リバースプロキシ
リバースプロキシ（英: Reverse proxy）または逆プロキシは、特定のサーバへの要求を必ず経由するように設置されたプロキシサーバ。一般的なプロキシとは異なり不特定多数のサーバを対象としない。リバースプロキシは、不特定多数のクライアントから寄せられる要求に対して、応答を肩代わりすることにより特定のサーバの負担を軽減したり、アクセスを制限することにより特定のサーバのセキュリティを高めたりする目的に用いられる。

node.jsでアプリを作成しforeverで永続化した場合、xxx.xxx.xx:3000などと最後にポート番号がついてしまう、これがとても気になっており、nginxでリバースプロクシを入れてアプリごとサブドメイン運用をしようとしたきっかけとなった。もちろんサブディレクトリの方にも入れることができるので簡単な実験とかはそちらの方がいいのかもしれない。
またnodeには動的な物を任せ、静的な部分についてはnginxで取り扱う形のほうがパフォーマンスから見ても良いようだ。
それとリバースプロクシはwebsocketを通さないのでnginx_tcp_proxy_moduleを使用して動かす方法も書いておく。

使用しているのは、以前作ったタッチ共有アプリだ。これをさくらのVPSサーバーへ持ってきて諸処の作業を行った。

nginx_tcp_proxy_moduleでnode.jsのsocket.ioをリバースプロクシさせる

nginx_tcp_proxy_moduleのインストールは以前のエントリの通りだ。そして設定方法は次のブログ記事を参考にさせて頂いた。

nginxでsocket.ioのリバースプロキシ設定
nginx_tcp_proxy_module を入れてnode.jsのsocket.ioを動かすnginxの設定

モジュール設定はtcpブロックで行うがhttpブロックとたいして変わりがない。
そして/usr/local/nginx/conf/tcps以下にtcp設定を置きnginx.confからincludeする形にした。

user nginx;
worker_processes  2;
・・・・
events {
    worker_connections  1024;
}
# Load config files from th/usr/local/nginx/conf/tcps/ directory
include tcps/*.conf;

http {
　・・・・
}

includeしたtcp_cotouch.confはこのような内容であり、3000ポートでnodeアプリを動かし、サイトに3001で接続するとちゃんと動くのを確認できた。

tcp {
  upstream coTouchApp {
    server 127.0.0.1:3000;
    check interval=3000 rise=2 fall=5 timeout=1000;
  }

  server {
    listen 3001;
    server_name cotouch.omusuhi.info;

    proxy_read_timeout 200000;
    proxy_send_timeout 200000;
    proxy_pass coTouchApp;
  }
}

ところで、ソケット通信は、こちらの説明でも書いてある通り、IPアドレスとPort番号を一組とした通信手段となる。
ソケット【socket】　

「ソケット」というのはIPアドレスとPort番号を一組にしたものに結び付けられた仮想メモリ空間なのです。 相手にデータを送るときは、このメモリ空間に通信するためのデータを書き込むことによって 「Socket」ライブラリの中の「socket」プログラムが相手アプリケーションとデータの通信を行ってくれるのです。

なので、[[Portが一つ占有されることになる]]はずだと思いながら、tcpとhttpで同じポート番号を指定すると、動いてしまった。しかしながら、ポート指定の時とは引っかかりがある。どういうことなのだろうと思いnginxを停めてinit.dで再起動しようとするとポートが使われていて動かせないと出てくる。

sudo /etc/init.d/nginx restart

前の時は、設定ファイルのリロードだったのを思い出し、nginx.confでtcpとhttpのポート指定を書き換えた上でnginxを機動、tcpとhttpのポート指定を同じにした上で下記のコマンドで設定リロードする。

sudo nginx -s reload

そうすると同じポートで動いてしまった。ここで、エラーログを確認しようとした。

sudo vi /usr/local/nginx/logs/error.log

すると重くて開くのにとんでもなく時間が掛かる。
やはり、ソケットとhttpの接続とで混乱が起きていた模様で大量のエラーが発生していた。これで同じポート指定はやはり出来ないことが分かった。
そして念の為にtcpブロックで同じポート指定で2つ動かそうとしてみたら、先に書かれていたものが優先され、default_serverの指定が後のサーバにあった場合、既に使われているというエラーが出る。
このため、やはりtcpのserverブロックは1ポート専有というのを再確認することができた。

nodeアプリをhttpブロックでリバースプロキシ

soket.ioでの接続は現段階ではリバースプロキシしてもあまり意味が無いので、これまでのようにポート指定で行うことにして、ソケットとは関係のないnodeアプリ本体の部分にリバースプロキシを使いURLにポート番号が出ないようにすることにした。
soket.ioと本体のポート番号を変えるのは下記の記事を参考にさせていただいている。
Socket.io Chat on Dreamhost: Hiding the URL

nodeアプリでは、このように本体を3001、ソケットを3002として指定しなおしている。

var sys = require('util'),
		express = require('express'),
		app = express.createServer();

app.configure(function(){
	app.use(express.static(__dirname+'/views'));
});
app.listen(3001);
//var io = require('socket.io').listen(app);appではなくポート番号指定と変えている。
var io = require('socket.io').listen(3002);

io.sockets.on('connection', function(socket){
・・・・

html部分だと、index.htmlでsocket.io.jsを指定する部分をポート番号付きに変更する。

<!--<script src="/socket.io/socket.io.js"></script> -->
<script src="http://www.omusuhi.info:3002/socket.io/socket.io.js"></script>

socketを使うクライアント側jsファイルの方でもsocket.io側のポート指定へと変える。

function initSocket(){
  var socket = io.connect('http://www.omusuhi.info:3002/');
  socket.on('message', function(t){
    console.log('mes; '+t);
  });
・・・・
}

Nodeアプリの変更点は以上となる。次にnginxでリバースプロキシの設定を行った。
参考にさせていただいたのは、主にこちらのサイトだ。
Virtualmin, Apache, and Nginx Reverse Proxy
さくらVPS を設定してみる:Nginx + リバースプロキシで WordPress を動かしてみた♪
apache のかわりにnginxを使ってみる(10) nginx をリバースプロキシとして使ってみた
nginxでリバースプロキシ。

プロキシ共有設定ファイルを上記サイトを見つつ、このような感じで書き、
projects/proxy.confへと保存した。

proxy_cache_path        /var/cache/nginx/ levels=1:2 keys_zone=czone:10m max_size=100m inactive=120m;
proxy_temp_path         /var/cache/nginx;
proxy_redirect          off;
proxy_set_header        Host            $host;
proxy_set_header        X-Real-IP       $remote_addr;
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size    10m;
client_body_buffer_size 128k;
proxy_connect_timeout   90;
proxy_send_timeout      90;
proxy_read_timeout      90;
proxy_buffers           32 4k;
proxy_cache_valid       200 302 10m;
proxy_cache_valid       301 1h;
proxy_cache_valid       any 1m;

また、今回のアプリのプロキシ設定を下記のように書き、
projects/cotouch.confへと保存してある。

upstream cotouch {
    ip_hash;
    server 127.0.0.1:3001;
}

server {
    listen   80;
    server_name cotouch.omusuhi.info;
    location / {
        proxy_pass http://cotouch/;
    }
}

前回のエントリで、projectsディレクトリにあるものは読みこむようにしてあったので、proxy.confもcotouch.confもnginx起動時に自動的に読み込まれることになる。

・・・・
http {
・・・・
 # Load config files from th/usr/local/nginx/conf/projects/ directory
 include /usr/local/nginx/conf/projects/*.conf;
}

ここまで変更してから、nginxの再起動を行う。

sudo /etc/init.d/nginx restart

すると、ちゃんとサブドメインでアプリが動き、さらに2枚同時に立ち上げると同期しているのも確認できた。
cotouch.omusuhi.info

これで、複数のNodeアプリがあってもnginx側で管理できるようになった。
次はphp-fpmでphpを動かしてみたい。
余裕ができたらwordpressもnginxでどれだけパフォーマンスが良くなるのか試してみたいと考えている。

ディレクトリ・グループ構成の検討

グループ構成

group;nginx
member;nginx

group;node
member;node
*nodeアカウントについては、必要になってから作成、今は保留する。

group;dev
member;foo dev nginx (node root)
*node、rootアカウントについては、必要になってから設定する。

/usr/local/nginx/
owner;nginx
group;nginx
*問題が出るかもしれないので一通りの設定が落ち着くまで保留する。

/var/tmp/nginx/
owner;nginx
group;nginx
*問題が出るかもしれないので一通りの設定が落ち着くまで保留する。

webアプリ公開用ディレクトリ。
/var/www/
owner;dev
group;dev
permission;775
パーミッションはとりあえずwwwを775にしてdevグループの物は動くようにしておいた。

hogeプロジェクト
/var/www/hoge/
hogeプロジェクトの静的部分をhtmlディレクトリ、動的部分をappディレクトリの形にする。
owner・groupはアプリに合わせて決めるが基本は以下の通りとしておく。

/var/www/hoge/html/
owner;nginx
group;nginx
permission;644

/var/www/hoge/app/
owner;foo
group;foo
permission;755

/var/www/html/hoge/
/var/www/app/hoge/
とすると、htmlディレクトリ以下、appディレクトリ以下でowner・groupをまとめれるのが良さそうだが、開発時にローカルマシンでプロジェクトを一箇所にまとめて管理しておきたかった事及びappがnodeのみでは無さそうなので、今回は採用しなかった。

ディレクトリ・グループ設定

devユーザーを作成する。アプリはとりあえずでindexにしておいた。

$ sudo useradd -s /sbin/nologin dev

補助グループに今まで入っていたグループも指定しておかないと、 補助グループから外されてしまう。
これで一度失敗した。
なのでまず補助グループを確認してから、それを含める形で再度指定する。

$ groups foo
foo : foo
$ sudo usermod -G dev,foo foo
$ groups foo
foo : foo dev

$ groups nginx
nginx : nginx
$ sudo usermod -G dev,nginx nginx
$ groups nginx
nginx : nginx dev

ユーザー確認する。

$ cat /etc/passwd

グループ確認する。

$ cat /etc/group

とりあえずindexのディレクトリを作成する。

$ sudo mkdir -p /var/www/index/{html,app}
$ cd /var/
$ sudo chown -R dev www
$ sudo chgrp -R dev www
$ sudo chmod 775 www
$ ls -l www
合計 4
drwxr-xr-x 4 dev dev 4096  5月 16 09:43 2012 index

各プロジェクトのアクセス権限については、また後で設定する。

confファイルの調整

プロジェクト毎に設定ファイルを置けるようにprojectsディレクトリを作成する。

$ sudo mkdir /usr/local/nginx/conf/projects/

ディレクトリ構成に合わせて設定ファイルの調整をする。

$ sudo nano /usr/local/nginx/conf/nginx.conf

ユーザーはnginxへ変更する。

user nginx;

worker_processesを決めるためにサイトをみると契約したさくらVPS1Gプランは仮想 2コアだった。

worker_processes  2;

デフォルトのroot指定をvar/www/index/へ変更する。
プロジェクト毎に設定を読み込めるようにprojects/*.confをincludeする。

http {
 ・・・
 server {
  ・・・
      location / {
         root   /var/www/index/html;
         index  index.html index.htm;
      }
  ・・・
  }
  ・・・
 # Load config files from the /usr/local/nginx/conf/projects/ directory
 include /usr/local/nginx/conf/projects/*.conf;
}

これで契約したVPSをみてみる。
http://www.omusuhi.info/
/var/www/index/html/にアップロードしてあった「おむすびコロン。」が表示されている。
試しに適当なのを指定すると、
http://www.omusuhi.info/a
ちゃんと「404 Not Found」がでている。
次回はnginxを導入した理由でもあるリバースプロクシの設定を行う。

mongoDBのインストールまでは、今までと一緒で、nginxのインストールから変更となる。
ソースインストールで、しかも再インストールがありそうなnginxはpacoで管理するのがよさそうだ。

“make install”したソフトウェアを管理できる超便利ツール「Paco」
「Paco」で「make uninstall」できないソフトを削除する
yum,rpmで扱えないアプリケーションを管理するソフトpaco

pacoのインストール
インストールのために最新版を確認する。
paco – a source code pacKAGE oRGANIZER for Unix/Linux
2.0.9が最新版のバージョンなので、それをwgetし展開、configureする。

$ sudo mkdir /usr/local/src/paco
$ sudo wget http://downloads.sourceforge.net/paco/paco-2.0.9.tar.gz
$ sudo tar zxfv paco-2.0.9.tar.gz
$ cd paco-2.0.9
$ ./configure
・・
No package 'gtkmm-2.4' found

gtkmm-2.4がない模様だ。調べてみると、GUIインタフェース用らしいので要らないらしい。
pacoを導入
というわけで、–disableにして再度configureしインストールする。

$ sudo ./configure --disable-gpaco
$ sudo make
$ sudo make install

logmeコマンドでPaco自身もアンインストールできるようにする。
sudoで行おうとするとエラーが出る。

$ sudo make logme
make: *** [logme] エラー 2

suにチェンジしてlogmeするとうまくいった。

$ su
# make logme
# paco --version
paco-2.0.9  (28 June 2010)
Copyright (C) David Rosal <davidrr@sourceforge.net>
Protected by the GNU General Public License

pacoでnginxをインストール。
nginxをpacoでインストールする手順を、こちらで確認させて頂いた。
さくらVPSサーバにnginx-1.1.15をソースからビルドしてインストールしたときのメモ

アプリが使用するnginxアカウントを作成する。

$ sudo useradd -s /sbin/nologin -d /usr/local/nginx -M nginx

nginxのビルドに必要なパッケージのインストールをする。重要ではないがIPアドレスから地理情報を取得できるGeoIPも、使えそうなので入れてみる。

$ sudo yum install gcc openssl-devel pcre-devel zlib-devel GeoIP*

前と同じくnginx_tcp_proxy_moduleをダウンロードしパッチを当てる。

$ sudo mkdir /usr/local/src/nginx
$ cd /usr/local/src/nginx
$ sudo wget http://nginx.org/download/nginx-1.2.0.tar.gz
$ sudo git clone https://github.com/yaoweibin/nginx_tcp_proxy_module.git
$ sudo tar zxvf nginx-1.2.0.tar.gz
$ cd nginx-1.2.0

前回とは違い今回はユーザ名指定し幾つかのオプションとnginx_tcp_proxy_moduleを加えてconfigureする。
パス関連のオプション指定はコチラにまとまっていたので参考にさせて頂いた。
REMEMBER TO SPECIFY NGINX’S TEMP DIRECTORY PATH

$ sudo ./configure \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_geoip_module \
--with-http_flv_module \
--with-http_stub_status_module \
--http-log-path=/var/log/nginx/access.log \
--http-client-body-temp-path=/var/tmp/nginx/client/ \
--http-proxy-temp-path=/var/tmp/nginx/proxy/ \
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi/ \
--http-scgi-temp-path=/var/tmp/nginx/scgi/ \
--add-module=../nginx_tcp_proxy_module/
・・・・
Configuration summary
  + using system PCRE library
  + using system OpenSSL library
  + md5: using OpenSSL library
  + sha1: using OpenSSL library
  + using system zlib library

  nginx path prefix: "/usr/local/nginx"
  nginx binary file: "/usr/local/nginx/sbin/nginx"
  nginx configuration prefix: "/usr/local/nginx/conf"
  nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
  nginx pid file: "/usr/local/nginx/logs/nginx.pid"
  nginx error log file: "/usr/local/nginx/logs/error.log"
  nginx http access log file: "/var/log/nginx/access.log"
  nginx http client request body temporary files: "/var/tmp/nginx/client/"
  nginx http proxy temporary files: "/var/tmp/nginx/proxy/"
  nginx http fastcgi temporary files: "/var/tmp/nginx/fcgi/"
  nginx http uwsgi temporary files: "/var/tmp/nginx/uwsgi/"
  nginx http scgi temporary files: "/var/tmp/nginx/scgi/"

一時ファイルの場所も変更された模様だ。
必要なフォルダを作成しインストールを行う。

$ sudo mkdir -p /var/tmp/nginx/{proxy,client,fcgi,uwsgi,scgi}
$ sudo make
$ sudo paco -D make install

エラーが出てくる。sudoではダメの模様なのでsuにチェンジしてインストールを試みるとうまくいった。

$ su
# paco -D make install
# paco -a
nginx-1.2.0  paco-2.0.9

paco -aするとnginxがpaco管理として入っているのが確認できた。

シンボリックリンクを張り起動してみる。

$ sudo ln -s /usr/local/nginx/sbin/nginx /sbin/nginx
$ sudo nginx
$ nginx -v
nginx version: nginx/1.2.0

「Welcome to nginx!」をブラウザで確認できたので停めておく。

$ sudo nginx -s quit

自動起動設定は前回の「Nginx自動起動スクリプトの作成」と同じなので割愛する。
次回はnginxとnode併用でのディレクトリやグループ構成を行う。

nginx [えんじんえっくす] は Igor Sysoev によって作られた HTTP とリバースプロキシのサーバで、メールプロキシサーバでもあります。Rambler (RamblerMedia.com) を含むロシアの多くの高負荷サイトで５年以上も動いています。Netcraft によると、nginx は 2010 年 4 月時点で 4.70% の人気サイトでサーバーとして、もしくはプロキシとして利用されています。成功例としては FastMail.FM や WordPress.com があります。

node.jsと同じくイベント駆動型アーキテクチャである。
nginxを表に置きリバースプロキシと静的ファイルの取り扱いを行い、裏に動的ファイルを扱う形でNode.jsを置く方法でVPSサーバーを構築していこうと考えている。その際にwebsocketでリアルタイム通信ができるようにしたいのでnginx_tcp_proxy_moduleというモジュールを使用することにした。（追記；結局websocketはリバプロする必要性が低い事が判明し、nginx_tcp_proxy_moduleを使うまでも無かった。）
まず今回はモジュールを組み込んだnginxのインストールと自動起動の設定までを行う。
<追記>いろいろと見直しをし再インストールした。

モジュールの組み込みとnginxのインストール

nginxではsocket.ioのプロキシがうまく行かないようで、yaoweibinさんという方がモジュールを書いてくれている。このnginx_tcp_proxy_moduleを使用してリバースプロキシでもリアルタイム通信が出来るようにする。
nginx_tcp_proxy_module

nginxのインストールは、nginx連載2回目: nginxのインストールでも書かれているようにいくつかありyumコマンドでもインストールできるのだけど、モジュールの組み込みがインストール時にしかできないため、ソースをダウンロードしてパッチを当てる方法を取ることとした。

wgetする前に最新版の確認をする。
http://nginx.org/download/
現時点ではnginx-1.2.0.tar.gzが最新版だった。
ということで、ソース及びnginx_tcp_proxy_moduleをダウンロードしパッチを当てる。

$ mkdir nginx
$ cd nginx/
$ wget http://nginx.org/download/nginx-1.2.0.tar.gz
$ git clone https://github.com/yaoweibin/nginx_tcp_proxy_module.git
$ tar zxvf nginx-1.2.0.tar.gz
$ cd nginx-1.2.0
$ patch -p1 < ../nginx_tcp_proxy_module/tcp.patch

nginx_tcp_proxy_moduleをオプションとしてconfigureしてみる。

$ ./configure --add-module=../nginx_tcp_proxy_module/
./configure: error: the HTTP rewrite module requires the PCRE library.
You can either disable the module by using --without-http_rewrite_module
option, or install the PCRE library into the system, or build the PCRE library
statically from the source with nginx by using --with-pcre=<path> option.

PCREライブラリというのがないらしいのでググってみると同じ症状の方がいてた。
CentOS5.5へのNginxのインストール
pcre-develを入れれば良いみたいなので、yumでインストールし再度configureする。

$ sudo yum -y install pcre-devel
$ ./configure --add-module=../nginx_tcp_proxy_module/
Configuration summary
  + using system PCRE library
  + OpenSSL library is not used
  + md5: using system crypto library
  + sha1: using system crypto library
  + using system zlib library

  nginx path prefix: "/usr/local/nginx"
  nginx binary file: "/usr/local/nginx/sbin/nginx"
  nginx configuration prefix: "/usr/local/nginx/conf"
  nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
  nginx pid file: "/usr/local/nginx/logs/nginx.pid"
  nginx error log file: "/usr/local/nginx/logs/error.log"
  nginx http access log file: "/usr/local/nginx/logs/access.log"
  nginx http client request body temporary files: "client_body_temp"
  nginx http proxy temporary files: "proxy_temp"
  nginx http fastcgi temporary files: "fastcgi_temp"
  nginx http uwsgi temporary files: "uwsgi_temp"
  nginx http scgi temporary files: "scgi_temp"

大丈夫なようだ。configパスなどは上記を参考にしていけば良いのだろうと検討を付けておきながらインストールをする。

$ sudo make
$ sudo make install

入門！ nginxを参考にして、シンボリックリンクを張り機動してみる。

$ sudo ln -s /usr/local/nginx/sbin/nginx /sbin/nginx
$ sudo nginx

サイトで「Welcome to nginx!」の表示を確認できたので起動停止しておく。

$ sudo nginx -s quit

Nginx自動起動スクリプトの作成

サーバーを起動したらnginxも自動起動するように設定ファイルを作成する。
nginxをソースからインストール（＋基本設定）を参考にしてRed Hat Nginx Init Scriptのファイルをベースに機動パスと設定ファイルのパスを変更した。

$ sudo nano /etc/init.d/nginx

Red Hat Nginx Init Scriptをコピー＆ペーストする。

機動パス変更

# NGINX_CONF_FILE="/etc/nginx/nginx.conf"
NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"

設定ファイルのパス変更

# nginx="/usr/sbin/nginx"
nginx="/usr/local/nginx/sbin/nginx"

そして、コチラを参考に起動時設定スクリプトとして登録する。
CentOS用 Nginx起動スクリプト

実行権限を付与する。

$ sudo chmod a+x /etc/init.d/nginx

起動時に実行するスクリプトとして登録する。
ランレベル3と5の時に起動スクリプトを実行する。

$ sudo /sbin/chkconfig --add nginx
$ sudo /sbin/chkconfig --list | grep nginx
nginx          	0:off	1:off	2:off	3:off	4:off	5:off	6:off
$ sudo /sbin/chkconfig --level 35 nginx on
$ sudo /sbin/chkconfig --list | grep nginx
nginx          	0:off	1:off	2:off	3:on	4:off	5:on	6:off

VPSのコントロールパネルで再起動して、サイトで確認すると、「Welcome to nginx!」の表示になっており無事に自動機動の確認できた。

今回はここまで。リバースプロクシとNode.jsアプリの移動は次回行う予定にしている。
./configureオプションでできることあたりの把握がまだできていないので、必要になったときに再インストールしつつ調べようかなと考えている。

32bitか64bitか確認
32bitの場合「i686 i686 i386 」と表示され、64bitの場合はX86_64やamd64となる。

$ uname -a
Linux VPSホスト名 2.6.32-220.7.1.el6.x86_64 #1
SMP Wed Mar 7 00:52:02 GMT 2012
x86_64 x86_64 x86_64 GNU/Linux

x86_64なので64bitだった。なので64bit版でリポジトリ登録を行う。

$ sudo nano /etc/yum.repos.d/10gen.repo
[sudo] password for foo: 

[10gen]
name=10gen Repository
baseurl=http://downloads-distro.mongodb.org/repo/redhat/os/x86_64
gpgcheck=0
enabled=1

一度yumでローカルパッケージデータベースをアップデートした後にmongoDBパッケージをインストールする。インストール時に何か聞かれるのでyを押す。

$ sudo yum update
$ sudo yum install mongo-10gen mongo-10gen-server
・・
Total download size: 34 M
Installed size: 82 M
Is this ok [y/N]: y
Downloading Packages:
・・
Installed:  mongo-10gen.x86_64 0:2.0.4-mongodb_1
            mongo-10gen-server.x86_64 0:2.0.4-mongodb_1
Complete!

インストールされたので起動してみる。

$ sudo service mongod start
Starting mongod: forked process: 11763
all output going to: /var/log/mongo/mongod.log
[  OK  ]

ストップして別方法で起動してみる。

$ sudo service mongod stop
Stopping mongod:[  OK  ]
$ sudo /etc/init.d/mongod start
Starting mongod: forked process: 11798
[  OK  ]
all output going to: /var/log/mongo/mongod.log

バージョン確認

$ mongod --version
db version v2.0.4, pdfile version 4.5
Sat May  5 12:44:35 git version: 329f3c47fe8136c03392c8f0e548506cb21f8ebf

chkconfigで起動時に開始するように設定する。

$ sudo chkconfig --add mongod

これもNode.jsに続き慣れた作業だったので楽だった。

nvm (Node Version Manager)
複数バージョンを切り替え

npm (Node Package Manager)
アプリごとの使用パッケージを管理。

基本は以前のエントリと同じだ。
VPS作業メモ[6]-node.js
こちらも、確認のために見ていた。
Node.jsの管理はnvmで
CentOS5.5 に node.js をインストールする

まずはビルドに必要なOpenSSLの開発用パッケージをインストールする。

$ sudo  yum -y install openssl-devel

githubにあるnvmのリポジトリをクローンする。

$ git clone git://github.com/creationix/nvm.git ~/.node
Initialized empty Git repository in /home/sib/.node/.git/
remote: Counting objects: 323, done.
remote: Compressing objects: 100% (182/182), done.
remote: Total 323 (delta 172), reused 273 (delta 133)
Receiving objects: 100% (323/323), 44.90 KiB, done.
Resolving deltas: 100% (172/172), done.

.でシェルスクリプトを実行しインストールする。

$ . ~/.node/nvm.sh

nodeのサイトで最近版のバージョン確認をする。
http://nodejs.org/
今はv0.6.17のようだ。

nvmでnode.jsの最新版をインストールする。

$ nvm install v0.6.17
・・・
Now using node v0.6.17
~/.node/v0.6.17/bin/npm

node、npmそれぞれを確認する。

$ node -v
v0.6.17
$ npm -v
1.1.21

.bashrcにnvmの設定を書いておきいちいち起動しなくても済むようにする。

$ nano ~/.bashrc
. ~/.node/nvm.sh
nvm use v0.6.17

一度離脱して確認

$ exit
$ ssh -p 10022 foo@VPSのIPアドレス
SAKURA Internet [Virtual Private Server SERVICE]
Now using node v0.6.17

大丈夫。

開発系ツールのグローバルインストールをしておく。

$ npm install node-dev -g
$ npm install node-inspector -g

出来上がったアプリを永続化するためにforeverもいれる。
sudoだとエラーが出たのでsuにチェンジしてからインストールした。

$ su
# npm install forever -g

このままだとsudoしたときにnpmが効かなくなるのでvisudoでetc/sudoersを編集して実行ユーザから環境変数を引き継ぐようにする。
新しくなった さくらVPS + nginx + Sinatra でプライベート Gyazo サーバを構築しよう

$ su
# visudo

Defaults    env_reset
Defaults    env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
・・・・
Defaults    env_keep += "PATH"
# 最後にこの一行を追加
・・・・
# Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin
# この一行をコメントアウト

以上でNode.jsのインストールは終りだ。

主にというか、ほぼこちらの記事を元にさせていただき設定を行った。
はじめてのさくら VPS + CentOS の初期設定からチューニングなどの作業まとめ
そして補足的にコチラを参考にさせていただいた。
さくらのVPSを借りたら真っ先にやるべきssh設定
CentOSをサーバーとして活用するための基本的な設定

■ターミナルからのSSH接続
まず自宅のOSXからターミナルでVPSへこちらを参考にさせていただきつつ接続する。
01.さくらインターネットVPSを使ってみる。〜sshで接続してみる〜

$ ssh root@VPSのIPアドレス
root@VPSのIPアドレス's password:
SAKURA Internet [Virtual Private Server SERVICE]
# ls -al

　
　
■ユーザー作成
root以外の作業ユーザーを作成しパスワードを設定する。

# adduser foo
# passwd foo
新しいパスワード:
新しいパスワードを再入力してください:
passwd: 全ての認証トークンが正しく更新できました。
# exit

先程作成のユーザーでログイン出来るか確認する

$ ssh foo@VPSのIPアドレス
foo@VPSのIPアドレス's password:
SAKURA Internet [Virtual Private Server SERVICE]
$ exit

無事にユーザー作成された。
　
　
■SSH のポート番号を変更
22番ポートのままだとロボットの攻撃対象になりやすいらしいので変更する。
sshd_configを開きPort 22をコメントアウト、別のポートを指定する。

参考
ターミナルでSSH (Mac OS X)

$nano /etc/ssh/sshd_config

#Port 22
Port 10022
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

リスタート

$/etc/init.d/sshd restart
sshd を停止中:      [  OK  ]
sshd を起動中:      [  OK  ]

ポートのオプション -p 10022 でログイン確認する。

$ ssh -p 10022 root@VPSのIPアドレス
root@VPSのIPアドレス's password:
SAKURA Internet [Virtual Private Server SERVICE]

無事にポートが変更された。
　
　
■公開認証鍵で SSH 接続
パスワード認証から、公開鍵認証のみでssh接続するように変更する。
ローカルのターミナルでキーペア（秘密鍵と公開鍵）を生成する。

$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/foo/.ssh/id_rsa): //何も入れずリターンした。
Enter passphrase (empty for no passphrase): //パスワード
Enter same passphrase again: //パスワード
Your identification has been saved in /Users/foo/.ssh/id_rsa.
Your public key has been saved in /Users/foo/.ssh/id_rsa.pub.

VPSサーバーへログインし.sshディレクトリを作成しておく。
このときrootではなく作成したユーザーでログインすること。
最初rootでログインしてしまい設定に失敗した。
ここから先はVPSサーバーにログインしたままにして、ローカルのターミナル作業が必要なときはもう一枚ウィンドウをたちあげて作業する。

$ ssh -p 10022 foo@VPSのIPアドレス
foo@VPSのIPアドレス's password:
SAKURA Internet [Virtual Private Server SERVICE]
# ls -al
//.sshディレクトリはないので作成
# mkdir .ssh

ローカルのターミナルでVPSサーバーへ公開鍵を転送する。

$ scp -P 10022 ~/.ssh/id_rsa.pub foo@VPSのIPアドレス:~/.ssh/authorized_keys
foo@VPSのIPアドレス's password:
id_rsa.pub 100%  402     0.4KB/s   00:00

VPSサーバーのディレクトリと公開鍵のパーミッションを変更する。

$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

sshの設定（sshd_config）を変更して公開鍵でしかログインできないようにする。
PermitRootLoginをnoにしてrootでのログインを禁止する。
PasswordAuthenticationをnoにしてパスワードでのログインを禁止する。
PermitEmptyPasswordsをnoにして空パスワードでのログインを禁止する。

$ su
パスワード:
# nano /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no

sshdを再起動する。

# /etc/init.d/sshd restart
sshd を停止中:     [  OK  ]
sshd を起動中:     [  OK  ]

VPSにログインしたままのウィンドウは、そのままにして、もう一枚のウィンドウでログインのチェックをする。

rootでは入れないのを確認

$ ssh -p 10022 root@VPSのIPアドレス
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

認証鍵ユーザーでログイン出来るのを確認

$ ssh -p 10022 foo@VPSのIPアドレス
SAKURA Internet [Virtual Private Server SERVICE]

　
　
■ファイアーウォールを構築する
iptablesで公開ポートを設定する。
基本的には、WEBLEさんのと同じ。

あとでnodeを入れるので3000を空けておく。
SSH 10022, HTTP 80, FTP 20, 21, SSL 443 Node 3000
改行のところにスペースが入るとダメなので要確認

# nano /etc/sysconfig/iptables
*filter
:INPUT   ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT  ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]

-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH 10022, HTTP 80, FTP 20, 21, SSL 443,Node 3000
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 10022 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21    -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443   -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3000  -j ACCEPT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT

iptablesを再起動し、設定反映されているか確認。

# /etc/rc.d/init.d/iptables restart
# iptables -L

　
　
■不要なデーモンをストップ
不要なデーモンを停止しパフォーマンスを調整する。
起動中のデーモンを調べる。

# chkconfig --list | grep 3:on
acpid          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
atd            	0:off	1:off	2:off	3:on	4:on	5:on	6:off
crond          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
ip6tables      	0:off	1:off	2:on	3:on	4:on	5:on	6:off
iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off
irqbalance     	0:off	1:off	2:off	3:on	4:on	5:on	6:off
network        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
ntpd           	0:off	1:off	2:on	3:on	4:on	5:on	6:off
ntpdate        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
postfix        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
rsyslog        	0:off	1:off	2:on	3:on	4:on	5:on	6:off
sshd           	0:off	1:off	2:on	3:on	4:on	5:on	6:off
sysstat        	0:off	1:on	2:on	3:on	4:on	5:on	6:off

CentOSをサーバーとして活用するための基本的な設定の4番の表と比べてみたがあまり停止するのも無さそうなのでこのままで行くこととした。
　
　
■sudo コマンドにユーザーを追加する
sudo で root権限が使えるように設定する。
visudoコマンドを実行し最後に行を追加して記述する。

# visudo
foo ALL=(ALL) ALL

　
　
■yumアップデート
最後にyumを最新状態にしておく。

yum update

　
　
これで基本設定は、とりあえず終わりにする。
これ以外は気がついた時に随時行うことにした。

・お名前でドメイン取得
・ドメインnaviへログイン

・ドメイン設定→ネームサーバーの設定→レンタルDNSレコード設定→ドメイン選択→レンタルDNSレコード設定画面
　ドメインとサブドメイン両方を使用なので以下を追加。

　サブドメインを使う場合
　　ホスト名 – *
　　TYPE – A
　　value – さくらのVPSのIPアドレス

　サブドメインを使わない場合
　　ホスト名 – （空白のまま）
　　TYPE – A
　　value – さくらのVPSのIPアドレス

　これで確認→設定。

・ドメイン設定→ネームサーバーの設定→ネームサーバーの変更→ドメイン選択→他のネームサーバを使用
　　1 プライマリネームサーバー – 01.dnsv.jp
　　2 セカンダリネームサーバー – 02.dnsv.jp
　
　技術担当者情報をコピーから埋める。
　確認→設定

予定している作業内容
・お名前.comで取得したドメインをさくらのVPSで使えるように設定する。
・セキュリティなどのCentOS基本設定
・node.js – webアプリ
・mongoDB – データベース
・nginx – リバースプロクシ
・php-fpm – php
・wordPress
・(git,svn) – これまでのVPSサーバーでは結局使わなかったので、保留
　追記、予めcentOSインストール時に入っていた模様。

# paco --version
paco-2.0.9  (28 June 2010)
Copyright (C) David Rosal 
Protected by the GNU General Public License

# cat /etc/redhat-release
CentOS release 5.6 (Final)

32bitか64bitの確認
32bitの場合「i686 i686 i386 」と表示され、64bitの場合はX86_64やamd64
# uname -a
Linux localhost 2.6.18-194.3.1.el5.028stab069.6 #1
SMP Wed May 26 18:31:05 MSD 2010 i686 i686 i386 GNU/Linux
もしくは
# uname -i
i386

# httpd -v
Server version: Apache/2.2.3
Server built: May 4 2011 06:51:15

php --version
PHP 5.3.7RC2 (cli) (built: Jul 1 2011 18:19:27)
Copyright (c) 1997-2011 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies

# mysqladmin version -p
Enter password:
mysqladmin Ver 8.42 Distrib 5.1.52, for redhat-linux-gnu on i686
・・・
Server version 5.1.52

# sqlite3 -version
3.3.6

# python -V
Python 2.4.3

# ruby -v
ruby 1.9.2p180 (2011-02-18 revision 30909) [i686-linux]

# gem -v
1.3.7

# rails -v
Rails 3.0.9

# git --version
git version 1.7.1

# node -v
v0.4.5

# npm -v
1.0.17

# mongod --version
db version v2.0.1, pdfile version 4.5
Mon Nov 14 21:18:09 git version: 3a5cf0e2134a830d38d2d1aae7e88cac31bdd684

# tar --version
tar (GNU tar) 1.26

# nginx -v
nginx version: nginx/1.2.0