7995: Add "dry run" note.
[arvados.git] / doc / install / install-api-server.html.textile.liquid
1 ---
2 layout: default
3 navsection: installguide
4 title: Install the API server
5 ...
6
7 h2. Install prerequisites
8
9 The Arvados package repository includes an API server package that can help automate much of the deployment.
10
11 h3(#install_ruby_and_bundler). Install Ruby and Bundler
12
13 {% include 'install_ruby_and_bundler' %}
14
15 h2(#install_apiserver). Install API server and dependencies
16
17 On a Debian-based system, install the following packages:
18
19 <notextile>
20 <pre><code>~$ <span class="userinput">sudo apt-get install bison build-essential libcurl4-openssl-dev git arvados-api-server</span>
21 </code></pre>
22 </notextile>
23
24 On a Red Hat-based system, install the following packages:
25
26 <notextile>
27 <pre><code>~$ <span class="userinput">sudo yum install bison make automake gcc gcc-c++ libcurl-devel git arvados-api-server</span>
28 </code></pre>
29 </notextile>
30
31 {% include 'install_git' %}
32
33 h2(#configure). Set up the database
34
35 Configure the API server to connect to your database by updating @/etc/arvados/api/database.yml@. Replace the @xxxxxxxx@ database password placeholder with the "password you generated during database setup":install-postgresql.html#api. Be sure to update the @production@ section.
36
37 <notextile>
38 <pre><code>~$ <span class="userinput">editor /etc/arvados/api/database.yml</span>
39 </code></pre></notextile>
40
41 h2(#configure_application). Configure the API server
42
43 Edit @/etc/arvados/api/application.yml@ to configure the settings described in the following sections.  The API server reads both @application.yml@ and its own @config/application.default.yml@ file.  The settings in @application.yml@ take precedence over the defaults that are defined in @config/application.default.yml@.  The @config/application.yml.example@ file is not read by the API server and is provided as a starting template only.
44
45 @config/application.default.yml@ documents additional configuration settings not listed here.  You can "view the current source version":https://dev.arvados.org/projects/arvados/repository/revisions/master/entry/services/api/config/application.default.yml for reference.
46
47 Only put local configuration in @application.yml@.  Do not edit @application.default.yml@.
48
49 h3(#uuid_prefix). uuid_prefix
50
51 Define your @uuid_prefix@ in @application.yml@ by setting the @uuid_prefix@ field in the section for your environment.  This prefix is used for all database identifiers to identify the record as originating from this site.  It must be exactly 5 lowercase ASCII letters and digits.
52
53 Example @application.yml@:
54
55 <notextile>
56 <pre><code>  uuid_prefix: <span class="userinput">zzzzz</span></code></pre>
57 </notextile>
58
59 h3. secret_token
60
61 The @secret_token@ is used for for signing cookies.  IMPORTANT: This is a site secret. It should be at least 50 characters.  Generate a random value and set it in @application.yml@:
62
63 <notextile>
64 <pre><code>~$ <span class="userinput">ruby -e 'puts rand(2**400).to_s(36)'</span>
65 yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy
66 </code></pre></notextile>
67
68 Example @application.yml@:
69
70 <notextile>
71 <pre><code>  secret_token: <span class="userinput">yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy</span></code></pre>
72 </notextile>
73
74 h3(#blob_signing_key). blob_signing_key
75
76 The @blob_signing_key@ is used to enforce access control to Keep blocks.  This same key must be provided to the Keepstore daemons when "installing Keepstore servers.":install-keepstore.html  IMPORTANT: This is a site secret. It should be at least 50 characters.  Generate a random value and set it in @application.yml@:
77
78 <notextile>
79 <pre><code>~$ <span class="userinput">ruby -e 'puts rand(2**400).to_s(36)'</span>
80 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
81 </code></pre></notextile>
82
83 Example @application.yml@:
84
85 <notextile>
86 <pre><code>  blob_signing_key: <span class="userinput">xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</span></code></pre>
87 </notextile>
88
89 h3(#omniauth). sso_app_secret, sso_app_id, sso_provider_url
90
91 The following settings enable the API server to communicate with the "Single Sign On (SSO) server":install-sso.html to authenticate user log in.
92
93 Set @sso_provider_url@ to the base URL where your SSO server is installed.  This should be a URL consisting of the scheme and host (and optionally, port), without a trailing slash.
94
95 Set @sso_app_secret@ and @sso_app_id@ to the corresponding values for @app_secret@ and @app_id@ used in the "Create arvados-server client for Single Sign On (SSO)":install-sso.html#client step.
96
97 Example @application.yml@:
98
99 <notextile>
100 <pre><code>  sso_app_id: <span class="userinput">arvados-server</span>
101   sso_app_secret: <span class="userinput">wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww</span>
102   sso_provider_url: <span class="userinput">https://sso.example.com</span>
103 </code></pre>
104 </notextile>
105
106 h3. workbench_address
107
108 Set @workbench_address@ to the URL of your workbench application after following "Install Workbench.":install-workbench-app.html
109
110 Example @application.yml@:
111
112 <notextile>
113 <pre><code>  workbench_address: <span class="userinput">https://workbench.zzzzz.example.com</span></code></pre>
114 </notextile>
115
116 h3. websocket_address
117
118 Set @websocket_address@ to the @wss://@ URL of the API server websocket endpoint after following "Set up Web servers":#set_up.  The path of the default endpoint is @/websocket@.
119
120 Example @application.yml@:
121
122 <notextile>
123 <pre><code>  websocket_address: <span class="userinput">wss://ws.zzzzz.example.com</span>/websocket</code></pre>
124 </notextile>
125
126 h3(#git_repositories_dir). git_repositories_dir
127
128 The @git_repositories_dir@ setting specifies the directory where user git repositories will be stored.
129
130 The git server setup process is covered on "its own page":install-arv-git-httpd.html. For now, create an empty directory in the default location:
131
132 <notextile>
133 <pre><code>~$ <span class="userinput">sudo mkdir -p /var/lib/arvados/git/repositories</span>
134 </code></pre></notextile>
135
136 If you intend to store your git repositories in a different location, specify that location in @application.yml@.
137
138 Default setting in @application.default.yml@:
139
140 <notextile>
141 <pre><code>  git_repositories_dir: <span class="userinput">/var/lib/arvados/git/repositories</span>
142 </code></pre>
143 </notextile>
144
145 h3(#git_internal_dir). git_internal_dir
146
147 The @git_internal_dir@ setting specifies the location of Arvados' internal git repository.  By default this is @/var/lib/arvados/internal.git@.  This repository stores git commits that have been used to run Crunch jobs.  It should _not_ be a subdirectory of @git_repositories_dir@.
148
149 Example @application.yml@:
150
151 <notextile>
152 <pre><code>  git_internal_dir: <span class="userinput">/var/lib/arvados/internal.git</span>
153 </code></pre>
154 </notextile>
155
156 h2(#set_up). Set up Web servers
157
158 For best performance, we recommend you use Nginx as your Web server front-end, with a Passenger backend for the main API server and a Puma backend for API server Websockets.  To do that:
159
160 <notextile>
161 <ol>
162 <li><a href="https://www.phusionpassenger.com/library/walkthroughs/deploy/ruby/ownserver/nginx/oss/install_passenger_main.html">Install Nginx and Phusion Passenger</a>.</li>
163
164 <li><p>Install runit to supervise the Puma daemon.  {% include 'install_runit' %}<notextile></p></li>
165
166 <li><p>Install the script below as the run script for the Puma service, modifying it as directed by the comments.</p>
167
168 <pre><code>#!/bin/bash
169
170 set -e
171 exec 2>&1
172
173 # Uncomment the line below if you're using RVM.
174 #source /etc/profile.d/rvm.sh
175
176 envdir="`pwd`/env"
177 mkdir -p "$envdir"
178 echo ws-only > "$envdir/ARVADOS_WEBSOCKETS"
179
180 cd /var/www/arvados-api/current
181 echo "Starting puma in `pwd`"
182
183 # Change arguments below to match your deployment, "webserver-user" and
184 # "webserver-group" should be changed to the user and group of the web server
185 # process.  This is typically "www-data:www-data" on Debian systems by default,
186 # other systems may use different defaults such the name of the web server
187 # software (for example, "nginx:nginx").
188 exec chpst -m 1073741824 -u webserver-user:webserver-group -e "$envdir" \
189   bundle exec puma -t 0:512 -e production -b tcp://127.0.0.1:8100
190 </code></pre>
191 </li>
192
193 <li><p>Edit the http section of your Nginx configuration to run the Passenger server, and act as a front-end for both it and Puma.  You might add a block like the following, adding SSL and logging parameters to taste:</p>
194
195 <pre><code>server {
196   listen 127.0.0.1:8000;
197   server_name localhost-api;
198
199   root /var/www/arvados-api/current/public;
200   index  index.html index.htm index.php;
201
202   passenger_enabled on;
203   # If you're using RVM, uncomment the line below.
204   #passenger_ruby /usr/local/rvm/wrappers/default/ruby;
205
206   # This value effectively limits the size of API objects users can
207   # create, especially collections.  If you change this, you should
208   # also ensure the following settings match it:
209   # * `client_max_body_size` in the server section below
210   # * `client_max_body_size` in the Workbench Nginx configuration (twice)
211   # * `max_request_size` in the API server's application.yml file
212   client_max_body_size 128m;
213 }
214
215 upstream api {
216   server     127.0.0.1:8000  fail_timeout=10s;
217 }
218
219 upstream websockets {
220   # The address below must match the one specified in puma's -b option.
221   server     127.0.0.1:8100  fail_timeout=10s;
222 }
223
224 proxy_http_version 1.1;
225
226 # When Keep clients request a list of Keep services from the API server, the
227 # server will automatically return the list of available proxies if
228 # the request headers include X-External-Client: 1.  Following the example
229 # here, at the end of this section, add a line for each netmask that has
230 # direct access to Keep storage daemons to set this header value to 0.
231 geo $external_client {
232   default        1;
233   <span class="userinput">10.20.30.0/24</span>  0;
234 }
235
236 server {
237   listen       <span class="userinput">[your public IP address]</span>:443 ssl;
238   server_name  <span class="userinput">uuid_prefix.your.domain</span>;
239
240   ssl on;
241   ssl_certificate     <span class="userinput">/YOUR/PATH/TO/cert.pem</span>;
242   ssl_certificate_key <span class="userinput">/YOUR/PATH/TO/cert.key</span>;
243
244   index  index.html index.htm index.php;
245
246   # Refer to the comment about this setting in the server section above.
247   client_max_body_size 128m;
248
249   location / {
250     proxy_pass            http://api;
251     proxy_redirect        off;
252     proxy_connect_timeout 90s;
253     proxy_read_timeout    300s;
254
255     proxy_set_header      X-Forwarded-Proto https;
256     proxy_set_header      Host $http_host;
257     proxy_set_header      X-External-Client $external_client;
258     proxy_set_header      X-Real-IP $remote_addr;
259     proxy_set_header      X-Forwarded-For $proxy_add_x_forwarded_for;
260   }
261 }
262
263 server {
264   listen       <span class="userinput">[your public IP address]</span>:443 ssl;
265   server_name  ws.<span class="userinput">uuid_prefix.your.domain</span>;
266
267   ssl on;
268   ssl_certificate     <span class="userinput">/YOUR/PATH/TO/cert.pem</span>;
269   ssl_certificate_key <span class="userinput">/YOUR/PATH/TO/cert.key</span>;
270
271   index  index.html index.htm index.php;
272
273   location / {
274     proxy_pass            http://websockets;
275     proxy_redirect        off;
276     proxy_connect_timeout 90s;
277     proxy_read_timeout    300s;
278
279     proxy_set_header      Upgrade $http_upgrade;
280     proxy_set_header      Connection "upgrade";
281     proxy_set_header      Host $host;
282     proxy_set_header      X-Real-IP $remote_addr;
283     proxy_set_header      X-Forwarded-For $proxy_add_x_forwarded_for;
284   }
285 }
286 </code></pre>
287 </li>
288
289 <li><p>Restart Nginx:</p>
290
291 <pre><code>~$ <span class="userinput">sudo nginx -s reload</span>
292 </code></pre>
293
294 </li>
295
296 </ol>
297 </notextile>
298
299 h2. Prepare the API server deployment
300
301 {% assign railspkg = "arvados-api-server" %}
302 {% include 'install_rails_reconfigure' %}
303
304 {% include 'notebox_begin' %}
305 You can safely ignore the following messages if they appear while this command runs:
306 <pre>Don't run Bundler as root. Bundler can ask for sudo if it is needed, and installing your bundle as root will
307 break this application for all non-root users on this machine.</pre>
308 <pre>fatal: Not a git repository (or any of the parent directories): .git</pre>
309 {% include 'notebox_end' %}