特に次の設定について説明します。

• location
• alias
• index
• try_files
• error_page
• internal

location / {
    [locationコンテキスト]
}

locationディレクティブではURIのパス毎の設定を記述できます。括弧{ }で囲まれた部分がlocationコンテキストになります。リクエストURIのパスがこのlocationディレクティブのパスの条件に一致した場合にこのlocationコンテキストに記述した設定が適応されます。パスの条件の評価方法は前方一致と正規表現の2つです。locationコンテキストにlocationディレクティブを記述してネストすることもできます。

上記の例ではリクエストURIのパスの先頭が"/"に一致した場合に適応されます。すべてのパスは"/path/to/page.html"のように"/"で始まるため、他のlocationディレクティブのパスの条件に一致したもの以外はこのlocationディレクティブが適応されます。

locationディレクティブではURIのパスの前に"=", "~", "~*", "^~"の4種類のプレフィックスを付けることができます。

location プレフィックス URIのパス {
    [locationコンテキスト]
}

それぞれの意味は次のようになります。

locationディレクティブはパスの条件が評価されて選ばれたものが適応されます。この条件はパスの文字列の前方一致あるいは正規表現による評価です。この評価の順番は以下のようになります。

1. 前方一致（"=", "^~", プレフィックスなし）の条件の評価を実施
   1. 最も一致する条件を選ぶ。
   2. 選ばれた条件が、完全一致で、プレフィックスが"="であれば、そこで評価を終了し、そのlocationディレクティブを適応する。
   3. 選ばれた条件のプレフィックスが"^~"であれば、そこで評価を終了して、そのlocationディレクティブを適応する。
2. 正規表現（"~", "~*"）の条件の評価を実施
   1. 正規表現の条件を設定ファイルに定義した順番に評価する。一致したら、そこで評価を終了して、そのlocationディレクティブを適応する。
3. 前方一致の評価で選ばれた条件のlocationディレクティブを適応する。

ここで注意して欲しいことがあります。前方一致の条件が先に評価されますが、プレフィックス無しの条件が選ばれたときには、後で評価される正規表現の条件に一致したものが無かった場合に、選ばれたlocationディレクティブが適応されるということです。この点を理解していないと、パスが一致したのに何で適応されないんだろうと悩むことになります。

いくつかの例で確認してみましょう。

まず、プレフィックスがない場合です。次の例では、リクエストURIのパスが"/example/page.html"であるときには設定Bが適応されます。それ以外の場合は設定Aが適応されます。単純に最長一致したものが適応されることがわかります。

location / {
    [設定A]
}

location /example/ {
    [設定B]
}

次の例は、"="プレフィックスがある場合です。リクエストURIのパスが"/"であるときには、設定Bが、"/page.html"であるときには設定Cが適応されます。それ以外の場合は設定Aが適応されます。例外的なページを指定する場合やlocationのパスの評価を早く確定したい場合に役に立つでしょう。なお、設定Bでは、indexディレクティブが有効であれば"/index.html"などに内部リダイレクトするため、最終的には設定Aが適応されます。

location / {
    [設定A]
}

location = / {
    [設定B]
}

location = /page.html {
    [設定C]
}

次の例は、プレフィックスがない場合と"~"プレフィックスがある場合です。リクエストURIのパスが"/example/page.html"であるときには、プレフィックスなしのパスが完全に一致していますが、正規表現の条件が優先されるため、設定Bが適応されます。

location /example/page.html {
    [設定A]
}

location ~ ^/example/ {
    [設定B]
}

今度は"^~"プレフィックスを付けてみます。リクエストURIのパスが"/example/page.html"であるときには、設定Aのパスに一致し、評価が確定するため、設定Aが適応されます。

location ^~ /example/page.html {
    [設定A]
}

location ~ ^/example/ {
    [設定B]
}

なお、正規表現の条件は次の例のように拡張子に一致させたいときに使うことが多いです。

location ~ \.php$ {
    [設定A]
}

正規表現を使うときには、括弧( )で囲うことにより後方参照することができます。次の例ではphpのファイル名を設定Aの中で"$1"として参照することができます。

location ~ ^/example/(.*\.php)$ {
    [設定A]
}

なお、リクエストURIのパスは様々な機能によ正規化され書き替えられた後のものがlocationディレクティブのパスの条件の対象となります。例えば、URIエンコードされていれば、デコードした後のパスが対象になります。

名前付きロケーション

locationディレクティブではURIのパスの代わりに次のように@の後に名前を付けることにより、名前付きロケーションを作ることができます。この名前付きロケーションは後述する内部リダイレクトで使用します。内部的なURIのパスの書き換えを行わずに内部リダイレクトを行う際に利用されます。

location @名前 {
    [locationコンテキスト]
}

なお、この名前付きロケーションはserverコンテキストにしか記述できません。

ロケーションのパスの割り当て - alias

aliasディレクティブではlocationディレクティブで指定したURIのパスをファイルシステム上のパスに対応させます。

次の例では、URIのパス"/s/"を"/var/www/s/images/"に対応させます。このとき、リクエストのパス"/s/page.html"と"/s/file.jpg"は、それぞれファイルシステム上のパス"/var/www/s/html/page.html"と"/var/www/s/images/file.jpg"に対応することになります。

location /s/ {
    alias /var/www/s/html/;
}
location ~ ^/s/(.+\.(?:gif|jpg|png)$) {
    alias /var/www/s/images/$1;
}

このaliasディレクティブは、先の例のようにURIのパスがrootディレクティブで指定したディレクトリからのパスと異なるときに利用します。

次の例では、aliasディレクティブで記述していますが、これはパス"/s/"がaliasディレクティブで指定した"/var/www/html/s/"の最後の"/s/"の部分と一致しています。"/var/www/html"をrootとしたときのパスと考えてもよいでしょう。

location /s/ {
    alias /var/www/html/s/;
}

このときは、次のようにrootディレクティブで書き直した方がわかりやすいでしょう。

location /s/ {
    root /var/www/html;
}

内部リダイレクト

普通のリダイレクトはレスポンスコードに301や302を、Locationヘッダフィールドにリダイレクト先のURIを指定して返し、クライアントはそのURIに対して再びリクエストを送ります。これとは別に内部リダイレクトというものがあります。これは、レスポンスコードに301や302を指定せずに、内部的にURIのパスの書き換えを行い、その結果のページの内容を返します。クライアントから見るとリダイレクトしているようには見えません。nginxではこのような内部リダイレクトがよく使われます。

次のセクション以降で説明するindexディレクティブ、error_pageディレクティブ、tri_filesディレクティブではこの内部リダイレクトが使われます。内部リダイレクトではリダイレクト先のパスに対して毎回locationディレクティブの評価が行われます。

インデックス - index

indexディレクティブにはリクエストのURIが"/"で終わっている（つまりディレクトリになっている）ときにインデックスとして使われるファイル名を設定します。記述方法は次の通りです。

index ファイル名 [ファイル名... [フォールバック]];

httpコンテキスト、serverコンテキスト、locationコンテキストに記述できます。なお、パスへのファイル名の追加は内部リダイレクトとして行われます。デフォルトの設定値は"index index.html;"であり、"index.html"がパスに追加され、そのパスへ内部リダイレクトします。

次のような設定の場合には、リクエストURIのパスが"/example/"のときに、index.htmlというファイルが存在すれば、"/example/index.html"に内部リダイレクトします。index.htmlが存在せず、index.phpが存在すれば、/example/index.phpに内部リダイレクトします。

location /example/ {
    index index.html index.php;
}

設定の一番右に、"/"で始まるファイル名のパスを書くと、ファイルが存在しなかったときにフォールバックするURIのパスになります。次のように記述すると、index.htmlやindex.phpが存在しなかったら、/index.phpにリダイレクトします。

location /example/ {
    index index.html index.php /index.php;
}

ファイルの存在チェック - try_files

try_filesディレクティブには存在をチェックするファイルやディレクトリと存在しなかったときにリダイレクトするURIのパスを指定します。

記述方法は次の通りです。

try_files ファイル ... パス;
try_files ファイル ... =コード;

try_filesという名前の通り、指定したファイルやディレクトリの存在を順番に調べ、存在すれば、そのファイルやディレクトリに対応したファイルを返します。一つも存在しなかったら、最後に記述したパスに内部リダイレクトします。パスの代わりに名前付きロケーションを指定することもできます。"=コード"を指定したときには指定した応答コードが返されます。

このtry_filesディレクティブはバックエンドのウェブアプリケーションと連携するためによく使われます。次の例はPHPのウェブアプリケーションを処理する例です。

## URIのパスに対するファイル（静的コンテンツ）が存在すれば、そのファイル返す。
## 存在しなければ、動的コンテンツとして@webappに内部リダイレクトする。
location / {
    try_files $uri $uri/ @webapp;
}

## 拡張子がphpであるファイルに対して処理する。
location ~ \.php$ {
    fastcgi_pass    unix:/var/run/php-fpm.sock;
    fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include /etc/nginx/fastcgi_params;
}

## 動的コンテンツとして処理する。
location @webapp {
    fastcgi_pass    unix:/var/run/php-fpm.sock;
    fastcgi_param   SCRIPT_FILENAME /var/www/html/index.php;
    include /etc/nginx/fastcgi_params;
}

エラーページ - error_page

error_pageディレクティブには指定したエラーコードが発生したときに表示するページのURIを指定します。

記述方法は次の通りです。

error_page コード ... [=[レスポンスコード]] uri;

コードには300〜599までの数値を記述できます。"=レスポンスコード"を記述すると、指定したレスポンスコードを返します。"="だけを記述すると内部リダイレクト先のシステムから受け取ったレスポンスコードを返します。URIにパスだけ指定すると内部リダイレクトし、フルで指定するとLocationヘッダ フィールドによりリダイレクトします。名前付きロケーションも使えます。

例えば、次のように記述すると、サーバのエラーが発生したときには"/50x.html"ページへ内部リダイレクトします。

error_page 500 502 503 504 /50x.html;
location = /50x.html {
    root   /usr/share/nginx/html;
}

リダイレクト先には外部のURIを指定することもできます。

error_page 500 502 503 504 http://example.jp/sorry.html;

nginxがバックエンドサーバにつながらないときなどにこの機能は便利でしょう。

また、アクセス制御により、アクセスが拒否された場合に表示するページを用意する場合にも使えます。

error_page 403 /forbidden.html
location = /forbidden.html {
    internal;
    allow all;
}

このerror_pageディレクティブはバックエンドのウェブアプリケーションと連携するときにも使われます。次の例はPHPのウェブアプリケーションを処理する例です。

## URIのパスに対するファイル（静的コンテンツ）が存在すれば、そのファイル返す。
## 存在しなければ、動的コンテンツとして@webappに内部リダイレクトする。
location / {
    error_page 404 = @webapp;
}

## 拡張子がphpであるファイルに対して処理する。
location ~ \.php$ {
    fastcgi_pass    unix:/var/run/php-fpm.sock;
    fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include /etc/nginx/fastcgi_params;
}

## 動的コンテンツとして処理する。
location @webapp {
    fastcgi_pass    unix:/var/run/php-fpm.sock;
    fastcgi_param   SCRIPT_FILENAME /var/www/html/index.php;
    include /etc/nginx/fastcgi_params;
}

内部リクエストの指定 - internal

internalディレクティブは、それを記述したロケーションが内部リダイレクトのように内部からのリクエストのためのみに使われることを宣言します。外部から直接アクセスすることはできません。

次の例では、404エラーが発生したときに/404.htmlに内部リダイレクトします。リダイレクト先のロケーションでは外部から直接このページのURIを指定してアクセスさせたくはないので、internalを記述します。

error_page 404 /404.html;
location = /404.html {
    internal;
}

バーチャルサーバの設定のまとめ

前回と今回はバーチャルサーバの設定について説明してきました。各設定が適応される順番についてまとめてみましょう。

1. serverコンテキストの選定
   • listenディレクティブとserver_nameディレクティブにより適応するserverコンテキストが選ばれる。
2. locationコンテキストの選定
   • locationディレクティブの条件により適応するlocationコンテキストが選ばれる。
   • ただし、indexディレクティブ、tri_filesディレクティブ、error_pageディレクティブなどにより、内部リダイレクトが行われると、再びlocationディレクティブが評価される。

今回はここまでです。設定編の残りとしては次のものを予定しています。

• SSL/TLSの設定
• よく使われる設定（認証、アクセス制御、rewriteモジュール等）

これが終わったら、ウェブアプリケーションとの連携編に入ります。

今回はnginxのバーチャルサーバの設定を確認していきます。なお、「バーチャルサーバ」はApache HTTP Serverで言うところ「バーチャルホスト」のことです。

nginxの設定ファイルnginx.confに次のような記述を行うことにより、/etc/nginx/conf.dディレクトリにある拡張子がconfであるファイルを読み込みます。

include /etc/nginx/conf.d/*.conf;

このconf.dディレクトリにバーチャルサーバ毎の設定ファイルを置くことにより、その設定ファイルが読み込まれます。nginx.orgのパッケージで提供されているサンプルファイルとしては、default.confとexample_ssl.confの2つがあります。前者が標準的なバーチャルサーバの設定ファイルで、後者がTLS/SSLの設定を行ったバーチャルサーバの設定ファイルです。

なお、includeディレクティブで"*.conf"のようにファイル名のパターンマッチを行うときには、ファイル名が読み込まれる順番が不定であることに注意してください。ソースコード レベルの話をすると、パターンを含む文字列はglob()関数により展開され、ファイル名のリストを返します。このとき、返されるファイル名のリストをソートしないことを示すGLOB_NOSORTフラグを付けてglob()関数が呼ばれているため、返されるファイル名のリストの順番は保証されません。後述しますが、デフォルトサーバを決定するときには記述された順番、すなわち読み込まれた順番が意味を持つため注意してください。

バーチャルサーバの設定

さて、本題のバーチャルサーバの話をしましょう。

ここでは、設定ファイル/etc/nginx/conf.d/default.confをサンプルとしてバーチャルサーバの設定の説明を行います。内容は次の通りです。ただし、コメントアウトしている箇所の一部は省いています。

server {
    listen       80;
    server_name  localhost;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    location ~ /\.ht {
        deny  all;
    }
}

それでは、それぞれの設定について確認していきましょう。

serverコンテキスト - server

server {
    [serverコンテキスト]
}

serverディレクティブにはバーチャルサーバの設定を記述します。括弧{ }で囲まれた部分がserverコンテキストになります。

複数のバーチャルサーバを運用するときには、IPベースあるいは名前ベースのバーチャルサーバとして区別するわけですが、serverディレクティブ自体ではこの区別を行っていません。serverコンテキストに記述するlistenディレクティブとserver_nameディレクティブにより、この区別を行います。

リクエストの受付ソケット - listen

listenディレクティブにはバーチャルサーバがリクエストを受け付けるIPアドレスやポート番号あるいはUNIXドメイン ソケットを設定します。

IPアドレスを指定するときには"listen IPアドレス"あるいは"listen IPアドレス:ポート"の形式で記述します。

listen IPアドレス:ポート番号;

次のように"listen 192.0.2.1:80"と記述するとIPアドレス192.0.2.1の80番ポートでリクエストを受け付けるようになります。

listen 192.0.2.1:80;

後述するようにポート番号のデフォルト値は80であるため、次のようにポート番号を省略して記述することもできます。

listen 192.0.2.1;

IPアドレスのデフォルト値はすべてのインターフェイス アドレスを意味する"*"であり、ポート番号のデフォルト値は"80"になります。そのため、listenディレクティブを省略すると、次の設定と同じになります。

listen *:80;

この設定は次のそれぞれの設定と同じ意味を持ちます。

listen 80;

listen *;

IPv6の場合は[2001:db8:dead:beef::1]のような角括弧で囲む記法を使います。

listen [2001:db8:dead:beef::1]:80;

UNIXドメイン ソケット

nginxではUNIXドメイン ソケットでもリクエストを受け付けることができます。記述方法は"listen unix:UNIXドメイン ソケットのパス"です。

listen unix:パス;

次のように記述するとUNIXドメイン ソケット/var/run/nginx.sockでリクエストを受け付けるようになります。

listen unix:/var/run/nginx.sock;

バーチャル サーバ名 - server_name

server_nameディレクティブにはバーチャル サーバの名前を設定します。

ウェブブラウザはウェブサーバに対して次のようなリクエストを送ります。

GET / HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:11.0) Gecko/20100101 Firefox/11.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ja,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive

このとき、リクエスト先のサーバのホスト名をHost:ヘッダフィールドに指定します。この例では"example.com"というホスト名が指定されています。nginxはこのリクエストを受け取ると、このホスト名がserver_nameディレクティブに設定したサーバ名に一致するserverディレクティブのバーチャルサーバを選び、そのserverディレクティブ内の設定が適応されます。このようにserver_nameディレクティブは名前ベースのバーチャルサーバを設定するために使われます。

それでは、いくつかの指定方法を見ていきましょう。

サーバ名を一つだけ指定するときには次のように記述します。

server_name example.com;

複数のサーバ名を記述するには次のようにスペース区切りで指定します。最初に記述したサーバ名をプライマリサーバ名と呼びます。

server_name example.com www.example.com;

サブドメインに全て一致させるには次のどちらかのように記述します。"*"はすべてのサブドメインに一致します。また、"."で始まる場合も同様です。

server_name *.example.com;
server_name .example.com;

次のように正規表現を使って記述することもできます。

server_name ~^www\d+\.example\.com$;

空を意味する""を設定すると、Host:ヘッダ フィールドがない場合に一致します。なお、server_nameディレクティブのデフォルト値はこの""となっています。

server_name "";

リダイレクト時のサーバ名 - server_name_in_redirect

server_nameに関連するディレクティブにserver_name_in_redirectというものがありますのでこのディレクティブについても確認しましょう。

server_name_in_redirectディレクティブはリダイレクト時のLocationヘッダに埋め込むサーバ名を制御します。次のようにserver_name_in_redirectディレクティブを"on"にすると、リダイレクトするときにserver_nameディレクティブで設定したプライマリサーバ名が使われるようになります。

server_name_in_redirect on;

次のように"off"に設定すると、リクエストのHostヘッダ フィールドで指定されたホスト名が使われます。しかし、Hostヘッダ フィールドが無いときにはサーバのIPアドレスが使われることに注意しましょう。

server_name_in_redirect off;

プライマリサーバ名が正規表現や"*"を使っているときには"off"に設定設定する必要があるでしょう。むしろこの場合は正規なプライマリサーバ名を設定した方がよいとは思いますが。

なお、デフォルト値は"on"です。

デフォルトサーバ

複数のバーチャルサーバがあるときには、リクエストのHost:ヘッダ フィールドのホスト名がserver_nameディレクティブのサーバ名に一致するserverディレクティブのバーチャルサーバが適応されます。しかし、一致しない場合にはデフォルトサーバとして選ばれたバーチャルサーバが適応されます。

デフォルトサーバはIPアドレスとポート番号の条件が一致したlistenディレクティブを持つserverディレクティブの中で次のものが選ばれます。

• 一致したlistenディレクティブの中でdefault_serverオプションを持つ
• 設定ファイル内で最初に一致したlistenディレクティブを持つ

listenディレクティブにdefault_serverパラメータを付けると、そのserverディレクティブがデフォルトサーバになります。

listen *:80 default_server;

default_serverパラメータがない場合には、最初にIPアドレスとポート番号の条件に一致したlistenディレクティブを持つserverディレクティブがデフォルトサーバになります。本記事の最初に述べたように複数のバーチャルサーバ毎の設定ファイルがある場合には、読み込まれる順番は不定であるため、どのバーチャルサーバの設定が最初に読み込まれるかはわかりません。そのため、明示的にdefault_serverパラメータを付けた方がよいでしょう。

以上のようにlistenディレクティブとserver_nameディレクティブにより、どのバーチャルサーバが適応されるかが決まります。

ドキュメントルート - root

root   /usr/share/nginx/html;

rootディレクティブにはドキュメントルートのディレクトリを設定します。httpコンテキスト、serverコンテキスト、locationコンテキスト、location内のifコンテキストに記述できます。上記の例では/usr/share/nginx/htmlがドキュメントルートとなります。

大抵はserverコンテキストあるいは次のように"/"のlocationコンテキストに標準のドキュメントルートを設定して、必要に応じて個別のパスのlocationコンテキストに個別にドキュメントルートを設定することになります。

location / {
    root   /usr/share/nginx/html;
}

今回はここまでです。locationについては書く内容が多くなるので、次回に続きます。

去る4/7(土)にhbstudy、ncstudy、odstudy共催でトラブル☆しゅーたーずを開催しました。

hbstudyの立ち位置

hbstudyの役割分担としては、障害シナリオの作り込みおよびトラブルシュートのテクニカル全般、報告のロジカルチェック全般でした。
明確に役割分担したわけではないのですが、たぶんこんなところです。

hbstudyの役割、というよりは、私自身の得意分野と特性(S?)を活かして動かせてもらいました。

実際のところ、最大の功労者は@ysaotomeさんです。実際のコーディングのほとんどは@ysaotomeさんの手によるものでした。あまりの活躍ぶりに、つい五月女商会なるサイトをお題にしてしまいました。あれは私の策略です。すみませんね。やいやい、参っちゃうね。

なんでわざわざ休日に... トラブル☆しゅーたーず？

今回のイベントを一言で言うと、壮大なごっこ遊びつまり ロールプレイ なわけです。

本気でやりすぎて胃が痛くなる人まで出る始末。最高です。

動機というかモチベーションとしては以下のものがありました。

• 他社(他者)の事例を知りづらい分野なのでお互いに情報交換したいよね
• 練習する機会があんまりないから練習したいよね

会の最後には私が解答編を話させてもらいましたが、どれも当たり前のことです。でも練習しとかないと本番でできない。残念ながら世の中そんなものです。だから練習大事！
ハートビーツの新人研修もロールプレイ盛りだくさんです。
なので非常に実践的で厳しい。受ける側は大変。やる側はもっと大変。
でもそれがないと何もできるようにならない。現実は厳しいですね。

あと、懇親会などで少し話しましたが、下記のような対応が出てくるとさらに良かったですね〜とおもいます。

• とりあえずメンテナンス画面を出してユーザ影響を緩和
• 報告に、障害中のアクセス数を記載

今日から使える実践テクニックですね〜 ;)

まとめ

今回参加いただいた方々は、当たり前のことを実直にやることがどれだけ難しく、精神力が必要か ということを実感していただけたと思います。

当たり前のことは自動化するのがエンジニアとはいえ、トラブルシュートはそもそも想定外のケースなのでそうも言っていられません。
自分自身の力(心技体的な)、自分自身の力を拡張する力(プログラミング・ナレッジベースなど)の両面から日々向上していきましょうね。

主催側も大変面白かったので、またやりたいです！
いい感じのレベル感の障害作り込むのはなかなか難しい！

次の企画はアイデア出始めているので、いつやろうかな、いつできるかな〜

ちなみに次回hbstudyは4/17(火)USクラウド最新動向勉強会 Softlayer社に学ぶ競争力、4/28(土)Mercurialハンズオンと目白押しです！
そういえばhbstudyはおよそ月1開催なので、5月に2回やるととうとう追いつきます。誰となく。

今回の記事の前半ではこのmod_rpafについてインストール方法や設定方法について説明します。

後半ではmod_rpafを使ってもアクセス制御ができない問題が発生して、それを解決した経緯などを紹介します。具体的にはロードバランサとしてAmazon Elastic Load Balancingを、プロキシサーバとしてnginxを、バックエンドサーバとしてAmazon Linux 2011.09のhttpdを使ったときにアクセス元IPアドレスによるアクセス制御がうまくできない問題が発生しました。このあたりにご興味のある方は是非ご覧ください。少しだけソースコードを読めるITインフラエンジニアがトラブルシューティングをした簡単な事例としてみていただければと思います。

リバースプロキシ／ロードバランサの配下のApache HTTP Server（以降、単にhttpdと記す）ではそのままではアクセス元のIPアドレスを取得することができず、リバースプロキシ サーバのIPアドレスがアクセス元IPアドレスとしてアクセスログに記録されます。これでは、実際のアクセス元が正しくログに記録されません。また、アクセス元IPアドレスによるアクセス制御も正しく行うことができません。

この対策として、mod_rpafというモジュールを利用します。 アクセス元IPアドレスはリバースプロキシ側でX-Forwarded-Forというヘッダで提供されることが多いでしょう。mod_rpafを使うと、このヘッダのIPアドレスを取得して、httpdの内部のリモートIPアドレスを保持している変数に上書きしてくれます。これにより、正しいアクセス元IPアドレスがアクセスログに記録されます。

mod_rpafの公式サイトは http://stderr.net/apache/rpaf/ です。バージョン0.6で更新が止まっており、保守が継続されていません。

mod_rpafのインストール

まず、ビルドに必要なパッケージをインストールしましょう。ここでは、CentOS 6にインストールする例を紹介します。httpd-develパッケージとgccパッケージおよびそれらに依存するパッケージをインストールします。なお、APR関連のツールもhttpd-develパッケージの依存でインストールされます。

# yum install gcc
# yum install httpd httpd-devel

後半で説明しますが、オリジナルのmod_rpafでは新しめのLinuxディストリビューション（RHEL 6/CentOS 6/Amazon Linux 2011.09）で提供されているhttpdではアクセス制御ができない不具合があります。そのため、次のサイトからtar.gzファイルをダウンロードするか、gitで直接ファイルを取得します。

https://github.com/ttkzw/mod_rpaf-0.6

サイトからダウンロードする方法

https://github.com/ttkzw/mod_rpaf-0.6 にアクセスします。

Downloadをクリックして、Downlaod as tar.gzをクリックすると、ダウンロードできます。後は、展開してインストールします。

$ tar xvzf ttkzw-mod_rpaf-0.6-f96f67c.tar.gz
$ cd ttkzw-mod_rpaf-0.6-f96f67c
$ make
$ sudo make install

gitで取得する方法

$ git clone git://github.com/ttkzw/mod_rpaf-0.6.git
$ cd mod_rpaf-0.6
$ make
$ sudo make install

モジュールファイルを直接ダウンロードする方法

$ mkdir mod_rpaf-0.6
$ cd mod_rpaf-0.6
$ wget https://raw.github.com/ttkzw/mod_rpaf-0.6/master/mod_rpaf-2.0.c
$ sudo /usr/sbin/apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c

設定

次の内容の設定ファイル/etc/httpd/conf.d/mod_rpaf.confを作成します。

LoadModule rpaf_module modules/mod_rpaf-2.0.so
RPAFenable On
RPAFsethostname On
RPAFproxy_ips 127.0.0.1 10. 172.16.
RPAFheader X-Forwarded-For

各ディレクティブの説明は以下の通りです。

設定内容を確認して、再起動すれば利用できます。

$ sudo service httpd configtest
$ sudo service httpd restart

以上で設定は完了です。

ウェブブラウザを使って、リバースプロキシ経由でサーバにアクセスし、アクセスログにアクセス元のIPアドレスが記録されているかを確認してください。

アクセス制御

mod_rpafにより取得したIPアドレスを使って、次のようなアクセス制御を行うことができます。

Order Deny,Allow
Allow from 192.0.2.0/24
Deny from all

アクセス制御に関する不具合の対応

次のような構成でオリジナルのmod_rpaf 0.6では、mod_rpafにより取得したIPアドレスを使って、アクセス制御を行うことができないというトラブルが発生しました。

Amazon Elastic Load Balancing --- nginx --- httpd

ロードバランサとしてAmazon Elastic Load Balancingを、リバースプロキシとしてnginxを、バックエンド ウェブサーバとしてhttpd（Amazon Linux 2011.09のもの、バージョン2.2.21）を使っています。

なお、アクセスログにはアクセス元のIPアドレスが正しく記録されているため、IPアドレスの取得そのものはうまく動いています。

とりあえずの回避策として、リバースプロキシが付与したアクセス元IPアドレスのヘッダX-Forwarded-Forを使ってアクセス制御を行いました。下記の例では、リバースプロキシが付与したヘッダX-Forwarded-Forの値がアクセス許可対象のIPアドレスが一致したときに環境変数allowedを設定し、Allow from env=allowedにより許可するという設定です。しかし、リバースプロキシを経由しないアクセス経路があるときにはX-Forwarded-Forヘッダの偽装のリスクがあります。

SetEnvIf X-Forwarded-For ^192\.0\.2\.[1-9]?[0-9]$ allowed
SetEnvIf X-Forwarded-For ^192\.0\.2\.1[0-9][0-9]$ allowed
SetEnvIf X-Forwarded-For ^192\.0\.2\.2[0-5][0-9]$ allowed

Order Deny,Allow
Allow from env=allowed
Deny from all

この一時的な回避策を実施する一方で、根本的な解決を図るために原因調査を行いました。

RHEL 5/CentOS 5のhttpd 2.2.3では問題なく取得したアクセス元のIPアドレスでアクセス制御できることは確認してます。しかし、RHEL 6/CentOS 5のhttpd 2.2.15では今回問題が起きたAmazon Linux 2011.09のhttpd 2.2.21と同様にアクセス制御ができませんでした。しかし、アクセスログにはアクセス元のIPアドレスが正しく記録されているところから、アクセス元IPアドレスの取得そのものはうまくいっていることがわかります。そのため、mod_rpafとhttpdのソースコードをアクセス制御周りに絞って追いかけてみました。httpd 2.2.22のソースコードで説明します。

httpd 2.2系列でアクセス制御を行っているモジュールはmod_authz_hostです。modules/aaa/mod_authz_host.cを見てみましょう。IPアドレスが一致するかを判断している箇所はfind_allowdeny()関数内のcase T_IPのところです。

static int find_allowdeny(request_rec *r, apr_array_header_t *a, int method)
{
    略
    for (i = 0; i < a->nelts; ++i) {
        略
        case T_IP:
            if (apr_ipsubnet_test(ap[i].x.ip, r->connection->remote_addr)) {
                return 1;
            }
            break;

ここでap[i].x.ipはアクセス制御の設定のAllow/Denyで指定したIPアドレスに関する情報が格納されています。remote_addrにはアクセス元のIPアドレスに関する情報が格納されています。つまり、mod_rpafではこの内容を書き換えているはずです。さらに、apr_ipsubnet_test()という関数では先の2つのIPアドレスの情報からサブネットが一致するかを判断しています。

次に、mod_rpaf-2.0.cを見てみましょう。change_remote_ip()関数内でIPアドレスの書き換えをしています。

r->connection->remote_ip = apr_pstrdup(r->connection->pool, ((char **)arr->elts)[((arr->nelts)-1)]);
r->connection->remote_addr->sa.sin.sin_addr.s_addr = apr_inet_addr(r->connection->remote_ip);

arrにはX-Forwared-Forヘッダから取得したIPアドレスの情報が入っており、そこからremote_ipにアクセス元のIPアドレスが代入されています。その次に、先ほど見かけたremote_addr内のsa.sin.sin_addr.s_addrにIPアドレスを代入しているのがわかります。

再び、httpdのソースコードに戻ります。今度はapr_ipsubnet_test()について確認してみましょう。srclib/apr/network_io/unix/sockaddr.cを見てみます。

APR_DECLARE(int) apr_ipsubnet_test(apr_ipsubnet_t *ipsub, apr_sockaddr_t *sa)
{
#if APR_HAVE_IPV6
    /* XXX This line will segv on Win32 build with APR_HAVE_IPV6,
     * but without the IPV6 drivers installed.
     */
    if (sa->sa.sin.sin_family == AF_INET) {
        if (ipsub->family == AF_INET &&
            ((sa->sa.sin.sin_addr.s_addr & ipsub->mask[0]) == ipsub->sub[0])) {
            return 1;
        }
    }
略
#else
    if ((sa->sa.sin.sin_addr.s_addr & ipsub->mask[0]) == ipsub->sub[0]) {
        return 1;
    }
#endif /* APR_HAVE_IPV6 */

ここでipsubにはアクセス制御の設定のAllow/Denyで指定したIPアドレスに関する情報が、saにはアクセス元のIPアドレスに関する情報が格納されています。

ここで気になるのはAPR_HAVE_IPV6です。APR_HAVE_IPV6が定義されていなければ、特に問題なく判定できそうです。APR_HAVE_IPV6が定義されているときはどうでしょうか。 アドレス ファミリがAF_INET(IPv4)であるかの条件文が先にあります。先のmod_rpafのコースコードにはアドレス ファミリを設定しているところはありませんでした。ここが非常に怪しいですね。そこで、mod_rpafにアドレスファミリを設定するように追加してみました。AF_INET決めうちです。

r->connection->remote_ip = apr_pstrdup(r->connection->pool, ((char **)arr->elts)[((arr->nelts)-1)]);
r->connection->remote_addr->sa.sin.sin_addr.s_addr = apr_inet_addr(r->connection->remote_ip);
r->connection->remote_addr->sa.sin.sin_family = AF_INET;

このように書き替えた後にモジュールをビルドし直すと、アクセス制御ができるようになりました。

ということで、結論としては、問題が発生したhttpdではAPR_HAVE_IPV6を有効にした状態でビルドされておりアドレス ファミリの指定が必要になっていたことと、mod_rpafがアドレス ファミリを指定していなかったことの2つが原因でアクセス制御ができなくなっていたということです。mod_rpafにアドレス ファミリを指定することでこの問題を解決できました。

その他、細かい修正したもの次のURLのgithubに登録しました。

https://github.com/ttkzw/mod_rpaf-0.6

ちなみに、私とは別にmod_rpafをフォークして開発している人がgithub上にいて、そちらのバージョンが0.8になっているので、このgithubに置いたバージョンは0.6のままで名前を付けています。

httpdの各モジュールはそんなに大きいソースコードではないので追いかけようと思えば追いかけられます。ITインフラ エンジニアもたまには普段利用しているミドルウェアのソースコードを読んでみてはいかがでしょうか。

えっと、IPv6対応は機会があれば......

パッケージシステムからnginxをインストールすると、nginxの設定ファイル用のディレクトリは通常は/etc/nginxになります。このディレクトリに設定ファイルnginx.confを配置します。

さらに、他のファイルから設定を読み込むincludeディレクティブを次のような内容でnginx.confに記述して、conf.dというサブディレクトリ内の拡張子がconfであるファイルを読み込む設定を行うことがよくあります。

include /etc/nginx/conf.d/*.conf;

その他に次のようなファイルもインストールされます。

これらのファイルのファイル名は特別な意味を持っているのではなく、設定ファイルからincludeディレクティブによりこのファイル名を指定して読み込むことで利用します。例えば、次のようにしてはmime.typesを読み込みます。

    include       /etc/nginx/mime.types;

なお、koi-utf, koi-win, win-utfの3つのファイルを使うことはありません。

設定ファイルの記述方法

nginxの設定の命令（ディレクティブ）は設定ファイル内のどこにでも記述できるものではなく、ディレクティブ毎に決められたコンテキスト内に記述します。

コンテキストはnginxのモジュールのカテゴリと関連があるため、モジュールのカテゴリについて先に説明します。モジュールは大きく分けて4種類のカテゴリに分けられます。

ディレクティブはこのモジュールのカテゴリ毎に記述します。ただし、coreモジュールに関してはmainコンテキスト、すなわち、設定ファイル内の最上位の階層に記述します。設定ファイルの構成は次のようになります。

coreモジュールの設定

events {
    eventモジュールの設定
}

http {
    httpモジュールの設定
}

mail {
    mailモジュールの設定
}

httpコンテキストはさらに、バーチャルサーバ（バーチャルドメイン）毎の設定を行うserverディレクティブ、さらにURI毎の設定を行うlocaltionディレクティブにより階層化されます。次のような構成になります。

http {
    httpモジュールの設定

    server {
        サーバ毎の設定

        location PATH {
            URI毎の設定
        }
        location PATH {
            URI毎の設定
	}
        ...
    }

    server {
        ...
    }
}

nginx.confの説明

ここからは、nginx.orgのパッケージからインストールしたnginxが提供している設定ファイルnginx.confをサンプルとして設定について説明をしていきます。

mainコンテキスト

まず、mainコンテキストでの設定について確認していきます。

mainコンテキストに記述できる設定はコアモジュールで提供されるディレクティブです。どのようなディレクティブがあるかは次のサイトで確認できます。

• Core functionality(nginx.org)
• CoreModule(Nginx Wiki)

設定ファイルnginx.confのmainコンテキストには次の設定が行われています。

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

この設定を一つずつ確認していきましょう。

実行ユーザ - user

user  nginx;

userディレクティブはnginxのworkerプロセスの実行権限のユーザを設定します。

この例ではnginxユーザで動作します。nginxが動作しているときのpsコマンドの出力例は次のようになります。nginx: worker processがnginxユーザで動作していることが確認できます。

$ ps auxf | grep [n]ginx
root      1395  0.0  0.0  44516   844 ?        Ss   03:27   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     1398  0.0  0.1  44936  1528 ?        S    03:27   0:00  \_ nginx: worker process

workerのプロセス数 - worker_processes

worker_processes  1;

worker_processesディレクティブは動作させるnginxのworkerプロセスの数を設定します。通常はCPUのコア数以下に設定します。イベント駆動のアーキテクチャであるため、CPUのコア数より多い数のプロセスを動作させても意味がありません。なお、デフォルトの設定値は1です。

この例ではworkerプロセスの数を1個にするように設定されています。

エラーログ - error_log

error_log  /var/log/nginx/error.log warn;

error_logディレクティブはエラーログの出力先のファイル名とロギングのレベルを指定します。このディレクティブはmain, http, server, locationのどのコンテキストでも設定できるため、必要に応じてエラーログの出力先を変えることができます。なお、デフォルトの設定値は"logs/error.log error"であり、errorレベル以上のログをlogs/error.logに出力します。

この例ではwarnレベル以上のログを/var/log/nginx/error.logに出力します。

PIDファイル - pid

pid        /var/run/nginx.pid;

pidディレクティブはmasterプロセスのプロセスIDを保存するファイルを設定します。

この例ではnginxのmasterプロセスのプロセスIDを/var/run/nginx.pidに保存します。

eventsコンテキスト

eventsコンテキストでの設定について確認していきます。

eventsコンテキストに記述できる設定はeventモジュールで提供されるディレクティブです。どのようなディレクティブがあるかは次のサイトで確認できます。

• EventsModule(Nginx Wiki)

設定ファイルnginx.confのeventsコンテキストには次の設定が行われています。

events {
    worker_connections  1024;
}

最大コネクション数 - worker_connections

worker_connections  1024;

worker_connectionsディレクティブは一つのworkerプロセスが同時に処理できる最大コネクション数を設定します。デフォルトの設定値は512です。

この例では一つのworkerあたり最大1024個のコネクションを処理します。

httpコンテキスト

httpコンテキストでの設定について確認していきます。

httpコンテキストに記述できる設定はhttpモジュールで提供されるディレクティブです。どのようなhttpモジュールとディレクティブがあるかは次のサイトで確認できます。

• Module Reference(nginx.org)のngx_httpで始まるモジュール
• Modules(Nginx Wiki)のHTTPモジュール

設定ファイルnginx.confのhttpコンテキストには次の設定が行われています。

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    tcp_nopush     on;

    keepalive_timeout  65;

    gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

それぞれの設定について確認していきましょう。

MIMEタイプの設定 - types, default_type

include       /etc/nginx/mime.types;

このincludeディレクティブでは次のような内容のファイルmime.typesを読み込んでいます。

types {
    text/html                             html htm shtml;
    text/css                              css;
    text/xml                              xml;
    image/gif                             gif;
    image/jpeg                            jpeg jpg;
    application/x-javascript              js;
    application/atom+xml                  atom;
    application/rss+xml                   rss;
中略
}

typesディレクティブはMIMEタイプと拡張子のマッピングを設定します。nginxでは上記のような内容のtypesディレクティブの設定を行ったmime.typesというファイルを用意しており、上述のようにincludeディレクティブで読み込むようにします。

default_type  application/octet-stream;

default_typeディレクティブではレスポンスのデフォルトのMIMEタイプを設定します。上述のmime.typesで拡張子からMIMEタイプを決定できなかったときに、ここで指定したMIMEタイプが適応されます。なお、デフォルトの設定値はtext/plainです。

この例ではデフォルトのMIMEタイプをapplication/octet-streamに設定します。

アクセスログの設定 - log_format, access_log

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';

log_formatディレクティブはアクセスログの書式を定義します。後述するaccess_logディレクティブでここで定義した名前を指定することにより利用できます。このディレクティブはhttpコンテキストのみで利用できます。

この例ではmainという名前で書式を定義しています。

なお、次のような"combined"という名前の定義が予め組み込みで用意されています。

log_format combined '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
		    '"$http_referer" "$http_user_agent"';

これはApache HTTP Serverでよく定義されている"combined"と同じ形式です。

access_log  /var/log/nginx/access.log  main;

access_logディレクティブはアクセスログの出力先のパスとlog_formatで定義した書式の名前を設定します。デフォルトの設定値は"log/access.log combined"です。書式を省略すると"combined"が適応されます。なお、設定値を"off"にすると、アクセスログを出力しないため、アクセスログの出力を抑制したい場合に利用します。

このディレクティブはhttp, server, location, if, limit_exceptのどのコンテキストでも利用できるため、必要に応じて異なるファイル名のファイルにログを出力することができます。

この例では/var/log/nginx/access.logというファイルにmainの書式でアクセスログを出力します。

なお、ログに関してはhttp_logモジュールの機能です。次のサイトでその機能の詳細を確認できます。

• Module ngx_http_log_module(nginx.org)
• HttpLogModule(Nginx Wiki)

sendfile, tcp_nopush

sendfile        on;

sendfileディレクティブはコンテンツのファイルの読み込みとクライアントへのレスポンスの送信にsendfile() APIを使うかを設定します。sendfile()を使うとカーネル空間内でファイルの読み込みと送信が完了するため、効率良くファイルの内容をクライアントに送信できます。デフォルトの設定値はoffです。

なお、sendfile()はプラットフォームやファイルシステムによっては問題が起きることもありますので、そのときは無効にしてください。これに関しては、Apacheでもsendfileを使う機能を持っているので、Apache HTTP Server - EnableSendfileディレクティブが参考になります。

この例ではsendfile()を利用します。

tcp_nopush     on;

tcp_nopushディレクティブはsendfileが有効なときに、FreeBSDの場合はTCP_NOPUSHソケットオプション、Linuxの場合はTCP_CORKソケットオプションを使うかを設定します。このオプションを使うと、レスポンスヘッダとファイルの内容をまとめて送るようになり、少ないパケット数で効率良く送ることができます。デフォルトの設定値はoffです。

この例ではtcp_nopushの機能を有効にします。

keepaliveの設定 - keepalive_timeout

keepalive_timeout  65;

keepalive_timeoutディレクティブはサーバ側でのキープアライブのタイムアウトの秒数を設定します。デフォルトの設定値は75sです。

この例ではキープアライブのタイムアウトを65秒に設定しています。

レスポンスの圧縮 - gzip

gzip  on;

gzipディレクティブではレスポンスのコンテンツを圧縮するかを設定します。デフォルトの設定値はoffです。

この例では圧縮を行います。

gzipディレクティブはhttp_gzipモジュールの機能です。次のサイトで関連するディレクティブを確認できます。

• Module ngx_http_gzip_module
• HttpGzipModule(Nginx Wiki)

参考までに、Ubuntu 11.10でのnginxのパッケージで提供される設定ファイルには次の内容のgzip関連の設定が行われています。gzip関連の設定の参考になると思います。

gzip on;
gzip_disable "msie6";
# gzip_vary on;
# gzip_proxied any;
# gzip_comp_level 6;
# gzip_buffers 16 8k;
# gzip_http_version 1.1;
# gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

バーチャルサーバの読み込み

include /etc/nginx/conf.d/*.conf;

この例では/etc/nginx/conf.dディレクトリにある拡張子がconfのファイルを読み込みます。conf.dディレクトリにはバーチャルサーバ毎の設定ファイルを置きます。

このバーチャルサーバ毎の設定については次回で紹介します。特にserverコンテキストおよびlocaltionコンテキストにおけるディレクティブについて説明します。

「百聞は一見にしかず」ということで、実際にインストールして体験してみましょう。

nginxのインストール方法は主に次の3通りです。

• ソースコードからビルドしてインストールする
• OSのパッケージシステムからパッケージをインストールする
• nginx.org提供のバイナリパッケージをインストールする

お使いのOSがメジャーなLinuxディストリビューションや*BSD系のUNIXであれば、パッケージシステムからインストールできます。なお、本記事ではCentOS 6にnginx.org提供のパッケージを利用する前提で話を書きます。

また、次のサイトにも情報がありますので一度ご覧ください。

• 公式ダウンロードサイト
• Wikiサイト

なお、2012年2月9日時点での最新の安定版のバージョンは1.0.12で、開発版のバージョンは1.1.14です。

モジュールの組み込みについて

前回はnginxはモジュールにより機能を拡張できる仕組みであると説明しましたが、そのモジュールの組み込みについてここで説明します。

公式サイトからtar ballをダウンロードして、展開すると次のようになります。

$ tar xvzf nginx-1.0.12.tar.gz 
$ cd nginx-1.0.12
$ ls -F
CHANGES     LICENSE  auto/  configure*  html/  src/
CHANGES.ru  README   conf/  contrib/    man/

ここで'./configure --help'と入力して実行すると、通常のオプションに加え、次のようにモジュールの組み込みに関するオプションが表示されます。

$ ./configure --help
略
  --with-http_ssl_module             enable ngx_http_ssl_module
  --with-http_realip_module          enable ngx_http_realip_module
  --with-http_addition_module        enable ngx_http_addition_module
  --with-http_xslt_module            enable ngx_http_xslt_module
  --with-http_image_filter_module    enable ngx_http_image_filter_module
  --with-http_geoip_module           enable ngx_http_geoip_module
略
  --without-http_charset_module      disable ngx_http_charset_module
  --without-http_gzip_module         disable ngx_http_gzip_module
  --without-http_ssi_module          disable ngx_http_ssi_module
  --without-http_autoindex_module    disable ngx_http_autoindex_module
  --without-http_geo_module          disable ngx_http_geo_module
略
  --add-module=PATH                  enable an external module

ここで、--with-FOO_moduleというオプションがあったら、FOOモジュールはデフォルトでは組み込まれません。組み込みたければそのオプションを指定する必要があります。逆に、--without-FOO_moduleというオプションがあったら、FOOモジュールはデフォルトで組み込まれるため、組み込みたくなければ--without-FOO_moduleを指定する必要があります。さらに、--add-moduleによりサードパーティのモジュールのパスを指定して組み込むことができます。

どのモジュールがデフォルトで組み込まれるかはnginx wiki - Modulesにモジュールの一覧があるので確認できます。

nginxの機能はモジュールをビルド時に組み込むことにより有効になるため、バイナリパッケージを利用する方でもこのようにしてモジュールが組み込まれることを知っておいてください。

ビルド済みのバイナリからもビルド時のオプションを次のようにして確認することができます。パッケージをインストールした場合には一度確認してみるとよいでしょう。

$ nginx -V
nginx version: nginx/0.8.54
built by gcc 4.4.4 20100726 (Red Hat 4.4.4-13) (GCC)
TLS SNI support enabled
configure arguments: --user=nginx --group=nginx --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/var/run/nginx.pid --lock-path=/var/lock/subsys/nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module --with-http_image_filter_module --with-http_geoip_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_degradation_module --with-http_stub_status_module --with-http_perl_module --with-mail --with-file-aio --with-mail_ssl_module --with-ipv6 以下略

nginx.org提供パッケージのモジュール

公式ダウンロードサイトではRHEL 5, RHEL 6, CentOS 5, CentOS 6, Debian GNU/Linux 6(squeeze), Ubuntu 10.04 LTS用に安定版の最新バージョンのパッケージおよびその配布リポジトリが提供されています。このパッケージでは次のモジュールが組み込まれいませんが、利用する機会が少ない機能のモジュールであるため、問題は無いでしょう。

• ngx_http_xslt_module
• ngx_http_image_filter_module
• ngx_http_geoip_module
• ngx_http_degradation_module
• ngx_http_perl_module

パッケージのバージョン

Linuxディストリビューションや*BSDでは以下のようなバージョンのnginxのパッケージが提供されています。(2012年2月9日現在)

Linuxディストリビューション

*BSD系

インストール例

ここでは、CentOS 6.2にnginx.org提供のリポジトリからnginxのパッケージをインストールする例を示してみます。

まず、公式ダウンロードサイトの"Pre-Build Linux Packages"からリポジトリ用のRPMファイルをダウンロードしてインストールします。"CentOS 6"と書いてあるリンクをクリックするとダウンロードできます。wgetで取得してインストールする例は次の通りです。

$ wget http://nginx.org/packages/centos/6/noarch/RPMS/nginx-release-centos-6-0.el6.ngx.noarch.rpm
# rpm -ivh nginx-release-centos-6-0.el6.ngx.noarch.rpm

これにより次の内容の/etc/yum.repos.d/nginx.repoというファイルがインストールされます。

# nginx.repo

[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/6/$basearch/
gpgcheck=0
enabled=1

nginxのリポジトリが登録できたので、yumコマンドでnginxをインストールします。

# yum install nginx

以上でインストールは完了です。次にnginxのサービスを起動してみましょう。なお、別のWebサーバが動いていたら先に停止しておいてください。

# service nginx start

Webブラウザでインストールしたサーバにアクセスしてください。nginx.orgのパッケージの場合には"Welcome to nginx!"という文字が表示されます。エラー以外のページが表示されたら成功です。

ドキュメントのルートディレクトリ（nginx.orgパッケージの場合は/usr/share/nginx/html。パッケージ毎に異なる）にHTMLファイルを置くことによりWebサーバとして利用できます。

次回は設定について紹介します。来週を予定しています。

ここ1,2年で注目を集めているWebサーバnginxについて今回から数回にわたってを紹介していきます。

nginxについて初めて知った、あるいは、名前は聞いたことがあるんだけど使ったことはない、といった方のために、1回目のこの記事ではnginxの概要を、2回目の記事ではインストールと設定について紹介します。

nginxはロシアのIgor Sysoev氏によって開発されているWebサーバ兼リバースプロキシのソフトウェアです。「エンジン エックス」（engine x）と呼びます。

2002年に開発が始まり、2004年に公開され、今では約10%のシェアを持つまでに成長しています。facebookやWordPress.ORGなどの大規模サイトでの導入実績もあり、導入するWebサーバの選択肢の一つとして考えられます。ちなみに、2011年7月には商用サポートやコンサルティングを行う法人Nginx, Inc.が設立されています。

シェア

英国のインターネット サービスの調査会社NETCRAFT社による「January 2012 Web Server Survey」という調査によるとnginxのシェアはトップ サーバでは9.63%であり、Apache、Microsoftに続いて3位となっています。アクティブなサイト数としてはnginxのシェアは12.18%であり、Microsoftを超えて2位となっています。2009年1月のレポートではそれぞれ1.87%、2.85%であることを踏まえると、nginxのシェアが急激に増加していることがわかります。

nginxに関する情報

日本でもこの1,2年で注目度も上がっており、nginxを利用しているサイトも増えています。しかし、ロシアで開発されているため、オリジナルの文書はロシア語であり、英語での文書もそれなりに揃ってはいますが、ロシア語のみの文書も多数あります。しかし、日本語での情報は乏しい状況です。幸いなことに、Clement Nedelcu氏の書籍『nginx HTTP Server』が日本語に翻訳され『ハイパフォーマンスHTTPサーバ nginx入門』として出版されています。この書籍は入門書としての位置づけであり、取っかかりをつかむには良い本でしょう。しかし、実運用上はウェブアプリケーションと連携して利用することがほとんどなのですが、それについて十分な記載があるとはいえません。そのため、本ブログの次回以降ではそのあたりのノウハウやモジュールの機能について紹介していきます。

nginxの特徴

次のような特徴があります。

C10K問題

nginxは「C10K問題」（クライアント1万台問題）に対応したWebサーバです。従来のWebサーバでは同時接続数が増えると、プロセス数やスレッド数が増えて、メモリを食いつぶしたり、コンテキストスイッチのオーバーヘッドが大きくなることにより本来の処理に時間が割けなくなったりします。nginxではマルチスレッドを使わずに、イベント駆動のアーキテクチャを採用することにより、このC10K問題に対応するような仕組みを設けております。このため、メモリの使用量も抑えることができ、メモリが少ないサーバでもそれなりに快適に動作します。

静的なコンテンツを提供するWebサーバ

nginxはWebサーバとして静的なコンテンツを提供します。ファイル記述子の情報をキャッシュするといった性能を上げるための様々な工夫が用意されています。

動的なコンテンツはnginx単体では提供できません。次に述べるようなWebアプリケーションサーバと連携することにより動的コンテンツを提供します。

Webアプリケーションとの連携

nginxではWebアプリケーションを（apacheのmod_phpやmod_wsgiのように）Webサーバ自体に組み込んで動作させることはできません。WebアプリケーションをFastCGIやSCGIやuWSGIに対応したアプリケーションサーバ上で動作させて、ネットワークあるいはUNIXドメインソケットを経由して利用します。PHPの場合はPHP-FPM (FastCGI Process Manager) 上でPHPのWebアプリケーションを動作させて、nginxからはPHP-FPMと通信を行って利用します。

Webアプリケーションとの連携についても性能向上のために次のような機能が用意されています。

キャッシュ。Webアプリケーションサーバから取得したコンテンツをキャッシュできます。

memcached。Webアプリケーション側でコンテンツをmemcachedにキャッシュさせることができるときには、nginxはmemcachedからコンテンツを読み出すことができます。

ロードバランサ。ロードバランサとしての機能を持っており、複数のアプリケーションサーバを利用して負荷を分散することができます。また、利用できなくなったアプリケーションサーバを自動的に外すこともできます。

リバースプロキシ

nginxはリバースプロキシの機能を提供します。

性能向上のために次のような機能も用意されています。

キャッシュ。バックエンドのWebサーバから取得したコンテンツをキャッシュできます。

ロードバランサ。ロードバランサとしての機能を持っており、複数のバックエンドのWebサーバを利用して負荷を分散することができます。また、利用できなくなったWebサーバを自動的に外すこともできます。

機能とモジュール

nginxはモジュールにより機能を拡張できる仕組みになっており、50個近くのモジュールがあります。サードパーティのモジュールもたくさんあり、Wikiサイトで紹介されているものだけでも約80個あります。

たくさんのモジュールがありますが、それらを気軽に利用できるかというとそうではありません。この記事の執筆時点（2012年1月）でのnginxのバージョン（安定版1.0.11、開発版1.1.13）では、ビルドするときにしかモジュールを組み込むことができません。あるモジュールを利用する可能性が少しでもあれば、そのモジュールをビルド時に組み込んでおかないと再びビルドし直すことになります。このため、OSのパッケージ管理システムで提供されているnginxのパッケージではほとんどのモジュールが組み込まれています。 ちなみに、Igor Sysoev氏へのインタビュー記事によると、次のメジャーリリースで起動時にモジュールをロードできるようにする計画があるとのことです。

今回はここまでです。次回はnginxのインストールと設定について説明します。

だいぶご無沙汰ですが、今回もインフラエンジニア向けにちょっとした情報を紹介します。

今回はcacti 0.8.7hでハマったので、その顛末と回避方法を書いておきます。

ハマった事象は 「データ取得は正常だけどrrdファイルが更新されない」 でした。。。

環境

• CentOS 5.6
• apache 2.2.21 (ソースインストール)
• php 5.3.8 (ソースインストール)
• MySQL 5.5.15 (本家謹製rpm)
• cacti 0.8.7h + spine

イケてるtemplateが使いたかったので、better-cacti-templates を使えるように試行錯誤したのでした。

何はなくともログです。ログ。

• cactiのweb管理画面で Settings > General > Poller Logging Level をDEVELにしてログ確認
• pollerの出力をファイルに出してチェック

すると、、、ログに下記の出力がありました。

• CACTI2RRD: rrdtool update <filename> --template 99999:99999
• ERROR: Not enough arguments

前者のほう、よくよく見るとrrdtoolのsyntaxが間違っている。よくよく見ると、本当は--templateの後は引数2つなんです。

rrdtoolのsyntax errorの結果、後者が出力されてました。 このせいでrrdファイルが更新されません。

回避策を探す

とりあえずエラーメッセージでググる。

Poller is missing template parameter according to cacti.log

すると、データ取得スクリプトの余計な空行を削除せよ、とのこと。

さっそくやってみると...効果なし。色々試しても効果なし。効果なし。なし。。

デバッグ

公式のデバッグマニュアルを見ながらデバッグ
manual:087:4help.2debugging - Cacti Docs

1. Check Cacti Log File
2. Check Basic Data Gathering
3. Check Cacti's Poller
4. Check MySQL Update
5. Check RRD File Update

今までの調査で 5. はダメなのがわかっていて、 3. はokなのがわかっているので、 4. を実施。

Check MySQL Update

mysqlの設定を変更して全クエリを出力したのでした。
設定したら、 show variables して結果の確認を忘れずに！

• set global log_slow_queries=On
• set global long_query_time=0;

この状態でpollingが走ると、mysqlに対して実行された全クエリがスローログに出力されます。かなり大量なのでびっくりしてください。

実行されたクエリが取得できたら、データソースのIDを頼りに、 poller_output テーブルにデータを投入している箇所を探します。

INSERT INTO poller_output (local_data_id, rrd_name, time, output) 
VALUES ( データ ), ( データ ), ( データ ), ( データ ), ( データ ), ( データ ), ( データ ) 
ON DUPLICATE KEY UPDATE output=VALUES(output);

このクエリを手動でも実行してみて、データが正常に投入できているかどうか、取得できるかを確認します。

...今回はここは正常でした。明らかにオカシイ。まぁもともとオカシイから調べてるんですが。。。

ソース読み

公式マニュアルのお陰でMySQLが原因ではないことがわかったので、ハラを決めてソースを読みます。

今回はログに CACTI2RRD: rrdtool update 〜 と記載があり、ここがおかしいことはわかっていたので、この CACTI2RRD ととっかかりに調査します。

# find /var/www/cacti/ -type f -name "*.php"|xargs grep -nHi "CACTI2RRD"
/var/www/cacti/lib/rrd.php:80:          cacti_log("CACTI2RRD: " . read_config_option("path_rrdtool") . " $command_line", $log_to_stdout, $logopt);
/var/www/cacti/lib/rrd.php:399:                         cacti_log("CACTI2RRD: " . read_config_option("path_rrdtool") . " tune $data_source_path $rrd_tune");

2箇所しかない！ということで、rrd.phpを見てみます。

• rrdtool_execute 関数の中で呼ばれているのがクサい
• → rrdtool_execute と update の組み合わせで呼ばれている行を探す
• → rrdtool_function_update がクサい
• → 呼んでいる箇所を探す。同じファイルにはないのでfindとxargsを組み合わせて探す
• → /var/www/cacti/lib/poller.php でしか呼んでない
• → /var/www/cacti/lib/poller.php を該当箇所からさかのぼって読む。読む。
• → 実行されているはずのSQLが実行されていない！
• → 分岐がおかしい！
• → is_hexadecimal関数の結果がおかしい！
• → 定義されている箇所が見当たらないのでfindとxargsを組み合わせて探す
• → lib/functions.phpにあった！

と、いうわけで、 lib/functions.php の is_hexadecimal 関数を修正して対応完了。

コーディングミスで複数値対応ができなくなっていたようです。
(推測ですがipv6対応したかったもよう)

SVNみてみる

最新版(0.8.7のHEAD)では直ってる...

rev 6251→6252(2011/1/29)でエンバグして、rev 6850→6851(2011/10/9)に改修されてました。

まとめ

オープンソースでよかった。

今回もインフラエンジニア向けにちょっとした情報を紹介します。

インフラエンジニアをしていると、なんだかんだとメールを解析して処理をしたいシーンって多いですよね。
でも日本語のメールって色々大変ですよね。

特に大変なのがヘッダ部分。
ヘッダ部分はエンコードされていたり、長いと複数行にまたがったり、複数行の場合はデコードして結合してから処理したり・・・

今回はそんなあなた(=私)向けに、日本語メールのメールヘッダをうまく取り扱う方法を紹介します。

第一引数にメールファイルのパスを指定すると、 From, To, Subjectを取得して表示します。

例: python mail_header_decoder.py hoge.eml

#!/usr/bin/env python
#coding: utf-8

from email.Header import decode_header
from email.Parser import Parser
from sys          import argv,stdout
import re

NEWLINE=re.compile(r'(\r|\n|\r\n)$')
DEFAULT_ENCODING='iso-2022-jp'

def decode_header_multiline(message=None,name='',encoding=None):
    str_encoded=''
    for str_line in NEWLINE.split(message.get(name)):
        decoded_headers=decode_header(str_line)
        for parts in decoded_headers:
            str_encoded = str_encoded + parts[0]
            if encoding == None and  not parts[1] == None:
                encoding=parts[1]
    encoding=DEFAULT_ENCODING if encoding == None else encoding
    return str_encoded.decode(encoding)

def main():
    msg=Parser().parse(open(argv[1]))
    header_from   =decode_header_multiline(msg,'From')
    header_to     =decode_header_multiline(msg,'To')
    header_subject=decode_header_multiline(msg,'Subject')
    result="From: %s, To: %s, Subject: %s"%(
        header_from,
        header_to,
        header_subject,
        )
    stdout.write(result.encode('utf-8'))
    stdout.write('\n')

if __name__ == '__main__':
    main()

※Python 2.6.1で動作確認しています。
　デコード周りが若干怪しいような気がしないでもないですが、 　動作確認する限りはこれでうまく動いています。

今回もインフラエンジニア向けにちょっとした情報を紹介します。

今回は、先日参加した レッドハットフォーラム 2010 で紹介されていた cgroups について紹介します。

※注：ざっくりとした理解で書いているので、誤りがあれば指摘してもらえると嬉しいです！

ここが理解が違う、こんな使い方もあるよ！などの情報は、twitterで @heartbeatsjp @hbstudy @toshiak_netmark あたりに教えてもらえると嬉しいです。

cgroupsは Control Groupsの略で、 Linux kernelに組み込まれているリソース割り当て管理機能です。

「期待の新機能」とかタイトルつけましたが、 マージされたのは2.6.2xの頃のようなのでかなり時間は経っていますね。
RHEL的に新機能なので、ご愛嬌ということで。

プロセス(プロセスグループ)ごとに、下記のリソースの割り当てを変更できます。

• CPU
• メモリ
• ディスクI/O
• ネットワークI/O

ざっくりとした使い方

Linuxなので、ファイルベースで管理します。

1. cgroupファイルシステムをマウントして
2. cgroupを作成して
3. CPU、メモリなどのリソース割り当てを定義して
4. PIDをcgroupに登録する

といった感じです。

詳しくは 公式ドキュメントの1.5 How do I use cgroups ? を見てください。

使い方は 2. Usage Examples and Syntax にとても丁寧に書いてあります。

使いどころ

レッドハットフォーラム 2010の会場でも宣伝していましたが、 KVMを利用した仮想化基盤でのリソース割り当て管理に最適です。

いままで難しかった「VMごとのディスク・ネットワークI/O制御」がついに実現します！

スゴいでしょう？スゴいですよね？スゴいんですよ。

詳しい情報

公式ドキュメントを読みましょう ;)

http://www.kernel.org/doc/Documentation/cgroups/cgroups.txt

最新のLinux kernelにはマージされていますが、 RHEL/CentOS 5.xでは利用できないようです。

RHEL6では利用できるそうなので、これからが楽しみですね。

今回もインフラエンジニア向けにちょっとした情報を紹介します。

今回は一部で話題になっていた「Proxy越しのDigest認証」について、 ちょっとしたコツがあるのでノウハウを公開します。

• Digest認証は、認証情報の中にURIを保持しています
• Digest認証では、 mod_auth で 「リクエストされたURI」 と 「認証情報の中のURI」 の整合を確認しています

と、いうことです。

なので、backendサーバで mod_auth が認証処理をする時に、 「リクエストされたURI」 と 「認証情報の中のURI」 が一致している必要があります。

大抵の場合、次の図の構成になっていると思いますが、

これを、次の図のように変えることで両立させることができるようになります。

ポイントは、RewriteするときにPT(PassThrough)を指定することです。
このフラグ指定により、 mod_proxy 通過後に mod_auth に渡されるリクエストURIが、 元(=backendが受け取ったそのもの)のままになります。

　RewriteRule ^/proxied/(.*)$ /origin/$1 [PT]

別解として、proxyで認証情報をいじる方法(できればそのほうが設定が楽)もありそうですが、 まずは1つの方法として公開しておきます。