たくさんの自由帳
Androidのお話
たくさんの自由帳
AWS の Lightsail でお一人様 Misskey サーバーを立ててみた (v10)
投稿日 : | 0 日前
文字数(だいたい) : 17848
どうもこんばんわ。
ニコニコ動画版はこちらです
https://www.nicovideo.jp/watch/sm42546302
Misskey お一人様を作ってみたい!!!
いや、別にお一人様じゃなくても、ローカルタイムラインが無いインスタンスにアカウントを作れば良いのですが(LTL は流れについて行けない...)・・・
いや、、なんか、、、あの、、、、AWSとか使ってみたかったんですよ・・・(多分値段が高く付くのでもっとちゃんと考えるべきです)
さんこうにしました
thx!!!!!!!!!!
- https://misskey-hub.net/docs/install/manual.html
- https://github.com/mei23/memo/blob/master/misskey/Setup-Meisskey-Quick.md
- https://blog.noellabo.jp/entry/2019/08/14/8i3RHuZ1wJNDinIn
- https://seritude.com/misskey-alone-server/
更新 2023/08/13
以下を変更しないと、一部のサーバー(インスタンス)との通信に失敗します
(リクエスト結果が403になり通信できません)
- Ubuntu ( OS )
20.04ではなく22.04を選ぶ- そのままでは
MongoDBの導入に失敗します。追記しました。
- そのままでは
- Node.js
- バージョンを 16 ではなく 18 を使う
- おそらく
Misskey v10でも動くはず
- おそらく
- バージョンを 16 ではなく 18 を使う
ひつようなもの
今回はv13ではなくv10を建てます。(めいすきー)
古いので最新版を建てたい人からしたらあんまり参考にならないと思う(https化くらい?同じなの)
- VPS
- AWS Lightsail を使います
- 後述しますが、もしかしたら
国産 VPSとか他の方が使っているVPSを選ぶべきかもしれません・・・もしくはEC2? - 1コアCPU / 1GB RAM / 40GB SSD にしました
- ドメイン
- サブドメインを使います
diary.negitoro.dev
Cloudflareが使えません(後述)
- サブドメインを使います
- SSH クライアント
Tera Termなど- 最悪
VPSに付いてくるブラウザベースのSSH クライアントでも出来なくはないと思う・・・
- オブジェクトストレージ
- 今回は AWS の S3
- Mastodon / Misskey のアカウント
- 他からアクセスできるか確認用
構成図?
一部のサーバーと繋がらない話
Cloudflareが使えないせいなのか、はたまたAWS の Lightsail(VPS)のせいなのかよく分からないのですが、
一部のMisskeyサーバーと接続できません(知ってる限り2つくらいあります)
おそらく相手側のサーバーがCloudflareで保護されていて、なんか私側のIP アドレスがブラックリスト入りしているっぽいんですよね?
こちらもCloudflareで保護すれば良いのかなと思いましたが、.devドメインが対応していないんですよね。Google Domains終了するし頼みますよ・・・!
というわけでVPSを変える以外で解決策が無いです。皆さんは他のVPSを使ったほうが良いかもしれません・・・
立てる
動画作ってたら何やったか忘れたのでざっくり行きます
資料です: https://github.com/mei23/memo/blob/master/misskey/Setup-Meisskey-Quick.md
Misskey をフォークする
これはカスタマイズしない場合はスキップで良いはず。
私はフロントエンドくらいはいじりたいなと思ったのでフォークすることにしました
AWS のアカウントを用意する
用意してください。
作業用のIAMユーザーを作ったり、2段階認証にするなり、最低限のこともやっておいたほうが良いかも。
AWS Lightsail で VPS を借りる
LinuxでUbuntu 20.04で行きます
パブリック IP アドレスを固定化する
すでに固定化した状態ですが・・・
ここから固定化が出来ます。
アタッチしている場合は追加費用はかからないそう
HTTPS 通信で使うポートを開ける
httpsはTCPの443番を使うので、受け入れられるようにします。
Misskeyはhttpsでないと接続できないです
鍵ファイルを使ってSSHでログインする
ここから鍵ファイルをダウンロード出来ます。
まずTera TermでIPアドレスを入れて...
Lightsailに表示されているユーザー名と、先ほどダウンロードした鍵ファイルのパスをそれぞれ入れます。
VPS の設定
テキストエディタにvimを使いますが(それしか分からん)、他のエディタが好きな場合はその都度読み替えてください。
スワップ(仮想メモリ)の設定をする
物理メモリが多い場合は多分いらないかも?
今回みたいに物理メモリが1GBしかない場合は後でやるwebpack周りでこけちゃいます
一行ずつ打ち込んでいってください。
sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
次にvimで以下のファイルを編集します。
sudo vim /etc/fstab
改行して以下の行を足します。
iを押して編集モード、Escで戻れます。:wqで保存です。
/swapfile none swap sw 0 0
最後に、以下のコマンドを叩いてスワップ領域が増えていれば成功です。
free -h
こんなふうな出力があるはず
total used free shared buff/cache available
Mem: 929Mi 450Mi 71Mi 0.0Ki 408Mi 332Mi
Swap: 2.0Gi 174Mi 1.8Gi
パッケージの更新をする
Ubuntu ( Debian 系 )は多分aptなので、以下のコマンドを叩いて更新します。
Misskey構築に関係なく、Linuxマシンを貰ったらまずやらないといけないと思います。
sudo apt update
sudo apt upgrade
upgradeの方は、本当に実行するかどうか聞かれるので、Yを押してエンターします。
Do you want to continue? [Y/n] ←これ
もし、更新中にピンク色の怖い画面(多分 want to do about modified configuration file sshd_config? 的なメッセージ?)がでたら、矢印キーでKeepの方を選んでエンターすれば良いと思います。
Misskey 構築
Misskey 用ユーザーを作る
特に言うことはないかな
sudo adduser --disabled-password --disabled-login misskey
必要なパッケージを入れる
Node.js(MisskeyはバックエンドJavaScriptで出来ている)
curl -sL https://deb.nodesource.com/setup_16.x | sudo -E bash -
sudo apt-get install -y nodejs
sudo npm i -g pnpm
MongoDB(データベース)
sudo apt-get install gnupg
wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list
sudo apt-get update
sudo apt-get install -y mongodb-org
sudo systemctl start mongod
sudo systemctl enable mongod
その他、ソースコードを落としてくるgitなどを入れます
sudo apt -y install redis git build-essential nginx ssl-cert letsencrypt ffmpeg
追記 2023/08/13 MongoDB が Ubuntu 22.04 でインストールできない
どうやら必要なlibsslが22.04から同梱されなくなったみたい...
取りあえず入れることで回避することにします。
https://stackoverflow.com/questions/73656873
sudo wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2_amd64.deb
sudo dpkg -i libssl1.1_1.1.1f-1ubuntu2_amd64.deb
ソースコードをダウンロード(git clone)してくる
まず Misskey ユーザーに切り替えて、
sudo su - misskey
ソースコードをダウンロードします。今回は自分のリポジトリのをダウンロードします
(takusan_23-diaryとhttps://github.com/takusan23/misskeyは各自変えてね)
git clone -b takusan_23-diary https://github.com/takusan23/misskey
クローンしたフォルダへ移動します
cd ~/misskey
コンフィグファイルをコピーして、自分の環境用に直します
cp .config/example.yml .config/default.yml
vim .config/default.yml
そしたら、urlを直して、mongodbのuser/pass、redisのpassをコメントアウトします。
以下は例です。これ以降の部分はいじりません。(後でいじりますが)
# Final accessible URL seen by a user.
url: https://diary.negitoro.dev/
# Listen port
port: 3000
# Listen address (default is probably any)
# addr: '127.0.0.0'
mongodb:
host: localhost
port: 27017
db: misskey
#user: example-misskey-user
#pass: example-misskey-pass
#options:
# poolSize: 10
# Redis
redis:
host: localhost
port: 6379
#family: 0 # 0=Both, 4=IPv4, 6=IPv6
#pass: example-pass
#prefix: example-prefix
#db: 0
編集が終わったら保存してターミナルに戻ってきてください。
ビルドをします。
スペックが低いので、しばらく時間がかかります
NODE_ENV=production pnpm i
NODE_ENV=production pnpm build
無事成功したら、戻ります
exit
nginx の設定
Misskey ユーザーの場合は戻ってください(exit)
whoamiを叩くと今誰なのかわかります。
コンフィグファイルをコピー
私もわかんないんですけど、多分シンボリックリンクを使うのが正解らしい・・・
sudo cp ~misskey/misskey/docs/examples/misskey.nginx /etc/nginx/sites-enabled/
sudo vim /etc/nginx/sites-enabled/misskey.nginx
またvimが開くので、example.tldになっている部分を自分のドメインに直します。多分二箇所ぐらいだと思う
server_name example.tldをserver_name diary.negitoro.devにする感じです(自分のドメインね!)
できたら保存してターミナルに戻ってきてください。
nginxをリロードします
sudo service nginx reload
Misskey 起動
Misskey ユーザーに切り替えます
sudo su - misskey
サーバーお試し起動
次に、Misskey サーバーが起動できるか試してみます。
cd ~/misskey
pnpm start
多分アスキーアートみたいなのが出るはず。
起動できたら(listen 3000 ~)止めます
Ctrl + C同時押しでターミナルに戻ってこられるはず。
そしたらまたユーザーを戻してください
exit
自動起動の設定
Windowsのスタートアップみたいな
コンフィグを書く
と言ってもこれは全部コピーできるやつです。
sudo cp ~misskey/misskey/docs/examples/misskey.service /etc/systemd/system/
sudo systemctl daemon-reload
sudo systemctl enable misskey
sudo systemctl start misskey
sudo systemctl status misskey
最後のコマンドを叩くと、さっきみたいなアスキーアート(欠けてるかも)が出ているはず。
出て無くてもログが出ていれば成功なはず。
INFO * [core boot] Welcome to Meisskey!
とか
INFO * [core boot] Meisskey v10.xxxxxxx
とか?出ていれば OK なはず
DNS の設定
IPアドレスとサブドメインを紐付けます
サブドメインのAレコードに VPS の IP アドレスを指定します
IPv6の設定が必要なのかは不明(後述するLet's Encrypt / CertbotはIPv4だけでいいはず)
Google DomainsならDNSの項目で、新しいレコードを追加します。
IPv4なのでAレコードで、使いたいサブドメインと、VPSのIPv4アドレスを指定します。
こんな感じです。
反映されるのを待つ
nslookupとかして、サブドメインからIPアドレスを引けるようになるまで待ちます
なお、Misskeyはhttpsでないと接続できないらしく、まだURLを入力しても開けないはず。
SSL の設定(https でアクセスできるようにする)
Cloudflare使える場合はもっといい方法があるはず
Certbot / Let
ここから、NginxとUbuntu 20を選びます。
もし内容がおかしかったら↑が正しいです
まずはsnapというパッケージマネージャを入れます。
sudo snap install core; sudo snap refresh core
いれたら、一応既に入っているかもしれないのでcertbotを消します。
snap経由で入れないといけないので、aptとかで既に入っていれば消しちゃいます。
sudo apt remove certbot
certbot --version
certbot --versionでエラーが帰ってくれば成功(binにcertbotなんて存在しねえよ!的な)
次はsnap経由でcertbotを入れます。
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
そしたらついにhttpsでアクセスできるようにnginxを構成します。
コンフィグファイルを書き換えるのですが、多分Misskeyに影響ない状態で書き換えてくれます。
sudo certbot --nginx
このコマンドを叩いた後に以下のことが聞かれます
- メールアドレス
SSL証明書の更新が出来なかったら通知が来る?httpsでアクセスできなくなってしまうのでメールで教えてくれるそう
- 利用規約に同意するか
- ニュースレターを希望するか(No でいいはず)
httpsにしたいドメインの最終確認(nginxのコンフィグファイルからドメインを探してくれるそう)
キーボードぽちぽちしてたらhttps化作業終わった。神だろこれ
自動更新ができるか確認
どうやら自動的に自動更新のcron ?が設定されているらしく、自前でcronをスケジュールしておく必要も無いらしい。
ただ、成功するかはわからないので、お試し更新機能を使い本当に更新できるか試します。
sudo certbot renew --dry-run
--dry-runしないと更新されてしまう(そもそも有効期限が十分残っていると更新できない)
成功するとこんな感じになるはず。
Misskey 開ける?
https://ドメインで開けるはず。
ちゃんとhttpsで、鍵マークも付いています!!!!
一番乗りでアカウントを作ると管理者ユーザーとしてマークされ(コンフィグで変更可能?)、管理画面に入れます。
オブジェクトストレージの設定
Misskeyの投稿のメディアは、後からURLを変更できないため、やるなら建てた今しかない!
デフォルトではVPSのストレージに書き込まれますが、VPSのストレージは高いのと拡張が面倒なのでオブジェクトストレージを使うのが良いはず(容量増やし放題だけどお金もかかるよ)。
AWS の S3 を使います
ただ、これちょっと高い(なんか転送量とリクエスト回数に課金されるややこしい)ので、S3 互換サービスを使うのも考えたほうが良さそう。
今回は今後のことを考え、S3 互換サービスに移行できるような設計にもしてみます。
というわけでS3のバケットを作ります。
名前とかはよしなに...
下にスクロールして、パブリックアクセスの項目で外からアクセスできるようにします。
まだバケットポリシーを書いていないのでアクセスは出来ないと思いますが...
これで作成します。
バケットポリシー を書く
作ったバケットを開いて、アクセス許可に進み、バケットポリシーを編集します
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::作ったバケットの名前/*"
]
}
]
}
API でアクセスするため、キーを IAM で払い出してもらう
S3にAPIで操作するには、IAMで認可情報を作って貰う必要があります。
IAM ユーザーの作成
IAMの画面を開いて、適当にユーザーを作ります、
次の画面で出てくる権限のところでは、AmazonS3FullAccessをつけておけば良さそう
アクセスキーを払い出してもらう
作ったIAM ユーザーの詳細を開いて、アクセスキーの作成をします
Misskeyで必要なのは一番下のその他の項目のやつです。
2つ出てくると思います。
オブジェクトストレージの設定をコンフィグに記述する
v13 では Web UI からオブジェクトストレージの設定ができます
まずMisskeyを止めて
sudo systemctl stop misskey
Misskeyユーザーに切り替えて、コンフィグを更新します。
sudo su - misskey
cd ~/misskey
vim .config/default.yml
そしたら、ファイルシステムに書き込む設定をコメントアウト(#でコメントアウトできる)して、
ちょっと下にあるオブジェクトストレージ用の設定を書きます。
### drive ###
#drive:
# storage: 'fs' # ここをコメントアウトする
# OR
#drive:
# storage: 'db'
# OR
drive:
storage: 'minio' # ここは買えなくて良いはず
bucket: 'xxxxxxxx' # バケット名です
prefix: 'files' # フォルダを作るなら
baseUrl: 'https://diary.negitoro.dev/objectstorage' # nginx のリバースプロキシする URL
config:
endPoint: '' # S3 の場合は空文字。S3 互換サービスなら入れる
region: 'ap-northeast-1' # バケットのリージョン
useSSL: true
accessKey: 'xxxx' # IAM ユーザーのアクセスキーのアクセスキー
secretKey: 'xxxx' # IAM ユーザーのアクセスキーのシークレットキー
useProxy: true
setPublicRead: false
s3ForcePathStyle: true
もし、リバースプロキシしない場合(S3の公開URLをそのまま使う場合)は、baseUrlはhttps://s3.ap-northeast-1.amazonaws.com/バケット名になるはずです。
リバースプロキシが必要かどうかはS3以外を使う予定があるかどうかで決まります。詳しくは ↓ で。
CloudFrontを経由するとか、後述するnginxを経由する設計の場合はbaseUrlが変わるはず
後はターミナルを閉じて、おまじない程度にビルドしておきました(必要かどうかは不明)
NODE_ENV=production pnpm build
exit
Misskey起動させます
sudo systemctl start misskey
メディアのURLをリバースプロキシする(nginx を経由するようにする)
先述の通りS3以外のオブジェクトストレージに引っ越しできるように、メディアのURLではS3の外部公開用URLを使わないようにします。
代わりに、メディアのURLを用意して(https://ドメイン/objectstorage/xxxxx)、/objectstorageに来たリクエストはすべてnginxを使いS3のURLに向き先を変えるようにします(リバースプロキシ)
クライアント ( PC / スマホ 等 )
↓ リクエスト
nginx が待ち受ける
↓
もし URL が /objectstorage だったら ---> [S3 の外部公開用URLへアクセス]
それ以外 / だったら ---> [Misskey サーバー]
本当(というか他のサーバーだと)はオブジェクトストレージ用のドメイン、files.ドメインみたいなサブドメインを用意して、S3 + CloudFrontとかで公開して、CNAMEでCloudFrontを指すようにするのが良いかもしれないです。
(何言ってるか分からんと思うけど・・・)
nginx のコンフィグをいじる
コンフィグファイルを編集します。
sudo vim sudo cat /etc/nginx/sites-enabled/misskey.nginx
そしたら、/objectstorageに来たリクエストはS3のURLへリバースプロキシするようにします。
URL は都度買えてください。
よく知らないけど、location /の上に書いておけばよいのかな?
nginx server { } 443 の方です
# Media file storage is AWS S3.
# Use nginx proxy in AWS S3 to Internet transfer.
# thats because, Cant edit media file url.
location /objectstorage {
proxy_pass https://s3.ap-northeast-1.amazonaws.com/バケット名;
}
# Proxy to Node
location / {
proxy_pass http://127.0.0.1:3000;
proxy_set_header Host $host;
そしたら保存してターミナルに戻って、nginxへ適用します。
sudo systemctl restart nginx
動作確認
実際にMisskeyのドライブにファイルを投げて、S3に上がっていれば成功です。
URL が /objectstorageで始まっていればうまく行ってます!!!
お疲れ様でした!!!
多分これで構築は良いはず。
あとは適当にメモを残しておきます。
おすすめ設定?
管理画面から出来ます
- ユーザー登録の受付を停止する を ON
- お一人様なので
- リモートのファイルをキャッシュする は OFF
- 多分デフォルト OFF
Misskey サーバーの 停止 開始 再起動
- 開始
sudo systemctl start misskey
- 停止
sudo systemctl stop misskey
- 再起動
sudo systemctl restart misskey
本体更新方法
フォークしたので本家に追従するにはまずgit rebaseとかやって更新を取り込む必要がある
こっちに書いた
https://github.com/takusan23/misskey#変更を本番に入れる本番更新手順
データベースのバックアップ
データベースを吹っ飛ばすと同じドメインでサーバーを建てられないらしい?ので、定期的にやる必要があります
まずはMisskeyを止めます
sudo systemctl stop misskey
次に、Misskeyで利用しているMongoDBのバックアップを取ります。
今回はホームディレクトリにバックアップしたデータを保存するようにしました。dumpフォルダが出来ます。
(ホームディレクトリは ~←チルダ で移動できます)
cd ~
mongodump -o "./dump"
**次に、PowerShell を開き(SSH クライアントとは別に)**以下のコマンドを叩いて手元の Windows マシンへバックアップデータを転送します。
scpコマンドです。
scp -i {鍵のパス} -r {リモートのユーザー名}@{IPアドレス}:{フォルダのパス} {ローカルのWindowsマシンの保存先パス}
例です
scp -i C:\Users\takusan23\key.pem -r ubuntu@000.000.000.000:~/dump C:\Users\takusan23\misskey_backup\
これで、ユーザー名のフォルダのところにあるはず(C:\Users\takusan23 みたいな)
後はこれをzipとかにして安全なところに保存しておきます( Google Drive とか? AWS S3 Glacier とか? )
Misskey をカスタマイズしたい(VPS ではなく、手元の Windows で Misskey を構築したい)
書いた。v10なのでv13だと直さないと使えない
https://github.com/takusan23/misskey#手元の開発環境構築
2023/08/06 追記 Cloudflare を利用して Misskey サーバーを保護する?
CertbotでHTTPS通信できるようにしましたが、Misskey的にはCloudflareでSSL (HTTPS)するのが良いらしい。
あらかじめ、Cloudflareにドメインを移管しておく必要があります。(いやCloudflare DNSを使えるようしておく必要があります)
まずはCloudflare ダッシュボードからWebサイトを選び、稼働しているドメインを選びます。
そしてSSL/TLSを押して、概要の暗号化モードをフルにします。不具合の原因になるみたい。
次に、DNS>レコードと進み、MisskeyのIPアドレスのレコードがプロキシ済みかどうか確認します。
プロキシ済みじゃない場合はしてください。雲のアイコンがオレンジ色になれば良いはず。
これで、Misskey サーバーとの通信の前にCloudflareが入るようになります。
[ブラウザ (PC / スマホ) ] <---> [Cloudflare] <---> [Misskey サーバー (VPS)]
さっきのSSL/TLSの設定はこの間に入るCloudflareの設定のために必要でした。
次にVPSへログインします。
まずはMisskeyを止めて、お好みでバックアップを取ってください。
sudo systemctl stop misskey
次にnginxのコンフィグを開いて、Let's Encryptではなく、自己署名証明書をセットします。
sudo vim /etc/nginx/sites-enabled/misskey.nginx
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name diary.negitoro.dev;
ssl_session_cache shared:ssl_session_cache:10m;
# Self-Certificate
ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;
# Disbaled Certbot ( thats because, use Cloudflare )
# To use Debian/Ubuntu's self-signed certificate (For testing or before issuing a certificate)
# ssl_certificate /etc/letsencrypt/live/diary.negitoro.dev/fullchain.pem; # managed by Certbot
# ssl_certificate_key /etc/letsencrypt/live/diary.negitoro.dev/privkey.pem; # managed by Certbot
保存して、Misskeyを起動し、ブラウザで開けるか確認します。
sudo systemctl start misskey
成功していれば、リクエストのレスポンスヘッダーにCloudflare関連の値が入るようになっているはずです。
そしたらもう、今使っているLet's Encryptの証明書は不要になるので、消してしまいます。
sudo certbot revoke --cert-path /etc/letsencrypt/live/ドメイン名/cert.pem
Would you like to delete the certificate(s) you just revoked, along with all
earlier and later versions of the certificate?
Yで
WARNING: Before continuing, ensure that the listed certificates are not being
used by any installed server software (e.g. Apache, nginx, mail servers).
Deleting a certificate that is still being used will cause the server software
to stop working. See https://certbot.org/deleting-certs for information on
deleting certificates safely.
Are you sure you want to delete the above certificate(s)?
Yで
Deleted all files relating to certificate ドメイン名.が表示されれば完了です。