この記事は Perl Advent Calendar 2022 14日目の記事です。

最初に3行でまとめ

• Slackのrtm.start APIが廃止された
• AnySan+AnyEvent::SlackRTMが正常に動作しなくなった
• それを解決するproxyをGoで書いたよ

プロダクトの開発・運用のお供に Slack bot、いると思います。とある会社で7〜8年前に作られたPerlによるWebサービス(ゲームサーバー、2タイトル)でもご多分に漏れず、Slackで動作しているbotが大変重用されています。

特にブランチごとの開発環境の立ち上げ、終了、マスターデータの操作などはSlackでのbotへのコマンドで操作するのがもっぱらになっていて、これができないと開発も運用もほぼ止まってしまうような状態です。

これらのプロジェクトではPerlで非同期に動作するbotを書くために、AnySan と AnySan::Provider::Slackが使われており、更にそこから AnyEvent::SlackRTM が実際のSlackに対する通信を行っている作りになっていました。

Slackのrtm.start API廃止

api.slack.com

ところが2022年9月、AnyEvent::SlackRTM (v1.1まで)が使っているAPIである rtm.start が廃止されることになりました。

このAPIは最初期からあった関係か「WebSocket接続の最初にそのworkspaceにいるメンバー全員(!!)の情報と、WebSocketの接続エンドポイントを返す」という豪気な作りになっており、workspaceに人がたくさんいるとレスポンスが極めて遅いという特徴がありました (なので廃止されたんでしょう)。

実際にそれでAPIがタイムアウトしてbotが起動できないことがあり、HTTPクライアントのタイムアウトを伸ばすPRを同僚が送って凌いでいたりしました。

github.com

代替としては rtm.connect というAPIを使うことができます。このAPIは、単純にWebSocketの接続エンドポイントを返すもので高速です。AnyEvent::SlackRTM にもこれに切り替えるPRが送られていたのですが、作者がもうPerlをあまり使っていないらしく、しばらく反応がありませんでした。

github.com

何度かコメントした結果、取り込んでリリースしてもらえたのですが、作者曰く

I'm not doing a lot of Perl these days, and I am not writing any bots at all, unfortunately.

とのことで、今後のメンテナンスはちょっと期待しづらい感じです。

rtm.startが廃止されてどうなったか

さて、rtm.connectを使えばそれで問題ないかというと、実際にこれに切り替えた場合にいくつか問題が発生したのでした。

• AnySan::Provider::Slack はrtm.startでメンバーリストが返されるのをメモリ上にhashで持つ
  • この情報を使ってメッセージの送信者(IDが含まれている)からnicknameを解決している
  • AnySanのAPIでは、IDではなくnicknameを受け取るようになっている (もともとIRC用だったので概念がnicknameベース)
  • メンバーリストがないとメッセージの送信者が取れないため、それに依存した処理ができなくなった
• rtm.start 廃止後、頻繁にbotが「分身」するようになった
  • これは以前はなかった挙動なのですが、どうやらbot中で数秒程度ブロッキングする処理をしてしまうとWebSocketが切断された時のような挙動を示すようです
  • 加えてAnyEvent::WebSocket::Client あたりの再接続の挙動が原因なのか、再接続が起きると内部的に2個、おなじbotが重複するような挙動をするようになりました→分身

後者はかなり深刻で、不意にbotが内部的に1→2→4→8と分身してそれぞれがメッセージに反応するため、1つ話しかけると複数のbotが一斉に返事をする (だけならまだしも、開発環境を重複して起動したりCIを重複して実行したりする) ようになってしまいました。

とりあえずプロセスを再起動すればリセットされて復活するので、定期的に再起動して凌ぐというワークアラウンドで凌いでいたのですが、不意に分身するたびに手動で再起動するのはあまりにもひどい運用ですね。

解決法 proxy を書く

分身まわりの挙動はAnyEvent::WebSocket::Client (か更にそこで使っているモジュール)を頑張って追えば、直せたかもしれません。しかしbotの行動には発言者をメンバーリストで解決して、その発言者の情報を元になにかするコードがあったため、そこもなんとかして解決しないとbotの改修が必要になってしまいます。

しかも今からAnySanを頑張って直しても、おそらくモジュールのメンテナも使っていなさそうだし…

と悩んだ結果、「Slackのrtm.startのフリをするProxyを書く方が早いんじゃないか(Goで)」と思い立ち、1日頑張って書いたら動いたので投入しました。よかったですね。

sock2rtm

github.com

Goで書かれた「Slack Socket Modeでメッセージを受信してSlack RTMのように振る舞うproxy」です。

使いたい人がいるかは分かりませんが、READMEは日本語で書いてあるので使う場合は読んでみてください。

/start/{チャンネルID 複数指定する場合は , 区切り} に接続すると、そのチャンネルにいるメンバーを取得してrtm.startと同様のレスポンスを返します。WebSocket APIも提供しているため、レスポンスの中のWebSocket URLに接続すると、botがjoinしているチャンネルのメッセージが(Slack RTM同様の形式で)降ってきます。

つまりAnyEvent::SlackRTM を使用する場合は、$AnyEvent::SlackRTM::START_URL をこのAPIのURLに書き換えればOKなのです！

Socket Mode側の再接続はGoのSlackクライアントがよしなにしてくれるのですが、WebSocket側で再接続が発生すると相変わらず分身することがあります。

いろいろ調べた結果、AnyEvent::WebSocket::Connection::closeが呼ばれたらそこで自死する(そしてsupervisorに再起動してもらう)のが手っ取り早かったため、以下のようなコードをbotの最初に入れて解決しました。

BEGIN {
    if ($ENV{SLACK_START_URL} ne '') {
        # sock2rtmのエンドポイントに差し替える
        # https://metacpan.org/dist/AnyEvent-SlackRTM/source/lib/AnyEvent/SlackRTM.pm#L14
        warn "Set SLACK_START_URL to $ENV{SLACK_START_URL}";
        $AnyEvent::SlackRTM::START_URL = $ENV{SLACK_START_URL};

        # 再接続時に複数のwebsocket接続が発生して分身する現象がある
        # close()を上書きすることで、websocket切断時にプロセスが死ぬようになる
        # start_serverから起動することで、プロセスが再起動されることを期待する
        sub AnyEvent::WebSocket::Connection::close {
            die "websocket connection closed";
        }
    }
};

なお、それでもなぜか、稀に分身してしまうことがあります。sock2rmには/metricsというエンドポイントがあり、JSON形式でメトリクスを取得できます。websocket.current_connectionsがsock2rtmに接続しているクライアントのコネクション数(つまりbotの分身数)なので、これをモニタリングして再起動を走らせる、などもできます。こういう小物であっても可観測性は大事ですね。

{
  "slack": {
    "hello": 1,
    "connecting": 1,
    "connected": 1,
    "disconnect": 0
  },
  "websocket": {
    "total_connections": 9,
    "current_connections": 1
  },
  "messages": {
    "received_from_slack": 0,
    "delivered_to_websocket": 0,
    "unsupported_from_slack": 0,
    "write_errored_to_websocket": 0
  }
}

さいごに

最近は新規でPerlを使った開発をすることは少なくなりましたが、運用中のプロダクトは引き続き運用していかなければいけません。問題が起きた場合、もちろんPerlの中で解決することが一番いいのですが、最近の趨勢だとなかなかアクティブなメンテナンスが期待しづらいこともあります。その場合は、外側で一層包んであげて解決することもできるんじゃないか、というお話でした。

Amazon ECSデプロイツールのecspressoについて、もうすぐv2.0をリリースする予定ですのでお知らせします。先行してバージョン v1.99.x をプレリリースしていますので、利用できる方はお試し頂ければと思います。

(2022-12-15追記: v2.0.0をリリースしました！)

もし不具合や不審な挙動を見つけた場合、GitHub issue や作者の Twitter (@fujiwara) へのメンションで教えていただけると嬉しいです。

github.com

CircleCI Orb をご利用の方に大事なお知らせ

まず最初に大事なお知らせです。CircleCI Orbを利用していて次の条件に両方合致している場合、v2が正式リリースされるとv2がインストールされるため、ワークフローが期待通り動かなくなる恐れがあります。

• CircleCI Orb fujiwara/ecspresso@0.0.15 を利用している
• version: latest を指定している

Orbのバージョンを@1.0.0 にあらかじめ変更するか、versionを明示的に v1.7.14 などと明示することをお勧めします。

v2の安定版がリリースされた後、version: latest を指定した場合の挙動は次のようになります。

• fujiwara/ecspresso@0.0.15 (それ以前を含む): v2系の安定版をインストール
• fujiwara/ecspresso@1.0.0 : v1系の安定版をインストール
  • ecspresso v2がリリースされた後、@2.0.0をリリース予定です
  • fujiwara/ecspresso@2.0.0: v2系の安定版をインストール

なお、GitHub Actionsでは、現時点で以下の挙動になっています。@v1では latest を指定してもv2系がインストールされることはありません。

• kayac/ecspresso@v1 : v1系の安定版最新をインストール
• kayac/ecspresso@v2 : v1.99系のプレリリース版をインストール
  • ecspresso v2がリリースされた後、v2系の安定版をリリースするように変更予定です

バージョンを明示的に指定した場合は、v1, v2のリリース状況に関わらず、そのバージョンをインストールします。

v1.99 の利用方法

GitHubのリリースページから､バイナリをダウンロードしてインストールできます。 Release v1.99.5 · kayac/ecspresso · GitHub

homebrewでは、brew install ecspresso@1.99 でインストールできます。これは ecspresso v1 と衝突するため、インストール済の場合は一旦 brew uninstall ecspresso で削除してから ecspresso@1.99 をインストールし直して下さい。

GitHub Actionsでは kayac/ecspresso@v2 で version: latest を指定するか、kayac/ecspresso@v1 で version: v1.99.5 など特定のバージョンを指定できます。

steps:
  - uses: kayac/ecspresso@v2
     with:
       version: v1.99.5 # or latest

CircleCI Orbでは、fujiwara/ecspresso@1.0.0 を利用して、version に特定のバージョンを指定して下さい。

orbs:
  ecspresso: fujiwara/ecspresso@1.0.0
jobs:
  install:
    steps:
      - ecspresso/install:
          version: v1.99.5

v1からv2への変更点

関連するISSUEとPull Request､コントリビューターの方などはドキュメントに記載しています。(もし漏れがあったら教えて下さい)

ecspresso/v1-v2.md at v2 · kayac/ecspresso · GitHub

非互換な変更

基本的にはv1.xと互換を保っています。ただし、次の非互換があります。

ecspresso create コマンドを廃止しました。deployコマンドでサービスを作成できます

事前のサービスの有無に関係なく、常に deploy を実行するだけでよくなりました。

なおこの挙動と Terraformの null_resource を組み合わせることで、TerraformによるECS関連リソースの作成とecspressoのデプロイまでが terraform apply 一発で完了できるようになります。具体的な方法については別途記事にする予定です。

(2022-12-07 追記: カヤックのアドベントカレンダーのほうに書きました) techblog.kayac.com

rollback --deregister-task-definition フラグはデフォルトで真になりました

rollback済のタスク定義を残しておきたい場合(あまりないと思います)、--no-deregister-task-definition を指定できます。

ecspresso render コマンドは、レンダリング対象を指定するフラグの代わりに、引数で指定するようになりました

これまではフラグを何も指定しない場合、空の出力が得られるが正常終了する、という不思議な挙動だったため、必須の引数を指定するように変更しました。複数指定も可能です。

v1

$ ecspresso render --task-definition

v2

$ ecspresso render task-definition service-definition

ecspresso verify コマンドは、ELB関係のAPI呼び出しを taskExecutionRole で行いません

verify時のELB関係のAPI操作を、これまではタスク実行ロールで行うことがありました。

ECSタスク実行ロールには一般的にはELBへの権限は必要がなく、権限を最小化したい場合に不便なため、ｍタスク実行ロールによるELB API呼び出しは行わないようにしました。常に現在のecspressoを実行しているIAM権限で呼び出します。

ecspresso diff --unified フラグはデフォルトで真になりました

短くなるので便利ですね。

ログメッセージの出力でターミナルを同一行で書き換えたり、メッセージを行折り返ししなくなりました

v1ではデプロイ中の進行状況を表示するためにターミナルの同一行を書き換えたり、その都合でメッセージを固定文字数で折り返したりしていました。しかし、

• ecspressoはCI/CD環境で実行される場合も多く、その場合は同一行書き換えに意味がない
• 行が折り返されるとID (task IDとか)をコピーするのに不便

などの理由があったため、ログメッセージは単純に行を送って出力するように変更しました。

設定ファイルでの filter_command 指定は非推奨になりました

filter_commandは、ターミナルでタスクなどを選択する際のキーボード操作をアシストする peco, fzf などのツールを指定する設定です。これは個人向けの性格が強い設定のため、複数人で共通で使用する設定ファイルに定義するのは相応しくないと判断しました。

代わりに 環境変数ECSPRESSO_FILTER_COMMANDを使用して下さい。

設定ファイルの記述も引き続き動作しますが、警告が表示されます。ECSPRESSO_FILTER_COMMANDが指定されている場合はそちらが優先されます。

機能強化

v2で対応予定、としてお待たせしていた機能追加が含まれています！

複数のtfstate読み込みをサポートしました

v1では、読み込む対象のtfstateは1つだけでした。

v2では、プラグイン定義時に func_prefix という設定を指定することで、tfstateごとに呼び出す関数名を変更できます。

# ecspresso.yml
plugins:
   - name: tfstate
     config:
       url: s3://tfstate/first.tfstate
     func_prefix: first_
   - name: tfstate
     config:
       url: s3://tfstate/second.tfstate
     func_prefix: second_

このように定義すると、テンプレートで first_tfstate で呼び出すと s3://tfstate/first.tfstate を対象に、second_tfstate を呼び出すと s3://tfstate/second.tfstate を対象にしてtfstate参照を行います。

[
  "{{ first_tfstate `aws_s3_bucket.main.arn` }}",
  "{{ second_tfstate `aws_s3_bucket.main.arn` }}"
]

設定ファイルに Jsonnet が使用できるようになりました

v1では、タスク定義ファイルとサービス定義ファイルがJSONもしくはJsonnet、設定ファイル(ecspresso.yml) がYAMLのみでした。

v2では、設定ファイルに JSON, Jsonnet, YAML のいずれも使用できます。

既存のECSサービスを設定ファイル化する ecspresso init コマンドで --jsonnet を指定することで、全てのファイルがJsonnetで生成されるようになりました。

設定ファイルのデフォルト値は ecspresso.yml のままです。ただし ecspresso.yml が存在しない場合、ecspresso.json, ecspresso.jsonnet を探して見つかったらそれを使用します。

各種ファイルを解釈して標準出力に書き出す ecspresso render コマンドにも --jsonnet フラグが追加されました。

設定ファイルでCodeDeployアプリケーション名とデプロイグループ名を指定できます

CodeDeployを利用する場合、ecspressoはデプロイ対象のECSサービスに関連するCodeDeployアプリケーションとデプロイグループを自動で発見します。

しかしCodeDeployに大量のアプリケーションが存在する場合には、この発見処理のための大量のAPI呼び出しが原因でスロットリングエラーが発生することがありました。

設定ファイルにあらかじめアプリケーション名とデプロイグループ名を明示することで、API呼び出しを減らすことができます。

# ecspresso.yml
codedeploy:
  application_name: myapp
  deployment_group_name: mydeployment

CodeDeploy でのデプロイ中にプログレスバーが表示されます

デプロイの進行自体はecspresso以外の手段(マネージメントコンソール)で行う必要があります。ecspressoでデプロイ完了を待っている状態で、トラフィックの移行状況がターミナルのプログレスバーに表示されるようになりました。

ecspresso verifyでコンテナイメージのplatformも確認するようになりました

タスク定義でCPUアーキテクチャにARM64を指定している場合に、verifyコマンドでimageを検証する場合にArm64用のイメージが存在するかを確認するようになりました。

SSMパラメータストアを参照するプラグインが追加されました

SSMパラメータストアの値を直接参照できるようになりました。

# ecspresso.yml
plugins:
  - name: ssm

{
  "string": "{{ ssm `/path/to/string` }}",
  "stringlist": "{{ ssm `/path/to/stringlist` 1 }}",
  "securestring": "{{ ssm `/path/to/securestring` }}"
}

秘匿値はタスク定義のsecretsを利用してタスク実行時に取得するべきですが、特に秘匿しなくてもよい値はタスク定義に直接埋め込むことができます。

その他の変更点

見た目の機能の追加/非互換よりも、内部的な変更が実は多かったりします。

AWS SDK Go v2 に切り替えました

AWS SDK Go v1も現時点ではEoL予定はなく引き続き更新されていますが、今後のことを考えて依存ライブラリも含めて v2 への移行を行いました。

CLI option parserを変更しました

alecthomas/kingpin がメンテナンスモードになったため、同作者の alecthomas/kong へ移行しました

単体タスク操作関連のコードを ecsta に切り出しました

ecspresso には tasks, exec など、ECSタスク単体を相手に操作する便利なコマンドがいくつかあります。

これらの操作を ecspresso 管理下以外のタスクにも行いたい需要があったので、ecsta というCLIツールを作成しました。どうぞご利用下さい。

github.com

ecspresso側のコマンドはv1と変更ありませんが、内部的にはecstaをライブラリとして呼び出すようになっています。

まとめ

• ecspresso v2をもうすぐリリースします
• v1.99.x を試していただいて、フィードバックを頂けると嬉しいです
• CircleCI Orb @0.0.15 かつ version: latest を指定している方はご注意下さい

メリークリスマス！(フライング)

AWS Containers Advent Calendar 2021 6日目の記事です。

先日、github.com/fujiwara/tracer という結構便利なやつを作りました。Amazon ECS タスクに関連するイベントとログを一括で出してくれる、シンプルな CLI です。

github.com

解説記事はこちら(会社のアドベントカレンダー)に書きましたのであわせてご覧下さい。

techblog.kayac.com

tracer は単体の CLI で動作するのでどのような手段で管理している ECS タスクにも使えるのですが、これを ecspresso からも呼び出せると便利では? と思い立ったのでそうしました、というのがこの記事です。

ecspresso tasks --trace

tracer は ECS クラスタ名とタスクIDを指定して動作します。ecspresso には tasks コマンドがあり、これは ecspresso が管理しているクラスタからタスクを特定する機能があります。つまり、

$ ecspresso tasks --trace

として、ecspresso 側でタスクを特定して、そのIDをtracerに引き渡して実行すれば完成です。実質10行ちょっとのpatchで実装できました。よかったですね。(tracer のコードを package として ecspresso 内部に組み込んであるので、tracer コマンドは不要です)

動作デモはこんな感じです。

ecspresso v1.7.2 で使えます

先ほどリリースした ecspresso v1.7.2 から使えます。

github.com

どうぞご利用ください。