Ubuntu 16.04で10年間運用していたブログをFreeBSDへ移行

• Ubuntu 16.04 LTS ベースの DigitalOcean VPS はサポート終了とセキュリティ負担を抱えていたが、終了時点まで1491日のアップタイムを維持していた
• 新サーバーはドイツの Hetzner VPS と FreeBSD 14.3 へ移行し、従来の月額13ドルのサーバーより高性能な構成を月額6ユーロ未満で利用している
• Jails と Bastille によりサイトごとの分離環境を構築し、Caddy Jail が SSL とリバースプロキシを担当して各 nginx Jail へ転送する
• 負荷テストでは、新しい FreeBSD サーバーは 10,000 同時接続向けに kern.ipc.somaxconn を調整した後、リクエスト処理量が 3〜11 倍高い結果となった
• 移行には ネットワーキング と FreeBSD 設定の学習が必要だったが、設定の一元化とドキュメント品質のおかげで、想定より簡単に構成できた

移行の背景

• 既存のブログは DigitalOcean VPS で10年以上運用されており、ニューヨークのデータセンターにある Ubuntu 16.04 LTS を使っていた
  • Ubuntu 16.04 LTS は少なくとも5年前からサポート終了状態で、apt パッケージリポジトリの更新も受けられなかった
  • 古いシステムはセキュリティ上不利で、過去には別の WordPress ブログが古い VPS 上でカジノ・ギャンブルリンク挿入攻撃を受けたことがあった
• 既存サーバーはブログ以外にもいくつかのサイトを配信していたが、その大半は 静的サイト だった
  • 最も人気のあるブログでも通常は月に数千ページビュー程度で、Hacker News でいくつかの記事がバズった場合を除けばトラフィックは多くなかった
  • サーバーは nginx/1.10.3 で静的ファイルを配信し、サイトごとの設定は /etc/nginx/sites-available に置かれていた
  • ブログは Hugo で生成されており、従来のデプロイ手順はローカルで執筆 → リポジトリへコミット・プッシュ → サーバーへ SSH 接続 → リポジトリを pull → hugo 実行という流れだった
• 既存 VPS は当初テストやプログラミング用途にも使われていたため、古いソフトウェアが多く残っていた
  • それでも正常に動作しており、終了時点の アップタイムは1491日、約4年間再起動なしで運用されていた
• 新サーバーはドイツの Hetzner VPS へ移し、従来より高性能でありながら月額費用は半分以下になった
  • 従来の DigitalOcean サーバーは RAM 2GB、vCPU 1個、ディスク 50GB、月間トラフィック 2TB、月額13ドルだった
  • Hetzner の最安サーバーでも従来よりメモリと CPU が2倍で、ストレージはやや少ないもののトラフィックは10倍だった
  • 最終的に選んだ Hetzner 構成は、月額6ユーロ未満でさらに強力なスペックだった

FreeBSD を選んだ理由

• FreeBSD は、新しいシステムを実運用環境で試してみたくて選ばれた
  • 統合設計、安定性、セキュリティ、Jails が利点として挙げられる
• Jails は FreeBSD に25年以上含まれている仮想化・コンテナ化機能である
  • ホストシステムへアクセスできない「ミニシステム」をサンドボックスのように動かせる
  • Docker のようなコンテナソリューションがプログラムのパッケージング向きで、一時的・不変的な性格を持つのに対し、Jails は同じカーネルを共有するサブシステムやミニ VM に近いものとして扱える
• ZFS もサーバー向けファイルシステムとして魅力的な選択肢だった
  • データ完全性とスナップショット機能があり、Linux 側の Btrfs と似た面がある
  • ZFS は Btrfs よりはるかに成熟していると評価されており、頻繁にスナップショットを取れば VPS 事業者の有料スナップショット・バックアップシステムへの依存を減らせる
• 目標とした構成は、各サイトごとに1つの Jail を置き、それぞれの Jail に必要なビルドツールと nginx を入れる方式だった
  • メイン Web サーバー用の Jail は外部と接続するリバースプロキシを担当する
  • 特定の Jail が侵害された場合、その Jail を削除して新しく作り直せる構造を意図していた

FreeBSD のインストールと Bastille の導入

• Hetzner の VM 作成画面では標準 OS イメージが限られており、BSD はすぐには表示されなかった
  • FreeBSD 公式 YouTube チャンネルの Hetzner インストール動画 を参考にした
  • Hetzner は FreeBSD の ISO イメージを提供しているが、VM 作成後にコンソールの ISO Images タブでマウントする必要があった
  • インストールには FreeBSD 14.3 ISO を使用し、公式動画の手順に沿ってシステムを構成した
• Bastille は Jails 管理を簡単にするために選ばれた
  • 手動で Jail を作成するのに必要な複数の手順を bastille コマンドで処理できる
  • 例として bastille list、bastille create、bastille console などがある
  • インストールと有効化は Bastille 入門ドキュメント に従って行った

pkg install bastille
sysrc bastille_enable="YES"

ネットワークとリバースプロキシ構成

• 全体スタックは、1つの Caddy Jail がすべてのドメインと SSL 証明書を処理し、サイトごとの Jail へトラフィックをリバースプロキシする構成である
  • 各サイト Jail には、そのサイトをビルドして配信するのに必要なツールだけを含める
  • 同じネットワーク内の複数の仮想マシンに近い構造と見なせる
• 内部仮想ネットワークインターフェースは bastille0 として作成した

sudo sysrc cloned_interfaces+="lo1"
sudo sysrc ifconfig_lo1_name="bastille0"
sudo service netif cloneup
sudo sysrc ifconfig_bastille0="inet 10.0.0.1 netmask 255.255.255.0"

• ループバックインターフェースを複製して bastille0 という名前を付け、10.0.0.1/24 ネットワークを割り当てた
• Jail はこのネットワークインターフェース上で動作する
• 外部からの HTTP・HTTPS リクエストは PF(Packet Filter) ルールで Caddy Jail に転送される
  • /etc/pf.conf には外部インターフェース vtnet0、内部インターフェース bastille0、tailscale1 が設定されていた
  • 80、443 番ポートのトラフィックは Caddy サーバーとなる 10.0.0.5 へリダイレクトされる

ext_if = "vtnet0"
int_if = "bastille0"
vpn_if = "tailscale1"
set skip on $int_if
set skip on $vpn_if
nat on $ext_if from 10.0.0.0/24 to any -> ($ext_if)
rdr pass on $ext_if proto tcp from any to any port {80, 443} -> 10.0.0.5
block all
pass out quick on $ext_if keep state

• PF とゲートウェイは次のコマンドで有効化した

sysrc pf_enable="YES"
service pf start
sysrc gateway_enable="YES"

Caddy とサイトごとの Jail 構成

• 既存サーバーでは nginx を長年使っていたが、新構成では SSL 証明書管理を自動化するため Caddy を選んだ
  • 従来の nginx 環境では certbot で証明書を定期更新する必要があり、更新を逃したことが何度もあった
• Caddy Jail を作成する前に、FreeBSD リリースを Bastille にブートストラップした

bastille bootstrap 14.3-RELEASE

• Caddy Jail は 10.0.0.5 の IP で作成した

bastille create caddy 14.3-RELEASE 10.0.0.5 bastille0
bastille start caddy

• Jail 名は caddy、リリースは 14.3-RELEASE、インターフェースは bastille0 である
• bastille list で実行状態を確認でき、bastille console caddy で Jail 内のシェルに入れる
• Caddy のインストールとサービス有効化は Jail 内で行った

pkg install caddy
sysrc caddy_enable="YES"
service caddy start

• Caddy の設定ファイルは Jail 内の /usr/local/etc/caddy/Caddyfile にある
  • ホスト側から設定ファイルを管理するため、ホストディレクトリを Jail 内へマウントできる
  • 例では nullfs と読み取り専用 ro オプションでマウントし、Caddy が設定を変更できないようにしている

bastille mount caddy /usr/local/etc/my-caddy-config /usr/local/etc/caddy nullfs ro 0 0

サイトとブログのデプロイ

• 最初のデプロイ対象は es.cro.to で、サイトリポジトリは GitHub リポジトリ で管理されている
  • ホストの /usr/local/www/escroto にリポジトリを置き、サイト Jail にはそのディレクトリを読み取り専用でマウントした
  • すべてのサイトはホストの /usr/local/www 配下に置く方針で整理した
• escroto Jail は nginx Bastille テンプレートで作成した

bastille bootstrap https://github.com/bastillebsd/templates
bastille create escroto 14.3-RELEASE 10.0.0.11 bastille0
bastille template escroto www/nginx

• IP は 10.0.0.11 に指定した
• nginx のデフォルトページは FreeBSD の慣例どおり /usr/local/www/nginx から配信される
• ホストのサイトディレクトリは Jail に読み取り専用でマウントされた

bastille mount escroto /usr/local/www/escroto /usr/local/www/escroto nullfs ro 0 0

• リポジトリの .git ディレクトリが Web 公開されないよう、デプロイスクリプトを使用した

rm -fr /usr/local/www/nginx/*
cp -R /usr/local/www/escroto/* /usr/local/www/nginx/
rm -fr /usr/local/www/nginx/.git

• 新バージョンのデプロイは、ホストでリポジトリを更新した後に Jail 内のデプロイスクリプトを実行する方式である

cd /usr/local/www/escroto
git pull
bastille cmd escroto /root/deploy.sh

• Caddy 設定では cro.to を es.cro.to へ恒久的にリダイレクトし、es.cro.to を 10.0.0.11 にプロキシしている

cro.to {
    redir https://es.cro.to{uri} permanent
}
es.cro.to {
    reverse_proxy 10.0.0.11
}

• ブログは Hugo を使用し、GitHub リポジトリ で管理されている
  • リポジトリはホストの /usr/local/www/blog にクローンされた
  • blog Jail は escroto と同様に作成され、IP は 10.0.0.12 に指定された

bastille create blog 14.3-RELEASE 10.0.0.12 bastille0
bastille template blog www/nginx
bastille mount blog /usr/local/www/blog /usr/local/www/blog nullfs ro 0 0

• Hugo は blog Jail 内にインストールした

bastille pkg blog update
bastille pkg blog install gohugo

• ブログのデプロイスクリプトは nginx の Web ルートを空にし、Hugo の出力を /usr/local/www/nginx に生成する

rm -fr /usr/local/www/nginx/*
cd /usr/local/www/blog
hugo -d /usr/local/www/nginx

• DNS を切り替える前は、既存ドメインの代わりに crocidb.cro.to を新しいブログサーバーへ向けてテストした

crocidb.cro.to {
    reverse_proxy 10.0.0.12
}

ベンチマークと負荷テスト

• DNS レコードを変更する前に、既存サーバー crocidb.com と新サーバー crocidb.cro.to の負荷処理能力を比較した
  • ブログ訪問者は主に北米、次いで欧州と南米から来るため、新しいドイツサーバーでは一部ユーザーのレイテンシが少し長くなる可能性があった
  • 主な関心は、静的サイト配信の速さと大きな負荷への耐性だった
• GTMetrix、Pingdom、WebPageTest などの無料オンラインツールも使ったが、両サーバーの差はほとんどレイテンシ程度だった
• HTTP 負荷ベンチマークツールとして wrk と hey を使った
  • 両ツールは大量の同時リクエストを生成し、リクエストレイテンシ、エラーレスポンス、1秒あたりの転送量などを収集する
• 同じ Hetzner 上の別 VPS から wrk を実行したところ、新サーバーが大きく上回った

wrk -t4 -c100 -d30s --latency https://crocidb.com/

• オプションは 4 スレッド、100 同時接続、30 秒実行だった
• 旧サーバーは平均レイテンシ 89.63ms、毎秒リクエスト数 833.41、転送量 8.29MB/s だった
• 新サーバーは平均レイテンシ 6.75ms、毎秒リクエスト数 12260.10、転送量 130.80MB/s だった
• テストマシンが新サーバーと同じデータセンターにあったため、公平な比較ではなかった
• Proton VPN を使って複数地域から wrk を回す方法も試したが、結果は期待ほど良くなかった
  • 旧サーバー平均は毎秒約 300 リクエスト、新サーバー平均は毎秒約 800 リクエストだった
  • 最終的には一般向け VPN の代わりに、複数地域の実際の VPS を用意する方式へ切り替えた

Vultr VPS を使った地域別テスト

• サーバーを置いている DigitalOcean・Hetzner と異なるインフラを使うため、Vultr が選ばれた
  • 地域は手作業の負担を考慮し、London、São Paulo、Silicon Valley、Tokyo の4か所に絞った
  • 各地域で最安の Fedora VM を作成し、テストを実行した
• 最終テストツールとしては hey の方が適していると判断した

./hey_linux_amd64 -n 1000000 -c 10000 -t 10 -z 5m -h2 https://crocidb.com/ > crocidb.com.log
./hey_linux_amd64 -n 1000000 -c 10000 -t 10 -z 5m -h2 https://crocidb.cro.to/ > crocidb.cro.to.log

• 設定は合計 1,000,000 リクエスト、同時リクエスト 10,000、タイムアウト 10 秒、総実行時間 5 分、HTTP/2 使用だった
• 現実的なブログトラフィックを大きく超える負荷だった
• 初回実行では、新しい FreeBSD サーバーは 10,000 同時接続 に耐えられず序盤で失敗した
  • netstat -Lan でソケットキューサイズを確認すると、すべて 128 になっていた
  • 既定値 kern.ipc.somaxconn が 128 だったため、次のように引き上げた

sysctl kern.ipc.somaxconn=16384

• São Paulo のテストでは両サーバーとも相当数のエラーを返したが、FreeBSD サーバーは想定した 1,000,000 リクエストに対応し、Ubuntu サーバーは 20,000 リクエストすら返せなかった
  • 旧 Ubuntu サーバーは全体リクエストの約 7% しか完了しなかった
  • 新 FreeBSD サーバーは約 94% を完了した
  • Tokyo では新サーバーの成功率がやや低かったが、大きく懸念するほどではないと判断した
• 毎秒リクエスト数ベースで、新サーバーは旧サーバーより最低 3倍、最大 11倍 優れていた
  • レイテンシのパーセンタイルでは、新サーバーは約 90% 地点までより線形に増加し、予測しやすかった
  • 高負荷下でも、世界のほとんどの地域でブログのメインページ内容を 3.5秒未満 で取得できる結果だった
• Tokyo の結果は深く分析していない
  • hey のリクエスト段階別分析では、日本向けトラフィックがより遅い可能性が示された
  • 2つ目のドメインの DNS dial-up・lookup 値が異常に低く見え、CNAME レコードの影響の可能性があった
  • resp wait と resp read の値も不自然に高かったが、成功したリクエストのみを集計していたため、旧サーバーが序盤に素早く応答した後は新規リクエストを事実上さばけなくなっていた可能性がある

最終移行と主な教訓

• ベンチマークでは答えられない点も多かったが、結果に満足して DNS レコードを新サーバーへ切り替えた
  • このブログは以後、FreeBSD ベースの Hetzner サーバーで正式運用されている
• FreeBSD でサイトホスティング用マシンを構成する作業は、何時間もの試行、修正、ビルド、失敗を経たが、想像していたほど複雑ではなかった
  • 要件を満たす Web ホスティングサービスを使う選択肢もあり、例として OpenBSD Amsterdam が挙げられている
  • Proxmox によるコンテナと管理ダッシュボードの利用も可能だった
  • FreeBSD 側の代替案として Sylve も言及されている
  • 自力で構築する道を選んだことで多くを学べたため、満足のいく選択だった
• 既存の Ubuntu サーバー も非常に堅牢だった
  • 10年間にわたりサイト負荷をよく処理し、最後の4年間は再起動なしで稼働した
  • 設定に大きな労力をかけなくても安定して動いていた
• FreeBSD の設定 は予想以上に容易で、システム設定を1か所に集約する方式とオンラインドキュメントの質が優れていた
• 自分でブログホスティング用マシンを構築するには、ゲーム開発者が通常知っている範囲を超える ネットワーキング知識 が必要だった
  • 異なるシステムを学ぶ過程は楽しく、次は OpenBSD や NetBSD を試してみるかもしれない
  • ブログトラフィックの大半が AI システムのクローリング由来であることを考えると、この一連の作業の実用性は限定的だと締めくくられている