当方はgitの扱いに関してはまだまだど素人でして、至らない部分はあるのですが、それでも「コードを公開する」という点で興味をお持ちの方が少なからずいらっしゃると思いますし、他のご意見も聞きたかったりするので、今回「Ktai Library」周りで整備をした、ソースコードの公開方法について晒してみようと思います。

「Ktai Library」は少々特殊かもしれませんが「主にCakePHP内で利用されているライブラリ」ではありますが一応PHP全般で利用が可能な携帯サイト向けライブラリです。また、それぞれのCakePHP環境に「上書きコピー」で適用していただく方が利便性が高いと思い、CakePHPに実装した形ではなく、必要なファイルのみをアーカイブにまとめて公開していました。
ところが、当方では基本的にCakePHP内に実装した形で開発を行い、そこから必要なものを抜き出して公開イメージを作っていました。この作業が非常に面倒で、そのうちバージョン管理ミス等も起きるだろうと考え、なんとかしたい要因の一つとして前々から方法を模索していました。

それとは別に、Ktai Libraryの開発そのものもオープン化したいと考えていましたので、「ktai-dev」というプロジェクトも公開し、その複製物からKtai Libraryを生成するような仕組みが必要になってきました。共にgithabにて公開するつもりでしたので、つまりgitでバージョン管理されたものについて、いくつかの操作を行って連携していく必要があります。

そんなわけで、どうしようかとずっと悩んでいた開発環境とリポジトリ周りの構築についてようやく実用的なものが出来たので、「ktai-dev」のリリースと共に運用を始めた次第です。
まずは簡単に図にしたものをご覧ください。

ご覧の通り、gitリポジトリがた～くさんあるのですが、分散管理できるgitならではという感じかもしれません(笑)。

まず一番左はローカル環境です。自宅のデスクトップと持ち運びようのノートPCに、それぞれVMWareServerを稼働させ、VMでFedora11を動かしています。それぞれでgit によるktai-devの作業ディレクトリがあり、その右側にある非公開サーバ内にあるktai-devリポジトリに対してのみコミットしています。
ここについては、最初は非公開サーバにリポジトリを置かずにUSBメモリで作業ディレクトリを共有していたこともあるのですが、何か事故があってはいけないと思いやめてそれぞれでcloneするようにしました。また他の作業者が増えた場合にも対応に困る場合もあるので。
欠点もあり、「作業途中で続きをデスクトップとノートで行き来できない」点でUSBメモリ方式と比べて使い勝手が悪い点があります。当方は「電車開発」を常時行っていて、作業が未完のまま帰宅するのが当たり前なので。途中のままコミットするのが気持ち悪いので、仕方がないのでノートで作業を完結するようにしています(笑)。

次に非公開サーバなのですが、これは外にある専用サーバです。sshにてやりとりしています。例えば

git clone ssh://user@mydomain.com/home/user/git/ktai-dev

のように取得しておけば、次からここに対して更新を行えます。
git操作時(push/pull等)では、sshのパスワードを聞かれます。ここが面倒ですが、共有リポジトリを作るにはとても面倒な設定作業が必要になるのでとりあえずそのままです。

ここで注意するのは、サーバ内でリポジトリを作成する際、git initで「–bare」を付けないことです。何故かというと、ここに集められたコードを「KtaiLibrary」リポジトリに反映させる必要があるからです。このために、仮の作業ディレクトリを展開して実ファイルを取り出すことを行っています。
そして、必要なファイルを抜き出してKtaiLibraryリポジトリに反映させるための「デプロイツール」があります。これは単純なrmやらcpが列挙されているコマンドスクリプトです。これを叩いてファイルをKtaiLibrary作業ディレクトリに反映させます。その内容でgit commitを行い、その右のgithubリポジトリにpushします。また、ktai-devはそれで別途pushします。

ここの部分についてはもう一つポイントがあります。それは「ktai-devの作業ディレクトリを定期的に最新のものにする」必要があるのですが、自分のmasterに対してコミットが進んできたものに対して、自分に対して普通にgit checkout masterをすると、作業ファイル内に更新されたファイルがあると見なされてcheckoutがされないのです。ここで相当はまりました。結論から言いますと

git checkout -f master

で、作業ディレクトリの内容を問わずに最新のファイルが展開されます。ググってもなかなかこの情報が出てきませんでしたので、気づくのが遅すぎました(^^;。

そしてgithubですが…github内は特に何も行ってなくて、純粋な公開窓口です。多くを語ることもないでしょう。

リポジトリ公開はここまでですが、それとは別にBTSをRedmineにて行っていて、その中でgitリポジトリ(のリスト)を公開しています。これをやるためにはRedmine内にcloneをfetchする必要があり、さらにリポジトリを作っています。そして、cronでリポジトリを定期的にfetchしています(ちなみに、現在fetchを行っているのはKtaiLibraryリポジトリの方であり、図とはちょっと違います。kta-devに対して行うように修正予定です)。

現在非公開サーバ側からgithubにpushする行程は全て手動で行っています。ktai-devのpushについては当面ため込んでから行いたいというのもあるので非公開サーバ側でコマンドを叩く方式でいいのですが、KtaiLibraryに対しては、前述のktai-devに対してのcheckoutや、githubへのpushもデプロイツールに入れてしまおうと考えています。
また、Redmine側のリポジトリもある意味無駄なので、なんとか出来ないかなと思っています。github側にフックできる仕組みがあるみたいなのでそれを活用するか、そもそもgithubを見ずに非公開サーバ側で解決するべきかなとも考えています。

こんな感じで多少他のプロジェクトと比べて複雑かもしれませんが、このように別のリポジトリからの複製物に対してgit管理が出来るとか、間接的にgithub公開できるとか、多少なりともノウハウがお見せできたかなと思います。
何か他におもしろいアイデアがあるようでしたら是非教えてください！

追記(2010.05.01)
Twitterでいくつかアイデアをいただきました！
ありがとうございます。

●非公開サーバ側の.ssh/authorized_keysに公開鍵を登録すればパスワードは聞かれなくなる(@nojimageさん)
これは常識的なものでしたね。当方の技術力のなさが露呈しました(^^;;;

●「git remote add github (githubのURL)」とかすれば、サーバのコンソールからでなくてもgithubにpushできる(@kaz_29さん)
確かにその通りです。早速設定しました！

もしかしたら、当サイトにご来訪した際に一時的に閲覧不可能だったかもしれません。
ちょっとリブートを何回かやりました(汗)。

メールのマルチドメイン化がすっかりご無沙汰だったのですが、必要に迫られたので対応していました。
で、MTAもPostfixからqmailに変更することにしました。
前回別のサーバでsubmission化したPostfixの導入ではまったので。
そしてqmail(以前の)会社で使い慣れているのと、同じく前回導入して、その際の成果物としてインストール手順書を作ってあるので。

まあそんなわけで、１時間もあればバッチリ動くだろうと思っていたのが甘かったです。
子鬼を軽くあしらうつもりが、完全にあしらわれました(涙)。

というわけで、daemontoolsにはまりまくっていたのでした。
エラーなく手順書通りにインストールされ、動作テストをしようということでtelnetでアクセスするも反応なし。
psを確認すると、常駐しているはずのsvscanbootが見あたらず。
あれ、自動的にどこかに登録されるんじゃなかったっけ、とinittabを見ると、正しく追加されている。
でもどう見てもinittabが呼ばれていないような気がするのです。

まっさらにして再インストールを試みたり、いろいろ試しても結局daemontoolsは起動できず。
おかしいなぁと、半ば半べそ状態(嘘)でグーグル先生にしつこく相談すると「Fedora10はinittab呼ばないんじゃね？」ということで、やっと有用な情報に巡り会えました。

▼fedora10のinitがなんか変
http://blog.goo.ne.jp/pepolinux/e/768e07216f54d1743c4e139b91c9bce0

▼8.2.1. アップスタート
http://docs.fedoraproject.org/release-notes/f10/ja/What_Do_System_Adminstrators_Care_About.html

▼Ubuntu 8.04 LTS Server Editionへdaemontoolsをインストールする
http://backslash.ddo.jp/wordpress/index.php/archives/183

当方のサーバは先日Fedora１０にアップグレードしまして、その際にinittabからupstartに変わったそうです。
前回はCentOSにインストールしたのですが、CentOSはinittabのままなので、大丈夫だった…という訳なのです。

というわけで、５時間くらい無駄な時間を使ってしまったようです。
というか、Fedora10 + qmail + daemontoolsのズバリの情報がなかったことにビックリ。
CentOS以外の新しめのLinux OSにqmailを入れる場合…とりわけFedoraに入れる場合ははまるぜよ、たぶん。

二晩徹夜をしたのですが、久々に挫折を味わいました…

独自レンタルサーバ(CentOS5.3)にPostfix + dovecot + mysql + Postfix AdminでSMTP-AUTH＆バーチャルドメインなメールサーバをたてようかと頑張ってみたのですが、見事に玉砕しました。

最初はSSLもついていたんですが、一晩やっても動かず。まあSSLはいろいろあってしょうがないかと思っていたので抜きで再構築したんですが…思いっきりはまってしまい、解決する見込みもないので諦めた次第です。

厳密に言えば、半分は設定が出来ているのですが…
Outlook Express6でメール送信すると失敗するのですが、他のソフト(Shuriken2008)では上手く送信できるのです。どうやらESMTPでEHLOすると「250-AUTH PLAIN」としか表示されず、「LOGIN」が無いためにOE6で認証が出来ず、Rejectされてしまう模様。ネット検索するとどれも問題なくくっついているみたいなのですが…
ネット情報では「cyrus-sasl」の設定ミスではないかということで、いろいろと設定項目をチェックしてみたのですが、何をやっても変わらず。まさか、コンパイルオプションでしっかり方式が指定されていないとかはないだろうなぁと思いつつも、とりあえずパッケージを入れ直してみてもダメで、再コンパイルするにはあまりにもめんどくさくなってしまい、かといってそれ以外の可能性もあるわけで、いろいろ考えた結果、諦めて素直にqmail + vpopmailに乗り換えることにしました。無念。

まあqmailは仕事でずっと使っていたので、こちらの方がまあオペレーションは慣れているのですが。
コマンド一発でバーチャルメール発行も出来るし、わかりやすいと思うのでこちらで十分なのですが。
ただ、ソースからのインストールになるのと、あまりバージョンアップされない点が引っかかるといえば引っかかりますけど…
まあでも、とっとと終わらせないと、タダでさえ忙しいスケジュールなのに無駄な時間だけがどんどん過ぎていきますので、とりあえずはやっつけないとです。
自分の鯖も、実はバーチャルドメインな設定をしていないため、いずれPostfixでやらなければならないので、まあ今回の経験は無駄にはなりません。こっちはちゃんと動いていて、cyrus-saslの影響でないことは分かっているため、あとはmysqlなDB認証を何とかすれば良いだけだし。

でも、結局何が悪かったのか、断定できていないのが気持ち悪いというのか…
CentOS5.3(x86_64)で、しかもPostfixはmysql対応のために一度ビルドし直しているんですよね。
この辺の影響もぬぐいきれない。特に新OSだというのが…

さて、現在ゲリラ豪雨中でしていくのを躊躇してはいますが、ちょっと新宿ヨドバシまで こいつ を見てこようかと。最近のインクジェットってものすごく高速なんですねぇ～　レーザとインクジェットでどちらを取るか迷っているのですが、賞味期限の長いトナーの魅力がある反面高ランニングコストはどうしても考えてしまう。丁度パンフとかもこまめに出したいと考えていたので、縁なしA3両面が出来るというのもなかなかのポイント。そして、安価にもかかわらず「FAX to email」に対応しているのもポイントが高く、普段留守気味になると思われるためこの機能は欲しい！　もし良さそうだったら、amazonでかなり安いため、帰ってきたら即ポチる予定です(笑)。

■購入候補な複合機はこちら

さて、Ktai LibraryやCakePHPとは違う話題を久しぶりに。

ちょっと某所から頼まれてレンタルサーバの設定を一からやっているのですが、これがまた難題です。

自分でない人がこれから管理することになるので、じゃあということでwebminを導入したのですが、確かに設定が楽になったところもあるのですが、メールサーバの設定だけは難しい！
メールについてはいくつかの注文があり、これらをこなすのはなかなか難しく困っている状況です。
その注文とは…

• バーチャルドメインに対応
• アカウント名がかぶってしまいUNIX認証は基本的に使えないので別の認証に
• 最低SMTP-AUTHは使う(SSLはやっていられないのでパスするかも)
• 簡単なメールアドレス発行
• 既存のドメイン・メールアカウントで置き換えるため、配送を止めない作業が必要(サーバは別)

というものなのですが、この中の「バーチャルドメイン」と「簡単なメールアドレス発行」の両立が大変に難しくて…
バーチャルでなければ、UNIXユーザを作ってもらえば終わりなのですが、バーチャルでしかも名前がかぶるような場合だと、いちいち別名を考えるのも大変だし、ユーザが増えた場合に管理が難しくなるので、たぶんこのやり方だとダメだろうということでバーチャル向けな認証を使うしかないでしょう。

qmail+vpopmailですと、バーチャルドメインでのメールアカウントの作成がコマンド一発で非常に簡単であり、導入したかったのですが、どうもwebminではvpopmailのモジュールがないらしくて管理が不可能。となるとpostfix+dovecotになるのですが、これだと「簡単なメールアドレス発行」は難しい。また、webminでバーチャルドメインなメール設定＆運用の情報が何処にもなく、大変にしきいが高いです。時間無いのであんまり無駄な時間をかけたくないし…

とりあえずpostfix+dovecotで模索していますが、どうなることやら。
ああ～、それにしても、あんまりやりたくない作業だなぁ…

昼間コーヒーを飲み過ぎたのか、眠れないので(汗)、少しSSL関連をいじってみることにしました。
結論から言いますと、とりあえず動かすことに成功しました＼(^O^)／。

動かなかった原因なのですが…結局謎のまま。
OSをバージョンアップしたので、その際にyumでSSL関連が全てアップグレードしているのと、証明書関連を再度作り直したのと、http-ssl.confを再度見直したのと、SSLのポートが開いていなかったのと…といろいろやってしまったので(^^;;;。
まだダウンロード可能な証明書を作っていなかったり、SSLを正規に購入した場合にどうするのかとか、いろいろ不明点はありますけど、とりあえず目的は達したようなので、これで次に進める感じです。

あ、後は複数サブドメインで使えているかのチェックをしないと。
たぶん大丈夫だとは思いますけど。
でも、これでやっと秘密サイトが作れます(謎)。

長時間サーバが停止してしまい申し訳ございませんでした。

SSLをやる前に、ちょうど良い機会なのでOSのアップグレードまでやってしまおうかと思いついたのが運の尽きでした(大汗)。ちょっとトラブルが発生しまして、PHPが起動しない事態に遭遇してしまいました。とりあえず復旧しましたが、肝心のSSLはまだやっていない感じです(^^;;;。

教訓：
OSアップグレードをしたら、PHP関連でソース版を使っているモノは全て再コンパイルしましょう
(特にDB)

という感じですかね(T^T)。

ちなみに、OSは2バージョン上げてしまい、レン鯖遠隔なので起動できなくなってしまったらどうしようとびくびくしながらやりました(過去にも2バージョン上げていますが、その時もびくびくしました)。途中依存パッケージが大量に出てびっくりしましたが、なんとか対処できてインストール失敗は免れました。やっぱりこういうときは自鯖か入館できるデータセンターがいいんですが…　まあどちらにしろ、長時間サーバを止めることになるのであんまりやりたくない作業ですね。

というわけで、明日明後日は仕事なのでやらないとは思いますが、まあ近日中にもう一回メンテナンスをします。ご了承ください。

【追記】
書き忘れていました。
WordPressの「WP Super Cache」を正しく適用したため、若干ですがブログがレスポンスアップしました。PHP側のデフォルトのタイムゾーンを省略していたため、キャッシュの有効期限が常に範囲外になってしまい、キャッシュされていなかったのが原因でした。意外に書かれていないTipsなので、心当たりがありましたらタイムゾーンをチェックしてみてください。

ご迷惑をおかけします。
本日(2009/4/29)は終日サーバのメンテナンスのため(というか、新しい技術を試すため)、断続的にサーバが停止する見込みです。このため、当ブログも見れたり見れなかったりの可能性があります。
申し訳ございませんが、ご理解の程をお願いいたします。

ちなみに、その中の一環として、SSL環境の構築というのがあります。
現在当方のwebサーバは1IPのNameBasedバーチャルサーバでマルチドメインを運用しているのですが、こいつに何とかして一部サブドメインにSSLをあてたいのです。

本来、SSLを1IPでマルチドメイン運用は出来ないそうなのですが、いくつか「出来る」と書いてあるサイトがあるので、それを試してみようと考えています。
実は昨日も片手間にトライしてみたのですが、apacheが上手く立ち上がらなくてダメでした…
今日はちょっと本格的にトライして、ダメだったら別の手法を考えます。

というか、実はこのかたSSLというものを自分で触ったことがなくて(大汗)。
次の案件で必要なので、その前の予行練習という感じでもあります。

そんなわけで、ちょっとご迷惑になるかと思いますが、よろしくお願いいたします。

サーバ設定に行き詰まっています。

今回はNIC3枚差しで、1枚はインターネット側に、もう2枚はローカルで、そのうちの1枚は一般向け、もう1枚がサーバ管理向け、という構成でセットアップしているのですが、ローカル側でのルーティング(フォワーディング)の設定が分からず困っています。

もう少し詳しく書くと、こういった構成を考えています。

LAN1 / eth0 : 192.168.10.0/24 gateway 192.168.10.1
LAN2 / eth1 : 192.168.20.0/24 gateway 192.168.20.1
WAN  / eth2 : 10.1.1.0/29 gateway 10.1.1.1

LAN1もLAN2も、WAN側をへ通過でき、LAN1からLAN2は通過できるけどLAN2からLAN1は特定ポートが通過できないような仕組みにしたいのです。
現在iptablesは全てACCEPTしていて、pingは

○　LAN1→etc0→SV→etc2→WAN
○　LAN2→eth1→SV→etc2→WAN
×　LAN1→eth0→SV→etc1→LAN2
×　LAN2→eth1→SV→etc0→LAN1
という状況です。

「ルーティング」の仕組みについてしっかりと理解していないと思うのですが、このような場合「スタティックルーティング」でLAN1←→LAN2の橋渡しをするゲートウェイが必要なのではないかと思うのですが、routeの設定をいくらいろんな数値でやってもうまくいかないのです。例えば

route add -net 192.168.10.0/24 gw 192.168.20.1 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.1 dev eth0

route add -net 192.168.10.0/24 gw 192.168.20.2 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.2 dev eth0

とかやってみましたがダメです。

そもそも、セグメント越えの概念はやめたほうがいいんですかね？
相当ネットで検索していろんな設定を調べたんですが、全く分からないです。
従来通りLAN側を一緒にしてしまっても良いのですが、出来れば一般社員にSSH等を使わせたくないんですよね…
将来的にVPNとかもやりたいので、セグメントを分け出来ないとかなり困るなぁ…

どなたかネットワーク構築に詳しい方、アドバイスをいただけると嬉しいです。

実質仕事納めになり、他の社員が誰もいなくなったので、早速サーバOSの入れ替えということでCentOS5.2を導入し始めました。

CentOSは初めて使うOSですが、Redhat系(Fedora)は長く使っているので、以前のFreeBSDよりは扱いでは安心感あります。あとは、このOSがどの程度使えるか、ということですけど…
せっかくx86_64CPUなので、今回は64版を入れてみているのですが、どうなんでしょうかね。特殊なアプリケーションは導入しないし、ApacheやDB、PHP周り以外は全部標準パッケージを利用するつもりなので、大丈夫だと思うんですが。某Windowsみたいに違いがあるわけでもなく、いたって普通なのですが、まあでも心なしかx86よりは速い印象です。

とにかくLinuxのインストールは久しぶりで、ネットワーク関連の設定をもう忘れてしまっていて、グローバルのルーティングにだいぶ苦労してしまいました。自分のところの他のサーバは見えているのに、プロバイダ側の上流DNSは見えなくて外が見えない状態で、おかしいなと思っていろいろやってもうまくいかず、あれっと思って設定を見直すと、ゲートウェイアドレスが未設定だったりとか(超大汗)。でも、Anacondaにゲートウェイアドレスの設定項目がなかったような気がするんですよね。見間違い？

今回はゲートウェイサーバのみを作っていて、その他は年明けなんですが、他にそれぞれの機能を持たせたサーバを3～4台設定する予定です。ゲートウェイといっても、まあぶっちゃけインターネットルータを作っているようなものなので、メールやwebは今回なしなので楽と言えば楽なんですが…。将来的にはvpnをどうするかというのもあるんですが、とりあえず今はCentOSを正しく導入できるかの方が大事ですかね。

ここまでは昨日の話で、今日はこれから最大の鬼門であるiptablesの設定をしに会社に向かうのですが、正直胃が縮む思いです。穴の開かないよう、しっかり設定してこようと思います。そして年越しをサーバに囲まれて迎えることのないよう祈りたい…
　

【個人的に欲しいCentOSの本】

今回諸事情があり、グループ会社のドメインを一斉に「ドメイン移管」しております。

これが思っていた以上に難航していまして、複数の業者をまたぐことの難しさというのを改めて体験しています。
教訓として「担当者メールアドレス」が古いままだと大変なことになる、ということです。
詳しいことはあまり話せないのでこれくらいにしておきますが、大変良い経験になりました。
Xデーまであと数日ですが、何事もないことを祈りたい…