]> git.openstreetmap.org Git - chef.git/blob - cookbooks/dev/recipes/default.rb
Document IP ranges with comment
[chef.git] / cookbooks / dev / recipes / default.rb
1 #
2 # Cookbook:: dev
3 # Recipe:: default
4 #
5 # Copyright:: 2011, OpenStreetMap Foundation
6 #
7 # Licensed under the Apache License, Version 2.0 (the "License");
8 # you may not use this file except in compliance with the License.
9 # You may obtain a copy of the License at
10 #
11 #     https://www.apache.org/licenses/LICENSE-2.0
12 #
13 # Unless required by applicable law or agreed to in writing, software
14 # distributed under the License is distributed on an "AS IS" BASIS,
15 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 # See the License for the specific language governing permissions and
17 # limitations under the License.
18 #
19
20 require "yaml"
21 require "securerandom"
22
23 include_recipe "apache"
24 include_recipe "passenger"
25 include_recipe "geoipupdate"
26 include_recipe "git"
27 include_recipe "memcached"
28 include_recipe "munin"
29 include_recipe "mysql"
30 include_recipe "nodejs"
31 include_recipe "php::fpm"
32 include_recipe "postgresql"
33 include_recipe "python"
34 include_recipe "ruby"
35
36 package %w[
37   php-cgi
38   php-cli
39   php-curl
40   php-db
41   php-imagick
42   php-mysql
43   php-pear
44   php-pgsql
45   php-sqlite3
46   pngcrush
47   pngquant
48   python3
49   python3-bs4
50   python3-cheetah
51   python3-dateutil
52   python3-magic
53   python3-psycopg2
54   python3-gdal
55   g++
56   gcc
57   make
58   autoconf
59   automake
60   libtool
61   libargon2-dev
62   libfcgi-dev
63   libxml2-dev
64   libmemcached-dev
65   libboost-regex-dev
66   libboost-system-dev
67   libboost-program-options-dev
68   libboost-date-time-dev
69   libboost-filesystem-dev
70   libboost-locale-dev
71   libpqxx-dev
72   libcrypto++-dev
73   libyajl-dev
74   libfmt-dev
75   zlib1g-dev
76   nano
77   osm2pgsql
78 ]
79
80 nodejs_package "svgo"
81
82 python_package "geojson" do
83   python_version "3"
84 end
85
86 apache_module "env"
87 apache_module "expires"
88 apache_module "headers"
89 apache_module "proxy"
90 apache_module "proxy_fcgi"
91 apache_module "rewrite"
92 apache_module "suexec"
93 apache_module "userdir"
94
95 apache_module "wsgi" do
96   package "libapache2-mod-wsgi-py3"
97 end
98
99 package "apache2-suexec-pristine"
100
101 php_fpm "default" do
102   pm_max_children 10
103   pm_start_servers 4
104   pm_min_spare_servers 2
105   pm_max_spare_servers 6
106 end
107
108 php_fpm "www" do
109   action :delete
110 end
111
112 directory "/srv/dev.openstreetmap.org" do
113   owner "root"
114   group "root"
115   mode "755"
116 end
117
118 template "/srv/dev.openstreetmap.org/index.html" do
119   source "dev.html.erb"
120   owner "root"
121   group "root"
122   mode "644"
123 end
124
125 ssl_certificate "dev.openstreetmap.org" do
126   domains "dev.openstreetmap.org"
127   notifies :reload, "service[apache2]"
128 end
129
130 apache_site "dev.openstreetmap.org" do
131   template "apache.dev.erb"
132 end
133
134 package "phppgadmin"
135
136 template "/etc/phppgadmin/config.inc.php" do
137   source "phppgadmin.conf.erb"
138   owner "root"
139   group "root"
140   mode "644"
141 end
142
143 file "/etc/apache2/conf.d/phppgadmin" do
144   action :delete
145 end
146
147 ssl_certificate "phppgadmin.dev.openstreetmap.org" do
148   domains "phppgadmin.dev.openstreetmap.org"
149   notifies :reload, "service[apache2]"
150 end
151
152 apache_site "phppgadmin.dev.openstreetmap.org" do
153   template "apache.phppgadmin.erb"
154 end
155
156 search(:accounts, "*:*").each do |account|
157   name = account["id"]
158   details = node[:accounts][:users][name] || {}
159
160   next unless %w[user administrator].include?(details[:status])
161
162   user_home = details[:home] || account["home"] || "#{node[:accounts][:home]}/#{name}"
163
164   next unless File.directory?("#{user_home}/public_html")
165
166   php_fpm name do
167     user name
168     group name
169     pm_max_children 10
170     pm_start_servers 4
171     pm_min_spare_servers 2
172     pm_max_spare_servers 6
173     pm_max_requests 10000
174     request_terminate_timeout 1800
175     environment "HOSTNAME" => "$HOSTNAME",
176                 "PATH" => "/usr/local/bin:/usr/bin:/bin",
177                 "TMP" => "/tmp",
178                 "TMPDIR" => "/tmp",
179                 "TEMP" => "/tmp"
180     php_values "max_execution_time" => "300",
181                "memory_limit" => "128M",
182                "post_max_size" => "32M",
183                "upload_max_filesize" => "32M"
184     php_admin_values "sendmail_path" => "/usr/sbin/sendmail -t -i -f #{name}@errol.openstreetmap.org",
185                      "open_basedir" => "/home/#{name}/:/tmp/:/usr/share/php/"
186     php_flags "display_errors" => "on"
187   end
188
189   ssl_certificate "#{name}.dev.openstreetmap.org" do
190     domains ["#{name}.dev.openstreetmap.org", "#{name}.dev.osm.org"]
191     notifies :reload, "service[apache2]"
192   end
193
194   apache_site "#{name}.dev.openstreetmap.org" do
195     template "apache.user.erb"
196     directory "#{user_home}/public_html"
197     variables :user => name
198   end
199
200   template "/etc/sudoers.d/#{name}" do
201     source "sudoers.user.erb"
202     owner "root"
203     group "root"
204     mode "440"
205     variables :user => name
206   end
207 end
208
209 if node[:postgresql][:clusters][:"14/main"]
210   postgresql_user "apis" do
211     cluster "14/main"
212   end
213
214   template "/usr/local/bin/cleanup-rails-assets" do
215     cookbook "web"
216     source "cleanup-assets.erb"
217     owner "root"
218     group "root"
219     mode "755"
220   end
221
222   systemd_service "rails-jobs@" do
223     description "Rails job queue runner"
224     type "simple"
225     user "apis"
226     working_directory "/srv/%i.apis.dev.openstreetmap.org/rails"
227     exec_start "#{node[:ruby][:bundle]} exec rails jobs:work"
228     restart "on-failure"
229     private_tmp true
230     private_devices true
231     protect_system "full"
232     protect_home true
233     no_new_privileges true
234   end
235
236   systemd_service "cgimap@" do
237     description "OpenStreetMap API Server"
238     type "forking"
239     environment_file "/etc/default/cgimap-%i"
240     user "apis"
241     exec_start "/srv/%i.apis.dev.openstreetmap.org/cgimap/openstreetmap-cgimap --daemon --port $CGIMAP_PORT --instances 5"
242     exec_reload "/bin/kill -HUP $MAINPID"
243     private_tmp true
244     private_devices true
245     protect_system "full"
246     protect_home true
247     no_new_privileges true
248     restart "on-failure"
249   end
250
251   cgimap_port = 9000
252
253   Dir.glob("/srv/*.apis.dev.openstreetmap.org").each do |dir|
254     node.default_unless[:dev][:rails][File.basename(dir).split(".").first] = {}
255   end
256
257   node[:dev][:rails].each do |name, details|
258     database_name = details[:database] || "apis_#{name}"
259     site_name = "#{name}.apis.dev.openstreetmap.org"
260     site_directory = "/srv/#{name}.apis.dev.openstreetmap.org"
261     log_directory = "#{site_directory}/logs"
262     rails_directory = "#{site_directory}/rails"
263     cgimap_directory = "#{site_directory}/cgimap"
264     gpx_directory = "#{site_directory}/gpx"
265
266     if details[:repository]
267       site_aliases = details[:aliases] || []
268       secret_key_base = persistent_token("dev", "rails", name, "secret_key_base")
269
270       postgresql_database database_name do
271         cluster "14/main"
272         owner "apis"
273       end
274
275       postgresql_extension "#{database_name}_btree_gist" do
276         cluster "14/main"
277         database database_name
278         extension "btree_gist"
279       end
280
281       directory site_directory do
282         owner "apis"
283         group "apis"
284         mode "755"
285       end
286
287       directory log_directory do
288         owner "apis"
289         group "apis"
290         mode "755"
291       end
292
293       directory gpx_directory do
294         owner "apis"
295         group "apis"
296         mode "755"
297       end
298
299       directory "#{gpx_directory}/traces" do
300         owner "apis"
301         group "apis"
302         mode "755"
303       end
304
305       directory "#{gpx_directory}/images" do
306         owner "apis"
307         group "apis"
308         mode "755"
309       end
310
311       rails_port site_name do
312         directory rails_directory
313         user "apis"
314         group "apis"
315         repository details[:repository]
316         revision details[:revision]
317         database_port node[:postgresql][:clusters][:"14/main"][:port]
318         database_name database_name
319         database_username "apis"
320         email_from "OpenStreetMap <web@noreply.openstreetmap.org>"
321         gpx_dir gpx_directory
322         log_path "#{log_directory}/rails.log"
323         memcache_servers ["127.0.0.1"]
324         csp_enforce true
325         run_migrations true
326         trace_use_job_queue true
327       end
328
329       template "#{rails_directory}/config/initializers/setup.rb" do
330         source "rails.setup.rb.erb"
331         owner "apis"
332         group "apis"
333         mode "644"
334         variables :site => site_name
335         notifies :restart, "rails_port[#{site_name}]"
336       end
337
338       service "rails-jobs@#{name}" do
339         action [:enable, :start]
340         supports :restart => true
341         subscribes :restart, "rails_port[#{site_name}]"
342         subscribes :restart, "systemd_service[#{name}]"
343         only_if "fgrep -q delayed_job #{rails_directory}/Gemfile.lock"
344       end
345
346       if details[:cgimap_repository]
347         git cgimap_directory do
348           action :sync
349           repository details[:cgimap_repository]
350           revision details[:cgimap_revision]
351           user "apis"
352           group "apis"
353         end
354
355         execute "#{cgimap_directory}/autogen.sh" do
356           action :nothing
357           command "./autogen.sh"
358           cwd cgimap_directory
359           user "apis"
360           group "apis"
361           subscribes :run, "git[#{cgimap_directory}]", :immediately
362         end
363
364         execute "#{cgimap_directory}/configure" do
365           action :nothing
366           command "./configure --with-fcgi=/usr --with-boost-libdir=/usr/lib/x86_64-linux-gnu --enable-yajl"
367           cwd cgimap_directory
368           user "apis"
369           group "apis"
370           subscribes :run, "execute[#{cgimap_directory}/autogen.sh]", :immediately
371         end
372
373         execute "#{cgimap_directory}/Makefile" do
374           action :nothing
375           command "make -j"
376           cwd cgimap_directory
377           user "apis"
378           group "apis"
379           subscribes :run, "execute[#{cgimap_directory}/configure]", :immediately
380           notifies :restart, "service[cgimap@#{name}]"
381         end
382
383         template "/etc/default/cgimap-#{name}" do
384           source "cgimap.environment.erb"
385           owner "root"
386           group "root"
387           mode "640"
388           variables :cgimap_port => cgimap_port,
389                     :database_port => node[:postgresql][:clusters][:"14/main"][:port],
390                     :database_name => database_name,
391                     :log_directory => log_directory
392           notifies :restart, "service[cgimap@#{name}]"
393         end
394
395         service "cgimap@#{name}" do
396           action [:start, :enable]
397         end
398       end
399
400       ssl_certificate site_name do
401         domains [site_name] + site_aliases
402         notifies :reload, "service[apache2]"
403       end
404
405       apache_site site_name do
406         template "apache.rails.erb"
407         variables :application_name => name,
408                   :aliases => site_aliases,
409                   :secret_key_base => secret_key_base,
410                   :cgimap_enabled => details.key?(:cgimap_repository),
411                   :cgimap_port => cgimap_port
412       end
413
414       template "/etc/logrotate.d/apis-#{name}" do
415         source "logrotate.apis.erb"
416         owner "root"
417         group "root"
418         mode "644"
419         variables :name => name,
420                   :log_directory => log_directory,
421                   :rails_directory => rails_directory
422       end
423
424       cgimap_port += 1
425     else
426       file "/etc/logrotate.d/apis-#{name}" do
427         action :delete
428       end
429
430       apache_site site_name do
431         action [:delete]
432       end
433
434       service "cgimap@#{name}" do
435         action [:stop, :disable]
436       end
437
438       file "/etc/default/cgimap-#{name}" do
439         action :delete
440       end
441
442       service "rails-jobs@#{name}" do
443         action [:stop, :disable]
444       end
445
446       directory site_directory do
447         action :delete
448         recursive true
449       end
450
451       file "/etc/cron.daily/rails-#{site_name.tr('.', '-')}" do
452         action :delete
453       end
454
455       postgresql_database database_name do
456         action :drop
457         cluster "14/main"
458       end
459     end
460   end
461
462   directory "/srv/apis.dev.openstreetmap.org" do
463     owner "apis"
464     group "apis"
465     mode "755"
466   end
467
468   template "/srv/apis.dev.openstreetmap.org/index.html" do
469     source "apis.html.erb"
470     owner "apis"
471     group "apis"
472     mode "644"
473   end
474
475   ssl_certificate "apis.dev.openstreetmap.org" do
476     domains "apis.dev.openstreetmap.org"
477     notifies :reload, "service[apache2]"
478   end
479
480   apache_site "apis.dev.openstreetmap.org" do
481     template "apache.apis.erb"
482   end
483
484   node[:postgresql][:clusters].each_key do |name|
485     postgresql_munin name do
486       cluster name
487       database "ALL"
488     end
489   end
490 end
491
492 directory "/srv/ooc.openstreetmap.org" do
493   owner "root"
494   group "root"
495   mode "755"
496 end
497
498 remote_directory "/srv/ooc.openstreetmap.org/html" do
499   source "ooc"
500   owner "root"
501   group "root"
502   mode "755"
503   files_owner "root"
504   files_group "root"
505   files_mode "644"
506 end
507
508 ssl_certificate "ooc.openstreetmap.org" do
509   domains ["ooc.openstreetmap.org",
510            "a.ooc.openstreetmap.org",
511            "b.ooc.openstreetmap.org",
512            "c.ooc.openstreetmap.org"]
513   notifies :reload, "service[apache2]"
514 end
515
516 apache_site "ooc.openstreetmap.org" do
517   template "apache.ooc.erb"
518 end