SonarQubeServerの構築

【連載】

AWSで実践! 基盤構築・デプロイ自動化

【第2回】SonarQubeServerの構築

[2019/06/04 08:00]川畑 光平 ブックマーク ブックマーク

開発ソフトウェア

本連載では、以下のイメージに沿って「CodeBuild」「SonarQube」を使った継続的インテグレーション(CI:Continuous integration)環境を実際に構築していきます。

構築するCI環境のイメージ

今回は、Amazon RDS、アプリケーションロードバランサ(ALB)を設定して、ECSクラスタ上にオープンソースの静的解析ツールである「SonarQubeServer」をECSコンテナとして構築します。

SonarQubeの概要

SonarQubeは、SonarSourceによって提供されているオープンソースの静的解析プラットフォームで、形式的なソースコードのバグや不適切な記法のチェック、カバレッジの計測などを行い、品質の可視化を可能にするものです。

解析できるプログラミング言語として、Java(Android含む)、C#、PHP、JavaScript、TypeScript、C/C++、Ruby、Kotlin、Go、COBOL、PL/SQL、PL/I、ABAP、VB.NET、VB6、Python、RPG、Flex、Objective-C、Swift、CSS、HTML、and XMLなど、25を超える言語をサポートし、それらのコードのバグやCode Smell(深刻な問題が発生する可能性があるコード)、セキュリティ脆弱性を検出することができます。

また、SonarQubeはプラグインにより拡張が可能になっており、「IntelliJ IDEA」や「Eclipse」などの統合開発環境と連携するSonarlintプラグイン、「Maven」や「Gradle」などのライブラリ管理ツール向けのScannerプラグインに加え、GitHubやGitLab、JIRAやJenkinsなどの各開発ツールとの統合プラグイン、チェックルールを追加する場合のFindBugsプラグインなどさまざまなものが提供されています。

SonarQubeを構成する代表的なコンポーネントや機能、その特徴は以下の通りです。

コンポーネント 機能 特徴
SonarQubeServer ダッシュボード SonarQubeの中核となるWebアプリケーション。解析対象ごとにプロジェクトを作成し、解析結果のサマリやIssue、解析のアクティビティが可視化できる
QualityProfile 解析する言語のチェックルールの定義、適用するプロジェクトへの設定を行う。ソースコードを実装する開発端末で、QualityProfileが設定されたSonarQubeServerプロジェクトを指定することで、複数の端末に同一のルールを適用できる
QualityGate 開発端末でソースコードをコミット・プッシュする場合やSonarScannnerでビルドする際に、プロジェクトに設定した静的チェックルール・メトリクスをパスしたか検証し、またその検証ルールを定義する機能
MarketPlace FindBugsなどの追加の解析ルールや他のサードパーティ製ツールとの統合プラグインなどのマーケットプレイスで検索・インストールを行う機能。プラグインの一覧はこちら
Sonarlint ソースコード検証・サジェスト IntelliJ IDEAやEclipseなどの統合開発環境にプラグインをインストールし、コーディングする際に検証やサジェスト、チェックルールの詳細表示などを行う機能
SonarScanner ソースコード解析・結果送信 MavenやGladle、Jenkinsなどを使ってアプリケーションをビルドする際に、プラグインを組み込み、ソースコードの解析・検証、カバレッジ測定などを実行して、SonarQubeServerへ結果を連携する機能

SonarQubeには、上記の機能を無料で使用可能なCommunity Editionや、ソースコードのブランチやプルリクエスト解析などの機能を追加したDeveloper Edtion、ポートフェリオ管理機能や高度なテクニカルサポートがあるEnterprize Edtion、複数のSonarQubeServerをクラスタとして構築し、高可用性な運用ができるDataCenter Edtionがあります。以降では、Community Editionを使って環境構築を進めていきます。

Amazon RDSを使ったSonarQubeServer用データベースの構築

SonarQubeServerは、サーバの設定やプロジェクトの解析結果、組み込んだプラグイン、セキュリティ情報などを保存しておくリレーショナルデータベースが必要になります。データベースはOracle、PostgreSQL、MySQL、MS SQLServerなど主要なデータベースエンジンをサポートしていますが、ここでは自動バックアップなど高い可用性で運用が可能なAmazon RDS(PostgreSQL)を使ってデータベースを構築します。

RDS構築の要領は、筆者が執筆している別連載「AWSで作るクラウドネイティブアプリケーションの基本」の第11回「Amazon RDSにアクセスするSpringアプリケーション(1)」を参照してください。設定内容は、同記事の手順とほぼ同一でかまいませんが、「データベースの名前」だけ、「sonar」を設定するようにしてください。

データベースの設定

構築後は、sonarデータベースにアクセスするユーザーを作成しましょう。

セキュリティグループでRDSのインバウンド接続が許可されたIPアドレスを持つEC2インスタンスなどで、PSQLクライアントなどをインストールし、作成したRDSのエンドポイント、データベース、ユーザー名を指定してRDSに接続後、ユーザー名「sonar」、パスワード「sonar」とするユーザーを作成します。

[centos@ip-XXXX-XXX-XXX-XXX ~]$ psql -U username -d sonar -h mynavi-sample-db.xxxxxxx.ap-northeast-1.rds.amazonaws.com
Password for user username:
psql (9.4.0, server 10.6)
sonar=> create role sonar with LOGIN password 'sonar';

なお、CentOSのPSQLインストール方法ですが、EC2でCentOS7を実行した場合は、以下のコマンドでPSQLをインストールできます。

[centos@ip-XXXX-XXX-XXX-XXX ~]$ sudo yum update -y
// omit
[centos@ip-XXX-XXX-XXX-XXX ~]$ sudo yum install -y postgresql

SonarQubeServer向けのアプリケーションロードバランサの構築

続いて、SonarQubeServerへ接続するためにALBを経由して接続するように構築します。ALBと接続するターゲットグループにECSコンテナを登録することにより、ヘルスチェック機能が有効になり、サーバが何らかの理由で落ちた場合も再起動が実行され、SonarQubeServerの可用性を向上させることができます。

ALBの構築は、連載「AWSで作るクラウドネイティブアプリケーションの基本」の第5回「AWS ECS上に構築するSpringアプリケーション(2)」を適宜参考にしてください。

今回、設定内容でポイントとなる項目は以下の通りです。

設定箇所 設定内容 説明
基本設定:スキーム インターネット向け(internet-facing) 開発端末からSonarQubeServerへインターネット経由でアクセスするため、パブリックサブネット向けのALBを作成します
セキュリティグループの設定:セキュリティグループの割り当て 新しいセキュリティグループを作成する ポート80番の任意のIPからのアクセスを許可するセキュリティグループを新しく作成します
ルーティングの設定:ターゲットグループ 新しいターゲットグループ ターゲットグループを新規作成します
ルーティングの設定:ターゲットグループ [ターゲットの種類]インスタンス [プロトコル]HTTP [ポート]80 HTTPプロトコルでターゲットグループにアクセスします
ルーティングの設定:ヘルスチェック [プロトコル]HTTP [パス]/ [間隔]300秒 SonarQubeServerの初回起動はデータベースの構築など時間を要するため、300[s]ほどにチェック間隔を設定してください
ターゲットの登録 [登録済みターゲット]特に設定しない 後述のECSサービス作成時にターゲットの登録を行うので、ここでは何も設定せずに登録します

SonarQubeを構築するDockerfile

次に、SonarQubeServerをECSで構築するためのDockerfileを作成します。SonarQubeServerでデフォルトで提供されている起動スクリプトである「sonar.sh」は、SonarQubeアプリケーションをスクリプト中で別プロセスでデーモンとして起動する形式になっているため、Dockerfileイメージでそのまま実行するとDockerプロセスとしてアプリケーションを起動することができません。そこで、SonarSourceから提供されているDockerfileを参考に、CentOSでSonarQubeServerを構築するDockerfileを以下のように作成します。

# Dockerfile for sonarqube server
# (A)
FROM            docker.io/centos:latest
# (B)
MAINTAINER      debugroom

# (C)
RUN yum install -y java-1.8.0-openjdk zip unzip wget

# (D)
ENV SONAR_VERSION=7.7 \
    SONARQUBE_HOME=/usr/local/sonarqube \
    SONARQUBE_JDBC_USERNAME=sonar \
    SONARQUBE_JDBC_PASSWORD=sonar \
    SONARQUBE_JDBC_URL=jdbc:postgresql://mynavi-sample-sonarqube-db.xxxxxxxx.ap-northeast-1.rds.amazonaws.com/sonar

# (E)
EXPOSE 9000

# (F)
RUN groupadd -r sonarqube && useradd -r -g sonarqube sonarqube

# (G)
RUN set -x \
 && (gpg --batch --keyserver ha.pool.sks-keyservers.net --recv-keys F1182E81C792928921DBCAB4CFCA4A29D26468DE \
         || gpg --batch --keyserver ipv4.pool.sks-keyservers.net --recv-keys F1182E81C792928921DBCAB4CFCA4A29D26468DE) \
 && curl -o sonarqube.zip -fSL https://binaries.sonarsource.com/Distribution/sonarqube/sonarqube-$SONAR_VERSION.zip \
 && curl -o sonarqube.zip.asc -fSL https://binaries.sonarsource.com/Distribution/sonarqube/sonarqube-$SONAR_VERSION.zip.asc \
 && gpg --batch --verify sonarqube.zip.asc sonarqube.zip \
 && unzip sonarqube.zip \
 && mv sonarqube-$SONAR_VERSION $SONARQUBE_HOME \
 && rm sonarqube.zip* \
 && rm -rf $SONARQUBE_HOME/bin/*

# (H)
WORKDIR $SONARQUBE_HOME
# (I)
COPY run.sh $SONARQUBE_HOME/bin/
# (J)
RUN chmod 744 $SONARQUBE_HOME/bin/run.sh
# (K)
RUN chown -R sonarqube:sonarqube $SONARQUBE_HOME
# (L)
USER sonarqube
# (M)
CMD ["./bin/run.sh"]

|br|

Dockerfileの実行コマンドは、次の通りです。

項番 コマンド 説明
A. FROM centos:centos7 コンテナイメージのベースとなるOSイメージを指定します。
B. MAINTAINER debugroom メンテナンスしている組織や個人の名称を指定します。省略可能です
C. RUN yum install -y java-1.8.0-openjdk zip unzip wget OSにJDK、zipコマンド、unzipコマンド、wgetコマンドをインストールしてます
D. ENV SONAR_VERSION=7.7 omit… コンテナの環境変数にSonarQubeのバージョンやインストールするホームディレクトリ、ユーザー名、パスワード、RDSのエンドポイントを設定します
E. EXPOSE 9000 コンテナのポート9000をオープンします
F. RUN groupadd -r sonarqube && useradd -r -g sonarqube sonarqube sonarqubeグループとsonarqubeユーザーを作成します
G. RUN set -x omit… SonarQubeServerをダウンロードして、$SONARQUBE_HOME配下へ展開します
H. WORKDIR $SONARQUBE_HOME コマンド実行する起点となるディレクトリを$SONARQUBE_HOMEへ移します
I. COPY run.sh $SONARQUBE_HOME/bin/ SonarQubeServerアプリケーションを実行するスクリプトrun.shを$SONARQUBE_HOME/binへコピーします
J. RUN chmod 744 $SONARQUBE_HOME/bin/run.sh run.shに実行権限を付与します
K. RUN chown -R sonarqube:sonarqube $SONARQUBE_HOME $SONARQUBE_HOME配下にある全てのディレクトリ/ファイルの所有者権限をグループsonarqube、ユーザーsonarqubeへ変更します
L. USER sonarqube sonarqubeユーザーへスイッチします
M. CMD ["./bin/run.sh"] SonarQubeServer実行スクリプトを起動します

また、SonarQubeServerを実行するrun.shスクリプトは以下の通りです。起動スクリプトはSonarSourceから提供されているものをほぼそのまま利用しますが、javaコマンドでアプリケーションを起動するプロセスをフォアグラウンドで実行しているのがポイントです。

#!/usr/bin/env bash

set -e

if [ "${1:0:1}" != '-' ]; then
  exec "$@"
fi

declare -a sq_opts

while IFS='=' read -r envvar_key envvar_value
  do
    if [[ "$envvar_key" =~ sonar.* ]]; then
       sq_opts+=("-D${envvar_key}=${envvar_value}")
    fi
  done < <(env)

exec java -jar lib/sonar-application-$SONAR_VERSION.jar \
  -Dsonar.log.console=true \
  -Dsonar.jdbc.username="$SONARQUBE_JDBC_USERNAME" \
  -Dsonar.jdbc.password="$SONARQUBE_JDBC_PASSWORD" \
  -Dsonar.jdbc.url="$SONARQUBE_JDBC_URL" \
  -Dsonar.web.javaAdditionalOpts="$SONARQUBE_WEB_JVM_OPTS -Djava.security.egd=file:/dev/./urandom" \
 "${sq_opts[@]}" \
 "$@"

こちらも、連載「AWSで作るクラウドネイティブアプリケーションの基本」の第7回「AWS ECS上に構築するSpringアプリケーション(4)」と同様の手順で、Dockerfile作成後にDockerがインストールされた適当な端末で、イメージを作成します。

[centos@ip-XXX-XXX-XXX-XXX]$ docker build . -t debugroom/sonarqube-server:latest
   // omit
[centos@ip-XXX-XXX-XXX-XXX ~]$ docker images
REPOSITORY                                TAG                 IMAGE ID            CREATED             SIZE
debugroom/sonarqube-server                latest              97e608f45e20        2 minites ago       973MB

Dockerイメージが作成されたら、Docker Hubへプッシュします。

[centos@ip-XXX-XXX-XXX-XXX ~]$ docker login
// omit  - enter USERID and password
[centos@ip-XXX-XXX-XXX-XXX ~]$ docker push debugroom/sonarqube-server:latest

ECSクラスタ/タスク定義、サービスの実行

SonarQubeServerのDockerfileイメージをDockerHubへプッシュした後は、EC2起動型のECSクラスタおよびECSタスク定義を行い、コンテナをサービスとして実行します。ECSクラスタの構築手順は連載「AWSで作るクラウドネイティブアプリケーションの基本」の第8回を、ECSタスク定義は第9回、ECSサービスの実行は第10回に記載してある内容を参考に進めてください。ただし、今回のポイントになる設定項目は以下の通りです。

設定箇所 設定内容 説明
ECSクラスタの作成:インスタンスの設定 1 今回はターゲットグループに1つのECSコンテナだけ起動するように設定します。複数のECSクラスタを実行場合はDataCenterEditionが必要になるので複数には設定しないようにしましょう
ECSクラスタの作成:ネットワーキング:セキュリティグループ 新規作成:[プロトコル]HTTP、SSH [ポート]80、22 [ソース]ALBのセキュリティグループ、0.0.0.0/0 ECSクラスタにはALBからの通信をポート80番で静的マッピングするため、ソースを上記で作成したALBのセキュリティグループに設定します。またトラブルシューティング用にSSHのポートも開けておきます
ECSタスクの定義:タスクのサイズ:タスクメモリ 2048MiB SonarQubeでは、ハードウェア要求スペックとして2GB程度のメモリを推奨しているため、相応のメモリを確保しましょう
ECSタスクの定義:タスクのサイズ:タスクCPU 1 vcpu 0.5 vcpu以下にすると、サービス起動時に時間がかかりすぎてヘルスチェックに引っかかる場合があるので、1vcpu程度取っておいた方がベターです
ECSタスクの定義:コンテナの追加:ポートマッピング [ホストポート]80 [コンテナポート]9000 SonarQubeは9000番ポートでアプリケーションを起動するので、ALBからくるリクエストを9000番へ転送するように設定します
ECSサービスの実行:サービスの設定:サービスタイプ REPLICA 今回はターゲットグループに1つのECSコンテナだけ起動するようにサービスタイプをREPLICAでタスク数を1に設定しますが、DAEMONでも可です
ECSサービスの実行:サービスの設定:タスクの数 1 今回はターゲットグループに1つのECSコンテナだけ起動するように設定します。複数のサービスを実行する場合はDataCenterEditionが必要になるので複数には設定しないようにしましょう
ECSサービスの実行:ネットワーク構成:ヘルスチェックの猶予期間 300 上記のタスクサイズの設定で、アプリケーションの起動に60秒ほど要するため、余裕を持った値を設定しておきます
ECSサービスの実行:サービスの検出:サービスの検出の統合の有効化 チェックしない 今回はDNSでALBのエンドポイントを利用するので、設定をオフにしておきます

ECSサービスを実行した後、ALBのDNS名を使ってブラウザからアクセスできれば起動は成功です。

ALBのDNS名を使ってブラウザからアクセスできれば起動は成功

なお、正しくコンテナが実行されない場合、ECSクラスタにSSHログインし、「docker ps -a」を実行することでコンテナの実行を確認できます。また、コンテナ実行時のログは/var/log/ecs/ecs-agent.log_XXXXで、SonarQubeServerの起動のログはコンテナの/usr/local/sonarqube/logsに出力されるよう設定されています。トラブルシューティングをする際は、それらのログを参照してください。

* * *

次回はSonarQubeServerでプロジェクトを作成し、QualityProfileを設定して開発端末のIDEで環境構築してみます。

著者紹介


川畑 光平(KAWABATA Kohei)

某システムインテグレータにて、金融機関システム業務アプリケーション開発・システム基盤担当を経て、現在はソフトウェア開発自動化関連の研究開発・推進に従事。

Red Hat Certified Engineer、Pivotal Certified Spring Professional、AWS Certified Solutions Architect Professionalなどの資格を持ち、アプリケーション基盤・クラウドなどさまざまな開発プロジェクト支援にも携わる。

本連載の内容に対するご意見・ご質問は Facebook まで。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

[講演レポート提供]今こそ「NoOps」! システム運用から

[講演レポート提供]今こそ「NoOps」! システム運用から"嬉しくないモノ"をなくす方法

第93回IT Search+スペシャルセミナーでは、「No Ops(No Uncomfortable Ops)」を提唱するコミュニティ、NoOps Japanから、発起人の1人であるゼンアーキテクツ 代表取締役/ITアーキテクト 岡大勝氏が登壇。NoOpsの実現に向けたシステム設計や運用保守の考え方について、キーワードを挙げながら解説を繰り広げた。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る