HomeServer26 の履歴(No.8) - PukiWiki

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ ]

前段
- 方針、戦略（と、途中での紆余曲折）
- 新戦略
AWS 側の設定
サーバー設定

前段†

方針、戦略（と、途中での紆余曲折）†

そもそも AWS のリザーブドインスタンス（３年契約）の有効期限なので更新を計画
- なので Ubuntu 16.04（現状）→ 18.04 への更新、EBS サイズ（現状 128G) の縮小などは今回は実施しない当初方針
EC2 の仕様を比較すると、３年前の t2.small は現在の t2.micro と性能的に同じだった
新規に３年前払いで t2.micro インスタンスを購入し、既存サーバーの置き換え作業を開始
ところがリザーブドインスタンスというのはインスタンスの使用権であってインスタンス自体とは別である事が判明
実行中のインスタンスと同じリザーブドインスタンスがある場合費用がそちらに振り返られる仕組み
- なのでリザーブドインスタンスを購入しても、起動可能なインスタンスのリストには出てこない
- リザーブドインスタンスには有効期限があり該当インスタンスを実行していなくても権利は時間と共に減っていく仕組み
- なのでリザーブドインスタンスと同じタイプ（グレード）のインスタンスを実行しないと全くの無駄になる
- 未使用のリザーブドインスタンスを売ることができるが、米国内銀行に口座を持っていないと返金を受け取れない

今回先走って追加購入（次項）したインスタンスには既存サーバーを移行する事は出来ないと判明（トライした経緯は下記）
現状環境の継続利用には、t2.small リザーブドインスタンスを別に購入する必要がある････が、流石にそれは馬鹿だろう

新戦略†

まず、急ぐ必要はない（リザーブドインスタンスが切れても、インスタンスは止まらない）が

t2.micro のリザーブドインスタンスの購入（済）
t2.micrro インスタンス（本番サーバー置き換え用）を作成
メールサーバー環境の構築（仮 IP、仮証明書）
旧サーバーインスタンスを停止
データ移行用インスタンスを起動
EBS新旧を移行用サーバーにマウントしメールサーバーのデータをオフライン移行
ELASTIC IP 付け替え、証明書移行 to 新サーバーインスタンス
新サーバー稼働、テスト
移行用サーバーインスタンスの停止
経過観察後、問題なければ旧サーバーインスタンスの停止

AWS 側の設定†

リザーブドインスタンスのダウングレード購入†

リザーブドインスタンス ID = 1f08ed93-6d03-45c0-8408-130000a5135a

t2.micro (前回は t2.small だったが、性能的には同等なので実質値下げ)
- t2.micro (@2020) = 1コア vCPU (最大 3.3 GHz)、1 GiB メモリ RAM、ストレージは EBS のみ
- t2.small (@2017) = 1コア vCPU (最大 3.3 GHz)、1 GiB メモリ RAM、128GB ストレージ
36ヶ月、全額前払い、スタンダード（コンバーティブルでない）で購入
$172 (前回は $395 だった)

t2.micro インスタンスの新規作成†

IAM に Ubuntu 18.04 を選択［成果１］
EBS（SSD) のサイズは 30GB とした［成果２］
セキュリティグループは現状環境（←メールサーバー用に設定）を継承　［効率化１］
キーペアは現状のメールサーバーインスタンスと共通［効率化２］
~~Elastic IP (=公開されている mail.hmuna.com のアドレス）は移行完了するまで前サーバーに割当~~

&color(red){当面のセットアップ用に Elastic IP = 54.168.145.135 を静的に割当し mail2.hmuna.com として DNS 公開した}

インスタンス ID = i-062fad024bc6dd76b
パブリック DNS (IPv4) = ec2-18-183-149-234.ap-northeast-1.compute.amazonaws.com
IPv4 パブリック IP = 18.183.149.234
インスタンスタイプ = t2.micro
Elastic IP = 54.168.145.135*
プライベート DNS = ip-172-31-31-75.ap-northeast-1.compute.internal
アベイラビリティーゾーン = ap-northeast-1a
プライベート IP = 172.31.20.94
セキュリティグループ = magus-messenger-security
-
VPC ID = vpc-ddcb93b9
AMI ID = ubuntu/images/hvm-ssd/ubuntu-bionic-18.04-amd64-server-20200903 (ami-08046c40513c3265e)
プラットフォーム = Ubuntu
サブネット ID = subnet-a7d324ee
IAM ロール = (未定義)
キーペア名 = magu-tokyo-messenger

インスタンスへの接続(暫定 Elastic IP ベース)†

Linux

ssh -i "~/.ssh/magu-tokyo-messenger.pem" ubuntu@54.168.145.135

サーバー設定†

メールサーバー環境（virtual mailbox 対応）の構築†

これまでを継承し [ExRatione]A Mailserver on Ubuntu 18.04: Postfix, Dovecot, MySQL をフォロー････　[Ratione1804.pdf]

20.04 版

Postfix: sends and receives mail via the SMTP protocol.
Dovecot: a POP/IMAP server. It also handles user authentication.
Postgrey: greylists incoming mail ← これは使わない（遅延が問題になる）
amavisd-new: a manager for organizing various antivirus and spam checking content filters.
Clam AntiVirus: a virus detection suite.
SpamAssassin: for sniffing out spam in emails.
Postfix Admin: a web front end for administering mail users and domains.
Roundcube: a webmail interface for users.

mysql
- root pass = mysql_admin
- mail pass = mail_password

Postfix Admin †

pass = h77mailpass
- config.local.php の編集でハマった。ファイルの場所は /var/www/html に予めある。/var/www/html/postfixadmin に作ってはダメ。
管理者
- ID = admin@hmuna.com
- pass = frex7785

DomainKeys Identified Mail (DKIM) 設定

opendkim-genkey の設定でハマった。 Web 記事に typo あり
- (誤) op/endkim-genkey -t -s dkim -d example.com
- (正) opendkim-genkey -t -s dkim -d example.com
dkim.private = dkim.private

dkim.txt =

dkim._domainkey	IN	TXT	( "v=DKIM1; h=sha256; k=rsa; t=y; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4hPQTnmZRZ4jbwmNYdr79JCcZ9c8nzssQgehALqCRuanFoUdjfSdw93XkhmfWBUVku3xYeFyKiB5sfkRhyXXpPNq1I/OUZLoJingt2vnFZK5Di9SV2m9oG7Fp9m1pQ09zRDVv0UcjlKzJhDNuKhtid+NM59M0eDvfLh2WDgrojkJXnp3jGKDqUDdh7LbwMOoaczTORxUr4Ycmv"  "ibV25cpgspYF29oL8HtqA7zeu3zPxan6AoyjqQCer68vBlocsSESeqrzki9Islc5XrFwaaCKRkWNSCRSRI1FFMTwEHg/1u20nimC4acHlGY8q5wRCx7qgm4g8xBGqpK7kCMs/shwIDAQAB" )  ; ----- DKIM key dkim for hmuna.com

後で DNS に登録する dkim.txt レコード (改行なし、但し登録時の文字数制限があり、途中で "" で分割している、途中にスペースは入れない)

localに（= 仮設の mail2.hmuna.com サーバー内で）メール転送を行ったところ clamAV に接続出来ないというエラー

Sep 18 07:55:42 ip-172-31-22-209 amavis[1625]: (01625-01) (!)connect to /var/run/clamav/clamd.ctl failed, attempt #1: Can't connect to a UNIX socket /var/run/clamav/clamd.ctl: No such file or directory
Sep 18 07:55:42 ip-172-31-22-209 amavis[1625]: (01625-01) (!)ClamAV-clamd: All attempts (1) failed connecting to /var/run/clamav/clamd.ctl, retrying (2)
Sep 18 07:55:48 ip-172-31-22-209 amavis[1625]: (01625-01) (!)connect to /var/run/clamav/clamd.ctl failed, attempt #1: Can't connect to a UNIX socket /var/run/clamav/clamd.ctl: No such file or directory
Sep 18 07:55:48 ip-172-31-22-209 amavis[1625]: (01625-01) (!)ClamAV-clamd av-scanner FAILED: run_av error: Too many retries to talk to /var/run/clamav/clamd.ctl (All attempts (1) failed connecting to /var/run/clamav/clamd.ctl) at (eval 113) line 659.\n
Sep 18 07:55:48 ip-172-31-22-209 amavis[1625]: (01625-01) (!)WARN: all primary virus scanners failed, considering backups
Sep 18 07:56:13 ip-172-31-22-209 amavis[1625]: (01625-01) (!)ClamAV-clamscan av-scanner FAILED: /usr/bin/clamscan KILLED, signal 9 (0009) at (eval 113) line 950.
Sep 18 07:56:13 ip-172-31-22-209 amavis[1625]: (01625-01) (!!)AV: ALL VIRUS SCANNERS FAILED

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=829597
[原因判明] t2.micro の1GBメモリーでは足りず oom が発生し clamav が kill されていたのが原因。 t2.small に変更し解決
[残念！]なので、結局先走って３年分のリザーブドインスタンスを購入してしまった t2.micro は（とりあえず）無駄となり、別途 t2.small を別途購入

clamav がメモリーを喰い潰す問題（は、程度の差こそあれ t2.small でも発生）†

一日に一回程度メモリー枯渇でシステムが死にそうになっている事が判明 → 重大欠点なので対策要

メール振り分け処理 (procmail → dovecot-sieve に実装を変更)†