]> git.openstreetmap.org Git - chef.git/blob - cookbooks/tile/recipes/default.rb
Allow group write to the nodes database
[chef.git] / cookbooks / tile / recipes / default.rb
1 #
2 # Cookbook Name:: tile
3 # Recipe:: default
4 #
5 # Copyright 2013, OpenStreetMap Foundation
6 #
7 # Licensed under the Apache License, Version 2.0 (the "License");
8 # you may not use this file except in compliance with the License.
9 # You may obtain a copy of the License at
10 #
11 #     https://www.apache.org/licenses/LICENSE-2.0
12 #
13 # Unless required by applicable law or agreed to in writing, software
14 # distributed under the License is distributed on an "AS IS" BASIS,
15 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
16 # See the License for the specific language governing permissions and
17 # limitations under the License.
18 #
19
20 include_recipe "apache"
21 include_recipe "git"
22 include_recipe "nodejs"
23 include_recipe "postgresql"
24 include_recipe "python"
25 include_recipe "tools"
26
27 blocks = data_bag_item("tile", "blocks")
28 web_passwords = data_bag_item("web", "passwords")
29
30 apache_module "alias"
31 apache_module "cgi"
32 apache_module "expires"
33 apache_module "headers"
34 apache_module "remoteip"
35 apache_module "rewrite"
36
37 apache_module "tile" do
38   conf "tile.conf.erb"
39 end
40
41 ssl_certificate node[:fqdn] do
42   domains [node[:fqdn], "tile.openstreetmap.org", "render.openstreetmap.org"]
43   notifies :reload, "service[apache2]"
44 end
45
46 tilecaches = search(:node, "roles:tilecache").sort_by { |n| n[:hostname] }
47
48 apache_site "default" do
49   action [:disable]
50 end
51
52 apache_site "tile.openstreetmap.org" do
53   template "apache.erb"
54   variables :caches => tilecaches
55 end
56
57 template "/etc/logrotate.d/apache2" do
58   source "logrotate.apache.erb"
59   owner "root"
60   group "root"
61   mode 0o644
62 end
63
64 directory "/srv/tile.openstreetmap.org" do
65   owner "tile"
66   group "tile"
67   mode 0o755
68 end
69
70 package "renderd"
71
72 systemd_service "renderd" do
73   description "Mapnik rendering daemon"
74   after "postgresql.service"
75   wants "postgresql.service"
76   user "www-data"
77   exec_start "/usr/bin/renderd -f"
78   runtime_directory "renderd"
79   standard_error "null"
80   private_tmp true
81   private_devices true
82   private_network true
83   protect_system "full"
84   protect_home true
85   no_new_privileges true
86   restart "on-failure"
87 end
88
89 service "renderd" do
90   action [:enable, :start]
91   subscribes :restart, "systemd_service[renderd]"
92 end
93
94 directory "/srv/tile.openstreetmap.org/tiles" do
95   owner "tile"
96   group "tile"
97   mode 0o755
98 end
99
100 template "/etc/renderd.conf" do
101   source "renderd.conf.erb"
102   owner "root"
103   group "root"
104   mode 0o644
105   notifies :reload, "service[apache2]"
106   notifies :restart, "service[renderd]"
107 end
108
109 remote_directory "/srv/tile.openstreetmap.org/html" do
110   source "html"
111   owner "tile"
112   group "tile"
113   mode 0o755
114   files_owner "tile"
115   files_group "tile"
116   files_mode 0o644
117 end
118
119 template "/srv/tile.openstreetmap.org/html/index.html" do
120   source "index.html.erb"
121   owner "tile"
122   group "tile"
123   mode 0o644
124 end
125
126 package %w[
127   python-cairo
128   python-mapnik
129   python-setuptools
130 ]
131
132 python_package "pyotp"
133
134 package %w[
135   fonts-noto-cjk
136   fonts-noto-hinted
137   fonts-noto-unhinted
138   fonts-hanazono
139   ttf-unifont
140 ]
141
142 ["NotoSansArabicUI-Regular.ttf", "NotoSansArabicUI-Bold.ttf"].each do |font|
143   remote_file "/usr/share/fonts/truetype/noto/#{font}" do
144     action :create_if_missing
145     source "https://github.com/googlei18n/noto-fonts/raw/master/hinted/#{font}"
146     owner "root"
147     group "root"
148     mode 0o644
149   end
150 end
151
152 directory "/srv/tile.openstreetmap.org/cgi-bin" do
153   owner "tile"
154   group "tile"
155   mode 0o755
156 end
157
158 template "/srv/tile.openstreetmap.org/cgi-bin/export" do
159   source "export.erb"
160   owner "tile"
161   group "tile"
162   mode 0o755
163   variables :blocks => blocks, :totp_key => web_passwords["totp_key"]
164 end
165
166 template "/srv/tile.openstreetmap.org/cgi-bin/debug" do
167   source "debug.erb"
168   owner "tile"
169   group "tile"
170   mode 0o755
171 end
172
173 template "/etc/cron.hourly/export" do
174   source "export.cron.erb"
175   owner "root"
176   group "root"
177   mode 0o755
178 end
179
180 directory "/srv/tile.openstreetmap.org/data" do
181   owner "tile"
182   group "tile"
183   mode 0o755
184 end
185
186 package "mapnik-utils"
187
188 node[:tile][:data].each_value do |data|
189   url = data[:url]
190   file = "/srv/tile.openstreetmap.org/data/#{File.basename(url)}"
191
192   if data[:directory]
193     directory = "/srv/tile.openstreetmap.org/data/#{data[:directory]}"
194
195     directory directory do
196       owner "tile"
197       group "tile"
198       mode 0o755
199     end
200   else
201     directory = "/srv/tile.openstreetmap.org/data"
202   end
203
204   if file =~ /\.tgz$/
205     package "tar"
206
207     execute file do
208       action :nothing
209       command "tar -zxf #{file} -C #{directory}"
210       user "tile"
211       group "tile"
212     end
213   elsif file =~ /\.tar\.bz2$/
214     package "tar"
215
216     execute file do
217       action :nothing
218       command "tar -jxf #{file} -C #{directory}"
219       user "tile"
220       group "tile"
221     end
222   elsif file =~ /\.zip$/
223     package "unzip"
224
225     execute file do
226       action :nothing
227       command "unzip -qq -o #{file} -d #{directory}"
228       user "tile"
229       group "tile"
230     end
231   end
232
233   execute "#{file}_shapeindex" do
234     action :nothing
235     command "find #{directory} -type f -iname '*.shp' -print0 | xargs -0 --no-run-if-empty shapeindex --shape_files"
236     user "tile"
237     group "tile"
238     subscribes :run, "execute[#{file}]", :immediately
239   end
240
241   remote_file file do
242     if data[:refresh]
243       action :create
244       use_conditional_get true
245       ignore_failure true
246     else
247       action :create_if_missing
248     end
249
250     source url
251     owner "tile"
252     group "tile"
253     mode 0o644
254     backup false
255     notifies :run, "execute[#{file}]", :immediately
256     notifies :restart, "service[renderd]"
257   end
258 end
259
260 nodejs_package "carto"
261 nodejs_package "millstone"
262
263 systemd_service "update-lowzoom@" do
264   description "Low zoom tile update service for %i layer"
265   user "tile"
266   exec_start "/bin/bash /usr/local/bin/update-lowzoom-%i"
267   private_tmp true
268   private_devices true
269   private_network true
270   protect_system "full"
271   protect_home true
272   no_new_privileges true
273   restart "on-failure"
274 end
275
276 directory "/srv/tile.openstreetmap.org/styles" do
277   owner "tile"
278   group "tile"
279   mode 0o755
280 end
281
282 node[:tile][:styles].each do |name, details|
283   style_directory = "/srv/tile.openstreetmap.org/styles/#{name}"
284   tile_directory = "/srv/tile.openstreetmap.org/tiles/#{name}"
285
286   template "/usr/local/bin/update-lowzoom-#{name}" do
287     source "update-lowzoom.erb"
288     owner "root"
289     group "root"
290     mode 0o755
291     variables :style => name
292   end
293
294   service "update-lowzoom@#{name}" do
295     action :disable
296     supports :restart => true
297   end
298
299   directory tile_directory do
300     owner "tile"
301     group "tile"
302     mode 0o755
303   end
304
305   details[:tile_directories].each do |directory|
306     directory directory[:name] do
307       owner "www-data"
308       group "www-data"
309       mode 0o755
310     end
311
312     directory[:min_zoom].upto(directory[:max_zoom]) do |zoom|
313       directory "#{directory[:name]}/#{zoom}" do
314         owner "www-data"
315         group "www-data"
316         mode 0o755
317       end
318
319       link "#{tile_directory}/#{zoom}" do
320         to "#{directory[:name]}/#{zoom}"
321         owner "tile"
322         group "tile"
323       end
324     end
325   end
326
327   file "#{tile_directory}/planet-import-complete" do
328     action :create_if_missing
329     owner "tile"
330     group "tile"
331     mode 0o444
332   end
333
334   git style_directory do
335     action :sync
336     repository details[:repository]
337     revision details[:revision]
338     user "tile"
339     group "tile"
340   end
341
342   link "#{style_directory}/data" do
343     to "/srv/tile.openstreetmap.org/data"
344     owner "tile"
345     group "tile"
346   end
347
348   execute "#{style_directory}/project.mml" do
349     action :nothing
350     command "carto -a 3.0.0 project.mml > project.xml"
351     cwd style_directory
352     user "tile"
353     group "tile"
354     subscribes :run, "git[#{style_directory}]"
355     notifies :restart, "service[renderd]", :immediately
356     notifies :restart, "service[update-lowzoom@#{name}]"
357   end
358 end
359
360 postgresql_version = node[:tile][:database][:cluster].split("/").first
361 postgis_version = node[:tile][:database][:postgis]
362
363 package "postgis"
364 package "postgresql-#{postgresql_version}-postgis-#{postgis_version}"
365
366 postgresql_user "jburgess" do
367   cluster node[:tile][:database][:cluster]
368   superuser true
369 end
370
371 postgresql_user "tomh" do
372   cluster node[:tile][:database][:cluster]
373   superuser true
374 end
375
376 postgresql_user "tile" do
377   cluster node[:tile][:database][:cluster]
378 end
379
380 postgresql_user "www-data" do
381   cluster node[:tile][:database][:cluster]
382 end
383
384 postgresql_database "gis" do
385   cluster node[:tile][:database][:cluster]
386   owner "tile"
387 end
388
389 postgresql_extension "postgis" do
390   cluster node[:tile][:database][:cluster]
391   database "gis"
392 end
393
394 postgresql_extension "hstore" do
395   cluster node[:tile][:database][:cluster]
396   database "gis"
397 end
398
399 %w[geography_columns planet_osm_nodes planet_osm_rels planet_osm_ways raster_columns raster_overviews spatial_ref_sys].each do |table|
400   postgresql_table table do
401     cluster node[:tile][:database][:cluster]
402     database "gis"
403     owner "tile"
404     permissions "tile" => :all
405   end
406 end
407
408 %w[geometry_columns planet_osm_line planet_osm_point planet_osm_polygon planet_osm_roads].each do |table|
409   postgresql_table table do
410     cluster node[:tile][:database][:cluster]
411     database "gis"
412     owner "tile"
413     permissions "tile" => :all, "www-data" => :select
414   end
415 end
416
417 postgresql_munin "gis" do
418   cluster node[:tile][:database][:cluster]
419   database "gis"
420 end
421
422 file node[:tile][:node_file] do
423   owner "tile"
424   group "www-data"
425   mode 0o660
426 end
427
428 directory "/var/log/tile" do
429   owner "tile"
430   group "tile"
431   mode 0o755
432 end
433
434 package %w[
435   osm2pgsql
436   osmosis
437 ]
438
439 if node[:lsb][:release].to_f >= 18.04
440   package %w[
441     pyosmium
442     python-pyproj
443   ]
444
445   remote_directory "/usr/local/bin" do
446     source "bin"
447     owner "root"
448     group "root"
449     mode 0o755
450     files_owner "root"
451     files_group "root"
452     files_mode 0o755
453   end
454
455   template "/usr/local/bin/expire-tiles" do
456     source "expire-tiles.bionic.erb"
457     owner "root"
458     group "root"
459     mode 0o755
460   end
461 else
462   package %w[
463     ruby
464     ruby-dev
465     libproj-dev
466     libxml2-dev
467   ]
468
469   gem_package "proj4rb"
470   gem_package "libxml-ruby"
471
472   remote_directory "/usr/local/lib/site_ruby" do
473     source "ruby"
474     owner "root"
475     group "root"
476     mode 0o755
477     files_owner "root"
478     files_group "root"
479     files_mode 0o644
480   end
481
482   template "/usr/local/bin/expire-tiles" do
483     source "expire-tiles.xenial.erb"
484     owner "root"
485     group "root"
486     mode 0o755
487   end
488 end
489
490 directory "/var/lib/replicate" do
491   owner "tile"
492   group "tile"
493   mode 0o755
494 end
495
496 directory "/var/lib/replicate/expire-queue" do
497   owner "tile"
498   group "www-data"
499   mode 0o775
500 end
501
502 template "/var/lib/replicate/configuration.txt" do
503   source "replicate.configuration.erb"
504   owner "tile"
505   group "tile"
506   mode 0o644
507 end
508
509 template "/usr/local/bin/replicate" do
510   source "replicate.erb"
511   owner "root"
512   group "root"
513   mode 0o755
514 end
515
516 systemd_service "expire-tiles" do
517   description "Tile dirtying service"
518   type "simple"
519   user "www-data"
520   exec_start "/usr/local/bin/expire-tiles"
521   standard_output "null"
522   private_tmp true
523   private_devices true
524   protect_system "full"
525   protect_home true
526   no_new_privileges true
527 end
528
529 systemd_path "expire-tiles" do
530   description "Tile dirtying trigger"
531   directory_not_empty "/var/lib/replicate/expire-queue"
532 end
533
534 service "expire-tiles.path" do
535   action [:enable, :start]
536   subscribes :restart, "systemd_path[expire-tiles]"
537 end
538
539 systemd_service "replicate" do
540   description "Rendering database replication service"
541   after "postgresql.service"
542   wants "postgresql.service"
543   user "tile"
544   exec_start "/usr/local/bin/replicate"
545   private_tmp true
546   private_devices true
547   protect_system "full"
548   protect_home true
549   no_new_privileges true
550   restart "on-failure"
551 end
552
553 service "replicate" do
554   action [:enable, :start]
555   subscribes :restart, "template[/usr/local/bin/replicate]"
556   subscribes :restart, "systemd_service[replicate]"
557 end
558
559 template "/etc/logrotate.d/replicate" do
560   source "replicate.logrotate.erb"
561   owner "root"
562   group "root"
563   mode 0o644
564 end
565
566 template "/usr/local/bin/render-lowzoom" do
567   source "render-lowzoom.erb"
568   owner "root"
569   group "root"
570   mode 0o755
571 end
572
573 template "/etc/cron.d/render-lowzoom" do
574   source "render-lowzoom.cron.erb"
575   owner "root"
576   group "root"
577   mode 0o644
578 end
579
580 package "liblockfile-simple-perl"
581 package "libfilesys-df-perl"
582
583 template "/usr/local/bin/cleanup-tiles" do
584   source "cleanup-tiles.erb"
585   owner "root"
586   group "root"
587   mode 0o755
588 end
589
590 tile_directories = node[:tile][:styles].collect do |_, style|
591   style[:tile_directories].collect { |directory| directory[:name] }
592 end.flatten.sort.uniq
593
594 template "/etc/cron.d/cleanup-tiles" do
595   source "cleanup-tiles.cron.erb"
596   owner "root"
597   group "root"
598   mode 0o644
599   variables :directories => tile_directories
600 end
601
602 munin_plugin "mod_tile_fresh"
603 munin_plugin "mod_tile_latency"
604 munin_plugin "mod_tile_response"
605 munin_plugin "mod_tile_zoom"
606
607 munin_plugin "renderd_processed"
608 munin_plugin "renderd_queue"
609 munin_plugin "renderd_queue_time"
610 munin_plugin "renderd_zoom"
611 munin_plugin "renderd_zoom_time"
612
613 munin_plugin "replication_delay" do
614   conf "munin.erb"
615 end