KUSANAGI バージョンアップ情報 7.8
KUSANAGI の新しいバージョン 7.8 がご利用いただけるようになりました。各クラウドで、新規にインスタンスを作成した場合は、KUSANAGIの初期設定のyumによるシステムアップデートを行うことによって、自動的に7.8にアップデートされます。
以前のバージョンをお使いいただいている場合は、root権限にて以下のコマンドを実行することで、7.8へのアップデートが可能となります。
# yum update -y kusanagi*
7.8の新機能については以下の通りとなります。
1. HTTP/2対応
HTTPS通信時において、HTTP/2 での通信が行えるようになりました。
HTTP/2 とは、ブラウザとの通信を多重化し、onloadまでの所要時間を短縮させる新しいプロトコルとなります。
※ HTTP/2 の詳細については、ウィキペディアのHTTP/2をご覧下さい。
※ 7.8以前にプロビジョニングされたサイトについては、7.8にアップデート後のHTTPS通信時もHTTP/2にはなりません。7.8以前にプロビジョニングされたサイトで、HTTP/2を利用する場合は、Webサーバの設定ファイルを以下の通り修正する必要があります。
nginx設定ファイル
/etc/nginx/conf.d/*****_http.conf
※ ***** はプロビジョニング時の設定値
修正前
location ~* /\. {
deny all;
}
修正後
location ~* /\.well-known/ {
allow all;
}
location ~* /\. {
deny all;
}
/etc/nginx/conf.d/*****_ssl.conf
※ ***** はプロビジョニング時の設定値
修正前
location ~* /\. {
deny all;
}
修正後
location ~* /\.well-known/ {
allow all;
}
location ~* /\. {
deny all;
}
修正前
listen 443 ssl;
修正後
listen 443 ssl http2;
修正前
ssl_ciphers HIGH:!aNULL:!MD5;
修正後
ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;
apache設定ファイル
/etc/httpd/conf.d/*****_ssl.conf
※ ***** はプロビジョニング時の設定値
<VirtualHost *:443> 直下に以下を追加
Protocols h2 http/1.1
修正前
SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
修正後
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
2. Let's Encrypt の導入
無料で利用出来るSSL証明書 Let's Encrypt が利用できるようになりました。プロビジョニング時に入力を求められるメールアドレスを入力することで、Let's Encrypt のSSL証明書を自動的に取得し、設定されるようになります。また、証明書の自動更新設定も合わせて行われるため、取得後は手続きをすることなく継続的に Let's Encrypt SSL証明書を利用できるようになっています。
※ Let's Encrypt の証明書取得・更新は、プロビジョニング時に設定した FQDN でのサーバへのアクセスが可能な状態である必要があります。Basic認証が設定されている場合、および FQDN の DNS が未設定である場合、取得・更新ができなくなりますのでご注意ください。
※ Let's Encrypt のSSL証明書を利用する必要がない場合は、メールアドレスを入力せずに Enter することで、証明書取得プロセスが回避されます。
※ Let's Encrypt のSSL証明書は、ドメイン認証となっています。より強固な認証が必要とされる場合は、企業認証のSSL証明書をご利用ください。
※ Let's Encrypt は、現段階にてベータ版の提供となっています。今後、仕様が変更される可能性があります。
※ Let's Encrypt のSSL証明書取得・更新は、APIを利用しています。このAPIには、時間およびドメインあたりの回数制限があるため、頻繁におこなうと制限される場合があります。
3. kusanagi コマンドに update cert を追加
Let's Encrypt の導入に伴い、kusanagi コマンドに update cert を追加いたしました。
# kusanagi update cert
現在、指定されているターゲットの Let's Encrypt SSL証明書を更新します。
※ 現在のターゲットは、kusanagi target コマンドにて確認できます。
# kusanagi update cert {target}
{target} パラメータで指定された Let's Encrypt SSL証明書を更新します。
4. 構成ミドルウェア、アプリケーションのバージョンアップ
7.8へのバージョンアップにて、構成ミドルウェア、アプリケーションのバージョンを、以下の通りアップデートしております。
- Nginx
- 1.9.10
- Apache
- 2.4.18
- HHVM
- 3.11.0
- PHP7
- 7.0.2
- WP-CLI
- 0.22.0
また、今後、これらのミドルウェア、アプリケーションについては、最新のバージョンが利用いただけるよう、個別にアップデートのリリースを行えるようにする予定です。
