Rundeck Community TIPSを集める場所

PagerDuty社 の Rundeck Community 情報をメモしてく

もともと Rundeck社が OSS+有償 で提供していた。後に、PD社が買収して 2022/12 現在にいたる。

v4.0 から製品名称・ラインナップ３種類となり、OSS版のみが当時の名称を残している

• Rundeck Community
• PagerDuty Process Automation OnPrem (旧 : Rundeck Enterprise)
• PagerDuty Runbook Automation (SaaS版 Rundeck Enterprise)

ここでは Community を使う上での各種メモを残す予定。

よく使うリンク

Rundeck Release Highlights | Rundeck Docs

• https://docs.rundeck.com/docs/history/

Rundeck Community Version History

• https://www.rundeck.com/community-downloads

Security Advisories

• https://docs.rundeck.com/docs/history/CVEs/

抑えておくべき基本情報

運用するにあたり、各所ででてくる気がするのでメモ

• Java 8 or 11 , Groovy
• Grails , Spring Framework
• Jetty
• Log4j
• Quartz
• Gradle

注意すべきバージョン間の差分

ほぼ毎月、新しいバージョンが出ているが、たまに大きな変更があるので注意。

• H2データベースの互換性がない , v.4.1.0
  • H2 バージョンアップにより、以前のバージョンとの互換性がなくなったため
  • こちらが詳しく、開発者提供のスクリプトなども提供あり
• アップグレード手順が必要 , to v4.1, v4.0, v3.4, v3.3.13, v3.3.4, v.3.3, v.3.2, v3.1
  • https://docs.rundeck.com/docs/upgrading/
• 新UIデザイン , v3.4.0

導入方法

以前は、Dockerが公式提供されてなかったけど、現在は公式であるみたい。

注意点は、パッケージングが変わると、各種設定ファイルなどの位置がかわったり、オススメの設定変更方法が変わる（warをWindows
で使うときには基本な設定がほぼ無いとか、コンテナだと環境変数設定するとか）。

Linux パッケージ

• rpm, deb

Java パッケージ （Windows向けもこれ）

• war

コンテナ

• Docker

PS deb で入れた場合、次のところに war が配置されてました

• /var/lib/rundeck/bootstrap/rundeck-4.8.0-20221110.war

設定ファイル

公式 > Configuration

jaas-loginmodule.conf

後述の realm.properties を認証のために読み込む。

デフォルトのモジュール org.eclipse.jetty.jaas.spi.PropertyFileLoginModule だと、realmファイル変更のたびにサービス再起動が必要。

realmファイルのホットリロード・自動読み込みが必要な場合には、次に変更。

• org.rundeck.jaas.jetty.ReloadablePropertyFileLoginModule

realm.properties

認証のユーザー名・パスワード・所属グループを設定する

デフォルトだと平文パスワードが書かれてるが、セキュリティ的に良くないですよね。。公式にはBCRYPT使えってあるので、それを真似するのが良い。

plain, MD5, CRYPT は避けろってあるのに、ファイルに残ってるのはいけてないかも（PRしなければｗ）

admin.aclpolicy

ACLポリシー定義のYAMLファイル

他にも *.aclpolicy_template が複数あるので参考にして、欲しいACLを作る。基本的には、グループに対してACLを割り振るべきだろうな（テンプレートもそうなってる）

なお、ファイルベースACLとは別に、GUIでもYAML直書きで設定は可能（この場合には、DBに保存されると思われる : Stored ACL Policies）。ごちゃまぜになるのも大変なので、どっちかに合わせたほうがいいのだろうけども。

※ファイルベースACLは、もしかするとサービス再起動が必要かも？（未検証）

注意すべき運用メモ

crontab書式 は Javaライブラリの Quartz形式

Linuxのcrontab とは、ちょいと違う

• 秒 分 時 日 月 曜日 年
• Seconds Minutes Hours Day-of-Month Month Day-of-Week Year
• ※年 は、任意のオプションなので記載なくてもOK

参考

• http://www.quartz-scheduler.org/documentation/quartz-2.2.2/tutorials/tutorial-lesson-06.html
• https://kdnakt.hatenablog.com/entry/2020/04/15/080000

プラグイン導入

プラグインの導入に再起動は必要？

Rundeckサービスの再起動なしで導入・アップデートが可能

プラグインの導入・アップデート手順

新規導入手順：

• plugin ファイル ( plugin.jar OR some-plugin.zip ) を Rundeck server の $RDECK_BASE/libext フォルダ に配置
• plugin ファイルの権限を他と合わせる （通常は rundeck:rundeck かな）
• plugin が有効になる
• Installed Plugin 画面で確認 （ギア > Plugins > Installed Plugins）

アップデート手順：

※公式には上書きすればOKとの説明がある。しかしRundeckの plugin ファイルには、バージョン番号が含まれるため、この方法が良いと判断。

• libext フォルダ にある古い plugin ファイルを削除
• libext フォルダ に前述の手順で新しい plugin ファイルを導入

参考

• Installing Plugins | Rundeck Docs
• https://docs.rundeck.com/docs/administration/configuration/plugins/installing.html#installation
• $RDECK_BASE/libext フォルダ
• /var/lib/rundeck/libext （ラズパイに deb で導入した場合）

Community 版を wget したい

こちらから war, rpm, deb等のパッケージをダウンロード可能

• https://packagecloud.io/pagerduty/rundeck

realm.properties に bcrypt でパスワード書く

起動時にキックされてる war ファイルを使うことで、記述に必要な暗号化されたパスワードがでてきます

$ java -jar rundeck-4.8.0-20221110.war --encryptpwd Jetty

Ubuntuにdebで入れた場合の例）

$ java -jar /var/lib/rundeck/bootstrap/rundeck-4.8.0-20221110.war --encryptpwd Jetty
Required values are marked with: *
Username (Optional, but necessary for Crypt encoding):
admin
*Value To Encrypt (The text you want to encrypt):
**********

==ENCRYPTED OUTPUT==
bcrypt: BCRYPT:$2a$10$iVi26v4YOUxgfMDw/nROTuarAmOfNa.e3xxxxxxxxxxxxxxxxxxx9
obfuscate: OBF:1bio1m0v1i9a1hho1w26xxxxxxxxxxxxxxxxxxxx
md5: MD5:e2d4d91d1d98xxxxxxxxxxxxxxxxxxxx
crypt: CRYPT:hakxxxxxxxxxX