読者です 読者をやめる 読者になる 読者になる

Redmine を LXC on Ubuntu 14.04で動かす

ゴール

使用した環境

  • OS: Ubuntu 14.04.2 Server
  • ユーザー名: ubuntu
    • あとでcontainerというユーザーを作成する

簡単な流れ

  • 非特権コンテナの準備
  • コンテナ作業
  • ホスト側でNginxの設定

作業ログ

コンテナ準備

パッケージの更新

$ sudo apt-get update && sudo apt-get -y dist-upgrade

タイムゾーンの設定

$ cp -p /usr/share/zoneinfo/Asia/Tokyo /etc/localtime 

/etc/timezoneの中身をAsia/Tokyoに変更

パスワード生成&アカウント作成

$ cat /dev/urandom | tr -dc '[:alnum:]' | head -c 8 && echo
$ sudo adduser container

LXCインストール

sudo apt-get install -y lxc systemd-services

↑systemd-servicesがないと非特権で動作しなかった

このときのsubuid/subgid

$ cat /etc/subuid /etc/subgid
ubuntu:100000:65536
container:165536:65536
ubuntu:100000:65536
container:165536:65536

lxc-usernetの設定

$ vim /etc/lxc/lxc-usernet
$ cat /etc/lxc/lxc-usernet
# USERNAME TYPE BRIDGE COUNT
container veth lxcbr0 20

containerユーザに切り替え

ubuntu@pkmine:~$ sudo -i -u container
container@pkmine:~$

一般ユーザでコンテナを扱えるようにする設定

container@pkmine:~$ mkdir -p .config/lxc
container@pkmine:~$ cp /etc/lxc/default.conf .config/lxc/
container@pkmine:~$ vim .config/lxc/default.conf
container@pkmine:~$ cat .config/lxc/default.conf
lxc.network.type = veth
lxc.network.link = lxcbr0
lxc.network.flags = up
lxc.network.hwaddr = 00:16:3e:xx:xx:xx

lxc.id_map = u 0 165536 65536
lxc.id_map = g 0 165536 65536
container@pkmine:~$

★最後の2行を追記。/etc/subuid, subgidの設定と合うように書く。

dnsmasqでコンテナに固定IPを降る設定

(containerユーザからログアウトしておく) 1.dnsmasq.confを読み込むようにする

ubuntu@pkmine:~$ sudo cp /etc/default/lxc-net{,.bak}
ubuntu@pkmine:~$ vim /etc/default/lxc-net
ubuntu@pkmine:~$ diff /etc/default/lxc-net{,.bak}
24c24
< LXC_DHCP_CONFILE=/etc/lxc/dnsmasq.conf
---
> #LXC_DHCP_CONFILE=/etc/lxc/dnsmasq.conf
ubuntu@pkmine:~$

2.DHCP情報を書く

ubuntu@pkmine:~$ vim /etc/lxc/dnsmasq.conf
ubuntu@pkmine:~$ cat /etc/lxc/dnsmasq.conf
dhcp-host=redmine,10.0.3.10
dhcp-host=mysql,10.0.3.11

コンテナ作成

containerユーザーで行う。ここではMySQLRedmineを動かすためのコンテナを用意する。ディストリはホスト同様Ubuntu14.04を使用する。

$ lxc-create -n mysql -t download -- --dist ubuntu --release trusty --arch amd64
$ lxc-create -n redmine -t download -- --dist ubuntu --release trusty --arch amd64

コンテナ起動

sudo -i -u containerでユーザー切り替えを行うとコンテナが起動しなかったため、ssh container@localhostとしてログインし直すことで可能となった。

$ lxc-start -n mysql -d
$ lxc-start -n redmine -d
  • -dを付けることでデーモンとして起動してくれる。これを忘れるとフォアグラウンドで立ち上がってしまいログインプロンプトが出てくる。デーモンとして起動した場合は自動的にrootでログインされる。

Redminemysql構築

コンテナに入る

$ lxc-attach -n mysql
root@mysql#

MySQLのインストールと初期設定

# apt-get update
# apt-get install mysql-server mysql-client
  • rootパスワードは空欄にした
# mysql_secure_installation
 - Enter current password for root (enter for none): [Enter]
Set root password? [Y/n] Y
 -> password

Remove anonymous users? [Y/n]
 ->[Enter]
Disallow root login remotely? [Y/n]
 ->[Enter]
Remove test database and access to it? [Y/n]
 ->[Enter]
Reload privilege tables now? [Y/n]
 ->[Enter]

Redmine用DB作成と資格情報の設定

  • 作成するDB名: db_redmine
  • 作成するユーザー名: redmine
  • パスワード: password
# mysql -uroot -p
Enter password:
mysql> create database db_redmine default character set utf8;
mysql> grant all on db_redmine.* to redmine@localhost identified by 'password';
mysql> grant all on db_redmine.* to 'redmine'@'%' identified by 'password'; 
mysql> exit

my.cnf設定

# vim /etc/mysql/my.cnf

[mysqld]セクション内に character-set-server=utf8 を追記。 また、

bind-address: 127.0.0.1#bind-address: 127.0.0.1

とする。

[mysql]セクション内に

default-character-set=utf8

を追記。

MySQLの再起動

# service mysql restart

コンテナ起動時に自動で実行されるようにする

# update-rc.d  mysql defaults

確認

# mysql -uroot -p
mysql> show variables like 'character_set%';
+--------------------------+----------------------------+
| Variable_name            | Value                      |
+--------------------------+----------------------------+
| character_set_client     | utf8                       |
| character_set_connection | utf8                       |
| character_set_database   | utf8                       |
| character_set_filesystem | binary                     |
| character_set_results    | utf8                       |
| character_set_server     | utf8                       |
| character_set_system     | utf8                       |
| character_sets_dir       | /usr/share/mysql/charsets/ |
+--------------------------+----------------------------+

Redmine 3.0.3 インストール

mysqlコンテナから抜け(シェルから抜ければOK)redmineコンテナに移る(lxc-attach -n redmine)。

必要となるパッケージのインストール

# apt-get update
# apt-get install -y wget build-essential libffi-dev libyaml-dev zlib1g-dev openssl libssl-dev mysql-client libmysqlclient-dev libcurl4-openssl-dev curl

Rubyコンパイル&インストール

# cd /opt
# wget ftp://ftp.ruby-lang.org/pub/ruby/2.2/ruby-2.2.0.tar.gz
# tar zxf ruby-2.2.0.tar.gz
# cd ruby-2.2.0 && ./configure && make && make install

使用するgemのインストール

# gem install bundle passenger --no-ri --no-rdoc

Redmineダウンロード&展開

# cd /opt
# wget http://www.redmine.org/releases/redmine-3.0.3.tar.gz
# tar zxf redmine-3.0.3.tar.gz

DB接続設定

# cd redmine-3.0.3/config
# cp database.yml{.example,}
# vim database.yml

↓のように変更

production:
  adapter: mysql2
  database: db_redmine
  host: 10.0.3.11
  username: redmine
  password: "password"
  encoding: utf8

Redmineに必要なライブラリのインストール

# cd /opt/redmine-3.0.3/
# bundle install --without development test --path vendor/bundle

もしrmagickが必要と怒られた場合

# apt-get install imagemagick libmagickcore-dev libmagickwand-dev
# bundle install --without development test --path vendor/bundle

IPAフォントのインストール

# apt-get install fonts-ipafont

Redmine設定

# cp configuration.yml{.example,}
# vim configuration.yml

↓追記部分(行頭の数字は行数を表す)

82   autologin_cookie_name: redmine_autologin
83   autologin_cookie_path: /redmine/
84   autologin_cookie_secure: true
197   rmagick_font_path: /usr/share/fonts/truetype/fonts-japanese-gothic.ttf

Redmine初期設定

# bundle exec rake generate_secret_token
# RAILS_ENV=production bundle exec rake db:migrate
# bundle exec rake redmine:load_default_data RAILS_ENV="production"

↑3番目はデフォルトデータの読み込み。言語を聞かれるので"ja"を入力する。

Passengerのインストール

# gem install passenger --no-rdoc --no-ri
# passenger-install-nginx-module

nginxをコンパイルしてもらう。/opt/nginxに展開してもらう。基本的にはずっとEnter。

Nginxの設定

# cd /opt/nginx/conf
# vim nginx.conf

以下の通りに設定した。

server {
        ...
        location /redmine {
            index  index.html index.htm;
            root /opt/redmine-3.0.3/;
            passenger_enabled on;
            passenger_base_uri /redmine;
            passenger_app_root /opt/redmine-3.0.3/;
        }
        ...
}

nginxのinitスクリプトはどこかから落とす。 このあたりとか。 * https://gist.github.com/hisea/1548664

SSL通信の有効化

オレオレ証明書から始めてみる。

コンテナから抜け、ホスト上で操作する

nginxインストール

$ sudo apt-get install nginx

オレオレ証明書自己署名証明書)の作成

$ sudo mkdir /etc/nginx/ssl
$ sudo openssl req -new -x509 -sha256 -newkey rsa:2048 -days 365 -nodes -out /etc/nginx/ssl/nginx.pem -keyout /etc/nginx/ssl/nginx.key
$ sudo chmod 700 /etc/nginx/ssl

Nginxコンフィグ

$ sudo vim /etc/nginx/sites-available/default-ssl
server {
        listen 443;
        server_name localhost;

        root html;
        index index.html index.htm;

        ssl on;
        ssl_certificate /etc/nginx/ssl/nginx.pem;
        ssl_certificate_key /etc/nginx/ssl/nginx.key;

        ssl_session_timeout 5m;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";
        ssl_prefer_server_ciphers on;

        location / {
                try_files $uri $uri/ =404;
        }

        include /etc/nginx/sites-available/default-location-ssl/*;
}

↑default-sslはsites-enableにシンボリックリンクを張る

$ sudo vim /etc/nginx/sites-available/default
server {
        listen 80 default_server;
        listen [::]:80 default_server ipv6only=on;

        root /usr/share/nginx/html;
        index index.html index.htm;

        server_name localhost;

        location / {
                try_files $uri $uri/ =404;
        }
        include /etc/nginx/sites-available/default-location/*;
}

不要なコメントアウトは見づらいので消しておく。

include対象のディレクトリを作成

# mkdir /etc/nginx/sites-available/default-location
# mkdir /etc/nginx/sites-available/default-location-ssl

まずはsslの設定から

$ sudo vim /etc/nginx/sites-available/default-location-ssl/redmine

新規作成。

location /redmine {
  index index.html index.htm;
  proxy_set_header Host $http_host;
  proxy_set_header X-Forwarded-Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Proto $scheme;
  proxy_pass http://10.0.3.10;
  proxy_redirect off;
}

↑proxy_passの部分にはコンテナのIPアドレスを入れる。

httpアクセス時の設定

$ sudo vim /etc/nginx/sites-available/default-location/redmine
location /redmine {
  rewrite ^ https://$http_host$request_uri? permanent;
}

SSL v3の無効化

$ sudo vim /etc/nginx/nginx.conf
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
↓
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
(Poodle対策)

nginxの再起動

# service nginx restart

エラーが起きた場合は/var/log/nginx/以下参照。

おしまい

http://<サーバアドレス>/redmineにアクセスしてみるとhttpsに切り替わり、アクセスできるようになっている。