West US 2 / UK West は新規デプロイ停止

デプロイ完了していた West US 2 のクラスターが Failed になって止まっていたので、新しくデプロイしようとしても必ず失敗するとか、まあいろいろとはまっていました。

調べていたら GitHub にアナウンスが上がっていました。

https://github.com/Azure/AKS/blob/master/annoucements/service_outage_2017-11-09.md

何らかの障害で West US 2 は新規のクラスター作成を受け付けていません。UK West はおそらくキャパシティの問題で、こちらも作成は出来ない状態となっています。

既に作成済みのクラスターがある場合でも、ステータスが Failed になっている場合は作り直す必要があるかもしれません。自分の場合はどうしても復活しなかったので作り直しました。

失敗後に同じ名前の AKS を作ると挙動が怪しい（気がする）

適当に作成したリソースグループに対して West US 2 に AKS をデプロイしようとして、キャパシティの問題でエラーになった後、再度同じ名前でデプロイすると別のエラーになってました。

リソースグループを新しく作っても変わらなかったですが、AKS を別名にすると通った気がしました。

対応リージョンに East US / West Europe が追加

パブリックプレビューとして公開された時には West US 2 と UK West しか選べませんでしたが、最近 East US と West Europe が追加されました。

https://github.com/Azure/AKS/blob/master/preview_regions.md

Hyper-V Containers が使いたいので Nested Virtualization を有効に出来る Dv3 が使えるリージョンを選ぶ必要がありましたが、East US と West Europe は両方とも対応してるみたいです。

今新しく AKS を作ろうとすると、そもそも UK West は選べなくなってました。

もうちょっと日本に近い場所にデプロイされると嬉しいのですが、時間はかかりそうな気がしています。East Asia か Southeast Asia なら来るかもしれません。

ルートテーブルにルートが追加されない時がある

Windows 限定っぽいですが、VM などのデプロイが完了しているにもかかわらず、ルートテーブルに新規作成した VM 向けのルートが追加されず、ノードとして認識されない現象が発生しました。

しかも、上手くいったりいかなかったりするので非常に厄介です。ほかにも Custom Script Extension の実行に失敗したり、そもそもデプロイが完了しなかったりといろいろありました。

対処方法としては上手くいくまで VM を作り直すぐらいしかないです。

Kubernetes 1.7.9 / 1.8.2 に対応

ポータルからは 1.7.7 と 1.8.1 しか選べない Kubernetes のバージョンですが、内部的には 1.7.9 と 1.8.2 に対応しているようで、ARM を使って設定値を変えるとアップデートされます。

ARM で upgradeprofile を開くと、対応しているバージョンを取得できます。

ちゃんと Windows にも対応していることが分かります。公式発表は近いのかも。

ARM Explorer でバージョンを書き換えたところ、ちゃんと Kubernetes 1.8.2 にアップデートされたことが確認できました。Windows と Linux の両方ともが自動でアップデートされます。

ちなみにアップデートは VM を作り直すという方法なので、多少時間はかかります。

今回のケースについて

実際に仕事で Cosmos DB を使ってたわけですが、コレクション数が 10 ぐらいの中規模ぐらい？なアプリケーションでした。Cosmos DB は非正規化されたデータが入るので、SQL の時みたいにコレクションの数が規模に直結しないのが特徴ですね。

公式ドキュメントが揃っているので、この辺りを読んで事前に知識を入れておきました。

Cosmos DB はコレクション間での JOIN とか出来ないですし、LINQ で書いたり SQL で書いたり、UDF やストアドを使ったりといろいろありそうなので、あまりガッツリとラップしない方が良いなと考えました。

Document を用意

Cosmos DB のドキュメントには必ず id が存在するのと、Optimistic Concurrency 用に Etag も欲しかったので、全てのドキュメントが継承する AbstractDocument クラスを用意しました。

相変わらず名前付けが適当ですね。作成・更新日時が欲しかったので日付型を 2 つ用意しておきました。

public abstract class AbstractDocument
{
    [JsonProperty("id")]
    public string Id { get; set; }

    [JsonProperty("createdOn")]
    public DateTime CreatedOn { get; set; }

    [JsonProperty("updatedOn")]
    public DateTime UpdatedOn { get; set; }

    [JsonProperty("_etag")]
    public string Etag { get; set; }
}

Cosmos DB に保存するクラスは AbstractDocument を継承するようにします。Entity Framework でも同じような作りにしていた気がするので、個人的にはこういう設計にするのが好きなのかも知れません。

実際に MemberDocument というクラスを用意しました。名前の通り会員の情報を持つクラスです。

public class MemberDocument : AbstractDocument
{
    [JsonProperty("email")]
    public string Email { get; set; }

    [JsonProperty("lastName")]
    public string LastName { get; set; }

    [JsonProperty("firstName")]
    public string FirstName { get; set; }

    [JsonProperty("prefectureId")]
    public int PrefectureId { get; set; }
}

実装とはあまり関係ないですが、全てのプロパティの定義に JsonProperty 付けるかどうかは好みの問題という気もします。とりあえず今回は camelCase に合わせました。

Repository を作成

Entity Framework の時に割と使った気がする Repository ですが、Cosmos DB の場合は用意した方が良いなと今回実際に書いていて思いました。面倒だったのでインターフェースまでは最初から用意しなかったですが、ASP.NET Core の DI と相性は良い感じがしました。

これも Document と同様に AbstractRepository クラスを用意しました。基本的な CRUD 操作と DocumentDB API の操作に必要な情報を提供します。Upsert の方が良いかも知れません。

public abstract class AbstractRepository<TDocument> where TDocument : AbstractDocument
{
    protected AbstractRepository(DocumentClient documentClient, string databaseId, string collectionId)
    {
        DatabaseId = databaseId;
        CollectionId = collectionId;

        Client = documentClient;
    }

    protected string DatabaseId { get; }
    protected string CollectionId { get; }

    protected DocumentClient Client { get; }

    public async Task CreateAsync(TDocument document)
    {
        document.CreatedOn = DateTime.UtcNow;

        var response = await Client.CreateDocumentAsync(UriFactory.CreateDocumentCollectionUri(DatabaseId, CollectionId), document);

        document.Id = response.Resource.Id;
    }

    public async Task<TDocument> GetAsync(string id, string partitionKey)
    {
        try
        {
            var response = await Client.ReadDocumentAsync<TDocument>(UriFactory.CreateDocumentUri(DatabaseId, CollectionId, id), new RequestOptions
            {
                PartitionKey = new PartitionKey(partitionKey)
            });

            return response.Document;
        }
        catch (DocumentClientException ex) when (ex.StatusCode == HttpStatusCode.NotFound)
        {
            return default(TDocument);
        }
    }

    public async Task UpdateAsync(TDocument document)
    {
        try
        {
            document.UpdatedOn = DateTime.UtcNow;

            var condition = new AccessCondition
            {
                Condition = document.Etag,
                Type = AccessConditionType.IfMatch
            };

            await Client.ReplaceDocumentAsync(UriFactory.CreateDocumentUri(DatabaseId, CollectionId, document.Id), document, new RequestOptions { AccessCondition = condition });
        }
        catch (DocumentClientException ex) when (ex.StatusCode == HttpStatusCode.PreconditionFailed)
        {
            // optimistic concurrency に失敗
            throw;
        }
    }

    public async Task DeleteAsync(TDocument document, string partitionKey)
    {
        try
        {
            var condition = new AccessCondition
            {
                Condition = document.Etag,
                Type = AccessConditionType.IfMatch
            };

            await Client.DeleteDocumentAsync(UriFactory.CreateDocumentUri(DatabaseId, CollectionId, document.Id), new RequestOptions
            {
                AccessCondition = condition,
                PartitionKey = new PartitionKey(partitionKey)
            });
        }
        catch (DocumentClientException ex) when (ex.StatusCode == HttpStatusCode.PreconditionFailed)
        {
            // optimistic concurrency に失敗
            throw;
        }
    }
}

何の変哲もない、基本的な実装のみ提供しています。特に説明も要らない気はしますが、Create 時に生成された Id を呼び出し元に反映するようにしました。この辺りは Entity Framework 的ですね。

更新処理はデフォルトで Optimistic Concurrency を有効にしています。同時実行制御を無効にする必要って正直あまりないかなと考えたので、こういう実装にしました。本来は専用の例外を用意するべきでしょうね。

そして先ほど作成した MemberDocument に対する Repository を作成してみます。

public class MemberRepository : AbstractRepository<MemberDocument>
{
    public MemberRepository(DocumentClient documentClient, string databaseId)
        : base(documentClient, databaseId, "Member")
    {
    }

    public async Task<MemberDocument> GetByEmailAsync(string email)
    {
        var feedOptions = new FeedOptions
        {
            MaxItemCount = 1,
            EnableCrossPartitionQuery = true
        };

        var documentQuery = Client.CreateDocumentQuery<MemberDocument>(UriFactory.CreateDocumentCollectionUri(DatabaseId, CollectionId), feedOptions)
                                    .Where(x => x.Email == email)
                                    .AsDocumentQuery();

        return (await documentQuery.ExecuteNextAsync<MemberDocument>()).FirstOrDefault();
    }
}

コンストラクタでは DI で DocumentClient が注入されることを期待していて、databaseId は IOption とかで渡せば良いと思います*1。会員情報というのはメールアドレスで引きたいことが多いと思うので、専用のメソッドを追加しています。

パーティションとかはサンプルに付き検討してないので、とりあえず EnableCrossPartitionQuery = true でお茶を濁しました。この場合はパーティション固定でも良いかも知れません。

使い方など

ASP.NET Core アプリケーションで使う場合には DI を使って簡単に対応できます。ConfigureServices で DocumentClient と作成した Repository を Singleton として追加します。

本当なら接続先やプライマリキーは IConfiguration から取るようにしましょう。

public void ConfigureServices(IServiceCollection services)
{
    services.AddSingleton(provider =>
        {
            var connectionPolicy = new ConnectionPolicy
            {
                ConnectionMode = ConnectionMode.Direct,
                ConnectionProtocol = Protocol.Tcp
            };

            return new DocumentClient(new Uri("https://xxxx.documents.azure.com:443/"), "PRIMARYKEY", connectionPolicy);
        });

    services.AddSingleton<MemberRepository>();

    services.AddMvc();
}

必要なクラスを DI に登録したので、後はコントローラのコンストラクタで Repository を受け取るだけです。

テストなので大したコードではないですが、Repository を使うことでコレクション単位でのアクセスは扱いやすくなりました。裏側が SQL Database に変わっても違いはあまりないでしょう。

public class DemoController : Controller
{
    public DemoController(MemberRepository memberRepository)
    {
        _memberRepository = memberRepository;
    }

    private readonly MemberRepository _memberRepository;

    public async Task<IActionResult> Index()
    {
        var kazuakix = await _memberRepository.GetByEmailAsync("me@kazuakix.jp");

        kazuakix.LastName = "syachiku";

        await _memberRepository.UpdateAsync(kazuakix);

        return View();
    }
}

実際に仕事で Cosmos DB を使った時には Repository の上に Service 層を追加する形で実装しました。最近の仕事の中では上手く実装できた方かなと自分では思ってますが、次はもっと上手く作れそうです。

とまあ、長々と書いてきましたが、こういうのは既にみんな作ってますよね。私の Cosmos DB の初心者っぷりを発揮したところで、今回は終わりにしたいと思います。

ASP.NET Core アプリケーションのビルド

Visual Studio 2017 で Docker サポートを有効にしてプロジェクトを作ると、Docker Compose を利用したビルド用の yaml がいくつか追加されます。ちゃんと CI 用の定義も用意されているので、これを使います。

Docker Compose がインストールされている環境であれば、CI 用の定義を読み込んで docker-compose up すればアプリケーションのビルドが完了します。非常にシンプルで良いですね。

出力先は /obj/Docker/publish 固定になっていますが、ここは絶対に変更してはいけないです。

version: '3'

services:
  ci-build:
    image: microsoft/aspnetcore-build:1.0-2.0
    volumes:
      - .:/src
    working_dir: /src
    command: /bin/bash -c "dotnet restore ./WebApplication20.sln && dotnet publish ./WebApplication20.sln -c Release -o ./obj/Docker/publish"

ここで分かりにくいのが microsoft/aspnetcore-build:1.0-2.0 というタグのイメージを使わないと Visual Studio の Docker 向け SDK がインストールされておらず、ビルド時にエラーとなってしまうので注意。

素直に Visual Studio 2017 で生成されたまま使うのが正解という話でした。

VSTS では Docker Compose タスクを追加して、Action を "Run service images" に、Docker Compose File を docker-compose.ci.build.yml に変更するだけです。

ルートにあるので ** は必要ないですが、あっても害はないので追加したままにしてます。

Docker Image のビルドと ACR へのプッシュ

アプリケーションのビルド後は Docker Image を作成します。デフォルトで生成されている Dockerfile は、ちゃんと Docker Compose を使ってビルドされた前提のパスになっているので簡単です。

FROM microsoft/aspnetcore:2.0
ARG source
WORKDIR /app
EXPOSE 80
COPY ${source:-obj/Docker/publish} .
ENTRYPOINT ["dotnet", "WebApplication20.dll"]

VSTS では Docker タスクを追加して、Action を "Build an image" にするだけです。Dockerfile のパスは最初から適切な値になっているはずなので、特に弄る必要はありません。

Docker Image のビルド後はそれを ACR にプッシュする必要がありますが、これも Docker タスクを追加して Action を "Push an Image" に変えるだけで完了です。GUI での設定なので、あまりやることがないですね。

App Service へのデプロイ

ASP.NET Core アプリケーションが含まれている Docker Image はここまでで ACR までプッシュされているはずなので、最後は Web App for Container にデプロイを行います。

VSTS には非常に便利な Azure App Service Deploy というタスクがあるので、これを利用します。説明文をよく読むと Linux にも対応していると書いてありました。

App Service on Linux では Staging スロットを使ってスワップする運用が必須なので、デプロイ先のスロットの選択が簡単に行えるのは非常に良いです

CircleCI で同じようにデプロイした時はサービスプリンシパルを用意したり、Azure CLI をインストールしたりと手間がかかりましたが、VSTS だとポチポチと設定すれば終わるのが楽ですね。

今回作成した VSTS のビルド定義は上のようになりました。ビルドからデプロイに必要なのは 4 ステップだけというシンプルさです。App Service へのデプロイタスクのおかげですね。

ビルドを行いデプロイを確認

最後にちゃんとビルドを実行して、Web App for Container にデプロイされることを確認しておきました。

VSTS は Docker Image をキャッシュしてくれないようで、アプリケーションのビルドに地味に時間がかかりましたが、それでも 3,4 分で完了しました。aspnetcore-build とかは予め持っておいて欲しいですね。

Azure Portal で staging スロットにデプロイされている Docker Image を確認すると、ちゃんとビルドされたバージョンに切り替わっていました。

ここで ACR 扱いになっていない場合は、ACR の Admin User が有効になっていないか、Web App に ACR の情報が設定されていないかのどちらかです。予め設定しておく必要があります。

おまけ：自動でスワップを行って本番リリース

VSTS には App Service のスロットをスワップするタスクもあるので、これを使えば新しい Docker Image をデプロイした後、自動的にスワップを実行してリリースすることも出来ます。

Source slot を指定してビルドすれば、Production とスワップされて最新のビルドがリリースされます。

Windows 版の App Service では Auto Swap という機能がありましたが、同じことを Web App for Container でも実現できます。癖のあるデプロイ周りですが、便利に使っていきましょう。

Webhook はコンテナを再起動するだけ

Docker Hub や Azure Container Registry との連携用に用意されている Webhook は非常に単純な機能しか持っておらず、呼び出されたらコンテナを再起動するだけとなってます。

この挙動は Kudu の実装を見るとすぐにわかります。コンテナの再起動なので、毎回 Docker Image のタグを変更するような運用の場合は正しく動作しません。

タグを変える場合には Azure CLI を使ってコンテナイメージを切り替えるといった、これまで通りの処理が必要になります。CircleCI を使って実現する場合の例は以下の通り。

Docker Image のプッシュ先を ACR に変えるだけですが、サービスプリンシパルを作ったり、Azure CLI をインストールしたりと地味に面倒です。

Docker Image のタグは固定する

Webhook は設定を切り替えてくれることはないので、バージョン管理がそのままでは行えません。

仕方ないので App Service on Linux で Docker Hub や Azure Container Registry を使った CD を行う場合には、バージョン別のタグと latest を含めるようにします。

docker tag を使ってやれば良いだけです。バージョン別のタグを持っているので、最悪戻したい時には latest に push し直したり、設定からイメージを指定し直せばよいかなと思います。

latest タグを含めているので、App Service on Linux の設定からは latest を選びます。

この状態で Continuous Deployment を On にすると Azure Container Registry に Webhook が作成されます。今は Web App 名にハイフンが含まれていると上手く作成されないらしいので注意。

スコープとして Web App に設定した Image と Tag の組み合わせが設定されます。

この状態で latest タグに対してプッシュすると Webhook が実行されて、App Service on Linux 側でコンテナが再起動されます。このときに新しいイメージが pull されます。

なのでしばらくすると新しいコンテナが起動してデプロイが完了するという仕組みです。サービスプリンシパルや Azure CLI が必要なくなったので便利ですが、固定のイメージしか使えないのは少し不便だと思います。

Webhook のペイロードにはイメージの情報が含まれているので、それを読み取ってくれると思っていましたが当てが外れました。フィードバックしていきたい部分です。