intdashサーバーに自己署名証明書を使用するとどのような問題がありますか?(インフラ管理者向け)
セキュリティ上の理由から、サーバー証明書は、第三者により署名された証明書を使用してください。 Let's Encryptのような認証局では、第三者により署名された証明書を無料で発行することができます。 サーバー証明書として自己署名証明書(第三者により署名されていない証明書)が使用されていると、以下のようになります。 ウェブアプリケーション(VM2M Data Visualizerなど)でintdashサーバーにアクセスした場合: サーバー証明書の検証に失敗し、ウェブブラウザーに警告画面が表示されます。警告は無視することが可能ですが、その場合、通信相手の認証をしないことになり、中間者攻撃等による盗聴・改ざんを許すことになります。 セキュリティ面以外の機能についても、検証を行っていないため、制約が...
intdashサーバーからパスワード再発行メールを送信するように設定したい(インフラ管理者向け)
パスワード再発行の方法を案内するメールをintdashサーバーから送信するためには、使用するSMTPサーバーの情報をintdashサーバー側で設定する必要があります。 基本的な設定方法 intdashサーバーの設定ファイル /etc/intdash/authd.conf の[email.smtp]サブセクションで、以下のように設定します。 設定項目キー 設定する値 address SMTPサーバーのアドレス(文字列) hostname SMTPサーバーのホスト名(文字列) enable-tls TLS暗号化を行う(true|false) enable-starttls-auto STARTTLSが利用可能な場合は利用する(true|false) insecure-tls TLS証明書の検証をス...
エッジを追加できない、エッジの数の上限を変更したい(インフラ管理者向け)
エッジを追加できない場合は、ご使用のintdashドメインで使用できるエッジの数の上限に達している可能性があります。 アプトポッドが運用する環境をご使用の場合は、当社担当者にご相談ください。 お客様にて構築された環境(intdash All-in-Oneを含む)をご使用の場合は、以下を参照してください。 お客様にて構築されたintdash環境で、エッジ数の上限を変更する お客様にてintdash環境を構築された場合は、REST APIによりエッジ数の上限を変更することができます。 現在の設定値を取得し、更新する手順は以下のとおりです。 ユーザー「intdash」のアクセストークンを取得するため、ターミナルで以下のコマンドを実行します。アクセストークンはcookie.txtに保存されます。 pa...
(intdash All-in-One) Data VisualizerでGoogle Mapsを表示できるようにAPIキーを設定したい
注意: この記事は、intdash All-in-Oneのバージョン202112-1までをご使用の方のための情報です。 Data VisualizerでGoogle Mapsを配置したとき「このページではGoogleマップが正しく読み込まれませんでした。」と表示された場合は、サーバー側でGoogle MapsのAPIキーが正しく設定されていません。 Google Maps PlatformでAPIキーを取得し、intdashサーバーの設定でAPIキーを設定してください。 設定の手順については、AMIを使ったintdashサーバー構築手順(intdash All-in-One 利用者様向け) の 「Google MapsのAPIキーを設定する」を参照してください。...
正しいユーザー名とパスワードを使ってもログインできない(インフラ管理者向け)
正しいユーザー名とパスワードを使ってもログインできない場合、以下を確認してください。 ユーザーアカウントが有効であること、パスワードがロックされていないことを確認する APIサーバーがデータベースにアクセスできていることを確認する その他のサーバー側の設定を確認する 以下では、確認方法を順に説明します。 ユーザーアカウントが有効であること、パスワードがロックされていないことを確認する 管理者アカウントでAdmin Console(https://<ご使用のintdashドメイン>/admin/users)を開きます。 ログインできないユーザーアカウントの情報を表示します。 ユーザーアカウントの[有効化]がオンであることを確認します。 パスワードが[ロック中]になっていないことを確認...
ユーザー認証で使用されるJWT private keyを固定したい(インフラ管理者向け)
注意: この記事は、intdash All-in-Oneのバージョン202106-1までをご使用の方のための情報です。 初期設定では、authdサービスを起動するたびに認証用のJWT秘密鍵がランダムに自動生成されます。セキュリティ上、この秘密鍵は固定して管理することを推奨します。 秘密鍵を固定する場合は、intdash-micro-authサービスの設定ファイル authd.conf で、ランダムに生成した文字列を指定します。 [api] ... jwt-private-key = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"...
過去のH.264動画が再生できないので、動画データ保存先ディスク容量を増やしたい(インフラ管理者向け)
再生アプリケーションを適切に設定したにもかかわらず(Data Visualizerの場合であればData Settingsを設定し、ビジュアルパーツVideo Playerを使用している)過去のH.264動画が表示されない場合、サーバー側でディスクに空きがなく、再生用の動画データ(HLSセグメント)を保存できていない可能性があります。以下のガイドに従って保存先ディスクを確認して、空きがない場合は、HLSセグメントを保存するディスクの容量を増やしてください。 なお、動画データに欠損がある場合は、動画にノイズが発生したり再生が停止したりします。この場合は、データが完全にサーバーに回収され、かつその計測が終了ステータスになると、再度動画全体の変換が行われ、正しく再生されるようになります。 intda...
intdashサーバーを構成するサービスの一覧(インフラ管理者向け)
intdashサーバーを構成するサービスは以下のとおりです。 サービス名 サービス概要 intdash-api.service intdash の API サービス。各種マイクロサービスへのプロキシも担う。 intdash-api-gateway.service intdash API のゲートウェイ。各種マイクロサービスへのルーティングを担う。 intdash-api-auth.service intdash API gateway がフォワードする認証認可プロキシサービス intdash-micro-media.service H.264 動画の計測データを取り扱うサービス intdash-micro-auth.service 認証を担うマイクロサービス intdash-micro-bro...
H.264動画が再生できないので、動画を処理するmediadの設定を確認したい(インフラ管理者向け)
再生アプリケーションを適切に設定したにもかかわらず(Data Visualizerの場合であればData Settingsを設定し、 ビジュアルパーツVideo Playerを使用している)、リアルタイム動画が表示されない場合は、mediad(intdashサーバー内でH.264動画の処理を行うアプリケーション)の設定が正しくない可能性があります。 ログを確認し、ffmpegコマンドが見つからないというエラーが発生している場合は以下のAを、mediad-h264が認証に失敗している場合はBを参照してください。 注意 Data VisuazlizerでH.264の動画を再生する場合、キーフレームのタイミングまで画像が表示されないのは、正常な動作です。 キーフレームとは、動画を構成するフレームのう...
intdashサーバーを構成するコンポーネントと使用するポート番号(インフラ管理者向け)
intdashサーバー全体像 intdashサーバーは、以下のコンポーネントにより構成されています(ロードバランサーを除く)。 各コンポーネントの役割は以下の通りです。 nginx クライアント(エッジ)からのHTTPリクエスト、およびintdashサーバー内の他のコンポーネントからのHTTPリクエストを処理します。 ウェブブラウザーから未認証の状態でアクセスがあった場合は、認証のためにログインページへの遷移を行います。 intdash-api intdashサーバーのコアであるWeb APIサーバーです。時系列データやエッジの情報(リソース)を提供します。 intdash-apiが提供する情報の一部は、実際には別コンポーネント(micro-auth、micro-measurement、mic...
intdashサーバーのログについて知りたい(インフラ管理者向け)
intdashサーバー内のアプリケーションは、以下のようにログを出力します。 ログファイル ログは/var/log/messages内のファイルに出力されます。ファイル名は以下の通りです。 標準出力(通常のログ) <アプリケーション名>_stdout.log 標準エラー出力(エラーログ) <アプリケーション名>_stderr.log ログローテーションが設定されている場合、過去のログファイルには日付等の接尾辞が付与されます。例: intdashd_stdout.log.1 intdashd_stdout.log-20200123 intdashd_stdout.log-20200123.bz2 ログファイルはアプリケーションごとに出力されます。intdashを構成するア...
ユーザー認証時に400 Bad Requestエラーになる場合どうすればよいですか(インフラ管理者向け)
注意: intdash All-in-Oneのバージョン202106-1までをご使用の場合は、記事の後半を参照してください。 いくつかの原因が考えられますが、リクエストに形式上の問題(パスワードの入力忘れなど)がない場合は、エッジルータTraefikの設定ファイル middleware.toml の accessControlAllowOriginList に intdash 用ドメイン名が正しく設定されていることを確認してください。 以下は、intdash 用のドメイン名がintdash.example.comである場合の正しい設定の例です。 [http] [http.middlewares] ... [http.middlewares.cors] [http.middlewares.cor...
Data Visualizerにアクセスできない(インフラ管理者向け)
Data Visualizerにアクセスできない場合は、サーバー側の設定が適切でないことがあります。 「このサイトにアクセスできません」、「応答時間が長すぎます」と表示される場合(タイムアウトになる) サーバー側のファイアウォール(AWSのセキュリティーグループを含む)の設定により、アクセスが拒否されている可能性があります。 サーバー側のファイアウォールの設定で、ご使用のクライアントからのHTTPS通信を許可してください。 「この接続ではプライバシーが保護されません」と表示される場合 サーバーのドメイン名とSSLサーバー証明書が正しく設定されていない可能性があります。 ウェブサーバーnginxの設定ファイル/etc/nginx/conf.d/intdash.conf で、server_name...
カスタムiOSアプリでの認証を可能にするため、サーバー側にカスタムURLスキームを追加したい(インフラ管理者向け)
intdashサーバーに接続するiOSアプリを新たに開発する場合、そのアプリ用のカスタムURLスキームが必要です。カスタムURLスキームは、intdashサーバーへの認証の操作を行った後にアプリに遷移するために使われます。 カスタムURLスキームは、アプリ開発時にアプリ側に設定する必要があるとともに、intdashサーバー側にも登録する必要があります。 intdashサーバー側でのスキームの追加手順は以下のとおりです。 SSH で intdash インスタンスに接続し、設定ファイルのディレクトリに移動します。 # cd /etc/intdash テキストエディターで、認証関連の設定ファイルを開きます。 # vi authd.conf [oauth2.default-client] セクションの...
サーバー側アプリケーションのアップデート(インフラ管理者向け)
intdashのサーバー側アプリケーションは、アプトポッドのパッケージリポジトリから新しいバージョンのソフトウェアを取得することによりアップデートできます。 アップデートは以下の手順で行います。 アップデートのための準備をする パッケージリポジトリの利用申し込みを行う 認証情報を設定する アップデートを行う アップデートのための準備をする アップデートを行うためには、リポジトリの認証情報を取得し、リポジトリの情報を intdash インスタンス内のリポジトリ定義ファイルに設定します。 パッケージリポジトリの利用申し込みを行う アプトポッドのパッケージリポジトリを利用するため申し込みを行い、認証情報を取得します。 ウェブブラウザーで、アプトポッドの 証情報発行申し込みサイト にアクセスします。 ...
Oauth2認可で使用するRSA private keyを固定するにはどうすればよいですか?(インフラ管理者向け)
初期設定では、authdサービスを起動するたびにRSA private keyがランダムに自動生成されます。セキュリティ上、この秘密鍵は固定して管理することを推奨します。 秘密鍵を固定する場合は、intdash-micro-authサービスの設定ファイル authd.conf で秘密鍵を設定します。 [keys] [keys.oauth2-rsa] [keys.oauth2-rsa.private-key] driver = "static" [keys.oauth2-rsa.private-key.static] key = "-----BEGIN RSA PRIVATE KEY-----\nXXXXXX...XXXXXX\n-----END RSA PRIVATE KEY-----" &l...
Data Visualizer画面左上のロゴ画像を変更したい(インフラ管理者向け)
Data Visualizerでは、サーバー側で設定することで、ダッシュボード画面左上のロゴ画像をお好みのものに差し替えることができます。 ロゴを差し替えるには、用意したロゴ画像をData URI Schemeによる文字列に変換し、サーバー側の設定ファイルに書き込みます。 ロゴ画像を、幅200ピクセル x 高さ56ピクセルの SVG、JPG、PNGのいずれかの形式で用意します。 なお、ロゴ画像の背景を透明にしておくと、ビジュアルパーツをData Visualizerの背景全面に表示したときにも、不要な背景がない状態でロゴを表示させることができます。 ロゴ画像を Data URI Schemeによる文字列に変換します。 node.js をご使用の場合は、以下のコマンドで変換してください。 $ n...
エッジの保護を解除したい(インフラ管理者向け)
注意: この記事は、intdash All-in-Oneのバージョン202106-1までをご使用の方のための情報です。 重要なエッジアカウントを誤って削除しないようにするため、intdashにはエッジアカウントを保護する機能があります。 保護されたエッジアカウントは、編集や削除ができません。保護の解除は、Web APIを使って行います。 エッジアカウントが保護されているかを確認する エッジアカウントが保護されているかは、Edge Admin Consoleで確認します。 管理者アカウントでintdashにサインインし、Edge Admin Console (https://<ご使用のintdashドメイン>/edges/admin)を開きます。 削除したいエッジの[詳細]をクリック...
データベースやintdashサービスのパフォーマンスを最適化したい(インフラ管理者向け)
intdashサーバーのパフォーマンスをチューニングしたい場合は、以下に挙げる推奨設定を参考にしてください。 以下では、intdashが使用するミドルウェアの設定およびintdashの設定のうち、パフォーマンスチューニングに関連するものについてのみ説明します。 PostgreSQLの設定 パフォーマンスチューニングに関連するPostgreSQLのパラメーターを以下に挙げます。各パラメーターの意味に関しては、公式ドキュメント も参照してください。 キャッシュヒット率を高く保つ shared_buffers = メモリサイズの25%~40% OSのキャッシュも使用されるので厳密に調整しなくてかまいませんが、おおよそメモリサイズの25%~40%の値にしてください。 WAL(Write Ahead L...
InfluxDBがout of memory (OOM)エラーで終了してしまう。解決策を知りたい(インフラ管理者向け)
InfluxDBサービスがout of memory (OOM)エラーで終了し、リスタートしても解決しない場合、シリーズファイルが肥大化している可能性があります。以下の操作を行って、シリーズファイルをコンパクト化してください。 安全のため、InfluxDBデータのバックアップを作成します。バックアップディレクトリは任意のディレクトリで問題ありません。 $ mkdir /tmp/influxdb_backup $ influxd backup -portable influxdb_backup/ : : シリーズファイルをコンパクト化するため、以下コマンドを実行します。-datadirと-waldir には実際のデータディレクトリとWALディレクトリのパスを指定してください。 # systemc...
intdash All-in-Oneに適したEC2インスタンスタイプを知りたい(インフラ管理者向け)
注意: この記事は、AWS Marketplaceで提供されているintdash All-in-Oneをご使用の方のための情報です。 intdash All-in-Oneを使用する場合、EC2のインスタンスタイプは、m5.large以上を推奨します。 高頻度のデータを送信する場合は、以下の目安に従ってスケールアップしてください。 intdashサーバーに送信されるデータの頻度(サンプリングレート) 適したEC2インスタンスタイプ ~12K データポイント/秒 m5.large 12K~24K データポイント/秒 m5.xlarge 24K~44K データポイント/秒 m5.2xlarge いずれも、EBSボリュームは「汎用SSD(gp2)」を使用しています。...
通知メールが届かない(インフラ管理者向け)
intdashサーバーからの通知メールが届かない場合は、以下を確認してください。 通知メールが、受信者のメールソフトの「迷惑メールフォルダー」に入っていないことを確認する ユーザーアカウントに正しいメールアドレスが設定されていることを確認する ユーザーアカウント所有者が確認する場合 : intdashにサインインし、My Page(https://<お使いのintdashドメイン>/edges/me)で自分のメールアドレスを確認します。 管理者が確認する場合 : 管理者ユーザーアカウントでintdashにサインインし、Admin Console(https://<お使いのintdashドメイン>/admin/users/)で確認します。 環境によっては、intdashサ...
計測データを削除したい
計測データの削除は、Meas Hubアプリケーションを使って行います(Data Visualizerで計測データを削除することはできません)。 削除は、「計測」の単位で行います。1つの計測には複数のタイプのデータが含まれていることがありますが、一部のタイプのデータのみを選択的に削除することはできません(例えば、ある計測において、数値タイプのデータは残してJPEGタイプのデータのみを削除するということはできません)。また、計測内の一部の時間範囲だけを削除することはできません。 ウェブブラウザーで、Meas Hub(https://<ご使用のintdashドメイン>/measurements/ )を開きます。 計測の一覧が表示されます。 削除したい計測の[詳細]をクリックし、[削除]を...
systemctl を利用した intdash サービスの管理(インフラ管理者向け)
インスタンスで稼働する intdash の各種サービスは systemctl というシステムマネージャーソフトウェアで管理しています。 以下では、systemctl を使用した intdash の各種サービスの状態管理方法を記載します。 systemctl を利用したサービスの状態管理 以下のコマンドを使用して、intdash 各サービスの状態を管理することができます。 コマンド 管理内容 systemctl start <サービス名> サービスの起動 systemctl stop <サービス名> サービスの停止 systemctl restart <サービス名> サービスの再起動 systemctl status <サービス名> サービスの現在...