Relax system call filter for renderd

[chef.git] / cookbooks / tile / recipes / default.rb
diff --git a/cookbooks/tile/recipes/default.rb b/cookbooks/tile/recipes/default.rb

index 097b98c19410244f80985e85756de9b2ab51b5df..a7073575cfef8e27d55b536d2073124658963c85 100644 (file)
--- a/cookbooks/tile/recipes/default.rb
+++ b/cookbooks/tile/recipes/default.rb
@@ -29,6 +29,7 @@ include_recipe "ruby"
  include_recipe "tools"
  
  blocks = data_bag_item("tile", "blocks")
  include_recipe "tools"
  
  blocks = data_bag_item("tile", "blocks")
+admins = data_bag_item("apache", "admins")
  web_passwords = data_bag_item("web", "passwords")
  
  apache_module "alias"
  web_passwords = data_bag_item("web", "passwords")
  
  apache_module "alias"
@@ -59,6 +60,14 @@ end
  
  fastlyips = JSON.parse(IO.read("#{Chef::Config[:file_cache_path]}/fastly-ip-list.json"))
  
  
  fastlyips = JSON.parse(IO.read("#{Chef::Config[:file_cache_path]}/fastly-ip-list.json"))
  
+remote_file "#{Chef::Config[:file_cache_path]}/statuscake-locations.json" do
+  source "https://app.statuscake.com/Workfloor/Locations.php?format=json"
+  compile_time true
+  ignore_failure true
+end
+
+statuscakelocations = JSON.parse(IO.read("#{Chef::Config[:file_cache_path]}/statuscake-locations.json"))
+
  apache_site "default" do
    action :disable
  end
  apache_site "default" do
    action :disable
  end
@@ -69,7 +78,9 @@ end
  
  apache_site "tile.openstreetmap.org" do
    template "apache.erb"
  
  apache_site "tile.openstreetmap.org" do
    template "apache.erb"
-  variables :fastly => fastlyips["addresses"]
+  variables :fastly => fastlyips["addresses"] + fastlyips["ipv6_addresses"],
+            :statuscake => statuscakelocations.flat_map { |_, v| [v["ip"], v["ipv6"]] },
+            :admins => admins["hosts"]
  end
  
  template "/etc/logrotate.d/apache2" do
  end
  
  template "/etc/logrotate.d/apache2" do
@@ -85,38 +96,30 @@ directory "/srv/tile.openstreetmap.org" do
    mode "755"
  end
  
    mode "755"
  end
  
-directory "/srv/tile.openstreetmap.org/conf" do
-  owner "tile"
-  group "tile"
-  mode "755"
-end
-
-file "/srv/tile.openstreetmap.org/conf/ip.map" do
-  owner "tile"
-  group "adm"
-  mode "644"
-end
+tile_directories = node[:tile][:styles].collect do |_, style|
+  style[:tile_directories].collect { |directory| directory[:name] }
+end.flatten.sort.uniq
  
  
-package "renderd"
+package %w[
+  renderd
+  libgoogle-perftools4
+]
  
  systemd_service "renderd" do
    dropin "chef"
    after "postgresql.service"
    wants "postgresql.service"
  
  systemd_service "renderd" do
    dropin "chef"
    after "postgresql.service"
    wants "postgresql.service"
+  environment "LD_PRELOAD" => "libtcmalloc.so.4"
    limit_nofile 4096
    limit_nofile 4096
-  private_tmp true
-  private_devices true
-  private_network true
-  protect_system "full"
-  protect_home true
-  no_new_privileges true
+  memory_high "80%"
+  memory_max "90%"
+  sandbox true
+  restrict_address_families "AF_UNIX"
+  read_write_paths tile_directories
+  system_call_filter ["@known"]
    restart "on-failure"
  end
  
    restart "on-failure"
  end
  
-systemd_service "renderd" do
-  action :delete
-end
-
  service "renderd" do
    action [:enable, :start]
    subscribes :restart, "systemd_service[renderd]"
  service "renderd" do
    action [:enable, :start]
    subscribes :restart, "systemd_service[renderd]"
@@ -157,6 +160,7 @@ end
  package %w[
    python3-cairo
    python3-mapnik
  package %w[
    python3-cairo
    python3-mapnik
+  python3-pyproj
    python3-setuptools
  ]
  
    python3-setuptools
  ]
  
@@ -164,30 +168,6 @@ python_package "pyotp" do
    python_version "3"
  end
  
    python_version "3"
  end
  
-unifont = if node[:lsb][:release].to_f < 22.04
-            "ttf-unifont"
-          else
-            "fonts-unifont"
-          end
-
-package %W[
-  fonts-noto-cjk
-  fonts-noto-hinted
-  fonts-noto-unhinted
-  fonts-hanazono
-  #{unifont}
-]
-
-["NotoSansArabicUI-Regular.ttf", "NotoSansArabicUI-Bold.ttf"].each do |font|
-  remote_file "/usr/share/fonts/truetype/noto/#{font}" do
-    action :create_if_missing
-    source "https://github.com/googlei18n/noto-fonts/raw/master/hinted/#{font}"
-    owner "root"
-    group "root"
-    mode "644"
-  end
-end
-
  directory "/srv/tile.openstreetmap.org/cgi-bin" do
    owner "tile"
    group "tile"
  directory "/srv/tile.openstreetmap.org/cgi-bin" do
    owner "tile"
    group "tile"
@@ -209,11 +189,22 @@ template "/srv/tile.openstreetmap.org/cgi-bin/debug" do
    mode "755"
  end
  
    mode "755"
  end
  
-template "/etc/cron.hourly/export" do
-  source "export.cron.erb"
-  owner "root"
-  group "root"
-  mode "755"
+systemd_service "export-cleanup" do
+  description "Cleanup stale export temporary files"
+  joins_namespace_of "apache2.service"
+  exec_start "find /tmp -ignore_readdir_race -name 'export??????' -mmin +60 -delete"
+  user "www-data"
+  sandbox true
+end
+
+systemd_timer "export-cleanup" do
+  description "Cleanup stale export temporary files"
+  on_boot_sec "60m"
+  on_unit_inactive_sec "60m"
+end
+
+service "export-cleanup.timer" do
+  action [:enable, :start]
  end
  
  directory "/srv/tile.openstreetmap.org/data" do
  end
  
  directory "/srv/tile.openstreetmap.org/data" do
@@ -222,7 +213,11 @@ directory "/srv/tile.openstreetmap.org/data" do
    mode "755"
  end
  
    mode "755"
  end
  
-package "mapnik-utils"
+package %w[
+  mapnik-utils
+  tar
+  unzip
+]
  
  node[:tile][:data].each_value do |data|
    url = data[:url]
  
  node[:tile][:data].each_value do |data|
    url = data[:url]
@@ -241,8 +236,6 @@ node[:tile][:data].each_value do |data|
    end
  
    if file =~ /\.tgz$/
    end
  
    if file =~ /\.tgz$/
-    package "tar"
-
      execute file do
        action :nothing
        command "tar -zxf #{file} -C #{directory}"
      execute file do
        action :nothing
        command "tar -zxf #{file} -C #{directory}"
@@ -250,8 +243,6 @@ node[:tile][:data].each_value do |data|
        group "tile"
      end
    elsif file =~ /\.tar\.bz2$/
        group "tile"
      end
    elsif file =~ /\.tar\.bz2$/
-    package "tar"
-
      execute file do
        action :nothing
        command "tar -jxf #{file} -C #{directory}"
      execute file do
        action :nothing
        command "tar -jxf #{file} -C #{directory}"
@@ -259,8 +250,6 @@ node[:tile][:data].each_value do |data|
        group "tile"
      end
    elsif file =~ /\.zip$/
        group "tile"
      end
    elsif file =~ /\.zip$/
-    package "unzip"
-
      execute file do
        action :nothing
        command "unzip -qq -o #{file} -d #{directory}"
      execute file do
        action :nothing
        command "unzip -qq -o #{file} -d #{directory}"
@@ -298,18 +287,20 @@ end
  
  nodejs_package "carto"
  
  
  nodejs_package "carto"
  
+lowzoom_threads = [node.cpu_cores - 1, node[:memory][:total].to_f / 6291456].min.floor
+
  systemd_service "update-lowzoom@" do
    description "Low zoom tile update service for %i layer"
  systemd_service "update-lowzoom@" do
    description "Low zoom tile update service for %i layer"
-  conflicts "render-lowzoom.service"
    user "tile"
    user "tile"
+  exec_start_pre "+/bin/systemctl stop render-lowzoom.service"
    exec_start "/bin/bash /usr/local/bin/update-lowzoom-%i"
    runtime_directory "update-lowzoom-%i"
    exec_start "/bin/bash /usr/local/bin/update-lowzoom-%i"
    runtime_directory "update-lowzoom-%i"
-  private_tmp true
-  private_devices true
-  private_network true
-  protect_system "full"
-  protect_home true
-  no_new_privileges true
+  sandbox true
+  restrict_address_families "AF_UNIX"
+  read_write_paths [
+    "/srv/tile.openstreetmap.org/tiles/%i",
+    "/var/log/tile"
+  ]
    restart "on-failure"
  end
  
    restart "on-failure"
  end
  
@@ -328,7 +319,7 @@ node[:tile][:styles].each do |name, details|
      owner "root"
      group "root"
      mode "755"
      owner "root"
      group "root"
      mode "755"
-    variables :style => name
+    variables :style => name, :threads => lowzoom_threads
    end
  
    service "update-lowzoom@#{name}" do
    end
  
    service "update-lowzoom@#{name}" do
@@ -385,9 +376,20 @@ node[:tile][:styles].each do |name, details|
      group "tile"
    end
  
      group "tile"
    end
  
+  if details[:fonts_script]
+    execute details[:fonts_script] do
+      action :nothing
+      command details[:fonts_script]
+      cwd style_directory
+      user "tile"
+      group "tile"
+      subscribes :run, "git[#{style_directory}]"
+    end
+  end
+
    execute "#{style_directory}/project.mml" do
      action :nothing
    execute "#{style_directory}/project.mml" do
      action :nothing
-    command "carto -a 3.0.0 project.mml > project.xml"
+    command "carto -a 3.0.22 project.mml > project.xml"
      cwd style_directory
      user "tile"
      group "tile"
      cwd style_directory
      user "tile"
      group "tile"
@@ -412,6 +414,11 @@ postgresql_user "tomh" do
    superuser true
  end
  
    superuser true
  end
  
+postgresql_user "pnorman" do
+  cluster node[:tile][:database][:cluster]
+  superuser true
+end
+
  postgresql_user "tile" do
    cluster node[:tile][:database][:cluster]
  end
  postgresql_user "tile" do
    cluster node[:tile][:database][:cluster]
  end
@@ -440,7 +447,7 @@ postgresql_extension "hstore" do
    only_if { node[:tile][:database][:hstore] }
  end
  
    only_if { node[:tile][:database][:hstore] }
  end
  
-%w[geography_columns planet_osm_nodes planet_osm_rels planet_osm_ways raster_columns raster_overviews spatial_ref_sys].each do |table|
+%w[geography_columns planet_osm_nodes planet_osm_rels planet_osm_ways raster_columns raster_overviews].each do |table|
    postgresql_table table do
      cluster node[:tile][:database][:cluster]
      database "gis"
    postgresql_table table do
      cluster node[:tile][:database][:cluster]
      database "gis"
@@ -449,7 +456,7 @@ end
    end
  end
  
    end
  end
  
-%w[geometry_columns planet_osm_line planet_osm_point planet_osm_polygon planet_osm_roads].each do |table|
+%w[geometry_columns planet_osm_line planet_osm_point planet_osm_polygon planet_osm_roads spatial_ref_sys].each do |table|
    postgresql_table table do
      cluster node[:tile][:database][:cluster]
      database "gis"
    postgresql_table table do
      cluster node[:tile][:database][:cluster]
      database "gis"
@@ -511,60 +518,14 @@ package %w[
    osm2pgsql
    osmium-tool
    pyosmium
    osm2pgsql
    osmium-tool
    pyosmium
-  python3-pyproj
  ]
  
  ]
  
-gem_package "apachelogregex" do
-  gem_binary node[:ruby][:gem]
-end
-
-gem_package "file-tail" do
-  gem_binary node[:ruby][:gem]
-end
-
-gem_package "lru_redux" do
-  gem_binary node[:ruby][:gem]
-end
-
-remote_directory "/usr/local/bin" do
-  source "bin"
-  owner "root"
-  group "root"
-  mode "755"
-  files_owner "root"
-  files_group "root"
-  files_mode "755"
-end
-
-template "/usr/local/bin/tile-ratelimit" do
-  source "tile-ratelimit.erb"
-  owner "root"
-  group "root"
+directory "/var/lib/replicate" do
+  owner "tile"
+  group "tile"
    mode "755"
  end
  
    mode "755"
  end
  
-systemd_service "tile-ratelimit" do
-  description "Monitor tile requests and enforce rate limits"
-  after "apache2.service"
-  user "tile"
-  group "adm"
-  exec_start "/usr/local/bin/tile-ratelimit"
-  private_tmp true
-  private_devices true
-  private_network true
-  protect_system "full"
-  protect_home true
-  read_write_paths "/srv/tile.openstreetmap.org/conf"
-  no_new_privileges true
-  restart "on-failure"
-end
-
-service "tile-ratelimit" do
-  action [:enable, :start]
-  subscribes :restart, "file[/usr/local/bin/tile-ratelimit]"
-  subscribes :restart, "systemd_service[tile-ratelimit]"
-end
-
  template "/usr/local/bin/expire-tiles" do
    source "expire-tiles.erb"
    owner "root"
  template "/usr/local/bin/expire-tiles" do
    source "expire-tiles.erb"
    owner "root"
@@ -572,12 +533,6 @@ template "/usr/local/bin/expire-tiles" do
    mode "755"
  end
  
    mode "755"
  end
  
-directory "/var/lib/replicate" do
-  owner "tile"
-  group "tile"
-  mode "755"
-end
-
  directory "/var/lib/replicate/expire-queue" do
    owner "tile"
    group "_renderd"
  directory "/var/lib/replicate/expire-queue" do
    owner "tile"
    group "_renderd"
@@ -589,7 +544,6 @@ template "/usr/local/bin/replicate" do
    owner "root"
    group "root"
    mode "755"
    owner "root"
    group "root"
    mode "755"
-  variables :postgresql_version => postgresql_version.to_f
  end
  
  systemd_service "expire-tiles" do
  end
  
  systemd_service "expire-tiles" do
@@ -597,12 +551,12 @@ systemd_service "expire-tiles" do
    type "simple"
    user "_renderd"
    exec_start "/usr/local/bin/expire-tiles"
    type "simple"
    user "_renderd"
    exec_start "/usr/local/bin/expire-tiles"
-  standard_output "null"
-  private_tmp true
-  private_devices true
-  protect_system "full"
-  protect_home true
-  no_new_privileges true
+  nice 10
+  sandbox true
+  restrict_address_families "AF_UNIX"
+  read_write_paths tile_directories + [
+                     "/var/lib/replicate/expire-queue"
+                   ]
  end
  
  systemd_path "expire-tiles" do
  end
  
  systemd_path "expire-tiles" do
@@ -615,17 +569,36 @@ service "expire-tiles.path" do
    subscribes :restart, "systemd_path[expire-tiles]"
  end
  
    subscribes :restart, "systemd_path[expire-tiles]"
  end
  
+template "/usr/local/bin/replicate-post" do
+  source "replicate-post.erb"
+  owner "root"
+  group "root"
+  mode "755"
+end
+
+osm2pgsql_arguments = %w[
+    --number-processes=1
+    --log-progress=false
+    --expire-tiles=13-19
+    --expire-output=/var/lib/replicate/dirty-tiles.txt
+  ]
+
+osm2pgsql_arguments.append("--multi-geometry") if node[:tile][:database][:multi_geometry]
+osm2pgsql_arguments.append("--hstore") if node[:tile][:database][:hstore]
+osm2pgsql_arguments.append("--tag-transform-script=#{node[:tile][:database][:tag_transform_script]}") if node[:tile][:database][:tag_transform_script]
+
  systemd_service "replicate" do
    description "Rendering database replication service"
    after "postgresql.service"
    wants "postgresql.service"
    user "tile"
    exec_start "/usr/local/bin/replicate"
  systemd_service "replicate" do
    description "Rendering database replication service"
    after "postgresql.service"
    wants "postgresql.service"
    user "tile"
    exec_start "/usr/local/bin/replicate"
-  private_tmp true
-  private_devices true
-  protect_system "full"
-  protect_home true
-  no_new_privileges true
+  sandbox :enable_network => true
+  restrict_address_families "AF_UNIX"
+  read_write_paths [
+    "/store/database/nodes",
+    "/var/lib/replicate"
+  ]
    restart "on-failure"
  end
  
    restart "on-failure"
  end
  
@@ -635,18 +608,12 @@ service "replicate" do
    subscribes :restart, "systemd_service[replicate]"
  end
  
    subscribes :restart, "systemd_service[replicate]"
  end
  
-template "/etc/logrotate.d/replicate" do
-  source "replicate.logrotate.erb"
-  owner "root"
-  group "root"
-  mode "644"
-end
-
  template "/usr/local/bin/render-lowzoom" do
    source "render-lowzoom.erb"
    owner "root"
    group "root"
    mode "755"
  template "/usr/local/bin/render-lowzoom" do
    source "render-lowzoom.erb"
    owner "root"
    group "root"
    mode "755"
+  variables :threads => lowzoom_threads
  end
  
  systemd_service "render-lowzoom" do
  end
  
  systemd_service "render-lowzoom" do
@@ -654,12 +621,9 @@ systemd_service "render-lowzoom" do
    condition_path_exists_glob "!/run/update-lowzoom-*"
    user "tile"
    exec_start "/usr/local/bin/render-lowzoom"
    condition_path_exists_glob "!/run/update-lowzoom-*"
    user "tile"
    exec_start "/usr/local/bin/render-lowzoom"
-  private_tmp true
-  private_devices true
-  private_network true
-  protect_system "full"
-  protect_home true
-  no_new_privileges true
+  sandbox true
+  restrict_address_families "AF_UNIX"
+  read_write_paths "/var/log/tile"
  end
  
  systemd_timer "render-lowzoom" do
  end
  
  systemd_timer "render-lowzoom" do
@@ -681,18 +645,27 @@ template "/usr/local/bin/cleanup-tiles" do
    mode "755"
  end
  
    mode "755"
  end
  
-tile_directories = node[:tile][:styles].collect do |_, style|
-  style[:tile_directories].collect { |directory| directory[:name] }
-end.flatten.sort.uniq
+systemd_service "cleanup-tiles@" do
+  description "Cleanup old tiles for /%I"
+  exec_start "/usr/local/bin/cleanup-tiles /%I"
+  user "_renderd"
+  io_scheduling_class "idle"
+  sandbox true
+  read_write_paths "/%I"
+end
+
+systemd_timer "cleanup-tiles@" do
+  description "Cleanup old tiles for /%I"
+  on_boot_sec "30m"
+  on_unit_inactive_sec "60m"
+  randomized_delay_sec "10m"
+end
  
  tile_directories.each do |directory|
  
  tile_directories.each do |directory|
-  label = directory.gsub("/", "-")
+  label = directory[1..].gsub("/", "-")
  
  
-  cron_d "cleanup-tiles#{label}" do
-    minute "0"
-    user "_renderd"
-    command "ionice -c 3 /usr/local/bin/cleanup-tiles #{directory}"
-    mailto "admins@openstreetmap.org"
+  service "cleanup-tiles@#{label}.timer" do
+    action [:enable, :start]
    end
  end
  
    end
  end