Docker-composeによるjitsiのインストール

2022年9月29日



この記事は、サーバに単体でJitsiをインストールする場合の手順。つまり、Jitsiが80,443番ポートを専有してしまうやり方である。リバースプロキシとしてのTraefikの後ろにJitsiを置く方法はJitsiのTraefik対応で説明している。

jitsiはZOOM等に代わる「自分自身の」オンラインミーティングシステムである。これをインストールすることにより、ZOOM等の料金を払う必要がなく、さらに一切の盗聴がされないというメリットもある。

注意事項

jitsiの設定ファイル.envには、あたかもHTTP_PORT、HTTPS_PORTを自由に変更できるかのように書いてあるが、実際にはこれはできないようだ。80,443でないと満足に動作しないようである。

※ただしこれは、jitsi自体でLetsEncryptの証明書を取得する場合。

まず初めに、httpポートが80でないと、LetsEncryptのCERTを得ることができない。なぜなら、ここをどう変更しようがLetsEncrypt側は80から取得しようとするからだ。

web_1      | [Mon Sep 26 18:28:45 JST 2022] Verifying: jitsi.example.com
web_1      | [Mon Sep 26 18:28:45 JST 2022] Standalone mode server
jicofo_1   | Jicofo 2022-09-26 18:28:47.683 INFO: [22] [type=bridge brewery=jvbbrewery] BaseBrewery.addInstance#341: Added brewery instance: jvbbrewery@internal-muc.meet.jitsi/81197b14552e
jicofo_1   | Jicofo 2022-09-26 18:28:47.703 INFO: [22] BridgeSelector.addJvbAddress#102: Added new videobridge: Bridge[jid=jvbbrewery@internal-muc.meet.jitsi/81197b14552e, version=2.2.22-g42bc1b99, relayId=null, region=null, stress=0.00]
jicofo_1   | Jicofo 2022-09-26 18:28:47.706 INFO: [33] JvbDoctor.bridgeAdded#130: Scheduled health-check task for: Bridge[jid=jvbbrewery@internal-muc.meet.jitsi/81197b14552e, version=2.2.22-g42bc1b99, relayId=null, region=null, stress=0.00]
web_1      | [Mon Sep 26 18:28:49 JST 2022] jitsi.example.com:Verify error:133.18.205.41: Fetching http://jitsi.example.com/.well-known/acme-challenge/-2YddCF4Z2XlBrWRFJNxoZF5uYxYaFED*****: Error getting validation data
web_1      | [Mon Sep 26 18:28:49 JST 2022] Please add '--debug' or '--log' to check more details.
web_1      | [Mon Sep 26 18:28:49 JST 2022] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
web_1      | [Mon Sep 26 18:28:49 JST 2022] Run post hook:'if [[ -d /var/run/s6/services/nginx ]]; then s6-svc -u /var/run/s6/services/nginx; fi'
web_1      | Failed to obtain a certificate from the Let's Encrypt CA.

一時的に80にしてCERTを取得し、あとはhttpポートを8080などにして、httpsポートを8443等にしてもうまくいかない。jitsi運用中は、443である必要があるようだ。

リリースの取得と準備

基本的には、Self-Hosting Guide – Dockerに従ってインストールする。現在の安定バージョンは、stable-7648-4: releaseだった。

これをダウンロードして展開し、以下の操作を行う

cp env.example .env
./gen-passwords.sh
mkdir -p ~/.jitsi-meet-cfg/{web,transcripts,prosody/config,prosody/prosody-plugins-custom,jicofo,jvb,jigasi,jibri}

この後、マニュアルではいきなりdocker-compose up -dすることになっているが、その前に.envを編集しておく必要がある。

以下では、80,443ポートをjitsiが専有する場合の設定である。また、誰でも使えては困るので、この編集が終了した後で、ユーザ名・パスワードを設定する。

# shellcheck disable=SC2034

################################################################################
################################################################################
# Welcome to the Jitsi Meet Docker setup!
#
# This sample .env file contains some basic options to get you started.
# The full options reference can be found here:
# https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker
################################################################################
################################################################################


#
# Basic configuration options
#

# Directory where all configuration will be stored
CONFIG=~/.jitsi-meet-cfg

# Exposed HTTP port
HTTP_PORT=80 # 80に変更

# Exposed HTTPS port
HTTPS_PORT=443 # 443に変更

# System time zone
TZ=Asia/Tokyo # タイムゾーン変更

# Public URL for the web service (required)
PUBLIC_URL=https://jitsi.example.com # このjitsiを運用するURL

# IP address of the Docker host
# See the "Running behind NAT or on a LAN environment" section in the Handbook:
# https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-docker#running-behind-nat-or-on-a-lan-environment
DOCKER_HOST_ADDRESS=123.123.123.123 # サーバのIPアドレス


#
# JaaS Components (beta)
# https://jaas.8x8.vc
#

# Enable JaaS Components (hosted Jigasi)
#ENABLE_JAAS_COMPONENTS=0 # jitsiをアプリに組み込むものらしいが不要

#
# Let's Encrypt configuration
#

# Enable Let's Encrypt certificate generation
ENABLE_LETSENCRYPT=1 # SSL証明書を取得

# Domain for which to generate the certificate
LETSENCRYPT_DOMAIN=jitsi.example.com # 証明書を取得するドメイン

# E-Mail for receiving important account notifications (mandatory)
LETSENCRYPT_EMAIL=me@example.com # 適当なメアド

# Use the staging server (for avoiding rate limits while testing)
#LETSENCRYPT_USE_STAGING=1


#
# Etherpad integration (for document sharing)
#

# Set etherpad-lite URL in docker local network (uncomment to enable)
#ETHERPAD_URL_BASE=http://etherpad.meet.jitsi:9001 # Etherpadという共同作業用エディタとの統合化。とりあえず要らない

# Set etherpad-lite public URL, including /p/ pad path fragment (uncomment to enable)
#ETHERPAD_PUBLIC_URL=https://etherpad.my.domain/p/

# Name your etherpad instance!
ETHERPAD_TITLE=Video Chat

# The default text of a pad
ETHERPAD_DEFAULT_PAD_TEXT="Welcome to Web Chat!\n\n"

# Name of the skin for etherpad
ETHERPAD_SKIN_NAME=colibris

# Skin variants for etherpad
ETHERPAD_SKIN_VARIANTS="super-light-toolbar super-light-editor light-background full-width-editor"


#
# Basic Jigasi configuration options (needed for SIP gateway support)
#

# SIP URI for incoming / outgoing calls
#JIGASI_SIP_URI=test@sip2sip.info # IP電話とjitsiの相互通話を可能にするらしい。とりあえず要らない

# Password for the specified SIP account as a clear text
#JIGASI_SIP_PASSWORD=passw0rd

# SIP server (use the SIP account domain if in doubt)
#JIGASI_SIP_SERVER=sip2sip.info

# SIP server port
#JIGASI_SIP_PORT=5060

# SIP server transport
#JIGASI_SIP_TRANSPORT=UDP


#
# Authentication configuration (see handbook for details)
#

# Enable authentication
ENABLE_AUTH=1 # yesにする

# Enable guest access
ENABLE_GUESTS=1 # yesにする

# Select authentication type: internal, jwt, ldap or matrix
AUTH_TYPE=internal # yesにする

# JWT authentication
#

# Application identifier
#JWT_APP_ID=my_jitsi_app_id # JWT認証というものらしい。とりあえず要らない

# Application secret known only to your token generator
#JWT_APP_SECRET=my_jitsi_app_secret

# (Optional) Set asap_accepted_issuers as a comma separated list
#JWT_ACCEPTED_ISSUERS=my_web_client,my_app_client

# (Optional) Set asap_accepted_audiences as a comma separated list
#JWT_ACCEPTED_AUDIENCES=my_server1,my_server2

# LDAP authentication (for more information see the Cyrus SASL saslauthd.conf man page)
#

# LDAP url for connection
#LDAP_URL=ldaps://ldap.domain.com/ # LDAP認証。とりあえず要らない

# LDAP base DN. Can be empty
#LDAP_BASE=DC=example,DC=domain,DC=com

# LDAP user DN. Do not specify this parameter for the anonymous bind
#LDAP_BINDDN=CN=binduser,OU=users,DC=example,DC=domain,DC=com

# LDAP user password. Do not specify this parameter for the anonymous bind
#LDAP_BINDPW=LdapUserPassw0rd

# LDAP filter. Tokens example:
# %1-9 - if the input key is user@mail.domain.com, then %1 is com, %2 is domain and %3 is mail
# %s - %s is replaced by the complete service string
# %r - %r is replaced by the complete realm string
#LDAP_FILTER=(sAMAccountName=%u)

# LDAP authentication method
#LDAP_AUTH_METHOD=bind

# LDAP version
#LDAP_VERSION=3

# LDAP TLS using
#LDAP_USE_TLS=1

# List of SSL/TLS ciphers to allow
#LDAP_TLS_CIPHERS=SECURE256:SECURE128:!AES-128-CBC:!ARCFOUR-128:!CAMELLIA-128-CBC:!3DES-CBC:!CAMELLIA-128-CBC

# Require and verify server certificate
#LDAP_TLS_CHECK_PEER=1

# Path to CA cert file. Used when server certificate verify is enabled
#LDAP_TLS_CACERT_FILE=/etc/ssl/certs/ca-certificates.crt

# Path to CA certs directory. Used when server certificate verify is enabled
#LDAP_TLS_CACERT_DIR=/etc/ssl/certs

# Wether to use starttls, implies LDAPv3 and requires ldap:// instead of ldaps://
# LDAP_START_TLS=1


#
# Security
#
# Set these to strong passwords to avoid intruders from impersonating a service account
# The service(s) won't start unless these are specified
# Running ./gen-passwords.sh will update .env with strong passwords
# You may skip the Jigasi and Jibri passwords if you are not using those
# DO NOT reuse passwords
#

# XMPP password for Jicofo client connections #なにをするものかわからない
JICOFO_AUTH_PASSWORD=

# XMPP password for JVB client connections
JVB_AUTH_PASSWORD=

# XMPP password for Jigasi MUC client connections
JIGASI_XMPP_PASSWORD=

# XMPP recorder password for Jibri client connections
JIBRI_RECORDER_PASSWORD=

# XMPP password for Jibri client connections
JIBRI_XMPP_PASSWORD=

#
# Docker Compose options
#

# Container restart policy
#RESTART_POLICY=unless-stopped

# Jitsi image version (useful for local development)
#JITSI_IMAGE_VERSION=latest

これでdocker-compose up -dとして起動する。起動した後でprosodyのコンテナに対して以下の処理を行う。

docker exec -it なんとか bash
prosodyctl --config /config/prosody.cfg.lua register USERNAME meet.jitsi PASSWORD

これで、https://jitsi.example.com/testroom1234などとしてミーティングが可能になる。ミーティングルームに最初に入室する人間はUSERNAME/PASSWORDを入力しなければならなくなる。ミーティングルームが開いた後は、そのURLを知る誰でもが入室できる。