zuntan02のはてなブログ

備忘録的なものです

【コマンドメモ】大規模データの転送やインポートを時間測りつつ実施(nohup と timeコマンド)

例)MySQLのリストア

1)nohup time をつけてリストアを開始
nohup time mysql -uユーザ名 -p -h hogefuga.fugahoge.ap-northeast-1.rds.amazonaws.com databasename < database_dump.sql > nohup_database.out

→パスワードは普通に入力してリストア開始

2)[Ctrl+z]で一時停止
# ^Z
# [1]+  Stopped                 nohup time mysql (省略)
3)jobsで確認してBackgroundに回す
jobs -l
# [1]+ 17781 Stopped                 nohup time mysql (省略)

bg 1
# [1]+ nohup time mysql (省略) &

jobs -l
# [1]+ 17781 Running                 nohup time mysql (省略)&

SCPとかrsyncとかパスワード入力を求められるような場合は同じパターンで対応可能。
今更ですが、忘れがちなので。

【qmail】qmHandleの導入と設定メモ

【メモ】

qmailを使ってると必須のツールqmailHandleでメールを削除する際、qmailのサービスを停止するのだが、

Calling system script to terminate qmail...
svc: warning: unable to chdir to /service/qmail-deliver: file does not exist

こんなエラーが出てサービスが停止できない場合がある。
本体はスクリプトなので直接編集すればOKだった。

【参考】

続きを読む

【PHP】Excel_Reviserが64bit版OSで動作しない件の暫定対応

【問題】

http://chazuke.com/?page_id=126
Excel_Reviser(reviser.php)が64ビットOSで動かない。
32ビット版CentOSで動作していたPHPアプリケーションを丸ごとAmazonLinux(64bit)に持っていったら、Excel_Reviserがエラー。

※以下の様なエラーが出た

  • ERROR file(エクセルファイル名) is broken (sStartBlk)
  • ERROR file(エクセルファイル名) is broken (ExBlock)

■今回AWSへの移設だったのでこまった
# AmazonLinuxに32bit版は存在しない
# AWS MarkecplaceのCentOS6.9 32bitを使用することも検討したが、公式の32bit版が見当たらない。公式曰く
https://wiki.centos.org/Cloud/AWS#head-d569f212a6094ccba6bfada7bd573b9f7b27d4bb
> i386
> On advice from AWS, we no longer publish or maintain i386/i686 images;
とのことで断念した。一応古いものとして
> CentOS 6.4 (i386) - Release Media
は存在している

【やったこと】

!!以下バッドノウハウです。分かる人なおして!!

(って書いたら許されるかな。。。)
エラー処理を殺して無理やり動かした。


続きを読む

【原因不明】AWS EC2を再起動したらntpサーバに接続できなくなったけどもう一回再起動したらつながった

【概要】

タイトル通り。
AmazonLinuxが動作しているEC2サーバ(奇跡的に3年以上無停止)についてAWSより強制再起動予告が来た、のでELBから切り離して再起動し、特に問題なく再起動できた(と思っていた)。
数日後、ログのタイムスタンプがおかしいことに気づく。
→ntpq -p で確認するとntpサーバと同期できてない
→ntpd再起動しても復旧しない
→EC2インスタンス自体はパブリックサブネットにEIPつけて配置しているだけ、他のサーバは問題なく時刻同期している。
→ntpdate clock.nc.fukuoka-u.ac.jp で明示的に指定すると時刻合わせはできるが、そのあとntpd再起動してみるとやはり同期していない

で、再度OS再起動したら問題なくなった。
ベースマシンのハードウェアクロックとかに問題ある?

【作業メモ】

chkconfig --list ntpd
# ntpd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

ntpq -p
#      remote           refid      st t when poll reach   delay   offset  jitter
# ==============================================================================
#  ec2-54-64-6-78. 133.243.238.244  2 u   27   64  377    0.399  2795382 20356.3
#  marisa.jp.futa. 160.16.75.242    3 u  185   64  274    2.633  2794279 21967.3
#  y.ns.gin.ntt.ne 249.224.99.213   2 u   34   64  377    8.474  2795340 20754.2
#  li1701-26.membe 157.7.208.12     3 u   14   64  377    1.517  2795479 20283.5
# →同期中のサーバがない

# ntpd再開
service ntpd stop
service ntpd start

# 確認
ntpq -p
→やはりだめ

# shutdown -h nowしてマネージドコンソールで再度起動
ntpq -p
#      remote           refid      st t when poll reach   delay   offset  jitter
# ==============================================================================
# +next.kkyy.me    133.243.238.243  2 u   24   64  377    1.653   17.703   2.599
# +extendwings.com 133.243.238.244  2 u   18   64  377    2.299   13.270  22.075
# +v157-7-235-92.z 103.1.106.69     2 u   12   64  375    1.958   18.669  21.148
# *ec2-54-64-6-78. 133.243.238.244  2 u   22   64  377    0.408   17.355   2.258
# →同期できている

セキュリティグループACLでアウトバウンド:UDP/123閉じたときと似ているけど、その時はoffsetも0秒だったので、ちょっと違う。
うーん、ベースマシンが外れとかそういうのある?
原因がわかったら追記しますが、こんな事例もあったということで。。

事後対応

zabbixで時刻ズレ監視
【参考】
https://qiita.com/miyahang55/items/9d1f99e9549143cdc8de
https://www.zabbix.com/documentation/2.2/jp/manual/appendix/triggers/functions

fuzzytime 	sec 	浮動小数、整数
タイムスタンプ(アイテムの値)とZabbixサーバ時刻の差が N 秒以内なら1、それ以外なら0を返します。
通常は system.localtime と組み合わせて、ローカル時刻とZabbixサーバのローカル時刻が同期しているかどうかをチェックします。

上記を参考に以下の様なトリガーを追加

項目	値
名前	サーバ時刻差分発生:{HOST.NAME}
条件式	{Template OS Linux:system.localtime.fuzzytime(3)}=0
深刻度	重度の障害

その他

NTP pool
pool.ntp.org: the internet cluster of ntp servers
の事を今回初めて知りました。
例のclock.nc.fukuoka-u.ac.jpばっかり使ってないでこれを使わないといかんですね

追記

ntpq -pの見方 – 猫型iPS細胞研究所

曰く
> ntpdateを使用する場合はntpdは停止する必要があります。

【お名前.comとRoute53】ネームサーバをRoute53にしてても転送Plusを使いたい(使えた)

【まとめ】

お名前.comの「転送Plus」が使用できるドメイン日本語ドメインとかはダメ)の場合、ゾーンファイルをRoute53で運用していても、Route53側のMXレコードでお名前のサーバを指定してやればメール転送される。

【作業メモ】

お名前.com

1)[オプション設定]-[メール転送設定]
hogehoge.com
の右にある「設定する」ボタンをクリック

2)転送元/転送先の設定
転送元メールアドレス:otoiawase@hogehoge.com
転送先メールアドレス:otoiawase_hogehoge_com@fugafuga.jp

ドメインのネームサーバーを変更しないこと!
※表示される以下の設定をメモする

ホスト名	TYPE	VALUE	優先
hogehoge.com	MX	mailforward.dnsv.jp	10
Route53
Type:MX-Mail exchange
Value:10 mailforward.dnsv.jp
以下必要に応じて

# ※ACMの認証のためにSNSを設定していた
# 10 inbound-smtp.us-east-1.amazonaws.com
# →上記のMX設定変更を行うことで、今後ACMの承認メールがSES側に落ちなくなるため、
#  お名前の転送Plusでadmin@hogehoge.comを自分のメールアドレスに転送しておくこと

【AWS】Route53+S3でSorry出す

【概要】

AWSからサーバ強制再起動のお知らせが来た。事前に再起動するが、ELBの配下ではあるが冗長化できていないというレアな構成のためどうしても数分は止まってしまう。
その間Route53のDNSFailover設定を行った。

【参考】S3でSorryサーバ構築

>http://qiita.com/uzresk/items/48b81c8092b6423829f7
># Route53での設定はRoutingPolicyでPrimaryとSecondaryを設定します。
># Primaryの設定にELBのEndpointの設定をいれるとRoute53はELBのヘルスチェックを見るようになります。
># ヘルスチェックがOutOfServiceになるとSecondaryに切り替えます。
># SecondaryにSorryコンテンツが格納されているS3のEndpointを登録することでS3版Sorryサーバの出来上がりです。

【作業】

1)Sorry表示用S3バケットを用意

hoge.fuga.jp(バケット名はドメインと合わせる必要がある)
各種オプションはデフォルトのまま(パブリックアクセスはOFF)
Sorry文言(index.html)をアップロードし、
index.htmlのEveryoneパブリックアクセスについて「オブジェクトの読み取り:ON」とする

2)StaticWebsite hostingを有効にする

●このバケットを使用してウェブサイトをホストする
インデックスドキュメント
index.html
エラードキュメント
index.html
→エンドポイントが生成される

3)Route53にFailover設定を追加する

# 先に現在のDNSをfailoverにする

[Primary]

Name:hoge.fuga.jp
Alias:Yes
Alias Target:省略
Routing Policy : Failover
Failover Record Type: Primary 
SetID: hoge-Primary
Evaluate Target Health:Yes★これをYesにする
Associate with Health Check:No

[Secondary]
[Create Record Set]で以下を追加

Name:hoge.fuga.jp
Alias:Yes
Alias Target:
ここにs3のエンドポイント指定。出てこないときはバケット名はドメインと合ってるか確認のこと
Routing Policy : Failover
Failover Record Type: Secondary 
SetID: hoge-Secondry
Evaluate Target Health:No←こっちはNoのまま
Associate with Health Check:No

※セカンダリを先にやると以下のエラーが出るので注意
RRSet with DNS name hoge.fuga.jp, type A, SetIdentifier lpo-Secondary, and marked as secondary cannot be created because a non-failover RRSet with the same name and type already exists.

以上

AmazonLinux+httpd(Apache2.2)にLet's Encrypt

AWS EC2で運用しているWebサイト(httpd/apache2.2)にLet's EncryptでSSL証明書設置したメモ。

【作業】

Webサーバ確認
/usr/sbin/apachectl -v
# Server version: Apache/2.2.34 (Unix)
# Server built:   Sep 15 2017 20:57:31

# SSLモジュール確認
/usr/sbin/apachectl -M | grep ssl
#  ssl_module (shared)

証明書発行用ドキュメントルート用意

Let's Encryptで証明書発行(ドメイン使用権認証)用のファイルを設置するドキュメントルートが必要です。
ここでは、既存のvhostについて、Let's encrypt が webroot 更新で使う部分だけを別のディレクトリに設定しています。

mkdir /srv/www/letsencrypt_webroot
chown apache:apache /srv/www/letsencrypt_webroot

cd /etc/httpd/conf.d/
vi hogehoge.conf
# 以下を追記する

Alias /.well-known/ /srv/www/letsencrypt_webroot/.well-known/
<Directory /srv/www/letsencrypt_webroot/>
    Order Allow,Deny
    AllowOverride All
</Directory>

※2.4系だと

<Directory /srv/www/letsencrypt_webroot/>
    Options FollowSymLinks
    Require all granted
</Directory>
書式テスト&反映

service httpd configtest
service httpd graceful

Let's Encrypt インストール

1. AWSのセキュリティグループを設定

→サーバに適用されているセキュリティグループのインバウンドのHTTP(80)、HTTPS(443)を許可(0.0.0.0/0)にしておきます。

2. certbotのダウンロード&配置&権限設定
curl https://dl.eff.org/certbot-auto -o /usr/bin/certbot-auto
chmod 700 /usr/bin/certbot-auto
3. 証明書の発行

cerbotのコマンドで証明書が自動生成されます。

certbot-auto certonly --webroot -w /srv/www/letsencrypt_webroot -d hogehoge --email admin@hogehoge --debug

→ 不足している必須モジュールがインストールされる

# 必要なモジュールが追加インストールされる
★ここでエラーが出た場合は下端を参照してください

以下対話式で進める

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
in order to register with the ACME server at
https://acme-staging.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

(省略)

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/hogehoge/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/hogehoge/privkey.pem
   Your cert will expire on 2017-12-04. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
(省略)
4. 生成された証明書の確認

以下のディレクトリに証明書が生成されます。

/etc/letsencrypt/live/hogehoge/
5.httpd側に設定

vi /etc/httpd/conf.d/ssl.hogehoge.conf

NameVirtualHost *:443
<VirtualHost *:443>
    SSLEngine on
(省略)
    SSLCertificateFile /etc/letsencrypt/live/hogehoge/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/hogehoge/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/hogehoge/chain.pem
(省略)
</VirtualHost>
書式テスト&反映

service httpd configtest
service httpd graceful

6.確認

https://hogehoge/
SSL通信できていることを確認
https://www.ssllabs.comで確認してランクAであることを確認

7.証明書の自動更新

crontab -e

50 3 * * * /usr/bin/certbot-auto renew --post-hook "service httpd graceful" 1 > /dev/null 2 > /dev/null

エラー対応メモ

# certbot-auto certonly で以下のエラーが出た
# 解決方法は:https://blog.yskw.info/articles/326/を参考にしました

ack (most recent call last):
  File "/opt/eff.org/certbot/venv/bin/letsencrypt", line 7, in <module>
    from certbot.main import main
  File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/certbot/main.py", line 9, in <module>
    import zope.component
  File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/zope/component/__init__.py", line 16, in <module>
    from zope.interface import Interface
ImportError: No module named interface
unset PYTHON_INSTALL_LAYOUT を実行
env | grep PYTHON_INSTALL_LAYOUT
# PYTHON_INSTALL_LAYOUT=amzn
unset PYTHON_INSTALL_LAYOUT
# 確認
env | grep PYTHON_INSTALL_LAYOUT
→設定が無くなった事を確認

# certbot-auto certonly再実行
# まだ以下のエラーが出る

Error: couldn't get currently installed version for /opt/eff.org/certbot/venv/bin/letsencrypt:
Traceback (most recent call last):
  File "/opt/eff.org/certbot/venv/bin/letsencrypt", line 7, in <module>
    from certbot.main import main
  File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/certbot/main.py", line 9, in <module>
    import zope.component
  File "/opt/eff.org/certbot/venv/local/lib/python2.7/dist-packages/zope/component/__init__.py", line 16, in <module>
    from zope.interface import Interface
ImportError: No module named interface

→/opt/eff.org ディレクトリを退避(or 削除)して再実行