Cloud_Blog on クラウド日記帳

OCI_ADBのwalletを新しくしろと言われたので再セットアップした

Sat, 25 Apr 2026 03:24:22 +0000

Walletファイルを再ダウンロードしろというメールが来た

こんなメールが来るようになった。
期日までにWallet.zipを新しくしないと接続出来なくなるよというもの。
(G1 ルート証明書が廃止されG2 ルート証明書になるらしい。あまりわかってない。 )

なので再ダウンロードする。

OCIコンソール

Oracle AI Database> Autonomous AI Databases > (DB名)をクリック

左上にあるDatabase connectionボタンを押す

↓Wallet typeはRegional walletを選択した(リージョン内の全DBにログインできるWallet)

パスワード設定してDownload

Oracle ClientのWalletファイルを入れ替える

＄ORACLE_HOME/network/admin配下に展開しているので、バックアップフォルダを作って既存ファイルをバックアップ(bk_20260411_wallet)

※tnsnames.ora、sqlnet.oraは置き換える必要ない。(今回ミスって置き換えちゃったので再作成した)

/u01/app/oracle/product/23.5.0/client_1/network/admin

 

[oracle@backup admin]$ ls -ltr

合計 76

-rw-r--r-- 1 oracle oinstall 3021 4月 11 12:46 truststore.jks

-rw-r--r-- 1 oracle oinstall 2620 4月 11 12:46 tnsnames.ora

-rw-r----- 1 oracle oinstall 114 4月 11 12:46 sqlnet.ora

-rw-r--r-- 1 oracle oinstall 691 4月 11 12:46 ojdbc.properties

-rw-r--r-- 1 oracle oinstall 3190 4月 11 12:46 keystore.jks

-rw-r--r-- 1 oracle oinstall 7097 4月 11 12:46 ewallet.pem

-rw-r--r-- 1 oracle oinstall 6312 4月 11 12:46 ewallet.p12

-rw-r--r-- 1 oracle oinstall 6357 4月 11 12:46 cwallet.sso

-rw-r--r-- 1 oracle oinstall 2712 4月 11 12:46 README

-rw-r--r-- 1 oracle oinstall 25288 4月 11 21:46 Wallet_dbfree26ai.zip

drwxr-xr-x 2 oracle oinstall 218 4月 11 21:52 bk_20260411_wallet

-rw------- 1 oracle oinstall 0 4月 11 21:57 ewallet.p12.lck

-rw------- 1 oracle oinstall 0 4月 11 21:57 cwallet.sso.lck

[oracle@backup admin]$

外部パスワードストアとしても使ってるので新しいwalletファイルにクレデンシャル情報を再登録　※パスワードはマスクしてます。

OCI Race 2025戦績

Sat, 08 Nov 2025 08:03:32 +0000

毎年やってる？OCI資格を無料で受けられるイベント久しぶりにやってみた。

順当に進めれば期間内(～2025/10/31)に対象試験の中から4つ無料で受けられる。(もともと無料であるFoundationsの試験は除く)
無料分は使いきろうと思ってたので期限ギリギリになったが4つとも受けた。
勉強は動画見ながらマニュアル見たり動かしてみたりで2か月ぐらいはやった気がする。

試験結果

Oracle Cloud Infrastructure 2025 Multicloud Architect Professional

1試験目→合格
この試験はActivity Guide(研修コースの演習)がないので細かい操作内容は問われないだろうと思い机上でサービス仕様のみ勉強。@Google、@Azure、@AWS(これは対象に含まれてない)での差異は生成AIにまとめ表作ってもらって覚えた(最近便利ね)。

Oracle Cloud Infrastructure 2025 Observability Professional

2試験目→合格
APMとStack Monitoringを覚えたくてこのイベントやろうと思ったのでワイ的このイベントのメイン試験。
実機演習多めで勉強。高得点取れてよかった。

Oracle Database@AWS Architect Professional

3試験目→合格
Data Science試験を受けようと勉強してきたが理解度的に試験突破無理だと思い急遽こっちに振り替え。ほぼ勉強してないがOracle Databaseは得意であるってのとMulticloud Architectと同じくこちらも細かい内容は問われないだろうと思って受けた。逃げの試験。

Oracle Cloud Infrastructure 2025 Networking Professional

4試験目→落ちた(•᷄ὤ•᷅)
研修動画見てた感じ、他の試験と比べて問題が長文傾向にあり、英語能力的に不安だったのだがやっぱり駄目だった。もう途中からペース的に間に合わないと焦っちゃって全然問題文が頭に入ってこなかった。ネットワークの理解度的には問題ないはずなので問題は英語力とメンタル。一長一短じゃどうにもならなそうなのでじっくり腰を据えてリベンジしようと思う。

結果：4戦3勝1敗

せっかく勉強したので４つとも合格したかったが1つ取りこぼした。
ただ、「英語力とメンタルを鍛えてNetworking Professionalをリベンジ」っていう次の目標ができたので逆に落ちてよかったかもしれない。とりあえず腰を据えて英語の勉強に取り組もうと思う。リベンジはそれから(来年の無料イベントあたり？)。
Race特典でもらえる追加の１チケットは、もともと受けようと思っていたData Science試験で使おうと思う。

OCI_Oracle Base Database Service for Developersの値段

Wed, 24 Sep 2025 12:48:22 +0000

やること

Oracle Databaseのライセンス料がかからないOracle Base Database Service for Developersというのが出たらしいのでとりあえず１日あたりどのくらいで使えるのか試してみた。機能制限や用途制限(本番では使えない)があるけど安かったら個人的な検証用として使っていこうかなと。価格表の見方に自信がなかったというのもあり試しに使って料金確認してみた。

制限事項
Oracle Base Database Service for Developersについて
https://docs.oracle.com/ja/cloud/paas/base-database/about/index.html#GUID-497F69D3-632B-418C-9C54-10A15D4C6D5C

Enterprise Edition相当らしいので価格表ではOCPU料金が1/20くらい
https://www.oracle.com/jp/database/base-database-service/pricing/

ストレージは通常通り

Base DB作成

CPUは最小の1OCPU、ストレージはバランス型で最小の50GBで作成した(もろもろ含めてTotal strage sizeは300GBになる)
作成画面でeditionを選択する箇所があるのでEnterprise Edition Developerを選んで作る

何日か稼働させてたので料金を見てみる

机上計算では124円くらいのはずだが、

CPU=3.41*24=81.84円
ストレージ=3.9525*300/30=39.525円
パフォーマンスユニット=0.2635*300/30=2.635円
Cost Analyticsで見ると１日145円かかってた。
→20円ほどずれてる。バックアップかな。

Cost AnalyticsのGrouping dimentionsをService and Product Descriptionにしたら内訳がわかった。

Database / Oracle Base Database Service on Ampere A1 - Developer　→ 81.840円計算通り
Database / Block Volume - Storage　→　38.25円　だいたい計算通り
Database / DBaaS - Attached Block Storage Volume - Standard Performance　→　25.500円　これがずれてるっぽい。

OCI_File Storage（NFS）サービスを使ってみた。とNFSの勉強をちょっと

Sat, 13 Sep 2025 13:04:20 +0000

準備

NFSマウント用のCompute Instance（リソース名はVM_NFS）を作成
OSはOracle Linux 9

[opc@vm-nfs ~]$ df -h
Filesystem Size Used Avail Use% Mounted on
devtmpfs 4.0M 0 4.0M 0% /dev
tmpfs 2.8G 0 2.8G 0% /dev/shm
tmpfs 1.2G 9.1M 1.1G 1% /run
efivarfs 256K 14K 243K 6% /sys/firmware/efi/efivars
/dev/mapper/ocivolume-root 30G 8.5G 21G 29% /
/dev/sda2 2.0G 392M 1.6G 20% /boot
/dev/mapper/ocivolume-oled 15G 144M 15G 1% /var/oled
/dev/sda1 100M 7.5M 93M 8% /boot/efi
tmpfs 565M 0 565M 0% /run/user/989
tmpfs 565M 0 565M 0% /run/user/1000
[opc@vm-nfs ~]$

File Storage作成

Storage > File Storage > File Systems
Create File System

資格_4大クラウドの入門資格を受けてみた

Sat, 13 Sep 2025 13:05:46 +0000

OCIはそこそこ使ったことがある、他のクラウドは最近チョコっと触った程度でほぼ知識なしの状態。
他のクラウドサービスの基本的な使い方やサービス概要を把握したかったので一番優しい資格を全部取ってみることにした。

AWS

試験名：AWS Certified Cloud Practitioner
会場：ピアソンビュー
値段：16500円。受かったら次の試験で利用できる半額バウチャーが送られてきた。値段も試験によってまちまちらしいが以降は半額で受けられるみたい。
使った教材：AWS認定資格試験テキスト　AWS認定クラウドプラクティショナー　改訂第3版
感想：AWSはサービスが沢山あるので使ったことないとサービス名とサービス内容がまっちせず。そこは暗記するしかないかなって思ったくらい。参考書が試験用だったので、ざくっと読んで、最後、まとめ欄を読めば余裕で受かる感じ。

Google Cloud

試験名：Google Cloud Cloud Digital Leader
会場：謎の試験センター
値段：108.98USD(16000円くらい)。AWSと同じく受かったら次の試験で利用できる半額バウチャーが送られてきた。
使った教材：図解即戦力　Google Cloudのしくみと技術がこれ1冊でしっかりわかる教科書［改訂2版］
感想：Google Cloudについてというよりはパブクラとはみたいな内容だった。Googleの公式模擬問題を解いてみれば受かるレベル。AI系サービスについては多少Google Cloudサービスの問題が出たのでそこだけは重点的に覚えればいい。

Azure

試験名：Azure Fundamentals (AZ-900)
会場：ピアソンビュー
値段：6699円(定価12180円)。無料のオンラインセミナーを受けると半額チケット貰える。毎日のように開催されてるのでとりあえず受けておくがよろしい。
使った教材：Azureの知識地図〜クラウドの基礎から実装・運用管理まで
感想：公式の模擬問題終だと完全パブクラとは？な内容だったけど本試験はもうちょっとAzureより。ただ、ざっくりしたサービス内容を把握しておけば全然クリアできるレベル。クラウド経験あればNo勉強で受かる。

OCI

試験名：Oracle Cloud Infrastructure 2025 Foundations Associate
会場：家
値段：無料
使った教材：Oracle University
感想：基本的にOCIのサービスの知識を問う問題がほぼほぼ。難易度的には高くないけど他のクラウドの資格と比べてるとOCIを知らないと受からないような内容。無料で15回くらいチャレンジできるっポイので。まーって感じ。過去年度のやつたびたび受けてるので、そういった点で自分的には難易度高くはなかったけど、他のクラウドベンダーの同じグレードの資格と比べると難易度高い気がする。

総評

どれもメジャーなサービス名とサービス内容を把握してれば受かっちゃうくらいの優しめの内容だった。
さすがに優しすぎて手応えなかったので、もうワンランク上の資格を一通り取ってみようかなと思ってる。
ただ、クラウドの座学って家電のカタログ暗記してるようでぶっちゃけ面白くないので、そこまで難易度高い奴は今は受けないつもり。
まー一応それぞれ本1冊は読んで目的としてたサービスの概要はつかめたので、ぶっちゃけ今後はどんどん使っていくの方が良いかなと迷い中。

あとは、ピアソンビューの試験も自宅で受けられるのだが、環境チェックが厳しくてPC回り整理しないといけないので試験センターで受験することにした。ただ、メガネの淵とかマスクの内側とかポケットの中身とか全部チェックされた。汗だくの中勘弁してくれよと思ったが仕方ない。その点OCIはカメラはオンは必須だが、PC回りの写真をよこせとか言われないので試験に関してはだいぶ楽。

OCI_opcユーザのsudo設定

Mon, 21 Jul 2025 08:17:06 +0000

Oracle Linux 8

/etc/sudoersのデフォルト設定

rootユーザへのsudo許可(全コマンド、要パスワード)
wheelグループへのsudo許可(全コマンド、要パスワード)
opcユーザへのsudo許可(全コマンド、パスワード不要)

[root@instance-20250718-2217 sudoers.d]# cat /etc/sudoers
## Sudoers allows particular users to run various commands as
## the root user, without needing the root password.
##
## Examples are provided at the bottom of the file for collections
## of related commands, which can then be delegated out to particular
## users or groups.
##
## This file must be edited with the 'visudo' command.

## Host Aliases
## Groups of machines. You may prefer to use hostnames (perhaps using
## wildcards for entire domains) or IP addresses instead.
# Host_Alias FILESERVERS = fs1, fs2
# Host_Alias MAILSERVERS = smtp, smtp2

## User Aliases
## These aren't often necessary, as you can use regular groups
## (ie, from files, LDAP, NIS, etc) in this file - just use %groupname
## rather than USERALIAS
# User_Alias ADMINS = jsmith, mikem


## Command Aliases
## These are groups of related commands...

## Networking
# Cmnd_Alias NETWORKING = /sbin/route, /sbin/ifconfig, /bin/ping, /sbin/dhclient, /usr/bin/net, /sbin/iptables, /usr/bin/rfcomm, /usr/bin/wvdial, /sbin/iwconfig, /sbin/mii-tool

## Installation and management of software
# Cmnd_Alias SOFTWARE = /bin/rpm, /usr/bin/up2date, /usr/bin/yum

## Services
# Cmnd_Alias SERVICES = /sbin/service, /sbin/chkconfig, /usr/bin/systemctl start, /usr/bin/systemctl stop, /usr/bin/systemctl reload, /usr/bin/systemctl restart, /usr/bin/systemctl status, /usr/bin/systemctl enable, /usr/bin/systemctl disable

## Updating the locate database
# Cmnd_Alias LOCATE = /usr/bin/updatedb

## Storage
# Cmnd_Alias STORAGE = /sbin/fdisk, /sbin/sfdisk, /sbin/parted, /sbin/partprobe, /bin/mount, /bin/umount

## Delegating permissions
# Cmnd_Alias DELEGATING = /usr/sbin/visudo, /bin/chown, /bin/chmod, /bin/chgrp

## Processes
# Cmnd_Alias PROCESSES = /bin/nice, /bin/kill, /usr/bin/kill, /usr/bin/killall

## Drivers
# Cmnd_Alias DRIVERS = /sbin/modprobe

# Defaults specification

#
# Refuse to run if unable to disable echo on the tty.
#
Defaults !visiblepw

#
# Preserving HOME has security implications since many programs
# use it when searching for configuration files. Note that HOME
# is already set when the the env_reset option is enabled, so
# this option is only effective for configurations where either
# env_reset is disabled or HOME is present in the env_keep list.
#
Defaults always_set_home
Defaults match_group_by_gid

# Prior to version 1.8.15, groups listed in sudoers that were not
# found in the system group database were passed to the group
# plugin, if any. Starting with 1.8.15, only groups of the form
# %:group are resolved via the group plugin by default.
# We enable always_query_group_plugin to restore old behavior.
# Disable this option for new behavior.
Defaults always_query_group_plugin

Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
Defaults env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
Defaults env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"

#
# Adding HOME to env_keep may enable a user to run unrestricted
# commands via sudo.
#
# Defaults env_keep += "HOME"

Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin

## Next comes the main part: which users can run what software on
## which machines (the sudoers file can be shared between multiple
## systems).
## Syntax:
##
## user MACHINE=COMMANDS
##
## The COMMANDS section may have other options added to it.
##
## Allow root to run any commands anywhere
root ALL=(ALL) ALL

## Allows members of the 'sys' group to run networking, software,
## service management apps and more.
# %sys ALL = NETWORKING, SOFTWARE, SERVICES, STORAGE, DELEGATING, PROCESSES, LOCATE, DRIVERS

## Allows people in group wheel to run all commands
%wheel ALL=(ALL) ALL

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

## Allows members of the users group to mount and unmount the
## cdrom as root
# %users ALL=/sbin/mount /mnt/cdrom, /sbin/umount /mnt/cdrom

## Allows members of the users group to shutdown this system
# %users localhost=/sbin/shutdown -h now

## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d
[root@instance-20250718-2217 sudoers.d]#

/etc/sudoers.d/から読み込まれるファイルの一つ「90-cloud-init-users」にopcユーザのsudo許可が書かれる
※ファイルの一つと書いたのは厳密には/etc/sudoers.d/内に他のファイルもありシステムユーザ用の設定が入っているから。ファイル内容は記事末尾に記載

OCI_Compartment名を変えた

Fri, 20 Jun 2025 04:22:20 +0000

Blogs → BlogArea
普通にRename Compartmentってある

気になってたのがPolicyがcompartmentのocidじゃなくcompartment nameで設定されてたこと(というか変えた後に気になった)

連動して変わるらしい。ただ小文字になっちゃうっぽい(一番上のやつ)。大文字小文字含んでるのは手動で設定したやつ。

このCompartmentのせいでリソース迷子になるね。勉強のためにあえてCompartmentわけてみたんだけど想像以上にめんどくさい。

OCI_oci-cliのインストールパスを移動する。のはやめて再インストールする。

Fri, 20 Jun 2025 02:45:33 +0000

oci-cliのインストールパスを移動する。のをやめる。

oci-cliを適当にインストールしたらホームディレクトリ直下(/home/ubuntu)にlib/ bin/ディレクトリが作成されてしまい邪魔だった。
というかそれに気づいたのも暫くたってからで今更入れ直すのも面倒だしと思って我慢して使っていた。
けど、こんなのmvしてPATHを変えればいいだけですやんと思って /usr/local あたりに移動しようとしたけど、
結構インストールパスが組み込まれてて面倒なので素直に再インストールしたほうがいいと思った。ので削除して再インストールすることにした。
というかOracle Linuxだとdnfで入れられるっぽくてこうはならないっぽい。

ubuntu@instance-blogs:/usr/local/lib/oracle-cli$ sudo grep -R "/home/ubuntu" ./* 2>&1 | grep -v "binary file matches"
./bin/jp.py:#!/home/ubuntu/lib/oracle-cli/bin/python3
./bin/activate.csh:setenv VIRTUAL_ENV /home/ubuntu/lib/oracle-cli
./bin/activate: export VIRTUAL_ENV=$(cygpath /home/ubuntu/lib/oracle-cli)
./bin/activate: export VIRTUAL_ENV=/home/ubuntu/lib/oracle-cli
./bin/pip3.12:#!/home/ubuntu/lib/oracle-cli/bin/python3
./bin/activate.fish:set -gx VIRTUAL_ENV /home/ubuntu/lib/oracle-cli
./bin/create_backup_from_onprem:#!/home/ubuntu/lib/oracle-cli/bin/python3
./bin/pip3:#!/home/ubuntu/lib/oracle-cli/bin/python3
./bin/wheel:#!/home/ubuntu/lib/oracle-cli/bin/python3
./bin/oci:#!/home/ubuntu/lib/oracle-cli/bin/python3
./bin/pip:#!/home/ubuntu/lib/oracle-cli/bin/python3
./pyvenv.cfg:command = /usr/bin/python3 -m venv /home/ubuntu/lib/oracle-cli
ubuntu@instance-blogs:/usr/local/lib/oracle-cli$

.bashrcも汚される
→これも後で確認したらインストール時に書き込むけど良いか？みたいなこと聞かれてた。我覚えてない。

ubuntu@instance-blogs:~$ cat .bashrc
～略～
 elif [ -f /etc/bash_completion ]; then
 . /etc/bash_completion
 fi
fi

export PATH=/home/ubuntu/bin:$PATH

[[ -e "/home/ubuntu/lib/oracle-cli/lib/python3.12/site-packages/oci_cli/bin/oci_autocomplete.sh" ]] && source "/home/ubuntu/lib/oracle-cli/lib/python3.12/site-packages/oci_cli/bin/oci_autocomplete.sh"
ubuntu@instance-blogs:~$

インストールする

Ubuntu向け
手順：
https://docs.oracle.com/ja-jp/iaas/Content/API/SDKDocs/cliinstall.htm#InstallingCLI__linux_and_unix

Dockerの認証情報を暗号化する

Sat, 25 Apr 2026 03:24:29 +0000

更新履歴

2026/04/13 : OCIRにpushできなくなった。知識の整理のため#Docker 認証情報の保存場所についてのまとめを追記

警告がでる

クラウドのコンテナレジストリにPushする時にdocker loginコマンドでログインするのだが、
login時にこんな警告が出る

[!note]
WARNING! Your password will be stored unencrypted in /home/docker/.docker/config.json.WARNING! Your password will be stored unencrypted in /home/docker/.docker/config.json.

~/.docker/config.jsonにパスワードが平文で保存されているよという内容。
明示的にlogoutするとconfig.jsonからも消えるみたいだけど、逆に明示的にlogoutしないと平文パスワードがそのまま残ってしまいマズいよということらしい。

こんな感じ
初回ログイン時は認証情報が求められるけど、このおかげで2回目以降は認証情報なしでログインできる。

docker@ubuntu24:~/fn_projects/oci_logging_usage_notification$ docker login nrt.ocir.io
Authenticating with existing credentials...
WARNING! Your password will be stored unencrypted in /home/docker/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credential-stores

Login Succeeded
docker@ubuntu24:~/fn_projects/oci_logging_usage_notification$

ホントに平文で入ってる。明示的にlogoutコマンド打つと消える。

docker@ubuntu24:~/fn_projects/oci_logging_usage_notification$ cat ~/.docker/config.json
{
 "auths": {
 "xxxxxxxxxx.xxx.ecr.us-east-1.amazonaws.com": {
 "auth": "～略～"
 }
 }
}docker@ubuntu24:~/fn_projects/oci_logging_usage_notification$ docker logout xxxxxxxxxx.xxx.ecr.us-east-1.amazonaws.com
Removing login credentials for xxxxxxxxxx.xxx.ecr.us-east-1.amazonaws.com
docker@ubuntu24:~/fn_projects/oci_logging_usage_notification$ cat ~/.docker/config.json
{
 "auths": {}
}docker@ubuntu24:~/fn_projects/oci_logging_usage_notification$

暗号化する：

[!note]
実施したのはpass方式を使う設定※#Docker 認証情報の保存場所についてのまとめ

AWS_Lambdaを使って日次ジョブを仕込んでみる

Mon, 23 Jun 2025 05:15:37 +0000

やること

OCIの課金情報をメールに送付するスクリプトを作成したのでAWSのサーバレス環境でジョブ化してみる
主に2つのサービスを使う

AWS Lambda: サーバーレス実行環境
AWS EventBride Schedule: ジョブスケジューラ

AWS Lambda

この辺にあったLambda

Create a funcation

3パターンある。Use a blueprintってのはテンプレから作成するやつ。見てみたけど他のAWSサービスと連携する用みたいなのがいろいろ。
今回はAuthor from scratchで作ってPython用のコードをアップロードすることにする。

この辺にアップロード用のzip作成手順が載ってる
https://docs.aws.amazon.com/lambda/latest/dg/python-package.html

https://docs.aws.amazon.com/lambda/latest/dg/python-handler.html

とりあえず側だけ(サンプルコード付き)作って、あとからコードアップロードするっぽい

資材の準備

スクリプトはPyCharmで書いてるので、
PyCharm
Tools > Sync Pythons requirements で requirements.txtを生成

依存ライブラリもろもろカレントに詰め込んでzipに固めてアップロードすればいいらしい
依存ライブラリの取得はスクリプトに包んだ

docker@ubuntu24:~/lambda_build/multicloud_billing_report$ cat ../build_lambda_fun.sh
#!/usr/bin/env bash
set -euo pipefail

PROJECT_ROOT=$(pwd)
BUILD_DIR="${PROJECT_ROOT}/build"
rm -rf "$BUILD_DIR" && mkdir -p "$BUILD_DIR"

# 依存を確定
#uv lock
#uv export --frozen --no-dev -o requirements.txt

docker run --rm \
 --entrypoint /bin/bash \
 -e PIP_DEFAULT_TIMEOUT=1200 \
 -v "${PROJECT_ROOT}":/var/task \
 -w /var/task \
 public.ecr.aws/lambda/python:3.13 \
 -eu -c '
 PM=dnf; command -v yum >/dev/null && PM=yum
 $PM -y install gcc python3-devel || echo "skip gcc"
 python -m pip install --upgrade pip
 python -m pip install --only-binary=:all: \
 -r requirements.txt \
 --target build/python \
 --progress-bar off
 '
# entrypointがない 開発・ビルド専用イメージ public.ecr.aws/sam/build-python3.13 もあるらしい

sudo chown -R "$(id -u):$(id -g)" "$BUILD_DIR"

echo "依存ライブラリを build/python に展開しました"

docker@ubuntu24:~/lambda_build/multicloud_billing_report$

実行する

クラウドを極力無料で試して遊んでいるブログです

Fri, 20 Jun 2025 02:53:29 +0000

クラウドを極力無料で試して遊んでいるブログです

ブログの紹介文

クラウドは「習うより慣れろ」ということでAWS・Azure・Google Cloud・Oracle Cloud (OCI) を“ほぼ無料”な枠や期間限定クレジットで実験＆日記ブログです。
お金をかけずに気軽に試しています。このブログもその一環でObsidianに書き溜めてるノートをとりあえずはAzure SWAにデプロイしています。
掲載している手順・設定は、筆者が試した時点のメモです。手順の正確性や網羅性は保証しておりません。ミス等は気付き次第直します。アカウント固有の情報はxxxxxxとかで雑にマスクしてます。

資格(失効済み含む)

OCI

Oracle Database@AWS Architect Professional (⭐New : 2025/10/30 🎉)
Oracle Cloud Infrastructure 2025 Multicloud Architect Professional (⭐New : 2025/10/29 🎉)
Oracle Cloud Infrastructure 2025 Observability Professional (⭐New : 2025/10/29 🎉)
Oracle Cloud Infrastructure 2025 AI Foundations Associate (⭐New : 2025/09/15 🎉)
Oracle Cloud Data Management 2025 Certified Foundations Associate (⭐New : 2025/09/11 🎉)
Oracle Cloud Infrastructure 2025 Foundations Associate (⭐New : 2025/08/31 🎉)
Oracle AI Vector Search Certified Professional (2025/04/14)
MySQL HeatWave Implementation Certified Associate Rel 1 (2024/07/30)
Oracle Cloud Infrastructure 2024 Generative AI Certified Professional (2024/07/22)
Oracle Database Cloud Administrator 2023 Certified Professional (2024/05/08)
Oracle Base Database Services 2023 Certified Professional (2024/05/08)
Oracle Autonomous Database Cloud 2023 Certified Professional (2024/01/15)
Oracle Cloud Database 2023 Migration and Integration Certified Professionl (2024/01/15)
~~Oracle Cloud Infrastructure 2023 AI Certified Foundations Associate (2024/01/05)~~ (🌠2025更新)
~~Oracle Cloud Data Management 2023 Certified Foundations Associate (2023/08/17)~~ (🌠2025更新)
~~Oracle Cloud Infrastructure 2023 Certified Foundations Associate (2023/08/11)~~ (🌠2025更新)
Oracle Cloud Infrastructure 2023 Certified Architect Professional (2023/08/03)
Oracle Cloud Infrastructure 2022 Certified Security Professional (2022/12/22)
Oracle Cloud Infrastructure 2022 Certified Architect Associate (2022/10/25)

AWS

AWS Certified Cloud Practitioner (⭐New : 2025/08/23 🎉)

Azure

Azure Fundamentals (AZ-900) (⭐New : 2025/09/13 🎉)

Google Cloud

Google Cloud Cloud Digital Leader (⭐New : 2025/08/30 🎉)

その他オラクル資格

ORACLE MASTER Platinum DBA 2019 (2023/08/29)
Oracle Certified Java Programmer, Gold SE 11 (2023/07/15)
Oracle Database 19c: Data Guard Administrator (2023/01/09)
Oracle Database 19c: RAC, ASM, and Grid Infrastructure Administrator (2022/11/04)

OCI_無料のLBを2つのリージョンで使いまわしたいのでVCNつなぐ

Sat, 05 Jul 2025 16:28:47 +0000

何をやりたいかというと

OCIはLB(L7ロードバランサー)が1インスタンス無料らしい。さらに、そこにアタッチするWAFポリシーも1インスタンス無料らしい。この無料WAFを使って2つのリージョンにあるComputeに処理を流したい。ただ、LBはリージョナルオブジェクトなので各リージョン内に存在していて通常は自リージョン内にしか処理をさばけない。そこでリージョン間をネットワーク接続して処理を無理やり流す。
処理効率的にこれをやる意味はないのだけど、WAFのIPブロック機能を使いたいのでやってみる。

https://www.oracle.com/cloud/price-list/

Dynamic Routing Gatway(DRG)を各Region毎に作成し、それぞれのVCNをアタッチ

Tokyo側
Networking > Customer connectivity > Dynamic routing gateways > Create dynamic routing gateway
- NAME: DRG_NW_Blogs
- Compartment: Blogs
(NAME: DRG_NW_Blogs) > Attachments タブ > Create VCN attachment
- NAME: VCN_attachment_NW_Blogs
- VCN: NW_Blogs
- DRG route table(VCN→DRG) : Autogenerated Drg Route Table for VCN attachments
  ※トランジットルーティングのハブ構成を作りたいとかじゃなければ↑のデフォルトで良いっぽい。
- VCN route table(DRG→VCN): None
  ※トランジットルーティング（ハブ&スポーク）構成で、DRG から VCN 内のどのサブネットへ転送させるか細かく制御する用途。通常モードならNoneでVCNのDefaultのRute表が使われる。
- VCN route type: Subnet CIDR blocks

今回はCIDRもかぶってない2つのリージョンをつなぐだけなのでルーティングとか気にしないシンプルな構成で。

参考：トランジットルーティング（ハブ＆スポーク）

OCI_Geminiに作ってもらったしょうもないアプリをコンテナインスタンスで公開した

Fri, 20 Jun 2025 04:22:15 +0000

まずコンテナイメージ作る

ローカルPCのUbuntu環境にて
コンテナイメージの作成(Dockerfile含めて全部Gemini作)

docker@ubuntu24:~/DC/ai_fortune_teller$ cat docker-compose.yml
services:
 web:
 build:
 context: . # Dockerfileがあるディレクトリを指定 (カレントディレクトリ)
 dockerfile: Dockerfile # 使用するDockerfileの名前
 image: ai_fortune_site_web:latest
 container_name: ai_fortune_site_web
 ports:
 - "8084:80"
 volumes:
 # index.htmlの変更をリアルタイムに反映させたい場合 (開発時向け)
 # Dockerfile内のCOPY命令と競合するため、どちらか一方を有効にします。
 # 開発時はこちらを有効にし、DockerfileのCOPY ./index.html ... をコメントアウトすると便利です。
 # 本番環境ではDockerfileのCOPYを使い、このvolumesはコメントアウトまたは削除します。
 - ./index.html:/usr/share/nginx/html/index.html:ro # :ro は読み取り専用
 restart: unless-stopped # コンテナが停止した場合、手動で停止しない限り再起動
docker@ubuntu24:~/DC/ai_fortune_teller$ cat Dockerfile
# ベースイメージとしてNginxの公式イメージを使用
FROM nginx:alpine

# Nginxのデフォルト設定ファイルを削除 (カスタム設定を使用するため)
RUN rm /etc/nginx/conf.d/default.conf

# カスタムのNginx設定ファイルをコンテナにコピー
COPY nginx.conf /etc/nginx/conf.d/default.conf

# 静的コンテンツ (HTML, CSS, JS) をNginxのドキュメントルートにコピー
# index.html があるディレクトリを app という名前にしてコピーします。
# この Dockerfile と同じ階層に app/index.html がある想定です。
# もし index.html が Dockerfile と同じ階層にある場合は、
# COPY ./index.html /usr/share/nginx/html/index.html のように変更してください。
# 今回は index.html が Dockerfile と同じ階層にある前提で進めます。
COPY ./index.html /usr/share/nginx/html/index.html

# Nginxがリッスンするポートを指定 (デフォルトは80)
EXPOSE 80

# Nginxをフォアグラウンドで実行
CMD ["nginx", "-g", "daemon off;"]

docker@ubuntu24:~/DC/ai_fortune_teller$

イメージ作るだけなら：docker compose build → docker image ls <image名>
起動して動確もするなら：docker compose up --build -d → docker compose images `

Google Cloud_Webサイトの生存監視

Sat, 21 Jun 2025 12:21:22 +0000

ブログのサイト生存監視を実施してみる

どこのクラウドも似たようなサービスあるけど、とりあえずGoogle Cloud使ってみたかったので。
くっくっくっ…ちなみに実行回数にしたら月100万回は無料か…

https://cloud.google.com/monitoring

合成モニタリングの概要
https://cloud.google.com/monitoring/uptime-checks/introduction?hl=ja

作ったもの

Project: Website Uptime Monitoring
Uptime checks
- Uptime check www.fuku.tokyo
  - Alert Policy: www.fuku.tokyo uptime failure
    - Notification Channels: チャネル名適当

作成手順

Cloud Monitoring API を有効にする
APIs & Services > Library

Cloud Monitoring API を検索
→ デフォルトでAPI Enabledになってた。
モニタリング設定
Monitoring ＞ Uptime checks
Create uptime check

※名前とか後で変更できるので気楽に
チェック間隔は最大で15分だった。

ここはデフォルト

アラート間隔だけ6時間にした(→これ後でAlert Policyの設定で1時間にした)

名前だけ付けて「Test」その後「Create」

出来た

右下にAlert Policyが1件できてるのでそれをクリック

後々要調整だけど、15分間隔のチェックなので1時間に2回エラーで発報という設定にしてみる。

通知先はEmail

送信先アドレスを設定

メールタイトルを適当につけて保存

サイト落としたらメール来た。一度メール来たら連投はしないらしい。復旧メールは出る。

OCI_Cloud_Guard構成

Wed, 25 Jun 2025 16:15:47 +0000

管理用のグループ/ユーザーを作成

とりあえずフル権限はこちら
https://docs.oracle.com/en-us/iaas/Content/cloud-guard/using/policies.htm

グループ作成
Identity & Security > Domains > (OracleIdentityCloudService) > User management タブ > Groups > Create group
- Name: cloudguard-admins
- Users: xxxxxxxxxxxxxxxxxxxxxx (既存の適当なユーザー)
ポリシー作成
Identity & Security > Policies > Create Policies
- Name: Policy_cloudguard-admins
- Compartment: zzzzzz(root)
- Statements:
```
allow group OracleIdentityCloudService/cloudguard-admins to manage cloud-guard-family in tenancy
```

→上記のフル権限与えたユーザーでCloud Guard有効化しようとしたけど権限エラーではじかれたのでテナンシーオーナーでやることにした

権限細かく分けたい場合も一応載っている。知りません。
https://docs.oracle.com/en-us/iaas/Content/cloud-guard/using/prerequisites.htm

You can find all the policies required to enable Cloud Guard in the Oracle Cloud Infrastructure Identity and Access Management (IAM) Common Policies topic. On that page, search for “Cloud Guard” and expand the four lists that you find.
For detailed information on individual Cloud Guard policies, see Cloud Guard Policies.

OCI_マネコンにログインした時にメール通知するようにしてみる

Fri, 20 Jun 2025 04:22:10 +0000

OCIコンソールにログインした時にメール通知するようにしてみる

勉強

監査ログはデフォルトで作成される下記のロググループに吐かれている
Observability & Management > Log Groups > _Audit
監査ログはRegion毎に吐かれる(イベントが起きたRegionでloggingされるらしい)　ただし、OCIコンソール上では一元管理できるようになっている。検索リージョンをallにする。
Compartmentはrootに配置され全Compartのログが含まれる単一のLog Groupになる。
左のCompartment指定は特に影響ない気がする。select regions to searchで指定するCompartmentはフィルターとして機能。
権限のあるcompartmentのログは見えるっていう形だと思う。

ログインイベントはdata.eventName='InteractiveLogin’っぽい

ログイン監査がAuditログに載るようになったのは最近らしい。やったね。
https://docs.oracle.com/en-us/iaas/Content/Identity/api-getstarted/usingauditeventapis.htm

[!note]
Identity domains AuditEvents and certain reports templates in the Reports APIs will stop returning new data after December 15, 2024. Instead, you can use the OCI Audit service to get this data. To view service change announcements for IAM, see Service Change Announcements for IAM.

OCI_Functions＆OCI Schedulerでジョブ実行

Sat, 25 Apr 2026 03:22:30 +0000

更新履歴

2026/04/13 : Dockerの認証情報を暗号化するをやった結果、fn deployが失敗するようになった。対応内容を追記→#Docker認証情報保存でハマったことについての対応

TanitaのAPIから取得した情報をADBに格納するスクリプトを作ったので日次のジョブにした

Vaultに認証情報を格納

Vaultを作成
Identity & Security > Vault > Create Vault
- Region: Tokyo
- Compartment: Blogs
- Name: TANITA
- Region: Tokyo
- Compartment: Blogs
- Name: ADB
Encryption Keyを作成
Identity & Security > Vault > Vault > (TANITA) > Master Encryption Keys タブ > Create Key
- Compartment: Blogs
- Name: TANITA_KEY
- Protection Mode: HSM (20ver./ monthまで無料らしい)
- Key Shape Algorithm: AES 256bits
Identity & Security > Vault > Vault > (ADB) > Master Encryption Keys タブ > Create Key

OCI_WAFのフィルター_お家からの接続に絞る

Sat, 05 Jul 2025 16:14:10 +0000

WAF(Edge plicy)のフィルター

VPNのセキュリティーリストでお家のIPからのみ接続許可してたのだがWAFを挟んでしまったため出来なくなった。
代わりにWAFでフィルターすればいいやん。ということに気づいたので設定したという話。
(フィルターしたかったのはセキュリティ的な理由じゃなくテスト用のサイトでGoogleにインデックス登録されたくなかったから)

Web application firewall > OCI Edge policy resources > IP address lists
→お家のIPを登録する
※Network address listsって言う登録箇所もあるが、そっちはv2WAF用だと思われる。Edge Policyで使う場合は、こっちの Edge policy resources 内のIP address listsに登録する

Web application firewall > Policies > [WaF_for_Blogs_Ash] を選択
Access control > Add access ruleでルールを作成　※最後Publishを忘れずに
お家アドレス以外はブロックというルール

※Access control > IP whitelistsタブ　→こっちのリストは無条件OKのIPを指定するところなので用途が違う。

Nginxのアクセスログ

もう一点、WAFを挟んだことによりNginxのアクセスログに出力されるIPがWAFのIPになってしまった。
HTTPヘッダーにオリジナルのIPを格納していてNginxはそれをログに出す仕組みがあるが、設定には、どのIPから送られてきたヘッダーだったら信頼してオリジンIPを採用するっていうIPのレンジ指定をする必要がある。もともとクライアントPC → Traefik → Nginx という経路で、素のままだとTraefikの出口IPになってしまってたところ、TraefikのIPは信頼できますっている設定をしてHTTPヘッダーのクライアントPCのIPを取りだてログに出してた。ただ、ここにWAFが挟まってしまったため、WAFの出口IPも信頼できるっていう指定(set_real_ip_fromを追加していく)をしないとそこで信頼の連鎖が止まってしまってWAFの出口IPがログに出てしまう。ただ、WAFの出口IPのレンジいっぱいあって追加するの面倒だったので諦めた。

例

# Traefik コンテナ（bridge ネットワーク）を信頼
set_real_ip_from 172.18.0.0/16;

real_ip_header X-Forwarded-For;
real_ip_recursive on;

OCI_WAF(CDN)を構成してみる

Sat, 05 Jul 2025 16:24:16 +0000

WAFのEdge PolicyはCDNとしての機能もあるらしいのでそれ目的で構成してみた

OCIリソース

Oracle Cloud Infrastructure Certificates：~~Cert_Blogs_Ash~~ →結局Edge Policyでは使えないことがわかって削除
- Reasion：US East(Ashburn)
- Compartment: Blogs
Oracle Web Application Firewall（WAF）※Edge Policy: WaF_for_Blogs_Ash
- Reasion：~~US East(Ashburn)~~　→Edge Policyはグローバルっぽい
- Compartment: Blogs

SAN証明書

ドメイン毎に証明書を分けようと思ったが、WAFが1つにつき1つの証明書しか含められない、かつWAFが初回インスタンスのみ無料っぽいので、ドメインすべて同じ証明書にくくる
→というかその方法 SAN証明書というやつ取得する必要があるらしく、Traefikの構成を変える必要があるとのこと。

↓下は証明書を分けて抜き出すためのコマンド。WAFのインスタンスポコポコ量産できないので使わない。

# jqインストール
sudo apt -y install jq

# Traefik v2ではA型とBg型の格納方法があるらしい。↓はB型(型によって以下のコマンドが変わってくる)
ubuntu@instance-blogs-ash:~/traefik/letsencrypt$ jq 'keys' ~/traefik/letsencrypt/acme.json
[
 "le"
]
ubuntu@instance-blogs-ash:~/traefik/letsencrypt$

# どのドメインの証明書が含まれてるか確認
ubuntu@instance-blogs-ash:~/traefik/letsencrypt$ jq -r '.[].Certificates[].domain.main' ~/traefik/letsencrypt/acme.json
staging.fuku.tokyo
stagingsub.fuku.tokyo
ubuntu@instance-blogs-ash:~/traefik/letsencrypt$

# ドメイン毎に証明書ファイルを分けて出力する方法
jq -c '
 .[].Certificates[] |
 {dom: .domain.main, cert: .certificate, key: .key}
' acme.json |
while IFS= read -r obj; do
 dom=$(jq -r '.dom' <<<"$obj")
 jq -r '.cert' <<<"$obj" | base64 -d > "${dom}.crt"
 jq -r '.key' <<<"$obj" | base64 -d > "${dom}.key"
done

SAN証明書の構成

traefik.ymlにdomains: セクションを追加

OCI_Email Delivery設定

Sun, 06 Jul 2025 06:09:10 +0000

Ghost(CMS)の管理画面の２段階認証で使用するメール送信設定

OCIリソース

OCI Email Delivery
- exa-hack.com
  - Region: Japan East(Tokyo)　※DNS Domainと同じにした
  - Compartment: Blogs
  - SMTP credentials: 取りあえずテナンシユーザーで取得する

本編

Ghost管理画面の2段回認証のため、SMTP送信サービスを有効化する。いろいろあるが基本何でも使えるらしいのでOCI のEmail Deliveryを使って構成した。

独自ドメインである必要があるらしい。
サイトのドメイン登録もOCIを使用しているのでサイトのドメイン毎に設定しよ

OCI Email Delivery構成手順

「Developer Services」＞「Application Integration」＞「Email Delivery」＞「Approved Senders」
→Create Approved Sender から送信者アドレスを登録(これが送信者になる)
Email Domains
→Create Email Domainからドメインを登録
必須ではないらしい(ドメイン丸っと承認みたいな意味らしい。DKIM設定には必要っぽい)
DKIMの設定（任意だが推奨）: ドメインにDKIM（DomainKeys Identified Mail）署名を導入すると、送信メールに電子署名が付与され、改ざん検知やなりすまし防止に有効
SMTP認証資格情報（SMTP Credentials）の生成
右上の人物アイコンから「User Settiing」>「SMTP Credentials」
メール送信に使用するユーザーアカウントが別の場合は「Identity & Security」＞「Domains」＞「（デフォルトのIDドメイン）」＞「Users」から

「Generate SMTP Credentials」（SMTP資格情報の生成）ボタンをクリックし、説明欄を適宜入力して資格情報を作成
これがOCIのサービスを外部から呼び出すための認証情報になる。

独自ドメインのDNSレコード設定（SPFとDKIM）
- SPFレコードの設定
- 「Networking」＞「DNS management」＞「Zones」＞「（対象ドメイン）」>「Records」
  TXTレコードを登録する（後ろの指定文字はリージョンごとに違うらしい）
  https://docs.oracle.com/en/cloud/paas/integration-cloud/oracle-integration-oci/configure-email-authentication-settings-spf-and-dkim.html
  "exa-hack.com IN TXT \"v=spf1 include:ap.rp.oracleemaildelivery.com ~all\""
  ※これは「OCIのメールサーバ（Asia/Pacificリージョン）から送信することを許可する」ことを示すSPFレコード

OCI_Logging&Logging Analyticsにnginxのログを渡す

Sat, 05 Jul 2025 16:03:14 +0000

nginxのログをOCI logging/Logging Analyticsに渡す

ocidとってfluent bitに設定する必要があったり、パーサーの定義にLoggingでのログが必要だったり、いろいろ設定入り組んでて最初は上から順番に綺麗にできないので平行に進めていく感じで。

Fluent Bitの構成

Ubuntu on ARM構成が管理エージェントに対応してないためFluent Bitを入れて送信する

インストール

リポジトリGPGキーの追加
curl https://packages.fluentbit.io/fluentbit.key | gpg --dearmor | sudo tee /usr/share/keyrings/fluentbit-keyring.gpg > /dev/null

APTソースリストへの登録

sudo touch /etc/apt/sources.list.d/fluent-bit.list
echo "deb [signed-by=/usr/share/keyrings/fluentbit-keyring.gpg] https://packages.fluentbit.io/ubuntu/noble noble main" | sudo tee /etc/apt/sources.list.d/fluent-bit.list

※nobleはUbuntu 24のコードネームらしい。Ubuntuのバージョンに合わせて変える。

Fluent Bitインストール

sudo apt-get update
sudo apt-get install fluent-bit
sudo systemctl start fluent-bit
sudo systemctl enable fluent-bit
systemctl status fluent-bit
#これやらないとエラーになった。ポディションDBがこの下に作成される。
sudo mkdir -p /var/lib/fluent-bit

Fulent Bit for OCI Ligging Services Pluginの構成(Logging Analitics Pluginは標準搭載されているがLogging へのPluginは標準で搭載されていので有志の作成物をつかう)