョンのkustomizeへのシンボリックリンクを、$KZ_PREFIX/binに指定したバージョンのバイナリへのシンボリックリンクを配置します。 指定したバージョンがインストールされていなかったらインストールするようにもしています。

kz use v3.9.3

kustomize version
# {kustomize/v3.9.3  2021-02-07T17:02:13Z  }

指定したバージョンでの実行

$KZ_PREFIX/binにパスを通したり、切り替えをしなくても指定したバージョンのkustomizeで、 コマンドを実行するexecも追加してみました。

kz exec v3.9.3 vesrion --short
# {kustomize/v3.9.3  2021-02-07T17:02:13Z  }

kz exec v4.4.0 vesrion --short
# {kustomize/v4.4.0  2021-09-27T16:24:12Z  }

複数バージョンのkustomize間でビルドしたマニフェストを比較したい時に重宝しています。

さいごに

それぞれのバージョンのkustomizeコンテナでやれっていう話かもしれないけど、ローカルで動かせるバイナリに関してはローカルで動かしたほうが速いので許してください 🙇 あと、似たようなツールでいい感じのがあれば教えて下さい!

GitHub OrganizationでSSO認証必須にすると少し困ること

GitHub OrganizationでSSO認証を必須にすると、困るケースが出てきたので軽くまとめておきます。

困るケースは以前ツイートした以下の内容になりますが、かなり限定的なケースだと思います。

改めて困る条件をまとめると、

  • 1つ以上のSSO認証必須のOrganizationに属している
  • SSO認証必須のOrgnization内に公開リポジトリ(何らかのプラグインなどのOSS)がある
  • プライベートなど業務以外で、その公開リポジトリを利用した時に、SSO認証していないPCからIssueを投げたくなった

という条件が重なったなった時に、Issueを投げたくなっても投げられないという状況になりました。

「SSO認証すれば良い」だけの話なんですが、未ログインもしくはOrganizationに所属していないユーザではできる操作が、 「SSO認証されていない所属しているユーザだとできない」というのが少しモヤッとしているところです。

これからGitHub OrganizationでSSO認証を必須にするという場合は、OSS活動などで利用している公開リポジトリがこういう風に困るケースがないかは確認しておいたほ方が良いかも知れません。

おまけ

SSO認証せずに自分のプロフィールページを開くと、SSO認証が必要な組織のContributionが表示されないです。

未ログインのユーザから見たcorrupt952のプロフィールページ。

f:id:corrupt952:20210927000214p:plain

こっちがcorrupt952でログインはしているが、必要なSSO認証をしていない場合に見えるプロフィールページ。

f:id:corrupt952:20210927000451p:plain

systemdでサービスの有効化と起動をワンラインで実行する

昨日VPNサーバを構築した際に知ったのですが、比較的新しいバージョンであれば有効化と起動をワンラインでできるようです.

man.kusakata.com

例えばnginxサービスをsystemdで有効化と起動をすると言えば、

systemctl enable nginx
systemctl start nginx

といった書き方でしたが、バージョン220から使えるようになった--nowオプションを使うことでワンラインで実行できます.

systemctl enable --now nginx

無効化と停止も同様に書けます.

systemctl disable --now nginx

昔よく触っていた時代と比べて、便利になっていて助かります.

VPNサーバを構築した記事

khasegawa.hatenablog.com

WireGuardをConoHa VPSで立ち上げてGunfire Rebornをプレイする

Gunfire Rebornというゲームを友人とプレイしようとしていたところ、
特定のフレンドとプレイができなくなるという現象が起きました.
この現象は、弊宅で契約している回線がV6プラスであることが起因していて基本的には解決できない問題です.

とはいえ、回避方法はいくつかありまして、

  • IPoE方式(V6プラスなど)ではなくPPPoE方式でインターネットに接続する
  • VPNサーバ経由でインターネットに接続する

といった方法で回避することはできます.

弊宅ではIPoE方式でもPPPoE方式でも接続できるようにしており、PPPoE方式でプレイすれば問題ないかな?と思っていたのですが
Gunfire RebornではPPPoE方式でまともにプレイできないレベルでのラグが発生してしまい最終的には接続が切れてしまいました.

そのため、今回はWireGuardを経由でプレイできるようにしていきます.

大枠の流れ

  1. ConoHa VPSでサーバを作成する
  2. WireGuardをセットアップする
  3. WindowsにWireGuardクライアントをインストールして接続する

ConoHa VPSでサーバを作成する

ConoHa VPSである理由は特にないので、もしも試してみる場合は各自好きなVPSを使うと良いです.
今回はあくまで検証用途で立ち上げたので、以下の条件でサーバを立ち上げます.

  • プラン ... メモリ1GBプラン(CPU 2core、SSD 100GB)
  • OS ... Ubuntu 20.04
  • 追加ディスク ... 使用しない
  • 接続許可ポート IPv4 ... 全て拒否(後で全て許可に変更する)
  • 接続許可ポート IPv6 ... 全て拒否(後で全て許可に変更する)
  • SSH Key ... 使用しない
  • スタートアップスクリプト ... 使用しない

rootパスワードは1Passwordなどのパスワードマネージャーが自動生成する推測されづらいパスワードに設定しておきます.
ネームタグは分かりやすい名前でもつけておくと良いです.

これでサーバを作成して起動するまで待ちます. 起動ができたら、サーバの詳細画面にあるコンソールを起動してサーバ内で作業できるようにしておきます.

f:id:corrupt952:20210523004905p:plain

WireGuardをセットアップする

WireGuardをセットアップして起動する

サーバで以下のコマンドを上から順に実行していきます.
WireGuardではクライアントと通信するために、任意のポートでUDP通信できるようにしておく必要があるので、
55555ポートでUDP通信できるようにしておきます.

# パッケージのアップデート
apt update
apt upgrade -y

# WireGuardのセットアップ
apt install -y wireguard
cd /etc/wireguard
wg genkey | tee server.key | wg pubkey > server.pub # サーバ側の秘密鍵・公開鍵を生成
wg genkey | tee client.key | wg pubkey > client.pub # クライアント側の秘密鍵・公開鍵を生成
cat <<EOF > wg0.conf
[Interface]
PrivateKey = $(cat server.key)
Address = 10.0.0.1/32
ListenPort = 55555
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = $(cat client.pub)
AllowedIPs = 10.0.0.0/24
EOF
chmod 600 server* client* wg0.conf

# sysctlのパケット転送を有効化にする
cp /etc/sysctl.conf{,.back}
sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/' /etc/sysctl.conf
sed -i 's/#net.ipv6.conf.all.forwarding=1/net.ipv6.conf.all.forwarding=1/' /etc/sysctl.conf
sysctl -p

# ufwのセットアップ
ufw default deny
ufw allow 55555/udp
systemctl enable --now ufw

# WireGuardを起動する
systemctl enable --now wg-quick@wg0

# WireGuardの起動状態を確認する
wg show
# コマンドの結果例
# interface: wg0
#  public key: XXX
#  private key: (hidden)
#  listening port: 55555
#
# peer: YYY
#   endpoint: www.xxx.yyy.zzz:12345
#   allowed ips: 10.0.0.0/24
#   latest handshake: 1minutes, 43 seconds ago
#   transfer: 1.48 MiB received, 20.60 MiB sent

エラーも出ずに終了すればサーバでの作業は終わりです.

各種鍵を控えておく

コンソールの接続を切る前に各種鍵を控えておきます.
クライアントの設定でも必要なのと、サーバが何らかの理由で消えてしまった時用のバックアップとしてパスワードマネージャなどに残しておくのが良いです.

cd /etc/wireguard
cat sever.key # サーバの秘密鍵
cat server.pub # サーバの公開鍵
cat client.key # クライアントの秘密鍵
cat client.pub # クライアントの公開鍵

インターネットからサーバに対して全ポートの通信を許可する

全て拒否に設定していた「接続許可ポート IPv4」、「接続許可ポート IPv6」を全て許可にしておきます.

f:id:corrupt952:20210523015813p:plainf:id:corrupt952:20210523015816p:plain

WindowsにWireGuardクライアントをインストールして接続する

クライアントをダウンロードする

公式サイトからWindows用のクライアントソフトをダウンロードしてインストールします.

www.wireguard.com

接続設定を作成する

インストール後、クライアントを起動して「空のトンネルを作成」を押して接続設定を作成します.
テキストを入力できる画面になると思うので以下を参考にして設定を入力します.

[Interface]
PrivateKey = XXX # client.keyの中身を貼り付け
Address = 10.0.0.2/32 # クライアント側のプライベートIPv4アドレスを入力、今回は10.0.0.2にする
DNS = 1.1.1.1 # DNSサーバを指定、GoogleのやつでもなんでもOK

[Peer]
PublicKey = YYY # server.pubの中身を貼り付け
AllowedIPs = 0.0.0.0/0, ::/0 # 全ての通信をサーバへ流す. ここを変更することで特定の通信のみに絞り込むことも可
Endpoint = www.xxx.yyy.zzz:55555 # サーバのグローバルIPv4アドレス

これらを入力し終えたら「保存」を押して設定を保存します.

接続する

クライアントの画面にある「有効化」ボタンを押して接続を開始します.

f:id:corrupt952:20210523022500p:plain

状態が有効になり、Googleでも何でも良いのでWebサイトが見れれば設定は完了です.
もしも、Webサイトが開けない場合は、サーバ側のPeerかクライアント側のPeerが間違っているので修正してください.

WireGuard経由でGunfire Rebornをプレイ

実際にWireGuard経由でGunfire Rebornをプレイしましたが、ping値は数ms程度の低下で問題なくプレイできることが確認できました.
Gunfire Reborn以外のP2P通信をするマルチプレイヤーゲームはプレイしていませんが恐らく問題ないはずです.

※ PC版のDark Souls 3やMonster Hunter: Worldなどが該当する

さいごに

あくまでゲームをプレイするためにVPNサーバを立ち上げましたが、 今回の構成であれば固定IP用のVPNサーバとしても利用自体は可能です.

問題なくゲームがプレイできるようにはなりましたが、
VPNサーバを別途用意したり、PPPoE方式で接続できるようにしなければならないというのはやはり手間ですし、契約できるのであればNURO光が理想的ですね.

今回は、Gunfire Rebornというゲームで起きていたという話をしていますが、現状把握しているのは

でも、稀に特定のフレンドとの組み合わせでプレイできなくなるという現象を確認しているので、 もしも困っている人がいれば何か参考になればよいなと思います.

おまけ:VPNサーバを立ち上げる時のVPS観点

今回は理由もなくConoHa VPSで立ち上げていますが、もし自分がVPSをちゃんと選ぶ場合の観点を書いておきます.

必須

  • IPv4アドレスが1つ固定で割り振られること
  • 帯域が100Mbps以上であること(ConoHa VPSではIn/Outともに100Mbps)
  • 最低でも1000番以上のポートは全て解放できること

任意

  • WebUIでVNCではなくシリアルで接続できること
  • ブートディスクがSSDであること

おまけ:ArchWiki

wiki.archlinux.jp