Apache動いてるCentosにnode入れてnodeも動かす
環境
node入れる
nodeのサイトを見ると6.xバージョンが現在安定版ぽいので、そちらを入れる。
$ sudo su $ curl --silent --location https://rpm.nodesource.com/setup_6.x | bash - $ yum -y install nodejs $ yum install gcc-c++ make $ node -v // 確認 $ npm -v // 確認
参考: パッケージマネージャを利用した Node.js のインストール | Node.js
node動かしてみる
$ mkdir nodeApp $ cd nodeApp $ npm init $ npm install express --save // express入れて動かす $ vim app.js // expressのhello worldのコード書いとく $ ln -s ~/nodeApp /var/www/node // /var/www側にリンク貼る $ node /var/www/node/app.js // 動かす
apacheからnodeへproxyする
/etc/httpd/conf.d/node.conf
に書くのもあるっぽいけど、今回は
/etc/httpd/conf/httpd.conf
に
<IfModule mod_proxy.c> ProxyPass /nodeApp http://127.0.0.1:3000 ProxyPassReverse /nodeApp http://127.0.0.1:3000 </IfModule>
書いとく。この中にdeny, allow制限してもいいけど、今回はそのまま。
*注:上の設定のポート3000の後ろに/
を付けてると、ルートはうまく表示されるけど、ルート以下の他のパスがうまく表示されなくなるので注意。
設定を反映、
$ service httpd restart
で、アクセスで確認!が、503エラー、、、、error_logには
[Mon Jan 23 17:43:43 2017] [error] (13)Permission denied: proxy: HTTP: attempt to connect to 127.0.0.1:3000 (localhost) failed [Mon Jan 23 17:43:43 2017] [error] ap_proxy_connect_backend disabling worker for (localhost)
で、selinuxあたりで限定されてるらしい。
参考:
・Linux:CentOS6でmod_proxyが動かない - HiiHahWIKI - making some notes for... -
・Apache Mod_proxy '[Error] (13)Permission Denied' Error on RHEL - SysAdmin's Journey
$ sestatus -b | grep httpd // 設定を確認
たしかにhttpd_can_network_connect
がoff
になっている。これをon
にする。
$ /usr/sbin/setsebool -P httpd_can_network_connect 1 $ service httpd restart $ sestatus -b | grep httpd // onになってるの確認
これでアクセスすると、ちゃんとアクセスできた。OK
おまけ
node動かすのに、forever使って常駐させる。
www.npmjs.com
$ npm install forever -g $ forever start app.js
NSCodingでIntをdecodeする際にdecodeObjectじゃなくてdecodeIntegerを使う
// MARK: Properties var hoge: String var piyo: Int // MARK: Types struct PropertyKey { static let hogeKey = "hoge" static let piyoKey = "piyo" } // MARK: Initialization init?(hoge: String, piyo: Int) { self.hoge = hoge self.piyo = piyo super.init() if hoge.isEmpty || piyo < 0 { return nil } } // MARK: NSCoding func encode(with aCoder: NSCoder) { aCoder.encode(hoge, forKey: PropertyKey.hogeKey) aCoder.encode(piyo, forKey: PropertyKey.piyoKey) } required convenience init?(coder aDecoder: NSCoder) { let hoge = aDecoder.decodeObject(forKey: PropertyKey.hogeKey) as! String let piyo = aDecoder.decodeObject(forKey: PropertyKey.piyoKey) as! Int self.init(hoge: hoge, piyo: piyo) }
とか書いてたら、Intのdecodeのところでthread 1 exc_bad_instruction(code=exc_i386_invop subcode=0x0)
が出て落ちた。なにやらnilが返ってきてたぽくて、上記エラーになったみたい?
as! Int
をas? Int ?? 0
とかすると0が返ってきてしまう。入れるところまでは値あるので、なんでかなと思っていじってたら、decodeObject
をdecodeInteger
に変えたら正しい値が返ってきた。Intの扱いで普通にdecodeObject
でもできた部分もあったのでなんでだろ。備忘録。
elasticsearchで、marvel, shield, licenseをremoveする
入れていたmarvel, shieldなどの有料プラグインを外す。(有料プラン1node辺りめちゃ高かったw)
$ /usr/share/elasticsearch/bin/plugin remove shiled $ /usr/share/elasticsearch/bin/plugin remove marvel $ /usr/share/elasticsearch/bin/plugin remove license
shield関連で入れていた設定を解除する。
// ssl周りの設定を解除 $ vim /opt/kibana/config/kibana.yml
まぁ、httpsだけに制限しててもいいっちゃあいいかも。
$ service elasticesearch restart $ service kibana restart
アクセスをオフィスのwifiに限定して、外からはVPNでアクセスできるようにする
オフィスのwifiに接続した状態で、
// 今接続してるグローバルIPを確認 $ curl httpbin.org/ip
サーバーのiptablesの設定を変更して、オフィスwifiのアクセスだけアクセスを許可する。適当にIP=123.456.789.12とする。
// iptablesの設定を編集する $ vim /etc/sysconfig/iptables :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [34:3064] -A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -s 123.456.789.12 -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i eth0 -p tcp -m state --state NEW -j REJECT --reject-with tcp-reset COMMIT $ service iptables restart
な感じでINPUT ACCEPT
しつつ、制限したポートのところを-s 123.456.789.12
IP指定してACCEPTする。iptablesの設定は上から見られて、一度読まれると同じ意味のものはそれでFixされてしまうので、後ろに書いても上書きはされない感じ。
Anyways, これで、オフィス以外からはアクセスできなくなる。
VPNアカウントはもう作ってる状況とする。
Macで、VPN使って入れるようにする。以下参考にすればOK。(余談だけど、Macのツールバーの上のところにいつでもVPNに接続できるようにアイコンおけるの便利)
- Mac OS X からの接続方法 - SoftEther VPN プロジェクト
- 特定の接続のみ VPN 経由させる方法。「すべてのトラフィックを VPN 経由で接続」にチェックは不要。 | 雑記 BOOOKs
Elasticsearch、KibanaにShieldプラグインを入れる
ES、Kibanaを本番で使うために、認証を入れられるようにShieldプラグインを入れる。
Shield: Enterprise Security for Elasticsearch | Elastic
環境
- CentOS 6.8
- Elasticsearch 2.4.1
- Kibana 4.6.1
- Shield 2.4
ESとKibanaは入ってるものとする。
Shield入れる
基本この辺そのまま。
Getting Started with Shield | Shield [2.4] | Elastic
// ライセンスインストール(30日無料で、それ以上は有料プラン入らなあかん) $ /usr/share/elasticsearch/bin/plugin install license // ESのshieldプラグイン入れる $ /usr/share/elasticsearch/bin/plugin install shield // Kibanaのshieldプラグイン入れる $ /opt/kibana/bin/kibana plugin --install kibana/shield/latest
設定
kibanaからESにアクセスできるように、kibana4-server-man
というユーザーを作成する。shield/roles.yml
にkibana4_server
というこの役割をするroleがデフォルトで書かれてるので、このroleをこのユーザーに付与する。
$ /usr/share/elasticsearch/bin/shield/esusers useradd kibana4-server-man -r kibana4_server // role書かれてるの確認 $ less /etc/elasticsearch/shield/roles.yml
ログインユーザーを設定する。name: hoge, password: hogehogeで作る。roleはadminにしとく。
$ /usr/share/elasticsearch/bin/esusers useradd hoge -r admin // ユーザー確認 $ /usr/share/elasticsearch/bin/esusers list
SSLの設定
KibanaでShield使う場合はssl化必要。
ここでは使用ドメインに対してSSL化対応は完了してるとする。(まだならここ見る
サイトをSSL化する(VPS, CentOS6 + Apache) - mazeltov7のweb断片)
kibana.ymlにSSL情報書く
$ vim /opt/kibana/config/kibana.yml server.ssl.cert: /path/to/cert/hoge.crt server.ssl.key: /path/to/key/hoge.key (略) shield.encryptionKey: "something_secret" // 再起動 $ service kibana restart
で、アクセスして、ログインできたら、OK。
あ、firewall使ってたら、kibanaでアクセスする、5601を開けておく。
参考:
centosにjava入れる
環境
入れる
参考: JDK 8 and JRE 8 Installation Start Here
確認
// 何も出ない $ java -version $ echo $JAVA_HOME // yumパッケージ確認 $ yum list installed | grep java $ yum list | grep java $ yum list | grep jdk // この辺でjava-1.8.0-openjdkのパッケージが出るので、これを入れる // 入れる $ yum install java-1.8.0 // 確認 $ java -version