LNMP架构 【3】

一、Nginx负载均衡

Nginx负载均衡需要用到upstream模块,upstream模块用于定义多个web server,通过算法将访问请求分发到不同的web server。

以www.baidu.com为例,使用命令dig来查看解析的IP地址(yum install -y bind-utils):


然后在/usr/local/nginx/conf/vhost/目录下创建一个文件baidu.com.conf,写入如下的内容:
upstream baidu_com          只是代表服务器组的名称,可以随意定义,用于proxy_pass调用

{

    ip_hash;          ip_hash算法,将同一个源IP的访问请求发给同一个server,避免数据婚礼

    server 115.239.210.27:80;               定义后端的server

    server 115.239.211.112:80;               定义后端的server

}  

server     

    listen 80;                                         监听的端口

    server_name www.baidu.com;          虚拟主机域名

    location /

    {

        proxy_pass      http://baidu_com;             调用upstream qq_com

        proxy_set_header Host   $host;

        proxy_set_header X-Real-IP      $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

}

配置完检查语法,并重新加载配置文件
测试访问效果,使用命令 curl -x127.0.0.1:80 www.baidu.com  得到www.baidu.com网站的源代码

 

 

二、ssl原理

ssl工作流程
浏览器发送一个https的请求给服务器;
 服务器要有一套数字证书,可以自己制作(后面的操作就是阿铭自己制作的证书),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥;
 服务器会把公钥传输给客户端;
 客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;
 客户端把加密后的随机字符串传输给服务器;
 服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);
 服务器把加密后的数据传输给客户端;
 客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;

三、生成ssl密钥对

在实际生产环境中,ssl证书需要像相关的颁发机构购买。这样的证书会自动通过游览器的信任。而我们自己生产的SSL证书没有通过游览器信任,游览器会弹出相应的提示。

移动目录:cd /usr/local/nginx/conf/
创建私钥,其中tmp.key为私钥文件(该文件有密码):openssl genrsa -des3 -out tmp.key 2048
genrsa表示生成rsa类型的私钥文件,-des3表示使用des3加密算法
-out 指定生成的私钥文件名,2048表示加密算法的长度为2048位
生成私钥文件必须输入两次密码,
但是有密码的私钥比较麻烦,下面就来取消私钥文件的密码。
转换私钥,取消密码(方便客户端访问),并删除tmp.key:openssl rsa -in tmp.key -out zhaoyujie.key
生成证书请求文件,需要拿这个文件和私钥一起生产公钥文件: openssl req -new -key zhaoyujie.key -out zhaoyujie.csr


生成公钥文件,这里的zhaoyujie.crt为公钥:openssl x509 -req -days 365 -in zhaoyujie.csr -signkey zhaoyujie.key -out zhaoyujie.crt
x509 代表生成的x509的证书
-req 证书请求,用于生成证书文件
-days 证书的有效期,365表示一年
-in 指定证书请求文件
-signkey 指定私钥文件
-out 指定生成的公钥文件名

 

四、Nginx配置ssl

在/usr/local/nginx/conf/vhost/目录下创建一个文件zhaoyujie.com.conf,写入下面的配置内容:
server

{

    listen 443;

    server_name zhaoyujie.com;

    index index.html index.php;

    root /data/wwwroot/zhaoyujie.com;

    ssl on;

    ssl_certificate zhaoyujie.crt;            指定公钥

    ssl_certificate_key zhaoyujie.key;   指定私钥

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

}


如果出现错误:nginx: [emerg] unknown directive “ssl”需要重新编译安装nginx 加上--with-http_ssl_module
使用命令/usr/local/nginx/sbin/nginx -V 可以查看编译时使用的参数
命令cd /usr/local/src/nginx-1.14.0
命令 ./configure --prefix=/usr/local/nginx --with-http_ssl_module && make && make install
检查配置文件是否正确,重新加载nginx。或者重启nginx
查看443端口是否监听:


curl访问本地的https需要添加hosts:echo ’127.0.0.1 zhaoyuujie.com' >> /etc/hosts
直接使用命令,提示证书不被信任:curl https://zhaoyujie.com


使用选项-k,忽略证书检查访问:curl https://zhaoyujie.com -k


使用游览器访问,需要修改hosts,同样提示不信任:

 

 

五、php-fpm的pool

在php-fpm中可以定义多个pool(池子),不同的pool需要监听不同sock文件。

可以将多个pool定义到php-fpm的主配置文件中,pool的名称和监听的sock文件不能一样。
将php-fpm中的pool删除,并添加一行配置,可以指定一个pool的配置文件存放目录(拆分存放,更加简洁):inculde = /etc/php-fpm.d/*.conf


移至 /etc/php-fpm.d/目录,创建www.conf文件,写入如下内容:
[www]                  pool名称可以随意定义

listen = /tmp/php-fcgi.sock  指定这个pool监听的socket文件或者ip:port

listen.mode=666         监听sock文件时,sock文件的权限

user = php-fpm          进程用户

group = php-fpm         进程用户组

pm = dynamic           

pm.max_children = 50  

pm.start_servers = 3  

pm.min_spare_servers = 3 

pm.max_spare_servers = 35

pm.max_requests = 500    

rlimit_files = 1024   

再将www.conf文件复制一份命名为test.conf
[test]

listen = /tmp/test.sock

listen.mode=666

user = php-fpm

group = php-fpm

pm = static

pm.max_children = 5

pm.start_servers = 5

pm.min_spare_servers = 1

pm.max_spare_servers = 35

pm.max_requests = 500

rlimit_files = 1024

检查php-fpm配置语法错误。重载配置文件:php-fpm -t && php -fpm reload
查看php-fpm的进程:

 

 

六、php-fpm慢执行日志

当有时候访问php网页慢的时候可以开启慢执行日志来查看是否是PHP代码执行时间过长,还可以看到具体是哪个PHP文件的哪一行导致的慢执行。

编辑该文件vim /usr/local/nginx/conf/vhost/www..conf 加入以下内容:
request_slowlog_timeout = 1                                              记录超过1秒的php日志到下面定义的地址

slowlog = /usr/local/php-fpm/var/log/www-slow.log

检查语法错误,重新加载nginx
在/data/wwwroot/test.com/目录下创建一个测试的php文件,写入如下内容:

echo "test slow log";

sleep(2);

echo "done";

?>

命令curl测试,停顿2秒
检测日志:cat /usr/local/php-fpm/var/log/www-slow.log  显示造成该停顿的原因是php文件的第三行。

  • 一般将记录超过时间设置为2秒

 

七、nginx配置open_basedir

设定open_basedir可以使PHP只能访问指定目录下的文件,可以在虚拟主机配置中配置open_basedir,也可以在php的pool池中配置open_basedir。

修改vim /usr/local/php-fpm/etc/php-fpm.d/www.conf 
php_admin_value[open_basedir]=/data/wwwroot/aming.com:/tmp/

为了测试,先定义一个错误的路径
修改/usr/local/php-fpm/etc/php.ini
游览器不显示错误信息:display_errors = Off
定义错误日志路径:error_lop = /usr/local/php-fpm/var/log/php_errors.log
定义日志级别为所以: errot_reporting = E_ALL
 手动创建日志文件:touch /usr/local/php-fpm/var/log/php_errors.log
 修改日志文件权限:chmod 777 /usr/local/php-fpm/var/log/php_errors.log
检查php-fpm配置文件是否正确并重新加载:php-fpm -t && /etc/init.d/php-fpm reload
测试,出现错误,代码404:


再修改/etc/php-fpm.d/www.conf 配置文件将open_basedir修改为正确的路径
重载php-fpm服务配置在再次访问测试:

 

 

八、php-fpm进程管理

[www]                  pool名称可以随意定义
listen = /tmp/php-fcgi.sock  指定这个pool监听的socket文件或者ip:port
listen.mode=666         监听sock文件时,sock文件的权限
user = php-fpm          进程用户
group = php-fpm         进程用户组
pm = dynamic             dynamic动态进程管理可以根据需求自动生成新的子进程,也可以是static一下子启动pm.max_children定义的进程数。
pm.max_children = 50              dynamic、 static时均生效。最大子进程数,ps aux可以查看。
pm.start_servers = 3                 static时不生效,启动服务时会启动的进程数
pm.min_spare_servers = 3        static时不生效,定义在空闲时段,子进程数的最少数量,如果达到这个数值时,php-fpm服务会自动派生新的子进程。
pm.max_spare_servers = 35     static时不生效,定义在空闲时段,子进程数的最大值,如果高于这个数值就开始清理空闲的子进程。
pm.max_requests = 500            static时不生效,定义一个子进程最多处理的请求数,也就是说在一个php-fpm的子进程最多可以处理这么多请求,当达到这个数值时,它会自动退出。
rlimit_files = 1024                       static时不生效

 

扩展

ssl相关

https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/ca.md

https://coding.net/u/aminglinux/p/nginx/git/blob/master/ssl/ssl.md

负载均衡

https://coding.net/u/aminglinux/p/nginx/git/blob/master/proxy/lb.md

nginx算法分析https://blog.whsir.com/post-1482.html

root和alias

http://www.ttlsa.com/nginx/nginx-root_alias-file-path-configuration/

你可能感兴趣的:(LNMP架构 【3】)