これはこれで良いのだが、今度は HTTPS でもアプリケーションにアクセスしたくなった場合、 listen 80 の server セクションをコピーして、listen 443 で SSL を利用する server セクションを追加すれば良いだけの気もするのだが。 単純にコピーして SSL の設定をしただけだとはまることがある。

force_ssl

Rails 3.x からだと思うが、ActionController に force_ssl というクラスメソッドが追加された。

# Force the request to this particular controller or specified actions to be
# under HTTPS protocol.
#
# Note that this method will not be effective on development environment.
#
# ==== Options
# * only   - The callback should be run only for this action
# * except  - The callback should be run for all actions except this action
def force_ssl(options = {})
  host = options.delete(:host)
  before_filter(options) do
    if !request.ssl? && !Rails.env.development?
      redirect_options = {:protocol => 'https://', :status => :moved_permanently}
      redirect_options.merge!(:host => host) if host
      redirect_to redirect_options
    end
  end
end

ようするに SSL でアクセスしているかを判断して、SSL 以外でアクセスしていた場合、 SSL を利用した URL にリダイレクトしてくれる before_filter だ。

ただ、フロントに nginx を置いて、バックエンドに Rails を置いた場合は、 普通、SSL の処理をフロントに任せるので以下のようになる。

何も対策を施さなければ、force_ssl 処理内の request.ssl? が false を返して、 リダイレクトの無限ループになってしまう。ってかなった。

X-FORWARDED_PROTO

そんなバックエンドが SSL を利用された後であるかどうかを判断するために、 HTTP には X-FORWARDED_PROTO とかいうヘッダが用意されているらしい。へえー。

と、言う訳でリバースプロキシの設定に以下の記述を行えばおk。

try_files /system/maintenance.html $uri $uri/index.html $uri.html @application;

location @application {
        proxy_set_header X-Real-IP  $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-FORWARDED_PROTO https;
        proxy_pass http://application;
}

最近、Capistrano を使い始めたのだが、 何気に使い方を調べようとソースコードを読むと、長くて大変。 全体像を把握するのが大変だなあと何となく思っていたところに発見。

• Vlad the Deployer

Capistrano の代替として使えそう。それでいてソースコードはシンプルで読みやすくてよい。

まあ、ぶっちゃけ、ツールの使い方について、

1. ネットを徘徊して調べるか？
2. ソースコードを徘徊して調べるか？

のどっちが好みかで、Capistrano を使うか Vlad を使うかが変わる気がするが。

sudo してみた

で、まあ、Capistrano や Vlad の使い方はおいといて、 Remote のタスクを sudo 権限で実行してみたところ、

$ rake vlad:test --trace 
** Invoke vlad:test (first_time)
** Execute vlad:test
ssh localhost 'sudo -p Password: echo sudo'
__sudo: no tty present and no askpass program specified__
rake aborted!
execution failed with status 1: ssh localhost sudo -p Password: echo sudo

みたいに言われて実行できないことがある。 Capistrano の場合は、default\_run\_options[:pty] = true すればいいらしいが…。

色々調べたところ、

set :sudo_flags, sudo_flags << '-S'

で解決だった。

と、いうことでフロントのリバースプロキシとして node-http-proxy を導入したのは良いものの、 バックエンドにまわした子 (nginx/Apache) 達のログが調子悪い…。

具体的に言うと、アクセス元の IP アドレス達が全部 127.0.0.1 になってしまう。 これってようするにフロントサーバの node-http-proxy のアドレスじゃないですかー。

HttpRealIpModule

ということで、HttpRealIpModule を導入。

node-http-proxy は X-Forwarded-For を HTTP ヘッダにちゃんと追加してくれているようだったので、 nginx.conf に以下のような設定を施した。

set_real_ip_from 127.0.0.1;
real_ip_header   X-Forwarded-For;

nginx を再起動してログを確認。

うーむ。よしよし。

Apple Mac mini

Amazon で見る

Rails3.1 のアプリケーションを Unicorn で動かして、静的ファイルは nginx におまかせ！ ってしようとした時に nginx の設定で少しはまったのでメモ。

前提

• nginx を 127.0.0.1:80 で動かしている。
• Unicorn を 127.0.0.1:8080 で動かしている。
• Rails3.1 の assets を 事前に rake assets:precompile してある。

nginx の設定

• /assets ディレクトリ以下のファイルを expire max で永久にブラウザ側にキャッシュさせる。
  • assets 内のファイルは内容が変わればファイル名も変わるため、永久にキャッシュさせておーけー。
• try_files で すでに存在する静的ファイルはすべて nginx で処理。

upstream apps-server {
    server 127.0.0.1:8080;
}

server {
    listen  80;
    server_name     app.example.com;
    
    root /path/to/app/current/public;
    error_log /path/to/app/current/log/error.log;

    location ~* ^/assets {
            expires max;
            add_header Cache-Control public;
            break;
    }

    try_files /system/maintenance.html $uri $uri/index.html $uri.html @unicorn;

    location @unicorn {
            proxy_set_header X-Real-IP  $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_pass http://apps-server;
    }
}

iPhone で 2ch を見るのに重宝している PHP 製 2ch ビューワ である rep2。 アップデートが来ていたのは知っていたのだがようやくアップデート。

なんでなかなかアップデートしないのかと言うと、、、メンドクサイ。

アップデートのファイルをダウンロードして、 設定ファイルを書き直して、Mac で見やすくなるように修正しているファイルを修正し直して…と。

ってか今気づいた、Subversion のレポジトリが公開されてるのか。 これからそっち使おう…。

今日のトレーニング

なんか毎回毎回同じような写真を撮ってるようだが、、江戸川バイク練 80km。

行きは最初多少向かい風だったがその後ほぼ無風になり絶好のコンディションだなと思っていたが、 帰りに雨にやられる。

道理で散歩のおばちゃんもローディも少ない訳だ。 ちゃんと天気予報見るべきだったなあ。

暗号化

'123|123123123123123' という文字列を暗号化する。

暗号化するのに利用する鍵(Password)は「InmbuvP6Z8」。

var crypto = require('crypto');
var cipher = crypto.createCipher('aes-256-cbc','InmbuvP6Z8');
var text = "123|123123123123123";
var crypted = cipher.update(text,'utf8','hex');
crypted += cipher.final('hex');

console.log(crypted);

以上で、'12443a347e8e5b46caba9f7afc93d71287fbf11169e8556c6bb9c51760d5c585' という暗号化された文字列を得る。

複合化

var crypto = require('crypto');
var decipher = crypto.createDecipher('aes-256-cbc','InmbuvP6Z8');
var dec = decipher.update('12443a347e8e5b46caba9f7afc93d71287fbf11169e8556c6bb9c51760d5c585','hex','utf8');
dec += decipher.final('utf8');

console.log(dec);

簡単。

次は公開鍵暗号のやり方を調べる。マスタリングTCP/IP SSL/TLS編を読みながらだが…。

マスタリングTCP/IP SSL/TLS編 [単行本]

価格： ￥ 4,725 国内配送料無料

Eric Rescorla (著), 齋藤 孝道 (著), 古森 貞 (著), 鬼頭 利之 (著)

Amazon で見る

とくに考えずに自宅サーバで作ったアプリを動かそうとすると、 「Node.js で作ったアプリをポート3000番で動かしてー、フロントサーバとして Apache か nginx を置けば良いやー」 って感じで上の図のような構成になると思いますー。が (そもそもイベントループが売りの Node.js のフロントサーバが Apache ってどうなの？ってのは置いといて。)

ふと気づく。クライアントからの WebSocket が届いてねえ！

はい、対応してないんですよね、Apache も nginx も、WebSocket のプロキシは。

仕方ないので無理矢理動かそうとすると、Node.js アプリが動いてるポートを開くことになる。 こんなんするんだったら、フロントサーバいらないんじゃないって気もするが。

• socket.ioを試すときは，ポートの開き忘れとcookieに注意 ::ハブろぐ

node-http-proxy

ということで、ちょろっと調べてみたところ、 WebSocket に対応したリバースプロキシ発見。 なんと node.js 製…。

• nodejitsu/node-http-proxy -GitHub

こいつをフロントサーバとして Port 80 で動かして、後ろに Port 3000 で動くウェブアプリを置くとすると、 以下のような設定になるっぽい。

var httpProxy = require('http-proxy');
    
httpProxy.createServer({
  router: {
    'localhost': 'localhost:3000'
  }
}).listen(80);

名前ベースで振り分けもできる。

var httpProxy = require('http-proxy');
    
httpProxy.createServer({
  router: {
    'foo.com': '127.0.0.1:8001',
    'bar.com': '127.0.0.1:8002'
  }
}).listen(80);

イベントベースのウェブサーバで WebSocket も対応してるので、 フロントサーバとして Apache からの置き換えも考えちゃうなーこれは。

と、いいつつ、、、設定ファイルの書き換えが面倒なので全然手を付けてないが…。

いくら横幅その他を em で指定して、メインコンテンツの横幅が可変なページをデザインしたとしても。

たとえば iPhone のように、画像の横幅よりサイズの小さいディスプレイで見た瞬間に、 画像がちぎれてデザインが破綻してしまう。

そんな時はこんな感じで img タグに css をあてる。

img {
  max-width: 100%;
  height: auto;
}

じゃん。

こんな感じで横幅にあわせて画像がリサイズされます！

普通のブラウザでも、ウィンドウの幅に合わせて画像をリサイズしてくれます。 これはすばらしい。

まあ、IE とかじゃうまく動いてないけど、そんなブラウザは無視無視。 どうせやつらは高解像度のディスプレイにウィンドウを最大化してブラウジングしてるに決まってるんだし。

これで gem install できるようになったよ！

つかうとこんな感じに、Twitter のつぶやきが自分の PC で表示できるよ。

ちなみに

使い方はこんな感じ。

インストール方法

$ sudo gem install rtlog

簡単！

html アーカイブ生成

$ rtlog-create -i TWITTER_ID -t TARGET_DIR -u TARGET_URL --temp-dir TWEETS_ARCHIVE_DIR

• -i 作成するアーカイブの twitter アカウントID
• -p 作成するアーカイブの twitter アカウントのパスワード
• -t アーカイブを作成するフォルダ
• -u アップするサーバのルートの url (ex: http://www.example.com/lifelog)
• --temp-dir つぶやきをダウンロードするフォルダ

今まではメッセージフィルタで、

Subject のプロジェクト名でフィルタリングしてたけど、 いかにもダサイ。

ふと思いついて Redmine から届いたメールのヘッダを覗いてみる。

From - Mon Jul 26 10:36:56 2010
X-Account-Key: account2
X-UIDL: 44463847.5ebc
X-Mozilla-Status: 0001                                                                             
...
(中略)
...
X-Redmine-Issue-Author: nanashi
Precedence: bulk
X-Redmine-Issue-Assignee: nanashi
X-Redmine-Issue-Id: 400
X-Mailer: Redmine
X-Redmine-Project: ui-spec
Auto-Submitted: auto-generated
X-Redmine-Site: My Group Projects
X-Redmine-Host: example.com/projects

ビンゴ。これぞせまんてぃっくうぇぶですな。

X-Redmine-Project と X-Redmine-Host の値を使えば自由自在にフィルタリングで着ます。