uWSGI on OpenWrt

以下の内容は OpenWrt 19.x の時点でのやや古いものであり当面の間は残しておくが、最近の 23.05 に基いた新しい文書を別途作成したので、通常は新しい方を参照して欲しい。

OpenWrt ルーターに Django を導入したいと思ったので、それにあたってはその下準備として、アプリケーションサーバーを整えておく必要がある。Python 系のアプリケーションサーバーとしては uWSGI が定番のようなので、まずここでは uWSGI 環境の構築について一通り行いたいと思う。

luci-ssl-nginx

OpenWrt では luci-ssl-nginx というパッケージがあり、これを導入するとデフォルトの uHTTPd 環境の LuCI に代えて、NGINX(かつ SSL)環境の LuCI が動くようになる。この環境において、Lua プログラムである LuCI に NGINX が CGI としてリレーするために、uWSGI が使われている。この場合は、uWSGI はあくまでも CGI を扱うためのアプリケーションサーバーの一種として使われているだけで、Python 固有の WSGI サーバーとして使われているわけではないが、それでも NGINX ⇔ uWSGI 間のプロトコルは uwsgi プロトコルが使われている点は特筆すべき点だろう(NGINX は uwsgi プロトコルにネイティブ対応している)。

NGINX が uwsgi プロトコルを使うということは、設定ファイル中で uwsgi_* プレフィックスを使った設定が行え、uwsgi_pass でソケットを通じて uWSGI にリレーできることを意味している。

例えば、OpenWrt の luci-ssl-nginx を入れた状態では uWSGI 関連の設定は次のようになっている。

/etc/nginx/luci_uwsgi.conf(/etc/nginx/nginx.conf からインクルードされている)

location /cgi-bin/luci {
  index  index.html;
  include uwsgi_params;
  uwsgi_param SERVER_ADDR $server_addr;
  uwsgi_modifier1 9;
  uwsgi_pass unix:////var/run/luci-webui.socket;
}
location ~ /cgi-bin/cgi-(backup|download|upload|exec) {
  include uwsgi_params;
  uwsgi_param SERVER_ADDR $server_addr;
  uwsgi_modifier1 9;
  uwsgi_pass unix:////var/run/luci-cgi_io.socket;
}

location /luci-static {
}

location /ubus {
        ubus_interpreter;
        ubus_socket_path /var/run/ubus.sock;
        ubus_parallel_req 2;
}

uWSGI と関係しているのは、/cgi-bin/luci と /cgi-bin/cgi-(backup|download|upload|exec) のブロック。いずれも uwsgi_pass で UNIX ソケットに繋いでいる。uwsgi_modifier1 を 9 にしているということは、これはプロトコル的に CGI モードである(👉 The uwsgi Protocol)。NGINX と uWSGI は本来、uwsgi プロトコルで直結できるのだが、現状の OpenWrt ではこのように汎用的な CGI としての設定にしてあるようである(👉 OpenWrt 公式ガイド)。

LuCI on nginx is currently supported by using uwsgi as plain-cgi interpreter.

以下、uWSGI 側の設定について見てみる。

/etc/uwsgi/emperor.ini

[uwsgi]
strict = true
pidfile = /var/run/uwsgi.pid
emperor = /etc/uwsgi/vassals/*.ini
early-emperor = true
vacuum = true
emperor-on-demand-directory = /var/run/
emperor-required-heartbeat = 99
vassal-set = die-on-idle=true

uWSGI は emperor.ini が子プロセスの起動などを行っているようだが、具体的な個別の設定はこの emperor.ini にインクルードされている vassals/*.ini にある。LuCI の WebUI 用の .ini と、LuCI が呼び出す入出力用の CGI のための .ini の 2 種が定義されている。

/etc/uwsgi/vassals/luci-webui.ini

[uwsgi]
strict = true
if-not-env = UWSGI_EMPEROR_FD
socket = /var/run/luci-webui.socket
chmod-socket = 666
cheap = true
end-if =
plugin = cgi
cgi-mode = true
cgi = /www/
chdir = /usr/lib/lua/luci/
buffer-size = 10000
reload-mercy = 8
max-requests = 2000
limit-as = 200
reload-on-as = 256
reload-on-rss = 192
enable-threads = true
post-buffering = 8192
socket-timeout = 120
thunder-lock = true
plugin = syslog
logger = luci syslog:uwsgi-luci
log-route = luci luci:
disable-logging = true
req-logger = syslog:uwsgi-luci
log-format=%(method) %(uri) => return %(status) (%(rsize) bytes in %(msecs) ms)
threads = 3
processes = 3
cheaper-algo = spare
cheaper = 1
cheaper-initial = 1
cheaper-step = 1
master = true
idle = 360
/etc/uwsgi/vassals/luci-cgi_io.ini

[uwsgi]
strict = true
if-not-env = UWSGI_EMPEROR_FD
socket = /var/run/luci-cgi_io.socket
chmod-socket = 666
cheap = true
end-if =
plugin = cgi
cgi-mode = true
cgi = /www/
chdir = /usr/lib/lua/luci/
buffer-size = 10000
reload-mercy = 8
max-requests = 2000
limit-as = 200
reload-on-as = 256
reload-on-rss = 192
no-orphans = true
post-buffering = 8192
socket-timeout = 120
thunder-lock = true
plugin = syslog
disable-logging = true
req-logger = syslog:uwsgi-luci-cgi_io
log-format=%(method) %(uri) => return %(status) (%(rsize) bytes in %(msecs) ms)
chmod-socket = 666
cgi-safe = /usr/libexec/cgi-io
cgi-dontresolve = true
cgi-close-stdin-on-eof = true
cheap = true
idle = 360

ログファイルの設定など色々と細かい設定が並んでいるが、特記すべきなのは、socket を定義している点と、plugin として cgi を使い、その cgi のルートパスを設定している点だろう。socket は NGINX 側のものと対応しているのがわかるし、NGINX 側でも CGI プロトコルに設定してあるのだから、uWSGI 側でも CGI モードで設定するのは当然である。

Python プログラムを CGI として動かす

バッファーサイズ等の細かい調整は無視して、とりあえず CGI としてなら次のような設定で Python プログラムを動かすことができる。

/etc/uwsgi/vassals/cgi.ini

[uwsgi]
socket = /var/run/wsgi.socket
plugin = cgi
cgi = /mnt/data/www/default

そして NGINX 側でも、この socket に対して CGI プロトコルで接続する設定を適当な場所に追加する。

/etc/nginx/nginx.conf(抜粋)

    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        server_name _;
        return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl default_server;
        listen [::]:443 ssl default_server;
        server_name  localhost;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:DHE+AESGCM:DHE:!RSA!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!SEED";
        ssl_session_tickets off;

        ssl_certificate /etc/nginx/nginx.cer;
        ssl_certificate_key /etc/nginx/nginx.key;

        location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
            expires 365d;
        }

        include luci_uwsgi.conf;
+
+       location ~* \.py$ {
+            include uwsgi_params;
+            uwsgi_param SERVER_ADDR $server_addr;
+            uwsgi_modifier1 9;
+            uwsgi_pass unix:/var/run/wsgi.socket;
+       }

        root /mnt/data/www/default;
    }

Python プログラムを WSGI として動かす

結構正解に辿り着くまで苦労したのが、Python プログラムを CGI としてではなく、本来の WSGI として動かす設定についてである。

正解に辿り着いてしまえば、それほどのことでもないのだが、ポイントは、NGINX 側ではちゃんとプロトコルを uwsgi にすること(デフォルトなので uwsgi_modifier1 を記述しなければ 0 になるのだが、当初 LuCI 用の .ini の設定をコピーしたため、9 に指定のまま CGI プロトコルになってしまっていたために却ってうまく動かなかった)、wsgi.ini 側で plugin に python を指定することである。そうすれば、wsgi-file で指定した Python プログラムが実行される(下の例では wsgi-file ではなくより複雑な mount 設定を使っている)。

とりあえず、最終的に動くようになった例が以下:


opkg install uwsgi-python3-plugin

まずは uWSGI の Python プラグインをインストールしておく必要がある。

/etc/nginx/nginx.conf(抜粋)

    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        server_name _;
        return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl default_server;
        listen [::]:443 ssl default_server;
        server_name  localhost;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:DHE+AESGCM:DHE:!RSA!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!SEED";
        ssl_session_tickets off;

        ssl_certificate /etc/nginx/nginx.cer;
        ssl_certificate_key /etc/nginx/nginx.key;

        location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
            expires 365d;
        }

        include luci_uwsgi.conf;
+
+       location ~* \.py$ {
+            include uwsgi_params;
+            uwsgi_param SERVER_ADDR $server_addr;
+            #uwsgi_modifier1 0; # wsgi: 0; psgi: 5; cgi: 9
+            uwsgi_pass unix:/var/run/wsgi.socket;
+       }

        root /mnt/data/www/default;
    }
/etc/uwsgi/vassals/wsgi.ini

[uwsgi]
#protocol = http
plugin = python
socket = /var/run/wsgi.socket
chdir = /mnt/data/www/default
mount = /env.py=env.py
#stats = 192.168.10.1:9191
/mnt/data/www/default/env.py

def application(env, start_response):
    start_response('200 OK', [('Content-Type','text/plain')])
    query_string = env['QUERY_STRING']
    request_method = env['REQUEST_METHOD']
    content_type = env['CONTENT_TYPE']
    content_length = env['CONTENT_LENGTH']
    request_uri = env['REQUEST_URI']
    document_path = env['PATH_INFO']
    document_root = env['DOCUMENT_ROOT']
    server_protocol = env['SERVER_PROTOCOL']
    request_scheme = env['REQUEST_SCHEME']
    https = env['HTTPS']
    remote_addr = env['REMOTE_ADDR']
    remote_port= env['REMOTE_PORT']
    server_addr = env['SERVER_ADDR']
    server_port = env['SERVER_PORT']
    server_name = env['SERVER_NAME']
    content = f'''\
QUERY_STRING:\t{query_string}
REQUEST_METHOD:\t{request_method}
CONTENT_TYPE:\t{content_type}
CONTENT_LENGTH:\t{content_length}

REQUEST_URI:\t{request_uri}
PATH_INFO:\t{document_path}
DOCUMENT_ROOT:\t{document_root}
SERVER_PROTOCOL:\t{server_protocol}
REQUEST_SCHEME:\t{request_scheme}
HTTPS:\t{https}

REMOTE_ADDR:\t{remote_addr}
REMOTE_PORT:\t{remote_port}
SERVER_ADDR:\t{server_addr}
SERVER_PORT:\t{server_port}
SERVER_NAME:\t{server_name}
'''
    return [content.encode()]
https://(IP)/env.py にブラウザでアクセスした結果
QUERY_STRING:   
REQUEST_METHOD: GET
CONTENT_TYPE:   
CONTENT_LENGTH: 

REQUEST_URI:    /env.py
PATH_INFO:  /env.py
DOCUMENT_ROOT:  /mnt/data/www/default
SERVER_PROTOCOL:    HTTP/1.1
REQUEST_SCHEME: https
HTTPS:  on

REMOTE_ADDR:    192.168.10.109
REMOTE_PORT:    53328
SERVER_ADDR:    192.168.10.1
SERVER_PORT:    443
SERVER_NAME:    localhost

最後に

最初のうち、理解しにくくややこしいく感じたのが、サーバー(デーモンプログラム)同士である、uWSGI と NGINX の間は、uwsgi プロトコルで接続されていて、それは socket 設定行によって示されている(Web サーバー側が uwsgi プロトコル非対応の場合は socket 設定ではなく http-socket 設定になるだろうし、Web サーバーを別途置かずに uWSGI に Web サーバーも兼用させる場合は http 設定になる)という話と、Python プログラムと uWSGI の間は WSGI で接続する場合と従来の CGI で接続するという場合があるという話が、ごっちゃになっていた点かもしれない。

uWSGI に http プロトコルをしゃべらせれば、NGINX は不要なのだが、なぜあまりそういう使い方をしないのかという点も、すぐに納得行かず、一日モヤモヤしていた。だが、mount 設定でイチイチ REQUEST_URI と実際のパスの対応付けを予め列挙しておかなければならないのを見てもわかるように、uWSGI は本来、あまり静的コンテンツ処理向きのものではない。なので基本的には静的コンテンツは NGINX で捌きつつ、動的コンテンツのみピンポイントで uWSGI にリレーするという運用方法が標準的に想定されたものなのだろうと思う。

まあともかく、Django を導入するにあたっての下準備としての uWSGI いじりはこのくらいまでやっておけば十分だと思うので、ここまでで一応終わりにすることにする。

コメント

コメントを投稿

このブログの人気の投稿

清水俊史『上座部仏教における聖典論の研究』

清水俊史さんという仏教学者(佛教大学出身)が、東大教授(花園大学卒→東大編入 or 再入学?)の馬場紀寿氏と論争の末、アカハラ被害に遭い、さらには出版妨害に遭った(参考: 日本テーラワーダ仏教教会 事務局長 佐藤哲朗さんの YouTube 動画 )という、問題作であるこの本を読んだ。 佐藤さんが紹介している Amazon の書評リンク にもある通り、この清水さんの本は、馬場氏の(今の東大教授としての地位へとつながる博士論文を母体とした)デビュー作『上座部仏教の思想形成――ブッダからブッダゴーサへ』の内容を完全否定するものである。 主に、清水さんの本の 3 部構成のうちの第 1 部がそれ(馬場説の完全否定劇)に該当する。 総括 第 1 部では、ブッダゴーサやダンマパーラに帰せられる著作群を主な材料として、小部の成立を軸とした三蔵の形成過程を考察した。以上をまとめれば、仏滅後からブッダゴーサを経てダンマパーラに至るまでに、三蔵は次のような段階を経て成立したと推定される。 仏滅後に残された様々な教えは、仏弟子たちによって、その内容に応じて律蔵と『長部』『中部』『相応部』『増支部』という経蔵四部とに収められ、僧団内にいる長部誦者や持律師と呼ばれる専門家たちがこれを伝承していった。この律蔵・四部から漏れた様々な種類の経典(主に偈頌経典)は、他の四部に比してより在家的・通俗的な蔵外文献として伝承され、『ジャータカ』と『ダンマパダ』の例外を除いて専門の誦者や伝持者は僧団内に存在しなかった。 これら四部の外側に累積していった蔵外文献(主に偈頌経典)は、 後に経蔵の第五部「小部」として三蔵内に組み込まれるが、経蔵が五部に再編成された後も小部の構成は固定的ではなく流動的であった。そのため、小部のうちには、成立が早いとされる『スッタニパータ』『ダンマパダ』といった韻文経典のみならず、成立が遅いと考えられ る『義釈』『無礙解道』といった教理書も収められている。このような編纂事情ゆえに、上座部における小部の伝持形態は、「小部」というーまとまりのセットで伝持するという意識が希薄であり、各々の文献単位で別個に伝持されていった。 また、小部の成立だけでなく、阿毘達磨蔵七書と律蔵附随の成立も遅いことが考えられるが、これら小部・阿毘達磨蔵・律蔵附随の成立の具体的な先後関係は不明であ
続きを読む

シークエンスパパともの先見の明

イメージ
先日、シンクロニシティ的に、故・シークエンスパパともが 2 年前に行った未解決事件に対する霊視が、ギャル霊媒師飯塚唯氏が最近行った霊視と、互いに補完し合うような内容であるということを ブログに 認 したた めた ばかりである。 ところで、さらにもう一つの、パパともの霊能力に関する(僕にとって)シンクロニシティ的なタイミングで到来した情報が発生した。 シークエンスはやとものチャンネルの動画などを観るようになったのがきっかけで、YouTube のお勧めに、オカルト系のチャンネルが多数表示されるようになってきたのだが、その一つに「都市ボーイズ」という都市伝説を中心としたオカルト系チャンネルがあった。こういうものを観だしたらキリがないので、基本はスルーしていたのだが、その都市ボーイズ(放送作家の岸本誠と早瀬康広のコンビ)がチャンネルにはやともがゲストで出演して生霊鑑定を行っていたのを観たので、そこから芋蔓式に都市ボーイズのチャンネルの動画も何本か観たりするようになった。 都市ボーイズはやせの黒魔術 当初は、はやせ(早瀬康広)に「黒い呪いのようなものがまとわりついている」という、はやともの生霊鑑定の結果を深掘りすべく、関連する動画を追った。はやせは、呪物コレクターであり、その上、最近(約 10 ヶ月前に公開された動画)、「呪いを飼い馴らして、黒魔術的な力を自分のものにする」という修行というか通過儀礼を行っていたというのである。 儀式を無事に終えて台湾系の呪術師に合格が認められたはやせは、「数年以内に自動的に能力が開花し、自分で自覚するだろう」と言われたという。 都市ボーイズはやせを怒らせた霊能者 そのようなはやせを擁する都市ボーイズだが、先日、「【テレビの闇】インチキ霊能力者にテレビ出演邪魔されました!【インチキ霊能者】」という刺激的なタイトルの動画が、たまたま僕が暇だった時、公開されたばかりのタイミングで見つけてしまったので、早速その動画を観た。 約 1 年前、とある霊能者の霊的な〝脅迫〟によって、はやせはテレビ出演を直前で降板させられてしまったそうである。 僕は、テレビは観なくなって久しい人間で、それこそ霊能者というとシークエンスはやともの言う「心霊第 3 世代」の宜保愛子で止まっていて、江原啓之ですら雑誌の見出しで名前を知っ
続きを読む

シークエンスパパとも 本物の霊能力

イメージ
シークエンスはやともを知ったきっかけ TV を見ない僕がシークエンスはやとも(YouTuber。吉本興業所属)の存在を知ったのは、今年の春(3 月か 4 月)の頃だったと思うが、YouTube でふと宜保愛子の動画を探していて、彼が宜保愛子を称賛するものを見つけて以来だったと思う。 それ以来いくつかの彼の動画をちょくちょく観るようになって、彼の霊能力が父親(シークエンスパパとも)譲りであり、パパともも息子のはやともに勧められて(癌闘病の傍ら)YouTuber として活躍していたのだが、残念ながら今年 1 月末に逝去していた、ということなどを知るようになった。 シークエンスパパともを知ったきっかけ はやとも流れでパパともの動画を観るきっかけになったのは、画面脇のお勧めに出ていた親子対談の動画を見たのが切っ掛けだった。 そこでのパパともの宮本武蔵に関するコメント(「晩年の宮本武蔵は一生懸命仏像を彫ったりしていたが、(若い頃)子供の道場主を殺したりしていたことによる怨霊は除霊できなかった」)に少しシビれた。息子のはやともが、まだ若いせいもあって、ちょっと話がマクロな(思想論や社会論的な)方向に行くと、厨二病的な傾向があるのには食傷気味な感じがあった。一方で、パパともの宗教・倫理観的な考えの方がその点、人間的な深さを感じるものがあったので、それがパパともに興味を引かれたきっかけだった。 パパともの霊能力に衝撃を受けた理由 そこで、初めて、パパとものチャンネルの動画もいくつか観たりしたのだが、「未解決事件を霊視する」という中々に攻めた企画を初期にやっていて興味深かったのだが、中に、上野の不忍池での事件(僕自身はこの 2006 年の事件については知らなかった)を扱ったものがあった: 「あっ!」と思ったのが、奇しくも前日(2023-06-28)、全く別のチャンネルの別の動画で、霊媒師が同じ事件を霊視するという企画のものを観ていたのだった: 千原せいじの YouTube チャンネルで、彼がコラボをしている飯島唯という通称・ギャル霊媒師の方が霊視をしている。 パパともの動画は 2021-05-12 と 2021-05-15 に公開されたものであるのに対し、ギャル霊媒師の動画は 2023-06-28 公開であり、僕はたまたま公開
続きを読む