むらおか | きいちログ

CloudShell VPC environment で RDS に dump を流し込む

むらおか — Sat, 06 Dec 2025 22:56:08 +0000

はじめに

結構前の話ですが VPC 内に CloudShell 環境を作ることが出来るようになってました。

Amazon VPC AWS CloudShell でのの使用 - AWS CloudShell

VPC での CloudShell の使用に関するガイダンスを提供します。これには、運用上の制約、CloudShell VPC 環境を作成する手順、作成と使用に必要な IAM アクセス許可が含まれます。

従来はプライベートサブネット内の RDS へのアクセスは、Bastion host を ECS で構築しておいて ECS Exec する方法が主流だったと思いますが、CloudShell VPC environment であればコンテナを用意する必要が無いということになります。更に嬉しいことに mysql や psql コマンドが標準でインストールされています。

利用時の注意点として、ファイルのアップロード/ダウンロードが出来ないというのがあります。よって、RDS に dump データを流し込む際は S3 を経由するなどをする必要があります。

実際にやってみます。

構成

同じ VPC 内に RDS と CloudShell を用意することになります。

今回は dump ファイルを持っていきたいので S3 に sql ファイルをアップロードしておきます。プライベートサブネット内から S3 へのアクセスはゲートウェイエンドポイントを介して行います。

事前準備

必要なリソースをマネジメントコンソールから作成します。

VPC ネットワークの作成

VPC とその関連リソースを作成します。作成するリソースを「VPCなど」とすることで周辺のリソースも併せて作成出来ます。

プライベートサブネットがあれば良いのでいくつか作成しておきます。

VPC エンドポイントは S3 ゲートウェイエンドポイントが必要なのでここで一緒に作成するか、別で作成する必要があります。別で作成する場合はサブネットのルートテーブルに忘れずにアタッチしておきましょう。

RDS の作成

今回は MySQL を使います。先程作成した VPC リソースに合わせて VPC とサブネットを選択します。

セキュリティグループを新規作成する場合は、CloudShell のセキュリティグループからのインバウンドアクセスを許可するようにする必要があります。

S3 バケットの作成と dump ファイルのアップロード

S3 バケットを用意します。パブリックアクセスは off のままで OK です。

dump ファイルは今回は以下のものを利用します。

https://dev.mysql.com/doc/index-other.html

実行

CloudShell の起動

マネジメントコンソールにログインし、CloudShell を起動します。

画面上部のアイコンをクリックすると、画面下段に CloudShell が起動します。

アクションボタンをクリックして「Create VPC environment」を選択します。

VPC, Subnet, Security group は事前に作成したものを選択します。

dump ファイルのダウンロード

S3 にアップロードした dump ファイルをダウンロードしてきます。

~ $ aws --version aws-cli/2.32.3 Python/3.13.9 Linux/6.1.156-177.286.amzn2023.x86_64 exec-env/CloudShell exe/x86_64.amzn.2023

# S3 への疎通確認
~ $ aws s3 ls

# dump ファイルのダウンロード 
~ $ aws s3 cp s3://{bucket-name}/world.sql ./world.sql
download: s3://{bucket-name}/world.sql to ./world.sql
~ $ ls world.sql
world.sql

このとき、S3 への疎通が取れない場合は S3 ゲートウェイエンドポイントの作成に失敗しているかルートテーブルにアタッチしていないことが考えられます。

dump データのインポート

念の為、インポートの前に mysql コマンドで RDS と疎通を取ると良いでしょう。

~ $ mysql -h {database-endpoint} -u {user} -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 12
Server version: 8.0.43 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

うまくログイン出来ない場合は RDS が停止しているか、RDS のセキュリティグループのインバウンドルールが漏れている可能性があります。

mysql コマンドを使って dump データを RDS に流し込みます。

~ $ mysql -h {database-endpoint} -u {user} -p < ./world.sql
Enter password:

インポートしたデータを確認します。

~ $ mysql -h {database-endpoint} -u {user} -p
Enter password: 
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 15
Server version: 8.0.43 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| sys                |
| world              |
+--------------------+
5 rows in set (0.005 sec)

MySQL [(none)]> use world
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MySQL [world]> show tables;
+-----------------+
| Tables_in_world |
+-----------------+
| city            |
| country         |
| countrylanguage |
+-----------------+
3 rows in set (0.001 sec)

MySQL [world]> select * from city limit 10;
+----+----------------+-------------+---------------+------------+
| ID | Name           | CountryCode | District      | Population |
+----+----------------+-------------+---------------+------------+
|  1 | Kabul          | AFG         | Kabol         |    1780000 |
|  2 | Qandahar       | AFG         | Qandahar      |     237500 |
|  3 | Herat          | AFG         | Herat         |     186800 |
|  4 | Mazar-e-Sharif | AFG         | Balkh         |     127800 |
|  5 | Amsterdam      | NLD         | Noord-Holland |     731200 |
|  6 | Rotterdam      | NLD         | Zuid-Holland  |     593321 |
|  7 | Haag           | NLD         | Zuid-Holland  |     440900 |
|  8 | Utrecht        | NLD         | Utrecht       |     234323 |
|  9 | Eindhoven      | NLD         | Noord-Brabant |     201843 |
| 10 | Tilburg        | NLD         | Noord-Brabant |     193238 |
+----+----------------+-------------+---------------+------------+
10 rows in set (0.001 sec)

MySQL [world]>

問題なくインポートされていることが確認出来ました。

おわりに

CloudShell であればすぐに起動することが出来ますし、Bastion のように使用していない時間帯に停止する必要も無いので、今回のような用途であれば手軽に始められそうです。欠点としては、操作ログが標準では残らないので、ログを取得する仕組みを自前で用意する必要があることぐらいでしょうか。

最近は簡単な作業であれば CLI で、インフラの構築は CDK を利用することが多く、マネジメントコンソールを開いて CloudShell を使う機会がほとんどありませんでしたが、今後は使う頻度が増えそうです。

ちなみにスマホからも使えれば良いと思ったのですが、現在はモバイルアプリでは使えないようでした。

AWS CloudShell 概念 - AWS CloudShell

AWS CloudShell インターフェイスのナビゲーションを示します。

Laravel Starter Kits × WorkOSでEntra IDとSSOしたときの記録

むらおか — Tue, 15 Jul 2025 09:36:32 +0000

はじめに

先日、Laravel 12 から Breeze と Jetstream の代わりに Starter Kits がサポートされたということを知りました。Starter Kits では WorkOS が公式にサポートされ、WorkOS 経由の SSO が比較的簡単に導入できるようになっていました。

Starter Kits - Laravel - The PHP Framework For Web Artisans

Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...

Starter Kits - Laravel 12.x - The PHP Framework For Web Artisans

Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...

せっかくなので Laravel Breeze で作ったアプリを Starter Kits を利用して作り直し、認証を WorkOS に寄せて Entra ID で SSO ログインをしてみました。実際にやってみると、WorkOS 側で拒否されるドメインがあったり、Entra ID 側の設定でログインに失敗するといったことがあり、結構なハマりポイントが多かったです。

今回は、導入までにハマったポイントを中心に記録を残していきます。

WorkOS は、Google や Microsoft などのサービスを使ったソーシャルログインや SAML 認証で SSO を実現できる認証プロバイダーです。WorkOS を利用するには WorkOS アカウントが必要です。

WorkOS — Your app, Enterprise Ready.

Developer APIs/SDKs for Enterprise Ready features like Single Sign-On, Directory Sync, Audit Logging, and more. Get star...

準備

Laravelアプリケーション

laravel コマンドをあらかじめインストールしておきます。laravel new で新しい Laravel プロジェクトを対話形式で作成できます。このとき、認証プロバイダーを選択できるので WorkOS を選んでおきます。

 ┌ Which authentication provider do you prefer? ────────────────┐
 │   ○ Laravel's built-in authentication                        │
 │ › ● WorkOS (Requires WorkOS account)                         │
 └──────────────────────────────────────────────────────────────┘

WorkOS の API を利用するために .env も編集しておきます。各値は WorkOS のダッシュボードから確認できます。

WORKOS_CLIENT_ID=xxxx
WORKOS_API_KEY=xxxx
WORKOS_REDIRECT_URL="http://localhost:8000/authenticate"

Entra ID側の準備とSAML接続

Entra ID 側で WorkOS と SAML 接続できるように設定をしておきます。手順はドキュメントの通りで大丈夫です。

Entra ID SAML (formerly Azure AD) – Integrations – WorkOS Docs

Learn how to configure a connection Entra ID via SAML.

ACS URL と SP Entity の場所が若干わかりづらいですが、Organizations から対応するものを選択して View connections ボタンを押下した先にあります (執筆当時)。

UI は度々変更になるようですので、見当たらなければ根気よく探す必要があります。

ハマったポイント

アプリケーションへのアクセス権がなくて拒否される (AADSTS50105)

アプリのログイン画面 (または AuthKit) でメールアドレスを入力して送信すると、以下のようなメッセージが表示されます。

AADSTS50105: Your administrator has configured the application HOGE SAML App ('xxxxx') to block users unless they are specifically granted ('assigned') access to the application. The signed in user 'foo@bar.example.com' is blocked because they are not a direct member of a group with access, nor had access directly assigned by an administrator. Please contact your administrator to assign access to this application.

これは、ログインしようとしたユーザーに当該アプリケーションへのアクセスが許可されていないことに起因します。

エラー AADSTS50105 - サインインしているユーザーがアプリケーションのロールに割り当てされていません。

Microsoft Entra SSO を使用して SAML ベースの構成済みアプリにサインインするときにAADSTS50105 エラーが発生する問題について説明します。

Entra 管理センターまたは Azure ポータルからユーザーを追加することで解消ができるはずです。

ドメインの設定漏れでSign in画面がループする

WorkOS で SSO を利用するには、事前にドメインの検証と設定が必要です。この設定が漏れていると Sign in 画面から先に進めずループしてしまう挙動を示すことがあります。

ドメインの検証方法には、次の2つがあります。

Self-serve Domain Verification
Manual Domain Verification

詳しくは公式ドキュメントをご覧ください。

Domain Verification – AuthKit – WorkOS Docs

Verify organization domains for secure authentication and provisioning.

Manual Domain Verification を利用する場合、既に Entra ID などで所有が確認されたカスタムドメインを、WorkOS の設定に手動で追加します。

ここでは所有が確認できるドメインを入力するので、gmail.com や outlook.com などの public consumer domain を入力しようとすると拒否されます。

属性のマッピング不正でログインに失敗する

ログインに失敗すると、Notifications に以下のログが残る場合があります。

同様に Admin Email 宛に以下のようなメッセージも届いているかと思います。

Single Sign-On failed for XXXXXX

Your foo.example.com connection received invalid user attributes and failed to authenticate a user.
 
Why this might happen
 
The user attributes are misconfigured in Entra ID (Azure AD).
A single user is misconfigured in Entra ID (Azure AD). (Check the received attributes below).
 
How to fix this
 
Verify that attribute mapping is correct in the Entra ID (Azure AD) dashboard.

このエラーは、idP (今回の場合 Entra ID) から返却される attribute が WorkOS 側で期待しているものと異なっていることを示しています。

API Reference – WorkOS Docs

Code snippets and type definitions for the WorkOS client libraries.

WorkOS 側で期待している属性値と Entra ID 側から送っている属性がマッチしていることを確認します。

WorkOS Attribute mapping

Entra 管理センター属性とクレーム

WorkOS 側で required となっている項目については、Entra ID 側で設定されていないとキー毎何も返さなくなるので、設定しておく必要があります。特に Starter Kits を利用する場合は姓名が必須になっているので注意が必要です。

また、姓名を漢字などのマルチバイト文字で登録すると何故か返って来ないという現象がありました (これについては未解決です)。

さいごに

本記事では、Laravel Starter Kit で WorkOS を利用し、Microsoft Entra ID と SAML SSO を組み合わせた際に直面した問題とその対処法をまとめました。これが実際のプロジェクトで導入しようとしている方々の助けになれば幸いです。

今回紹介したものは、WorkOS 特有のハマりポイントもありましたが、Entra ID や SAML の仕様で躓いた部分もありました。私自身が SAML への理解が浅いということが露呈した結果ではあります。精進します。

AWS CDK と Bref を用いた Laravel サーバーレス構成 ― Lambda + EFS + SQLite

むらおか — Wed, 30 Apr 2025 06:26:38 +0000

はじめに

PHPでAWS Lambdaを利用したアプリケーションを構築するには、カスタムランタイムが必要になります。BrefはLambdaでPHPを実行するためのランタイムとLaravel、SymfonyなどのPHPフレームワークとの統合を提供しています。

Bref – Simple and scalable PHP with serverless

Bref is a framework to write and deploy serverless PHP applications on AWS Lambda.

本記事では、このBrefを使ったLaravelアプリケーションの環境構築方法を解説していきます。

プロジェクトの概要

コンセプト

基本的にBrefはServerless Frameworkを介して利用しますが、今回はAWS CDKにBref用の専用Constructが用意されているので、CDKを利用することにしました。コードベースでのインフラ管理や拡張の容易性もCDKを選定した理由になります。

また、個人のテスト環境として比較的低コストで構築できるように最小構成で実装していきます。

成果物

完成品は以下に配置してあります。

GitHub - ShotaroMuraoka/cdk-serverless-laravel: Laravel アプリケーションを Bref でサーバーレス化した CDK

Laravel アプリケーションを Bref でサーバーレス化した CDK. Contribute to ShotaroMuraoka/cdk-serverless-laravel development by creating an ac...

システム構成

システム構成は以下の通りです。

Lambda関数が2つデプロイされているのは、API Gatewayに統合されているWebアプリケーションと php artisan migrate などを実行するConsoleアプリケーションを分けているためです。EFSは後述しますが、データストレージの役割を担っています。

準備

Laravel

Laravel側の作業はBrefに必要なライブラリをインストールするだけです。

% composer require bref/bref bref/laravel-bridge --update-with-dependencies

CDK

CDK側では、BrefのConstructパッケージをインストールします。

% npm install @bref.sh/constructs

CDKの実装

CDK側の実装を見ていきます。

ネットワーク

EFSをマウントさせる都合上、VPC Lambdaである必要があります。コスト高になりがちなNAT Gatewayに関しては、今回はLambdaからインターネットに出ていく必要は無いので、作成をしない設定にしています。

const vpc = new ec2.Vpc(this, "BrefVpc", {
  maxAzs: 1,
  natGateways: 0,
  restrictDefaultSecurityGroup: true,
  subnetConfiguration: [
    {
      name: "BrefPrivate",
      subnetType: ec2.SubnetType.PRIVATE_ISOLATED,
    },
  ],
});

データストレージ

RDBのマネージドサービスは高価ですので、Laravelの初期状態で使えるSQLiteを選定し、EFSに database.sqlite ファイルを配置するようにします。冗長化も不要なのでOneZoneを選択しています。

const fileSystem = new efs.FileSystem(this, "BrefEfs", {
  vpc: vpc,
  removalPolicy: cdk.RemovalPolicy.DESTROY,
  performanceMode: efs.PerformanceMode.GENERAL_PURPOSE,
  throughputMode: efs.ThroughputMode.BURSTING,
  oneZone: true,
});

const accessPoint = this.fileSystem.addAccessPoint("BrefAccessPoint", {
  path: "/bref"
  createAcl: {
    ownerUid: "1001",
    ownerGid: "1001",
    permissions: "750",
  },
  posixUser: {
    uid: "1001",
    gid: "1001",
  },
});

アプリケーション

システム構成の項で紹介した通り、WebアプリケーションとConsoleアプリケーションの2つを用意しています。

Webアプリケーション

Webアプリケーションでは、Lambda関数とHTTPからのアクセス用にAPI Gatewayを統合します。Lambda関数は @bref.sh/constructs に PhpFpmFunction というBrefのレイヤーを追加したConstructがあるので、これを使用します。

const backendFn = new PhpFpmFunction(this, "BrefApiFunction", {
  functionName: "ApiFunction",
  handler: "public/index.php",
  code: packagePhpCode("../laravel/", {
    exclude: ["tests/**", "var/**"],
  }),
  timeout: cdk.Duration.seconds(28),
  memorySize: 1024,
  vpc: vpc,
  filesystem: lambda.FileSystem.fromEfsAccessPoint(
    accessPoint,
    "/mnt/efs",
  ),
  environment: {
    APP_ENV: "production",
    LOG_CHANNEL: "stderr",
    DB_CONNECTION: "sqlite",
    DB_DATABASE: "/mnt/efs/database.sqlite",
  },
  phpVersion: "8.4",
});

const api = new apigwv2.HttpApi(this, "BrefHttpApi", {
  defaultIntegration: new integrations.HttpLambdaIntegration(
    "Integration",
    backendFn,
  ),
});

new cdk.CfnOutput(this, "ApiUrl", {
  value: api.url!,
});

URLを CfnOutput で出力するとデプロイ後のアクセスが楽になります。

Consoleアプリケーション

Brefには、ConsoleFunction というConstructがあります。これは、artisanコマンドを実行するエンドポイントになります。

new ConsoleFunction(this, "BrefConsoleFunction", {
  functionName: "ConsoleFunction",
  handler: "artisan",
  code: packagePhpCode("../laravel/", {
    exclude: ["tests/**", "var/**"],
  }),
  timeout: cdk.Duration.seconds(28),
  memorySize: 512,
  vpc: vpc,
  filesystem: lambda.FileSystem.fromEfsAccessPoint(
    accessPoint,
    "/mnt/efs",
  ),
  environment: {
    APP_ENV: "production",
    LOG_CHANNEL: "stderr",
    DB_CONNECTION: "sqlite",
    DB_DATABASE: "/mnt/efs/database.sqlite",
  },
  phpVersion: "8.4",
});

artisanコマンドはaws cli経由で実行しますので、functionName を定義しておくと後々便利です。

デプロイ・動作確認

デプロイして動作確認してみます。

% cdk deploy

(略)

Outputs:
BrefStack.ApiUrl = https://example.execute-api.ap-northeast-1.amazonaws.com/

出力されたURLにアクセスしてみます。

当然、migrationが終わっていないのでエラーが表示されます。ConsoleFunctionを直接実行してmigrationします。aws cliを利用して以下を実行します。

% aws lambda invoke \
     --function-name ConsoleFunction \
     --region ap-northeast-1 \
     --cli-binary-format raw-in-base64-out \
     --payload '"migrate --force"' \
     response.json

{
    "StatusCode": 200,
    "ExecutedVersion": "$LATEST"
}

Lambdaの実行に問題がなければLaravelの画面が見られるようになるはずです。

まとめと感想

本記事では、BrefをCDKで利用してAWS Lambda上でLaravelを動かしてみました。また、低コストでの構築を目指し、最小構成の形を取りました。

BrefはLaravelアプリケーション側で意識することが少ないですので、かなり手軽にできるんじゃないかと思いました。デプロイパイプラインを整えれば、本番環境にも適用できると思います。

AWS Certified SysOps Administrator Associate合格までの勉強時間とやったことを振り返る

むらおか — Wed, 02 Apr 2025 05:33:17 +0000

DVA の有効期限が来年に迫っていたので、さっさと SOA を取ってしまおうと重い腰をあげてようやく受験してきました。今回も振り返りをしてみます。

どのような勉強をしたか

今回もテキストと公式資料のみを使用するという方法をとりました。

受験を決めてから受験当日まで日が無かったので、今までの試験と比較して勉強時間は極小になっています。

テキスト

AWS認定資格試験テキスト AWS認定SysOpsアドミニストレーター – アソシエイト AWS認定資格試験テキスト

昨年 SAP の前に受験する前に購入していたものですが、試験内容は当時から変更が無いようなのでそのまま利用しました。このシリーズは鉄板だと思います。

メインで利用するというより、後述の模擬試験実施後に知識が不足している分野を読み込むという使い方をしました。

公式

Skill Builder

Skill Builder では、以下の2コース (無料) を実施しました。

AWS Certified SysOps Administrator – Associate Official Practice Question Set (SOA-C02 – 日本語)

Self-paced digital training on AWS - AWS Skill Builder

Your learning center to build in-demand cloud skills.

Exam Prep Standard Course: AWS Certified SysOps Administrator – Associate (SOA-C02) (日本語実写版)

Self-paced digital training on AWS - AWS Skill Builder

Your learning center to build in-demand cloud skills.

まずはこれらを実施し、不明瞭な分野をテキストや公式ドキュメントで補完するという方法を取りました。

まとめ

なんとか合格しましたが、準備不足だったなという感がありました。特に選択肢の絞り込みでは、最後の2択を選び切れないというケースが多々あり、もう一回受けて合格できる自信はないです。

順序的に DOP を次に計画しているのですが、3ヶ月くらいはしっかり準備をしたいと思います。

Microsoft Certified: Azure Fundamentals (AZ-900) 合格までにやったことを振り返る

むらおか — Wed, 22 Jan 2025 15:24:26 +0000

昨年から Azure を使うようになりました。

ある分野の知識を体系的に学んで身につけるには、資格取得へ向けて勉強するのが良いというのを身を以て知っているので、とりあえず基礎的な AZ-900 を受験してきました。

Microsoft 認定: Azure Fundamentals - Certifications

クラウドの概念、Azure のコアサービス、および Azure の管理とガバナンスの機能とツールに関する基本的な知識を示します。

難易度的には基礎レベルなので、おそらく AWS Certified Cloud Practitioner と同程度と思っています。

どのような勉強をしたか

いつものように書籍を初手で購入したのですが、Microsoft に関連するものは公式の資料やトレーニング用コンテンツが豊富なので、それだけでも良かった気がします。

公式

Microsoft Learn

Microsoft Learn: キャリアの扉を開くスキルを身につける

ドキュメントやトレーニングによる技術スキルを獲得し、資格を取得し、コミュニティとつながる

各認定試験ごとにコースが用意されているようで、今回は AZ-900 受験に向けたコースを受講しました。もちろん無料です。

AZ-900T00-A コース: クラウドインフラストラクチャの概要 - Training

AZ-900T00-A コース: クラウドインフラストラクチャの概要

コースではサンドボックス内でのハンズオンが用意されています。手を動かしながら覚えられるのは地味に嬉しいですね。

AWS プロフェッショナル向け Azure

AWS プロフェッショナルのための Azure - Azure Architecture Center

Microsoft Azure プラットフォーム、アカウント、サービスの基本について説明します。 AWS プラットフォームと Azure プラットフォームの主な類似点と相違点について説明します。

既に AWS を利用している人向けの資料です。これはかなり利用しました。よく知らない Azure のサービス名が出てきたら、まずはこのページを開くぐらいのことはやっていました。

テキスト

全体像と用語がよくわかる! Microsoft Azure入門ガイド

Azure についての知識が0からのスタートだったので、全体を薄く解説している本を用意しようと思っていました。これと「AWS プロフェッショナル向け Azure」を行き来しながら読むと良いと思います。

まとめ

今まで受験した AWS 認定と比較してもかなり易しかったと思います。クラウドの基礎についての理解と Azure のメインのサービスを触ったことがあれば比較的簡単に合格できそうです。勉強時間はトータルで10時間程度だったと思います。

公式のコンテンツは AWS よりも日本語訳が進んでいるようですが、訳し方にムラがあるように思えます。「Azure Fundamentals」と「Azure の基礎」はどちらかに統一してもらいたかった。。

次も何か受けてみようと思います。

【Azure】Microsoft Entra IDで認可してBlob Storageを操作してみた

むらおか — Wed, 15 Jan 2025 16:39:45 +0000

Azure Functions などのコンピュートリソースを用意しないで、直接 Blob Storage にファイルをアップロードする方法は無いものか、と考えていたのですが、Microsoft Entra ID で認可できればいいみたいでした。

別解として SAS トークンを利用した認可もありますが、どうやら Entra ID が推奨みたいです。

Azure Blob Storage と JavaScript または TypeScript の概要 - Azure Storage

Azure Blob Storage で動作する JavaScript または TypeScript アプリケーションの開発を開始します。この記事では、プロジェクトを設定し、Azure Blob Storage エンドポイントへのアクセス...

というわけで、今回は Microsoft Entra ID で認可して Blob Storage にファイルをアップロードするところまでやってみます。

本記事紹介している方法は、Microsoft Entra ID やストレージアカウントの RBAC の設定が甘いと思われます。本番環境で利用する場合は十分なレビューが必要です。

構成

Microsoft Entra ID での認証自体は Remix で作った Web アプリを経由させ、Blob Storage へのアップロードはブラウザから直接行うようにします。登場人物をまとめた図は以下です。

Microsoft Entra 管理センター

Microsoft Entra 管理センターにて、アプリの登録を行います。アプリの登録ではアプリを一意に示す ID とアプリ自体の認証情報を作成します。

手順は以下を参考に。

クイックスタート - サンプル Web アプリでユーザーをサインインする - Microsoft identity platform

従業員テナントの従業員または外部テナントの顧客をサインインさせるサンプル Web アプリを構成する方法を示す Web アプリのクイックスタート

アプリの登録が完了すると、概要ペインからクライアント ID とテナント ID を取得できます。

今回は Web アプリ (機密クライアント) を選択したので、クライアントシークレットを生成します。

パブリックおよび機密のクライアントアプリ (MSAL) - Microsoft identity platform

Microsoft Authentication Library (MSAL) でのパブリッククライアントアプリケーションと機密クライアントアプリケーションについて説明します。

ログイン正常完了時にトークンを送る先をリダイレクト URI として追加します。

ストレージアカウント

Microsoft Entra ID で認証されたユーザーに Blob Storage の操作を許可します。これを実現するには、ロールベースのアクセス制御である Azure RBAC を利用します。

まずは Azure portal から任意のストレージアカウントとコンテナーを作成します。作成できたら、アクセス制御 (IAM) ペインから追加タブ > ロールの割り当ての追加を選択します。

データ共同作業者を選択して次へを選択します。

許可するユーザーを追加してレビューと割り当てを選択します。

Remix アプリ

Remix で作ったものは GitHub にアップしてます。

GitHub - ShotaroMuraoka/azure-entra-auth-blob-storage: Azure Blob Storage へのアクセスを Microsoft Entra ID で認可するアプリ

Azure Blob Storage へのアクセスを Microsoft Entra ID で認可するアプリ - ShotaroMuraoka/azure-entra-auth-blob-storage

以降はポイントのみを説明していきます。

ライブラリ

Remix で Microsoft Entra ID を使った認証と Blob Storage の操作を行うのに以下のライブラリを利用しています。

remix-auth: 3.7.0
remix-auth-microsoft: 2.0.1
remix-auth-oauth2: 1.11.0
@azure-storage-blob: 12.26.0

環境変数

.env を作成し、取得した ID とクライアントシークレット、ストレージアカウント名などを記載します。

ENTRA_CLIENT_ID={クライアントID}
ENTRA_CLIENT_SECRET={クライアントシークレット}
ENTRA_REDIRECT_URI=http://localhost:5173/auth/microsoft/callback
ENTRA_TENANT_ID={テナントID}
AZURE_STORAGE_ACCCOUNT={ストレージアカウント名}
AZURE_BLOB_CONTAINER={コンテナー名}

認証・認可

remix-auth-microsoft では MicrosoftStrategy が用意されているので、それを利用した Authenticator を作っています。

ここでは、scope に Azure Storage のアクセストークンの要求を追加しています。

let microsoftStrategy = new MicrosoftStrategy(
  {
    clientId: process.env.ENTRA_CLIENT_ID || "",
    clientSecret: process.env.ENTRA_CLIENT_SECRET || "",
    redirectUri: process.env.ENTRA_REDIRECT_URI || "",
    tenantId: process.env.ENTRA_TENANT_ID || "",
    scope: [
      "openid",
      "email",
      "profile",
      "https://storage.azure.com/user_impersonation",
    ], // optional
    prompt: "login", // optional
  },

取得したアクセストークンはセッション情報に書き出されるので、loader でフロントエンドに渡しています。

export async function loader({ request }: LoaderFunctionArgs) {
  const user = await authenticator.isAuthenticated(request);
  if (!user) {
    throw new Response("Unauthorized", { status: 403 });
  }

  const accessToken = user.accessToken;
  const storageAccount = process.env.AZURE_STORAGE_ACCCOUNT;
  const blobContainer = process.env.AZURE_BLOB_CONTAINER
  return { accessToken, storageAccount, blobContainer };
}

アクセストークンは @azure-storage-blob が提供するクライアントの生成に利用しています。

const blobServiceClient = createBlobServiceClient(
  accessToken,
  storageAccount,
);

const containerClient = blobServiceClient.getContainerClient(blobContainer);
const blockBlobClient = containerClient.getBlockBlobClient(file.name);

try {
  const response = await blockBlobClient.uploadBrowserData(file, {
    blobHTTPHeaders: { blobContentType: file.type },
  });
  console.log("upload succeeded", response.requestId);
  alert("ファイルアップロード完了");
} catch (error) {
  console.error("upload failed", error);
  alert("ファイルアップロード失敗");
}

動作確認

アプリを起動します。

# npm run dev

ブラウザで http://localhost:5173/login にアクセスします。

ログインボタンを押下すると、Microsoft のサインイン画面にリダイレクトされます。

ストレージアカウントで許可したユーザーの認証情報を入力してログインに成功すると、ダッシュボード画面にリダイレクトします。初回ログイン時にのみ、Azure Storage へのアクセス許可を聞かれます。

任意のファイルを選択して Upload ボタンを押下します。ファイルのアップロードが成功するとメッセージが表示されます。

Blob コンテナーを見てみると、ファイルがアップロードされていることが確認できます。

おわりに

普段、Azure や Entra ID を利用する機会が無いので、難易度が高かったです。次は SAS トークンを試してみようと思います。

PHP Conference Japan 2024 に LT しに行ってきました

むらおか — Wed, 25 Dec 2024 15:46:31 +0000

PHP カンファレンスに参加してきました。現地参加はかなり久々でした。
今回は LT に採択されたのでセッションを聞くだけではなく、登壇するという今までとは違った参加の仕方になりました。

見たセッション

当日はオープニングと廣川氏のトークを配信で見ながら電車で向かいました。

現地に到着してからはいくつかセッションを見て回りました。特に印象に残ったものの感想を書いておきます。

Rustで作るPHP拡張モジュール：PSR-7ライブラリ編

Rustは高いパフォーマンスとメモリ安全性を両立したプログラミング言語で、最近ではLinuxカーネルの開発に一部取り入れられたことでも話題になるなど、人気の高い言語の一つです。そのRustで、PHPの拡張モジュールを作ることができるのをご存...

Rust には興味はあったものの、きっかけが掴めず今日までいました。PHP に関することで使えるならやってみようかなと思いました。

見えないメモリを観測する: PHP 8.4 `pg_result_memory_size()` とSQL結果のメモリ管理

PHP 8.4で追加された `pg_result_memory_size()` は、SQL実行結果の中でも `memory_get_usage()` に計上されない隠れたメモリ使用量を可視化します。特に大量データ処理時のメモリ不足リスクを軽...

普段、意識することのない PHP のメモリ管理のお話で非常に勉強になりました。php-src へのコントリビューションのヒントも得られました。

LTで発表した話

LT させてもらいました。

LT に関しては、プロポーザル提出する前から果たしてこのネタは面白いのか？、技術的に間違ったことを書いて無いか？、という葛藤を100週くらいしており、応募のボタンをなかなか押せないでいました。
最終的には、悩むのは採択されてからにしようという考えに至り、締切ギリギリにて提出が完了しました。無事採択されてからは夜も眠れないほど悩みました。

ただ、そんなことは杞憂でしたね。当日の X のタイムラインでは多くの方に反応をいただけていたようです。

LTあんまり自信なかったけど、反応が結構あったのでやって良かったなと
— しおたろ (@muraSHOTARO) December 22, 2024

月並みな感想ですが、やってよかったです。

今回のネタは int の型キャストと intval だけでしたが、Opcode の最適化はそこかしこで行われているので、自分の調べた範囲のものはいずれポストしようと思います。

感想

やっぱ現地参加は良かったです。新しいつながりもできますし、あの空気感はオンラインでは味わえないです。来年も何かしら現地参加してみようと思います。

あと、ほぼ最初から最後までいたのですが、午前中に張り切りすぎて午後は集中力が切れてました。。体力をもっとつけようと思いました。

【Laravel】Laravel SanctumがCSRFトークンの検証で何やってるかをちゃんと理解する

むらおか — Thu, 19 Dec 2024 14:41:21 +0000

この記事は Laravel Advent Calendar 2024 19日目の投稿です。

Laravel - Qiita Advent Calendar 2024 - Qiita

Calendar page for Qiita Advent Calendar 2024 regarding Laravel.

Laravel Sanctum が簡単な認証システムを提供してくれるのは良く知られているんですが、認証に関する面倒なことを考えずに済む程度には抽象化されてしまっていて、裏で何をやっているのかを考えたことがありませんでした。

今回はそんな Laravel Sanctum が CSRF トークンの検証で何をやっているのかを追っていこうと思います。

Laravel Sanctum のインストールについては公式ドキュメントに記載があります。詳細はそちらを御覧ください。

Laravel Sanctum - Laravel 11.x - The PHP Framework For Web Artisans

Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...

Middleware

Sanctum インストール時に bootstrap/app.php に以下の記述を追加したと思います。

->withMiddleware(function (Middleware $middleware) {
    $middleware->statefulApi();
})

これは、特定のミドルウェアの有効化フラグを true にします。

/**
 * Indicate that Sanctum's frontend state middleware should be enabled.
 *
 * @return $this
 */
public function statefulApi()
{
    $this->statefulApi = true;

    return $this;
}

ここが true になっていると、api ミドルウェアグループを利用してるエンドポイントは EnsureFrontendRequestsAreStateful というミドルウェアを通るようになります。

/**
 * Get the middleware groups.
 *
 * @return array
 */
public function getMiddlewareGroups()
{
    $middleware = [
        'web' => array_values(array_filter([
            \Illuminate\Cookie\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \Illuminate\Foundation\Http\Middleware\ValidateCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
            $this->authenticatedSessions ? 'auth.session' : null,
        ])),
        'api' => array_values(array_filter([
            $this->statefulApi ? \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class : null,
            $this->apiLimiter ? 'throttle:'.$this->apiLimiter : null,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ])),
    ];
(省略)
}

EnsureFrontendRequestsAreStateful では複数のミドルウェアを通していますが、ほとんどがセッションにまつわるミドルウェアで web ミドルウェアグループで定義されているミドルウェアとほぼ同じです。

/**
 * Handle the incoming requests.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  callable  $next
 * @return \Illuminate\Http\Response
 */
public function handle($request, $next)
{
    $this->configureSecureCookieSessions();

    return (new Pipeline(app()))->send($request)->through(
        static::fromFrontend($request) ? $this->frontendMiddleware() : []
    )->then(function ($request) use ($next) {
        return $next($request);
    });
}

(省略)

/**
 * Get the middleware that should be applied to requests from the "frontend".
 *
 * @return array
 */
protected function frontendMiddleware()
{
    $middleware = array_values(array_filter(array_unique([
        config('sanctum.middleware.encrypt_cookies', \Illuminate\Cookie\Middleware\EncryptCookies::class),
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        config('sanctum.middleware.validate_csrf_token', config('sanctum.middleware.verify_csrf_token', \Illuminate\Foundation\Http\Middleware\VerifyCsrfToken::class)),
        config('sanctum.middleware.authenticate_session'),
    ])));

    array_unshift($middleware, function ($request, $next) {
        $request->attributes->set('sanctum', true);

        return $next($request);
    });

    return $middleware;
}

その中から今回見ていくのは、VerifyCsrfToken になります。

VerifyCsrfToken

では、VerifyCsrfToken を見ていきます。

CSRFトークンの検証

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 *
 * @throws \Illuminate\Session\TokenMismatchException
 */
public function handle($request, Closure $next)
{
    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return tap($next($request), function ($response) use ($request) {
            if ($this->shouldAddXsrfTokenCookie()) {
                $this->addCookieToResponse($request, $response);
            }
        });
    }

    throw new TokenMismatchException('CSRF token mismatch.');
}

VerifyCsrfToken では、まず検証の対象外かどうかを判定するために以下を走査しています。

HTTP リクエストのメソッドが HEAD, GET, OPTIONS のいずれかかどうか
コンソールで実行されているかどうか
- APP_RUNNING_IN_CONSOLE
- SAPI が cli または phpdbg
ユニットテストで実行されているかどうか
- APP_ENV が testing
除外対象 URI かどうか
- Excluding URIs From CSRF Protection

検証の対象だった場合は、リクエストされた CSRF トークンの整合性を検証します。

/**
 * Determine if the session and input CSRF tokens match.
 *
 * @param  \Illuminate\Http\Request  $request
 * @return bool
 */
protected function tokensMatch($request)
{
    $token = $this->getTokenFromRequest($request);

    return is_string($request->session()->token()) &&
            is_string($token) &&
            hash_equals($request->session()->token(), $token);
}

ここでは、まずリクエストからトークンを取得します。フォームからのリクエストなどでボディに、_token があればそれを利用し、なければヘッダから X-CSRF-TOKEN または X-XSRF-TOKEN を取得します。
そして、そのトークンとサーバー側のセッションストレージに保存されているトークンを比較しています。この検証に失敗すると、TokenMismatchException が投げられ、ステータスコード 419 でレスポンスが返される、ということになります。

CSRFトークンの付与

CSRF トークンは Set-Cookie レスポンスヘッダで付与されます。これも VerifyCsrfToken でやっています。

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 *
 * @throws \Illuminate\Session\TokenMismatchException
 */
public function handle($request, Closure $next)
{
    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return tap($next($request), function ($response) use ($request) {
            if ($this->shouldAddXsrfTokenCookie()) {
                $this->addCookieToResponse($request, $response);
            }
        });
    }

    throw new TokenMismatchException('CSRF token mismatch.');
}

(省略)

/**
 * Add the CSRF token to the response cookies.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Symfony\Component\HttpFoundation\Response  $response
 * @return \Symfony\Component\HttpFoundation\Response
 */
protected function addCookieToResponse($request, $response)
{
    $config = config('session');

    if ($response instanceof Responsable) {
        $response = $response->toResponse($request);
    }

    $response->headers->setCookie($this->newCookie($request, $config));

    return $response;
}

(省略)

/**
 * Create a new "XSRF-TOKEN" cookie that contains the CSRF token.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  array  $config
 * @return \Symfony\Component\HttpFoundation\Cookie
 */
protected function newCookie($request, $config)
{
    return new Cookie(
        'XSRF-TOKEN',
        $request->session()->token(),
        $this->availableAt(60 * $config['lifetime']),
        $config['path'],
        $config['domain'],
        $config['secure'],
        false,
        false,
        $config['same_site'] ?? null,
        $config['partitioned'] ?? false
    );
}

ここでは、XSRF-TOKEN でセッショントークンを返すようにしています。

まとめ

Laravel Sanctum インストールの手順を行うと、api ミドルウェアグループでセッションの検証ができるようになる
CSRF トークンの検証は、VerifyCsrfToken ミドルウェアで行っている
- 対象でなければ検証しない
- 対象であればトークンとセッションデータを比較する
CSRF トークンは Set-Cookie レスポンスヘッダに XSRF-TOKEN を付与している

【WordPress】ホストネットワーキングモードでWP-Cronをちゃんと動かす

むらおか — Wed, 18 Sep 2024 15:46:05 +0000

先日、Docker Desktop でもホストネットワーキングモードがサポートされたようです。

Docker Desktop内のコンテナに対して「localhost」でアクセス可能に、WSL2のストレージ領域を自動で縮小など新機能、Docker Desktop 4.34正式リリース

Docker社は、WindowsやMac、Linuxに手軽にDockerコンテナ環境を導入し利用できるソフトウェアであるDocker Desktopの最新版「Docker Desktop 4.34」正式版のリリースを発表しました。 Dock...

どのようなときにホストネットワーキングモードの恩恵を受けられるか考えていたのですが、ローカル環境かつ Nginx + PHP-FPM 構成で WP-Cron を使った時に良さそうだなと思ったのでやってみました。

WP-Cron が機能しない問題

ローカル環境で Nginx + PHP-FPM 構成で WordPress を動かそうとすると、WP-Cron が機能しなくなるというのは、誰もが一度は通った道かと思います。

WP-Cron が機能しなくなる理由を簡単に説明すると、以下のような流れになります。

WP-Cron は WordPress へのリクエストによってトリガーされる
WP-Cron はページへのアクセスがあった際にスケジュールを確認し、必要があれば site_url 配下のエンドポイントへ HTTP リクエストを送信します。
site_url がローカル環境では localhost になる
ローカル環境で WordPress を実行しているため、site_url は http://localhost になることが多いです。そのため、WP-Cron は localhost に対してリクエストを送信することになります。
PHP-FPM コンテナで localhost にリクエストをすると、自分自身に送信される
Docker コンテナで localhost はコンテナ自身を示します。
PHP-FPM コンテナには HTTP サーバーは開かれていない
PHP-FPM コンテナは HTTP リクエストを受け付けるポート (通常は 80 番) が開かれていません。よって、リクエストが失敗し、WP-Cron が実行できなくなります。

要するに、localhost が示す先がコンテナ自身になってしまうということが原因ですので、WordPress を実行するサーバーの IP アドレスにドメインが関連付けられている場合 (本番環境など) では発生し得ません。

WP-Cron が機能していないことは管理画面の通知から窺い知ることが出来ます。WP Crontrol をインストールした環境であれば設定画面で確認出来ます。

cURL error 7: Failed to connect to localhost port 80 after 0 ms: Couldn't connect to server。

この事象の回避方法としては、HTTP リクエストを投げる先を cron_request フィルターフックで指定しているので、host.docker.internal などに書き換えるなどがあります。

$cron_request = apply_filters(
	'cron_request',
	array(
		'url'  => add_query_arg( 'doing_wp_cron', $doing_wp_cron, site_url( 'wp-cron.php' ) ),
		'key'  => $doing_wp_cron,
		'args' => array(
			'timeout'   => 0.01,
			'blocking'  => false,
			/** This filter is documented in wp-includes/class-wp-http-streams.php */
			'sslverify' => apply_filters( 'https_local_ssl_verify', false ),
		),
	),
	$doing_wp_cron
);

ただ、ローカル環境のみで発生する事象に対して手を加えるのは、若干の気持ち悪さが残ります。

Docker のホストネットワーキングモードを使用すれば、localhost はホストを指すことになるので、上記の問題が解消しそうです。

やってみた

まずは、ホストネットワーキングモードを Docker Desktop 側で有効化します。手順は以下を参考にしました。

Host network driver

All about exposing containers on the Docker host's network

次に、Docker で Nginx + PHP-FPM + WordPress の環境を作ってみます。compose.yaml は以下です。

services:
   db:
     image: mysql:8.0
     volumes:
       - db_data:/var/lib/mysql
     environment:
       MYSQL_ROOT_PASSWORD: somewordpress
       MYSQL_DATABASE: wordpress
       MYSQL_USER: wordpress
       MYSQL_PASSWORD: wordpress
     network_mode: "host"

   nginx:
    image: nginx:1.27.1-bookworm
    volumes:
      - ./default.conf:/etc/nginx/conf.d/default.conf
    volumes_from:
      - wordpress-fpm
    depends_on:
      - wordpress-fpm
    network_mode: "host"

   wordpress-fpm:
     image: wordpress:6.6.2-php8.1-fpm
     depends_on:
       - db
     network_mode: "host"

volumes:
    db_data:

ここで network_mode: "host" を指定することでホストネットワーキングモードが利用できます。

Nginx の default.conf は以下を用意しました。

server {
    listen       80;
    listen  [::]:80;
    server_name  localhost;

    root /var/www/html;
    index index.php;

    location / {
        index  index.php;
    }

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    location ~ \.php$ {
        fastcgi_pass   localhost:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include        fastcgi_params;
    }
}

上記のファイルを作成出来たら docker compose up で立ち上げ、ブラウザから localhost にアクセスします。あとは適当にポチポチと設定をしてログインします。

データベースの設定での注意点として、ホスト名は localhost ではなく 127.0.0.1 を指定してください。

MySQL :: MySQL 8.0 リファレンスマニュアル :: 4.2.4 コマンドオプションを使用した MySQL Server への接続

ログインしてダッシュボードまで辿り着いたら、WP-Cron の確認をします。WP Crontrol をインストールして設定画面を見てみると「cURL error 7: ~」のメッセージが表示されていないことが確認出来ます。

一覧から適当なイベントの「今すぐ実行」をクリックすると通知が表示され、正常に実行されたことが確認出来ます。

まとめと感想

Docker Desktop でホストネットワーキングモードがサポートされたと聞いたときに真っ先にこのネタが浮かびましたが、一般的には安定感の無い WP-Cron をここまでして使いたいモチベーションは無いだろうなとも思いました。個人的には長年抱え続けてきた気持ち悪さが解決したので満足度は高いです。

Lambda Web AdapterでRemixアプリケーションをサーバーレス化してCDKでデプロイする

むらおか — Thu, 11 Jul 2024 09:08:50 +0000

既存の Web フレームワークを Lambda に組み込む方法として Lambda Web Adapter というのがあります。

Lambda Web Adapter でウェブアプリを (ほぼ) そのままサーバーレス化する (2025 年改訂版) - 変化を求めるデベロッパーを応援するウェブマガジン | AWS

VM やコンテナ用に実装されたウェブアプリを、ほとんどそのまま Lambda でも動かせる AWS Lambda Web Adapter について、新しい実装パターンを含めた使い方、仕組みや対応する Web フレームワーク、性能をご紹介しま...

GitHub - awslabs/aws-lambda-web-adapter: Run web applications on AWS Lambda

Run web applications on AWS Lambda. Contribute to awslabs/aws-lambda-web-adapter development by creating an account on G...

その仕組みですが、API Gateway などの統合先から受信したイベントをフレームワークの手前にある Lambda Web Adapter のエントリポイントが HTTP リクエストに変換して、フレームワークに渡してくれる、というイメージで良さそうです。

公式の実装例では、Node.js であれば Next.js と Express.js が対応していますが、HTTP であればどのようなフレームワークも動作するはずです。

今回はこれを使って Remix アプリをサーバーレス化してみました。既に作ったものは GitHub にあげてあります。

GitHub - ShotaroMuraoka/cdk-serverless-remix: Remix アプリケーションを Lambda Web Adapter でサーバーレス化した CDK

Remix アプリケーションを Lambda Web Adapter でサーバーレス化した CDK. Contribute to ShotaroMuraoka/cdk-serverless-remix development by crea...

CDKの準備

デプロイの方法は CDK にしました。init で新しいプロジェクトを作成しておきます。

$ cdk --version
2.148.0 (build e5740c0)

$ cdk init app --language typescript

今回は HTTP リクエストを受け付けるので、API Gateway と統合します。Stack は以下からお借りしました。

import * as cdk from 'aws-cdk-lib';
import { Construct } from 'constructs';
import * as lambda from 'aws-cdk-lib/aws-lambda';
import { Platform } from 'aws-cdk-lib/aws-ecr-assets';
import * as apigw from 'aws-cdk-lib/aws-apigatewayv2';
import { HttpLambdaIntegration } from 'aws-cdk-lib/aws-apigatewayv2-integrations';

export class MyLambdaStack extends cdk.Stack {
  constructor(scope: Construct, id: string, props?: cdk.StackProps) {
    super(scope, id, props);
    const handler = new lambda.DockerImageFunction(this, 'Handler', {
      code: lambda.DockerImageCode.fromImageAsset('./my-remix', { // Remix アプリケーションのディレクトリ名とする
        platform: Platform.LINUX_AMD64,
      }),
      memorySize: 256,
      timeout: cdk.Duration.seconds(30),
    });

    new apigw.HttpApi(this, 'Api', {
      apiName: 'MyLambdaRemix',
      defaultIntegration: new HttpLambdaIntegration('Integration', handler),
    });
  }
}

Remixアプリケーションの作成

CDK のプロジェクトルートで Remix アプリを作成します。

$ npx create-remix@latest

Remix アプリのルートに Dockerfile を作成します。Remix に対応した Dockerfile を作成したことがなかったので、以下を参考にそれっぽく書いてみました。

hackernews-remix-react/Dockerfile at main · clintonwoo/hackernews-remix-react

Hacker News clone written with universal TypeScript, using React and Remix. - clintonwoo/hackernews-remix-react

FROM node:22-bookworm-slim AS base

FROM base AS deps
RUN mkdir /app
WORKDIR /app

COPY package.json package-lock.json ./
RUN npm ci

FROM base AS builder

RUN mkdir /app
WORKDIR /app
COPY --from=deps /app/node_modules ./node_modules
COPY . .

ENV NODE_ENV production
RUN npm run build

FROM base AS runner

# lambda-web-adapter
COPY --from=public.ecr.aws/awsguru/aws-lambda-adapter:0.5.0 /lambda-adapter /opt/extensions/lambda-adapter

RUN addgroup --system --gid 1001 nodejs
RUN adduser --system --uid 1001 remix

RUN mkdir /app
WORKDIR /app

RUN chown remix:nodejs ./
USER remix

COPY --from=builder --chown=remix:nodejs /app/node_modules ./node_modules
COPY --from=builder --chown=remix:nodejs /app/build ./build
COPY --from=builder --chown=remix:nodejs /app/public ./public
COPY --from=builder --chown=remix:nodejs /app/package.json /app/package-lock.json ./

ENV NODE_ENV production
ENV PORT 3000
EXPOSE 3000

CMD ["npm", "run", "start"]

ここでは Lambda Web Adapter のために難しい記述をする必要はありません。ローカルでも ECS でも動くコンテナイメージであれば、Lambda Web Adapter で動作するようです。

追記が必要なのは Lambda の extension を追加するというところのみです。

COPY --from=public.ecr.aws/awsguru/aws-lambda-adapter:0.5.0 /lambda-adapter /opt/extensions/lambda-adapter

また、デフォルトでは 8080 でポートを Listen しているので、変更する場合は PORT を指定します。

ENV PORT 3000

デプロイ

CDK のルートディレクトリでデプロイを実行します。

$ cdk deploy

管理コンソールから API Gateway の画面を確認すると、作成した API Gateway のエンドポイントが作成されています。

API > MyLambdaRemixの画面を開いている。エンドポイントが有効になっており、リンクが表示されている" class="wp-image-3225" srcset="https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-1024x384.png 1024w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-300x112.png 300w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-768x288.png 768w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-1536x576.png 1536w, https://wptech.kiichiro.work/wp-content/uploads/2024/07/24ba3ff1ffab27bfd8a591fc1c9770c3-2048x768.png 2048w" sizes="(max-width: 1024px) 100vw, 1024px" />

デフォルトのエンドポイントの URL をクリックして Remix アプリの画面が表示されていれば OK です。

参考資料

Dockerを使わない、Remix / Next.js 14 など最新ウェブフレームワークのAWS完全サーバーレス構成と環境構築方法 | ブログ | Serverless Operations

（※ 2025/01/31 追記）この記事の後続編として、React Router v7 と Next.js 15 を利用する構成の詳細な構築手順について、こちらの記事（