Jaranguda » Belajar Mengajar Belajar Mengajar

Cara Buat atau Update UID User Docker Image

Last Updated on 19 June 2023 By tommy Leave a Comment

Pertama yang perlu diketahui adalah user yang digunakan oleh docker image, cara termudah untuk mengetahuinya adalah dengan mengeksekusi id, perintah id bisanya sudah ada dalam docker image. Beberapa contoh

docker run debian id
docker run ubuntu id
docker run fedora id
docker run alpine id

dari ke empat docker image tersebut sama-sama menggunakan user root

uid=0(root) gid=0(root) groups=0(root)

Kita asumsikan anda menggunakan user app dengan uid 1000 dan group appgroup dengan gid 1000.

1. Update existing user

1. usermod and groupmod
Bila docker image memiliki usermod dan groupmod, untuk user dan group yang sudah ada, tambahkan di Dockerfile

usermod -u 10000 app && groupmod -g 10000 appgroup

perintah diatas akan mengupdate uid user app menjadi 10000 dan group appgroup menjadi 10000. Untuk pengguna Alpine Linux, perlu menginstall shadow (apk --no-cache add shadow) terlebih dahulu

Untuk contoh kita menggunakan image haproxy:lts-alpine. Pertama mari kita cek, user dan group yang digunakan

$ docker run haproxy:lts-alpine id
uid=99(haproxy) gid=99(haproxy) groups=99(haproxy)

Anggap Dockerfile yang kita miliki, seperti pada baris dibawah ini

FROM haproxy:lts-alpine
COPY haproxy.cfg /usr/local/etc/haproxy/haproxy.cfg

update menjadi

FROM haproxy:lts-alpine
COPY haproxy.cfg /usr/local/etc/haproxy/haproxy.cfg
USER root
RUN apk --no-cache add shadow
RUN usermod -u 10000 haproxy && groupmod -g 10000 haproxy
USER haproxy

build docker diatas, mari kita berinama haproxy-dev2

docker build . -t haproxy-dev1
# cek uid dan group id dengan
docker run haproxy-dev1 id

setelah selesai di-build, cek user dan group user haproxy

2. Pilihan terakhir sed
Bila tidak ada usermod dan tidak ada pilihan untuk update Docker image, maka pilihan terakhir kita adalah update file /etc/passwd dan /etc/group manual

sed -i 's/1000/10000/g' /etc/passwd /etc/group

Sebagai contoh, mari kita gunakan kembali Dockerfile diatas

FROM haproxy:lts-alpine
COPY haproxy.cfg /usr/local/etc/haproxy/haproxy.cfg

ubah menjadi

FROM haproxy:lts-alpine
COPY haproxy.cfg /usr/local/etc/haproxy/haproxy.cfg
USER root
RUN sed -i 's/99/10000/g' /etc/passwd /etc/group
USER haproxy

build, lalu cek user dan group id haproxy

docker build . -t haproxy-dev2
# cek uid dan group id dengan
docker run haproxy-dev2 id

2. Buat user baru

Dalam penggunaan image docker, sangat disarankan untuk menggunakan user dengan privileges/hak akses yang terbatas. Bila anda menggunakan distro sebagai base image, biasanya user default adalah root, untuk itu mari kita buat contoh menambah/membuat user di docker image.

1. adduser dan addgroup
adduser dan groupadd biasanya digunakan di BusyBox atau Alpine

addgroup appgroup -g 10000 && adduser -D -h /app -G appgroup -u 10000 app

Contoh file Dockerfile Alpine Linux

FROM alpine:3
RUN addgroup appgroup -g 10000 && adduser -D -h /app -G appgroup -u 10000 app
USER app

build, lalu jalankan

$ docker build . -t test-user1
# cek user dan group
$ docker run test-user1 id 
uid=10000(app) gid=10000(appgroup) groups=10000(appgroup)

2. useradd dan groupadd
alternative lainnya adalah menggunakan useradd dan groupadd

groupadd -g 10000 appgroup && useradd -u 10000 -g appgroup -m -d /app app

Contoh file Dockerfile Ubuntu

FROM ubuntu:jammy
RUN groupadd -g 10000 appgroup && useradd -u 10000 -g appgroup -m -d /app app
USER app

build, lalu jalankan

$ docker build . -t test-user2
# cek user dan group
$ docker run test-user2 id 
uid=10000(app) gid=10000(appgroup) groups=10000(appgroup)

Solusi helm Upgrade Failed

Last Updated on 23 May 2023 By tommy Leave a Comment

Sewaktu upgrade update helm chart di Kubernetes, muncul pesan error

Error: UPGRADE FAILED: another operation (install/upgrade/rollback) is in progress

perintah yang saya gunakan

helm upgrade --install api-golang api-golang -f api-golang/env/dev.yaml -n application

1. Cek helm ls
Pertama cek dulu chart yang sudah di deploy sebelumnya

helm ls -n application

kadang kala, disini tidak muncul helm chart yang baru dideploy, tidak perlu khawatir karena bisa kita cek dengan helm history

2. helm history
Lihat history helm chart tersebut

$  helm history api-golang -n application
REVISION    UPDATED                     STATUS      CHART           APP VERSION DESCRIPTION
1          Mon May 22 09:16:04 2023    superseded  api-golang-0.1.0   1.16.0      Upgrade complete
2          Mon May 22 09:38:43 2023    superseded  api-golang-0.1.0   1.16.0      Upgrade complete
3          Mon May 22 10:44:38 2023    superseded  api-golang-0.1.0   1.16.0      Upgrade complete
4          Mon May 22 13:55:44 2023    superseded  api-golang-0.1.0   1.16.0      Upgrade complete
5          Tue May 23 08:49:23 2023    superseded  api-golang-0.1.0   1.16.0      Upgrade complete
6          Tue May 23 09:57:24 2023    deployed    api-golang-0.1.0   1.16.0      Upgrade complete
7          Tue May 23 10:10:01 2023    failed      api-golang-0.1.0   1.16.0      Upgrade "api-golang" failed: pre-upgrade hooks failed: timed out waitig for the condition
8          Tue May 23 10:12:21 2023    pending-upgrade api-golang-0.1.0   1.16.0  Preparing upgrade

kalo dilihat dari history deployment diatas, bisa kita lihat no. 8 masih proses pending-upgrade walaupun sudah lebih dari 20 menit masih tetap prosesnya seperti itu. Solusinya adalah dengan rollback ke deployment terakhir yang sukses, dari contoh diatas adalah revision ke 6.

helm rollback api-golang 6 -n application

Salah satu perintah yang sangat membantu waktu troubleshooting adalah mengambil events di namespace yang anda gunakan

kubectl get events --sort-by='.lastTimestamp' -n application

macOS package is untrusted

Last Updated on 9 April 2023 By tommy Leave a Comment

Sewaktu install aplikasi di macOS muncul pesan error berikut ini

2023-03-22 15:10:02+01 devops-mac-thailand-farm installd[14266]: Package: PKLeopardPackage <id=org.superapp.1.0.0, version=1.0.0, url=file://localhost/Users/devops/.Trash/my-super-app.pkg#superapp.pkg> Failed to verify with error: Error Domain=PKInstallErrorDomain Code=102 "The package “my-super-app.pkg” is untrusted." UserInfo={NSLocalizedDescription=The package “my-super-app.pkg” is untrusted., NSURL=file://localhost/Users/devops/.Trash/my-super-app.pkg#superapp.pkg, PKInstallPackageIdentifier=org.superapp.1.0.0, NSUnderlyingError=0x12921c350 {Error Domain=NSOSStatusErrorDomain Code=-2147409622 "CSSMERR_TP_NOT_TRUSTED" UserInfo={SecTrustResult=5, PKTrustLevel=PKTrustLevelNotTrusted, NSLocalizedFailureReason=CSSMERR_TP_NOT_TRUSTED}}}
2023-03-22 15:10:02+01 devops-mac-thailand-farm installd[14266]: PackageKit: Install Failed: Error Domain=PKInstallErrorDomain Code=102 "The package “my-super-app.pkg” is untrusted." UserInfo={NSLocalizedDescription=The package “my-super-app.pkg” is untrusted., NSURL=file://localhost/Users/devops/.Trash/my-super-app.pkg#superapp.pkg, PKInstallPackageIdentifier=org.superapp.1.0.0, NSUnderlyingError=0x12921c350 {Error Domain=NSOSStatusErrorDomain Code=-2147409622 "CSSMERR_TP_NOT_TRUSTED" UserInfo={SecTrustResult=5, PKTrustLevel=PKTrustLevelNotTrusted, NSLocalizedFailureReason=CSSMERR_TP_NOT_TRUSTED}}} {
	    NSLocalizedDescription = "The package \U201cmy-super-app.pkg\U201d is untrusted.";
	    NSURL = "file://localhost/Users/devops/.Trash/my-super-app.pkg#superapp.pkg";
	    NSUnderlyingError = "Error Domain=NSOSStatusErrorDomain Code=-2147409622 \"CSSMERR_TP_NOT_TRUSTED\" UserInfo={SecTrustResult=5, PKTrustLevel=PKTrustLevelNotTrusted, NSLocalizedFailureReason=CSSMERR_TP_NOT_TRUSTED}";
	    PKInstallPackageIdentifier = "org.superapp.1.0.0";
	}

Pertama verifikasi apakah file PKG tersebut sudah di-sign

pkgutil --check-signature my-super-app-1.0.0.pkg

bila dilihat dari output diatas, berarti sudah di-sign dengan benar, tetapi proses instalasi masih gagal.

devops-mac-thailand-farm ~ % sudo installer -pkg my-super-app-1.0.0.pkg -target /
installer: Package name is my-super-app
installer: Certificate used to sign package is not trusted. Use -allowUntrusted to override.

Solusi

Download certificate dari https://www.apple.com/certificateauthority/

# Apple root CA
https://www.apple.com/appleca/AppleIncRootCertificate.cer
https://www.apple.com/certificateauthority/AppleComputerRootCertificate.cer
https://www.apple.com/certificateauthority/AppleRootCA-G2.cer
https://www.apple.com/certificateauthority/AppleRootCA-G3.cer
# Apple Intermediate Certificates
https://www.apple.com/certificateauthority/DeveloperIDCA.cer
https://www.apple.com/certificateauthority/DeveloperIDG2CA.cer
https://www.apple.com/certificateauthority/AppleWWDRCAG2.cer
https://www.apple.com/certificateauthority/AppleWWDRCAG3.cer
https://www.apple.com/certificateauthority/AppleWWDRCAG4.cer
https://www.apple.com/certificateauthority/AppleWWDRCAG5.cer
https://www.apple.com/certificateauthority/AppleWWDRCAG6.cer

Buka Keychains, unlock System lalu import certificate diatas kedalam System Keychain

Solusi ini bisa dijalankan bila anda mendapati pesan signed by a certificate that has since expired

devops-mac-thailand-farm ~ % pkgutil --check-signature my-super-app-1.0.0.pkg
Package "my-super-app-1.0.0.pkg":
   Status: signed by a certificate that has since expired
   Signed with a trusted timestamp on: 2023-01-22 07:17:18 +0000
   Certificate Chain:
    1. Developer ID Installer: XXXXXX (XXXXXX)
       Expires: 2026-01-11 10:58:00 +0000
       SHA256 Fingerprint:
           12 4C E1 B1 18 5B 13 51 0B 5C 50 19 45 55 C8 3E 90 BF I4 0D C4 1F
           12 4B 75 41 2F 1C C6 F0 8A 51

Terakhir pastikan “Apple Store and identified developer” dicentang di Allow application downloaded from, yang bisa dilihat pada dari System Settings -> Privacy and Security

Coba install kembali aplikasi tersebut baik melalu GUI ataupun dari terminal

Cara Mengganti Port Screen Sharing macOS

Last Updated on 5 February 2023 By tommy Leave a Comment

macOS menggunakan port 5900 untuk Screen Sharing (VNC Server), yang bisa kita lihat dengan netstat

netstat -anvp tcp | awk 'NR<3 || /LISTEN/' | grep 5900

Kendala yang banyak dihadapi oleh pengguna Screen Sharing di Mac adalah banyaknya brute-force karena menggunakan port default VNC (port 5900), yang menyebabkan kita tidak bisa login karena terlalu banyak failed authentication.

Ganti Port Screen Sharing

Tidak tersedia GUI untuk merubah port VNC Server di macOS, dan file plist bawaannya tidak bisa kita ubah, walaupun dengan akses root

$ sudo sed -i '' 's/vnc-server/9900/g' /System/Library/LaunchDaemons/com.apple.screensharing.plist
sed: /System/Library/LaunchDaemons/com.apple.screensharing.plist: Operation not permitted

tetapi tidak perlu khawatir, karena kita masih bisa menggunakan trik lain.

Cara 1: Copy File `com.apple.screensharing.plist`

Copy file com.apple.screensharing.plist ke folder /Library/LaunchDaemons/

sudo cp /System/Library/LaunchDaemons/com.apple.screensharing.plist /Library/LaunchDaemons/

setelah file tersebut dicopy, kita bisa merubah file /Library/LaunchDaemons/com.apple.screensharing.plist, ubah port vnc

<key>SockServiceName</key>
<string>vnc-server</string>

ubah bagian tersebut menjadi

<key>SockServiceName</key>
<string>9900</string>

vnc-server tersebut berarti port 5900, untuk mappingnya bisa dilihat dengan

grep vnc-server /etc/services
# output
rfb             5900/tcp    vnc-server # VNC Server
rfb             5900/udp    vnc-server # VNC Server

matikan services screen sharing yang diload dari /System/Library/LaunchDaemons/com.apple.screensharing.plist

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.screensharing.plist

lalu jalankan service dari /Library/LaunchDaemons/com.apple.screensharing.plist

sudo launchctl load /Library/LaunchDaemons/com.apple.screensharing.plist

Cek port 9900 apakah sudah aktif atau belum dengan netstat

sudo netstat -anvp tcp | awk 'NR<3 || /LISTEN/' | grep 9900
# output
tcp4       0      0  *.9900                 *.*                    LISTEN       131072  131072      1      0 00180 00000006 000000000009b941 00000000 00000900      1      0 000001
tcp6       0      0  *.9900                 *.*                    LISTEN       131072  131072      1      0 00180 00000006 000000000009b940 00000000 00000800      1      0 000001

port 9900 sudah bisa digunakan untuk konek ke macOS

Cara 2: Ubah `/etc/services`

Cara kali ini jauh lebih mudah, tetapi yang bisa kita rubah hanya port yang digunakan, berbeda dengan cara pertama yang bisa kita ubah semua konfigurasi yang tersedia.

Buka file /etc/services, ubah port 5900

rfb             5900/tcp    vnc-server # VNC Server
rfb             5900/udp    vnc-server # VNC Server

menjadi 9900 pada service vnc-server

rfb             9900/tcp    vnc-server # VNC Server
rfb             9900/udp    vnc-server # VNC Server

setelah file tersebut di save, otomatis VNC Server akan menggunakan port 9900, tidak perlu reload plist.

Cara Menonaktifkan Pager di macOS

Last Updated on 28 December 2022 By tommy Leave a Comment

Untuk melihat apa yang digunakan PAGER di mac, jalankan di terminal

$ echo $PAGER
less

Pager ini tujuannya untuk menampilkan keluaran dari perintah di teriminal yang bisa diakses dengan berbagai ukuran layar. Contoh tampilan ketika menjalankan git branch

Seakan-akan output git branch tersebut di buka di layer yang berbeda dengan tempat anda mengjalankan perintah tersebut. Bagi saya ini kurang user-friendly, dan saya lebih memilih tanpa adanya PAGER tersebut.

Contoh tampilan tanpa pager

Cara untuk menonaktifkan PAGER tersebut adalah dengan menambahkan export PAGER="" di ~/.zshrc untuk zsh dan ~/.bashrc untuk bash

# zsh shell
echo 'export PAGER=""' >> ~/.zshrc
# bash shell
echo 'export PAGER=""' >> ~/.bashrc

setelah menambahkan baris tersebut, reload konfigurasi shell anda.

# zsh shell
source >> ~/.zshrc
# bash shell
source >> ~/.bashrc

Cara Mengupdate Nama Apple silicon-as-a-Service Scaleway

Last Updated on 19 December 2022 By tommy Leave a Comment

Salah satu yang agak menggangu di Scaleway adalah tidak bisa mengubah nama mac yang sudah dibuat langsung dari UI, hal ini kadang membuat kita bingung karena nama yang digenerate otomatis oleh sistem, bila kita tidak membuat nama yang sesuai dari awal.

Ditampilan UI Scaleway, tidak ada pilihan untuk mengupdate nama macOS yang sudah di buat, tetapi jangan khawatir karena kita bisa memanfaatkan CLI, untuk mengupdate nama mac tersebut.

Buat API Key baru dari https://console.scaleway.com/project/credentials

Install scaleway-cli, lalu konfigurasi dari awal dengan menjalankan

scw init

masukkan secret key yang diminta, dan semua akan disetup otomatis.

Lihat daftar mac yang akan direname

$ scw apple-silicon server list
# output
ID                                    TYPE  NAME                    PROJECT ID                            ORGANIZATION ID                       IP              VNC URL
36af07dd-be55-49f3-90f1-b91be2f78fa4  M1-M  scaleway-mac-01   d7defd72-2ddc-43f9-b255-af26f7fe4212  90380976-82a7-4e62-b6a2-06a7d7e3d177  51.159.x.xxx  vnc://m1:kxl901sksks@51.159.x.xxx:5900
35b3069c-7f10-4e50-bd0c-d8310f1d1073  M1-M  scaleway-mac-02   d7defd72-2ddc-43f9-b255-af26f7fe4212  90380976-82a7-4e62-b6a2-06a7d7e3d177  51.159.x.xxx   vnc://m1:xKixo910@51.159.x.xxx:5900
c345f1ee-53c0-40e0-8078-a52cc4c08ebb  M1-M  scaleway-mac-03   d7defd72-2ddc-43f9-b255-af26f7fe4212  90380976-82a7-4e62-b6a2-06a7d7e3d177  51.159.x.xxx   vnc://m1:jjsKxj11@51.159.x.xxx:5900
79cc6afd-6b92-4cd2-90b8-bd3d2b11681c  M1-M  scaleway-mac-04   d7defd72-2ddc-43f9-b255-af26f7fe4212  90380976-82a7-4e62-b6a2-06a7d7e3d177  51.159.x.xxx   vnc://m1:kxllkOp1@51.159.x.xxx:5900

sebagai contoh kita akan merubah nama “scaleway-mac-01” menjadi “dev-macos”

scw apple-silicon server update dev-macos server-id=36af07dd-be55-49f3-90f1-b91be2f78fa4
# output
ID              36af07dd-be55-49f3-90f1-b91be2f78fa4
Type            M1-M
Name            dev-macos
ProjectID       d7defd72-2ddc-43f9-b255-af26f7fe4212
OrganizationID  90380976-82a7-4e62-b6a2-06a7d7e3d177
IP              51.159.x.xxx
VncURL          vnc://m1:kxl901sksks@51.159.x.xxx:5900
Status          ready
CreatedAt       5 month ago
UpdatedAt       now
DeletableAt     5 month ago
Zone            fr-par-1

setelah melakukan perubahan tersebut, kembali ke “Scaleway Element Console” perubahan tersebut langsung bisa terlihat.

1. Update existing user

2. Buat user baru

Ganti Port Screen Sharing

Cara 1: Copy File com.apple.screensharing.plist

Cara 2: Ubah /etc/services

Cara 1: Copy File `com.apple.screensharing.plist`

Cara 2: Ubah `/etc/services`