LNMP架构 (3)

内容摘要

  • Nginx负载均衡
  • ssl原理
  • 生成ssl密钥对
  • Nginx配置ssl
  • php-fpm的pool
  • php-fpm慢执行日志
  • open_basedir
  • php-fpm进程管理
  • 扩展

一、Nginx负载均衡

Nginx负载均衡需要用到upstream模块,upstream模块用于定义多个web server,通过算法将访问请求分发到不同的web server。

  • 以www.baidu.com为例,使用命令dig来查看解析的IP地址(yum install -y bind-utils):

  • 然后在/usr/local/nginx/conf/vhost/目录下创建一个文件baidu.com.conf,写入如下的内容:

upstream baidu_com          只是代表服务器组的名称,可以随意定义,用于proxy_pass调用

{

    ip_hash;          ip_hash算法,将同一个源IP的访问请求发给同一个server,避免数据婚礼

    server 115.239.210.27:80;               定义后端的server

    server 115.239.211.112:80;               定义后端的server

}  

server     

    listen 80;                                         监听的端口

    server_name www.baidu.com;          虚拟主机域名

    location /

    {

        proxy_pass      http://baidu_com;             调用upstream qq_com

        proxy_set_header Host   $host;

        proxy_set_header X-Real-IP      $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}

  • 配置完检查语法,并重新加载配置文件
  • 测试访问效果,使用命令 curl -x127.0.0.1:80 www.baidu.com  得到www.baidu.com网站的源代码

二、ssl原理

  • ssl工作流程
  1. 浏览器发送一个https的请求给服务器;
  2.  服务器要有一套数字证书,可以自己制作(后面的操作就是阿铭自己制作的证书),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥;
  3.  服务器会把公钥传输给客户端;
  4.  客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;
  5.  客户端把加密后的随机字符串传输给服务器;
  6.  服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);
  7.  服务器把加密后的数据传输给客户端;
  8.  客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;

三、生成ssl密钥对

在实际生产环境中,ssl证书需要像相关的颁发机构购买。这样的证书会自动通过游览器的信任。而我们自己生产的SSL证书没有通过游览器信任,游览器会弹出相应的提示。

  • 移动目录:cd /usr/local/nginx/conf/
  • 创建私钥,其中tmp.key为私钥文件(该文件有密码):openssl genrsa -des3 -out tmp.key 2048
  • genrsa表示生成rsa类型的私钥文件,-des3表示使用des3加密算法
  • -out 指定生成的私钥文件名,2048表示加密算法的长度为2048位
  • 生成私钥文件必须输入两次密码,
  • 但是有密码的私钥比较麻烦,下面就来取消私钥文件的密码。
  • 转换私钥,取消密码(方便客户端访问),并删除tmp.key:openssl rsa -in tmp.key -out zhaoyujie.key
  • 生成证书请求文件,需要拿这个文件和私钥一起生产公钥文件: openssl req -new -key zhaoyujie.key -out zhaoyujie.csr

  • 生成公钥文件,这里的zhaoyujie.crt为公钥:openssl x509 -req -days 365 -in zhaoyujie.csr -signkey zhaoyujie.key -out zhaoyujie.crt
  1. x509 代表生成的x509的证书
  2. -req 证书请求,用于生成证书文件
  3. -days 证书的有效期,365表示一年
  4. -in 指定证书请求文件
  5. -signkey 指定私钥文件
  6. -out 指定生成的公钥文件名

四、Nginx配置ssl

  • 在/usr/local/nginx/conf/vhost/目录下创建一个文件zhaoyujie.com.conf,写入下面的配置内容:

server

{

    listen 443;

    server_name zhaoyujie.com;

    index index.html index.php;

    root /data/wwwroot/zhaoyujie.com;

    ssl on;

    ssl_certificate zhaoyujie.crt;            指定公钥

    ssl_certificate_key zhaoyujie.key;   指定私钥

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

}

  • 如果出现错误:nginx: [emerg] unknown directive “ssl”需要重新编译安装nginx 加上--with-http_ssl_module
  1. 使用命令/usr/local/nginx/sbin/nginx -V 可以查看编译时使用的参数
  2. 命令cd /usr/local/src/nginx-1.14.0
  3. 命令 ./configure --prefix=/usr/local/nginx --with-http_ssl_module && make && make install
  • 检查配置文件是否正确,重新加载nginx。或者重启nginx
  • 查看443端口是否监听:

  • curl访问本地的https需要添加hosts:echo ’127.0.0.1 zhaoyuujie.com' >> /etc/hosts
  • 直接使用命令,提示证书不被信任:curl https://zhaoyujie.com

  • 使用游览器访问,需要修改hosts,同样提示不信任:

五、php-fpm的pool

在php-fpm中可以定义多个pool(池子),不同的pool需要监听不同sock文件。

  • 可以将多个pool定义到php-fpm的主配置文件中,pool的名称和监听的sock文件不能一样。
  • 将php-fpm中的pool删除,并添加一行配置,可以指定一个pool的配置文件存放目录(拆分存放,更加简洁):inculde = /etc/php-fpm.d/*.conf

  • 移至 /etc/php-fpm.d/目录,创建www.conf文件,写入如下内容:

[www]                  pool名称可以随意定义

listen = /tmp/php-fcgi.sock  指定这个pool监听的socket文件或者ip:port

listen.mode=666         监听sock文件时,sock文件的权限

user = php-fpm          进程用户

group = php-fpm         进程用户组

pm = dynamic           

pm.max_children = 50  

pm.start_servers = 3  

pm.min_spare_servers = 3 

pm.max_spare_servers = 35

pm.max_requests = 500    

rlimit_files = 1024   

  • 再将www.conf文件复制一份命名为test.conf

[test]

listen = /tmp/test.sock

listen.mode=666

user = php-fpm

group = php-fpm

pm = static

pm.max_children = 5

pm.start_servers = 5

pm.min_spare_servers = 1

pm.max_spare_servers = 35

pm.max_requests = 500

rlimit_files = 1024

  • 检查php-fpm配置语法错误。重载配置文件:php-fpm -t && php -fpm reload
  • 查看php-fpm的进程:

六、php-fpm慢执行日志

当有时候访问php网页慢的时候可以开启慢执行日志来查看是否是PHP代码执行时间过长,还可以看到具体是哪个PHP文件的哪一行导致的慢执行。

  • 编辑该文件vim /usr/local/nginx/conf/vhost/www..conf 加入以下内容:

request_slowlog_timeout = 1                                              记录超过1秒的php日志到下面定义的地址

slowlog = /usr/local/php-fpm/var/log/www-slow.log

  • 检查语法错误,重新加载nginx
  • 在/data/wwwroot/test.com/目录下创建一个测试的php文件,写入如下内容:

<?php

echo "test slow log";

sleep(2);

echo "done";

?>

  • 命令curl测试,停顿2秒
  • 检测日志:cat /usr/local/php-fpm/var/log/www-slow.log  显示造成该停顿的原因是php文件的第三行。

  • 一般将记录超过时间设置为2秒

七、nginx配置open_basedir

设定open_basedir可以使PHP只能访问指定目录下的文件,可以在虚拟主机配置中配置open_basedir,也可以在php的pool池中配置open_basedir。

  • 修改vim /usr/local/php-fpm/etc/php-fpm.d/www.conf 

php_admin_value[open_basedir]=/data/wwwroot/aming.com:/tmp/

  1. 为了测试,先定义一个错误的路径
  • 修改/usr/local/php-fpm/etc/php.ini
  1. 游览器不显示错误信息:display_errors = Off
  2. 定义错误日志路径:error_lop = /usr/local/php-fpm/var/log/php_errors.log
  3. 定义日志级别为所以: errot_reporting = E_ALL
  •  手动创建日志文件:touch /usr/local/php-fpm/var/log/php_errors.log
  •  修改日志文件权限:chmod 777 /usr/local/php-fpm/var/log/php_errors.log
  • 检查php-fpm配置文件是否正确并重新加载:php-fpm -t && /etc/init.d/php-fpm reload
  • 测试,出现错误,代码404:

  • 再修改/etc/php-fpm.d/www.conf 配置文件将open_basedir修改为正确的路径
  • 重载php-fpm服务配置在再次访问测试:

八、php-fpm进程管理

  • [www]                  pool名称可以随意定义
  • listen = /tmp/php-fcgi.sock  指定这个pool监听的socket文件或者ip:port
  • listen.mode=666         监听sock文件时,sock文件的权限
  • user = php-fpm          进程用户
  • group = php-fpm         进程用户组
  • pm = dynamic             dynamic动态进程管理可以根据需求自动生成新的子进程,也可以是static一下子启动pm.max_children定义的进程数。
  • pm.max_children = 50              dynamic、 static时均生效。最大子进程数,ps aux可以查看。
  • pm.start_servers = 3                 static时不生效,启动服务时会启动的进程数
  • pm.min_spare_servers = 3        static时不生效,定义在空闲时段,子进程数的最少数量,如果达到这个数值时,php-fpm服务会自动派生新的子进程。
  • pm.max_spare_servers = 35     static时不生效,定义在空闲时段,子进程数的最大值,如果高于这个数值就开始清理空闲的子进程。
  • pm.max_requests = 500            static时不生效,定义一个子进程最多处理的请求数,也就是说在一个php-fpm的子进程最多可以处理这么多请求,当达到这个数值时,它会自动退出。
  • rlimit_files = 1024                       static时不生效

扩展

  1. nginx算法分析:https://blog.whsir.com/post-1482.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值