さくらVPSでCentOS7を利用してSSL付き 個人運用環境構築
さくらVPSでCentOS7を利用してSSL付き 個人運用環境構築
自分と同じ事をしたい人がいたらご参考にしてください。
目的・内容:
・VPSで自分のドメイン1つで、masterブランチの公開と、developブランチの公開を行う。
・作業はWindows+Teratermを想定しています。
・Dockerfile,docker-compose,SSL(letsencrypt,独自ドメイン),nginxを利用しています。
・セキュリティはここに書いてあるのがすべてではないのでご自身で最適な設定を行ってください。
・2019/07/21の実施で問題なく表示出来ているのを確認済み
・基本的にBlazorの公開を想定していますが、Dockerfileを書ける物であれば何でも出来ると思います。
以下、独自ドメインをexample.comとする。
また、wwwと同じようにエントリ名として「develop」を登録して更新されていることを前提としています。
公開サイト構成:
┬example.com(masterブランチのサイト公開を想定)
├www.example.com(上に同じ)
└develop.example.com(developブランチのサイト公開を想定
考慮外:
・gitより最新コードを落とすのは自動化されていません。
・ポート:111が解放されたままになっているので、ご注意ください。
作業開始です。。。
さくらVPSでCentOS 7を選択して、実行。
スクリプトはなしです。
ユーザ作成:
useradd ユーザー名
passwd ユーザー名
usermod -G wheel ユーザ名
TeraTermで作成したユーザでログインし直す(パスワードログイン)
公開鍵認証でTeraTermを利用するための準備
TeraTermでid_rsa.pubをコピーします(画面上にD&D)
mkdir .ssh
chmod 700 .ssh
cat id_rsa.pub > .ssh/authorized_keys
chmod 600 .ssh/authorized_keys
rm -f id_rsa.pub
id_rsa.pubの作成は下記のサイトなどを参考にすると良いと思います。
公開鍵認証によるSSH接続 - Tera Termの使い方 - Linux入門 - Webkaru
SSHのポート設定変更(大事)
その1
#「/Port]でvimの検索が出来る
# N:後方に連続で検索
# 「:wq」で保存して終了
でPortを変更する。
#Port 22
↓
Port 好きな物(登録済みポート:1024-49451の範囲を避けて、49452以降が望ましい)
その2
sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-new.xml
sudo vim /etc/firewalld/services/ssh-new.xml
編集画面でその1で設定したポートに変更する(22→好きな物)
SSHと記述してある箇所をSSH-NEWに書き換える。
firewallの起動設定
sudo systemctl start firewalld.service
sudo systemctl enable firewalld.service
新しいSSHを利用できるようにする
再起動
TeraTermの自動ログインファイル設定(ファイル名:XXX.ttl)でログインを確認する
※下記の22は上記で設定したポートに変えると良いです。
username = 'ログインユーザ名'
hostname = 'VPSのIPアドレス(XXX.XXX.XXX.XXX)'
keyfile = '上記で作成した「id_rsa」のあるフォルダ'
msg = 'Enter password for user '
strconcat msg username
passwordbox msg 'Get password'
msg = hostname
strconcat msg ':22 /ssh /auth=publickey /user=' ; 「/auth=publickey」で認証方法として公開鍵認証を指定
strconcat msg username
strconcat msg ' /keyfile='
strconcat msg keyfile
strconcat msg ' /passwd="'
strconcat msg inputstr
strconcat msg '"'
connect msg
以下はアクセスできたら行う
公開鍵認証以外のログイン処理を無効化する
変更内容
PermitRootLogin no
PasswordAuthentication no
旧SSHのポートを解除
OSの再起動
sudo reboot
firewallの解放
参考:CentOS 7 firewalld よく使うコマンド - Qiita
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
#再読込
sudo firewall-cmd --reload
#確認
sudo firewall-cmd --list-all
外部からポートの解放を確認する
こんな感じの表示になる
PORT STATE SERVICE
80/tcp close http
※これで動かし始めればつながったのでOK
OSのアップデート
※ここでportの111が解放されるのでご注意ください。調べても何故か閉まらないので、パケットフィルタで逃げます。
sudo yum -y update
dockerをインストール
※1行目は恐らく無くてもない状態
sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum -y install docker-ce docker-ce-cli containerd.iosudo systemctl start docker
sudo systemctl enable docker
dockerでsudoなしで実行できるようにする
※グループはすでにあるはず・・・
sudo groupadd docker
sudo usermod -aG docker ユーザー名
sudo gpasswd -a $USER docker
TeraTermで再ログインする(上記のsudo無し実行を反映するため)(面倒なのでreboot)
sudo reboot
docker-composeを入れる
sudo curl -L "https://github.com/docker/compose/releases/download/1.23.0/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
sudo chmod +x /usr/local/bin/docker-compose
さくらVPSのパケットフィルタでhttp,httpsを解放する。
ここ忘れて、ものすごく時間を無駄に・・・
docker-composeでSSL化しつつ実行
以下、フォルダ構造
ユーザTOP
├www
│├docker-compose.yml
│└Dockerfile(好きなアプリ)
├develop
│├docker-compose.yml
│└Dockerfile(好きなアプリ)
└nginx
└docker-compose.yml
コードをCloneする
cd ~/www
git clone XXX
cd ~/develop
git clone XXX
git checkout develop
ファイル準備
nginx/docker-compose.ymlの中身
version: "2"
services:
nginx-proxy:
image: jwilder/nginx-proxy
container_name: nginx-proxy
ports:
- "80:80"
- "443:443"
volumes:
- /var/run/docker.sock:/tmp/docker.sock:ro
- ./certs:/etc/nginx/certs:ro
- /etc/nginx/vhost.d
- /usr/share/nginx/html
restart: always
networks:
- shared
letsencrypt:
image: jrcs/letsencrypt-nginx-proxy-companion
container_name: letsencrypt
volumes:
- /var/run/docker.sock:/var/run/docker.sock:ro
- ./certs:/etc/nginx/certs:rw
volumes_from:
- nginx-proxy
restart: always
networks:
- shared
networks:
shared:
external: true
www/docker-compose.ymlの中身
※アプリ:gitでCloneしたフォルダ名
※メールアドレス
version: '3.3'
services:
myapp:
build:
context: ./アプリ
dockerfile: Dockerfile
environment:
VIRTUAL_HOST: example.com,www.example.com # ← カンマ区切り指定
LETSENCRYPT_HOST: example.com,www.example.com # ← カンマ区切り指定
LETSENCRYPT_EMAIL: メールアドレス
networks:
default:
external:
name: shared
develop/docker-compose.ymlの中身
※アプリ:gitでCloneしたフォルダ名
※メールアドレス
version: '3.3'
services:
myapp:
build:
context: ./アプリ
dockerfile: Dockerfile
environment:
VIRTUAL_HOST: develop.example.com # ← カンマ区切り指定
LETSENCRYPT_HOST: develop.example.com # ← カンマ区切り指定
LETSENCRYPT_EMAIL: メールアドレス
networks:
default:
external:
name: shared
nginx、アプリを実行する
cd ~/nginx
docker-compose build --no-cache
docker-compose up -d --force-recreate
cd ~/www
docker-compose build --no-cache
docker-compose up -d --force-recreate
cd ~/develop
docker-compose build --no-cache
docker-compose up -d --force-recreate
以上で、ドメイン設定がされていればサイトが表示されると思います。
1度でも動作確認している場合は、サイトのキャッシュにご注意ください。
上記で利用しているBlazorのDocker情報は以下になります。
Blazorのバージョン(SDK):Nuget:3.0.0-preview5-19227-01
Dockerfile
FROM mcr.microsoft.com/dotnet/core/aspnet:3.0.0-preview5-alpine3.9 AS base
WORKDIR /app
EXPOSE 80
EXPOSE 443FROM mcr.microsoft.com/dotnet/core/sdk:3.0.100-preview5-alpine3.9 AS build
WORKDIR /src
COPY ["MyHP.Server/MyHP.Server.csproj", "MyHP.Server/"]
COPY ["MyHP.Shared/MyHP.Shared.csproj", "MyHP.Shared/"]
COPY ["MyHP.Client/MyHP.Client.csproj", "MyHP.Client/"]
RUN dotnet restore "MyHP.Server/MyHP.Server.csproj"
COPY . .
WORKDIR "/src/MyHP.Server"
RUN dotnet build "MyHP.Server.csproj" -c Release -o /appFROM build AS publish
RUN dotnet publish "MyHP.Server.csproj" -c Release -o /appFROM base AS final
WORKDIR /app
COPY --from=publish /app .
ENTRYPOINT ["dotnet", "MyHP.Server.dll"]
git cloneをスクリプトで実行する場合は以下をご参照ください。
https://raiwingprogram.hateblo.jp/entry/2019/07/21/233014