cles::blog

せっかく HTTP/3 に対応したサーバを立てたので、僕が普段使っているFirefox の HTTP/3 を有効にしてみました。

以下の説明だと nightly でないとできない感じですが、現行の Firefox 86 でも about:config の network.http.http3.enabled を true にすることで有効化することができました。

How to test HTTP/3 and QUIC with Firefox Nightly

Then open Firefox and enable HTTP/3 by visiting "about:config" and setting "network.http.http3.enabled" to true.

このところ家に閉じこもってずっと作業しっぱなしだったので、赤羽台にある北区立梅公園に出かけてみました。

ここは1本の梅の木に赤と白の花が混ざって咲く「思いのまま」が多く植えられているので、年やタイミングによっていろいろと楽しめそうです。

リバースプロキシはこれまで Apache HTTPd で構築していましたが、今回の Docker 化を機に Nginx に移行することにしました。

TLS 化のための証明書は Let's Encrypt を使い、折角なので HTTP/3 にも対応させてみることにします。具体的には以下の２つのイメージを組み合わせています。

• dasskelett/nginx-quic（DasSkelett / nginx-quic-docker · GitLab）
• vdhpieter/letsencrypt-webroot（vdhpieter/docker-letsencrypt-webroot: Letsencrypt cert auto renewal for nginx base image）

ファイルを配置したら、コンテナを起動する前にファイル中にあるfoo.example.com は、全てサーバの FQDN に合わせて書き換えてください。リバースプロキシについては先日立てた Gitbuket に接続する例を書いてみましたが、この部分についても必要なサービス宛に書き換える必要があります。

また、初回起動時には TLS の証明書がないので TLS の設定が入った Nginx の設定ファイル（nginx.conf）だと Nginx が起動しません。このため、初回起動時だけ TLS の設定が入っていない設定ファイル（nginx.conf.wossl）で一度コンテナを起動し、TLS 証明書を取得してから TLS を有効化するという手順が必要になります。

いつも通りコンテナの起動は以下のコマンドです。

Nginx の設定が初めてなので、ちょっと設定の追い込みはまだ甘いと思います。。。。。。

† Let's Encrypt のレートリミットに注意

追加の注意事項として、Let's Encrypt には一定時間内に取得できる証明書の数にレートリミットがあります^*1。これを認識せずに、設定に不備があるままの状態で不用意にコンテナの up / down を繰り返すと証明書が取得できなくなることがあります。

このような事態を避けるため、レート制限が緩いテスト環境（STAGING=1）で TLS 対応の Nginx が起動するまで設定を調整し、最後に STAGING=0 にして正規の証明書を取得するようにした方が良いです。

† ファイル構成

• ^*1: レート制限 - Let's Encrypt - フリーな SSL/TLS 証明書

今度は Redmine + MariaDB を Docker 化していきます。

Redmine も MariaDB もどちらも公式のイメージを使います。

• redmine
• mariadb

今回の Redmine は要件として

• バージョンは 3.x 系統であること
• パスは /redmine で参照できること

というのがあるので、この部分についてはカスタマイズを行っています。

ファイルを配置したら以下のコマンドで起動できます。

起動ができたら http://hostname:3000/redmine/ でアクセスができるはずです。

† マイグレーション

既存の環境からの DB のマイグレーションについては、docker-compose exec redmine-db bashで MariaDB のコンテナに入り、MariaDB にデータをインポートすれば良いと思います。ファイルについては ./data ディレクトリ以下に必要なファイルをコピーすれば OK です。

† ファイル構成

次は Subversion のサーバを Docker 化していきます。
最近は新しく svn でリポジトリを作ることはありませんが、過去の遺産があるのでまだ捨てられないんですよね。

サーバはこれまでは mod_dav_svn を使って構築していましたが、今回は Subversion Edge というパッケージの公式イメージを使ってしまうことにします。

• svnedge/app

ファイルを配置したら以下のコマンドでサーバを起動できます。

正常に起動していれば以下の URL にアクセスできるはずです。

• http://hostname:18080/svn → リポジトリ
• http://hostname:18080/viewvc → SvnEdge ビュアー
• http://hostname:3343/ → SvnEdge 管理画面

† ファイル構成

買い切り版の MS Office については、昨年の秋頃に登場することが明らかにされていましたが、予定通り今年の後半に値段据え置きで発売されることが分かりました。MS 的にはサブスクリプションに切り替えたいんでしょうが、発売当初に購入すれば買い切り版の方が TCO が安くなるのが一番の問題なんですよね。

Microsoft、買い切り版「Office 2021」を2021年後半に発売。価格は据え置き - PC Watch

「Office 2021」はOffice 2019の後継にあたる買い切り型の製品となる。新機能など製品の詳細については発売日が近づいたら発表するとしているが、価格の変更はなく、サポート期間は5年間となる予定。

内部用の DNS サーバはこれまで bind で構築していましたが、 dnsmasq で作ってみました。
dnsmasq は AXFR が使えないので、master と slave 間は git 等や rsync を使って同期する必要があります。

ベースのイメージは以下のものを使ってみました。

• strm/dnsmasq
• opsxcq/docker-dnsmasq

ファイルを配置したら以下のコマンドで起動できるはずです。

ns1, ns2 と2台のサーバを立てる前提ですが、必要がない場合は削除してください。

† ファイル構成

Gitbuket は先日 H2 DB が壊れたのに懲りたので、Docker 化と共にデータベースは MySQL に移行することにしました。

最近は MySQL ではなく MariaDB を使うところなのですが、マイグレーションの関係でcollation としてutf8mb4_ja_0900_as_cs^*1を使いたかったので、あえて MySQL を指定しています。

利用したのは gitbucket も MySQL も公式のイメージです。

• gitbucket/gitbucket
• mysql

ファイルを配置したら以下のコマンドで起動できるはずです。

起動ができたら　http://hostname:8080/gitbucket/ でアクセスができるはずです。
今回は--prefix=/gitbucketを指定しているので、このような URL になります。

† マイグレーション

既存の環境からの DB のマイグレーションについては、以下のエントリに従えば良いと思います。

• GitBucketをPostgreSQLやMySQLで動かす - たけぞう瀕死ブログ

画面からのアップロードはうまくいかないようなので、docker-compose exec gitbucket-db bash でコンテナに入り、MySQL にデータをインポートすれば良いと思います。また、ファイルのマイグレーションについては~/.gitbucketの内容を./data/gitbucket以下にコピーすれば移行することができます。

† ファイル構成

• ^*1: MySQL8.0: 日本語のutf8bm4のCollation(文字照合順) | MySQL Server Blog

サポートが終了した CentOS 5/6 の VM がいくつか手元に残っていたので、docker を使って順次再構築することにしました。
しばらくこの手のエントリが続いていきますが、ご容赦ください。

というわけで、まずは簡単な NTP サーバから。

これまでは標準的な ntpd を使っていましたが、最近は chrony を使うことが多いようなので、乗り換えてしまうことにしました。それほどカスタマイズが必要なサービスではないので、既存のイメージを利用させてもらうことにします。

• cturra/ntp
• cturra/docker-ntp: 🕒 Chrony NTP Server running in a Docker container (without the priviledged flag)

† セットアップ手順

インストールとしてはこんな感じでしょうか。
NTP サーバは NICT のものと、インターネットマルチフィードのもの、Google のものを指定しています。

こんな感じで接続が確認できれば正常稼働しています。

最近はマイニング需要が旺盛なのか、ハイエンドのグラボはどれも品薄で困ってしまいますが、これに対して nVidia が RTX 3060 のマイニングの効率をドライバで半分に制限することによって、マイニング以外の用途の人の入手が容易になるようすると発表していました。

ソフトウェア的にわざとハードウェアの性能を制限するというやり方は、コピー機やプリンタでは良く行われていることですが、グラボで行われるというのは初めてのような気がします。基本的には悪手のような感じがしますが、すぐに対策パッチが出回ったりとかしないですかね。

GeForce Is Made for Gaming, CMP Is Made to Mine | The Official NVIDIA Blog

RTX 3060 software drivers are designed to detect specific attributes of the Ethereum cryptocurrency mining algorithm, and limit the hash rate, or cryptocurrency mining efficiency, by around 50 percent.