web-dev-qa-db-ja.com

Gunicornがnginxでソケットを作成しない

Django、Gunicorn、nginxをセットアップしようとしています。

実行するためにGunicornを設定しましたが、Gunicornを使用するためのnginx設定で問題が発生しているようです。

これが私の設定です:

/etc/systemd/system/gunicorn.service

[Unit]
Description=gunicorn daemon
Requires=socket
After=network.target

[Service]
PIDFile=/run/gunicorn/pid
User=root
Group=root
RuntimeDirectory=gunicorn
WorkingDirectory=/srv/myproject/current
ExecStart=/srv/venvs/myenv/bin/gunicorn --pid /run/gunicorn/pid   \
          --bind unix:/run/gunicorn/socket myapp.wsgi:application
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID
PrivateTmp=true

[Install]
WantedBy=multi-user.target

ユニコーンの状態はこんな感じ

Sudo systemctl status gunicorn

gunicorn.service - gunicorn daemon
   Loaded: loaded (/etc/systemd/system/gunicorn.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2018-01-18 23:32:11 UTC; 3min 23s ago
  Process: 6347 ExecStop=/bin/kill -s TERM $MAINPID (code=exited, status=0/SUCCESS)
 Main PID: 6355 (gunicorn)
    Tasks: 2
   Memory: 195.7M
      CPU: 1.426s
   CGroup: /system.slice/gunicorn.service
           ├─6355 /srv/venvs/myenv/bin/python3.6 /srv/venvs/myenv/bin/gunicorn --pid /run/gunicorn/pid --bind unix:/run/gunicorn/socket myapp.wsgi:application
           └─6360 /srv/venvs/myenv/bin/python3.6 /srv/venvs/myenv/bin/gunicorn --pid /run/gunicorn/pid --bind unix:/run/gunicorn/socket myapp.wsgi:application

Jan 18 23:32:11 python-server systemd[1]: Stopped gunicorn daemon.
Jan 18 23:32:11 python-server systemd[1]: Started gunicorn daemon.
Jan 18 23:32:11 python-server gunicorn[6355]: [2018-01-18 23:32:11 +0000] [6355] [INFO] Starting gunicorn 19.7.1
Jan 18 23:32:11 python-server gunicorn[6355]: [2018-01-18 23:32:11 +0000] [6355] [INFO] Listening at: unix:/run/gunicorn/socket (6355)
Jan 18 23:32:11 python-server gunicorn[6355]: [2018-01-18 23:32:11 +0000] [6355] [INFO] Using worker: sync
Jan 18 23:32:11 python-server gunicorn[6355]: [2018-01-18 23:32:11 +0000] [6360] [INFO] Booting worker with pid: 6360

私のnginx構成

/ etc/nginx/sites-enabled/myserver-python

server {
    server_tokens off;
    listen      443 ssl;
    server_name         myserver.com;
    keepalive_timeout   70;

    ssl_certificate     /etc/ssl/certs/myserver.com.merged.crt;
    ssl_certificate_key /etc/ssl/private/myserver.com.key;

    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;

    #access_log      /var/log/nginx/access.myserver.log;
    access_log      /var/log/nginx/access.myserver.log;
    #error_log       /var/log/nginx/error.myserver.log;
    error_log       /var/log/nginx/error.myserver.log;

    location / {
        include proxy_params;
        proxy_pass http://unix:/run/gunicorn/socket;
    }
}

パス/run/gunicornpidファイルのみが表示されます。ファイルsocketは作成されていません。

これは、エラーログがどのように見えるかです。

/var/log/nginx/error.myserver.log

2018/01/18 23:09:00 [crit] 5764#5764: *1 connect() to unix:/run/gunicorn/socket failed (2: No such file or directory) while connecting to upstream, client: 212.251.167.250, server: my-server.com, request: "GET / HTTP/1.1", upstream: "http://unix:/run/gunicorn/socket:/",, Host: "myserver.com"

誰かがここで何が悪いのか見ることができますか? socketファイルが作成されず、pidファイルが作成されるのはなぜですか?

3
Boban

ジャーナルエントリに示されているように、gunicorn 実際にが開いているソケットは、systemdユニットで構成されているソケットとは異なります。

ジャーナルは、gunicornが実際に行ったことを示しています。

Jan 18 23:08:49 python-server gunicorn[5858]: [2018-01-18 23:08:49 +0000] [5858] [INFO] Listening at: unix:/run/gunicorn/socket (5858)

実際に/run/gunicorn/socketを開いたことに注意してください。しかし、nginxの設定とsystemdユニットは、異なるパスである/run/gunicorn/gunicorn.socketを開くように指定しています。

私の最初の考えは、おそらくsystemdユニットのパスを変更したが、systemctl daemon-reloadを実行していないということです。 systemdユニットの変更は、これを実行(または再起動)するまで有効になりません。

したがって、私はsystemdをリロードしてから、gunicornを再起動してみました。

systemctl daemon-reload
systemctl restart gunicorn.service
4
Michael Hampton

構成は正しかったが、問題はgunicornサービスが適切に再起動されなかったことでした。

Gunicornはsystemdとしてインストールされているため、systemctl restart gunicornで再起動する必要があります。

その後はうまくいきました。

3
Boban

Gunicornソケットファイルが作成されない、または読み取り/書き込みアクセスを許可しないもう1つの理由は、SELinuxがアクセスをブロックしているためです。 SELinuxは、LinuxのRedHat/Fedora/CentOSフレーバーで最も一般的です。

たとえば、SELinuxを実行していて、デーモンが/ run、/ var/runの外にソケットファイルを作成した場合、またはこれらのいずれかの下にサブディレクトリを作成した場合、デーモンを再起動すると、ソケットファイルのファイルコンテキストが正しくなくなります。これは、SELinuxログ(/var/log/audit/audit.log)に次のようなエラーとして表示されます。

type=AVC msg=audit(1569976379.346:40651): avc:  denied  { connectto } for  pid=25861 comm="httpd" path="/home/username/gunicorn.sock" 
scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:init_t:s0 tclass=unix_stream_socket permissive=0

また、Webサーバープロセスで使用される「ユーザー」または「グループ」のアクセス許可にソケットファイルへの読み取り/書き込みのアクセス権がない場合、ソケットと通信するWebサーバーに問題がある可能性があります。これは、systemdデーモンの「Unit」ファイル内のUser = rootまたはGroup = root(OPに表示)を変更することを意味する場合があります。

systemctl edit --full gunicorn.service

ユニットファイルとgunicornをリロードします

Sudo systemctl daemon-reload
Sudo systemctl restart gunicorn && systemctl status gunicorn
0
allella