念のため必要なファイルをバックアップ。

• mastodon/.env.production
• mastodon/postgres
• mastodon/redis
• mastodon/public/system

また、1.3.3から変わった部分として、

/etc/nginx/conf.d/mastodon.conf
　root /home/mastodon/live/public;
　↓
　root /home/xxxx/mastodon/public;
※サーバーの物理パスへ変更

$ sudo chown -R 991:991 public/system
※publicのバックアップを使う場合

この2点の変更を先に行っておく。あとは単にbuild。下記を実行してひたすら待つだけとなる。

$ docker-compose stop
$ docker-compose build && docker-compose run –rm web rails db:migrate && docker-compose run –rm web rails assets:precompile

サーバーがCeleronと非力なこともあり、コーヒーを作って飲む程度の時間はかかったが（笑）あっさり起動。

画面上、まず一番目につくのが設定/ユーザー設定で、”除外する言語”が追加されたこと。これは日本のインスタンスが急激に増え、海外インスタンスの連合タイムラインに日本語が押し寄せたための処置らしい（笑）

次は昨日も投稿した、プロフィールのメニューにメディアを追加。ただ個人的にはPawooのように3択（投稿/フォロー/フォロワー）の部分を4択にして欲しかったところ。

Sidekiqにはrecurring_jobsが加わった。サブスクリプション、メディア、Feed関連のスケジューラーのようだ。

画面キャプチャは無いが、タイムラインでブーストしたアカウントのアバターが被って表示されるようになった。

その他、追加機能は以下の通り。修正に関しては山のようにあるのでここを参考にして欲しい。

Features:

• Filter out languages from public timelines based on preferences
• Admins can disable 2FA for users
• Webpack
• Show boosted user’s avatar
• Show emoji shortname in a tooltip
• Decode IDN URLs in PreviewCard
• When streaming API is disconnected, poll home/notifications
• Replace ws with uws
• Sidekiq dashboard displays scheduled tasks
• Add to Atom feeds
• Make direct statuses stand out more
• Ability to mute notifications for an entire conversation
• Admins can filter accounts based on username/display name/e-mail/IP
• Ability to hide all content from a domain
• Media gallery view on profiles

ところで前から指摘している外インスタンスのCardを表示しない件、「cards only get created for local posts #2572」で修正済になっているものの相変わらず見えない。何か手順が必要なのだろうか！？ Update以降に関しては見え、以前については出ない模様。

追記：5月23日（日本時間）に1.4.0.3（v1.4rc3）リリース！

このアカウントのメディアギャラリーを表示する機能、Pawooなど一部のインスタンスでは独自に拡張している部分だ（Pawooではメディアタイムラインもある）。

その実装を期待してbuild、起動するとご覧のようにメニューに項目が追加されていた。そこはPawoo同様、投稿 | フォロー | フォロワーの部分へメディアを追加して欲しかった…。

pawoo.netだと外から見た＠アカウントの表示にもメディアがある

当然この実装だと、外から見た＠アカウント名でもメディアの項目は無い。個人的にはちょっと残念。

この他、前から気になっているのは、安定版v1.3.3から現在のmasterまでずっと修正されない不都合が二つ。一つ目は外インスタンスのCard（TwitterやOGP、YouTubeなどのサムネイル）が表示されない。二つ目は日本語を含むURLのオートリンクが中途半端。

特にこのBLOGは日本語URLになる関係上、後者は切実な問題だったりする。何時直るのだろうか…！？ < 書くだけ書いてpullリクせず申し訳ない

既に（お一人様）インスタンスがあがっていれば、Dockerなど基本的なものは入っているので、ソースコードも含め不足部分だけ入れれば即起動する。手順は以下の通り。

$ git clone https://github.com/naumanni/naumanni.git
$ cd naumanni

# curl --silent --location https://rpm.nodesource.com/setup_6.x | bash -
# yum -y install nodejs
※yumでnodejsが入っていない場合

$ sudo wget https://dl.yarnpkg.com/rpm/yarn.repo -O /etc/yum.repos.d/yarn.repo
$ sudo yum install yarn
※yumでyarnが入っていない場合

$ ./build_docker.sh
$ docker run -it -p 8080:80 naumanni.com/naumanni-standalone

あとはWebブラウザからlocalhost:8080（もしくはローカルIPアドレス:8080）で画面が表示される。今回は、Mastodonのmaster追っかけ用（笑）のVM環境から起動した。

インスタンス未登録の状態

＠アカウント＠インスタンスを入力

ログイン後、タイムラインを追加していくと扉の画面キャプチャのようになる。もちろんマルチアカウント対応

少し触った感じでは、設定項目なども未実装、DMがBUGってたりと、まだバージョンが0.1.1と言うこともあり、”取りあえず動いた…”的な雰囲気だ。

またレスポンシブ未対応なので、タイムラインが2つ以上あると幅が広がり、スマホやタブレットからは非常に見辛くなる。が、（多分）もともとデスクトップ専用でタイムラインを数多く並べるのを主目的としている関係上、この指摘は筋違いだろう。

いずれにしても、スマホ用などのアプリではない、Mastodon専用ウェブクライアントの登場は、この先どうなるのか非常に楽しみだ。

ディスク容量不足！？

何時ものようにgitでコードを更新した後、docker-compose buildを実行すると途中でerror。原因は容量不足で書き込めない。dfで調べると確かにもう99%使っている。

考えてみればテストも兼ね何度もDockerをup/downしているので、不要なコンテナとイメージが蓄積され、ほぼ容量を使い切っている状態だった。

とりあえず綺麗さっぱり忘れるために以下のコマンドを実行。大幅に容量が増えたのを確認。

# コンテナの削除
$ docker ps -aq | xargs docker rm
# イメージの削除
$ docker images -aq | xargs docker rmi

HTTP/2対応へ

アップデートが終わり、v1.3.3を起動しTootを眺めていると、HTTP/2の文字が。「そう言えばまだやっていなかったな…。」と対応することに。

ただCentOS 7で普通にyumすると、OpenSSLはv1.0.1系が入るものの、HTTP/2にするにはv1.0.2系が必要。更にnginxがそれを参照しなければならない。と言うことで面倒だがmake決定。

CentOS 7はminimalを使った関係上、開発環境が入っていない。以下必要なコマンドなどをインストール。

yum -y groupinstall 'Development Tools'
yum -y install wget openssl-devel libxml2-devel libxslt-devel gd-devel perl-ExtUtils-Embed GeoIP-devel rpmdevtools

次に/usr/local/srcでOpenSSLコードを展開。makeして、バイナリを入れ替える。

# cd /usr/local/src
# wget https://www.openssl.org/source/openssl-1.0.2k.tar.gz
# tar zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config shared -fPIC
# make
# make test
# make install

# cd /usr/bin/
# cp /usr/bin/openssl /usr/bin/openssl~
# rm -f /usr/bin/openssl
# ln -s /usr/local/ssl/bin/openssl

# openssl version
OpenSSL 1.0.2k  26 Jan 2017

今度はnginx。事前に./configureに指定するパラメータを現バージョンでメモしておく（configure arguments:）。

# nginx -V
nginx version: nginx/1.12.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-4) (GCC) 
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
.
.
--with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

以降は普通のmake。先にメモした./configureのオプション最後に、

--with-openssl=/usr/local/src/openssl-1.0.2k \
--with-openssl-opt='-fPIC'

この2つを加えて./configureする。

# cd /usr/local/src
# wget https://nginx.org/download/nginx-1.13.0.tar.gz
# tar zxvf nginx-1.13.0.tar.gz
# cd nginx-1.13.0

# ./configure \
--prefix=/etc/nginx \
--sbin-path=/usr/sbin/nginx \
--modules-path=/usr/lib64/nginx/modules \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
.
.
--with-openssl=/usr/local/src/openssl-1.0.2k \
--with-openssl-opt='-fPIC'

# make
# make install

# nginx -V
nginx version: nginx/1.13.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-11) (GCC) 
built with OpenSSL 1.0.2k  26 Jan 2017
TLS SNI support enabled

既に.confには

server {
listen 443 ssl http2;
listen [::]:443 ssl http2;

http2の記述があるのでnginxをリスタートするだけでいい。

確認はChromeの検証でNetwork / Protocolがh2になっているか（冒頭の画面キャプチャ）、nginxのaccess.logでHTTP/2.0の文字が見えればOKだ。

追記：.confのサンプルではHSTSの設定がこうなっているが、

add_header Strict-Transport-Security “max-age=31536000”;

サブドメインでインスタンスを運用する時には、includeSubdomainsを追加しないと効いてない感じだ。

add_header Strict-Transport-Security “max-age=31536000; includeSubdomains”;

Qualys SSL LABSのスコアがA-！？

いろいろ変わったので再度チェックしたところ、v1.2系でインスタンスを上げた時はA+だったのに何故かA-に落ちてしまった。違いは…と考えてみるとnginxの.confが一部異なっている。

# これだとA-になる
ssl_ciphers HIGH:!MEDIUM:!LOW:!aNULL:!NULL:!SHA!RC4;

# これでA+
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve prime256v1;

ここのサンプルをそのまま使うとA-になるので、当初の内容へ戻すとA+に。これで一件落着！

余談になるが今回、安定版の1.3-stableと先行版にBranchした。新機能の購読言語指定などはこの1.3-stableには入っていない。

しかし比較的天候に恵まれたGWに何をやってるのか（笑）

このBLOGが入っているサーバーは、BlueOnyxと呼ばれるサーバー管理ソフトのvhostsの一つで作動しており、他にもいくつかドメイン名の異なるサイトが入っている。

ただVPS自体が32bitだったり、BlueOnyxがApacheべったりだったり、CentOSが6ベースだったり…と、Mastodonを動かすのは少し面倒だったので、とりあえずVMで運用していた次第。

このため外部のサーバーへ入れるには別途VPSを借りる必要があり、最近安くなったとは言え敷居が高い。

そこで手元に余っているパーツを眺めると、BraswellなCeleronを搭載したMini-ITXのマザーボード、メモリ2GBx2、初期のIntel製SSDなど、ほぼ揃っているのでこれを流用することにした。

余談になるが、このマザーボードは以前PC Watchで記事を書き、その後、同じシリーズのPentium版を購入したので、ずっと押入れに眠っていたものだったりする（笑）

CentOS 7を使ったセットアップ自体はVMも物理PCもほぼ同じ。一連のネットワーク系設定後、mastodonフォルダの./postgres、./redis、./public/system、.env.productionだけバックアップを取り、システム自体はgit cloneで再インスートルしてあっさり完了（docker-compose.ymlはコメントを外すだけなのでバックアップは不要だろう）。無事起動した。

Core i5のVMと比較して流石にdocker-compose buildやdocker-compose run –rm web rails assets:precompileは時間がかかるものの、一旦動き出せばメモリ4GBも含めこちらの方が余裕がある。

加えてせっかくnginxなサーバーが上がったので、以前port3001で公開していた複数のWordPressサイトを1本化するサイトもサブドメインを割り振り、proxyを使いこちらで公開し直した。しかし手元にサーバーを置くなど何年振りだろうか！？（笑）

タイムラインに手を加えるには

ログイン後の3カラムの画面、あれは全て自らのAPIで値を取得し、JavaScriptで書いている。例えば、

連合タイムライン
インスタンスURL/api/v1/timelines/public
ローカルタイムライン
インスタンスURL/api/v1/timelines/public?local=true

をブラウザへ入力すると、文字の羅列が表示されると思う。JSONと呼ばれるフォーマットだ。画面描画はこれを元にしている（iOSやAndroidのアプリも同様）。ホームはTokenが必要なので少し細工が必要になるものの、出てくるフォーマット自体は同じだ。

となると、このJSONの中にCardの情報が入っていない場合、タイムラインには表示できない。が、残念ながら添付画像情報のmedia_attachmentsはあるものの、必要とするpreview_cardは無い(どちらもDBのTable名)。

従って改造その1はJSONにpreview_cardを加える作業となる。当然JSONの中身が変わるので、アプリなどの互換性が気になると思うが、（例外もあるかも知れないが）一般的に知らない項目が増えても無視するだけで作動には問題無い。

ただデータ転送量が若干増えるので、微妙に反応が鈍くなる可能性はある。

JSONへpreview_cardを追加する

タイムラインAPIのcontrollerは、

app/controllers/api/v1/timelines_controller.rb

これだ。Status.as_public_timeline()など、modelsのstatus.rbにあるclassを呼んでいる。しかしAPIに関しては、status.rbの中を見てもDBのstatuses Table（Tootの中身）しか実質扱っていない。

別Tableになっているmedia_attachmentsをどこで引っ張ているのか…と、しばし悩んだところ該当箇所を発見。

app/views/api/v1/statuses/_show.rabl

ここで出す直前にmedia_attachmentsをJSONへマージしている。つまりここへpreview_cardを追加すればいい。

# app/views/api/v1/statuses/_show.rablへ追加
child :preview_card, object_root: false do
  extends 'api/v1/statuses/_card'
end

実体は新規で_card.rablを作り中は以下のようになる。

# app/views/api/v1/statuses/_card.rablを新規作成
attributes :url, :title, :description, :type,
           :author_name, :author_url, :provider_name,
           :provider_url, :html, :width, :height

node(:image) { |card| card.image? ? full_asset_url(card.image.url(:original)) : nil }

これで一旦build/assets:precompileをし直し、先のAPIをブラウザで入力すると、

"preview_card":{"url":"https://www.youtube.com/watch?v=2tvooAF67z0","title":"BABYMETAL Kami Band Intro Awadama Fever Columbia SC 2017","description":"BABYMETAL Kami Band Intro Awadama Fever Opening for RHCP Columbia SC 2017","type":"link","author_name":"","author_url":"","provider_name":"","provider_url":"","html":"","width":0,"height":0,"image":"http://192.168.11.205:3000/system/preview_cards/images/000/000/016/original/maxresdefault.jpg?1492667166"},

preview_cardが追加されているはずだ(Cardが無い時は”preview_card:null”のみ)。これで準備は完了。改造その2は、画面側の追加プログラムとなる。

タイムラインへCardを表示する

詳しい話を書くと長くなるので単刀直入に（笑）。詳細表示のCardはここで書いている。

app/assets/javascripts/components/features/status/containers/card_container.jsx
app/assets/javascripts/components/features/status/components/card.jsx

二番目が実際に表示している部分。調べたところタイムラインにも共通で使えそうだ。従ってタイムラインからcard.jsxを呼ぶcard_container_tl.jsxを新規で作成する。

# app/assets/javascripts/components/features/status/containers/card_container_tl.jsxを新規作成
import { connect } from 'react-redux';
import Card from '../components/card';

const mapStateToProps = (state,{status}) => ({
  card: status.getIn(['preview_card'], null)
});

export default connect(mapStateToProps)(Card);

次に実際タイムラインを描画している部分

app/assets/javascripts/components/components/status.jsx

へ、以下を追加する。一番目はコードの初めにimportの山があるので、そこへ挿入。二番目は、コードの最後の方に{media}だけ書かれた行があるので、その横に追記する。

import CardContainer from '../features/status/containers/card_container_tl';

<CardContainer status={status} />

これで準備が出来たので、再度build/assets:precompileすればOK。タイムラインにCardが表示されたら正解だ。

現状の問題点は2つ。

1. ローカルインスタンス内でしかCardが表示されない（但し、これは非改造のv1.3.2でも外部インスタンスは詳細に出ないので同じ症状）
2. リンク先の情報を取得するタイミングが詳細を表示した時なので、誰かが詳細を見ない限り、タイムラインにCardが表示されない

1)はもともと外インスタンスのCardは詳細でも出ないので、システム側の問題だと思われる。2)は投稿した時に自分で確認しつつ詳細を見るのが一番手っ取り早い（笑）。一度詳細を表示すれば情報がDBへ入る。

Card用のデータをFetchするコードは

app/services/fetch_link_card_service.rb

ここにある。以降はまだコードを追ってないので不明。sidekiqのWorkerにもlink_crawl_worker.rbが入っている。

いずれにしてもこれで少しはタイムラインが賑やかになる。ただこれらの改造はブラウザからのアクセスのみ有効で、残念ながら勝手改造を関知しないアプリは無関係だ。

またこの改造によって何か不都合が発生しても責任は持てないので自己責任でお願いしたい。本家に同等の機能が付けば嬉しいのだが…。

追記1：1)の件はBUGのようだ。”cards only get created for local posts”
追記2：v1.4系では後半の表示系PATHが変わった（内容は同じ）。
app/javascript/mastodon/features/status/containers/card_container_tl.js
app/javascript/mastodon/components/status.js

controllers/tags_controller.rbの

# frozen_string_literal: true

class TagsController < ApplicationController
  layout 'public'

  def show
    @tag      = Tag.find_by!(name: params[:id].downcase)
    @statuses = @tag.statuses.order('id desc').paginate_by_max_id(20, params[:max_id]) #####
    @statuses = cache_collection(@statuses, Status)
  end
end

この#####の行を

@statuses = @tag.statuses.order('id desc').where(visibility: [:public]).paginate_by_max_id(20, params[:max_id])

これに変更する。つまり対象をvisibility: [:public]として、一覧に表示するTootを絞っている。

コード修正後のインスタンスの起動は先に書いたここの後半を参考にして欲しい。既にMyインスタンスは修正済みで作動している。

Unlistedとタグ付きDMのネットからの一覧表示問題も片付いたので、これで少しは安心できるかな！？

追記1：参考までにログイン後のHome画面（3つTLが並ぶ画面）では、先のUnlistedも含め問題は発生しない。理由は使っているロジックが違うから。自らAPIを呼んで描画している。

インスタンスURL/api/v1/timelines/public/
インスタンスURL/api/v1/timelines/tag/mastodon

この様に呼ぶとJSONが得られる。同じ方法でネット側（非ログイン系）の画面も作れると思うのだが、何故この様な仕様になっているかは不明だ。

追記2：このBUGはcommit済みとのこと。次のリリースまで待てない時に参考にして欲しい。

@rokuzouhonda これは https://t.co/F6uZPConTA で報告されて、2日前のコミットで修正されたようなので、次のリリースでは直っているかと思います

— masayoshi takahashi (@takahashim) April 23, 2017

追記3：v1.3系で修正済み

Mastodon本体はRuby on Railsで書かれており、昔やったな…と思いながらコードを探すと、controllersのaccounts_controller.rbに

def show
    respond_to do |format|
      format.html do
        @statuses = @account.statuses.permitted_for(@account, current_account).order('id desc').paginate_by_max_id(20, params[:max_id], params[:since_id])
        @statuses = cache_collection(@statuses, Status)
      end
.
.
.

を発見。どうやらmodelsのpermitted_for()でデータを取得しているようだ。該当箇所は、status.rbのここ。

def permitted_for(target_account, account)
    return where.not(visibility: [:private, :direct]) if account.nil?

account.nil?つまり非ログイン時、privateとdirectだけ除外している。ここへunlistedを加え、

def permitted_for(target_account, account)
    return where.not(visibility: [:unlisted, :private, :direct]) if account.nil?

こうすればいい（外に何も出したくない時は:publicも加えればいい）。

ただDockerからシステムを剥がして運用している場合は修正するだけでいいのだが、docker-compose up -dで起動している場合は、一旦downして再度buildしないとこの修正が反映されない。

docker-compose downするのはちょっと嫌なので（笑）、直接コンテナの中を触ることにする。

$ docker-compose ps
        Name                      Command               State 
--------------------------------------------------------------
mastodon_db_1          docker-entrypoint.sh postgres    Up    
mastodon_redis_1       docker-entrypoint.sh redis ...   Up    
mastodon_sidekiq_1     bundle exec sidekiq -q def ...   Up    
mastodon_streaming_1   npm run start                    Up    
mastodon_web_1         bundle exec rails s -p 300 ...   Up

ログインする名前を探す（ここではmastodon_web_1）。

$ docker exec -it mastodon_web_1 ash

でログインできるので、該当コードを修正（viが使える）。

$ docker-compose stop
$ docker-compose start

これでコードが反映される。既にMyインスタンスは修正済だ。

余談になるが、Privateで写真を添付した場合でも、写真のURLが分かればネットから抜けてしまう（大昔のmixiもそうだった）。

真面目に対応するのは結構面倒で且つDBに負荷がかかるので（画像を表示する度に相手との関係を調べる必要があるのと、URLではアクセスできないPATHへ画像を置き、表示する時はリダイレクトしなければならない）、Mastodonが対応するのは望み薄だろう。

追記：この件、どうやら意図的らしいので、pullリクしても駄目な雰囲気。各インスタンスで個別対応だろうか！？

使用OS

CentOS 7(Minimal ISO)、メモリ1GB、2 Core
※実際運用してみると、メモリは2GBあった方が良さそう

インストール手順

1)/etc/sysconfig/network-scripts/ifcfg-eth0
※ネットワーク周りに合わせて設定

2)DNSへインスタンスのIN Aなどを記述

3)yum update、gitなど必要なコマンドをインストール

# yum update
# yum -y install git
# yum install bind-utils
# yum install net-tools

4)firewallの設定

# firewall-cmd --add-port=80/tcp --zone=public --permanent
# firewall-cmd --add-port=443/tcp --zone=public --permanent
# firewall-cmd --reload

5)SELinuxをdisabled

# vi /etc/sysconfig/selinux
SELINUX=disabled
# reboot

6)SSL証明書の取得

$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt
$ ./letsencrypt-auto certonly --standalone -d xxxx.xxxx.jp
※xxxx.xxxx.jpは使用するドメイン名（事前に有効なのを確認）
※nginx側は特に設定する必要無し

と、先にオーソドックスなネットワーク関連の設定を済ます。この辺りは他のサーバーでも同じ。

7)Mastodonをclone

$ git clone --depth=1 -b v1.3.2 https://github.com/tootsuite/mastodon.git

8)nginxをインストール

$ sudo vi /etc/yum.repos.d/nginx.repo
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/7/$basearch/
gpgcheck=0
enabled=1

$ sudo yum -y --enablerepo=nginx install nginx

9)docker-ceをインストール

$ sudo yum -y install yum-utils
$ sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
$ sudo yum install docker-ce

$ sudo groupadd docker
$ sudo usermod -aG docker $USER
$ sudo service docker start
$ sudo chkconfig docker on
$ sudo reboot
※この一連を行わないとdocker-composeが作動せず

10)docker-composeをインストール

# curl -L https://github.com/docker/compose/releases/download/1.12.0/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-compose
# chmod +x /usr/local/bin/docker-compose

11)Mastodonの設定

$ cp .env.production.sample .env.production
$ vi .env.production
LOCAL_DOMAIN=xxxx.xxxx.jp
LOCAL_HTTPS=true

SMTP_SERVER=smtp.sparkpostmail.com
SMTP_PORT=587
SMTP_LOGIN=SMTP_Injection
SMTP_PASSWORD=xxxxxxxxxxxxxxxxxxxxx
SMTP_FROM_ADDRESS=xxxx@xxxx.xxxx.jp
SMTP_AUTH_METHOD=plain
SMTP_OPENSSL_VERIFY_MODE=none
SMTP_ENABLE_STARTTLS_AUTO=true
※SMTP_PASSWORDはhttps://app.sparkpost.com/dashboardで得たキー
※サイト認証用にDNSへscphxxxx._domainkey.xxxx.xxxx.jp. IN TXT "v=DKIM1;..."を追加

$ docker-compose run --rm web rake secret
※三回実行し得たキーを下記へコピペ。一回目は時間がかかる
$ vi .env.production
PAPERCLIP_SECRET=
SECRET_KEY_BASE=
OTP_SECRET=

$ vi docker-compose.yml
 db:
    restart: always
    image: postgres:alpine
### Uncomment to enable DB persistance
    volumes:
      - ./postgres:/var/lib/postgresql/data

  redis:
    restart: always
    image: redis:alpine
### Uncomment to enable REDIS persistance
    volumes:
      - ./redis:/data
※インスタンスをdownした後でもTootやアカウントを残すため、DB関連のコメントアウトを外す

smtpは、SparkPostというサービスを利用。無料の範囲では送信可能な件数が限られるものの、今回の用途程度なら問題無さそう。サイト確認用のDNSによる認証があるので要注意（これに気付かずハマった）。

12)nginxの設定

$ sudo vi /etc/nginx/conf.d/mastodon.conf
map $http_upgrade $connection_upgrade {
  default upgrade;
  ''      close;
}

server {
  listen 80;
  listen [::]:80;
  server_name xxxx.xxxx.jp;
  return 301 https://$host$request_uri;
}

server {
  listen 443 ssl;
  listen [::]:443 ssl;
  server_name xxxx.xxxx.jp;

  ssl_protocols TLSv1.2;
  ssl_ciphers EECDH+AESGCM:EECDH+AES;
  ssl_ecdh_curve prime256v1;
  ssl_prefer_server_ciphers on;
  ssl_session_cache shared:SSL:10m;

  ssl_certificate     /etc/letsencrypt/live/xxxx.xxxx.jp/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/xxxx.xxxx.jp/privkey.pem;

  keepalive_timeout    70;
  sendfile             on;
  client_max_body_size 0;

  root /home/mastodon/live/public;

  gzip on;
  gzip_disable "msie6";
  gzip_vary on;
  gzip_proxied any;
  gzip_comp_level 6;
  gzip_buffers 16 8k;
  gzip_http_version 1.1;
  gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

  add_header Strict-Transport-Security "max-age=31536000";

  location / {
    try_files $uri @proxy;
  }

  location @proxy {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto https;
    proxy_set_header Proxy "";
    proxy_pass_header Server;

    proxy_pass http://127.0.0.1:3000;
    proxy_buffering off;
    proxy_redirect off;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    tcp_nodelay on;
  }

  location /api/v1/streaming {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto https;
    proxy_set_header Proxy "";

    proxy_pass http://localhost:4000;
    proxy_buffering off;
    proxy_redirect off;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;

    tcp_nodelay on;
  }

  error_page 500 501 502 503 504 /500.html;
}
※xxxx.xxxx.jpを使用するドメイン名に書き換える

mastodon.confは公式のここにあるので、example.comの部分のみ書き換えればOKだ。

最近、少し内容が変わり、 ssl_dhparamが追加された。事前に

sudo openssl dhparam 2048 -out /etc/ssl/certs/dhparam.pem

を実行すること。

13)起動

$ sudo systemctl start nginx
$ sudo systemctl enable nginx

$ docker-compose build
$ docker-compose run --rm web rails db:migrate
$ docker-compose run --rm web rails assets:precompile
$ docker-compose up -d

$ docker-compose run --rm web rails mastodon:make_admin USERNAME=xxxxx
※USERNAME=は管理アカウントのusername

仕上げは、dailyメンテナンス用のコマンドを1日1回（以上）叩くよう、以下をcrontabに仕込む。

docker-compose run --rm web rake mastodon:daily

ググりながら、インストールしながらメモしたのをそのままコピペしているので大丈夫と思うが、間違っていたら申し訳ない。

身内との遊び用なのでここではURLを掲載しないものの、連合タイムラインに載るのでばれるな（笑）