LNMP架构（3）

最新推荐文章于 2022-08-26 20:17:44 发布

CN_SHzhaoyujie

最新推荐文章于 2022-08-26 20:17:44 发布

阅读量550

点赞数

分类专栏：笔记 WEB服务文章标签： lnmp nginx linux运维

本文链接：https://blog.csdn.net/CN_SHzhaoyujie/article/details/82809641

版权

笔记同时被 2 个专栏收录

69 篇文章 2 订阅

订阅专栏

WEB服务

9 篇文章 0 订阅

订阅专栏

内容摘要

Nginx负载均衡
ssl原理
生成ssl密钥对
Nginx配置ssl
php-fpm的pool
php-fpm慢执行日志
open_basedir
php-fpm进程管理
扩展

一、Nginx负载均衡

Nginx负载均衡需要用到upstream模块，upstream模块用于定义多个web server，通过算法将访问请求分发到不同的web server。

以www.baidu.com为例，使用命令dig来查看解析的IP地址（yum install -y bind-utils）：

然后在/usr/local/nginx/conf/vhost/目录下创建一个文件baidu.com.conf，写入如下的内容:

upstream baidu_com 只是代表服务器组的名称，可以随意定义，用于proxy_pass调用

{

ip_hash; ip_hash算法，将同一个源IP的访问请求发给同一个server，避免数据婚礼

server 115.239.210.27:80; 定义后端的server

server 115.239.211.112:80; 定义后端的server

}

server

{

listen 80; 监听的端口

server_name www.baidu.com; 虚拟主机域名

location /

{

proxy_pass http://baidu_com; 调用upstream qq_com

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

配置完检查语法，并重新加载配置文件
测试访问效果，使用命令 curl -x127.0.0.1:80 www.baidu.com 得到www.baidu.com网站的源代码

二、ssl原理

ssl工作流程

浏览器发送一个https的请求给服务器；
服务器要有一套数字证书，可以自己制作（后面的操作就是阿铭自己制作的证书），也可以向组织申请，区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥和私钥；
服务器会把公钥传输给客户端；
客户端（浏览器）收到公钥后，会验证其是否合法有效，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密；
客户端把加密后的随机字符串传输给服务器；
服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据（该加密为对称加密，所谓对称加密，就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起，这样除非知道私钥，否则无法获取数据内容）；
服务器把加密后的数据传输给客户端；
客户端收到数据后，再用自己的私钥也就是那个随机字符串解密；

三、生成ssl密钥对

在实际生产环境中，ssl证书需要像相关的颁发机构购买。这样的证书会自动通过游览器的信任。而我们自己生产的SSL证书没有通过游览器信任，游览器会弹出相应的提示。

移动目录：cd /usr/local/nginx/conf/
创建私钥，其中tmp.key为私钥文件（该文件有密码）：openssl genrsa -des3 -out tmp.key 2048
genrsa表示生成rsa类型的私钥文件，-des3表示使用des3加密算法
-out 指定生成的私钥文件名，2048表示加密算法的长度为2048位
生成私钥文件必须输入两次密码，
但是有密码的私钥比较麻烦，下面就来取消私钥文件的密码。
转换私钥，取消密码（方便客户端访问），并删除tmp.key：openssl rsa -in tmp.key -out zhaoyujie.key
生成证书请求文件，需要拿这个文件和私钥一起生产公钥文件： openssl req -new -key zhaoyujie.key -out zhaoyujie.csr

生成公钥文件，这里的zhaoyujie.crt为公钥：openssl x509 -req -days 365 -in zhaoyujie.csr -signkey zhaoyujie.key -out zhaoyujie.crt

x509 代表生成的x509的证书
-req 证书请求，用于生成证书文件
-days 证书的有效期，365表示一年
-in 指定证书请求文件
-signkey 指定私钥文件
-out 指定生成的公钥文件名

四、Nginx配置ssl

在/usr/local/nginx/conf/vhost/目录下创建一个文件zhaoyujie.com.conf，写入下面的配置内容:

server

{

listen 443;

server_name zhaoyujie.com;

index index.html index.php;

root /data/wwwroot/zhaoyujie.com;

ssl on;

ssl_certificate zhaoyujie.crt; 指定公钥

ssl_certificate_key zhaoyujie.key; 指定私钥

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

}

如果出现错误：nginx: [emerg] unknown directive “ssl”需要重新编译安装nginx 加上--with-http_ssl_module

使用命令/usr/local/nginx/sbin/nginx -V 可以查看编译时使用的参数
命令cd /usr/local/src/nginx-1.14.0
命令 ./configure --prefix=/usr/local/nginx --with-http_ssl_module && make && make install

检查配置文件是否正确，重新加载nginx。或者重启nginx
查看443端口是否监听：

curl访问本地的https需要添加hosts：echo ’127.0.0.1 zhaoyuujie.com' >> /etc/hosts
直接使用命令,提示证书不被信任：curl https://zhaoyujie.com

使用选项-k，忽略证书检查访问：curl https://zhaoyujie.com -k

使用游览器访问，需要修改hosts，同样提示不信任：

五、php-fpm的pool

在php-fpm中可以定义多个pool（池子），不同的pool需要监听不同sock文件。

可以将多个pool定义到php-fpm的主配置文件中,pool的名称和监听的sock文件不能一样。
将php-fpm中的pool删除，并添加一行配置，可以指定一个pool的配置文件存放目录（拆分存放，更加简洁）：inculde = /etc/php-fpm.d/*.conf

移至 /etc/php-fpm.d/目录，创建www.conf文件，写入如下内容：

[www] pool名称可以随意定义

listen = /tmp/php-fcgi.sock 指定这个pool监听的socket文件或者ip:port

listen.mode=666 监听sock文件时，sock文件的权限

user = php-fpm 进程用户

group = php-fpm 进程用户组

pm = dynamic

pm.max_children = 50

pm.start_servers = 3

pm.min_spare_servers = 3

pm.max_spare_servers = 35

pm.max_requests = 500

rlimit_files = 1024

再将www.conf文件复制一份命名为test.conf

[test]

listen = /tmp/test.sock

listen.mode=666

user = php-fpm

group = php-fpm

pm = static

pm.max_children = 5

pm.start_servers = 5

pm.min_spare_servers = 1

pm.max_spare_servers = 35

pm.max_requests = 500

rlimit_files = 1024

检查php-fpm配置语法错误。重载配置文件：php-fpm -t && php -fpm reload
查看php-fpm的进程：

六、php-fpm慢执行日志

当有时候访问php网页慢的时候可以开启慢执行日志来查看是否是PHP代码执行时间过长，还可以看到具体是哪个PHP文件的哪一行导致的慢执行。

编辑该文件vim /usr/local/nginx/conf/vhost/www..conf 加入以下内容：

request_slowlog_timeout = 1 记录超过1秒的php日志到下面定义的地址

slowlog = /usr/local/php-fpm/var/log/www-slow.log

检查语法错误，重新加载nginx
在/data/wwwroot/test.com/目录下创建一个测试的php文件，写入如下内容：

<?php

echo "test slow log";

sleep(2);

echo "done";

命令curl测试，停顿2秒
检测日志：cat /usr/local/php-fpm/var/log/www-slow.log 显示造成该停顿的原因是php文件的第三行。

一般将记录超过时间设置为2秒

七、nginx配置open_basedir

设定open_basedir可以使PHP只能访问指定目录下的文件，可以在虚拟主机配置中配置open_basedir，也可以在php的pool池中配置open_basedir。

修改vim /usr/local/php-fpm/etc/php-fpm.d/www.conf

php_admin_value[open_basedir]=/data/wwwroot/aming.com:/tmp/

为了测试，先定义一个错误的路径

修改/usr/local/php-fpm/etc/php.ini

游览器不显示错误信息：display_errors = Off
定义错误日志路径：error_lop = /usr/local/php-fpm/var/log/php_errors.log
定义日志级别为所以： errot_reporting = E_ALL

手动创建日志文件：touch /usr/local/php-fpm/var/log/php_errors.log
修改日志文件权限：chmod 777 /usr/local/php-fpm/var/log/php_errors.log
检查php-fpm配置文件是否正确并重新加载：php-fpm -t && /etc/init.d/php-fpm reload
测试，出现错误，代码404：

再修改/etc/php-fpm.d/www.conf 配置文件将open_basedir修改为正确的路径
重载php-fpm服务配置在再次访问测试:

八、php-fpm进程管理

[www] pool名称可以随意定义
listen = /tmp/php-fcgi.sock 指定这个pool监听的socket文件或者ip:port
listen.mode=666 监听sock文件时，sock文件的权限
user = php-fpm 进程用户
group = php-fpm 进程用户组
pm = dynamic dynamic动态进程管理可以根据需求自动生成新的子进程，也可以是static一下子启动pm.max_children定义的进程数。
pm.max_children = 50 dynamic、 static时均生效。最大子进程数，ps aux可以查看。
pm.start_servers = 3 static时不生效，启动服务时会启动的进程数
pm.min_spare_servers = 3 static时不生效，定义在空闲时段，子进程数的最少数量，如果达到这个数值时，php-fpm服务会自动派生新的子进程。
pm.max_spare_servers = 35 static时不生效，定义在空闲时段，子进程数的最大值，如果高于这个数值就开始清理空闲的子进程。
pm.max_requests = 500 static时不生效，定义一个子进程最多处理的请求数，也就是说在一个php-fpm的子进程最多可以处理这么多请求，当达到这个数值时，它会自动退出。
rlimit_files = 1024 static时不生效