JitsiをOCIに導入

当初からこのJitsiはoracle cloudにデプロイしようと思っていたが、

debconf: フロントエンドの初期化に失敗しました

のようなエラーが出てOCIへの導入は中止して、別途契約しているconohaのVPSにubuntuインスタンスを立て、そこに導入・試験をしていた。巷ではweb会議の選択肢が徐々に増えてきている中、googleもいよいよgoogle meetを一般公開し、9月までは100人までのメンバーが時間無制限で使用可能となった。このgoogle meet、早速先日町内会の関連で１：１のweb会議をやってみて、特に問題なく使用できそうなことを確認した。これにより実際に運用する場合は自前の有償なvpsを使わず、google meetを使うことにした。

なお聞くところによるとweb会議の代名詞たるZoomの資産価値は既に米国の航空会社を抜き、数兆円規模とのこと。いかに世間がZoomを利用しているか分かる。

このような理由でconohaに導入していたJitsiは削除した。一方インフラエンジニアの末席にいる自分として、失敗しているOCIへこのjitsiを再度導入してみたいと思い始め、二日ほど前から色々動いてきていた。ところが基本的な部分でなかなか導入が上手くいかない。初回の導入でトラブったフロンテンドの初期化の問題は発生しなかったが。portの開放でいろいろ躓いた。

Jitsiの公式サイトで以下のportを開けるよう書いてある。

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 4443/tcp
sudo ufw allow 10000/udp
sudo ufw allow 22/tcp
sudo ufw enable

vpsなので別途OCIの仮想マシンで使う仮想クラウドネットワークのセキィリティリストにて上記のポートを解放する必要もある。

さてこれらのportの設定とjitsiのデプロイを完了し、最後の段階でサイトのssl化作業、これはjitsiにおいては必須の条件なのでこれを行う。スクリプトが用意されている。

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

ところが何回これを実行しても設定してあるFQDNを認識しない。digコマンドでサイトを叩いてみてもエラーは出ない。ネット上でいろいろ原因を追究すべく探してみて、似たようなトラブルを抱えている人の質問に対する回答の一つとしてportが確かに開いているのか？というものがあった。そうか確かに自分ではufwコマンドやOCIのセキュリティリストで解放しているはずと思っているが、ひょっとしてその辺に原因があるかも。早速port開放確認のネットツールにて疎通を試してみると、なんと80番が疎通しない！443も疎通しない！！なんでやねんorz

愕然としながらも、ひょっとしてufwツールに不具合でもあるのでは？と思い今度はfirewall-cmdでportを解放してみた。以下はその結果。

firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http https
ports: 443/tcp 4443/tcp 10000/udp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

肝心なのは80, 443, 4443, 10000/udpで全て解放されている。なのでまたletsencryptの設定スクリプトを叩くと、なんと通るではないか… サイトのurlを叩くと、出ました。

やれやれ。

原因としてはufwコマンドで解放設定をしたあと、ufw reloadをやらかなかったことが原因かな？　ufw statusで目的のポートが開いているのを確認してそれで安心していたってことかな？