Let's Encryptのワイルドカード証明書の取得と更新

APIが整備されてるCloudflareと1バイナリのLet's Encryptクライアントであるlegoの組み合わせでお手軽にワイルドカードな証明書を手に入れられる。
この機会にドメイン自体をCloudflareに移管したので更新料も安くなった。

aptで入るlegoは古いのでReleases · go-acme/legoから落とす必要があり、CloudflareのAPI TokenはAll zones - Zone:Read, DNS:Edit以上が必要。
更新はcron.monthlyにまかせ、証明書が更新されたらNginxをリロードする。

wget https://github.com/go-acme/lego/releases/download/v3.6.0/lego_v3.6.0_linux_amd64.tar.gz
tar xf lego_v3.6.0_linux_amd64.tar.gz lego
sudo mv lego /usr/local/bin/lego
CLOUDFLARE_DNS_API_TOKEN=xxxxxxxxxx sudo -E lego --accept-tos --path /etc/letsencrypt --dns cloudflare --domains example.com --domains *.example.com --email letsencrypt@example.com run
sudo chmod -R a=rX,u+w /etc/letsencrypt

sudo tee /etc/cron.monthly/lego << EOM > /dev/null
#!/bin/sh
CLOUDFLARE_DNS_API_TOKEN=xxxxxxxxxx lego --accept-tos --path /etc/letsencrypt --dns cloudflare --domains example.com --domains *.example.com --email letsencrypt@example.com renew --renew-hook systemctl reload nginx
EOM
sudo chmod 755 /etc/cron.monthly/lego

Vultrの高周波数プランを契約してUbuntu 20.04 LTSをセットアップした

これまではさくらのVPS(v3) 2Gを使っていたが便利なサービスが増えすぎてVPSで何かを動かすことが激減し2Gプランは過剰だしストレージがHDDのままなのもなという感じだったので、VultrのHigh Frequency Computeの1GBメモリで月$6のプランに移ることにした。
CPUが3GHz以上でSSDもNVMeなので速いというやつ。

Raspberry Pi 4を買って使わなくなったSSDを繋ぐというのも考えたがUPSも用意しないといけないし自室がクソ狭くちょうどよい場所がないので諦めた。

アフィリエイトリンクを載せておくのでもし良ければここから登録して欲しい。

Ubuntu 20.04 LTS

rootでログインして新しくユーザを作りrootログインを無効化する

apt update && apt upgrade -y && apt autoremove -y
adduser ebith
gpasswd -a ebith sudo
passwd -l root
reboot

Swapが無いので作っておく、NTPサーバが海外向けなのでntp.nict.jpへ向ける、タイムゾーンを設定する

参照: Vultr における Ubuntu 16.04 Server の設定メモ - 今日も微速転進

sudo dd if=/dev/zero of=/swapfile count=2048 bs=1M
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile
echo "/swapfile none swap sw 0 0" | sudo tee -a /etc/fstab

sudo sed -i -e "s/NTP=1.time.constant.com 2.time.constant.com 3.time.constant.com/NTP=ntp.nict.jp/" /etc/systemd/timesyncd.conf
sudo systemctl restart systemd-timesyncd

sudo timedatectl set-timezone Asia/Tokyo

パスワードログインを不許可に

母艦からssh-copy-idしておく。
sshdのポートは適当に変更する。番号を決めるにはGoogleが便利
ちゃんとパスワードでログインできなくなっているか確認するにはssh -v -o PubkeyAuthentication=no -p xxxxx user@hostname

sudo sed -i -e "s/PermitRootLogin yes/#PermitRootLogin yes/" /etc/ssh/sshd_config
sudo tee -a /etc/ssh/sshd_config << EOM > /dev/null
PasswordAuthentication no
PermitRootLogin no
Port 22
EOM
sudo systemctl restart sshd

sudoのパスワードを長持ちさせる

sudo visudoしてDefaults timestamp_timeout = 30を追記

ファイアウォール

Vultr側でファイアウォールの設定をすることにしてufwは止めた

sudoeditでvimを使う

sudo update-alternatives --config editor

その他

  • ssh-keygen -t ed25519して公開鍵をGitHubに登録する
  • sudo hostnamectl set-hostname example.comでホスト名を設定する

このあと

  1. 古いVPSで動いてるやつを移す
  2. さくらのVPSをちゃんと解約する
  3. Telegraf + InfluxDB + Grafanaで無駄可視化やりたい

新しく組んだPCのブルースクリーン(VIDEO_SCHEDULER_INTERNAL_ERROR)とKernel-Power 41が解決するまで

要約

PCを組むべく買ったパーツの中でGPU初期不良だったがそうと気づくまで1ヶ月以上かかり修理に更に一ヶ月以上かかった。

関連記事

流れ

  1. 新しくPCを組むが1日に1回程度の頻度でBSoD(VIDEO_SCHEDULER_INTERNAL_ERROR)する
  2. BSoDの発生はまばらでゲームも遊べるのでGPUドライバのバージョンを変えてみたりしながら様子見する
  3. 不意のBSoDは変わらず続くので困ったなと思いつつイベント ビュアーを確認するとBSoDのタイミングでKernel-Power 41が記録されていることに気づく
  4. ググってKP41はGPUが原因とは限らないと知り対策に迷走する
  5. 古いGPUを借りることができたので交換してみたところ収まった
  6. どうやらそもそもGPU初期不良だったということらしい
  7. 初期不良の期間はとっくに過ぎていたので通常保証対応を申し込む
  8. サポートへの連絡からGPUが戻ってくるまで一ヶ月以上

雑感

PCパーツは初期不良対応の期間は最低でも2週間できれば一ヶ月あるところで買うべき。
初期不良の対応期間が1週間しかないところで買ったのであっという間に過ぎ去ってしまい、 GPUが怪しいとは思いながらも他のパーツを疑うということをしてしまった。
何かあった時に手早く交換や返品対応してくれるAmazonがこういうときは強い。

パーツをまとめ買いしちゃうと初期不良チェックが大変なので避ける。

原因を切り分けるためにも別のPCが一台欲しい。
新しくPCを組んだからと言って古いPCを即処分するのは良くない。

困った時にググるのは良いがハードウェアが関係してくるトラブルは原因が様々すぎるので参考にとどめる。

アスクはチャットサポートが無く、メールの返信も遅く電話するのが最も早いという今どきつらいやつ。
サポートの対応自体は丁寧かつ簡潔で不満は無いのだが価格上乗せで払ってるしもうちょっと頑張ってほしいところ。
昔に比べると保証期間伸びたしこれでもまだマシな方というのが悲しい。

RMAに関しては申請から返送品の到着まで2週間足らずで保証期間が3年もあるEVGAが本当に強い。
個人輸入する必要があるしAmazon.comでは品薄なことが多いので手軽さには欠ける。