OracleCloud の太っ腹すぎる Always Free Cloud Services(期間の制限なく使用できるサービス)で構築した VM へ Node-RED をインストールする方法です。
さも自分で考えたかのような書き出しですが、ほとんど公式ブログの手順に沿って作業しただけです🤤
Installing Node-RED In An Always Free VM On Oracle Cloud (えいご)
2019年の記事なので、今(2021年)とは少し異なる部分もありますがやることは同じです。
そのため基本的には、指示通り設定すれば OK なのですが、私が実際にやってみて、気がついた点がいくつかあるので、ここにメモしておきます。
あと、ついでに HTTPS 化とポート転送もやります。ちゃんと Oracle Linux を選びましょう。
ついつい見知った Ubuntu を使いたくなるかもしれませんが、指示通り(?)Oracle Linux を選択しましょう。
もし Ubuntu を選択した場合、以降の手順が色々と変わってきてしまいます。
もし Ubuntu でないと残尿感があるという方は、Ubuntu で構築した方もいらっしゃるようなので、そちらを参考にしてください↓
インストールスクリプトの違いに注意!
Oracle Linux に Node-RED をインストールする際に使用するインストールスクリプトは、Ubuntu や Raspberry Pi OS(旧 Raspbian)へインストールする際に利用するインストールスクリプトとは、パスが違う点に注意してください。
ブログの指示通りに、
bash <(curl -sL https://raw.githubusercontent.com/node-red/linux-installers/master/rpm/update-nodejs-and-nodered)
を使用しましょう。
一見、Debian 系と同じに見えますが、微妙にパスが異なります。
Oracle Linux は Red Hat ベースなので、Debian 系のインストールスクリプトは使えません。
インストールスクリプトについては公式の「Linux Installers for Node-RED」をご覧ください。
あと公式の「ローカルでNode-REDを実行する」も見たらいいかも。
もし外部から繋がらなかったらポート設定してみて。
これはもしかしたらやらなくても良い手順なのかもしれないのですが、指示には書いてないのに私はうっかりやっちゃったので、一応書いておきます。
なお、Oracle Linux 7では、デフォルトのファイアウォール・ユーティリティは firewalld (firewall-cmd)です。(参考:Oracle® Linux 7セキュリティ・ガイド)
iptables では無いので注意!
VM インスタンスに対して、
sudo firewall-cmd --permanent --add-port=1880/tcp
した後、
sudo firewall-cmd --reload
して、ポート 1880 を有効にしました。
このドキュメント「Free Tier: Install Node Express on an Oracle Linux Instance」の「4. Create a Node Express Application + Install and Set up Node Express」を参考にしました。
てか、https 化する手順でも 80 番に対して同じようなことしてるので、やっぱ必要な手順だと思う。
リンクされている https 化の手順は古い
このページね。
「Free SSL Certificates In The Oracle Cloud Using CertBot And Let's Encrypt」
certbot-auto はもうサポートされていません。
ポート 80 番を開放する方法以外は参考にしていない。
は?んじゃどーすんのさ。
私が勘で行った方法でよければどうぞ↓
Oracle Linux で動いている Node-RED の HTTPS 化手順
※ そもそもドメイン側の設定は別途済ませておきます。
※ Certbot で Let's Encrypt から証明書を発行してもらう想定です。
まず snap をインストールします。
参考にしたのはこちらのページ「Installing snap on Red Hat Enterprise Linux (RHEL)」
sudo rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
sudo yum update
なんか指示が出たので、それに従って再度 update
sudo yum update --skip-broken
何度か確認させられるけど、Complete! した。
sudo yum install snapd
インストールできた。
sudo systemctl enable --now snapd.socket
sudo ln -s /var/lib/snapd/snap /snap
必要なのか分からないけどページの指示に従いやった。
そして再起動。
ここからは、Certbot の設定。
参考にしたのは「Web Hosting Product on CentOS 7」の組み合わせ。sudo snap install core; sudo snap refresh core
コアなんて無いとかエラー出る。まぁ無視して次。
sudo snap install --classic certbot
インストールできた。
sudo ln -s /snap/bin/certbot /usr/bin/certbot
必要ない気もしたけど指示に従ってやった。
sudo certbot certonly --standalone
メールアドレス入力、利用規約に同意、メール送っていいかの確認、ドメインの入力をやった。
sudo certbot renew --dry-run
テストも成功した。
ここからは Node-RED の設定。
いつもの、
~/.node-red/settings.js
を編集します。
具体的な方法は「セキュリティ」のページを参照。
/** Option 1: static object */
https: {
key: require("fs").readFileSync('/etc/letsencrypt/live/[ドメイン]/privkey.pem'),
cert: require("fs").readFileSync('/etc/letsencrypt/live/[ドメイン]/cert.pem')
},
の項目のコメントを外して、秘密鍵と証明書へのパスを入力して有効にします。
[2024年4月8日追記:ここから]cert.pem (サーバー証明書のみ)では証明書チェーン(認証パス)が不完全なのでルート証明書、中間CA証明書、サーバー証明書が全部含まれている fullchain.pem を指定するほうが確実です。
例えば私の場合、cert.pem では Android 11 以降の端末から WebSocket 通信ができないなどの問題が発生しましたが fullchain.pem に変更することで解決することができました。[2024年4月8日追記:ここまで]
ただし、
/etc/letsencrypt/live/
/etc/letsencrypt/archive/
のパーミッションは、0700 になっていて Node-RED が読めません。
なので、
sudo chmod 0755 /etc/letsencrypt/live/
sudo chmod 0755 /etc/letsencrypt/archive/
して、さらに所有グループも自分(opc)に変更して↓
sudo chgrp opc /etc/letsencrypt/live/[ドメイン]/privkey.pem /etc/letsencrypt/live/[ドメイン]/cert.pem
Node-RED が読めるようにする必要があります。
以上でサーバーを再起動すれば、HTTP 化も完了です。
おしまい🤤
[2021年12月6日追記]
ポート 443(HTTPS)から 1880 へ転送したい
「https://ドメイン:1880/」ではなく「https://ドメイン」でアクセスしたいんじゃ!という場合の手順です。
まず今までの手順同様、ポートの設定をおこないます。
次に、firewalld で 443 へのアクセスを 1880 へ転送するようにします。
sudo firewall-cmd --permanent --add-forward-port=port=443:proto=tcp:toport=1880
そしたらリロードします。
sudo firewall-cmd --reload
これで :1880 なしでもアクセスできるようになります👍
めでたしめでたし🤤