吹き飛んだ家鯖の環境再構築の一環でcertbotを再設定し、証明書の更新テストを行ったところ「the following renewal configurations were invalid」なるエラーが発生した。

$ sudo certbot --dry-run renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /usr/local/etc/letsencrypt/renewal/hoge.example.com-0001.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
（略）
Cleaning up challenges

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed without reload, fullchain is
/usr/local/etc/letsencrypt/live/hoge.example.com-0001/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /usr/local/etc/letsencrypt/renewal/hoge.example.com.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Traceback (most recent call last):
  File "/usr/local/lib/python3.8/site-packages/certbot/_internal/renewal.py", line 70, in _reconstitute
    renewal_candidate = storage.RenewableCert(full_path, config)
  File "/usr/local/lib/python3.8/site-packages/certbot/_internal/storage.py", line 468, in __init__
    self._check_symlinks()
  File "/usr/local/lib/python3.8/site-packages/certbot/_internal/storage.py", line 538, in _check_symlinks
    raise errors.CertStorageError(
certbot.errors.CertStorageError: expected /usr/local/etc/letsencrypt/live/hoge.example.com/cert.pem to be a symlink
Renewal configuration file /usr/local/etc/letsencrypt/renewal/hoge.example.com.conf is broken. Skipping.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded:
  /usr/local/etc/letsencrypt/live/hoge.example.com-0001/fullchain.pem (success)

Additionally, the following renewal configurations were invalid:
  /usr/local/etc/letsencrypt/renewal/hoge.example.com.conf (parsefail)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
0 renew failure(s), 1 parse failure(s)

んん－？confファイルのパースエラー？というのは早計で、実際のエラーはその上に書いてある「certbot.errors.CertStorageError: expected /usr/local/etc/letsencrypt/live/hoge.example.com/cert.pem to be a symlink」というやつ。

要は/usr/local/etc/letsencrypt/live/ドメイン/以下のpemファイルは、/usr/local/etc/letsencrypt/archive/ドメイン/のpemファイルへのシンボリックリンクじゃないとダメらしい。liveの方を確認してみたら、確かにシンボリックリンクではなく実ファイルになっていた。

root@example:/usr/local/etc/letsencrypt/live/hoge.example.com # ls -al
total 32
drwxr-xr-x  2 root  wheel     7 Dec 21 08:06 .
drwx------  4 root  wheel     5 May  4 10:36 ..
-rw-r--r--  1 root  wheel   692 Aug 17  2019 README
-rw-r--r--  1 root  wheel  1834 Dec 21 08:06 cert.pem
-rw-r--r--  1 root  wheel  1586 Dec 21 08:06 chain.pem
-rw-r--r--  1 root  wheel  3420 Dec 21 08:06 fullchain.pem
-rw-------  1 root  wheel  1704 Dec 21 08:06 privkey.pem

確かな原因は分からないけど、Boot Environment環境への移行作業でやらかした線が濃厚。

となれば、シンボリックリンクにすれば解決するハズなんだけど、これまた「OpenSSL.crypto.Error」とかいうエラーが発生してダメだった。

そもそも同一ドメインに対して、何で「hoge.example.com.conf」と「hoge.example.com-0001.conf」の2つの設定があるんだ？というか、どちらのconfファイルも作った覚えはない。

色々試してみるとcertbot certonlyコマンドで証明書を取得すると、対応するconfファイルが自動で作られるっぽい。で、同名ファイル（同名ドメイン）が存在する場合、連番付きのconfになる模様。

それならばconfファイルと証明書を全部消し、証明書取得からやり直したところ、無事更新まで通った。confファイル置き場は/usr/local/etc/letsencrypt/renewal/ね。

• letsencryptで証明書更新したらなんかよくわからんがはまった件 | rikumaru-blog

家鯖の消費電力がとある時点から急に増えた。その差は実に30Wで明らかに誤差ではない。

FreeBSDな仮想マシンを起動すると増えるのは明白だったが、原因として思い当たることはなかった。が、ふとProxmox VEのCPU使用率グラフを見たら、FreeBSD 13.0-RELEASEに更新したタイミングでCPU利用率が大幅に上がっているのに気付いた。

FreeBSD内でtopしても特段高負荷なプロセスはなかったものの、よーく見てみるとSystemが4～5%となっており、何かがCPUを使ってるのは間違いない。そこでtop -SPでシステムの個別の状態を見てみると、rand_harvestqが定常的に1CPUの40～80%を食っていた。

プロセス名から察するに、乱数のエントロピー収穫用のプロセスである。エントロピー収穫の詳細は、手前みそながらこちら。

関連するシステム変数を見ても、特に変な個所はなさげ。しいて言えば、乱数源としてVirtIO Entropy Adapter (VirtIO RNG)とIntel Secure Key RNG (RDRAND)の2種類が使われてる点が仮想マシン特有ってところかな。

$ sysctl kern.random
kern.random.fortuna.concurrent_read: 1
kern.random.fortuna.minpoolsize: 64
kern.random.rdrand.rdrand_independent_seed: 0
kern.random.use_chacha20_cipher: 1
kern.random.block_seeded_status: 0
kern.random.random_sources: 'VirtIO Entropy Adapter','Intel Secure Key RNG'
kern.random.harvest.mask_symbolic: VMGENID,PURE_VIRTIO,PURE_RDRAND,[UMA],[FS_ATIME],SWI,INTERRUPT,NET_NG,[NET_ETHER],NET_TUN,MOUSE,KEYBOARD,ATTACH,CACHED
kern.random.harvest.mask_bin: 100001001000000111011111
kern.random.harvest.mask: 8683999
kern.random.initial_seeding.disable_bypass_warnings: 0
kern.random.initial_seeding.arc4random_bypassed_before_seeding: 0
kern.random.initial_seeding.read_random_bypassed_before_seeding: 0
kern.random.initial_seeding.bypass_before_seeding: 1

で、まぁ、色々と試してみたら、VirtIO Entropy Adapterが高負荷の原因だった。

その名の通り、VMでホスト側の乱数デバイスを使うための準仮想化デバイスなんだけど、ふつーに考えたら負荷は低くなるハズ。VirtIO RNGの乱数源は/dev/urandomにしてあるので、ブロックすることもないハズだし…。この辺、特にいじってはないんだけどなー、謎。

準仮想化で負荷が高くなっては本末転倒なので、VMからVirtIO RNGを取り除いて運用することにした。FreeBSD側ではIntel Secure Key RNGが動いてるので問題はないでしょう。

これで消費電力は無事元の水準に戻り、お財布の平和は保たれたのであった。

FreeBSDのMariaDB 10.3を10.5に更新し起動しようとしたら、以下のメッセージが出て起動できなかった。

$ sudo service mysql-server start
Please merge existing /usr/local/etc/my.cnf file with /usr/local/etc/mysql/conf.d/server.cnf
/usr/local/etc/rc.d/mysql-server: WARNING: failed precmd routine for mysql

my.cnfとserver.cnfをマージしろとな。

/usr/ports/UPDATINGを探ると以下の文言を発見。

20200526:
  AFFECTS: users of databases/mariadb104-client, databases/mariadb104-server
  AUTHOR: brnrd@FreeBSD.org

  The ports now add sample configuration files to /usr/local/etc/mysql. You
  must merge your client configuration with the conf.d/client.cnf and your
  server configuration with conf.d/server.cnf.

MariaDB 10.4から設定ファイル置き場が/usr/local/etc/mysqlになったっぽい。今までmy.cnfに一緒くたで書いていたサーバ、クライアントの設定は、それぞれconf.d/server.cnfとconf.d/client.cnfに分ける流儀になった模様。一応、my.cnfも存在するので、そこに書いても問題はないだろうけど…

とりあえず目マージで対応し、/usr/local/etc/my.cnfを消したところ、無事起動することを確認。

最初に謝っておこう。復旧と言ってるけど、実態としては殆ど新規インストールなんだ、すまない。

誤って家鯖のFreeBSDを飛ばしたわけだけども、13.0-RELEASEの完全クリーンインストールはやめ、既存環境を上書きする形で12.2-RELEASEを起動できる状態にいったん戻すことにした。FreeBSD標準の自動インストールでは、ストレージの現在のパーティションを生かす方法がなく、結局手動でアレコレする羽目になる。だったら、手っ取り早く上書きインストールした方が簡単かなと。

上書きインストール、というかFreeBSDのインストール自体は/usr/freebsd-distにあるアーカイブをファイルシステムに展開するだけ（と少々の起動設定）なんだけど、せっかくなのでbsdinstallを使ってみた。

必要な環境変数を設定し、bsdinstall distextractを実行するとアーカイブを展開してくれる。

まずはFreeBSDのインストーラでマシンを起動し、Shellに落ちて、破損したシステムをマウントする。うちはRoot on ZFS環境なので↓のような感じ。

# mkdir /tmp/zroot
# zpool import -f -R /tmp/zroot zroot

続いて環境変数の設定。

# export BSDINSTALL_DISTDIR=/usr/freebsd-dist
# export DISTRIBUTIONS="base.txz kernel.txz lib32.txz"
# export BSDINSTALL_CHROOT=/tmp/zroot/

でもってbsdinstallを実行。

# bsdinstall distextract

すると見慣れたFreeBSD Installer画面になって展開が進む。終わるとシェルに戻ってくる。

ZFS起動に必要な設定を書き込む。

# echo 'zfs_load="YES"' >> /tmp/boot/loader.conf
# echo 'zfs_enable="YES"' >> /tmp/etc/rc.conf

念のためプールをエクスポート＆再起動

# zpool export zroot
# reboot

これで、新規12.2-RELEASEが立ち上がった。以前のデータの残り具合次第では、ある程度、設定済みの環境も戻ってくるだろう。自分の場合、/usrと/etcが完全に消えたので、殆どクリーンインストールと一緒だけどな！気持ち的には、秘伝の家鯖の血脈は保たれた。まっさらな環境だけどな！

ベニクラゲのように若返ったとでも思っておこう。

(2021/04/26 追記)

環境構築を進めてみると/usr/local/etcがほぼほぼ残っていることが判明。これは名実ともに血脈が保たれたと言ってもいいのでは…！？しかしあれだ、ちゃんとバックアップは取っておきましょうね。

• bsdinstall(8)
• freebsd/zfsboot at master · lattera/freebsd · GitHub

家鯖のFreeBSDをミスってrm -rf /してしまった。ぼくも流石にそこまでアホではないので、rm -rf /を直接実行したわけではなく、結果としてそうなったという感じ。いにしえのRoot on ZFS環境からBoot EnvironmentなZFS構成に変更していた際の出来事である。

幸い/usr/homeは別プールでマウントもしていなかったので最悪の事態は免れた。しかし、FreeBSD 9-BETA3の頃から連綿と続いてきた環境が飛んでしまった。途中で気づいたので全損ではないが、何がどこまで残ってるのかも分からないし調べるのも面倒。ここは素直に出たばかりの13.0-RELEASEで構築し直しですかね…。

システムの安らかな成仏を願いつ、本システムにまつわる昔話をしてみる。

本システムを組んだのは2011年10月頃。実際には夏頃から作り始めてた気がする。

当時動かしていた家鯖はポリカMac miniにUSB-SATA変換でHDDを繋いだものだった。HDDが足りなくなってきたこと、もう少し自由な環境にしたかったこと（BSDベースとはいえMacは何だかんだクセがあって大変だった）が理由で、移行先の調査をしていたところにFreeBSDとZFSを使う方法を見つけた。このころのHDDは容量の増加が伸び悩んでて、3TBのモデルが出回り始めた時世である。容量を稼ぐにはRAIDが必然だった。信頼性を取るとH/W RAIDになるが値段も消費電力も敷居も高く、一方チプセRAIDは身近でいい話を聞かなかったし、汎用性に欠けるので使いたくなかった。

こんな状況でZFSに出会ったものだから、まさに渡りに船状態、その衝撃たるや半端なかった。FreeBSDには多少の覚えがあったし、ちょうど放出品のMicroServerでNASを作るのが流行ってたこともあって、すぐさまFreeBSDとZFSな家鯖作りを始めたという具合。Root on ZFSな環境を作るのに、何回もFreeBSDをインストールし直し、幾度となくzpool, zfsコマンドを叩いた。めげずによくやったもんだわ。

それから10年、大きく5回のハードウェア構成変更、システムプールのHDD→SSD化、データプールの構成変更（RAID-Z [HDDx4]→RAID-Z+0 [HDDx3x2]→RAID-Z [HDDx4]→RAID-Z2 [HDDx5]）や物理と仮想を行ったり来たり、時にはカーネル更新に失敗してbuildworldする羽目になりながらも、途中での環境作り直しもなくやってきた。

• ProLiant MicroServer (AMD Turion II NEO N36L)
• H77 Pro4/MVP (Xeon E3-1240L)
  • ESXiでP2V
• Z77A-GD65 (Xeon E3-1260L)
  • 物理に戻した
• C2750D4I (Atom C2750)
• X10DRi (Xeon Xeon E5-2648Lv3 → E5-2673v3)
  • 当初物理、2021年2月からPVEでP2V

そんな秘伝のシステムを不注意でポアしてしまって本当に悲しい…。

Legacy ZFSブートからUEFIブートへの変更を乗り越え、今度はBoot Environment化を目論んでいたのに……そのための手順と記事をチマチマ書いてたのに………。ZFSなんだから、破壊的操作の前にスナップショット取っておけって話である。実際、取ろうかどうか迷った挙句、取らなかったんだよね…………。後悔先に立たず。