本文详细介绍了Nginx的负载均衡配置方法,包括如何使用dig命令解析域名,安装和配置Nginx进行服务器集群的负载分配。此外,深入解析了SSL/TLS的工作原理,包括证书的生成和配置过程,以及Nginx如何配置SSL实现HTTPS加密传输。还涵盖了PHP-FPM的配置,包括慢执行日志、open_basedir限制及进程管理。
-
Nginx负载均衡
-
dig qq.com命令可以解析域名
-
如果没有dig命令,安装命令yum install -y bind-utils
-
vim /usr/local/nginx/conf/vhost/load.conf/ (写入以下)
-
upstream qq.com -
{ -
Ip_hash; -
Server 61.135.157.156:80; -
Server 127.39.240.113:80; -
} -
Server -
{ -
Listen 80; -
Server_name www.qq.com -
Location / -
{ -
Proxy_pass http://qq_com; -
Proxy_set_header Host $host -
Proxy_set_header X-Real-IP $remote_addr; -
Proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_tor; -
} -
} -
upstream来指定多个web server
-
curl 127.0.0.1:80 www.qq.com
-
Nginx不支持代理https也就是说不支持443端口,可以支持http和tcp
-
ssl原理
-
ssl工作流程
-
浏览器发送一个https的请求给服务器。
-
服务器需要有一套数字证书,可以自己制作也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问。而是有受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥。
-
服务器会把公钥传输给客户端。
-
客户端(浏览器)收到公钥后,会验证其是否合法,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密。
-
客户端把加密后的随机字符串传输给服务器。
-
服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密就是把数据和私钥,也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容)。
-
服务器把加密后的数据传输给客户端。
-
客户端收到数据后,再用自己的私钥也就是那个随机字符串解密。
-
SSL协议的工作流程:
-
服务器认证阶段:
-
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
-
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
-
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
-
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
-
用户认证阶段:
-
在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
-
(SET协议:为网上信用卡支付提供了全球性的标准。)
-
-
SSL协议的握手过程:
-
SSL 协议既用到了公钥加密技术(非对称加密)又用到了对称加密技术,SSL对传输内容的加密是采用的对称加密,然后对对称加密的密钥使用公钥进行非对称加密。这样做的好处是,对称加密技术比公钥加密技术的速度快,可用来加密较大的传输内容, 公钥加密技术相对较慢,提供了更好的身份认证技术,可用来加密对称加密过程使用的密钥。
-
SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:
-
①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
-
②服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。
-
③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
-
④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
-
⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
-
⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码 ”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
-
⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
-
⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
-
⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
-
⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
-
-
双向认证 SSL 协议的具体过程
-
① 浏览器发送一个连接请求给安全服务器。
-
② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。
-
③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的,询问客户是否需要继续。
-
④ 接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。
-
-
⑤ 服务器要求客户发送客户自己的证书。收到后,服务器验证客户的证书,如果没有通过验证,拒绝连接;如果通过验证,服务器获得用户的公钥。
-
⑥ 客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。
-
⑦ 服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用客户的公钥加过密后通知浏览器。
-
⑧ 浏览器针对这个密码方案,选择一个通话密钥,接着用服务器的公钥加过密后发送给服务器。
-
⑨ 服务器接收到浏览器送过来的消息,用自己的私钥解密,获得通话密钥。
-
⑩ 服务器、浏览器接下来的通讯都是用对称密码方案,对称密钥是加过密的。
-
生成ssl密钥对
-
将公钥私钥放在/usr/local/nginx/conf/
-
cd /usr/local/nginx/conf/
-
openssl genrsa -des3 -out tmp.key 2048(key文件为私钥)
-
该私钥需要生成密码,但是太过麻烦所以以下取消该设置密码
-
openssl rsa -in tmp.key -out aminglinux(名称随意命名).key(转换key,取消密码)
-
rm -f tmp.key
-
openssl req -new -key aminglinux.key -out aminglinux.csr(生成证书请求文件,需要那这个文件和私钥一起产生公钥文件)
-
openssl x509 -req -days 365 -in aminglinux.csr -singkey aminglinux.key -out aminglinux.crt
-
这里的aminglinux.crt为公钥,key为私钥。
-
Nginx配置ssl(该证书为自己颁发的测试证书)
-
vim /usr/local/nginx/conf/vhost/ssl.conf/ (加入以下)
-
{ -
listen 443; -
server_name aming.com; -
index index.html index.php; -
root /data/wwwroot/aming.com; -
ssl on; -
ssl_certificate aminglinux.crt; -
ssl_certificate_key aminglinux.key; -
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; -
} -
-t && -s reload(若报错unknown directive “ssl” ,需要重新编译nginx,加上--with-http_ssl_module 。
-
cd /usr/local/nginx/sbin/nginx -V
-
./comfigure --prefix=/usr/local/nginx --with-http_ssl_module)
-
mkdir /data/wwwroot/aming.com
-
echo “ssl test page.” >/data/wwwroot/aming.com/index.html
-
编辑hosts ,增加127.0.0.1 aming.com
-
curl https://aming.com/
-
Php-fpm的pool
-
vim /usr/local/php/etc/php-fpm.conf(在[global]部分增加)
-
include=etc/php-fpm.d/*.conf
-
mkdir /usr/local/php/etc/php-fpm.d/
-
cd /usr/local/php/etc/php-fpm.d/
-
cd /usr/local/php/etc/php-fpm.d/
-
vim www.conf (内容如下)
-
[www]
-
listen=/tmp/www.sock
-
losten.mode=666
-
user=php-fpm
-
group=php-fpm
-
pm.max_children=50
-
pm.start_servers=20
-
pm.min_spare_servers=5
-
pm.max_spare_servers=35
-
pm.max_requests=500
-
rlimit_files=1024
-
/usr/local/php-fpm/sbin/php-fpm -t
-
/etc/init.d/php-fpm reload
-
Php-fpm慢执行日志
-
vim /usr/local/php-fpm/etc/php-fpm.d/www.conf(加入以下)
-
request_slowlog_timeout=1
-
slowlog=/usr/local/php-fpm/var/log/www-slow.log
-
/usr/local/php-fpm/sbin/php-fpm -t
-
/etc/init.d/php-fpm reload
-
Ls /usr/local/php-fpm/var/log/(查看是否生成www-slow-log)
-
配置nginx的虚拟主机test.com.conf ,把unix:/tmp/php-fcgi.sock改为unix:/tmp/www.sock
-
重新加载nginx服务
-
vim /data/wwwroot/test.com/sleep.php(写入以下)
-
<?php
-
echo “test slow log”;
-
sleep(2);
-
#要求sleep执行2秒
-
echo “done”;
-
?>
-
curl -x127.0.0.1:80 test.com/sleep.php
-
cat /usr/local/php-fpm/var/log/www-slow.log
-
Open_basedir
-
Php-fpm定义open_basedir
-
vim /usr/local/php-fpm/etc/php-fpm.d/aming.conf(加入以下)
-
Php_admin_value[open_basedir]=/data/wwwroot/aming.com:/tmp/
-
/etc/init.d/php-fpm restart
-
curl -x127.0.0.1:80 test.com/sleep.php
-
创建测试php脚本,进行测试
-
再次更改aming.conf,修改路径,再次测试
-
配置错误日志
-
再次测试
-
查看错误日志
-
Php-fpm进程管理
-
m = dynamic (动态进程管理,也可以是static)
-
pm.max_chilidren = 50 (最大子进程数,ps aux可以查看)
-
pm.start_servers = 20 (启动服务时会启动的进程数)
-
pm.min_spare_severs = 5 (定义在空闲时段,子进程数的最大值,如果高于这个数值时,php-fpm服务会自动派生新的子进程)
-
pm.max_spare_servers = 35 (定义在空闲时段,子进程数的最大值,如果高于这个数值就开始清理空闲的子进程)
-
pm.max_requests = 500 (定义一个子进程最多处理的请求数,也就是说在一个php-fpm的子进程最多可以处理这么多请求,当达到这个数值时,它会自动退出)
转载于:https://my.oschina.net/u/4095969/blog/3052384
扫一扫
5663
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
