C++のstd::string型クラス静的メンバー変数に文字列定数を定義するいくつかの方法

はじめに

10年とちょっと前、C++（C++98/03規格）でプログラミングする際に文字列定数をどうやって表現しようかと考え、クラスの静的メンバ変数にconst修飾子を付けました。

// Hello.h
class Hello {
public:
    void greet();
private:
    static const std::string MESSAGE;
};

• ヘッダーファイルのクラス定義に静的メンバ定数（constなメンバ変数）を含める場合、組込み型は値を記述した定義を記述できますが、非組込み型は値を記述できず変数名までの宣言を記述し、実装ファイルに初期化を定義します。

// Hello.cpp
const std::string Hello::MESSAGE = "Hello, World!";
void Hello::greet() {
    std::cout << MESSAGE << std::endl;
}

LinuxのGCCで、__attribute__((constructor))を付けた関数内でこのクラスの静的メンバ変数を使用するコードを書いていましたが、Red Hat Enterprise Linux 7（CentOS 7）にビルドを変更（GCCのバージョンがGCC4.4→4.8）したところ、プロセス起動時にエラー（Segmentation fault）となってしまいました。この直接の原因追究が難航したので、回避策の検討としてクラスの静的メンバに文字列定数を定義する別な方法を調べました。

調査の範囲

• Linux（CentOS 7）でGCCを使用します。GCCはOS標準搭載の4.8系と、Software Collections（SLC）提供の8系および9系で確認します。
• std::string型の定数を用意し、値だけでなく参照も同一とすることを前提とします。
• モダンC++（C++11以降）の規格を調査対象に含めます。

調査結果

C++17で導入された次の2つの機能を用いる方法がある。

• constexprでstd::string_viewを用いる
• inline指定をする

constexprとstd::string_view（C++17）

constexprを使ってクラスの静的メンバ変数に文字列定数を定義する方法は、C++11ではエラーとなりました（後述）。 これは、C++17で導入されたstd::string_viewにより解決します。

// Hello.h
class Hello {
public:
    void greet();
private:
    static constexpr std::string_view MESSAGE { "Hello, World!" };
};

inline（C++17）

inlineを使ってクラスの静的メンバ変数に文字列定数を定義します。

// Hello.h
class Hello {
public:
    void greet();
private:
    inline static constexpr std::string MESSAGE { "Hello, World!" };
};

うまくいかなかったアプローチ

namespace静的定数（C++98）

ヘッダーファイルにnamespace静的定数を定義する方法は、ヘッダーファイルをインクルードした翻訳単位毎にオブジェクトが割当てられるため、値は一緒だがアドレスが異なってしまいます。

// Hello.h
namespace hello {
static const std::string MESSAGE = "Hello, World!";
}

• Hello.h をincludeするAlfa.cppとBravo.cppがあると、Alfa.cpp内の関数でhello::MESSAGEのアドレスを取り出し、Bravo.cpp内の関数でhello::MESSAGEのアドレスを取り出して両者を照合すると異なるアドレスとなります。

constexpr（C++11）

C++11では、constexprキーワードが導入されコンパイル時定数が定義できるようになりました。 しかし、std::string （実際にはbasic_string）がリテラル型ではないとコンパイルエラーになります。

error: the type 'const string {aka const std::basic_string<char>}' of constexpr variable 'Hello::MESSAGE' is not literal
     static constexpr std::string MESSAGE = "Hello, World!";

環境メモ

GCCのC++11/14/17対応バージョン

• C++11に対応したのはGCC 4.8
• C++14に対応したのはGCC 5.1
• C++17に対応したのはGCC 8

CentOS 7でGCCを使い分ける方法

CentOS 7はOS標準搭載GCC（CentOSのパッケージリポジトリで提供されるGCC）のバージョンは4.8です。 それより新しいGCCバージョンを使う場合、Software Collectionsリポジトリから取得するのが楽です。

Software Collectionsは、Red Hat Enterprise Linux、Fedora、CentOS、およびScientific Linux向けにソフトウェア集を提供するコミュニティ・プロジェクトです。 CentOSのyumリポジトリ（extras）に、Software Collectionsを利用するyum設定を含むパッケージ centos-release-scl および centos-release-scl-rhが含まれます。 GCC 8や9を利用するには、centos-release-scl-rhをインストールしてから、devtoolset-9-gcc-c++ 等をインストールします。

~$ sudo yum install centos-release-scl-rh
:
~$ sudo yum install devtoolset-9-gcc-c++
:

Software Collectionsからインストールしたソフトウェアセットは次のコマンドで確認できます。

~$ scl -l
devtoolset-8
devtoolset-9
rh-git218

Software CollectionsからインストールしたGCCは、/opt/rh/devtoolset-9/root/ 以下に展開されます。ここには環境変数等は通っていないので、利用するにはひと手間必要です。

一時的に環境変数等が設定されたbash対話環境を使用する

環境変数が設定されたbashを新たに起動

~$ scl enable devtoolset-9 bash
~$

現在のbashに環境変数の設定を取り込み

~$ source scl_source enable devtoolset-9
~$

永続的に環境変数等を設定する

そのマシンのユーザー全ての環境を変更します。

~$ sudo ln -s /opt/rh/devtoolset-9/enable /etc/profile.d/devtoolset-9.sh

ビルドツール Gradle

コマンドラインで直接コンパイルコマンド、リンクコマンドを叩くのは大変、でも Makefile を書くのも手間、というときにJavaがちょっとわかるプログラマー向けの推奨ビルドツールがGradleです。Gradleは、Javaのプログラムをビルドする3大ツールの一つとして有名ですが、C++のビルドにも対応しています。今回のように小さな検証プログラムをささっとビルドして実行するにはとっても楽です（共有ライブラリの作成も簡単）。

Gradleのインストールと設定

GradleはJavaで書かれたツールなので、実行にはJava（JDK 8以降）が必要です。 OS標準リポジトリからJDK 8をインストールします（パッケージ名はJDK 8の内部バージョンである1.8.0の表記となっています）。

~$ sudo yum install java-1.8.0-openjdk
  :

Gradleをインストールします。Gradleは Yumパッケージにはないので、手作業でダウンロードしインストールします。

https://gradle.org/releases/ から最新のバイナリをダウンロードします。 インストール手順に沿って、/opt/gradle の下に zipファイルを展開します。

~$ sudo unzip gradle-6.5.1-bin.zip -d /opt/gradle

環境変数PATHを、/opt/gradle/gradle-6.5.1/bin に通します。ローカルマシンの全ユーザーに永続的に設定するなら、/etc/profile.d/gradle.shを作成します。

export PATH=$PATH:/opt/gradle/gradle-6.5.1/bin

簡単Gradleビルドプロジェクト作成

ビルドプロジェクトのディレクトリを作成し、ビルド定義ファイル build.gradle を作成します。

~$ mkdir juliet
~$ cd juliet
juliet $ emacs build.gradle
 :

• build.gradle

plugins {
    id 'cpp-library'
    id 'cpp-unit-test'
}

これは、共有ライブラリファイルを作成するプロジェクトで、テストコードの作成と実行も定義するビルド定義ファイルとなります。 ビルドするソースファイル名やインクルードパスなどは何も書いていませんが、これはデフォルトのディレクトリに放り込んでおけば勝手にビルドしてくれます。 デフォルトのディレクトリは次です。このディレクトリ構成を作成し、ソースファイル、ヘッダーファイル、テストソースファイルを配置します。

juliet/
  +-- build.gradle
  +-- src/
        +-- main/
        |     +-- cpp/
        |     |     +-- ソースファイル（Hello.cpp）
        |     +-- public/
        |           +-- ヘッダーファイル（Hello.h）
        +-- test/
              +-- cpp/
                    +-- テストコードのソースファイル（HelloTest.cpp）

src/main の下にあるファイルを共有ライブラリファイルにビルドし、test/mainの下にあるファイルを実行ファイルにビルドし共有ライブラリファイルにリンクして実行します。 C／C++プログラマーには奇異に映る構成かもしれませんが、ビルド定義で好みのディレクトリに設定することは可能です。

テスト実行（依存するコンパイル・リンクも自動的に行われる）は次のコマンドです。

juliet$ gradle runTest
> Task :runTest
Hello, world!

BUILD SUCCESSFUL in 2s
:

ビルド結果は build ディレクトリ下に生成されます。

juliet/
  +-- build/
        +-- exe/
        |     +-- test/
        |           +-- julietTest

プロジェクトの基点ディレクトリ名にちなんだビルド結果ファイルが生成されます。 このファイルには、テストコードとソースファイルとが1つにリンクされています。

ライブラリのビルドは次のコマンドです。

julite$ gradle build
  :

ビルド結果は build ディレクトリ下に生成されます。

juliet/
  +-- build/
        +-- lib/
        |     +-- main/
        |           +-- debug/
        |                 +-- libjuliet.so

Gradleメモ

• 日本語ロケールではGCCを見つけられない

gcc -v でgccのバージョンを出力するメッセージが日本語化されているとgradleがgccを見つけられません。 ロケールを英語に切り替えます。

juliet$ LC=ALL=C bash
juliet$ 

• コンパイルオプションを指定したい

build.gradle に以下を追記します。

tasks.withType(CppCompile) {
    compilerArgs = [ '-std=c++11' ]
}

おわりに

C++であれこれ調べたのは5年振りくらいです。C++のコードをあれこれ書いたのは10年よりちょっと前でまだC++11規格が正式採択前です。 この10年でC++も随分変わっていることが実感できました。

Javaアプリケーションをモジュール化する際の様々な障害

以前、JavaFXでちょっとしたデスクトップガジェットプログラムを作ってみました。 これは、ちょっとしたユーティリティライブラリ（次の日記）と、

torutk.hatenablog.jp

それを使ったガジェット風アプリケーションとなります。

GitHub - torutk/EarthGadget: JavaFX 3d earth rounding　他

このプログラムを、JPMS（Java Platform Module System)のモジュール対応とJDK14で導入されたjpackageを使ったインストーラー作成に対応させることにしました。

環境は次です。

メインクラスを持つモジュール対応JARファイルを生成する

メインクラスを持つモジュール対応JARファイルは、モジュール定義（module-info.class）にMainClass属性を埋め込む必要があります。この埋め込みはjarコマンドで--main-classオプションで指定した場合に行われます。

ガジェット風アプリケーションのビルド環境は、NetBeans IDEでAntをビルドツールとして使うプロジェクトです。 ところが、現時点でAntにはメインクラスを持つモジュール対応JARファイルを作る機能がありません。

自分でメインクラスを持つモジュール対応JARファイルを生成するタスクを書くか、Ant以外の別なビルドツールに移行するかを検討しました。

自分でモジュール対応JARファイルを生成するタスクをAntで書くというのは、今後NetBeansでプロジェクトを作成するときに毎回Antのビルドファイルに手を入れることになるので望ましい姿ではありません。

Ant以外のビルドツールとしては、mavenかgradleかが候補に上がります。現時点ではどちらもメインクラスを持つモジュール対応JARファイルの生成に対応しています。

今回開発に使う環境は個人のプログラム作成用途で、自宅以外でも出張・旅行などの移動先や移動途中などでも使用します。移動先ではWi-Fiが使えるとは限らず、また自宅でも特にコロナ緊急事態宣言中には時折インターネット接続ができない状況があり、インターネット接続ができなくても十分使えるgradleに移行することにしました。

NetBeansのプロジェクトをGradleにする

NetBeansには、Gradleプラグインが用意されており、これをインストールします。 次に、新規プロジェクトを作成（[File]メニュー > [New Project]で、[Java with Gradle] > [Java Application]）します。Java wtih Gradle で選択可能なプロジェクトの種類は次の3つです。

• Java Application
• Java Class Library
• Multi-Project Build

複数のモジュール対応JARを1つのNetBeansプロジェクトで管理するならMulti-Project Buildです。 今回は1プロジェクト1JARを生成するので、ガジェット風アプリケーションはJava Applicationを選択しました。

問題１　UTF-8のJavaソースファイルを開くと文字化け

NetBeansのGradleプロジェクトに、GitHubから取り出したガジェット風アプリケーションのJavaソースファイルを登録し、開こうとすると次の警告がでます。

The file D:/work/EarthGadget/src/main/java/com/torutk/gadget/earth/EarthGadgetApp.java cannot be safely opened with encoding windows-31j. Do you want to continue opening it?

[Yes]で開くと、日本語が壊れて（文字化けして）表示されます。困りました。 ファイル先頭のコピーライト記述コメントで、「©」が「ﾂｩ」に化けているので、UTF-8 の文字コードC2 A9を、Shift JISとして解釈しています。

プロジェクトのプロパティを開いて設定を探したのですが、Antプロジェクトの設定にはあったEncoding設定が見つかりません。

この事象は、NetBeansのバグデータベースに登録されていました。

issues.apache.org

• build.gradleに以下を追加　→　文字化けは解消せず（上記チケットにもうまくいかないと記載あり）

tasks.withType(JavaCompile) {
    options.encoding = 'UTF-8'
}

• NetBeansの起動オプションに-J-Dfile.encoding=UTF-8を追記 → 上記チケットのコメントで回避方法として紹介されていたが、JDK 11およびJDK 14ではNetBeans起動時にJavaVMがクラッシュ

#
# A fatal error has been detected by the Java Runtime Environment:
#
#  EXCEPTION_ACCESS_VIOLATION (0xc0000005) at pc=0x00007ffb6413fd3e, pid=14828, tid=4892
#
# JRE version: Java(TM) SE Runtime Environment 18.9 (11.0.7+8) (build 11.0.7+8-LTS)
# Java VM: Java HotSpot(TM) 64-Bit Server VM 18.9 (11.0.7+8-LTS, mixed mode, tiered, compressed oops, g1 gc, windows-amd64)
# Problematic frame:
# C  [awt.dll+0x8fd3e]
#
# No core dump will be written. Minidumps are not enabled by default on client versions of Windows
#
# If you would like to submit a bug report, please visit:
#   https://bugreport.java.com/bugreport/crash.jsp
# The crash happened outside the Java Virtual Machine in native code.
# See problematic frame for where to report the bug.
#

---------------  S U M M A R Y ------------

Command Line: -Dnetbeans.importclass=org.netbeans.upgrade.AutoUpgrade -Dfile.encoding=UTF-8 -XX:+UseStringDeduplication -Xss2m -Djdk.gtk.version=2.2 -Dapple.laf.useScreenMenuBar=true 
  :（中略）
---------------  T H R E A D  ---------------

Current thread (0x0000000029be5000):  JavaThread "AWT-EventQueue-0" [_thread_in_native, id=4892, stack(0x000000002c910000,0x000000002cb10000)]

Stack: [0x000000002c910000,0x000000002cb10000],  sp=0x000000002cb0cd90,  free space=2035k
Native frames: (J=compiled Java code, j=interpreted, Vv=VM code, C=native code)
C  [awt.dll+0x8fd3e]

Java frames: (J=compiled Java code, j=interpreted, Vv=VM code)
j  sun.awt.windows.WComponentPeer._setFont(Ljava/awt/Font;)V+0 java.desktop@11.0.7
j  sun.awt.windows.WComponentPeer.setFont(Ljava/awt/Font;)V+7 java.desktop@11.0.7
j  sun.awt.windows.WWindowPeer.initialize()V+42 java.desktop@11.0.7
j  sun.awt.windows.WFramePeer.initialize()V+1 java.desktop@11.0.7
j  sun.awt.windows.WComponentPeer.<init>(Ljava/awt/Component;)V+83 java.desktop@11.0.7
j  sun.awt.windows.WCanvasPeer.<init>(Ljava/awt/Component;)V+2 java.desktop@11.0.7
j  sun.awt.windows.WPanelPeer.<init>(Ljava/awt/Component;)V+2 java.desktop@11.0.7
j  sun.awt.windows.WWindowPeer.<init>(Ljava/awt/Window;)V+2 java.desktop@11.0.7
j  sun.awt.windows.WFramePeer.<init>(Ljava/awt/Frame;)V+2 java.desktop@11.0.7
j  sun.awt.windows.WToolkit.createFrame(Ljava/awt/Frame;)Ljava/awt/peer/FramePeer;+5 java.desktop@11.0.7
j  java.awt.Frame.addNotify()V+20 java.desktop@11.0.7
j  java.awt.Window.pack()V+28 java.desktop@11.0.7
j  org.netbeans.core.startup.Splash.center(Ljava/awt/Window;)V+1
j  org.netbeans.core.startup.Splash$SplashRunner.run()V+11
　：（後略）

スプラッシュ画面を表示しようとして、awt.dll でメモリアクセス違反が発生しています。 OpenJDKのバグデータベースにはこの事象が登録されています。解決はJDK 15（2020年9月リリース予定）となっています。

bugs.openjdk.java.net

これは、Windows上のJDKでGUI（awtライブラリ、Swingも内部で使用）を使ったプログラムをJVMオプション-Dfile.encoding=UTF-8を指定して実行すると発生します。UTF-8以外の指定を試すと（例えばeucjp、windows-31j）クラッシュは発生しませんでした。

ということで、現時点ではNetBeans IDEをJDK 8で動かすしかなさそうです。

問題２　NetBeans IDEをJDK 8で動かすと

• nb-javac ライブラリ（プラグイン）をインストールするよう案内が出る

NetBeans IDEからjavacを扱う際に、JDK 8までは標準のjavacでは機能・制御が不十分のため、NetBeans用にパッチを当てたnb-javacを使っています。JDK 9以降でNetBeans IDEを動かす場合は不要（ない方がよい？）のため、不整合が生じるかもしれません。

• HIDPI対応等が劣化する

JDK 9ではWindows上でHiDPIディスプレイに対応していますが、JDK 8では非対応のためツールバーのアイコンが小さすぎるといった弊害があります。ダイアログにおいて文字が欠けてしまう等の問題があります。

問題３　AntベースプロジェクトからGradleベースプロジェクトへの移行

GitHubリポジトリに登録しているNetBeansのAntプロジェクトをNetBeansのGradleプロジェクトへ移行しようとすると、

• 新規プロジェクト作成では空のディレクトリを指定する必要がある
  • GitHubからクローンしたディレクトリに作れないので、リポジトリ管理上やっかいな作業が発生
• ディレクトリ構造が異なる
  • Antベースのプロジェクトでは、srcディレクトリ下にパッケージに相当するディレクトリツリー
  • Gradleベースの単一モジュールプロジェクトでは、src/main/java ディレクトリ下にパッケージに相当するディレクトリツリー
  • Gradleベースの複数モジュールプロジェクトでは、src/<モジュール名>/classesディレクトリ下にパッケージに相当するディレクトリツリー
• Antベースのプロジェクトでは画像ファイルをソースファイルと同じディレクトリに置いてるが、Gradleベースのプロジェクトでは画像ファイルをソースファイルと同じディレクトリに置いても成果物（JARファイル）に取り込まれない

といった事態に直面します。

後の問題対応を含めると、NetBeans上からプロジェクト作成をするのではなく、コマンドラインからGradleのコマンドを叩いてプロジェクトを生成させるのがよいのではと思いました（要試行）。

問題４　NetBeansのプロジェクトプロパティ設定から設定できる項目がほとんどない

また、設定を見回って気付いたこととして、GradleプロジェクトではNetBeansのプロジェクトプロパティ設定画面から設定できる項目がほとんどありません。ライブラリの参照も表示されるだけで追加・変更はできません。

ビルドに関する諸設定は、build.gradleファイルをエディタで直接編集するようになっています。

お試しにNetBeansの新規プロジェクト作成で、GradleのJava Application種類を選択すると、次のbuild.gradleファイルが生成されます。

apply plugin: 'java'
apply plugin: 'jacoco'
apply plugin: 'application'


description = 'Gradle Java Application Sample'
    group = 'com.torutk.hello'

mainClassName = 'com.torutk.hello.HelloApp'

repositories {
    jcenter()
}

dependencies {
    testImplementation     'junit:junit:4.13'
}

description、group、mainClassNameは、新規プロジェクト作成時にウィザードから設定した内容です。 javaのソースレベルは、デフォルトではNetBeans IDEを動かしているJDKバージョンとなるので、プロジェクトで使用するレベルを明示的にビルド定義に記述します。groupは、成果物をmavenリポジトリに上げる等がないなら未定義でもよいかも。

問題５　使用するGradleバージョン

[Tools] > [Options] から、[Java] > [Gradle] で Categories欄を[Execution]にすると、GradleのバージョンやOffline設定等ができます。 NetBeans IDEにGradleプラグインを入れた後、Gradleのバージョンは6.3となっています。 そのマシンで初めてGradleプロジェクトを作成するときは、まだGradle（バージョン6.3）が存在しないのでインターネットからダウンロードします。 そのため、オフラインで作業する場合は、一度インターネットに接続した環境でダミーの新規プロジェクトを作成する等の対処が必要です。

また、JavaのJPMSモジュール対応しているのはGradleの6.4以降なので、新規プロジェクト作成後にGradleのバージョンを更新する作業が発生します。

• Use Standard Gradle Version は6.3のみ選択可

  • いったん6.3でプロジェクト作成後、Gradleバージョンを更新するとインターネットからダウンロードが発生し、それ以降は6.5等の新しいバージョンを選択可能

• Customで、別途マシンにインストールしたGradleディレクトリを指定することが可能

[Tools] > [Options] から、[Java] > [Gradle] で Categories欄を[Execution]とし、Gradle Distribution領域で[Custom]ラジオボタンを選択、[Browse]ボタンでマシンにインストールしたGradleのディレクトリを指定します。

問題６　ライブラリの参照

ユーティリティライブラリのNetBeansプロジェクトと、それを利用するガジェット風アプリケーションのNetBeansプロジェクトで構成しています。 ガジェット風アプリケーションのbuild.gradleファイルに、どのようにユーティリティライブラリのNetBeansプロジェクト参照を記述するのかが問題でした。

Gradleでは、マルチプロジェクト構成を作ることで複数のプロジェクトをまとめてビルドすることが可能です。

しかし、シングルプロジェクト構成ではプロジェクトを参照することが難しいので、個別にビルドすることとし、ユーティリティライブラリのNetBeansプロジェクトが生成するJARファイルをガジェット風アプリケーションのNetBeansプロジェクトから参照するようにします。

ローカルのJARファイルを参照させるには、repositories {...} で flatDirによるローカルのディレクトリ指定をするか、dependencies {...} で、fileTreeで指定するといった方法があります。

ユーティリティライブラリのNetBeansプロジェクトは、gitのsubmodule機能を用いてガジェット風アプリケーションのディレクトリ下に置いているので、相対パスでライブラリを参照します。

dependencies {
    implementation fileTree(dir: "javafx-gadgetsupport/dist", includes: ['*.jar'])
}

• javafx-gadgetsupport ライブラリプロジェクトは、Antベースのままmodule-info.javaを追加してモジュール対応しています。

次に、ライブラリ参照を従来のクラスパスではなくモジュールパスとして扱うよう定義します。

java {
    modularity.inferModulePath = true
}

依存関係で定義するライブラリがモジュール対応JARのときは、クラスパスではなくモジュールパスとして扱います。

問題7　画像ファイルがJARに取り込まれない

Antベースのプロジェクトで、ソースファイルと画像ファイルとを同一ディレクトリに置いていましたが、Gradleでビルドすると画像ファイルが生成されるJARファイルに含まれなくなりました。

これは、Gradleがデフォルトではソースファイルのディレクトリ（src/main/java以下）にあるファイルはコンパイル対象として扱い、それ以外のファイルは無視しています。リソースファイル（プロパティファイルや画像ファイルなど）は、リソースファイルのディレクトリ（src/main/resources以下）に置いたものがJARファイルに取り込まれます。

Gradleのデフォルトのソースディレクトリ構造ではなく、Antベースのソースディレクトリ構造として扱うには次の記述をします。

sourceSets {
    main {
        java {
            srcDir 'src'
        }
        resources {
            srcDir 'src'
        }
    }
}

問題8　Gradleのユーザーマニュアルは1200ページ以上もある

ドキュメントが充実していることはとても素晴らしいですが、分量が多いです。

問題9　マルチプロジェクトのビルド定義記述が

マルチプロジェクトのビルドを書こうとしますが、いくつか嵌りポイントがあって頓挫しました。

• ルートプロジェクトのbuild.gradleに 共通の定義を記述すべく、subprojects {...} の中にplugins { ... } 形式を記述すると、Could not find method plugins() for arguments とエラーに

プラグインの指定の記述方法が2種類（apply plugin: xxx　と plugins { id xxx }）あり、plugins {...} はビルド定義のトップに記述しなくてはならずsubprojects{..}の中には記述できないようです。apply pluginsの書き方をする必要があります。

さくらVPSのOSをCentOS 8に、Redmineを4.1に更新、の続き（5日目）

既に対処が終わっている内容ですが、以下の続きです。

torutk.hatenablog.jp

MariaDBの文字コードを、utf8mb4に設定しました。これはUTF-8で1～4バイトの範囲を扱える設定です。一方、MariaDBで文字コードをutf8とした場合は、UTF-8で1～3バイトの範囲（基本プレーン）しか扱えません。utf8のデータベースに、例えばUTF-8で4バイトで表現される絵文字をWikiに記載し保存しようとするとエラーとなってしまいます。

ここで、今回の更新で起きた問題は、RedmineのこれまでのデータベースはMySQLのutf8で作成したものを移行してきたことに起因するものです。具体的には、新たにMariaDBの文字コードをutf8mb4に設定してもデータベース（テーブル）はutf8のままであり、UTF-8の4バイト文字を入れるとMariaDBの設定自体はutf8mb4であってもテーブルはutf8のためエラーとなるというものです。

今回、MariaDBを設定後にRedmineのデータベースを手動で作成し、その後に旧RedmineのMariaDBからダンプしたデータをインポートしたので、データベースはutf8mb4ですが、Redmineの各テーブルがutf8のままとなっている状況です。

utf8からutf8mb4への変更は、UTF-8の1～3バイト文字からUTF-8の1～4バイト文字への拡張のみであるため、文字のデータそのものはまったく変更する必要はなく、単にテーブル（カラム）の文字列の文字コード設定をutf8からutf8mb4へ変更するだけとなります。

1つのテーブルについて、文字コードをutf8からutf8mb4に変更するには次のSQL文を実行します。 例えばattachmentsテーブルの文字コードをutf8mb4に変更する場合のSQL文は次となります。

> ALTER TABLE attachments CONVERT TO CHARACTER SET utf8mb4;

さて、Redmineのデータベースには、テーブルが多数（約70個）あります。 上述のコマンドを各テーブルについて一つ一つ入力して実行するのは大変です。

SQL文で頑張る方法もありそうですが（SELECT CONCAT ...）、ちゃんと動くか不安があったため、Linuxのテキストファイルに落としてから、これを実行することにしました。

~$ for t in $(mysql -uredmine -pxxxxxxxx redmine -e "show tables" -s -N); do echo "ALTER TABLE $t CONVERT TO CHARACTER SET utf8mb4;"; done > alter_tables.sql

あとはこのファイルをMariaDBに読み込ませて実行させます。

~$ mysql -uredmine -pxxxxxxxx redmine < alter_tables.sql

さくらVPSのOSをCentOS 8に、Redmineを4.1に更新、の続き（4日目）

先日の続きです。

torutk.hatenablog.jp

Redmineログのローテーション

SELinux下でlogrotateを使ってRedmineのログ・ローテーションを実現するには設定がそれなりに手間なので、Railsの機能を使ってログローテーションを設定します。

Redmineインストールディレクトリのconfig/additional_environment.rb にログ設定を記述

config.logger = Logger.new('log/production.log', 30, 10 * 1024 * 1024)

• 一つ目の引数は、ログファイルのパスを指定します。Railsアプリケーションのルートディレクトリからの相対パスで指定可。
• 二つ目の引数は、ローテートするときに残す世代数（ファイル数）です。
• 三つ目の引数は、ログファイルの容量がこの閾値に達したらローテーションを実施する値です。

gitサーバー

このマシンに共有gitリポジトリを設けて、Redmineから参照し、またHTTP経由でリポジトリのクローンとプッシュをできるようにします。

HTTPからのアクセスにおいて、HTTP用にアカウントを作成し運用管理するのは負担が大きいですから、RedmineのアカウントでHTTPの認証を行うようにします。Redmineには現時点ではApache HTTPD用の認証モジュールが含まれていますがNginxには対応していません。

https://www.redmine.org/issues/7061

そこで、Git（Subversion）リポジトリアクセス用にApache HTTPDをインストールします。

gitリポジトリの格納ディレクトリとSELinux許可

gitリポジトリに対しては、読み込み、書き込み、およびスクリプトの実行が必要です。HTTP経由でgitリポジトリにアクセスするには、HTTPのプロセスに与えられるドメインhttpd_tから、gitリポジトリのリソースに対する読み込み(map操作含む）、書き込み、スクリプト実行の操作の許可があるリソースタイプをgitリポジトリに割当てます。

CentOS 8のデフォルトSELinux設定では、gitリポジトリを置くと想定しているディレクトリに対して次のリソースタイプが割当てられています。また、ディレクトリ内のファイルに対して許可される操作も併記します。調査コマンドについては後述します。

これらのデフォルトSELinux設定では、書き込み操作およびスクリプトの実行操作が許可されていません。 そこで、書き込み操作と、必要なディレクトリに限定して実行操作を許可するリソースタイプを設定します。

1. ドメインhttpd_tから/var/lib/git 以下のリソースに対して読み書き許可
2. ドメインhttpd_tから/var/lib/git/<リポジトリ名>/hooks 以下のリソースに対して実行許可

ドメインhttpd_tから上述の許可を持つリソースタイプを調査したところ、次のタイプが適しています。

1. git_rw_content_t
2. git_script_exec_t

SELinuxのポリシー設定を変更します。

/var/lib/git/下のリポジトリディレクトリは、読み書きが可能なgit_rw_content_tを割当てます。デフォルトでルール定義があるので-mオプションで変更するコマンドを実行します。

# semanage fcontext -m -t git_rw_content_t '/var/lib/git(/.*)?'

各リポジトリディレクトリ下のhooks/ディレクトリは、この中にあるスクリプトを実行できるようSELinuxのタイプをgit_script_exec_tに割当てます。

# semanage fcontext -a -t git_script_exec_t '/var/lib/git/[^/]+/hooks(/.*)?'

/var/lib/gitディレクトリを作成し、念のためSELinuxのリソースを再割り当てしておきます。

# mkdir /var/lib/git
# restorecon -R /var/lib/git

リソースに割り当てられるタイプの調査

# semanage fcontext -l | grpe git
  :
/var/lib/git(/.*)?     all files     system_u:object_r:git_sys_content_t:s0
/var/www/git(/.*)?  all files     system_u:object_r:git_content_t:s0
  :

ドメインhttpd_tからリソースへのアクセス可能な操作の調査

ドメインhttpd_tからタイプgit_sys_content_tへの許可を調べるコマンドの実行例を以下に示します。

$ sesearch -A -s httpd_t -t git_sys_content_t
allow httpd_t file_type:dir { getattr open search };
allow httpd_t file_type:filesystem getattr;
allow httpd_t git_sys_content_t:dir { getattr ioctl lock open read search };
allow httpd_t git_sys_content_t:file { getattr ioctl lock map open read };
allow httpd_t git_sys_content_t:lnk_file { getattr read };

• ここで実行結果にあるリソースタイプがfilte_typeと末尾が_typeで終わる表記となっています。これはアトリビュートを示します。アトリビュートは複数のリソースタイプを束ねたものです。git_sys_content_tタイプもfile_typeに束ねられているのでsesearchコマンドの結果として表示されています。参考資料は次（p.16のスライドに記載あり）
  OSS_SecuritySig_20170516_sesearch from SecureOSS-Sig
  www.slideshare.net

ドメインhttpd_tからタイプgit_content_tへの許可を調べるコマンドの実行例を以下に示します。

$ sesearch -A -s httpd_t -t git_content_t
allow httpd_t httpd_content_type:dir { getattr ioctl lock open read search }; [ httpd_builtin_scripting ]:True
allow httpd_t httpd_content_type:dir { getattr open search };
allow httpd_t httpd_content_type:dir { getattr open search }; [ httpd_builtin_scripting ]:True
allow httpd_t httpd_content_type:dir { getattr open search }; [ httpd_builtin_scripting ]:True
allow httpd_t httpd_content_type:dir { getattr open search }; [ httpd_builtin_scripting ]:True
allow httpd_t httpd_content_type:file { getattr ioctl lock map open read };
allow httpd_t httpd_content_type:file { getattr ioctl lock open read }; [ httpd_builtin_scripting ]:True
allow httpd_t httpd_content_type:lnk_file { getattr read }; [ httpd_builtin_scripting ]:True

• ここで、httpd_content_typeアトリビュートにはgit_content_tが含まれています。

アトリビュートに束ねられているリソースタイプの確認方法は次です。

$ seinfo --attribute=httpd_content_type -x

Type Attributes: 1
   attribute httpd_content_type;
        apcupsd_cgi_content_t
        apcupsd_cgi_htaccess_t
           :
        git_content_t
        git_htaccess_t
        git_ra_content_t
        git_rw_content_t
        git_script_exec_t
        httpd_sys_content_t
        httpd_sys_htaccess_t
        httpd_sys_ra_content_t
        httpd_sys_rw_content_t
        httpd_sys_script_exec_t
        httpd_user_htaccess_t
        httpd_user_ra_content_t
           :

ドメインhttpd_tから、指定の操作が可能なリソースタイプを調査

$ sesearch -A -s httpd_t -c file -p write
  :
allow httpd_t git_rw_content_t:file { append create getattr ioctl link lock open read rename setattr unlink write }; [ httpd_builtin_scripting ]:True

バックアップしていたgitリポジトリの復元

/var/lib/git ディレクトリの下に、バックアップしていたgitリポジトリを展開します。 （今回はtarで固めたバックアップファイルを単に展開）

# cd /var/lib/git
# tar xzf ~/git_swe_primus-20200423.git.tgz
# ls
swe.primus.git
# restorecon -R .

展開後、SELinuxのタイプが正しく付いていないこともあるので、restoreconで反映します。 また、次の手順でApache httpdをインストールした後で、ファイルのパーミッションをapacheに変更します。

Apache httpd のセットアップ

Redmineと連携するリポジトリアクセス用Webサーバーには、Apache HTTPDを使います。 既にWebサーバーにはNginxを稼働させているので、ポート番号をずらしてApache HTTPDを稼働します。

Apache HTTPDのインストール

Apache httpd は、モジュールとして提供されています。

#  dnf module list httpd
CentOS-8 - AppStream
Name        Stream       Profiles                        Summary
httpd       2.4 [d]      common [d], devel, minimal      Apache HTTP Server

ヒント: [d]efault, [e]nabled, [x]disabled, [i]nstalled

現時点ではバージョンは1つだけ存在するので、そのままモジュールをインストールします。

# dnf module install httpd
  :

Apache HTTPDの動作方式

Apache HTTPDが同時に複数のリクエストを受けて動作する際の並行処理の動作方式には複数の種類があります。Multi Processing Module: MPMと呼ばれる動作方式には、prefork、worker、eventの3種類があり、今回インストールしたCentOS 8のモジュールではデフォルトがeventになっています。 preforkは古のApache httpdからあるシングルスレッドプロセスを複数稼働させ、1リクエストを1プロセスで受ける方式、workerとeventはマルチスレッドプロセスを複数稼働させ、複数リクエストを1プロセスで受ける方式です。

• /etc/httpd/conf.modules.d/00-mpm.conf

この設定ファイルで方式に応じたsoをLoadModuleします。

さて、Redmine認証連携のためにmod_perlを使用しますが、このmod_perlは古いので event方式で支障なく動くものなのか確証がありません。そこで今回はMPM方式をpreforkに変更します。

- #LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
+ LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
- LoadModule mpm_event_module modules/mod_mpm_event.so
+ #LoadModule mpm_event_module modules/mod_mpm_event.so 

また、子プロセス数等のpreforkの設定を記述するファイルを用意します。gitリポジトリへのアクセスに使うだけのHTTPDで、仮想マシンでCPU数もほとんどないので、起動プロセス数は最小限にします。

• /etc/httpd/conf.d/mpm.conf

<IfModule mpm_prefork_module>
  # 起動時に生成する子プロセス数
  StartServers          2
  # アイドルな子プロセスの最小個数
  MinSpareServers       2
  # アイドルな子プロセスの最大個数
  MaxSpareServers       2
  # 子プロセス数の設定可能な上限
  ServerLimit           2
  # 最大同時リクエスト数
  MaxRequestWorkers     2
  # 子プロセスが稼働中に扱うリクエスト数の上限
  MaxConnectionsPerChild 4
</IfModule>

Apache HTTPDのデフォルトポート変更

既にNginxがポート80を使用しているので、Apache httpdはポートをデフォルトの80から8008等に変更します。SELinuxではhttpdプロセス（ドメインhttpd_t）がbindできるポートも制限がかけられています。

SELinuxの設定を変更することなく利用可能なポート番号の調べ方は次です。

http_port_t が対象とするポート番号を確認します。

# semanage port -l 
  :
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
  :

ドメインhttpd_t は、http_port_t に対して name_bind 操作が許されています。

$ sesearch -A -s httpd_t
  :
allow httpd_t http_port_t:tcp_socket name_bind;
  :

• /etc/httpd/conf/httpd.conf を修正します。

-Listen 80
+Listen 8008

-ServerName
+ServerName www.torutk.com:8008

Apache httpdのデフォルト設定変更（不要な設定の削除）

/etc/httpd/conf.d/ にある設定ファイルのうち使用しないものを削除（またはリネーム）します。

# cd /etc/httpd/conf.d
# mv welcome.conf welcome.conf.orig
# mv autoindex.conf autoindex.conf.orig
# mv ssl.conf ssl.conf.orig
# mv userdir.conf userdir.conf.orig

SSLモジュールを読み込まないよう設定を変更します。

• /etc/httpd/conf.modules.d/00-ssl.conf

- LoadModule ssl_module modules/mod_ssl.so
+ #LoadModule ssl_module modules/mod_ssl.so

Apache httpd経由のGitリポジトリ動作確認

まずはRedmine認証連携の前に、Apache httpdの起動とGitリポジトリ動作確認をします。

• /etc/httpd/conf.d/git-redmine.conf を新規作成します。

SetEnv GIT_PROJECT_ROOT /var/lib/git
SetEnv GIT_HTTP_EXPORT_ALL
SetEnv REMOTE_USER $REDIRECT_REMOTE_USER

ScriptAlias /git/ /usr/libexec/git-core/git-http-backend/

<LocationMatch "^/git/">
  Require all granted
</LocationMatch>

認証はしないので、Require には"all granted"を記述します。

ポート8008を一時的に開きます。

# firewall-cmd --add-port=8008/tcp

httpdを自動起動設定かつ起動します。

# systemctl start --now httpd

リポジトリのパーミッションを変更します。

# cd /var/lib/git
# chown -R apache:apache *

リモートからhttp経由でクローンと変更のプッシュを行い、動作確認をします。 まずクローンを実行します。

D:\work> git clone http://www.torutk.com:8008/git/swe.primus.git
Cloning into 'swe.primus'...
remote: Enumerating objects: 739, done.
remote: Counting objects: 100% (739/739), done.
remote: Compressing objects: 100% (279/279), done.
remote: Total 739 (delta 232), reused 739 (delta 232)Receiving objects: 100% (739/739), 20.23 MiB | 20.23Receiving objects: 100% (739/739), 20.67 MiB | 20.06 MiB/s, done.

Resolving deltas: 100% (232/232), done.

変更をローカルでコミット後、プッシュします。

D:\work\swe.primus>git push
Enumerating objects: 5, done.
Counting objects: 100% (5/5), done.
Delta compression using up to 6 threads
Compressing objects: 100% (2/2), done.
Writing objects: 100% (3/3), 273 bytes | 136.00 KiB/s, done.
Total 3 (delta 1), reused 0 (delta 0)
To http://www.torutk.com:8008/git/swe.primus.git
   40ba3f1..6bd5f2d  master -> master

mod_perlのインストールとRedmine認証設定

Redmineの認証を利用して、Git（Apache HTTPD）の認証を行います。 Redmineに同梱されている Redmine.pm （Perlモジュール）を、httpdのmod_perlの検索パスに置きます。

# mkdir -p /etc/httpd/Apache/Authn
# sudo ln -s /var/lib/redmine/extra/svn/Redmine.pm /etc/httpd/Apache/Authn/Redmine.pm

このRedmine.pmをApache HTTPDから利用するために、HTTPDにmod_perl モジュールを追加する必要があります。mod_perlは少々古い仕組みで、CentOS 7以降はOS標準には含まれなくなっているので、EPELリポジトリから取得します。

EPELリポジトリ利用設定をインストールします。

# dnf install epel-release

EPELリポジトリからパッケージをインストールするのは限定的とするため、デフォルトではEPELリポジトリを無効とする設定に変更します。

• /etc/yum.repos.d/epel.repo

  [epel]
  name=Extra Packages for Enterprise Linux $releasever - $basearch
  #baseurl=https://download.fedoraproject.org/pub/epel/$releasever/Everything/$basearch
  metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-$releasever&arch=$basearch&infra=$infra&content=$contentdir
- enabled=1
+ enabled=0
  gpgcheck=1
  gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8

mod_perlをインストールします。

# dnf --enablerepo=epel install mod_perl
  :

perl-Digest-SHAをインストールします。

# dnf install perl-Digset-SHA
  :

/etc/httpd/conf.d/git-redmine.conf に追記

+ PerlLoadModule Apache::Authn::Redmine

  SetEnv GIT_PROJECT_ROOT /var/lib/git
  SetEnv GIT_HTTP_EXPORT_ALL
  SetEnv REMOTE_USER $REDIRECT_REMOTE_USER

  ScriptAlias /git/ /usr/libexec/git-core/git-http-backend/

  <LocationMatch "^/git/">
+   PerlAccessHandler Apache::Authn::Redmine::access_handler
+   PerlAuthenHandler Apache::Authn::Redmine::authen_handler
+   AuthType Basic
+   AuthName "Git Redmine"
+   AuthUserFile /dev/null

+   RedmineDSN "DBI:mysql:database=redmine;host=localhost"
+   RedmineDbUser "redmine"
+   RedmineDbPass "XXXXXX"
+   RedmineGitSmartHttp yes

-  Require all granted
+   Require valid-user
  </LocationMatch>

以前のApache httpd + Gitでは、AuthUserFile /dev/nullは不要だったかと思いますが、現時点ではこの指定が必要です（[authn_file:error] AH01619: AuthUserFile not specified in the configurationが出る）。

この設定ファイルにはRedmineのMySQLデータベースへの接続情報が記載されるので、アクセス権を厳し目に設定します。

# chmod 0400 /etc/httpd/conf.d/git-redmine.conf

Apache httpdをリロードして動作確認します。

# systemctl reload httpd

Nginxのhttps経由でのアクセス

ここまでの設定でGitリポジトリへの読み書きのアクセスができるようになりました。 しかし、httpプロトコルでポート8008にアクセスしており、認証はBasicのため平文で流れてしまいます。

せっかくサーバーにSSLサーバー証明書を設置し、セキュアなアクセスができるようになっているので、SSLでGitリポジトリにアクセスしたいところです。

既にNginxがhttps（ポート443）を押さえているので、Apache HTTPDにSSL設定をすることができません。そこで、Ngixを経由してApacheにアクセスすることでSSLを利用します。

• /etc/nginx/conf.d/redmine.conf に追記

     location ^~ /.well-known/acme-challenge/ {
         root /usr/share/nginx/html;
     }

+    location ^~ /git/ {
+        proxy_pass http://localhost:8008;
+   }

     location / {
         try_files /maintenance.html $uri/index.html $uri.html $uri @app;
     }

この設定で、Nginxがポート80もしくは443でgitへのアクセスを受けると、localhostの8008に転送します。 しかし、これだけではSELinuxでエラーになってしまいます。ドメインhttpd_tが別なプロセスにTCP接続するには許可が必要になります。

SELinuxのブール値設定で、httpd_can_network_relay を on にします。

# getsebool -a | grep httpd_can_network
httpd_can_network_connect --> off
httpd_can_network_relay --> off
# setsebool -P httpd_can_network_relay on
# getsebool httpd_can_network_relay
httpd_can_network_relay --> on