Category Archives: GoogleCloudPlatform

Google App Engineのサーバ証明書更新が自動化された。(もちろん無料)

以前の記事でLet’s Encryptを使った無料のSSLサーバ証明書更新の方法を記事にしました。

しかしLet’s Encryptは有効期限が3ヶ月の上、Google App EngineではCronでの自動更新も出来なかったため、かなり手間でした。

現時点ではベータ版ながら、Googleがサーバ証明書を管理、自動更新してくれる機能が発表されました。

コマンドを使った更新方法や、他社のサーバ証明書をアップロードする方法などの記載もありますが、管理コンソールからGoogleの管理を有効にする方法がオススメです。

・「設定」⇒「カスタムドメイン」タブを選択します。
証明書更新画面

・対象ドメインにチェックを付けて、「マネージドセキュリティを有効にする」ボタンを押します。
証明書更新画面
※新規にドメインを設定する場合は、「カスタムドメインを追加」よりドメインを登録してください。
 また、新規のドメイン取得は以下URLより。
【早い者勝ち!】 .com/.net/.jp ドメイン取るならお名前.com

・確認画面が表示されるため、OKを押す。
証明書更新確認画面

・暫く待つとサーバ証明書が更新されます。
更新後の証明書

以上の作業でとても簡単です。
とても簡単な上に、有効期限が近くなるとGoogleが勝手に更新してくれるらしいです。

サーバ証明書は、ドメインが増えてくると地味に更新が手間になります。
このように作業を自動化してくれるサービスは、とても助かりますね。

Let's Encryptロゴ

Google App Engine(独自ドメイン運用)にSSL/TLS証明書「Let’s Encrypt」を導入する。

Let’s Encryptとは

無料で利用できるSSL/TLS証明書です。
サイトのhttps化は、もう既に必須と言っても過言ではありません。
しかし、https化にはSSL/TLS証明書が必要であり、Symantecなどが販売している従来のSSL/TLS証明書は高価なものです。
当サイトのような個人が運営するサイトで導入するには、かなりハードルの高いものでした。
そこで最低限必要な機能のみに絞ったSSL/TLS証明書が出てきました。
Let’s Encryptは、電子フロンティア財団(EFF)が中心となった電子証明書無料配布プロジェクトです。

Let’s Encryptで出来ること、出来ないこと

SSL/TLSサーバ証明書には「ドメイン認証」「企業実在認証」「Extended Validation(EV)」の3種類が存在します。
Let’s Encryptは「ドメイン認証」の証明書です。
証明書を発行する際に、サイト内へチャレンジコードを設置する必要があるため、ドメインを所有している人しか証明書を取得できません。
その為、Let’s Encryptを利用することにより、サイト運営者がドメインを所有していることが証明されることになります。

「企業実在認証」や「Extended Validation(EV)」は、電話での所在確認や必要書類の提出など、厳格な審査が行われるため企業の物理的な存在が証明されます。

その他、サイト内にシールを表示する必要がある場合は、有料のSSL/TLS証明書を取得する必要があります。
また、Let’s Encryptの有効期限は90日であるため、有料のSSL/TLS証明書に比べて有効期限が短いです。
通常のLinuxサーバなどでしたら、Cronを利用し自動更新する設定が可能です。
※2017年1月現在、Google App Engineでは都度の手動更新が必要です。

詳細は、グローバルサイン社のブログをご参照ください。
SSL/TLS証明書無料化は進むか? ~Let’s Encryptに見る無料SSL/TLS証明書の台頭とその注意点~

Let’s Encryptの導入方法

こちらのブログを参考にさせて頂きました。
GAEでSSLの設定(Let’s Encrypt の導入備忘録)

個人的な備忘録として以下に纏めました。
1.Cloud Shwllを起動し、チャレンジ・レスポンス確認モードでコマンドを実行する。

cd certbot
sudo ./certbot-auto -a manual certonly

2.証明書を発行するFQDNを入力する。

3.メッセージが表示されるが、まだEnterは押さない。

4.チャレンジコードを含むURLとレスポンスコードが表示されるため、以下のURLにファイルを置く。(GAEではapp.yamlを使って設定する。)
http://独自ドメイン/.well-known/acme-challenge/チャレンジコード

※app.yamlでの設定方法
・app.yamlに以下を記述する。

- url: /.well-known/acme-challenge/?(.{5}).*
  static_files: static/letsencrypt/\1.txt
  upload: static/letsencrypt/(.+)
  mime_type: text/plain

・static/letsencrypt/にチャレンジコードの頭五桁をファイル名としたテキストファイルを設置する。

・テキストファイル内にレスポンスコードを記載する。

5.先程のメッセージ表示を確認の上、Enterキーを押す。

6.以下のディレクトリに公開鍵証明書が作成されているため確認する。
/etc/letsencrypt/archive/hiromeru.net/fullchain.pem

7.確認したキーの内容をCloud Consoleの「設定」→「SSL証明書」→「新しい証明書をアップロード」に貼り付ける。

8.以下のディレクトリにRSA秘密鍵が作成されているため、以下のコマンドで内容を確認する。

sudo openssl rsa -inform pem -in /etc/letsencrypt/archive/独自ドメイン/privkey.pem -outform pem | less

9.上記7で表示しているアップロード画面に貼り付ける。

10.アップロードしたSSL証明書のリンクをクリックし「次のカスタム ドメインに対して SSL を有効にします」の項目で設定したいドメインにチェックを入れて、保存ボタンを押します。

Google Cloud Platformが東京に上陸?GAEでAsiaリージョンが選択可能に!

2016年10月31日時点で発表はありませんが、ほぼ間違いないようです。
Google Cloud Platformが東京に上陸しました。

GoogleCloud・東京に上陸??
GoogleCloud・東京に上陸??

そしてGoogle Cloud Platformのサービスのうち、GAE(Google App Engine)も「ASIA-NORTHEAST」が選択可能になっています。
適当にデプロイしてみたところ、問題なく稼働しました!

パフォーマンスの詳細は以下のブログが参考になります。

Google Cloud Platformに東京リージョンが追加されたようです
http://dev.classmethod.jp/cloud/google-cloud-platform-tokyo/

さぁ、これでGCPが日本で活躍する土俵が出来ました。
今後どのように広まるのか楽しみです。

ほぼ無料で稼働できるGoogle App Engineを試しています。

Google Cloud Platform(GCP)の一員となったGoogle App Engine(GAE)を試しています。
ようやくこのブログもGAEに移行しました。

https://cloud.google.com/appengine/?hl=ja&utm_source=google&utm_medium=cpc&utm_campaign=2015-q1-cloud-japac-jp-gae-bkws-freetrial-jap&utm_term=google%20app%20engine&gclid=CjwKEAjw1qHABRDU9qaXs4rtiS0SJADNzJis7aewDfgq7kpxhCCTGaCJSeHlIlCLsAJgZ0iVTAfnkhoC2dDw_wcB

App Engine  |  Google Cloud Platform

■GAEに移行した経緯

元々、このブログはさくらVPSで動いていました。
しかし、IOPS規制(ハードディスクへのアクセス規制)に頻繁に引っかかり、サーバがハングすることが多発しました。
移転先を考えたときに以下の記事を見つけました。

Google App Engineを無料で運用する方法(2016年版)

GAEは、今のところアジアにリージョンがなく「us-central」が最も近いロケーションとなり、レイテンシーが気になりましたが、この弱小サイトが遅くても誰も困らないということもあり、、ほぼ無料で使えるならば移行しない手はないということで即実行しました。

結局、Wordpressを稼働させるデータベースが必要なためGoogle Cloud SQLというサービスの契約が必要で、完全無料とはいきませんが、最小でひと月あたり千円ぐらいで運用が可能です。
GCPはあのPokemon GOも動いているらしいです。

■移行作業

とてつもなく大変でした。。
普通のLinuxサーバにデプロイするのとはわけが違いました。。

このへんは、また機会があれば詳細を書きたいと思います。
とりあえず、WordPressを動かすための手順をGoogleが公開していますので参考にしてみてください。
GoogleCloudPlatform/appengine-php-wordpress-starter-project · GitHub

■今後について

このGoogle Cloud Platform(GCP)ですが、2016年度中に東京リージョンが出来るとのことです。
Google Cloud Platform adds two new regions, 10 more to come
AmazonのAWSや、MicrosoftのAzureに押され気味のGoogleですが、2017年にかけて10以上の新リージョンを追加するとのこと。
AWSを抜くのは無理にしても、Azureぐらい超えてほしいですね。
何しろ、日本語の情報が少なすぎる・・利用者が増えて日本語の情報が増えてほしいです。