数ヶ月前にカッとなって課金だけしてたlocalstack Pro版を触ってみたのでその記録

localstackのPro(有償)版とは？

localstackはaws-apiをローカル環境で再現するものです。それの有償版がPro。できること・できないことは
https://localstack.cloud/ を見てください。

だけど これだけ見てもよくわからんよね？ なので自腹を切って試してみた、というより面白そうだとおもったから、とりあえず課金した、英語を含めてもあんまり有償版のポストが見つからなかったため。

システム的な違い/機能Activateなどの話

Communitiy版をdocker-imageで無償で公開してるので、Pro版はどう違うんや？と思ってたけど、Pro版の場合は、API＿KEYを環境変数として仕込むことによって、認証サーバとおしゃべりして機能を有効・無効化しているはず。
なので本当に特定サイト以外インターネット全面禁止な社内とかからだと使えないかもしれない。14日のトライアルあるからそこで試してね。

あとは外部URL=dockerではないWebの画面が付きます。Community版でもあるらしいですが、いつまで続くかわからないらしい。便利かと言われると、ちょっと微妙、Readに特化しているので、AWSのManagedConsoleみたいにポチポチでリソース作ったりできない。あるだけマシかな程度です。

始めるぞ

とりあえず使ってみる。ネットにある古い情報を整理する意味でも書いているので、Communitiy版でも有用なこと書いてます。

APIキーを取得する

とりあえず課金する&サインインする。
次にAPIキーを取得する https://app.localstack.cloud/account/subscriptions から

localstackコマンドはいらない

https://app.localstack.cloud/docs#installation

にそって進めれば良いですが、いろいろ情報が古いんで補足しながら。 まず
pip install localstack と書いてありますが、無視します このコマンドなにができるかというと、docker-composeとかではなく dockerコマンドをラップしているコマンドなんですが、私の環境だと後述する ローカルDNSによる透過的なアクセス のために privileged で動かそうとするので、Linuxでuser-namespace使っているユーザー(開発者はほとんど使っている認識)と相性が悪い(というか動かない)です。「俺はLinuxなんて使う変態じゃないんや！」という人が大半だと思いますが、このローカルDNSによる透過的なアクセス、私の目から見て無理筋です。ほとんどの人がこの機能の恩恵を受けられない。詳しくは後述します。

docker-composeを書いて upする

localstackコマンドはほとんどの人にとって役に立たないと思うので、docker-compose書きます。Pro版との違いは 環境変数LOCALSTACK_API_KEYの有無と443のexposeです。ここで古い知識のUpdate、昔のlocalstackはサービスごとにListenポートを分離していましたが、最近それがなくなりました。4566で全サービス受けます。
https://app.localstack.cloud/docs#installation

の記載もUpdateされてないので、github上の最新をもとにこんな感じに

version: '2.1'

services:
  localstack:
    container_name: "${LOCALSTACK_DOCKER_NAME-localstack_main}"
    image: localstack/localstack
    network_mode: bridge
    ports:
      - "443:443"
      - "4566:4566"
      - "4571:4571"
      - "${PORT_WEB_UI-8080}:${PORT_WEB_UI-8080}"
    environment:
      - LOCALSTACK_API_KEY=[your-api-key]
      - SERVICES=serverless,cognito,rds,athena
      - DEBUG=${DEBUG- }
      - DATA_DIR=${DATA_DIR- }
      - PORT_WEB_UI=${PORT_WEB_UI- }
      - LAMBDA_EXECUTOR=${LAMBDA_EXECUTOR- }
      - KINESIS_ERROR_PROBABILITY=${KINESIS_ERROR_PROBABILITY- }
      - DOCKER_HOST=unix:///var/run/docker.sock
      - HOST_TMP_FOLDER=${TMPDIR}
    volumes:
      - "${TMPDIR:-/tmp/localstack}:/tmp/localstack"
      - "/var/run/docker.sock:/var/run/docker.sock"

あとは docker-compose up -d

awslocalコマンドいれる

awslocalコマンドは aws-cli で --endpoint=http://localhost:4566 とか打つのをかぶせたawscliです。
https://github.com/localstack/awscli-local

四の五の言わずにいれとけ、便利だから。補完が効かないので最初困りましたが、zshの人は

complete -C '/usr/local/bin/aws_completer' awslocal

確認してみる

ネットに転がってるやつで

awslocal s3 mb s3://test

この状態で https://app.localstack.cloud/resources/s3 みると

機能拡張を見ていく

全部はみてません。この機能のテストをやりたいって考えている人は、そもそもAWS識者のはずなのでクドい説明は無しでいきます。

大前提、ポチポチではリソース作れない & リソースはすべてlocalマシン(Pro版でも)

最初に繰り返しですが、ポチポチ(＝Webブラウザ操作)でリソースは作れません。ので全部API操作です。terraformとかは頑張れば使えるかもしれないですがやってないです。
そういう目的で使うならば、CloudFormationは対応しているようです、がlocalstack用のテンプレートがそのまま本番で使えるかはもの次第でしょう。今思い出しましたがこれはserverless-frameworkのためですね。

さらに一応localstackという名前がついている通り、全てのリソースはlocalマシン上に格納されます。そのため本物のAWSのようなそこそこ巨大なりソースを複数個並べるとか無理です。なので、インフラのテストとして使うのはミニマムな構成を除いて今の所ちょっと守備範囲狭い。

RDS

どのように動くのか興味ありました

• API部分は一応全部完備(ほとんどmockだけど)
• DBエンジンとしては postgresがlocal-docker内で動く
• RDS data APIが動く

のようです。

なんとMySQL非対応、そのうち対応するらしい。データストアとかを app.localstack.cloud 側で保存してくれるわけでもない。 メリットは RDS data APIが動くので、serverlessなLambdaから突くのにはいいかもしれない(よくできましたポイント)。

ElastiCache

• API自体はRDSと同じ
• Memcacheは非対応

普通に redisをdockerで上げればよくね？

ECS & ECR

ECR は ECS/EKS使うなら多分セットなので対応できているのよい、というかできてないと話にならない。
ECSも一応対応しているようですが、ドキュメントにもALBとかが絡む複雑な構成は無理って書いてある。
ServiceDiscoveryとかもまあ無理でしょ、対応できてもだいぶ未来になりそう。
現状だとあんまりテストにならないな、素直にAWS使ったほうが早いといった印象。

EKSはご想像どおりです。ECSよりもっと複雑なんでまともに使えるようになる未来はまだまだ先。

Athena

余力があったら実際に試すまでやってみようと思ってる、が正直微妙。Docから抜粋

Note: In order to use the Athena API, some additional dependencies have to be fetched from the network, including a Docker image of apprx. 1.2GB which includes Presto, Hive and other tools. These dependencies are automatically fetched when you start up the service, so please make sure you're on a decent internet connection when pulling the dependencies for the first time.

結局LocalでPresto回してるのと同じなんで、S3にクエリがかけられたとしてもGlueカタログとはまた違う代物なので、完全にAthenaとは同じにならない。
それとGlueクローラがないのでデータを用意してスキーマを更新してとかをSQLベースでやらなきゃならないので、そんな暇あるなら本物のAWSでやればええとなる。
まだ試してないのでわからないが、GlueカタログがないAthenaが動いてもほとんど意味ない感はする。EMRの、PrestoやるついでにReadyとしたんかな。

IAM Security Enforcement

良くできましたなポイントです。 2020/10/25時点では正直なところ微妙な機能。使えばすぐわかりますが、これを有効にするとDynamoDBが使えなくなる(Deniedとログに出る、つまり仕様)ので存在意義が見当たらない。

認証だけでなく・認可(Policy)が通ります。 サンプルとしては Credentialだけを発行して、 s3 mb 叩いてNG policyをちゃんとつけて mb成功させてます。リソース縛りとかに対応しているか、他のサービスもちゃんと動くのかは試してませんが、これがちゃんと実装できてれば素直にすごい。

ただ、経験上わかっていることとして、IAM policyはとてつもなく複雑なので、localstackで検証してOKなものがAWSでも同じように動くかは疑問です。完全実装はちょっと無理じゃないかな労力的に。EC2はないもののLambdaはRoleが必須なのでちょっと試してみる。

IAM policyどうやってるの？

ちょっと調べてみた。実装上はmotoから借りているものが多く、motoも一応認証・認可の挙動ができるらしい。
https://github.com/spulec/moto/blob/master/README.md#iam-like-access-control

どちらの実装も読んでみたけど、リソース縛りとか、S3以外のサービスでは動作しなさそう。ToDoにも書かれていたが、リソース絞りとか完璧にやろうとすると、作製済みリソースをどこかに保持しないといけないので、単なるmockの範疇を大きく超えることになる。localstackは単なるmockではないので拡張実装としてどこまでやれるかは見ものだが、これは大変な作業になりそう。

Configuring Local DNS Server

前半に書いた透過的なローカルDNSアクセスです。これは無理筋です。
どういうふうにやるかというと、経典みたいに本ブログに何度も出てきているMITM的なやり方です。 amazonaws.com の名前解決を横取りして、localstackに流すことによって --entrypoint=localhost...の指定を無しにする魂胆。DNSを捻じ曲げてhttps通信したら何が起こるか。「そうだね。証明書エラーだね。」

Note: When you configure transparent execution mode, you may still have to configure your application's AWS SDK to accept self-signed certificates. This is a technical limitation caused by the SSL certificate validation mechanism, due to the fact that we are repointing AWS domain names (e.g., *.amazonaws.com) to localhost. For example, the following command will fail with an SSL error:

これで transparent execution mode って言えるんかね？

CloudFormation Support & Serverless Integrationのextended

何がextendedなのかまだ調べられてない。今私は結構serverlessから離れてしまっているので、やってみます。serverless(sls) が CloudFormation必須なの忘れてた。

感想

• serverless開発のローカル環境としては良さそうだが
  • Communitiy版と比較して明確なプラスは Cognito & API Gateway V2かな
• インフラエンジニアがインフラのテスト(コード上)をやるための実験場としてはまだまだ無理
  • そんなやつおらへんと思うけど、terraform apply を localstack にぶち当てることができてもほとんど mockなので幸せにはならん
• (ビック)データ系のサービスは対応とはあるものの、本物のAWSとの乖離が大きすぎて使い物にならない
  • 練習台・入門用としても逆に難しくてだめ

役に立つかは人それぞれ、14日のトライアルでちゃんと使って見極めてください。

答え

ec2:RunInstances の権限を付与せよ

Launch Template Support - Amazon EC2 Auto Scaling

やろうとしたこと

terraform で ASGを launch templateでやろうとして発生。

resource "aws_launch_template" "lt" {
  name          = "test"
  instance_type = "t3.large"
  image_id      = "xxx"

  vpc_security_group_ids = [
    "sg-xxx"
  ]

}

resource "aws_autoscaling_group" "asg" {
  name                      = "test"
  max_size                  = 20
  desired_capacity          = 0
  min_size                  = 0
  health_check_grace_period = 0
  health_check_type         = "EC2"

  launch_template {
    id      = "${aws_launch_template.lt.id}"
    version = "$Latest"
  }

  availability_zones = [
    "ap-northeast-1a",
  ]

  vpc_zone_identifier = [
    "subnet-xxxx"
  ]

  lifecycle {
    ignore_changes = [
      "desired_capacity",
    ]
  }
}

IAM Policy これだとだめなんで ec2:RunInstances を足してね

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteLaunchTemplate",
                "ec2:CreateLaunchTemplate",
                "ec2:GetLaunchTemplateData",
                "ec2:DescribeLaunchTemplates",
                "ec2:DescribeLaunchTemplateVersions",
                "ec2:ModifyLaunchTemplate",
                "ec2:DeleteLaunchTemplateVersions",
                "autoscaling:*",
                "ec2:CreateLaunchTemplateVersion",
            ],
            "Resource": "*"
        }
    ]
}

もうちょっとヒントほしい。

みなさんリモートワークしてますか？ 家では仕事しない主義だったため、お家のPC環境は超プアでしたが、ガンガン散財して絶賛強化中です。 そんな中でも 4Kモニタで リフレッシュレート60Hzで出力するまでの道のりを書いときます。 書き忘れてましたが、ノートPCユーザー向けの話です。デスクトップなら黙ってDisplayPortに繋いどけ。

まとめ

• 今から買う人で、少々金出してもいい人は USB-C搭載をおすすめする
• HDMIはモニタ側のポートレベルで30Hz に制限されている安物があるので注意 & HDMIケーブルが問題になることはほとんどない
  • その場合はDisplayPortを使うこと
• MacBook Pro + DisplayPort の場合は、条件を満たしても30Hzに下げられることがあるが、その場合はmac側の設定で ディスプレイのデフォルト を一回反映してみる

なるべく短く説明

一応、今から買うならどんなのがいいかを最初に書きますが、TNが糞だとかIPSがいいだとか、いやいやPLSだとかのググれば出てくることは端折ります。わかってらっしゃる人向け。
4K60Hzができるか否か、それだけに絞る。

王道はたぶん USB-C搭載

単刀直入に、お金が許す限り2020年の今買うならUSB-C搭載のモデルがいいです。理由はまとめにも書いていますが。

• 日本で(多分世界でも)主流のHDMIは、ケーブルだけじゃなく、モニタのポートレベルで劣化させている4Kモニタが結構ある。
• USB-C搭載は、充電もモニタ出力も一本で兼ね備えていて、スッキリする(ノートPC)

デメリットは、まだ出たばっかりなので結構高いことと、給電能力が低く、PCを充電することができないモニタ&PCの組み合わせもあるようです。
また、ゲーム機と接続する場合も確認しておいたほうがいいです、まだ主流なハード側がUSB-Cではないので、もちろんHDMIぐらいはどんなモニタにもついているはずですが、後述する劣化HDMIの可能性もあるかもしれないからです。
また、ケーブルもUSB-Cのケーブルはほんとにピンキリだから、モニターメーカーは絶対ケーブルを付属させるはずなので(手持ちの糞USB-Cケーブルで映らんというクレームを避けるため)4K 60Hz には一番近いとおもう。

ま、結局買ってないから推測なんだけどね。

お値打ちモデルなら、DisplayPort

HDMIだと 4K60Hz が 30Hz になるんですぅ と投稿するとだいたい「ケーブルがHDMI 2.0のやつか確認しろや」と返されるとおもいますが、ここ5年ぐらいに買ったHDMIケーブルを使っているのであればケーブル変えてもたぶん意味ないっす。HDMI1.4と2.0の違いって、物理構造が違うのではなく、規定の速度が出るか出ないかで認定がついてるだけのようです。なので、1.4というカタログスペックで絶対4K60Hzができないとは限りません。やったことないから断定はできないけど、10年前ぐらいのケーブルだと、帯域不足で4Kを映すことすらできないとおもうのでリフレッシュレートどころの話ではなくなるはず。

比較的安価に手に入る4Kモニタは、HDMIポートとDisplayPort側でできる機能を制限してたりします。私の買ったやつがまさにそれで、2018年製のスペック番長な安物です(もちろん4K60Hz対応とデカデカとかいてある)。マニュアル見たところFreeSyncはHDMI接続では有効ではないと書いてあります。例によって「HDMIポートに接続したら30Hzになっちゃったよ」でググると、ケーブル交換しろっていうやつがほとんどだったけど、「イカれてることだが、モニタ側のHDMIポートで制限されてる」という投稿を見つけて、なるほどとおもった。

なんでメーカーは劣化HDMIポートをつけるのか？

HDMIをつけると上納金を納めないといけないらしく、対してDisplayPortにはそれがないその時点でPrimaryはDisplayPortになる(だからデスクトップは黙ってDisplayPort使え)。かといって、HDMI自体をなくしてしまうと流石に売れないだろうということで、劣化でもHDMIをつけているのだろうと推測。メーカーの立場から言うと、「劣化だろうがHDMIついてるんだから、ありがたく思え」ぐらいなんだろうと邪推。知るかそんなこと。

俺の記録

• まず、買ったモニタ自体にHDMIケーブルは付属しておらず、DisplayPortケーブルのやつだけ入ってた。こういうタイプだとまず劣化HDMIだと思う。
• で、とりあえず手持ちのHDMIケーブル、規格は1.4までのやつをとりあえずぶっ刺してみたら、30Hzになった。
• おれは、Win/Linux/Mac(全部ノートね)を持っているが、どれでやってもこれは変わらなかった。 MacはHDMI直がないので、USB-C変換コネクタを使ってます。
• そのあとPremium認定のついたHDMI2.0ケーブルを買ったが、これも全機種NG(30Hz)だった。つまりモニタ側のポートがだめなんで30Hzしか出ない
• で、DisplayPort->USB-Cのケーブルを買ったところ Win/Linuxは問題なしに60Hzいった
• Macは30Hz止まりでまじかーと思ったが、前述のMac側のモニター設定でディスプレイのデフォルトに戻すと「あれ、なんかマウスカーソルの残像が少ないぞ！これ60Hzじゃね？」と思ってモニタ側の入力Infoみたら晴れて 60Hzになってた。

30Hzと60Hzって違いわかるのか？

ゲームとかやると流石にわかると思うが、コード書いたりする分には30Hzでもいいんじゃねとは確かに思う。
目が疲れにくいとも言われているが、まだちょっとわからない。マウスカーソルを動かしたときに30Hzはちょっと違和感は感じる。
ここまで書いといてあれだが、俺は30Hzでもなんとか我慢できる。けど60Hzってでたときは嬉しかったなー

最近流行りのワンイシューってやつに見せかけてちょっと寄り道します。タイトルの通りですが、Data Studio の知名度や、GASについて色々気づいた点も触れます。実は応用の効く内容です。

Google Data Studio ってなによ？

Googleが提供しているBIツールです。無料です。 正確には今は Google Data Portal というらしいですが、ググラビリティーが低いので、Data Studio で書きます。

メジャーなパブリッククラウドはたいていBIツールを持っていますが、無料ということも有りはっきり言ってかなりプアです。ただし、無料の割には結構やれるので、私の周りにもファンはいます。

中立的な評価とは言えないかもしれませんが、だいたい下記に書いてあることに賛同します。

https://www.holistics.io/blog/google-data-studio-pricing-and-in-depth-reviews/

BIツールを入れるとなったら、誰が編集可能で、誰が閲覧だけでとか、ユーザーレベルごとにライセンス料金が異なるとか、結構な面倒事がありますが、無料でそれこそGoogle Docsとかと同じ感覚で使えるので敷居は低いです。私はBI入門レベルなので、偉そうなことは言えませんが、これで感じをつかむのはいいかもしれません。

今回やること

1. Data Studio のデータコネクタを自作する
2. GASのソースをCLIで更新する
3. Data Studio でAthenaのデータを参照する(ようは作ったコネクタを使う)

その前に種明かし
今回のネタはGitHubでたまたま見つけたものを使うだけです。他人の褌で遊ぶだけです。わかってらっしゃる人は下のリンクを辿って貰えばOKで、このエントリの内容を読むのは時間の無駄です。神に感謝しましょう！

github.com

データコネクタの自作

随分と敷居の高いことのように見えますが、結構かんたんです。 すごく丁寧に書いてくれているので、下記を読みましょう。

https://codelabs.developers.google.com/codelabs/community-connectors

GASの組み方(仕様、インターフェース)と、参照のしかたが書いてあります。

GASのソースをCLIで更新する

clasp という謹製ツールができています！やったぜ！ 使い方はググってください。勘で使えるレベルだと思いますが、Web上のコードとローカルのコードが上書きされるだとかディレクトリの配置だとかは調べたほうがいいかも。ローカル上のファイル拡張子は.js で問題なし、このツールがPush時にgsに変換されます。

とりあえず手順だけ書きます。意味とかは自分で考えてください。

# とりあえず git clone とかで上記 datastudio-aws-athena-connector のコードを取ってくる
clasp login #初回ログイン
clasp create # standalone えらぶ エラーでコケたらメッセージ読む
vim .clasp.json

{"scriptId":"xxxxxxxxxxxxxx",
"rootDir": "src"}

clasp push
clasp deploy #出てくるIDぽいのメモっとく

Data Studio でAthenaのデータを参照

自作のコネクタを指すときに、clasp deploy の結果のIDを貼り付けます。

あとはよくご存知のCredentialsとかを入れて、データ参照できれば完了

脇道

aws.js(gs) について

今回の収穫の一番大きいのはこれです。できるのはわかっていたけど、こんなに小さくaws-api叩くのに最低限だけのセットを実装されていてこれはナイス。以前aws-sdk for javascriptを動かそうとしていたけど、XHRの実装がGASには無いので、これのラッパーかぁ、きついなと思って諦めた記憶がある。
まあ、そうだよね、これだけあれば動くよね。あとはテメエで aws api をググってなんとかしろやってことで。

clasp便利

これはいい！早いうちに決定版が出ないものかと思っていたけどようやくですな。helpとかも見てほしいけど、logs とか使えそう。
サーバーレスはデプロイ方法がまだ定まってないとずっとずっと言われているけど、少なくとも私には 大体こんな感じ で通用し、違和感なくコマンドが打てる。書いててただのポエム感もするが、世の中の大体こんな感じから大きく乖離していないと思うし、世の中の求めるものが少しずつ定まってきたと感じる。

data studio の進化

進化してると思います。出始めの印象はパブリッククラウド各社がBI出したんでとりあえずウチもってところだろぐらいでしたが、ちゃんと進化しててびっくりした。2テーブルをデータソースでくっつけたりとか昔はできなかった記憶。機能もバリバリではないものの、少しずつ追加されていて、有料版も見据えているのかもしれない。ちゃんとそだてる気、あるんだ。。と実感。