Merge branch '12194-search-always-valid'
[arvados.git] / doc / install / install-api-server.html.textile.liquid
1 ---
2 layout: default
3 navsection: installguide
4 title: Install the API server
5 ...
6 {% comment %}
7 Copyright (C) The Arvados Authors. All rights reserved.
8
9 SPDX-License-Identifier: CC-BY-SA-3.0
10 {% endcomment %}
11
12 h2. Install prerequisites
13
14 The Arvados package repository includes an API server package that can help automate much of the deployment.
15
16 h3(#install_ruby_and_bundler). Install Ruby and Bundler
17
18 {% include 'install_ruby_and_bundler' %}
19
20 h2(#install_apiserver). Install API server and dependencies
21
22 On a Debian-based system, install the following packages:
23
24 <notextile>
25 <pre><code>~$ <span class="userinput">sudo apt-get install bison build-essential libcurl4-openssl-dev git arvados-api-server</span>
26 </code></pre>
27 </notextile>
28
29 On a Red Hat-based system, install the following packages:
30
31 <notextile>
32 <pre><code>~$ <span class="userinput">sudo yum install bison make automake gcc gcc-c++ libcurl-devel git arvados-api-server</span>
33 </code></pre>
34 </notextile>
35
36 {% include 'install_git' %}
37
38 h2(#configure). Set up the database
39
40 Configure the API server to connect to your database by updating @/etc/arvados/api/database.yml@. Replace the @xxxxxxxx@ database password placeholder with the "password you generated during database setup":install-postgresql.html#api. Be sure to update the @production@ section.
41
42 <notextile>
43 <pre><code>~$ <span class="userinput">editor /etc/arvados/api/database.yml</span>
44 </code></pre></notextile>
45
46 h2(#configure_application). Configure the API server
47
48 Edit @/etc/arvados/api/application.yml@ to configure the settings described in the following sections.  The API server reads both @application.yml@ and its own @config/application.default.yml@ file.  The settings in @application.yml@ take precedence over the defaults that are defined in @config/application.default.yml@.  The @config/application.yml.example@ file is not read by the API server and is provided as a starting template only.
49
50 @config/application.default.yml@ documents additional configuration settings not listed here.  You can "view the current source version":https://dev.arvados.org/projects/arvados/repository/revisions/master/entry/services/api/config/application.default.yml for reference.
51
52 Only put local configuration in @application.yml@.  Do not edit @application.default.yml@.
53
54 h3(#uuid_prefix). uuid_prefix
55
56 Define your @uuid_prefix@ in @application.yml@ by setting the @uuid_prefix@ field in the section for your environment.  This prefix is used for all database identifiers to identify the record as originating from this site.  It must be exactly 5 lowercase ASCII letters and digits.
57
58 Example @application.yml@:
59
60 <notextile>
61 <pre><code>  uuid_prefix: <span class="userinput">zzzzz</span></code></pre>
62 </notextile>
63
64 h3. secret_token
65
66 The @secret_token@ is used for for signing cookies.  IMPORTANT: This is a site secret. It should be at least 50 characters.  Generate a random value and set it in @application.yml@:
67
68 <notextile>
69 <pre><code>~$ <span class="userinput">ruby -e 'puts rand(2**400).to_s(36)'</span>
70 yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy
71 </code></pre></notextile>
72
73 Example @application.yml@:
74
75 <notextile>
76 <pre><code>  secret_token: <span class="userinput">yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy</span></code></pre>
77 </notextile>
78
79 h3(#blob_signing_key). blob_signing_key
80
81 The @blob_signing_key@ is used to enforce access control to Keep blocks.  This same key must be provided to the Keepstore daemons when "installing Keepstore servers.":install-keepstore.html  IMPORTANT: This is a site secret. It should be at least 50 characters.  Generate a random value and set it in @application.yml@:
82
83 <notextile>
84 <pre><code>~$ <span class="userinput">ruby -e 'puts rand(2**400).to_s(36)'</span>
85 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
86 </code></pre></notextile>
87
88 Example @application.yml@:
89
90 <notextile>
91 <pre><code>  blob_signing_key: <span class="userinput">xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</span></code></pre>
92 </notextile>
93
94 h3(#omniauth). sso_app_secret, sso_app_id, sso_provider_url
95
96 The following settings enable the API server to communicate with the "Single Sign On (SSO) server":install-sso.html to authenticate user log in.
97
98 Set @sso_provider_url@ to the base URL where your SSO server is installed.  This should be a URL consisting of the scheme and host (and optionally, port), without a trailing slash.
99
100 Set @sso_app_secret@ and @sso_app_id@ to the corresponding values for @app_secret@ and @app_id@ used in the "Create arvados-server client for Single Sign On (SSO)":install-sso.html#client step.
101
102 Example @application.yml@:
103
104 <notextile>
105 <pre><code>  sso_app_id: <span class="userinput">arvados-server</span>
106   sso_app_secret: <span class="userinput">wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww</span>
107   sso_provider_url: <span class="userinput">https://sso.example.com</span>
108 </code></pre>
109 </notextile>
110
111 h3. workbench_address
112
113 Set @workbench_address@ to the URL of your workbench application after following "Install Workbench.":install-workbench-app.html
114
115 Example @application.yml@:
116
117 <notextile>
118 <pre><code>  workbench_address: <span class="userinput">https://workbench.zzzzz.example.com</span></code></pre>
119 </notextile>
120
121 h3. websocket_address
122
123 Set @websocket_address@ to the @wss://@ URL of the API server websocket endpoint after following "Set up Web servers":#set_up.  The path of the default endpoint is @/websocket@.
124
125 Example @application.yml@:
126
127 <notextile>
128 <pre><code>  websocket_address: <span class="userinput">wss://ws.zzzzz.example.com</span>/websocket</code></pre>
129 </notextile>
130
131 h3(#git_repositories_dir). git_repositories_dir
132
133 The @git_repositories_dir@ setting specifies the directory where user git repositories will be stored.
134
135 The git server setup process is covered on "its own page":install-arv-git-httpd.html. For now, create an empty directory in the default location:
136
137 <notextile>
138 <pre><code>~$ <span class="userinput">sudo mkdir -p /var/lib/arvados/git/repositories</span>
139 </code></pre></notextile>
140
141 If you intend to store your git repositories in a different location, specify that location in @application.yml@.
142
143 Default setting in @application.default.yml@:
144
145 <notextile>
146 <pre><code>  git_repositories_dir: <span class="userinput">/var/lib/arvados/git/repositories</span>
147 </code></pre>
148 </notextile>
149
150 h3(#git_internal_dir). git_internal_dir
151
152 The @git_internal_dir@ setting specifies the location of Arvados' internal git repository.  By default this is @/var/lib/arvados/internal.git@.  This repository stores git commits that have been used to run Crunch jobs.  It should _not_ be a subdirectory of @git_repositories_dir@.
153
154 Example @application.yml@:
155
156 <notextile>
157 <pre><code>  git_internal_dir: <span class="userinput">/var/lib/arvados/internal.git</span>
158 </code></pre>
159 </notextile>
160
161 h2(#set_up). Set up Nginx and Passenger
162
163 The Nginx server will serve API requests using Passenger. It will also be used to proxy SSL requests to other services which are covered later in this guide.
164
165 First, "Install Nginx and Phusion Passenger":https://www.phusionpassenger.com/library/walkthroughs/deploy/ruby/ownserver/nginx/oss/install_passenger_main.html.
166
167 Edit the http section of your Nginx configuration to run the Passenger server, and serve SSL requests. Add a block like the following, adding SSL and logging parameters to taste:
168
169 <notextile>
170 <pre><code>server {
171   listen 127.0.0.1:8000;
172   server_name localhost-api;
173
174   root /var/www/arvados-api/current/public;
175   index  index.html index.htm index.php;
176
177   passenger_enabled on;
178   # If you're using RVM, uncomment the line below.
179   #passenger_ruby /usr/local/rvm/wrappers/default/ruby;
180
181   # This value effectively limits the size of API objects users can
182   # create, especially collections.  If you change this, you should
183   # also ensure the following settings match it:
184   # * `client_max_body_size` in the server section below
185   # * `client_max_body_size` in the Workbench Nginx configuration (twice)
186   # * `max_request_size` in the API server's application.yml file
187   client_max_body_size 128m;
188 }
189
190 upstream api {
191   server     127.0.0.1:8000  fail_timeout=10s;
192 }
193
194 proxy_http_version 1.1;
195
196 # When Keep clients request a list of Keep services from the API server, the
197 # server will automatically return the list of available proxies if
198 # the request headers include X-External-Client: 1.  Following the example
199 # here, at the end of this section, add a line for each netmask that has
200 # direct access to Keep storage daemons to set this header value to 0.
201 geo $external_client {
202   default        1;
203   <span class="userinput">10.20.30.0/24</span>  0;
204 }
205
206 server {
207   listen       <span class="userinput">[your public IP address]</span>:443 ssl;
208   server_name  <span class="userinput">uuid_prefix.your.domain</span>;
209
210   ssl on;
211   ssl_certificate     <span class="userinput">/YOUR/PATH/TO/cert.pem</span>;
212   ssl_certificate_key <span class="userinput">/YOUR/PATH/TO/cert.key</span>;
213
214   index  index.html index.htm index.php;
215
216   # Refer to the comment about this setting in the server section above.
217   client_max_body_size 128m;
218
219   location / {
220     proxy_pass            http://api;
221     proxy_redirect        off;
222     proxy_connect_timeout 90s;
223     proxy_read_timeout    300s;
224
225     proxy_set_header      X-Forwarded-Proto https;
226     proxy_set_header      Host $http_host;
227     proxy_set_header      X-External-Client $external_client;
228     proxy_set_header      X-Real-IP $remote_addr;
229     proxy_set_header      X-Forwarded-For $proxy_add_x_forwarded_for;
230   }
231 }
232 </code></pre>
233 </notextile>
234
235 Restart Nginx to apply the new configuration.
236
237 <notextile>
238 <pre><code>~$ <span class="userinput">sudo nginx -s reload</span>
239 </code></pre>
240 </notextile>
241
242 h2. Prepare the API server deployment
243
244 {% assign railspkg = "arvados-api-server" %}
245 {% include 'install_rails_reconfigure' %}
246
247 {% include 'notebox_begin' %}
248 You can safely ignore the following messages if they appear while this command runs:
249
250 <notextile><pre>Don't run Bundler as root. Bundler can ask for sudo if it is needed, and installing your bundle as root will
251 break this application for all non-root users on this machine.</pre></notextile>
252
253 <notextile><pre>fatal: Not a git repository (or any of the parent directories): .git</pre></notextile>
254 {% include 'notebox_end' %}