サーバ管理に関するメモ

最近、ブログを書く暇が殆ど無い。なんでこんな忙しいの?

今回はメモ回。ネタが無いのもある。

 

気づいたらAzureで借りていたサーバが止められていた。

これ、Studentのサブスクリプションで借りてたんだけど、月100ドル分使えると思ったら年100ドルだったらしく、使い切ってしまった。やらかした。

Azure側ではVPNサーバとプロキシサーバを立てていたが全部止められた。てか、気づいたらマシンごと止められていた。

ということでVPNサーバー機能をConoHaのこのサーバに移した。あと、ついでにHTTPSの証明書更新について忘れるのでそれもメモ。

VPNサーバ

前回同様Softether VPN Serverを建てる。建て方は下の記事を参考にした。

Ubuntu上でSoftEther VPN Server構築 – Qiita
#概要・背景
Ubuntu上でSoftEtherの環境を構築している人は多くいるのだが、Systemdを使わずinitスクリプトを使っていたり、tapインターフェイスを変な方法でブリッジしている人が多かったので個人的に納得のいく方法で…

とても分かりやすい???

tapインタフェースのブリッジは特にしなくても動いている。やったほうがいいんだろうけど…

ただ、このままだとL2TPで接続出来ない。てか、今も出来てない。多分開放ポートに問題がありそう。

ポート開放は一応やった。でも動かない。ConoHa、ポートの管理がWeb上だとほとんど出来ないのでAPIを叩くことになる。面倒なので、ツールを持ってくる。

hironobu-s/conoha-net
A security group management tool for ConoHa. Contribute to hironobu-s/conoha-net development by creating an account on GitHub.

管理は楽なんだけど、環境変数に関する説明が雑すぎる。分からん。

APIユーザ名とパスワードは見れば分かるんだが、テナントIDなのかテナント名なのかが曖昧。

正解はOS_TENANT_NAMEにはテナント名を入れる。IDだと蹴られる。
あと、OS_AUTH_URLにはAPIエンドポイントのIdentity Serviceを入れる。まあ、東京リージョンならhttps://identity.tyo1.conoha.io/v2.0になる。OS_REGION_NAMEはtyo1になる。

これで一応ポートに関する設定が出来るようになる。正直、面倒すぎるし、きちんと学習するならWeb側で全て許可してしまって、ufwあたりで自前管理することをおすすめする。

さて、なんで繋がらないんでしょうね。

証明書更新

このページもHTTPS接続となっているように証明書をLet’s Encryptから発行している。ただ、この証明書は3ヶ月しか持たないので更新が必要。

今までは各サブドメインごとに証明書を発行する必要があったけど、3月ぐらい?からワイルドカード証明書を発行出来るようになった。ということで使う。

ただし、こいつを発行するにはDNS側に認証用レコードが必要となる。初回の発行は手動でやれば問題ないが、更新時に毎回やるのは面倒。

ということで自動化。次の記事を参考にした。

Conoha × Let’s encryptにてワイルドカード証明書を自動取得する – ぴたごらすみっち
Let’s encryptではワイルドカード証明書を取得できるようになっているが、ワイルドカード証明書の場合にはDNSでの認証が必須となっている。 3ヶ月ごとに手動で更新+DNSに認証用のレコード追加は手間になるのでこれを今回自動化する。 DNSのレコード追加は使用しているDNSサーバ次第であるが、ConohaではDNS用のAPIがあるためこちらを利用してスクリプトを作成する。作成スクリプトは認証レコード追加用と削除用の2種類。 それぞれのスクリプトはcertbot実行時に—manual-auth-hook及び—manual-cleanup-hookのオプションで指定することで実行できる。なお…

この自動化は前からやっていたけど、crontabとかに登録していないので毎回期限間近になると届くメールを見て、手動でやってる。3ヶ月に1回なので忘れる。メモメモ…

といっても、設定さえ済ませてしまえば必要なコマンドはシェルスクリプトで書いたのでそいつを叩けば終わる。うちの環境だとletsencrypt-dns-auth内にあるrun.shを叩けばいいようにしてある。これをcrontabで実行するようにすればいいだけでは?????

ちなみにAPIの設定は自動化スクリプトに用意されているvarsに書けばよい。こっちはさっきと違ってテナントIDが必要になる。ややこしいからやめてくれ。

他には

たまにはログインしてapt upgradeをかけましょう。あと、Discord向けMusicBotを走らせているが、動画を取得出来ない感じになったらまるごと更新では無く、とりあえずupdate.shでpipでのライブラリ更新を優先する。大体はyoutube-dlの更新だけで動く。

 

以上、久々にサーバ管理をした人でした。Azure側のプロキシサーバがどっか行ってますが、これはERGDictのブロック回避に使っていたのでERGDictの提供を止めることで解決w

ちなみにConoHaのサーバにはKotoha、AzureのサーバにはAzusaという名前が付いてる(付いてた)。名前つけると呼びやすくて楽ですね。

投稿者: 赤西 真論

人生に疲れたどこかにいるオタク。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください