1. Helm chart (Kubernetes)

1.1. 目的

本書では、Exastro IT Automation を利用する際に必要となる、Exastro Platform および Exastro IT Automation を導入する手順について説明します。

1.2. 前提条件

• クライアント要件

  動作確認が取れているクライアントアプリケーションのバージョンは下記のとおりです。

  表 1.217 クライアント要件

  アプリケーション	バージョン
  Helm	v3.9.x
  kubectl	1.23

• デプロイ環境

  動作確認が取れているコンテナ環境の最小要求リソースとバージョンは下記のとおりです。

  表 1.218 デプロイ環境

  リソース種別	要求リソース
  CPU	2 Cores (3.0 GHz)
  Memory	4GB
  Storage (Container image size)	10GB
  Kubernetes	1.23 以上

  警告

  要求リソースは Exastro IT Automation のコア機能に対する値です。同一クラスタ上に Keycloak や MariaDB などの外部ツールをデプロイする場合は、その分のリソースが別途必要となります。

  データベースおよびファイルの永続化のために、別途ストレージ領域を用意する必要があります。

  Storage サイズには、Exastro IT Automation が使用する入出力データのファイルは含まれていないため、利用状況に応じて容量を見積もる必要があります。

• 通信要件

  • クライアントからデプロイ先のコンテナ環境にアクセスできる必要があります。

  • Platform 管理者用と一般ユーザー用の2つ通信ポートが使用となります。

  • コンテナ環境からコンテナイメージの取得のために、Docker Hub に接続できる必要があります。

• 外部コンポーネント

  • MariaDB、もしくは、MySQL サーバ

  • GitLab リポジトリ、および、アカウントの払い出しが可能なこと

  警告

  GitLab 環境を同一クラスタに構築する場合は、GitLab のシステム要件に対応する最小要件を追加で容易する必要があります。

  Database 環境を同一クラスタに構築する場合は、使用する Database のシステム要件に対応する最小要件を定義する必要があります

1.3. インストールの準備

1.3.1. Helm リポジトリの登録

Exastro システムは、以下の2つのアプリケーションから構成されています。

Exastro の全ツールは同一の Helm リポジトリ上に存在しています。

• 共通基盤 (Exastro Platform)

• Exastro IT Automation

リポジトリ
https://exastro-suite.github.io/exastro-helm/

リスト 1.96 コマンド

# Exastro システムの Helm リポジトリを登録
helm repo add exastro https://exastro-suite.github.io/exastro-helm/ -n exastro
# リポジトリ情報の更新
helm repo update

1.3.2. デフォルト設定値の取得

投入するパラメータを管理しやすくするために、下記のコマンドから共通基盤 values.yaml のデフォルト値を出力します。

リスト 1.97 コマンド

helm show values exastro/exastro > exastro.yaml

exastro.yaml

# Default values for Exastro.
# This is a YAML-formatted file.
# Declare variables to be passed into your templates.
global:
  itaGlobalDefinition:
    name: ita-global
    enabled: true
    image:
      registry: "docker.io"
      organization: exastro
      package: exastro-it-automation
    config:
      DEFAULT_LANGUAGE: "ja"
      LANGUAGE: "en"
      CONTAINER_BASE: "kubernetes"
      TZ: "Asia/Tokyo"
      STORAGEPATH: "/storage/"
    secret:
      ENCRYPT_KEY: ""
    persistence:
      enabled: true
      accessMode: ReadWriteMany
      size: 10Gi
      volumeType: hostPath # e.g.) hostPath or AKS
      storageClass: "-" # e.g.) azurefile or - (None)
      # matchLabels:
      #   release: "stable"
      # matchExpressions:
      #   - {key: environment, operator: In, values: [dev]}
  gitlabDefinition:
    name: gitlab
    enabled: true
    config:
      GITLAB_PROTOCOL: "http"
      GITLAB_HOST: "gitlab"
      GITLAB_PORT: "80"
    secret:
      GITLAB_ROOT_TOKEN: ""
  itaDatabaseDefinition:
    name: ita-database
    enabled: true
    config:
      DB_VENDOR: "mariadb"
      DB_HOST: "mariadb"
      DB_PORT: "3306"
      DB_DATABASE: "ITA_DB"
    secret:
      DB_ADMIN_USER: ""
      DB_ADMIN_PASSWORD: ""
      DB_USER: ""
      DB_PASSWORD: ""
  pfGlobalDefinition:
    name: pf-global
    enabled: true
    image:
      registry: "docker.io"
      organization: exastro
      package: exastro-platform
    config:
      DEFAULT_LANGUAGE: "ja"
      LANGUAGE: "en"
      TZ: "Asia/Tokyo"
      PYTHONIOENCODING: utf-8
      PLATFORM_API_PROTOCOL: "http"
      PLATFORM_API_HOST: "platform-api"
      PLATFORM_API_PORT: "8000"
      PLATFORM_WEB_PROTOCOL: "http"
      PLATFORM_WEB_HOST: "platform-web"
      PLATFORM_WEB_PORT: "8000"
    secret:
      ENCRYPT_KEY: ""
    persistence:
      enabled: true
      accessMode: ReadWriteMany
      size: 10Gi
      volumeType: hostPath # e.g.) hostPath or AKS
      storageClass: "-" # e.g.) azurefile or - (None)
      # matchLabels:
      #   release: "stable"
      # matchExpressions:
      #   - {key: environment, operator: In, values: [dev]}
  keycloakDefinition:
    name: keycloak
    enabled: true
    config:
      API_KEYCLOAK_PROTOCOL: "http"
      API_KEYCLOAK_HOST: "keycloak"
      API_KEYCLOAK_PORT: "8080"
      KEYCLOAK_PROTOCOL: "http"
      KEYCLOAK_HOST: "keycloak"
      KEYCLOAK_PORT: "8080"
      KEYCLOAK_MASTER_REALM: "master"
      KEYCLOAK_DB_DATABASE: "keycloak"
    secret:
      KEYCLOAK_USER: ""
      KEYCLOAK_PASSWORD: ""
      KEYCLOAK_DB_USER: ""
      KEYCLOAK_DB_PASSWORD: ""
  itaDefinition:
    name: ita
    enabled: true
    config:
      ITA_WEB_PROTOCOL: "http"
      ITA_WEB_HOST: "ita-web-server"
      ITA_WEB_PORT: "8000"
      ITA_API_PROTOCOL: "http"
      ITA_API_HOST: "ita-api-organization"
      ITA_API_PORT: "8080"
      ITA_API_ADMIN_PROTOCOL: "http"
      ITA_API_ADMIN_HOST: "ita-api-admin"
      ITA_API_ADMIN_PORT: "8080"
  pfDatabaseDefinition:
    name: pf-database
    enabled: true
    config:
      DB_VENDOR: "mariadb"
      DB_HOST: "mariadb"
      DB_PORT: "3306"
      DB_DATABASE: "platform"
    secret:
      DB_ADMIN_USER: ""
      DB_ADMIN_PASSWORD: ""
      DB_USER: ""
      DB_PASSWORD: ""
  databaseDefinition:
    name: mariadb
    enabled: true
    secret:
      MARIADB_ROOT_PASSWORD: ""
    persistence:
      enabled: true
      reinstall: false
      accessMode: ReadWriteOnce
      size: 20Gi
      volumeType: hostPath # e.g.) hostPath or AKS
      storageClass: "-" # e.g.) azurefile or - (None)
      # matchLabels:
      #   release: "stable"
      # matchExpressions:
      #   - {key: environment, operator: In, values: [dev]}

exastro-it-automation:
  ita-api-admin:
    replicaCount: 1
    image:
      repository: "exastro/exastro-it-automation-api-admin"
      tag: ""
      pullPolicy: IfNotPresent
    extraEnv:
      PLATFORM_API_HOST: "platform-api"
      PLATFORM_API_PORT: "8000"

  ita-api-organization:
    replicaCount: 1
    image:
      repository: "exastro/exastro-it-automation-api-organization"
      tag: ""
      pullPolicy: IfNotPresent
    extraEnv:
      PLATFORM_API_HOST: "platform-api"
      PLATFORM_API_PORT: "8000"

  ita-by-ansible-execute:
    replicaCount: 1
    image:
      repository: "exastro/exastro-it-automation-by-ansible-execute"
      tag: ""
      pullPolicy: IfNotPresent
    extraEnv:
      EXECUTE_INTERVAL: "10"
      ANSIBLE_AGENT_IMAGE: "exastro/exastro-it-automation-by-ansible-agent"
      ANSIBLE_AGENT_IMAGE_TAG: ""
    serviceAccount:
      create: false
      name: "ita-by-ansible-execute-sa"

  ita-by-ansible-legacy-role-vars-listup:
    replicaCount: 1
    extraEnv:
      EXECUTE_INTERVAL: "10"
    image:
      repository: "exastro/exastro-it-automation-by-ansible-legacy-role-vars-listup"
      tag: ""
      pullPolicy: IfNotPresent

  ita-by-ansible-towermaster-sync:
    replicaCount: 1
    extraEnv:
      EXECUTE_INTERVAL: "10"
    image:
      repository: "exastro/exastro-it-automation-by-ansible-towermaster-sync"
      tag: ""
      pullPolicy: IfNotPresent

  ita-by-conductor-synchronize:
    replicaCount: 1
    extraEnv:
      EXECUTE_INTERVAL: "10"
    image:
      repository: "exastro/exastro-it-automation-by-conductor-synchronize"
      tag: ""
      pullPolicy: IfNotPresent

  ita-by-menu-create:
    replicaCount: 1
    extraEnv:
      EXECUTE_INTERVAL: "10"
    image:
      repository: "exastro/exastro-it-automation-by-menu-create"
      tag: ""
      pullPolicy: IfNotPresent

  ita-database-setup-job:
    image:
      repository: ""
      tag: ""
      pullPolicy: IfNotPresent

  ita-web-server:
    replicaCount: 1
    image:
      repository: "exastro/exastro-it-automation-web-server"
      tag: ""
      pullPolicy: IfNotPresent

exastro-platform:
  platform-api:
    image:
      repository: "exastro/exastro-platform-api"
      tag: ""

  platform-auth:
    extraEnv:
      # Please set the URL to access
      EXTERNAL_URL: ""
      EXTERNAL_URL_MNG: ""
    ingress:
      enabled: true
      hosts:
        - host: exastro-suite.example.local
          paths:
            - path: /
              pathType: Prefix
              backend: "http"
        - host: exastro-suite-mng.example.local
          paths:
            - path: /
              pathType: Prefix
              backend: "httpMng"
    service:
      type: ClusterIP
      # http:
      #   nodePort: 30080
      # httpMng:
      #   nodePort: 30081
    image:
      repository: "exastro/exastro-platform-auth"
      tag: ""

  platform-migration:
    image:
      repository: "exastro/exastro-platform-migration"
      tag: ""

  platform-web:
    image:
      repository: "exastro/exastro-platform-web"
      tag: ""

  mariadb:
    enabled: true
    image:
      repository: "mariadb"
      tag: "10.9"
      pullPolicy: IfNotPresent
    resources:
      requests:
        memory: "256Mi"
        cpu: "1m"
      limits:
        memory: "2Gi"
        cpu: "4"

  keycloak:
    enabled: true
    image:
      repository: "exastro/keycloak"
      tag: ""
      pullPolicy: IfNotPresent
    resources:
      requests:
        memory: "256Mi"
        cpu: "1m"
      limits:
        memory: "2Gi"
        cpu: "4"

以降の手順では、この exastro.yaml に対してインストールに必要なパラメータを設定してきいます。

1.3.3. サービス公開の設定

Exastro サービスを公開するための代表的な3つの設定方法について紹介します。

• Ingress

• LoadBalancer

• NodePort

注釈

ここで紹介する方法以外にもサービス公開方法はあります。ユーザの環境ごとに適切な構成・設定を選択してください。

パラメータ

利用可能なパラメータについては下記を参照してください。

表 1.219 Exastro Platform 認証機能のオプションパラメータ

パラメータ	説明	変更	デフォルト値・選択可能な設定値
exastro-platform.platform-auth.extraEnv.EXTERNAL_URL	Exastro Platform エンドポイントの公開URL。 リバースプロキシや PAT(Port Address Transport) などにより、Exastro のエンドポイントと公開時の URL に齟齬が発生することで、サービス接続に失敗する場合に設定をする必要があります。	可	公開用エンドポイントのURL (http[s]://your-exastro.domain:port)
exastro-platform.platform-auth.extraEnv.EXTERNAL_URL_MNG	Exastro Platform 管理コンソールのエンドポイントの公開URL。 リバースプロキシや PAT(Port Address Transport) などにより、Exastro のエンドポイントと公開時の URL に齟齬が発生することで、サービス接続に失敗する場合に設定をする必要があります。	可	公開用エンドポイントのURL (http[s]://your-exastro.domain:port)
exastro-platform.platform-auth.ingress.enabled	Exastro Platform における Ingress 利用の要否	可	true (デフォルト): Exastro Platform にアクセスするための Ingress Controller をデプロイします。 false : Ingress Controller をデプロイしません。
exastro-platform.platform-auth.ingress.hosts[0].host	Exastro Platform 管理コンソールエンドポイントのホスト名、もしくは、FQDN 別途、DNSへのレコード登録が必要です。	可 (Ingress利用時)	"exastro-suite.example.local"
exastro-platform.platform-auth.ingress.hosts[0].paths[0].path	Exastro Platform 管理コンソールエンドポイントのパスのルール	不可	"/"
exastro-platform.platform-auth.ingress.hosts[0].paths[0].pathType	Exastro Platform 管理コンソールエンドポイントのパスの一致条件	不可	"Prefix"
exastro-platform.platform-auth.ingress.hosts[0].paths[0].backend	Exastro Platform 管理コンソールのサービス名	不可	"http"
exastro-platform.platform-auth.ingress.hosts[1].host	Exastro Platform エンドポイントのホスト名、もしくは、FQDN 別途、DNSへのレコード登録が必要です。	可 (Ingress利用時)	"exastro-suite-mng.example.local"
exastro-platform.platform-auth.ingress.hosts[1].paths[0].path	Exastro Platform エンドポイントのパスのルール	不可	"/"
exastro-platform.platform-auth.ingress.hosts[1].paths[0].pathType	Exastro Platform エンドポイントのパスの一致条件	不可	"Prefix"
exastro-platform.platform-auth.ingress.hosts[1].paths[0].backend	Exastro Platform エンドポイントのエンドポイントのサービス名	不可	"httpMng"
exastro-platform.platform-auth.service.type	Exastro Platform のサービスタイプ	可	ClusterIP (デフォルト): Ingress Controller を利用する場合などに選択 LoadBalancer : LoadBalancer を利用する場合に選択 NodePort : NodePort を利用する場合に選択
exastro-platform.platform-auth.service.http.nodePort	Exastro Platform のサービス用公開ポート番号	可 (NodePort利用時)	"30080"
exastro-platform.platform-auth.service.httpMng.nodePort	Exastro Platform のシステム管理用公開ポート番号	可 (NodePort利用時)	"30081"
exastro-platform.platform-auth.image.repository	コンテナイメージのリポジトリ名	不可	"exastro/exastro-platform-auth"
exastro-platform.platform-auth.image.tag	コンテナイメージのタグ	不可	"1.0.6"

設定例

各サービス公開方法の設定例を下記に記載します。

IngressLoadBalancerNodePort

• 特徴

パブリッククラウドなどで Ingress Controller が利用可能な場合、Ingress を使ったサービス公開ができます。

クラスタ内にロードバランサーを構築して、ユーザ自身が運用したい場合などにメリットがあります。

• 設定例

サービス公開用のドメイン情報を Ingress に登録することでDNSを使ったサービス公開を行います。

Azure におけるドメイン名の確認方法については ドメイン名の確認 を確認してください。

クラウドプロバイダ毎に必要な annotations を指定してください。

下記は、AKS の Ingress Controller を使用する際の例を記載しています。

リスト 1.98 exastro.yaml

 platform-auth:
   extraEnv:
     # Please set the URL to access
-    EXTERNAL_URL: ""
-    EXTERNAL_URL_MNG: ""
+    EXTERNAL_URL: "http://exastro-suite.xxxxxxxxxxxxxxxxxx.japaneast.aksapp.io"
+    EXTERNAL_URL_MNG: "http://exastro-suite-mng.xxxxxxxxxxxxxxxxxx.japaneast.aksapp.io"
   ingress:
     enabled: true
+    annotations:
+      kubernetes.io/ingress.class: addon-http-application-routing
+      nginx.ingress.kubernetes.io/proxy-body-size: 100m
+      nginx.ingress.kubernetes.io/proxy-buffer-size: 256k
+      nginx.ingress.kubernetes.io/server-snippet: |
+        client_header_buffer_size 100k;
+        large_client_header_buffers 4 100k;
     hosts:
-      - host: exastro-suite.example.local
+      - host: exastro-suite.xxxxxxxxxxxxxxxxxx.japaneast.aksapp.io
         paths:
           - path: /
             pathType: Prefix
             backend: "http"
-      - host: exastro-suite-mng.example.local
+      - host: exastro-suite-mng.xxxxxxxxxxxxxxxxxx.japaneast.aksapp.io
         paths:
           - path: /
             pathType: Prefix
             backend: "httpMng"

1.3.4. データベース連携

Exastro サービスを利用するためには、CMDB やオーガナイゼーションの管理のためのデータベースが必要となります。

データベース利用時の3つの設定方法について説明します。

• 外部データベース

• データベースコンテナ

外部データベースデータベースコンテナ

• 特徴

マネージドデータベースや別途用意した Kubernetes クラスタ外のデータベースを利用します。

Kubernetes クラスタ外にあるため、環境を分離して管理することが可能です。

• 設定例

外部データベースを操作するために必要な接続情報を設定します。

警告

DB_ADMIN_USER で指定するDBの管理ユーザには、データベースとユーザを作成する権限が必要です。

警告

認証情報などはすべて平文で問題ありません。(Base64エンコードは不要)

1. Exastro IT Automation 用データベースの設定

   データベースの接続情報を設定します。

   表 1.220 共通設定 (Exastro IT Automation 用データベース) のオプションパラメータ

   パラメータ	説明	変更	デフォルト値・選択可能な設定値
   global.itaDatabaseDefinition.name	Exastro IT Automation 用データベースの定義名	不可	"ita-database"
   global.itaDatabaseDefinition.enabled	Exastro IT Automation 用データベースの定義の利用有無	不可	true
   global.itaDatabaseDefinition.config.DB_VENDOR	Exastro IT Automation 用データベースで使用するデータベース	可 (外部データベース利用時)	"mariadb" (デフォルト): MariaDB を利用 "mysql": MySQL を利用
   global.itaDatabaseDefinition.config.DB_HOST	Exastro IT Automation 用データベース利用するDB デフォルト状態では、同一の Kubernetes クラスタ内にデプロイされるコンテナを指定しています。 クラスタ外部の DB を利用する場合には設定が必要となります。	可 (外部データベース利用時)	"mariadb"
   global.itaDatabaseDefinition.config.DB_PORT	Exastro IT Automation 用データベースで利用するポート番号(TCP)	可 (外部データベース利用時)	"3306"
   global.itaDatabaseDefinition.config.DB_DATABASE	Exastro IT Automation 用データベースで利用するデータベース名	可 (外部データベース利用時)	"platform"
   global.itaDatabaseDefinition.secret.DB_ADMIN_USER	Exastro IT Automation 用データベースで利用する管理権限を持つDBユーザ名	必須	管理権限を持つDBユーザ名
   global.itaDatabaseDefinition.secret.DB_ADMIN_PASSWORD	Exastro IT Automation 用データベースで利用する管理権限を持つDBユーザのパスワード(エンコードなし)	必須	管理権限を持つDBユーザ名のパスワード
   global.itaDatabaseDefinition.secret.DB_USER	Exastro IT Automation 用データベースに作成するDBユーザ名。 指定した DB ユーザが作成される。	必須	任意の文字列
   global.itaDatabaseDefinition.secret.DB_PASSWORD	Exastro IT Automation 用データベースに作成するDBユーザのパスワード(エンコードなし)	必須	任意の文字列

   リスト 1.101 exastro.yaml

     itaDatabaseDefinition:
       name: ita-database
       enabled: true
       config:
   -     DB_VENDOR: "mariadb"
   -     DB_HOST: "mariadb"
   -     DB_PORT: "3306"
   +     DB_VENDOR: "mariadb"                # mariadb or mysql
   +     DB_HOST: "your.database.endpoint"   # データベースのエンドポイント
   +     DB_PORT: "3306"                     # データベース接続ポート
         DB_DATABASE: "ITA_DB"               # 変更不要
       secret:
   -     DB_ADMIN_USER: ""
   -     DB_ADMIN_PASSWORD: ""s
   +     DB_ADMIN_USER: "your-admin-account"      # データベースの管理権限を持つユーザ
   +     DB_ADMIN_PASSWORD: "your-admin-password" # データベースの管理権限を持つユーザのパスワード
         DB_USER: ""
         DB_PASSWORD: ""
   

2. Exastro 共通基盤用データベースの設定

   データベースの接続情報を設定します。

   表 1.221 共通設定 (Exastro 共通基盤用データベース) のオプションパラメータ

   パラメータ	説明	変更	デフォルト値・選択可能な設定値
   global.pfDatabaseDefinition.name	認証機能用データベースの定義名	不可	"pf-database"
   global.pfDatabaseDefinition.enabled	認証機能用データベースの定義の有効有無	不可	true
   global.pfDatabaseDefinition.config.DB_VENDOR	認証機能用データベースで使用するデータベース	可 (外部データベース利用時)	"mariadb" (デフォルト): MariaDB を利用 "mysql": MySQL を利用
   global.pfDatabaseDefinition.config.DB_HOST	認証機能用データベース利用するDB デフォルト状態では、同一の Kubernetes クラスタ内にデプロイされるコンテナを指定しています。 クラスタ外部の DB を利用する場合には設定が必要となります。	可 (外部データベース利用時)	"mariadb"
   global.pfDatabaseDefinition.config.DB_PORT	認証機能用データベースで利用するポート番号(TCP)	可 (外部データベース利用時)	"3306"
   global.pfDatabaseDefinition.config.DB_DATABASE	認証機能用データベースで利用するデータベース名	可 (外部データベース利用時)	"platform"
   global.pfDatabaseDefinition.secret.DB_ADMIN_USER	認証機能用データベースで利用する管理権限を持つDBユーザ名	必須	管理権限を持つDBユーザ名
   global.pfDatabaseDefinition.secret.DB_ADMIN_PASSWORD	認証機能用データベースで利用する管理権限を持つDBユーザのパスワード(エンコードなし)	必須	管理権限を持つDBユーザ名のパスワード
   global.pfDatabaseDefinition.secret.DB_USER	認証機能用データベースに作成するDBユーザ名。 指定した DB ユーザが作成される。	必須	任意の文字列
   global.pfDatabaseDefinition.secret.DB_PASSWORD	認証機能用データベースに作成するDBユーザのパスワード(エンコードなし)	必須	任意の文字列

   リスト 1.102 exastro.yaml

     pfDatabaseDefinition:
       name: auth-database
       enabled: true
       config:
   -     DB_VENDOR: "mariadb"
   -     DB_HOST: "mariadb"
   -     DB_PORT: "3306"
   +     DB_VENDOR: "mariadb"                # mariadb or mysql
   +     DB_HOST: "your.database.endpoint"   # データベースのエンドポイント
   +     DB_PORT: "3306"                     # データベース接続ポート
         DB_DATABASE: "platform"             # 変更不要
       secret:
   -     DB_ADMIN_USER: ""
   -     DB_ADMIN_PASSWORD: ""
   +     DB_ADMIN_USER: "your-admin-account"      # データベースの管理者ユーザ
   +     DB_ADMIN_PASSWORD: "your-admin-password" # データベースの管理者ユーザのパスワード
         DB_USER: ""
         DB_PASSWORD: ""
   

3. データベースコンテナの無効化

   データベースコンテナが起動しないように設定します。

   表 1.222 共通設定 (Exastro 共用データベース) のオプションパラメータ

   パラメータ	説明	変更	デフォルト値・選択可能な設定値
   global.databaseDefinition.name	Exastro 共用データベースの定義名	不可	"mariadb"
   global.databaseDefinition.enabled	Exastro 共用データベースの定義の利用有無	不可	true
   global.databaseDefinition.secret.MARIADB_ROOT_PASSWORD	Exastro 共用データベースの root アカウントに設定するパスワード(エンコードなし)	必須	任意の文字列
   global.databaseDefinition.persistence.enabled	Exastro 共用データベースのデータ永続化の有効フラグ	可	"true" (デフォルト): データを永続化する "false": データを永続化しない
   global.databaseDefinition.persistence.reinstall	再インストール時にデータ領域の初期化の要否	可 (データ永続化時)	"true" (デフォルト): データを初期化(削除)する "false": データを初期化(削除)しない
   global.databaseDefinition.persistence.accessMode	永続ボリュームのアクセスモードの指定。	不可	"ReadWriteOnce"
   global.databaseDefinition.persistence.size	永続ボリュームのディスク容量	可 (データ永続化時)	"20Gi"
   global.databaseDefinition.persistence.volumeType	永続ボリュームのボリュームタイプ	可 (現在無効)	"hostPath" (デフォルト): Kubernetes クラスタのノード上にデータを保存(非推奨) "AKS": AKS のストレージクラスを利用
   global.databaseDefinition.persistence.storageClass	永続ボリュームにストレージクラスを利用する場合のクラスを指定	可 (データ永続化時)	"-" (デフォルト): ストレージクラスを指定しない。 ストレージクラス名: クラウドプロバイダなどから提供されるストレージクラス名を指定。

   リスト 1.103 exastro.yaml

     mariadb:
   -   enabled: true
   +   enabled: false
   

1.3.5. アプリケーションの DB ユーザ設定

Exastro でアプリケーションのために作成する DB ユーザの設定をします。

設定例

下記のアプリケーションが利用・作成する DB ユーザをそれぞれ設定します。

• Exastro IT Automation

• Exastro 共通基盤

• Keycloak

警告

認証情報などはすべて平文で問題ありません。(Base64エンコードは不要)

1. Exastro IT Automation 用データベースの設定

   アプリケーションが利用・作成する DB ユーザを設定します。

   表 1.226 共通設定 (Exastro IT Automation 用データベース) のオプションパラメータ

   パラメータ	説明	変更	デフォルト値・選択可能な設定値
   global.itaDatabaseDefinition.name	Exastro IT Automation 用データベースの定義名	不可	"ita-database"
   global.itaDatabaseDefinition.enabled	Exastro IT Automation 用データベースの定義の利用有無	不可	true
   global.itaDatabaseDefinition.config.DB_VENDOR	Exastro IT Automation 用データベースで使用するデータベース	可 (外部データベース利用時)	"mariadb" (デフォルト): MariaDB を利用 "mysql": MySQL を利用
   global.itaDatabaseDefinition.config.DB_HOST	Exastro IT Automation 用データベース利用するDB デフォルト状態では、同一の Kubernetes クラスタ内にデプロイされるコンテナを指定しています。 クラスタ外部の DB を利用する場合には設定が必要となります。	可 (外部データベース利用時)	"mariadb"
   global.itaDatabaseDefinition.config.DB_PORT	Exastro IT Automation 用データベースで利用するポート番号(TCP)	可 (外部データベース利用時)	"3306"
   global.itaDatabaseDefinition.config.DB_DATABASE	Exastro IT Automation 用データベースで利用するデータベース名	可 (外部データベース利用時)	"platform"
   global.itaDatabaseDefinition.secret.DB_ADMIN_USER	Exastro IT Automation 用データベースで利用する管理権限を持つDBユーザ名	必須	管理権限を持つDBユーザ名
   global.itaDatabaseDefinition.secret.DB_ADMIN_PASSWORD	Exastro IT Automation 用データベースで利用する管理権限を持つDBユーザのパスワード(エンコードなし)	必須	管理権限を持つDBユーザ名のパスワード
   global.itaDatabaseDefinition.secret.DB_USER	Exastro IT Automation 用データベースに作成するDBユーザ名。 指定した DB ユーザが作成される。	必須	任意の文字列
   global.itaDatabaseDefinition.secret.DB_PASSWORD	Exastro IT Automation 用データベースに作成するDBユーザのパスワード(エンコードなし)	必須	任意の文字列

   リスト 1.108 exastro.yaml

     itaDatabaseDefinition:
       name: ita-database
       enabled: true
       config:
         DB_VENDOR: "mariadb"
         DB_HOST: "mariadb"
         DB_PORT: "3306"
         DB_DATABASE: "ITA_DB"
       secret:
         DB_ADMIN_USER: ""
         DB_ADMIN_PASSWORD: ""
   -     DB_USER: ""
   -     DB_PASSWORD: ""
   +     DB_USER: "ita-db-user"                # Exastro IT Automation のアプリが使うDBユーザ
   +     DB_PASSWORD: "ita-db-user-password"   # Exastro IT Automation のアプリが使うDBユーザのパスワード
   

2. Keycloak 用データベースの設定

   アプリケーションが利用・作成する DB ユーザを設定します。

   表 1.227 共通設定 (Keycloak) のオプションパラメータ

   パラメータ	説明	変更	デフォルト値・選択可能な設定値
   global.keycloakDefinition.name	Keycloak の定義名	不可	"keycloak"
   global.keycloakDefinition.enabled	Keycloak の定義の利用有無	不可	true
   global.keycloakDefinition.config.API_KEYCLOAK_PROTOCOL	Keycloak API エンドポイントのプロトコル	可 (外部Keycloak利用時)	"http”
   global.keycloakDefinition.config.API_KEYCLOAK_HOST	Keycloak API エンドポイントのホスト名、もしくは、FQDN	可 (外部Keycloak利用時)	"keycloak"
   global.keycloakDefinition.config.API_KEYCLOAK_PORT	Keycloak API エンドポイントのポート番号	可 (外部Keycloak利用時)	"8080"
   global.keycloakDefinition.config.KEYCLOAK_PROTOCOL	Keycloak エンドポイントのプロトコル	可 (外部Keycloak利用時)	"http"
   global.keycloakDefinition.config.KEYCLOAK_HOST	Keycloak エンドポイントのホスト名、もしくは、FQDN	可 (外部Keycloak利用時)	"keycloak"
   global.keycloakDefinition.config.KEYCLOAK_PORT	Keycloak API エンドポイントのポート番号	可 (外部Keycloak利用時)	"8080"
   global.keycloakDefinition.config.KEYCLOAK_MASTER_REALM	Keycloak のマスターレルム名	可	"master"
   global.keycloakDefinition.config.KEYCLOAK_DB_DATABASE	Keycloak が利用するデータベース名	可	"keycloak"
   global.keycloakDefinition.secret.KEYCLOAK_USER	Keycloak のマスターレルムにおける管理権限を持ったユーザ名を指定。 指定した Keycloak ユーザが作成される。	必須	任意の文字列
   global.keycloakDefinition.secret.KEYCLOAK_PASSWORD	Keycloak のマスターレルムにおける管理権限を持ったユーザに設定するパスワード(エンコードなし)	必須	任意の文字列
   global.keycloakDefinition.secret.KEYCLOAK_DB_USER	Keycloak が使用するデータベースユーザ。 指定した DB ユーザが作成される。	必須	任意の文字列
   global.keycloakDefinition.secret.KEYCLOAK_DB_PASSWORD	Keycloak が使用するデータベースユーザのパスワード(エンコードなし)	必須	任意の文字列

   リスト 1.109 exastro.yaml

     keycloakDefinition:
       name: keycloak
       enabled: true
       config:
         API_KEYCLOAK_PROTOCOL: "http"
         API_KEYCLOAK_HOST: "keycloak"
         API_KEYCLOAK_PORT: "8080"
         KEYCLOAK_PROTOCOL: "http"
         KEYCLOAK_HOST: "keycloak"
         KEYCLOAK_PORT: "8080"
         KEYCLOAK_MASTER_REALM: "master"
         KEYCLOAK_DB_DATABASE: "keycloak"
       secret:
         KEYCLOAK_USER: ""
         KEYCLOAK_PASSWORD: ""
   -     KEYCLOAK_DB_USER: ""
   -     KEYCLOAK_DB_PASSWORD: ""
   +     KEYCLOAK_DB_USER: "keycloak-db-user"               # Keycloak が使うDBユーザ
   +     KEYCLOAK_DB_PASSWORD: "keycloak-db-user-password"  # Keycloak が使うDBユーザのパスワード
   

3. Exastro 共通基盤用データベースの設定

   アプリケーションが利用・作成する DB ユーザを設定します。

   表 1.228 共通設定 (Exastro 共通基盤用データベース) のオプションパラメータ

   パラメータ	説明	変更	デフォルト値・選択可能な設定値
   global.pfDatabaseDefinition.name	認証機能用データベースの定義名	不可	"pf-database"
   global.pfDatabaseDefinition.enabled	認証機能用データベースの定義の有効有無	不可	true
   global.pfDatabaseDefinition.config.DB_VENDOR	認証機能用データベースで使用するデータベース	可 (外部データベース利用時)	"mariadb" (デフォルト): MariaDB を利用 "mysql": MySQL を利用
   global.pfDatabaseDefinition.config.DB_HOST	認証機能用データベース利用するDB デフォルト状態では、同一の Kubernetes クラスタ内にデプロイされるコンテナを指定しています。 クラスタ外部の DB を利用する場合には設定が必要となります。	可 (外部データベース利用時)	"mariadb"
   global.pfDatabaseDefinition.config.DB_PORT	認証機能用データベースで利用するポート番号(TCP)	可 (外部データベース利用時)	"3306"
   global.pfDatabaseDefinition.config.DB_DATABASE	認証機能用データベースで利用するデータベース名	可 (外部データベース利用時)	"platform"
   global.pfDatabaseDefinition.secret.DB_ADMIN_USER	認証機能用データベースで利用する管理権限を持つDBユーザ名	必須	管理権限を持つDBユーザ名
   global.pfDatabaseDefinition.secret.DB_ADMIN_PASSWORD	認証機能用データベースで利用する管理権限を持つDBユーザのパスワード(エンコードなし)	必須	管理権限を持つDBユーザ名のパスワード
   global.pfDatabaseDefinition.secret.DB_USER	認証機能用データベースに作成するDBユーザ名。 指定した DB ユーザが作成される。	必須	任意の文字列
   global.pfDatabaseDefinition.secret.DB_PASSWORD	認証機能用データベースに作成するDBユーザのパスワード(エンコードなし)	必須	任意の文字列

   リスト 1.110 exastro.yaml

     pfDatabaseDefinition:
       name: auth-database
       enabled: true
       config:
         DB_VENDOR: "mariadb"
         DB_HOST: "mariadb"
         DB_PORT: "3306"
         DB_DATABASE: "platform"
       secret:
         DB_ADMIN_USER: ""
         DB_ADMIN_PASSWORD: ""
   -     DB_USER: ""
   -     DB_PASSWORD: ""
   +     DB_USER: "pf-db-user"           # Exastro 共通基盤が使うDBユーザ
   +     DB_PASSWORD: "pf-db-password"   # Exastro 共通基盤が使うDBユーザのパスワード
   

1.3.6. GitLab 連携設定

GitLab 連携のための接続情報を登録します。

表 1.229 共通設定 (GitLab) のオプションパラメータ

パラメータ	説明	変更	デフォルト値・選択可能な設定値
global.gitlabDefinition.name	GitLab の定義名	不可	gitlab
global.gitlabDefinition.enabled	GitLab の定義の利用有無	不可	true
global.gitlabDefinition.config.GITLAB_PROTOCOL	GitLab エンドポイントのプロトコル	可	http
global.gitlabDefinition.config.GITLAB_HOST	GitLab エンドポイントへのホスト名、もしくは、FQDN	可	gitlab
global.gitlabDefinition.config.GITLAB_PORT	GitLab エンドポイントのポート番号	可	80
global.gitlabDefinition.secret.GITLAB_ROOT_TOKEN	GitLab の root 権限アカウントのアクセストークン	必須	アクセエストークン(平文)

警告

GITLAB_ROOT_TOKEN は下記の権限スコープが割り当てられたトークンが必要です。

・api

・write_repository

・sudo

下記は、GitLab 連携の設定例を記載しています。

リスト 1.111 exastro.yaml

    gitlabDefinition:
      name: gitlab
      enabled: true
      config:
  -     GITLAB_PROTOCOL: "http"
  -     GITLAB_HOST: "gitlab"
  -     GITLAB_PORT: "80"
  +     GITLAB_PROTOCOL: "接続プロトコル http or https"
  +     GITLAB_HOST: "接続先"
  +     GITLAB_PORT: "接続ポート"
      secret:
  -     GITLAB_ROOT_TOKEN: ""
  +     GITLAB_ROOT_TOKEN: "GitLabのRoot権限を持ったトークン"

1.3.7. Exastro システム管理者の作成

Keycloak セットアップ時に Exastro システム管理者の初期ユーザを作成するための情報を設定します。

表 1.230 共通設定 (Keycloak) のオプションパラメータ

パラメータ	説明	変更	デフォルト値・選択可能な設定値
global.keycloakDefinition.name	Keycloak の定義名	不可	"keycloak"
global.keycloakDefinition.enabled	Keycloak の定義の利用有無	不可	true
global.keycloakDefinition.config.API_KEYCLOAK_PROTOCOL	Keycloak API エンドポイントのプロトコル	可 (外部Keycloak利用時)	"http”
global.keycloakDefinition.config.API_KEYCLOAK_HOST	Keycloak API エンドポイントのホスト名、もしくは、FQDN	可 (外部Keycloak利用時)	"keycloak"
global.keycloakDefinition.config.API_KEYCLOAK_PORT	Keycloak API エンドポイントのポート番号	可 (外部Keycloak利用時)	"8080"
global.keycloakDefinition.config.KEYCLOAK_PROTOCOL	Keycloak エンドポイントのプロトコル	可 (外部Keycloak利用時)	"http"
global.keycloakDefinition.config.KEYCLOAK_HOST	Keycloak エンドポイントのホスト名、もしくは、FQDN	可 (外部Keycloak利用時)	"keycloak"
global.keycloakDefinition.config.KEYCLOAK_PORT	Keycloak API エンドポイントのポート番号	可 (外部Keycloak利用時)	"8080"
global.keycloakDefinition.config.KEYCLOAK_MASTER_REALM	Keycloak のマスターレルム名	可	"master"
global.keycloakDefinition.config.KEYCLOAK_DB_DATABASE	Keycloak が利用するデータベース名	可	"keycloak"
global.keycloakDefinition.secret.KEYCLOAK_USER	Keycloak のマスターレルムにおける管理権限を持ったユーザ名を指定。 指定した Keycloak ユーザが作成される。	必須	任意の文字列
global.keycloakDefinition.secret.KEYCLOAK_PASSWORD	Keycloak のマスターレルムにおける管理権限を持ったユーザに設定するパスワード(エンコードなし)	必須	任意の文字列
global.keycloakDefinition.secret.KEYCLOAK_DB_USER	Keycloak が使用するデータベースユーザ。 指定した DB ユーザが作成される。	必須	任意の文字列
global.keycloakDefinition.secret.KEYCLOAK_DB_PASSWORD	Keycloak が使用するデータベースユーザのパスワード(エンコードなし)	必須	任意の文字列

リスト 1.112 exastro.yaml

  keycloakDefinition:
    name: keycloak
    enabled: true
    config:
      API_KEYCLOAK_PROTOCOL: "http"
      API_KEYCLOAK_HOST: "keycloak"
      API_KEYCLOAK_PORT: "8080"
      KEYCLOAK_PROTOCOL: "http"
      KEYCLOAK_HOST: "keycloak"
      KEYCLOAK_PORT: "8080"
      KEYCLOAK_MASTER_REALM: "master"
      KEYCLOAK_DB_DATABASE: "keycloak"
    secret:
-     KEYCLOAK_USER: ""
-     KEYCLOAK_PASSWORD: ""
+     KEYCLOAK_USER: "admin"               # Exastro システムの管理者
+     KEYCLOAK_PASSWORD: "admin-password"  # Exastro システムの管理者のパスワード
      KEYCLOAK_DB_USER: ""
      KEYCLOAK_DB_PASSWORD: ""

1.3.8. 永続ボリュームの設定

データベースのデータ永続化 (クラスタ内コンテナがある場合)、および、ファイルの永続化のために、永続ボリュームを設定する必要があります。

永続ボリュームの詳細については、 永続ボリューム - Kubernetes を参照してください。

ストレージ利用時の2つの方法について説明します。

• マネージドディスク

• Kubernetes ノードのディレクトリ

マネージドディスクKubernetes ノードのディレクトリ

• 特徴

パブリッククラウドで提供されるストレージサービスを利用することでストレージの構築や維持管理が不要となります。

• 設定例

Azure のストレージを利用する場合、下記のように StorageClass を定義することで利用が可能です。

詳細は、 Azure Kubernetes Service (AKS) でのアプリケーションのストレージ オプション を参照してください。

リスト 1.113 storage-class-exastro-suite.yaml

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: exastro-suite-azurefile-csi-nfs
provisioner: file.csi.azure.com
allowVolumeExpansion: true
parameters:
  protocol: nfs
mountOptions:
  - nconnect=8

リスト 1.114 exastro.yaml

  itaGlobalDefinition:
    persistence:
      enabled: true
      accessMode: ReadWriteMany
      size: 10Gi
      volumeType: hostPath # e.g.) hostPath or AKS
-      storageClass: "-" # e.g.) azurefile or - (None)
+      storageClass: "azurefile" # e.g.) azurefile or - (None)

※ 下記は、データベース連携 で設定済みです。

リスト 1.115 exastro.yaml

  databaseDefinition:
    persistence:
      enabled: true
      reinstall: false
      accessMode: ReadWriteOnce
      size: 20Gi
      volumeType: hostPath # e.g.) hostPath or AKS
-      storageClass: "-" # e.g.) azurefile or - (None)
+      storageClass: "exastro-suite-azurefile-csi-nfs" # e.g.) azurefile or - (None)

1.4. インストール

1.4.1. 永続ボリュームの作成

永続ボリュームの設定 で作成したマニフェストファイルを適用し、ボリュームを作成します。

# pv-database.yaml
kubectl apply -f pv-database.yaml

# pv-ita-common.yaml
kubectl apply -f pv-ita-common.yaml

# 確認
kubectl get pv

NAME            CAPACITY   ACCESS MODES   RECLAIM POLICY   STATUS      CLAIM   STORAGECLASS   REASON   AGE
pv-database     20Gi       RWO            Retain           Available                                   19s
pv-ita-common   10Gi       RWX            Retain           Available                                   9s

1.4.2. インストール

Helm バージョンとアプリケーションのバージョンについては下記を確認してください。

表 1.231 Helm チャートとアプリケーションのバージョン

Chart Version	Exastro Version	Exastro IT Automation	Exastro Platform	リリースシナリオ
1.0.2	2.1.0	2.0.3	1.4.0	Exastro IT Automation Version 2.0 GA リリース
...	...	...	...	...
1.1.x	2.2.x	2.1.x	1.x.0	Exastro IT Automation Version 2.1 GA リリース(予定)

インストール時にサービスの公開方法によって、アクセス方法が異なります。

Ingress, LoadBalancer, NodePort それぞれの方法について説明します。

IngressLoadBalancerNodePort

1. Helm コマンドを使い Kubernetes 環境にインストールを行います。

   リスト 1.118 コマンド

   helm install exastro exastro/exastro \
     --namespace exastro --create-namespace \
     --values exastro.yaml
   

   リスト 1.119 出力結果

   NAME: exastro
   LAST DEPLOYED: Sat Jan 28 15:00:02 2023
   NAMESPACE: exastro
   STATUS: deployed
   REVISION: 1
   TEST SUITE: None
   NOTES:
   Exastro install completion!
   
   1. Execute the following command and wait until the pod becomes "Running" or "Completed":
   
     # NOTE: You can also append "-w" to the command or wait until the state changes with "watch command"
   
     kubectl get pods --namespace exastro
   
   2. Get the ENCRYPT_KEY by running these commands:
   
     # Exastro IT Automation ENCRYPT_KEY
     kubectl get secret ita-secret-ita-global -n exastro -o jsonpath='{.data.ENCRYPT_KEY}' | base64 -d
   
     # Exastro Platform ENCRYPT_KEY
     kubectl get secret platform-secret-pf-global -n exastro -o jsonpath='{.data.ENCRYPT_KEY}' | base64 -d
   
     !!! Please save the output ENCRYPT_KEY carefully. !!!
   
   3. Run the following command to get the application URL and go to the URL or go to the displayed URL:
     *************************
     * Service Console       *
     *************************
     http://exastro-suite.example.local/
   
     *************************
     * Administrator Console *
     *************************
     http://exastro-suite-mng.example.local/auth/
   
   
   # Note: You can display this note again by executing the following command.
   

   以下、上記の出力結果に従って操作をします。
2. インストール状況確認

コマンドラインから以下のコマンドを入力して、インストールが完了していることを確認します。

リスト 1.120 コマンド

# Pod の一覧を取得
kubectl get po -n exastro

| 正常動作している場合は、すべて “Running” もしくは “Completed” となります。
| ※正常に起動するまで数分かかる場合があります。

リスト 1.121 出力結果

NAME                                                      READY   STATUS      RESTARTS   AGE
ita-by-menu-create-7fccfc7f57-7cc2f                       1/1     Running     0          11m
ita-by-conductor-synchronize-9dc6cfbdf-vp64z              1/1     Running     0          11m
ita-api-admin-85b7d8f977-cxr58                            1/1     Running     0          11m
ita-api-organization-5c5f4b86cb-rmf4g                     1/1     Running     0          11m
ita-by-ansible-execute-6cd6d4d5fd-wkxjd                   1/1     Running     0          11m
ita-by-ansible-legacy-role-vars-listup-67dbf5586f-dhdb2   1/1     Running     0          11m
ita-by-ansible-towermaster-sync-5674448c55-t9592          1/1     Running     0          11m
ita-web-server-7dbf6fd6ff-2s7s4                           1/1     Running     0          11m
platform-auth-5b57bc57bd-h4k2g                            1/1     Running     0          11m
platform-web-9f9d486fd-zf5vb                              1/1     Running     0          11m
mariadb-67dd78cc76-nthtf                                  1/1     Running     0          11m
platform-api-8655864fbf-t5xxf                             1/1     Running     0          11m
ita-setup-wv2t6                                           0/1     Completed   0          11m
keycloak-7f7cdccb6b-rf4rj                                 1/1     Running     0          11m
platform-setup-8vv2x                                      0/1     Completed   0          11m

3. 暗号化キーのバックアップ

   Exastro システムのパスワードや認証情報といった機密情報はすべて暗号化されています。

   必ず、下記で取得した暗号化キーをバックアップして、適切に保管してください。

   危険

   暗号化キーを紛失した場合、バックアップデータからシステムを復旧した際にデータの復号ができなくなります。
   リスト 1.122 コマンド

   # Exastro IT Automation ENCRYPT_KEY
   kubectl get secret ita-secret-ita-global -n exastro -o jsonpath='{.data.ENCRYPT_KEY}' | base64 -d
   

   リスト 1.123 出力結果

   JnIoXzJtPic2MXFqRl1yI1chMj8hWzQrNypmVn41Pk8=
   

   リスト 1.124 コマンド

   # Exastro Platform ENCRYPT_KEY
   kubectl get secret platform-secret-pf-global -n exastro -o jsonpath='{.data.ENCRYPT_KEY}' | base64 -d
   

   リスト 1.125 出力結果

   bHFZe2VEVVM2PmFeQDMqNG4oZT4lTlglLjJJekxBTHE=
   

4. 接続確認

   出力結果に従って、Administrator Console の URL にアクセスします。

   下記は、実行例のため サービス公開の設定 で設定したホスト名に読み替えてください。
   リスト 1.126 出力結果(例)

   *************************
   * Service Console       *
   *************************
   http://exastro-suite.example.local/
   
   *************************
   * Administrator Console *
   *************************
   http://exastro-suite-mng.example.local/auth/
   

   表 1.232 接続確認用URL

   管理コンソール

   http://exastro-suite-mng.example.local/auth/

1.4.3. 管理コンソールへのログイン

以下の画面が表示された場合、Administration Console を選択して、ログイン画面を開きます。

ログイン ID とパスワードは Exastro システム管理者の作成 で登録した、KEYCLOAK_USER 及び KEYCLOAK_PASSWORD です。

Keycloak の管理画面が開きます。

ログインが確認できたら、Organization (オーガナイゼーション) の作成を行います。