前書き
このガイドでは、Ubuntu 18.04でFlaskマイクロフレームワークを使用してPythonアプリケーションを構築します。 この記事の大部分は、uWSGI application serverを設定する方法と、アプリケーションを起動し、フロントエンドのリバースプロキシとして機能するようにNginxを構成する方法について説明します。
前提条件
このガイドを開始する前に、次のものが必要です。
-
Ubuntu 18.04がインストールされたサーバーと、sudo特権を持つ非rootユーザー。 ガイダンスについては、initial server setup guideに従ってください。
-
How To Install Nginx on Ubuntu 18.04のステップ1と2に従って、Nginxがインストールされました。
-
サーバーを指すように構成されたドメイン名。 Namecheapで購入するか、Freenomで無料で入手できます。 関連するdocumentation on domains and DNSをたどることで、ドメインをDigitalOceanにポイントする方法を学ぶことができます。 次のDNSレコードを必ず作成してください。
-
サーバーのパブリックIPアドレスを指す
your_domainを含むAレコード。 -
サーバーのパブリックIPアドレスを指す
www.your_domainを含むAレコード。
-
-
アプリケーションサーバーであるuWSGIおよびWSGI仕様に精通している。 定義と概念のThis discussionは、両方を詳細に説明しています。
[[step-1 -—- installing-the-components-from-the-ubuntu-repositories]] ==ステップ1—Ubuntuリポジトリからのコンポーネントのインストール
最初のステップは、Ubuntuリポジトリから必要なすべてのピースをインストールすることです。 Pythonコンポーネントを管理するために、Pythonパッケージマネージャーであるpipをインストールします。 また、uWSGIのビルドに必要なPython開発ファイルも取得します。
まず、ローカルパッケージインデックスを更新し、Python環境を構築できるパッケージをインストールしましょう。 これらには、堅牢なプログラミング環境に必要ないくつかのパッケージと開発ツールに加えて、python3-pipが含まれます。
sudo apt update
sudo apt install python3-pip python3-dev build-essential libssl-dev libffi-dev python3-setuptoolsこれらのパッケージを用意したら、プロジェクトの仮想環境の作成に進みましょう。
[[step-2 -—- creating-a-python-virtual-environment]] ==ステップ2—Python仮想環境の作成
次に、Flaskアプリケーションをシステム上の他のPythonファイルから分離するために、仮想環境を設定します。
python3-venvパッケージをインストールすることから始めます。これにより、venvモジュールがインストールされます。
sudo apt install python3-venv次に、Flaskプロジェクトの親ディレクトリを作成しましょう。 作成後、ディレクトリに移動します。
mkdir ~/myproject
cd ~/myproject次を入力して、FlaskプロジェクトのPython要件を保存する仮想環境を作成します。
python3.6 -m venv myprojectenvこれにより、Pythonとpipのローカルコピーがプロジェクトディレクトリ内のmyprojectenvというディレクトリにインストールされます。
仮想環境内にアプリケーションをインストールする前に、アクティブ化する必要があります。 次のように入力してください:
source myprojectenv/bin/activateプロンプトが変わり、仮想環境内で操作していることが示されます。 この(myprojectenv)user@host:~/myproject$のようになります。
[[step-3 -—- setting-up-a-flask-application]] ==ステップ3—Flaskアプリケーションのセットアップ
仮想環境になったので、FlaskとuWSGIをインストールして、アプリケーションの設計を開始できます。
まず、pipのローカルインスタンスを使用してwheelをインストールし、ホイールアーカイブがない場合でもパッケージがインストールされるようにします。
pip install wheelNote
[.note]#使用しているPythonのバージョンに関係なく、仮想環境をアクティブ化するときは、(pip3ではなく)pipコマンドを使用する必要があります。
#
次に、FlaskとuWSGIをインストールしましょう。
pip install uwsgi flaskサンプルアプリの作成
Flaskが使用可能になったので、簡単なアプリケーションを作成できます。 フラスコはマイクロフレームワークです。 より多くのフル機能のフレームワークが提供するツールの多くは含まれておらず、主にプロジェクトにインポートしてWebアプリケーションの初期化を支援できるモジュールとして存在します。
アプリケーションはもっと複雑かもしれませんが、myproject.pyという単一のファイルにFlaskアプリを作成します。
nano ~/myproject/myproject.pyアプリケーションコードはこのファイルに保存されます。 Flaskをインポートし、Flaskオブジェクトをインスタンス化します。 これを使用して、特定のルートが要求されたときに実行する必要がある機能を定義できます。
~/myproject/myproject.py
from flask import Flask
app = Flask(__name__)
@app.route("/")
def hello():
return "Hello There!
"
if __name__ == "__main__":
app.run(host='0.0.0.0')これは基本的に、ルートドメインにアクセスしたときに表示するコンテンツを定義します。 完了したら、ファイルを保存して閉じます。
サーバーの初期セットアップガイドに従った場合、UFWファイアウォールを有効にする必要があります。 アプリケーションをテストするには、ポート5000へのアクセスを許可する必要があります。
sudo ufw allow 5000次のように入力して、Flaskアプリをテストできます。
python myproject.py次のような出力が表示されます。これには、本番環境でこのサーバー設定を使用しないように促す警告が含まれています。
Output* Serving Flask app "myproject" (lazy loading)
* Environment: production
WARNING: Do not use the development server in a production environment.
Use a production WSGI server instead.
* Debug mode: off
* Running on http://0.0.0.0:5000/ (Press CTRL+C to quit)WebブラウザでサーバーのIPアドレスに続いて:5000にアクセスします。
http://your_server_ip:5000このようなものが見えるはずです。
終了したら、ターミナルウィンドウでCTRL-Cを押して、Flask開発サーバーを停止します。
WSGIエントリポイントの作成
次に、アプリケーションのエントリポイントとして機能するファイルを作成しましょう。 これにより、uWSGIサーバーに対話する方法がわかります。
ファイルをwsgi.pyと呼びましょう:
nano ~/myproject/wsgi.pyこのファイルでは、アプリケーションからFlaskインスタンスをインポートして実行します。
~/myproject/wsgi.py
from myproject import app
if __name__ == "__main__":
app.run()完了したら、ファイルを保存して閉じます。
[[step-4 -—- configuring-uwsgi]] ==ステップ4—uWSGIの構成
これで、エントリポイントが確立されたアプリケーションが作成されました。 uWSGIの構成に進むことができます。
uWSGIサービングのテスト
uWSGIがアプリケーションを提供できることをテストしてみましょう。
これを行うには、エントリポイントの名前を渡すだけです。 これは、モジュールの名前(.py拡張子を除く)とアプリケーション内の呼び出し可能オブジェクトの名前で構成されます。 私たちの場合、これはwsgi:appです。
また、ソケットを指定して、公開されているインターフェイスとプロトコルで開始されるようにし、uwsgiバイナリプロトコルの代わりにHTTPを使用するようにします。 以前に開いたのと同じポート番号5000を使用します。
uwsgi --socket 0.0.0.0:5000 --protocol=http -w wsgi:appWebブラウザの末尾に:5000を追加して、サーバーのIPアドレスに再度アクセスします。
http://your_server_ip:5000アプリケーションの出力が再び表示されるはずです。
正常に機能していることを確認したら、ターミナルウィンドウでCTRL-Cを押します。
これで仮想環境が完成したので、非アクティブ化できます。
deactivatePythonコマンドはすべて、システムのPython環境を再び使用するようになります。
uWSGI構成ファイルの作成
uWSGIがアプリケーションを提供できることをテストしましたが、最終的には長期の使用に対してより堅牢なものが必要になります。 これに関連するオプションを使用して、uWSGI構成ファイルを作成できます。
そのファイルをプロジェクトディレクトリに配置し、myproject.iniと呼びましょう。
nano ~/myproject/myproject.ini内部では、uWSGIが設定を適用することを認識できるように、[uwsgi]ヘッダーから始めます。 wsgi.pyファイルから拡張子を引いたものを参照するモジュール自体と、ファイル内の呼び出し可能ファイルappの2つを指定します。
~/myproject/myproject.ini
[uwsgi]
module = wsgi:app次に、uWSGIにマスターモードで起動し、5つのワーカープロセスを生成して実際のリクエストを処理するように指示します。
~/myproject/myproject.ini
[uwsgi]
module = wsgi:app
master = true
processes = 5テスト中に、ネットワークポートでuWSGIを公開しました。 ただし、実際のクライアント接続を処理するためにNginxを使用し、uWSGIにリクエストを渡します。 これらのコンポーネントは同じコンピューター上で動作しているため、Unixソケットのほうがより高速で安全です。 ソケットmyproject.sockを呼び出して、このディレクトリに配置しましょう。
ソケットのアクセス許可も変更しましょう。 Nginxグループに、uWSGIプロセスの所有権を後で与えるため、ソケットのグループ所有者がそこから情報を読み取り、書き込みできることを確認する必要があります。 また、vacuumオプションを追加して、プロセスが停止したときにソケットをクリーンアップします。
~/myproject/myproject.ini
[uwsgi]
module = wsgi:app
master = true
processes = 5
socket = myproject.sock
chmod-socket = 660
vacuum = true最後に、die-on-termオプションを設定します。 これは、initシステムとuWSGIが各プロセス信号の意味について同じ仮定を持っていることを保証するのに役立ちます。 これを設定すると、2つのシステムコンポーネントが調整され、予想される動作が実装されます。
~/myproject/myproject.ini
[uwsgi]
module = wsgi:app
master = true
processes = 5
socket = myproject.sock
chmod-socket = 660
vacuum = true
die-on-term = trueお気付きかもしれませんが、コマンドラインから指定したようなプロトコルを指定していません。 これは、デフォルトで、uWSGIが他のサーバーと通信するように設計された高速バイナリプロトコルであるuwsgiプロトコルを使用して話すためです。 Nginxはこのプロトコルをネイティブに話すことができるため、HTTPによる通信を強制するよりもこれを使用する方が適切です。
終了したら、ファイルを保存して閉じます。
[[step-5 --- creating-a-systemd-unit-file]] ==ステップ5—systemdユニットファイルの作成
次に、systemdサービスユニットファイルを作成しましょう。 systemdユニットファイルを作成すると、Ubuntuのinitシステムが自動的にuWSGIを起動し、サーバーが起動するたびにFlaskアプリケーションを提供できるようになります。
開始するには、/etc/systemd/systemディレクトリ内に.serviceで終わるユニットファイルを作成します。
sudo nano /etc/systemd/system/myproject.service内部では、メタデータと依存関係を指定するために使用される[Unit]セクションから始めます。 ここにサービスの説明を入れて、ネットワーキングターゲットに到達した後にのみ開始するようにinitシステムに伝えましょう。
/etc/systemd/system/myproject.service
[Unit]
Description=uWSGI instance to serve myproject
After=network.target次に、[Service]セクションを開きます。 これにより、プロセスを実行するユーザーとグループを指定します。 関連するすべてのファイルを所有しているため、通常のユーザーアカウントにプロセスの所有権を与えましょう。 また、www-dataグループにグループの所有権を与えて、NginxがuWSGIプロセスと簡単に通信できるようにします。 ここのユーザー名をユーザー名に置き換えてください:
/etc/systemd/system/myproject.service
[Unit]
Description=uWSGI instance to serve myproject
After=network.target
[Service]
User=sammy
Group=www-data次に、作業ディレクトリをマップし、PATH環境変数を設定して、プロセスの実行可能ファイルが仮想環境内にあることをinitシステムが認識できるようにします。 サービスを開始するコマンドも指定しましょう。 Systemdでは、仮想環境内にインストールされているuWSGI実行可能ファイルへのフルパスを指定する必要があります。 プロジェクトディレクトリに作成した.ini構成ファイルの名前を渡します。
ユーザー名とプロジェクトパスを独自の情報に置き換えることを忘れないでください。
/etc/systemd/system/myproject.service
[Unit]
Description=uWSGI instance to serve myproject
After=network.target
[Service]
User=sammy
Group=www-data
WorkingDirectory=/home/sammy/myproject
Environment="PATH=/home/sammy/myproject/myprojectenv/bin"
ExecStart=/home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini最後に、[Install]セクションを追加しましょう。 これにより、起動時に起動できるようにした場合、このサービスをリンクする対象がsystemdに指示されます。 通常のマルチユーザーシステムが稼働しているときにこのサービスを開始する必要があります。
/etc/systemd/system/myproject.service
[Unit]
Description=uWSGI instance to serve myproject
After=network.target
[Service]
User=sammy
Group=www-data
WorkingDirectory=/home/sammy/myproject
Environment="PATH=/home/sammy/myproject/myprojectenv/bin"
ExecStart=/home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini
[Install]
WantedBy=multi-user.targetこれで、systemdサービスファイルが完成しました。 今すぐ保存して閉じます。
これで、作成したuWSGIサービスを開始し、起動時に開始できるように有効化できます。
sudo systemctl start myproject
sudo systemctl enable myprojectステータスを確認しましょう:
sudo systemctl status myproject次のような出力が表示されます。
Output● myproject.service - uWSGI instance to serve myproject
Loaded: loaded (/etc/systemd/system/myproject.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2018-07-13 14:28:39 UTC; 46s ago
Main PID: 30360 (uwsgi)
Tasks: 6 (limit: 1153)
CGroup: /system.slice/myproject.service
├─30360 /home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini
├─30378 /home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini
├─30379 /home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini
├─30380 /home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini
├─30381 /home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.ini
└─30382 /home/sammy/myproject/myprojectenv/bin/uwsgi --ini myproject.iniエラーが表示された場合は、チュートリアルを続行する前にエラーを解決してください。
[[step-6 -—- configuring-nginx-to-proxy-requests]] ==ステップ6—Nginxからプロキシリクエストへの設定
これで、uWSGIアプリケーションサーバーが起動して実行され、プロジェクトディレクトリのソケットファイルに対する要求を待機します。 uwsgiプロトコルを使用してそのソケットにWebリクエストを渡すようにNginxを構成しましょう。
Nginxのsites-availableディレクトリに新しいサーバーブロック構成ファイルを作成することから始めます。 ガイドの残りの部分と一致させるために、これをmyprojectと呼びましょう。
sudo nano /etc/nginx/sites-available/myprojectサーバーブロックを開き、デフォルトのポート80でリッスンするようにNginxに指示します。 また、サーバーのドメイン名のリクエストにこのブロックを使用するように伝えましょう。
/etc/nginx/sites-available/myproject
server {
listen 80;
server_name your_domain www.your_domain;
}次に、すべてのリクエストに一致する場所ブロックを追加しましょう。 このブロック内に、設定する必要のあるいくつかの一般的なuWSGIパラメーターを指定するuwsgi_paramsファイルを含めます。 次に、uwsgi_passディレクティブを使用して定義したソケットにリクエストを渡します。
/etc/nginx/sites-available/myproject
server {
listen 80;
server_name your_domain www.your_domain;
location / {
include uwsgi_params;
uwsgi_pass unix:/home/sammy/myproject/myproject.sock;
}
}完了したら、ファイルを保存して閉じます。
作成したNginxサーバーブロック構成を有効にするには、ファイルをsites-enabledディレクトリにリンクします。
sudo ln -s /etc/nginx/sites-available/myproject /etc/nginx/sites-enabledそのディレクトリにあるファイルで、次のように入力して構文エラーをテストできます。
sudo nginx -tこれが問題を示さずに戻る場合、Nginxプロセスを再起動して新しい設定を読み取ります。
sudo systemctl restart nginx最後に、ファイアウォールを再度調整しましょう。 ポート5000を介してアクセスする必要がなくなったため、そのルールを削除できます。 その後、Nginxサーバーへのアクセスを許可できます。
sudo ufw delete allow 5000
sudo ufw allow 'Nginx Full'これで、Webブラウザでサーバーのドメイン名に移動できるはずです。
http://your_domainアプリケーションの出力が表示されるはずです。
エラーが発生した場合は、次を確認してください。
-
sudo less /var/log/nginx/error.log:Nginxエラーログをチェックします。 -
sudo less /var/log/nginx/access.log:Nginxアクセスログをチェックします。 -
sudo journalctl -u nginx:Nginxプロセスログをチェックします。 -
sudo journalctl -u myproject:FlaskアプリのuWSGIログを確認します。
[[ステップ-7 ---アプリケーションの保護]] ==ステップ7—アプリケーションの保護
サーバーへのトラフィックを安全に保つために、ドメインのSSL証明書を取得しましょう。 これを行うには、Let’s Encrypt、generating a self-signed certificate、またはbuying one from another providerから無料の証明書を取得し、How to Create a Self-signed SSL Certificate for Nginx in Ubuntu 18.04の手順2から6に従って、それを使用するようにNginxを構成するなど、複数の方法があります。 。 便宜上、オプション1を使用します。
まず、Certbot Ubuntuリポジトリを追加します。
sudo add-apt-repository ppa:certbot/certbot受け入れるには、ENTERを押す必要があります。
次に、aptを使用してCertbotのNginxパッケージをインストールします。
sudo apt install python-certbot-nginxCertbotは、プラグインを介してSSL証明書を取得するさまざまな方法を提供します。 Nginxプラグインは、必要に応じてNginxの再構成と構成の再読み込みを処理します。 このプラグインを使用するには、次を入力します。
sudo certbot --nginx -d your_domain -d www.your_domainこれは、--nginxプラグインでcertbotを実行し、-dを使用して、証明書を有効にする名前を指定します。
certbotを初めて実行する場合は、電子メールアドレスを入力し、利用規約に同意するように求められます。 その後、certbotはLet’s Encryptサーバーと通信し、チャレンジを実行して、証明書を要求しているドメインを制御していることを確認します。
それが成功すると、certbotはHTTPS設定をどのように構成するかを尋ねます。
OutputPlease choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):選択してからENTERを押します。 設定が更新され、Nginxがリロードして新しい設定を取得します。 certbotは、プロセスが成功したことと、証明書が保存されている場所を通知するメッセージで終了します。
OutputIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/your_domain/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/your_domain/privkey.pem
Your cert will expire on 2018-07-23. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the "certonly" option. To non-interactively renew *all* of
your certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le前提条件のNginxのインストール手順に従った場合、冗長HTTPプロファイルの許可は不要になります。
sudo ufw delete allow 'Nginx HTTP'構成を確認するために、https://を使用してもう一度ドメインに移動しましょう。
https://your_domainブラウザのセキュリティインジケータとともに、アプリケーションの出力がもう一度表示され、サイトが保護されていることを示すはずです。
結論
このガイドでは、Python仮想環境内で簡単なFlaskアプリケーションを作成して保護しました。 WSGI対応アプリケーションサーバーがインターフェイスできるようにWSGIエントリポイントを作成し、この機能を提供するようにuWSGIアプリサーバーを構成しました。 その後、systemdサービスファイルを作成して、起動時にアプリケーションサーバーを自動的に起動しました。 また、Let's Encryptを使用して、Webクライアントトラフィックをアプリケーションサーバーに渡し、外部リクエストを中継し、サーバーへのトラフィックを保護するNginxサーバーブロックを作成しました。
Flaskは非常にシンプルですが、非常に柔軟なフレームワークであり、構造や設計に制限をかけすぎることなく、アプリケーションに機能を提供することを目的としています。 このガイドで説明されている一般的なスタックを使用して、設計したフラスコアプリケーションを提供できます。