Jaranguda » Belajar Mengajar Belajar Mengajar

Cara Force Delete Namespace di Kubernetes

Last Updated on 14 November 2022 By tommy Leave a Comment

Cara yang akan kita bahas disini bisa digunakan untuk berbagai object yang digunakan oleh Kubernertes seperti namespace atau LoadBalancer ataupun object lainnya.
Bila anda mendapati masalah seperti menghapus suatu namespace di Kubernetes, tetapi statusnya tetap Terminating

➜  ~ kubectl delete ns/kafka
namespace "kafka" deleted

bila di cek status namespacenya Terminating

➜  ~ kubectl get ns/kafka
NAME    STATUS        AGE
kafka   Terminating   10d

untuk lebih jelas, kita lihat detail lebih jauh tentang namespace ini

➜  ~ kubectl describe ns/kafka
Name:         kafka
Labels:       kubernetes.io/metadata.name=kafka
              kubesphere.io/namespace=kafka
Annotations:  <none>
Status:       Terminating
Conditions:
  Type                                         Status  LastTransitionTime               Reason                  Message
  ----                                         ------  ------------------               ------                  -------
  NamespaceContentRemaining                    True    Tue, 08 Nov 2022 21:33:35 +0700  SomeResourcesRemain     Some resources are remaining: pods. has 1 resource instances
  NamespaceFinalizersRemaining                 False   Tue, 08 Nov 2022 22:09:57 +0700  ContentHasNoFinalizers  All content-preserving finalizers finished
 
No resource quota.
 
No LimitRange resource.

➜  ~ kubectl get pods -n kafka
NAME      READY   STATUS        RESTARTS      AGE
kafka-0   0/1     Terminating   4 (12d ago)   12d

Solusinya adalah dengan menghapus finalizer.

Jalankan

kubectl edit ns/kafka

cari lalu hapus baris

  finalizers:
  - kubernetes

setelah menghapus baris tersebut, tunggu beberapa saat agar perubahan tersebut dijalankan oleh kubernetes

Install PHP MariaDB di Mac Monterey

Last Updated on 16 October 2022 By tommy Leave a Comment

Menggunakan Mac sebagai komputer untuk coding sama mudahnya dengan menggunakan Linux ataupun Windows, yang perlu diperhatikan adalah perbedaan PATH ataupun cara install. Diluar itu sebagian besar bisa dibilang memiliki kemiripan dari segi penggunaan. Untuk anda yang baru menggunakan Mac, disini akan kita bahas cara cepat untuk menginstall system Mac anda, agar siap tempur untuk develop aplikasi PHP.

Install brew

brew adalah package manager yang paling populer digunakan di Mac, brew ini mirip dengan apt (Debian/Ubuntu) dan dnf/yum (Fedora/CentOS). Cara installnya sangat mudah

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Install PHP

Install PHP versi terbaru

brew install php

output

==> Caveats
==> php
To enable PHP in Apache add the following to httpd.conf and restart Apache:
    LoadModule php_module /opt/homebrew/opt/php/lib/httpd/modules/libphp.so
 
    <FilesMatch \.php$>
        SetHandler application/x-httpd-php
    </FilesMatch>
 
Finally, check DirectoryIndex includes index.php
    DirectoryIndex index.php index.html
 
The php.ini and php-fpm.ini file can be found in:
    /opt/homebrew/etc/php/8.1/
 
To restart php after an upgrade:
  brew services restart php
Or, if you don't want/need a background service you can just run:
  /opt/homebrew/opt/php/sbin/php-fpm --nodaemonize

setelah terinstall, versi PHP bisa diversifikasi

➜  ~ php -v
PHP 8.1.11 (cli) (built: Sep 29 2022 19:44:28) (NTS)
Copyright (c) The PHP Group
Zend Engine v4.1.11, Copyright (c) Zend Technologies
    with Zend OPcache v8.1.11, Copyright (c), by Zend Technologies

Install composer

Setelah PHP terinstall sekarang install composer, package managernya PHP. Bila anda bekerja dengan framework PHP modern, kemungkinan besar akan menggunakan composer untuk mengelola dependency.

brew install composer

Install MariaDB

Untuk menginstall MariaDB, gunakan perintah

brew install mariadb

output

🍺  /opt/homebrew/Cellar/mariadb/10.8.3_1: 917 files, 174.7MB
==> Running `brew cleanup mariadb`...
Disable this behaviour by setting HOMEBREW_NO_INSTALL_CLEANUP.
Hide these hints with HOMEBREW_NO_ENV_HINTS (see `man brew`).
==> Caveats
==> mariadb
A "/etc/my.cnf" from another install may interfere with a Homebrew-built
server starting up correctly.
 
MySQL is configured to only allow connections from localhost by default
 
To restart mariadb after an upgrade:
  brew services restart mariadb
Or, if you don't want/need a background service you can just run:
  /opt/homebrew/opt/mariadb/bin/mysqld_safe --datadir=/opt/homebrew/var/mysql

sesaat instalasi selesai, akan ditampilkan versi MariaDB yang terinstall.

Jalankan MariaDB

brew services start mariadb

MariaDB sekarang bisa diakses dari terminal, dengan menjalankan mysql

Install Laravel

Setelah PHP dan MySQL/MariaDB terinstall, kita akan mencoba untuk menginstall Laravel

mkdir ~/code
cd ~/code
composer create-project laravel/laravel laravel9

pindah ke folder laravel9 yang baru dibuat, lalu jalankan php artisan serve. Di browser buka http://localhost:8000

Text Editor

Sesuaikan dengan pilihan anda
Visual Studio Code

brew install --cask visual-studio-code

atau bisa langsung di download dari situs vscode
Sublime Text

brew install --cask sublime-text

atau bisa langsung di download dari situs Sublime Text

MacOS Minta Install Git

Last Updated on 15 October 2022 By tommy Leave a Comment

Yang ditampilkan ini cukup mengganggu, karena cukup sering muncul tiap menjalankan command di terminal Mac
The “git” command requires the command line developer tools. Would you like to install the tools now?
Choose to install to download and install the command line developer tools now

Solusinya jalankan

sudo xcode-select -switch /Library/Developer/CommandLineTools

Cara Mengelola User dan Role Jenkins dengan Keycloak

Last Updated on 14 August 2022 By tommy Leave a Comment

Pada tutorial kali ini kita akan menggunakan Keycloak sebagai sumber user dan role yang akan mengakses Jenkins. Saat ini versi yang digunakan

Keycloak 19.0.1
Jenkins 2.346.3
# Plugin jenkins
oic-auth 1.8
role-strategy 555.v8d194cc85b_30

Dengan menggunakan Keycloak sebagai authentikasi untuk Jenkins, kita memiliki banyak kelebihan, seperti user bisa diambil dari LDAP atau kerberos. User dari Twitter, Github, Gitlab, Google Workspace, Facebook dan lain sebagainya bisa login kedalam Jenkins. Satu skenario yang bisa digunakan bisa perusahaan anda menggunakan Google Workspace adalah, menghubungkan Google Workspace dengan Jenkins, jadi setiap user yang memiliki [email protected] bisa langsung login sebagai user Jenkins.

Hampir setiap langkah yang perlu penjelasan detail disertakan screenshot/tangkapan layar untuk memudahkan pemula sekalipun untuk menjalankan tutorial ini. Cara install Keycloak dan Jenkins tidak dibahas disini, karena tidak relevan. Untuk tutorial ini saya menggunakan keycloak di Kubernetes dan Keycloak di VPS :D

Konfigurasi Keycloak 19

1. Buat Realm Baru

1. Buat realm baru, dengan nama platform

2. Buat Client

Buat client dengan jenkins di realms platform, client ini yang akan diakses oleh aplikasi Jenkins. Nama client ini akan digunakan di config Jenkins nantinya, jadi ada baiknya menggunakan nama yang mudah dipahami, agar memudahkan troubleshooting nantinya.

Bagian yang wajib diisi

Client type : OpenID Connect
Client ID : jenkins

Pada capability config, yang wajib diisi

Client authentication : ON
Authorization : ON
Authentication flow : 
 - Standard flow
 - Direct access grants

klik Save

Pada halaman client details, pada tab Settings isikan Valid redirect URIs dengan domain anda, contoh https://jenkins.jaranguda.com/*, atau bisa dengan *, tetapi untuk production sangat tidak disarankan

klik tab Credentials, lalu copy dan simpan Client secret. Client secret ini akan digunakan pada waktu konfigurasi jenkins nantinya.

3. Client Scope

Client scope yang akan kita buat disini berisi, role yang dimiliki oleh user keycloak, yang nantinya digunakan di Jenkins.

Name : jenkins-roles
Display on consent screen : On
Include in token scope : On

Klik tab Mappers, klik lagi Configure a new mapper

Klik Group Membership

yang perlu diisi

Mapper type : Group Membership
Name : jenkins-roles
Token Claim Name : jenkins-roles
Full group path : On
Add to ID token : On
Add to access token : On
Add to user info : On

kembali ke menu Clients -> jenkins -> Client scopes

kita akan menambahkan scope jenkins-roles, sehingga setiap user melakukan authentikasi, akan dikirimkan informasi jenkins-roles, yang digunakan oleh jenkins untuk mengetahui level akses user tersebut.

klik Add client scope, pilih jenkins-roles

pada tombol Add, pilih Default

4. Buat Group User

Tergantung kebutuhan anda, disini untuk contoh kita akan membuat dua level user, 1 admin satu lagi user biasa. Hak akses yang diberikan ke masing-masing level user ini nanti kita setting dari sisi Jenkins

Buat dua group

jenkins-admin
jenkins-user

5. Buat user di Keycloak

Sekarang kita butuh dua user yang akan digunakan sebagai admin dan satu lagi user biasa. Klik menu Users

Untuk user admin

Username : admin
Email : user@domain
Email verified : On
First name : Developer
Last name : User
Enabled : On
Groups : jenkins-admin

klik Create
lalu buat password untuk user admin. Klik tab Credentials -> Set password

Password : SUPERAMAN
Password confirmation : SUPERAMAN
Temporary : Off

Lakukan hal yang sama untuk user biasa, tetapi dengan perbedaan di username dan Groups

Username : developer
Email : user@domain
Email verified : On
First name : Jenkins
Last name : Users
Enabled : On
Groups : jenkins-user

Bila anda cek menu Users, bisa dilihat kedua user yang telah dibuat

Konfigurasi Jenkins

Klik Manage Jenkins -> Manage Plugins

plugin yang perlu di install adalah
– role-strategy
– oic-auth

oic-auth : agar bisa terkoneksi dengan keycloak
role-strategy : untuk membagi role yang dimiliki oleh user dari keycloak

setelah menginstall kedua plugin tersebut, kembali ke menu Manage Jenkins -> Configure Global Security, url manage ini biasanya http://[DOMAIN Jenkins]/manage

1. Konfigurasi OpenID
Di tahap ini kita akan mengaktifkan OpenID Auth dari sisi jenkins. Beberapa field yang harus diinput

Security Realm : Login with OpenID Connect
Client id : jenkins, dari nama client yang dibuat di keycloak
Client Secret : ambil dari client secret di client keycloak
Automatic configuration -> Well-known configuration endpoint : http://[KEYCLOAk]/realms/[NAMA REALMS]/.well-known/openid-configuration
User name field name : preferred_username
Email field name : email
Groups field name : jenkins-roles, diambil dari client -> client scope Keycloak
Authorization : Role-Based Strategy

Untuk link Well-known configuration endpoint, bisa diambil dari Realms Settings -> Endpoint, copy link OpenID Endpoint Configuration

klik Save

2. Konfigurasi Role
Untuk mengkonfigurasi Role, klik Manage Jenkins -> Manage and Assign Roles -> Manage Roles

Pada Role to add, tambahkan satu-satu jenkins-admin dan jenkins-user, lalu klik Add.

Pada pilihan role, sesuaikan akses dari masing-masing user, contohnya bisa dilihat pada gambar

# untuk admin
Role : jenkins-admin
Overall : Administer, Read
# untuk user
Role : jenkins-user
Overall : Read
Job : Build, Cancel, Read
Run : Replay
View : Read
Metrics : View

Kebutuhan untuk role bisa disesuaikan disini. Akhiri dengan klik Save

2. Assign Group ke Role
Klik menu Manage Jenkins -> Manage and Assign Roles -> Assign Roles
Setelah role tersebut dibuat, sekarang kita mapping dengan user group yang tadi dibuat, sengaja saya buat penamaan yang mirip antara role dan user groupnya, akan lebih memudahkan mappingnya. Untuk nama groupnya ditambahkan tanda / didepan, karena begitu format yang dikirimkan oleh Keycloak untuk nama groupnya, contoh /jenkins-admin dan /jenkins-user

Sekarang semua user jenkins akan dikelola oleh Keycloak, untuk melakukan percobaan, buka link Jenkins dengan browser yang berbeda. Anda otomatis diarahkan ke halaman login Keycloak, disini coba login sebagai admin

Bila dibandingkan keduanya, user admin memiliki menu

New item
People
Build History
Manage Jenkins
My Views
New View

sedangkan user biasa memiliki menu

People
Build History
My Views

Testing Jenkins

Sebagai percobaan kita akan membuat 1 job. Dari user admin klik New Item

Item name : test-jobs, klik Freestyle project, akhiri dengan klik Ok

pada menu selanjutnya isikan description, lalu klik Save

Buka browser yang login dengan user biasa, refresh browser anda, muncul job yang baru dibuat

Anda bisa juga menjalankan job tersebut

DEBUG / Troubleshooting

Untuk melihat role yang dikirim oleh Keycloak

curl -s -X POST 'http://[DOMAIN KEYCLOAK]/realms/[NAMA REALMS]/protocol/openid-connect/token' \
    -H 'Content-Type: application/x-www-form-urlencoded' \
    --data-urlencode 'client_id=jenkins' \
    --data-urlencode 'grant_type=password' \
     --data-urlencode 'client_secret=HDh5G1k5VL5q7c9fBXqx6Sa7HCRKz7gK' \
     --data-urlencode 'scope=openid' \
     --data-urlencode 'username=developer' \
     --data-urlencode 'password=iamteapot'

Sesuaikan URL, client_id, client_secret, username dan password. Untuk membaca token JWT tersebut, bisa lewat situs https://jwt.io/, atau lewat command line

curl -L -X POST 'http://192.168.49.2:31806/realms/platform2/protocol/openid-connect/token' \
    -H 'Content-Type: application/x-www-form-urlencoded' \
    --data-urlencode 'client_id=jenkins' \
    --data-urlencode 'grant_type=password' \
     --data-urlencode 'client_secret=HDh5G1k5VL5q7c9fBXqx6Sa7HCRKz7gK' \
     --data-urlencode 'scope=openid' \
     --data-urlencode 'username=developer' \
     --data-urlencode 'password=iamteapot' | jq -r .access_token | jwt  decode -

command line ini membutuhkan jq dan jwt

Untuk mengetahui role yang didapat oleh user akses http://JENKINS-DOMAIN/whoAmI/

Login ke Trino dengan Keycloak OpenID

Last Updated on 12 August 2022 By tommy Leave a Comment

Karena trino tidak memiliki fitur authentikasi bawaan, maka kita akan menggunakan pihak ketiga (third party), yang akan digunakan disini keycloak. Keycloak sendiri bisa menggunakan SAML ataupun OpenID, karena trino support OpenID, maka kita akan menggunakan OpenID untuk koneksi antara kedua service ini.

Setting Keycloak 19

1. Buat Realm Trino

2. Buat client
Klik menu Client -> Create Client

Yang perlu di isi

Client Type : OpenID Connect
Client ID : trino
Name : Aplikasi Trino

pada capability config, pastikan sesuai dengan

Client authentication : ON
Authorization : ON
Authentication flow : 
 - Standard flow
 - Direct access grants

klik Save

Selanjutnya, pada “Valid redirect URIs” isi dengan https://localhost:8443/*. Akhiri dengan klik Save

Bila anda mencoba berbagai services, bisa juga menggunakan *, sebagai nilai “Valid redirect URIs”, dengan begitu URL apa pun akan diterima oleh Keycloak, tapi ingat jangan digunakan di server production.

Klik menu Realm Settings, pada baris Endpoints klik OpenID Endpoint Configuration

Format URL-nya : https://[DOMAIN KEYCLOAK]/realms/[REALMS]/.well-known/openid-configuration

Copy URL Issuer, contoh https://keycloak.jaranguda.com/realms/app-trino

Klik menu Client, klik trino. Pada tab credential, copy Client secret

Ketiga informasi ini (issuer, client name dan client secret) akan kita gunakan sewaktu menjalankan aplikasi Trino

Issuer : https://keycloak.jaranguda.com/realms/app-trino
Client : trino
Client secret : JxG5wAdYCv4EvMdXrMyKKYy0GLa5UlTv

Tambah User Keycloak

Saat ini kita belum memiliki user, untuk itu kita akan membuat 1 user untuk login. Selain cara ini kita bisa juga menggunakan user dari LDAP, Google, Twitter dan lain sebagainya, tetapi untuk mempersingkat tutorial ini usernya kita buat manual.

klik menu Users -> Create new user

akhiri dengan klik Create

Field yang perlu diisi

Username : jaranguda
Email : blablabla@domain
Email verified : ON
First name : Jaranguda
Last name : Com
Enabled : ON

Klik Credential

ingat untuk mencentang Temporary Off agar passwordnya permanen.

Install Trino

Untuk memudahkan tutorial ini, kita akan menjalankan trino dengan docker. Agar bisa menggunakan fitur OAUTH, kita harus menggunakan mode SSL/HTTPS/TLS.

Buat folder untuk menyimpan config trino

mkdir /home/jaranguda/trino

1. Generate SSL

openssl req -newkey rsa:2048 -nodes -keyout trino.key -x509 -days 3650 -out trino.crt

Satukan private key dan certificate diatas menjadi satu

cat trino.crt trino.key > /home/jaranguda/trino/trino.cert

2. Config Trino
Buat file /home/jaranguda/trino/config.properties yang berisi

#single node install config
coordinator=true
node-scheduler.include-coordinator=true
http-server.http.port=8080
discovery.uri=http://localhost:8080
 
http-server.https.enabled=true
http-server.https.port=8443
http-server.https.keystore.path=/tmp/trino.pem
 
internal-communication.shared-secret=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
 
http-server.authentication.type=oauth2
web-ui.authentication.type=oauth2
http-server.authentication.oauth2.issuer=https://keycloak.jaranguda.com/realms/app-trino
http-server.authentication.oauth2.client-id=trino
http-server.authentication.oauth2.client-secret=JxG5wAdYCv4EvMdXrMyKKYy0GLa5UlTv

internal-communication.shared-secret, bisa digenerate dengan openssl rand 512 | base64 -w0
ganti issuer, client-id dan client-secret, sisanya biarkan default. Lalu jalankan trino dengan docker

docker run -p 8443:8443 -v /home/jaranguda/trino/config.properties:/etc/trino/config.properties -v /home/jaranguda/trino.cert:/tmp/trino.pem trinodb/trino

Setelah docker berjalan, buka di browser https:localhost:8443, jangan kaget waktu mendapati error, karena ini untuk tahap development jadi sah-sah saja menggunakan self-signed certificate, untuk production bisa menggunakan SSL gratis seperti Let’s Encrypt, agar tidak muncul peringatan “Warning: Potential Security Risk Ahead” seperti gambar dibawah

klik Advanced, lalu Accept the Risk and Continue

Anda akan otomatis diarahkan ke halaman sign-in Keycloak

isi username dan password yang tadi dibuat

Tampilan UI trino setelah login

Cara Memindahkan Lokasi Data Directory Docker di Linux

Last Updated on 12 August 2022 By tommy Leave a Comment

Bila partisi utama anda kepenuhan, dan docker banyak komplain karena kekurangan space, selain menggunakan hardisk yang lebih besar bisa juga diakali dengan memindahkan data ke partisi yang berbeda, contoh kondisi hardisk saya saat ini

$ sudo df -h
# output
Filesystem      Size  Used Avail Use% Mounted on
udev            6.8G     0  6.8G   0% /dev
tmpfs           1.4G  2.8M  1.4G   1% /run
/dev/nvme0n1p2   28G   25G  1.9G  94% /
tmpfs           6.8G     0  6.8G   0% /dev/shm
tmpfs           5.0M  4.0K  5.0M   1% /run/lock
/dev/nvme0n1p4  200G  7.5G  182G   4% /home
/dev/nvme0n1p1  511M  3.5M  508M   1% /boot/efi
tmpfs           1.4G   44K  1.4G   1% /run/user/114

docker by design, menyimpan data, baik berupa image atau volume di dalam folder /var/lib/docker, untuk mengetahui ukuran folder gunakan perintah

sudo du -sh /var/lib/docker
# output
14G	/var/lib/docker

lokasi ini bisa diverifikasi dengan perintah

docker info -f '{{ .DockerRootDir }}'
# output
/var/lib/docker

pada tampilan hardisk diatas partisi /, tinggal tersisa 1.9 GB, sementara /home sangat banyak tersisa, berdasarkan informasi tersebut akan saya pindahkan folder data docker dari /var/lib/docker ke /home/tommy/docker

Dengan cara yang akan dijelaskan dibawah, sangat memungkinkan untuk menggunakan cloud storage seperti S3, tetapi sangat tidak disarankan karena akan memperlambat proses Docker, dan juga akan terasa semakin lambat, karena setiap perubahan perlu menulis dan membaca dari remote storage tersebut.

Berikut ini 4 langkah untuk memindahkan lokasi data root docker ke tempat/partisi yang baru :

1. Berhentikan service docker

sudo systemctl stop docker

2. Copy data ke folder baru

sudo mv /var/lib/docker/* /home/tommy/docker/

3. Update config docker, untuk lokasi yang baru
Bila belum ada buat file /etc/docker/daemon.json, yang isinya

{
  "data-root": "/lokasi/folder/yang/baru"
}

pada contoh saya menjadi

{
  "data-root": "/home/tommy/docker"
}

4. Jalankan service docker

sudo systemctl start docker

verifikasi lokasi root datanya sudah berubah

$ docker info -f '{{ .DockerRootDir }}'
# output
/home/tommy/docker