Microsoft Azure - その7. ウェブサーバ

前回までAzureのIaaSの仮想マシンで
地味なセットアップを行ってきましたが、
いよいよ派手なセットアップに取り掛かります。
ウェブサーバのセットアップです。
まあウェブサーバが派手かどうかはともかく、
現在のサーバの花形であると思っています。

まずはApache2をウェブサーバとし、
サーバーサイドのPHPを動作させるため以下を実行します。

$ su -
# apt install apache2
# apt install php
# apt install libapache2-mod-php
# /etc/init.d/apache2 restart

ここでブラウザでアクセスすれば
"Apache2 Ubuntu Default Page"が表示されるはずです。
次いで以下を実行します。

# echo '<?php phpinfo(); ?>' > /var/www/html/index.php

また、設定ファイル"/etc/apache2/mods-available/dir.conf"の2行目の

        DirectoryIndex index.html index.cgi index.pl index.php index.xhtml index.htm

を

        DirectoryIndex index.php index.html index.cgi index.pl index.xhtml index.htm

に変更して

# /etc/init.d/apache2 restart

を実行します。
ここでブラウザでアクセスしてPHPのコンフィグレーションが
表示されることを確認しておきます。
次いでドメインごとにサイトを分けるために以下を実行します。

# cd /etc/apache2/sites-available
# a2enmod ssl rewrite
# cp 000-default.conf  <サーバのFQDN>.conf
# cp default-ssl.conf  <サーバのFQDN>-ssl.conf
# a2ensite <サーバのFQDN>
# a2ensite <サーバのFQDN>-ssl
# a2dissite 000-default
# cd /var
# cp -rf www www/<サーバのFQDN>
# /etc/init.d/apache2 restart

設定ファイル"/etc/apache2/sites-available/<サーバのFQDN>.conf"と
"/etc/apache2/sites-available/<サーバのFQDN>-ssl.conf"を
以下のように編集します。

• サイト管理者のメールアドレスを設定。

  ServerAdmin <メールアドレス>
  

• コンテンツを配置するディレクトリを設定。

  DocumentRoot /var/www/<サーバのFQDN>/html
  

• サイトのドメインを設定。

  ServerName <サーバのFQDN>
  

httpsのウェブサーバ証明書のために以下を実行します。

# apt install certbot
# apt install python3-certbot-apache
# certbot --apache certonly

以下対話式に進める。入力するのは以下。

<メールアドレス>
a
y
1

設定ファイル"/etc/apache2/sites-available/<サーバのFQDN>-ssl.conf"を
以下のように編集します。

• 証明書設定

  SSLCertificateFile      /etc/letsencrypt/live/<サーバのFQDN>/fullchain.pem
  SSLCertificateKeyFile   /etc/letsencrypt/live/<サーバのFQDN>/privkey.pem
  

設定反映のため以下を実行。

# /etc/init.d/apache2 reload

ここでブラウザでアクセスして証明書が正式であることや
有効期限を確認しておきましょう。
なおこれはLet's Encriptから証明書を無償で発行してもらっていますが、
有効期限が3ヶ月間で、期限が切れる前に更新する必要があります。
とは言え更新は以下のコマンドで可能です。

# certbot renew

最後にPHP8です。
上記ですでにインストールしているPHPについては設定ファイル
"/etc/php/8.1/apache2/php.ini"を以下のように修正した方がよいでしょう。

date.timezone = "Asia/Tokyo"
display_errors = On
display_startup_errors = On

なお、"*_errors"項目はデバッグを楽にするためなので
本番環境ではOffにすることをお勧めします。

Microsoft Azure - その6. sshログインの特殊ケース

前回でAzureのIaaSのサーバにホスト名でアクセスできるようにしたので、
sshでのログインの環境を整備していきます。
もちろんこれまででもIPアドレス直打ちでログインできていたわけで、
今後はsshで接続先をホスト名にしてもいいと言うだけなのですが、
実際に運用するとなると特集なケースもあるのです。

まずは企業内からプロキシサーバを経由するケース。
手元のネットワークが直接インターネットに接続できれば問題などないのですが、
大体の企業のネットワークはインターネットとは分断されていて
プロキシサーバを使って外部のウェブサイトにアクセスするようになっています。
で、このプロキシサーバがSquidなら話は簡単。
すでに正常動作していて認証なしで利用可能な
Linux上のSquidプロキシサーバなら、
サーバの設定ファイル"/etc/squid/squid.conf"の

acl SSL_ports
acl Safe_ports

がたくさん並んでいるあたりに

acl SSL_ports port 22
acl Safe_ports port 22

の2行を追加して

/etc/init.d/squid restart

で再起動すればセットアップ完了。
で、企業内ネット下のクライアントPCからのログイン手順ですが、
ここではWindowsにcygwinwをインストールしている環境を想定することにします。
まあLinuxでも似たようなものです。
と、その前に秘密鍵の権限について。
クライアントPC(Windows + Cygwin)におく"~/.ssh/<秘密鍵ファイル>"については
以下のように変更しておく必要があります。

$ cd ~/.ssh
$ chmod 600 <秘密鍵ファイル>
$ icacls <秘密鍵ファイル>
<秘密鍵ファイル> <ADドメイン名>\<ユーザ名>:(R,W,D,WDAC,WO)
                 <ADドメイン名>\Domain Users:(Rc,S,RA)
                 Everyone:(Rc,S,RA)

このケースでは"<ADドメイン名>\<ユーザ名>"ユーザだけが
アクセス権を持つべきなので
他の2ユーザ向けのアクセス権を以下のコマンドで削除します。

$ icacls <秘密鍵ファイル> /remove Users "<ADドメイン名>\Domain Users"
$ icacls <秘密鍵ファイル> /remove Users "Everyone"

この後はsshでログインする場合は以下を実行します。

$ cd ~
$ ssh -i .ssh/<秘密鍵ファイル> <ユーザ名>@<接続先ホスト名> -o Proxycommand="C:\cygwin64\bin\nc -X connect -x <プロキシサーバIPアドレス>:<プロキシサーバポート番号> %h %p"

またsftpでファイル転送する場合は以下を実行します。

$ cd ~
$ sftp -i .ssh/<秘密鍵ファイル> -o "Proxycommand C:\cygwin64\bin\nc -X connect -x <プロキシサーバIPアドレス>:<プロキシサーバポート番号> %h %p" <ユーザ名>@<接続先ホスト名>

原理的には"~/.ssh/config"にうまく記述すれば
これほど長いコマンドを毎回打つ必要がなくなるのですが、
いろいろやっても様々な問題が出てうまくいかないんですよね。
sshに関してはそれでもログインさえできてしまえば特に問題はないのですが、
sftpはログイン後にローカル側の目的のディレクトリまで
コマンドを打って移動する必要がありしんどい。
まあしかし、lpwd(ローカル側のカレントディレクトリの確認)、
lls(ローカル側のディレクトリの内容の表示)、
lcd(ローカル側のディレクトリの移動)コマンドあたりを駆使して
ローカルのディレクトリを移動するほかありません。

もしプロキシの設定を変えられないなら別の手があります。
実はAzureには各VMへのログインを中継する
踏み台サービス(PaaS)[Azure Bastion]が存在します。
セキュリティ等のためAzure内の仮想マシンに
グローバルIPアドレスを割り当てられないケースでは利用は必須です。
これを経由すればウェブブラウザから
Azure内部のVMにsshやRDPでログインできます。
つまりプロキシサーバ経由でもsshでログインできるということ。
ただしAzure Bastion(Standard SKU)は約40円/時間もするようで。
使った分だけの従量制課金とはいえちょっと高い。
ということで試すのさえあきらめました。
必要になったときに改めて検討することにします。

Microsoft Azure - その5. ドメインとDNSサーバ

前回から随分時間が開いてしまいましたが、
思い出したように続きを書いていこうと思っております。

さて、前回まではAzureのIaaSで仮想マシンを調達して動かし、
前回では独自ドメイン購入の手前までいきましたが、
いろいろあって購入には至っていませんでした。
まあドメインの購入や運用については好きにすればいいのですが、
今回の件についてはValue Domainで購入し、
そのままValue DomainでDNSサーバを運用しています。
とは言え、まあウェブサーバとしての"www"ホストや、
sshでログインしやすいようにサーバ名を登録しているぐらいのもので、
しかもAzureでIPv6を使うのは結構面倒なので
IPv4のAレコードを登録しているのみというシンプルな構成です。

なおValue Domainを選んだのは私の馴染みだからです。
実際十数年来、Value Domainで購入したドメインを
GoDaddyのDNSサーバでホスティングし、
そのサブドメインをVPS上に立ち上げた権威DNSサーバで運用しています。
こういう構成だとダイナミックDNSなんかも
自前設備で何とでもなって便利なんですよね。
大したトラフィックもないので、今までDNS絡みでのトラブルはありませんし。

最後に大切なことを。
ドメインには有効期限があります。
更新忘れをすると面倒なことになるので、
Value Domain等から更新の案内メールが届いたら
忘れないうちに手続きを済ませてしまいましょう。

諦めのスマートスピーカー

先週末スマートスピーカーGoogle Homeの調子が悪いことについて書きましたが、
今やどうやっても「おはようのルーチン」が発動できず、
ついに諦めてアラーム設定だけで我慢することにしました。
それでもアラームの時間を言っても認識率が非常に悪く、
何度も何度も時間を訊いてきます。
スマートフォン上の[Google Home]アプリで設定できないかと
色々試してみましたが、どうにも使い方が分からず埒が開きません。
それにしても週が明けたら悪化しているなんて、もうGoogleは当てにせず、
Amazonに乗り換えようかと。

スマートスピーカーの認識率が悪化

数年前から目覚まし時計として使っているスマートスピーカーGoogle Home。
しばらく前から発話者の認識率が激悪化してストレスがたまってました。
というのも、いいときはだいたい
私 「ねぇGoogle、おやすみ」
Google 「アラームを何時に設定しますか?」
私 「◯時◯分」
Google 「◯時◯分におはようのルーチンを設定しました」
のような進行になるのが、個人の認識ができないと最後が
Google 「◯時◯分にアラームを設定しました。<以下略>」
のようになり、時間が来てもアラームが鳴るだけで、
[おはようのルーチン]で設定しているニュースの放送等が実行されません。
ということで、[おはようのルーチン]が正しく設定されるまで、
「ねぇGoogle、アラーム削除」と「ねぇGoogle、おやすみ」を
繰り返すことになります。
酷いときはこれを数十回繰り返すのですからストレスがたまります。
Google! 何があった!!

ただ、ここ2日程一発認識してくれて調子がいいんですよね。
Google! 何を直した!!

NFL開幕

今年もレギュラーシーズンが始まったNFL。
まあ私がテレビ観戦するのはポストシーズンに入ってからで、
それまではウェブ等のニュースで追っかけるつもりです。

ところで、昨年までのNFLのネット配信は
NFL Gamepassとして運営されていましたが、
今年からはDAZNへ統合されました。
ただ、インフラはDAZNでも視聴契約は
通常のDAZNとは切り離されているようで、
別途26800円/年が必要となります。
うーんちょっと高いですね。
私の場合特に贔屓にしているチームもないため、
全試合視られるといっても選択肢がありすぎて困ってしまいます。
注目カードが視られればそれでよし。
つまりポストシーズンくらいから視るとちょうどいい感じなんです。

ですが、最近DAZNからメールが届き、
料金が割り引かれて19980円/年でいいとのオファーが。
それでも高いのですが、ちょっと心惹かれます。

Pokémon GOでレベル47に

Pokémon GOでレベル46になってから11ヶ月弱。
ようやくレベル47に上がれました。
完全に予定通りです。

さて、次のレベル48に上がるには21百万のXPが必要です。
今のペースなら12ヶ月強掛かりそうな気配。
まあいまさらレベルが上がったところで大して良いこともないので、
ゆっくりと進めることにします。

なおレベルを上げるためのその他の条件については、

• 相棒ポケモンからおみやげを10個もらう
• 相棒のハートポイントを300個獲得する
• 相棒ポケモンといっしょに200kM歩く
• 1週間に25km歩くリワードを8回もらう

の4つですが、これまでと同様にプレーしていれば
2ヶ月後には達成していることでしょう。

ところで昨夏導入された[おさんぽおこう](青いおこう)。
ガラル三鳥に出会えるとか言う話ですが、
14ヶ月ほぼ毎日やり続けて捕獲はフリーザ1匹。
1ヶ月に1回出会えればいいほうな気がします。
大体ボールを1回投げただけで逃げられるので、
当てさえすれば確実に捕まえられる
マスターボールを使うのがセオリーなのでしょうが、
投げミスしたときの精神的ダメージを考えると怖くて使えません。
何ヶ月か前に導入されてからチャンスは2回有りましたが、
使わずに逃しております。
近々2つ目のマスターボールが手に入りそうなので、
そうしたら使ってみようかと。