IT pass HikiWiki - [Memo2008][EPA]EPA サーバ交換作業ログ(今関, 今村) Diff
- Added parts are displayed like this.
- Deleted parts are displayed
like this.
{{toc}}
[((<EPAサーバ構築ドキュメント>)) へ戻る]
= 10/27 (月) (前日作業)
== HTTPS用サーバ証明書などのコピー
tako に既に作成されている HTTPS 用のサーバ証明書などを ika へコピーする.
HTTPS 用のサーバ証明書, 鍵などは,
/usr/local/apache2/conf/{ca.der,server.crt,server.key}
の3つのファイルである.
これを行わずにサーバ交換作業後にhttpsで ika にアクセスすると,
tako にアクセスしていたときに保存したサーバ証明書とは異なる,
ika で新規に作成されたサーバ証明書を参照するため,
Web ページを閲覧できなくなる(ことが多い. ブラウザの取扱いによるが).
=== 接続認証設定の変更
以下の項目を確認する.
tako の /etc/ssh/sshd_config の中の
PermitRootLogin no
を
PermitRootLogin yes
に書き換える
この設定にするとルート権限での遠隔ログインが許可される.
なお, /etc/ssh/sshd_config を変更した場合は,
# /etc/init.d/ssh restart
を実行し設定を反映させる.
=== tako から ika へコピー
tako の /usr/local/apache2/conf/{ca.der,server.crt,server.key}
を ika の同じディレクトリにコピーする.
ika から root 権限で scp コマンドを使うとよい.
コピー終了後, tako の /etc/ssh/sshd_config の中の
PermitRootLogin yes
を
PermitRootLogin no
に戻すことをお忘れなく.
= 10/28(火) (当日作業)
以下では, EPA サーバの old から new への移行の作業の
詳細を時系列順 (phase 0 -- 4) にまとめる.
phase 0 -- 4 内のそれぞれの項目は順不同.
== phase 1 (入替え開始)
tako のサービスを停止する.
* http (https),
* サービス停止作業
* apache2, に関して,
以下のコマンドで, サービスを一時的に停止する.
ただし, 再起動すると再びこれらのサービスも起動してしまうため,
作業途中で再起動の必要性が出てしまった場合は注意.
永続的にサービスを停止する作業は ((<phase 3>)) にて行う.
# /etc/init.d/apache2 stop
* ssh などでのログインユーザが居る場合, プロセスを削除
* ps aux コマンドで確認後, そのようなプロセスがある場合に,
kill <プロセスID> とする.
== phase 2
tako から ika へ各種データをコピー
* tako の /var/spool/cron/crontabs 以下の各ファイルを ika へコピー
* scp コマンドで移す際には, パーミッションやグループ等の設定を変えて
しまわないように注意.
* tako の /etc/shadow のユーザ部分を ika へコピー
* tako, ika に別々の仮想端末でログインする.
ika の /etc/shadow を/etc/shadow~にバックアップ.
tako の /etc/shadow のユーザー部分 (UID が 1000 〜 29999 までのもの.
UID とユーザ名の対応については /etc/passwd) を参照のこと.
ika の /etc/shadow にコピー.
== phase 3
old の設定変更
* 再起動しても以下のサービスが立ち上がらないようにする.
* http (https), pop3
* apache2, openbsd-inetd に関して,
以下のコマンドによって OS が起動する際に立ち上がらないように
しておく.
<service> には上記のサービス名を与える.
# cd /etc/init.d
# update-rc.d -f <service> remove
# chmod 644 <service>
* 余談だが, これら停止したサービスを再開する場合には,
以下のようにするとよい.
# cd /etc/init.d
# update-rc.d <service> defaults
# chmod 755 <service>
* 確認作業
* 再起動を行い, ps aux コマンドで停止したはずのサービスが
立ち上がっていないことを確認する.
ika の設定を変更
* 以下のサービスが定常的に立ち上がるように設定する.
* http (https), dns, tcpserver (smtp), inetd (pop3)
電脳サーバの設定を変更
* /GFD_Dennou_Club/dc-arch/kobe/.ssh/known_hosts から,
これまでの EPA サーバのホスト鍵を削除し, 再度アクセスして
新 EPA サーバ (new) のホスト鍵を保存する.
== phase 4
移行の最終チェック
* ika
* http: 表示できるか, hikiに書き込めるか, gate による
登録や変更は可能か
* tako
* http: 無効になっているか
= 後日作業 10/31(金)
== 電脳サーバへのバックアップの確認
EPA サーバの資源は, 毎日電脳サーバへバックアップされている. cron によって毎日実行されているそのシェルスクリプトが正常に作動しているか試行する.
電脳サーバへログインし, kobe グループになり, kobe のホームディレクトリに移動.
そこで,
$ ./itpass_rsync_epa2dennou.sh -n
$ ./epalab_rsync_epa2dennou_yyh.sh -n
を実行する. その後, 出力されたログを確認する.
$ cd ./itpass_rsync_epa2dennnou_log
$ less itpass_rsync_epa2dennnou.log
$ cd ../epalab_rsync_epa2dennnou_log
$ less./epalab_rsync_epa2dennnou.log
2 つとも正常に出力されていれば OK.
[((<EPAサーバ構築ドキュメント>)) へ戻る]
[((<EPAサーバ構築ドキュメント>)) へ戻る]
= 10/27 (月) (前日作業)
== HTTPS用サーバ証明書などのコピー
tako に既に作成されている HTTPS 用のサーバ証明書などを ika へコピーする.
HTTPS 用のサーバ証明書, 鍵などは,
/usr/local/apache2/conf/{ca.der,server.crt,server.key}
の3つのファイルである.
これを行わずにサーバ交換作業後にhttpsで ika にアクセスすると,
tako にアクセスしていたときに保存したサーバ証明書とは異なる,
ika で新規に作成されたサーバ証明書を参照するため,
Web ページを閲覧できなくなる(ことが多い. ブラウザの取扱いによるが).
=== 接続認証設定の変更
以下の項目を確認する.
tako の /etc/ssh/sshd_config の中の
PermitRootLogin no
を
PermitRootLogin yes
に書き換える
この設定にするとルート権限での遠隔ログインが許可される.
なお, /etc/ssh/sshd_config を変更した場合は,
# /etc/init.d/ssh restart
を実行し設定を反映させる.
=== tako から ika へコピー
tako の /usr/local/apache2/conf/{ca.der,server.crt,server.key}
を ika の同じディレクトリにコピーする.
ika から root 権限で scp コマンドを使うとよい.
コピー終了後, tako の /etc/ssh/sshd_config の中の
PermitRootLogin yes
を
PermitRootLogin no
に戻すことをお忘れなく.
= 10/28(火) (当日作業)
以下では, EPA サーバの old から new への移行の作業の
詳細を時系列順 (phase 0 -- 4) にまとめる.
phase 0 -- 4 内のそれぞれの項目は順不同.
== phase 1 (入替え開始)
tako のサービスを停止する.
* http (https),
* サービス停止作業
* apache2, に関して,
以下のコマンドで, サービスを一時的に停止する.
ただし, 再起動すると再びこれらのサービスも起動してしまうため,
作業途中で再起動の必要性が出てしまった場合は注意.
永続的にサービスを停止する作業は ((<phase 3>)) にて行う.
# /etc/init.d/apache2 stop
* ssh などでのログインユーザが居る場合, プロセスを削除
* ps aux コマンドで確認後, そのようなプロセスがある場合に,
kill <プロセスID> とする.
== phase 2
tako から ika へ各種データをコピー
* tako の /var/spool/cron/crontabs 以下の各ファイルを ika へコピー
* scp コマンドで移す際には, パーミッションやグループ等の設定を変えて
しまわないように注意.
* tako の /etc/shadow のユーザ部分を ika へコピー
* tako, ika に別々の仮想端末でログインする.
ika の /etc/shadow を/etc/shadow~にバックアップ.
tako の /etc/shadow のユーザー部分 (UID が 1000 〜 29999 までのもの.
UID とユーザ名の対応については /etc/passwd) を参照のこと.
ika の /etc/shadow にコピー.
== phase 3
old の設定変更
* 再起動しても以下のサービスが立ち上がらないようにする.
* http (https), pop3
* apache2, openbsd-inetd に関して,
以下のコマンドによって OS が起動する際に立ち上がらないように
しておく.
<service> には上記のサービス名を与える.
# cd /etc/init.d
# update-rc.d -f <service> remove
# chmod 644 <service>
* 余談だが, これら停止したサービスを再開する場合には,
以下のようにするとよい.
# cd /etc/init.d
# update-rc.d <service> defaults
# chmod 755 <service>
* 確認作業
* 再起動を行い, ps aux コマンドで停止したはずのサービスが
立ち上がっていないことを確認する.
ika の設定を変更
* 以下のサービスが定常的に立ち上がるように設定する.
* http (https), dns, tcpserver (smtp), inetd (pop3)
電脳サーバの設定を変更
* /GFD_Dennou_Club/dc-arch/kobe/.ssh/known_hosts から,
これまでの EPA サーバのホスト鍵を削除し, 再度アクセスして
新 EPA サーバ (new) のホスト鍵を保存する.
== phase 4
移行の最終チェック
* ika
* http: 表示できるか, hikiに書き込めるか, gate による
登録や変更は可能か
* tako
* http: 無効になっているか
= 後日作業 10/31(金)
== 電脳サーバへのバックアップの確認
EPA サーバの資源は, 毎日電脳サーバへバックアップされている. cron によって毎日実行されているそのシェルスクリプトが正常に作動しているか試行する.
電脳サーバへログインし, kobe グループになり, kobe のホームディレクトリに移動.
そこで,
$ ./itpass_rsync_epa2dennou.sh -n
$ ./epalab_rsync_epa2dennou_yyh.sh -n
を実行する. その後, 出力されたログを確認する.
$ cd ./itpass_rsync_epa2dennnou_log
$ less itpass_rsync_epa2dennnou.log
$ cd ../epalab_rsync_epa2dennnou_log
$ less./epalab_rsync_epa2dennnou.log
2 つとも正常に出力されていれば OK.
[((<EPAサーバ構築ドキュメント>)) へ戻る]