こんにちは、今回はGitHubのPull Requestへのアサインを自動化するツール
「github-dice」を作成したお話です。

背景

GitHubのPull Requestベースの開発をする際、コードレビューはとても大事な工程の一つです。

よくあるコードレビューは、 技術力の高い/システムの理解度が深い/ベテラン のメンバーが、
技術力の低い/システムの理解度の浅い/若手 のメンバーが書いたコードをレビューするようなやり方かなと思います。

しかしコードレビューは、レビューを受ける側(レビュイー)にとってとても良い成長の機会ですが、
同時にレビューをする側(レビュアー)にとっても良い成長の機会となります。 自分より実力の高い人の書いたコードをレビューすることで、
新しい知見を得て、技術力の向上に繋げることができます。
システムの理解の深い人間が増えることは、システムの属人性を減らすことにも繋がるでしょう。

そこで、僕の所属しているチームでは、技術力/システムの理解度/在籍期間等に関係なく、
チームのメンバーが均等にレビュアーの機会を経験できるような運用を行っています。

github-dice

github.com

github-diceは、GitHubのPull Requestへのレビュアーのアサインを自動化するためのツールです。
あらかじめ指定したTeamのメンバーから、サイコロを振るようにランダムにレビュアーを選出しアサインします。

導入方法、使い方はREADMEに記載の通りです。
Golang製のツールなのでバイナリを配置するだけで使用できます。
github-diceを使用すると、以下のようにコメントと共にレビュアーがアサインされます。
(オプションで起票者を同時にアサインすることもできます。)

尚、-q, --query オプションで検索クエリを書き換えられるので、
Pull Requestだけでなく、Issueを自動アサインの対象にすることも可能です。

終わりに

技術的知見があまりなく、業務用件の理解も浅いコードをいきなりレビューするのはそれなりに負担が高いです。
「チームのメンバーが均等にレビュアーの機会を経験できるように」という方針だけ立てて
あとは各メンバーの自主性に任せるというやり方では結局うまく回らなそうだと考え、 ランダムにレビュアーを選出し機械的にアサインをするというアプローチをとりました。

自信のないときにはしっかり他のメンバーのサポートも受けられる体制も合わせた運用をすることで、
過度に心理的, 技術的な負荷のかかるレビューをしなければいけない状況を避けられるようにしています。 (僕も大いに助けられています。)

実際に半年ほど運用を続けていますが、 自分が直接は触らないようなコードの理解も深まり、
最初は大きかった負担もだんだん小さくなっていくのを感じています。

以上、簡単ですがgithub-diceの紹介でした。
ぜひ使ってみてください。Pull Requestもお待ちしております。

余談

先日、GitHubはPull Requestに対してAssigneesとは別にReviewersを割り当てられるようになりました。
https://github.com/blog/2291-introducing-review-requests

ちょうどこの記事を書いているタイミングで、このReviewersに対するAPIもEarly Accessが開始されました。
https://developer.github.com/changes/2016-12-16-review-requests-api/

github-diceも近いうちにこの機能に対応しようと考えています。

前置き

僕がインフラを管理している環境では、その規模の大小は様々ですが14個のJenkinsが稼働しています。
それぞれのJenkinsでは、thinBackupによるバックアップが動いているので、障害時にも復旧ができる...はずでした。

現状の設定を確認してみると、

• thinBackupによるバックアップが正しく動いている: 4環境
• thinBackupは動いているが、正しく設定されていない(保持世代数が設定されていない等): 2環境
• thinBackupの設定がされていない: 8環境

という状態でした。

運用の整理されていない状態で利用するチームが増えたため、
適切に設定の自動化がされておらず、手作業によるバックアップの設定をするのが常態化してしまっていたのが原因です。
このような状態は、全く認識してなかったわけではなく、 いわゆる "Elephant in the room." となっていたのですが、
今回はこの問題に着手したお話です。

適切な手段の検討

Jenkinsの環境構築自体(RPMのインストール, データディレクトリの作成等)は、Puppetによるプロビジョニングができるようになっています。
バックアップの自動設定を実現する上でまず考えられるのは、
このPuppetによるプロビジョニングに プラグインのインストール プラグインの設定 を含めてしまうという方法です。
しかし、以下のような観点からこの方法をとるのはやめました。

• 現在稼働しているJenkinsのバージョンが多岐に渡る
  • 全環境で(それは現時点だけでなく新しいバージョンのJenkinsが導入された時にも)問題なく動くthinBackupのバージョン/設定を選定するのはなかなか大変そうです。
  • JenkinsのバージョンごとにthinBackupの設定を作るのもよいですが、それはそれで管理が大変なのであまり好ましくありません。
• 実はthinBackupだけではバックアップとして不完全である。
  • thinBackup導入時は、Jenkinsが稼働しているのはAWS環境のみでした。
  • AWS環境は、thinBackupの他に日次でEBSのスナップショットを自動取得する構成になってるため、これらを合わせて十分なバックアップとなっているという想定でした。
  • しかし現状、Jenkinsはオンプレミス環境でも稼働しています。オンプレミス環境では、thinBackupのバックアップを、別ホスト等に移しておく必要があります。

ということで、なにかよさそうな別の方法を検討することにしたのですが、一旦やりたいことを整理してみました。

• Jenkinsにおいてデータ破損等のトラブルが発生した時、その設定/プラグイン/ビルドの履歴等が復元できる状態にしておく必要がある。
• バックアップデータは、Jenkins稼働ホストに置いておくだけではなく、ある程度信用のできる外部ストレージに転送する必要がある。
• それなりにデータサイズの大きいJenkinsにも対応できるように、毎回フルバックアップするのではなく、差分バックアップができるとよい。
• Jenkinsの設定には機微な情報が含まれるケースもあるので、適切な方法で暗号化できる手段があるとよい。
• 復元のタイミングは任意である必要はなく、「前日のXX時」程度のレベルでよい。
• いわゆるバックアップの一貫性もそこまで強く求められるものではない。
• バックアップの自動設定をしたいので、Puppetによるプロビジョニングがしやすい構成になるとよい。

イメージとしてはあるバイナリ1つと設定ファイル1つ程度で、

#バックアップ
$JENKINS_HOMEをtarで固めて -> (必要であれば)適切な方法で圧縮/暗号化して -> S3に転送

#リストア
S3からファイルを取得 -> (必要であれば)圧縮/暗号化を解除 -> $JENKINS_HOMEに展開

くらいのことができると良さそうだなという印象です。

resticによるバックアップ

前述したような要件を持つだけのプログラムであれば、自作しても大した手間ではないのですが、
おそらく世の中には同じような要件はいくらでもあるだろうということで探してみたところこんなものがありました。

https://github.com/restic/restic

• Golang製のバックアップツール (≒ビルドしたバイナリをpuppetで配るだけでよい。)
• バックアップをS3に転送することができる
• 差分バックアップに対応
• バックアップの暗号化に対応

あたりが選定の要因です。

使い方のイメージはドキュメントを読んでもらうと良いと思います。
https://restic.readthedocs.org/en/v0.1.0-doc/Manual/#buildinginstalling-restic

restic init, restic backupを実行するための、簡単なシェルスクリプトを作成し、
定期的に実行することで、Jenkinsのカジュアルなバックアップを実現しました。

本日、AWSがSSL/TLS証明書のマネージドサービスをリリースしたので早速使ってみました。
New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS | AWS Official Blog

リリース情報、ドキュメントより

ACM takes care of the complexity surrounding the provisioning, deployment, and renewal of digital certificates

証明書のプロビジョニング, デプロイ, 更新を管理してくれるとのこと。

Certificates provided by ACM are verified by Amazon’s certificate authority (CA)

AmazonのCAによってベリファイされた証明書を発行できるとのこと。

SSL/TLS certificates provisioned through AWS Certificate Manager are free.

証明書の発行/管理自体に費用はかからないそうです。

You can use AWS Certificate Manager certificates only with Elastic Load Balancing and Amazon CloudFront.

ELBもしくはCloudFrontでしか使えないとのこと。証明書の秘密鍵をダウンロードすることはできないようですね。

発行してみた

• 詳細な手順はドキュメントに書いてあるので割愛。
• ドメイン認証の方法は現状メールのみ。(Whoisの管理者アドレスに認証用メールが送られてくる)
• 発行した証明書の主な仕様
  • Signature Algorithmはsha256WithRSAEncryption
  • 秘密鍵の鍵長は2048bit
  • FQDNを複数指定した場合はSubject Alternative Name (SANs)に含まれる
• 実際に発行した証明書はこちら。

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            0a:33:56:0e:38:84:ab:1d:23:bb:7f:fa:62:e9:25:99
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Amazon, OU=Server CA 1B, CN=Amazon
        Validity
            Not Before: Jan 22 00:00:00 2016 GMT
            Not After : Feb 22 12:00:00 2017 GMT
        Subject: CN=XXXXX.me
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:86:6a:b3:f3:ce:38:6d:26:31:d1:94:cc:c3:62:
                    ..snip..
                    d4:e6:00:4f:28:43:1c:5a:4a:40:80:6a:3f:bd:14:
                    38:95
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Authority Key Identifier:
                keyid:59:A4:66:06:52:A0:7B:95:92:3C:A3:94:07:27:96:74:5B:F9:3D:D0

            X509v3 Subject Key Identifier:
                6C:00:94:64:9B:FD:6A:06:1D:B4:55:FC:BD:4A:19:08:D4:C6:38:39
            X509v3 Subject Alternative Name:
                DNS:XXXXX.me, DNS:*.XXXXX.me
            X509v3 Key Usage: critical
                Digital Signature, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 CRL Distribution Points:
                URI:http://crl.sca1b.amazontrust.com/sca1b.crl

            X509v3 Certificate Policies:
                Policy: 2.23.140.1.2.1

            Authority Information Access:
                OCSP - URI:http://ocsp.sca1b.amazontrust.com
                CA Issuers - URI:http://crt.sca1b.amazontrust.com/sca1b.crt

            X509v3 Basic Constraints: critical
                CA:FALSE
    Signature Algorithm: sha256WithRSAEncryption
        99:ec:47:81:fc:61:55:aa:c7:91:aa:d2:d5:2d:29:68:cf:1c:
        ..snip..
        43:6d:d2:6f
-----BEGIN CERTIFICATE-----
MIIEWTCCA0GgAwIBAgIQCjNWDjiEqx0ju3/6YuklmTANBgkqhkiG9w0BAQsFADBG
..snip..
QifBNlq9ofPYQ23Sbw==
-----END CERTIFICATE-----

有効性の確認

証明書のチェーンは以下のとおり

Certificate chain
 0 s:/CN=XXXXX.me
   i:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
 1 s:/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon
   i:/C=US/O=Amazon/CN=Amazon Root CA 1
 2 s:/C=US/O=Amazon/CN=Amazon Root CA 1
   i:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./CN=Starfield Services Root Certificate Authority - G2
   i:/C=US/O=Starfield Technologies, Inc./OU=Starfield Class 2 Certification Authority

手元の環境で確認すると、Firefox, OSXのキーチェーン共に有効なCA認証局からのチェーンとして扱われていた。

• FireFox (43.0.4)
  

• OS X (10.9.5) ※古い環境でごめんなさい...
  

リリースの記事にもある通り、SSL/TLS証明書の管理はたしかに面倒ですよね。
最近ではLet's Encrypt(https://letsencrypt.org/)等も話題になっていますが、
これらをうまく使って余計な手間をなくしていきたいものです。

※2016/1/22 17:12 追記
Amazonみたいな1企業が(中間)CA認証局を持てるってすごいなとおもってたら2015年6月にこんな記事が出てた。
Amazon wants to be your SSL certificate provider, applies to be a root Certificate Authority - GeekWire