heroku にデプロイした環境をLet’s EncryptでSSL化して、自動更新までしたいの

Overview

herokuにデプロイしたサービスをSSL化するのに、Let’s Encryptを使いたいけど
なかなか面倒に感じてしまうところがあると思います。
そこで、herokuにデプロイするアプリにはLet’s Encryptのチャレンジレスポンス用のエンドポイントだけを作り
そのエンドポイントに環境変数でキーを渡すようにすれば、ある程度外部から自動化出来るのではないかと思い試してみました。
環境はRuby on Railsです。

今回使うツール

今回試してみた事

RailsのプロジェクトにLet’s Encryptのチャレンジレスポンス用のエンドポイントを作成

routes.rb に以下の行を追加します。
#config/routes.rb
controllerを作成します。
#app/controller/letsencrypt_controller.rb
これで、アプリ側の対応は終わりました。
マージしてデプロイしておきます。

certbotのインストール

certbotのインストールをします。
基本的には https://certbot.eff.org/ に従ってインストールすると入ります。

certbot-herokuのインストール

certbot-herokuは、heroku用に作られたcertbotのプラグインになります。
こちらも、基本的には https://github.com/gboudreau/certbot-heroku の内容に従ってインストールします。
インストールが終わったらプラグインが入ったかを確認します。

herokuコマンドのインストール

こちらも基本的に https://devcenter.heroku.com/articles/heroku-cli の内容に従ってインストールします。
入ったら、一応herokuコマンドで環境変数が操作出来ることを確認して置きます。

環境変数の一覧が表示されれば問題ないです。

ログインを催促されたりしたら、herokuのアカウントでログインしておいてください。

certbotコマンド実行


このコマンドで実行されること

  • ドメインの認証開始
  • ワンタイムトークン取得
  • herokuの環境変数[LETS_ENCRYPT_CHALLENGE]にワンタイムトークンを設定
  • ワンタイムトークン認証
  • 証明書の発行
  • heroku certsで証明書の設定

heroku上でドメインの設定

herokuのDomain Nameのリストに今回のドメインを追加してします。

確認


こんな感じに設定されていれば、OKです。

DNS設定

DNSにCNAMEで今回のドメインを設定します。
どのエンドポイントを設定するかというのは
以下のコマンドで確認します。

ここの、EndpointというところをDNSに設定します。

ここまで作業したところで、実際にSSL化した状態で参照出来るかを確認します。

SSLの自動更新について

Let’s Encryptは、有効期限が短く、3ヶ月で切れてしまうため、更新作業を自動化しておくことが重要となります。

とはいえ、ここまでの作業を全て自動化する必要はなく、更新だけされれば良いので、certbotをcronなどで叩ける環境が構築出来れば問題ないです。

ということで、cronで実行するコマンドですが

を実行すれば良いです。

自動的にheroku certs:updateをしてくれます。

まとめ

今回はheroku上では完結しないやり方となりましたが

heroku上のアプリのSSLを自動更新させる方法としては

ありなのではないかと思います。

自宅などに、更新用のVMをどこかに立ち上げて、cronを仕込んでおくだけで

あとはheroku上のSSLが更新されるとか

素直に、年間10000円くらいのSSL買ってしまう方が管理の手間は省けるのかもしれないですが、それでも更新の手間はあったりするので、個人の環境はしばらくはこのやり方で対応しようかと思っています。

これで解決!Docker for macのディスク容量を小さくしよう(ベータ)

先日、Docker for macでDocker.qcow2というファイルが肥大化する件というのを書かせていただきましたが、こちらの件、Docker for macの最新版ベータにて、ある程度自動で解消されるような処理がマージされたようです。

New Data Management commands #26108
https://github.com/docker/docker/pull/26108

Docker for mac のベータチャンネルにも降ってきましたので、試してみました。

今回ベータチャンネルで降ってきた内容は多いのですが、その中でReclaim disk size on rebootというのが今回の対応になってそうです。

DataManagement commands周りの主な対応内容としては、VM内のdfを表示するコマンド(docker system df)と、お掃除用のコマンド(docker system prune)が出来たといった感じでしょうか。

というコマンドで、今現在のVM内のディスク使用状況が以下のように表示出来ます。

RECLAIMABLEという列が、再利用可能な容量、といったところでしょうか。

早速、実際にpruneしてみます。

このような確認事項が表示されて

[y]を選択すると処理が始まります。

という感じにログが表示され、4.931 GB空いたようです。

prune後にDockerを再起動

メニューからrestartを選択すると再起動します。

起動したら、先ほどのdfを確認してみます。

docker system df

再利用化出来たようです。

実際のVMのサイズの変化は

prune実行前は

という巨大なVMになってしまっています。

prune実行後は

約2GBほど縮小されたようです。

これが正式版に入れば、VMのコンソールに入ったり

ディスクの変換をかけたりする必要がなくなり、dockerのコマンドで解消出来るので良さそうです。


追記

後日、何度かDocker for macを再起動してたら、さらにサイズが小さくなってました。

断片的に縮小していく感じなのかもしれません。

Reclaim disk size on rebootという位なので、もしかしたらDocker for macの再起動のたびに不要な領域が解放されていく、という事なのかもしれません。

そろそろ、自分のdocker-compose.yml周りを公開

docker便利ですね。

最近そんなことばかりしか言ってない気がします。

自分がdockerを使い始めた頃は、dockerってなんなのかわからない人が多く

話すと便利そうだけどプロダクションで使う想像がつかないとか

環境がめんど臭いとか

色々言われていました。

今現在は、開発環境として使うのであれば

docker for macというのがあって、これ入れるだけでかなり簡単にdockerが試せるようになりました。

環境を作るのが簡単になったのであれば、使えるdockerfileとかdocker-compose.ymlとかも

そろそろテンプレ的な何かがあった方が良いかな、と思い

今自分の手元でよく使っている構成でdocker-compose.ymlを公開してみます。

まずは、作りたい環境ですが

サーバサイドとしてRuby on Railsを使うことが多いので、Ruby on Railsを立ち上げる

という前提で行きます。

必要なコンテナとしては

  • Ruby on Railsが動くコンテナ

このコンテナの中には

/productsというディレクトリを作って、この中にRuby on Railsのプロジェクトを置くようにします。

  • mysqlが動くコンテナ

この二つが最低限なので、この構成を作って行きます。

まずは手元にRuby on Railsのプロジェクトを適当に作ります。

docker-compose-templateの中に入ってDockerfileを作成します。

主な構成ですが、プロジェクトのファイル以外に以下のようなファイルが追加になります。

それぞれのファイルについて中身とその解説をして行きます。

#Dockerfile

FROMのベースになるイメージは、officialのrubyにRuby on Railsで良く使うパッケージを追加したものを使用しています。

あと、特徴は

entrypoint.shという物を作成しており、ここで毎回コンテナ起動するたびに実行したい処理などを入れておきます。

#entrypoint.sh

bundle、db:migrate、pidファイル削除などを毎回起動時に行う

#Dockerfiles/mysql/conf.d/default.cnf

mysqlのコンテナで、新らし目のコンテナだとsocketの置き場所が変わったりしているので

後ほどdocker-compose.ymlでmysqlのバージョン指定はしますが、今回はdockerのofficialのmysql:5.5.54を前提に書きます。

#Dockerfiles/mysql/docker-entrypoint-initdb.d/init-user-db.sh

mysqlインスタンスの初回起動時に実行されるスクリプトになります。

これはofficialのmysqlで、コンテナ内の

/docker-entrypoint-initdb.d

というディレクトリに置かれたシェルはインスタンスの作成時に実行される

という仕組みがあるので、そこにファイルを置くように設定します。

(あとでdocker-compose.ymlでファイルを指定します)

最後、docker-compose.yml

#docker-compose.yml

ここまでで、docker-compose.ymlでRuby on Railsを起動するために必要なものは完成しました。

プロジェクトを起動するには

とやると、mysqlを起動して

init-user-db.shによってデータベースが作成され

その後にmainコンテナが起動して

entrypoint.shで初期化されて

プロジェクトが起動します。

init-user-db.sh

は、色々とカスタマイズすることで、すでにマイグレーションされたmysqlのダンプを置いて

それを初期データとして投入したり出来ます。

そうすると、

とするだけで、データベースの初期化が完了します。

また、entrypoint.shで細工しているので

の時はdocker-compose.ymlに指定したcommandが実行されてプロジェクトが起動します。

railsコマンドを叩きたい時は

とやると、コマンドが実行出来るようになっています。

なるべくシンプル構成でなるべく便利に使う想定で、今回このテンプレートっぽいファイルを作ってみました。

参考にしていただけたら幸いです。

一応githubリポジトリ

https://github.com/gendosu/docker-compose-template