nohup time mysql -uユーザ名 -p -h hogefuga.fugahoge.ap-northeast-1.rds.amazonaws.com databasename < database_dump.sql > nohup_database.out
→パスワードは普通に入力してリストア開始
# ^Z # [1]+ Stopped nohup time mysql (省略)
jobs -l # [1]+ 17781 Stopped nohup time mysql (省略) bg 1 # [1]+ nohup time mysql (省略) & jobs -l # [1]+ 17781 Running nohup time mysql (省略)&
SCPとかrsyncとかパスワード入力を求められるような場合は同じパターンで対応可能。
今更ですが、忘れがちなので。
http://chazuke.com/?page_id=126
Excel_Reviser(reviser.php)が64ビットOSで動かない。
32ビット版CentOSで動作していたPHPアプリケーションを丸ごとAmazonLinux(64bit)に持っていったら、Excel_Reviserがエラー。
※以下の様なエラーが出た
■今回AWSへの移設だったのでこまった
# AmazonLinuxに32bit版は存在しない
# AWS MarkecplaceのCentOS6.9 32bitを使用することも検討したが、公式の32bit版が見当たらない。公式曰く
https://wiki.centos.org/Cloud/AWS#head-d569f212a6094ccba6bfada7bd573b9f7b27d4bb
> i386
> On advice from AWS, we no longer publish or maintain i386/i686 images;
とのことで断念した。一応古いものとして
> CentOS 6.4 (i386) - Release Media
は存在している
(って書いたら許されるかな。。。)
エラー処理を殺して無理やり動かした。
タイトル通り。
AmazonLinuxが動作しているEC2サーバ(奇跡的に3年以上無停止)についてAWSより強制再起動予告が来た、のでELBから切り離して再起動し、特に問題なく再起動できた(と思っていた)。
数日後、ログのタイムスタンプがおかしいことに気づく。
→ntpq -p で確認するとntpサーバと同期できてない
→ntpd再起動しても復旧しない
→EC2インスタンス自体はパブリックサブネットにEIPつけて配置しているだけ、他のサーバは問題なく時刻同期している。
→ntpdate clock.nc.fukuoka-u.ac.jp で明示的に指定すると時刻合わせはできるが、そのあとntpd再起動してみるとやはり同期していない
で、再度OS再起動したら問題なくなった。
ベースマシンのハードウェアクロックとかに問題ある?
chkconfig --list ntpd # ntpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ntpq -p # remote refid st t when poll reach delay offset jitter # ============================================================================== # ec2-54-64-6-78. 133.243.238.244 2 u 27 64 377 0.399 2795382 20356.3 # marisa.jp.futa. 160.16.75.242 3 u 185 64 274 2.633 2794279 21967.3 # y.ns.gin.ntt.ne 249.224.99.213 2 u 34 64 377 8.474 2795340 20754.2 # li1701-26.membe 157.7.208.12 3 u 14 64 377 1.517 2795479 20283.5 # →同期中のサーバがない # ntpd再開 service ntpd stop service ntpd start # 確認 ntpq -p →やはりだめ # shutdown -h nowしてマネージドコンソールで再度起動 ntpq -p # remote refid st t when poll reach delay offset jitter # ============================================================================== # +next.kkyy.me 133.243.238.243 2 u 24 64 377 1.653 17.703 2.599 # +extendwings.com 133.243.238.244 2 u 18 64 377 2.299 13.270 22.075 # +v157-7-235-92.z 103.1.106.69 2 u 12 64 375 1.958 18.669 21.148 # *ec2-54-64-6-78. 133.243.238.244 2 u 22 64 377 0.408 17.355 2.258 # →同期できている
セキュリティグループACLでアウトバウンド:UDP/123閉じたときと似ているけど、その時はoffsetも0秒だったので、ちょっと違う。
うーん、ベースマシンが外れとかそういうのある?
原因がわかったら追記しますが、こんな事例もあったということで。。
zabbixで時刻ズレ監視
【参考】
https://qiita.com/miyahang55/items/9d1f99e9549143cdc8de
https://www.zabbix.com/documentation/2.2/jp/manual/appendix/triggers/functions
fuzzytime sec 浮動小数、整数 タイムスタンプ(アイテムの値)とZabbixサーバ時刻の差が N 秒以内なら1、それ以外なら0を返します。 通常は system.localtime と組み合わせて、ローカル時刻とZabbixサーバのローカル時刻が同期しているかどうかをチェックします。
上記を参考に以下の様なトリガーを追加
項目 値
名前 サーバ時刻差分発生:{HOST.NAME}
条件式 {Template OS Linux:system.localtime.fuzzytime(3)}=0
深刻度 重度の障害
NTP pool
pool.ntp.org: the internet cluster of ntp servers
の事を今回初めて知りました。
例のclock.nc.fukuoka-u.ac.jpばっかり使ってないでこれを使わないといかんですね
お名前.comの「転送Plus」が使用できるドメイン(日本語ドメインとかはダメ)の場合、ゾーンファイルをRoute53で運用していても、Route53側のMXレコードでお名前のサーバを指定してやればメール転送される。
1)[オプション設定]-[メール転送設定]
hogehoge.com
の右にある「設定する」ボタンをクリック
2)転送元/転送先の設定
転送元メールアドレス:otoiawase@hogehoge.com
転送先メールアドレス:otoiawase_hogehoge_com@fugafuga.jp
※ドメインのネームサーバーを変更しないこと!
※表示される以下の設定をメモする
ホスト名 TYPE VALUE 優先 hogehoge.com MX mailforward.dnsv.jp 10
Type:MX-Mail exchange Value:10 mailforward.dnsv.jp
AWSからサーバ強制再起動のお知らせが来た。事前に再起動するが、ELBの配下ではあるが冗長化できていないというレアな構成のためどうしても数分は止まってしまう。
その間Route53のDNSFailover設定を行った。
>http://qiita.com/uzresk/items/48b81c8092b6423829f7
># Route53での設定はRoutingPolicyでPrimaryとSecondaryを設定します。
># Primaryの設定にELBのEndpointの設定をいれるとRoute53はELBのヘルスチェックを見るようになります。
># ヘルスチェックがOutOfServiceになるとSecondaryに切り替えます。
># SecondaryにSorryコンテンツが格納されているS3のEndpointを登録することでS3版Sorryサーバの出来上がりです。
hoge.fuga.jp(バケット名はドメインと合わせる必要がある)
各種オプションはデフォルトのまま(パブリックアクセスはOFF)
Sorry文言(index.html)をアップロードし、
index.htmlのEveryoneパブリックアクセスについて「オブジェクトの読み取り:ON」とする
●このバケットを使用してウェブサイトをホストする
インデックスドキュメント
index.html
エラードキュメント
index.html
→エンドポイントが生成される
# 先に現在のDNSをfailoverにする
[Primary]
Name:hoge.fuga.jp Alias:Yes Alias Target:省略 Routing Policy : Failover Failover Record Type: Primary SetID: hoge-Primary Evaluate Target Health:Yes★これをYesにする Associate with Health Check:No
[Secondary]
[Create Record Set]で以下を追加
Name:hoge.fuga.jp Alias:Yes Alias Target: ここにs3のエンドポイント指定。出てこないときはバケット名はドメインと合ってるか確認のこと Routing Policy : Failover Failover Record Type: Secondary SetID: hoge-Secondry Evaluate Target Health:No←こっちはNoのまま Associate with Health Check:No
※セカンダリを先にやると以下のエラーが出るので注意
RRSet with DNS name hoge.fuga.jp, type A, SetIdentifier lpo-Secondary, and marked as secondary cannot be created because a non-failover RRSet with the same name and type already exists.
以上
AWS EC2で運用しているWebサイト(httpd/apache2.2)にLet's EncryptでSSL証明書設置したメモ。
/usr/sbin/apachectl -v # Server version: Apache/2.2.34 (Unix) # Server built: Sep 15 2017 20:57:31 # SSLモジュール確認 /usr/sbin/apachectl -M | grep ssl # ssl_module (shared)
Let's Encryptで証明書発行(ドメイン使用権認証)用のファイルを設置するドキュメントルートが必要です。
ここでは、既存のvhostについて、Let's encrypt が webroot 更新で使う部分だけを別のディレクトリに設定しています。
mkdir /srv/www/letsencrypt_webroot chown apache:apache /srv/www/letsencrypt_webroot
cd /etc/httpd/conf.d/
vi hogehoge.conf
# 以下を追記する
Alias /.well-known/ /srv/www/letsencrypt_webroot/.well-known/
<Directory /srv/www/letsencrypt_webroot/>
Order Allow,Deny
AllowOverride All
</Directory>※2.4系だと
<Directory /srv/www/letsencrypt_webroot/>
Options FollowSymLinks
Require all granted
</Directory>
curl https://dl.eff.org/certbot-auto -o /usr/bin/certbot-auto chmod 700 /usr/bin/certbot-auto
cerbotのコマンドで証明書が自動生成されます。
certbot-auto certonly --webroot -w /srv/www/letsencrypt_webroot -d hogehoge --email admin@hogehoge --debug
→ 不足している必須モジュールがインストールされる
# 必要なモジュールが追加インストールされる
★ここでエラーが出た場合は下端を参照してください
以下対話式で進める
------------------------------------------------------------------------------- Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree in order to register with the ACME server at https://acme-staging.api.letsencrypt.org/directory ------------------------------------------------------------------------------- (A)gree/(C)ancel: A ------------------------------------------------------------------------------- Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about EFF and our work to encrypt the web, protect its users and defend digital rights. ------------------------------------------------------------------------------- (Y)es/(N)o: Y (省略) IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/hogehoge/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/hogehoge/privkey.pem Your cert will expire on 2017-12-04. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" (省略)
vi /etc/httpd/conf.d/ssl.hogehoge.conf
NameVirtualHost *:443
<VirtualHost *:443>
SSLEngine on
(省略)
SSLCertificateFile /etc/letsencrypt/live/hogehoge/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/hogehoge/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/hogehoge/chain.pem
(省略)
</VirtualHost>
https://hogehoge/
→SSL通信できていることを確認
# SSL脆弱性対策
# 【参照】https://qiita.com/kite_999/items/6243386fe9153e1c739c
# httpd.confに以下を追記
# for SSL SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES:!RC4:!DH Header set Strict-Transport-Security "max-age=315360000;"
→https://www.ssllabs.comで確認してランクA+であることを確認
# 有効期限確認
openssl s_client -connect "hogehoge":443 < /dev/null 2> /dev/null | openssl x509 -text | grep "Not"
crontab -e
50 3 * * 0 /usr/bin/certbot-auto renew --post-hook "/etc/init.d/httpd graceful" > /path/to/log 2>&1
# certbot-auto certonly で以下のエラーが出た
# 解決方法は:https://blog.yskw.info/articles/326/を参考にしました
ack (most recent call last):
File "/opt/eff.org/certbot/venv/bin/letsencrypt", line 7, in <module>
from certbot.main import main
File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/certbot/main.py", line 9, in <module>
import zope.component
File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/zope/component/__init__.py", line 16, in <module>
from zope.interface import Interface
ImportError: No module named interface
env | grep PYTHON_INSTALL_LAYOUT # PYTHON_INSTALL_LAYOUT=amzn unset PYTHON_INSTALL_LAYOUT # 確認 env | grep PYTHON_INSTALL_LAYOUT →設定が無くなった事を確認
# certbot-auto certonly再実行
# まだ以下のエラーが出る
Error: couldn't get currently installed version for /opt/eff.org/certbot/venv/bin/letsencrypt:
Traceback (most recent call last):
File "/opt/eff.org/certbot/venv/bin/letsencrypt", line 7, in <module>
from certbot.main import main
File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/certbot/main.py", line 9, in <module>
import zope.component
File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/zope/component/__init__.py", line 16, in <module>
from zope.interface import Interface
ImportError: No module named interface→/opt/eff.org ディレクトリを退避(or 削除)して再実行
古いAmazonLinuxでいつの間にか以下のエラーが出ていたパターン
FATAL: Amazon Linux support is very experimental at present... if you would like to work on improving it, please ensure you have backups and then run this script again with the --debug flag! Alternatively, you can install OS dependencies yourself and run this script again with --no-bootstrap.
メッセージに従い、--debugを付加して実行
/usr/bin/certbot-auto renew --debug --post-hook "/sbin/service httpd reload"
(略)
Updated:
python27-devel.x86_64 0:2.7.16-1.127.amzn1
python27-tools.x86_64 0:2.7.16-1.127.amzn1
Dependency Updated:
python27.x86_64 0:2.7.16-1.127.amzn1
python27-libs.x86_64 0:2.7.16-1.127.amzn1
(略)
Creating virtual environment...
Traceback (most recent call last):
File "/usr/bin/virtualenv", line 6, in <module>
from pkg_resources import load_entry_point
File "/usr/lib/python2.7/dist-packages/pkg_resources/__init__.py", line 3049, in <module>
@_call_aside
File "/usr/lib/python2.7/dist-packages/pkg_resources/__init__.py", line 3033, in _call_aside
f(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/pkg_resources/__init__.py", line 3062, in _initialize_master_working_set
working_set = WorkingSet._build_master()
File "/usr/lib/python2.7/dist-packages/pkg_resources/__init__.py", line 660, in _build_master
return cls._build_from_requirements(__requires__)
File "/usr/lib/python2.7/dist-packages/pkg_resources/__init__.py", line 673, in _build_from_requirements
dists = ws.resolve(reqs, Environment())
File "/usr/lib/python2.7/dist-packages/pkg_resources/__init__.py", line 858, in resolve
raise DistributionNotFound(req, requirers)
pkg_resources.DistributionNotFound: The 'virtualenv==15.1.0' distribution was not found and is required by the application
Traceback (most recent call last):
File "<stdin>", line 27, in <module>
File "<stdin>", line 19, in create_venv
File "/usr/lib64/python2.7/subprocess.py", line 190, in check_call
raise CalledProcessError(retcode, cmd)
subprocess.CalledProcessError: Command '['virtualenv', '--no-site-packages', '--python', '/usr/bin/python2.7', '/opt/eff.org/certbot/venv']' returned non-zero exit status 1
https://serverfault.com/questions/912973/lets-encrypt-error-with-amazon-linux-with-virtualenv
virtualenvの再インストールで解決する模様
pip uninstall virtualenv →以下のエラー pkg_resources.DistributionNotFound: The 'pip==9.0.3' distribution was not found and is required by the application # pipインストール easy_install pip==9.0.3 # 再実行 pip uninstall virtualenv pip install virtualenv # 再テスト /usr/bin/certbot-auto renew --debug --post-hook "/sbin/service httpd reload"
