Ddim yn bell yn ôl, lansiodd Mail.Ru Cloud Solutions (MCS) a gwasanaeth Dobro Mail.Ru y prosiect “
Ar ôl pasio dilysiad, gall NPO dderbyn capasiti rhithwir gan MCS, ond mae angen cymwysterau penodol ar gyfer cyfluniad pellach. Yn y deunydd hwn, rydym am rannu cyfarwyddiadau penodol ar gyfer sefydlu gweinydd Ubuntu Linux i redeg y brif wefan sylfaen a nifer o is-barthau gan ddefnyddio tystysgrifau SSL am ddim. I lawer, bydd hwn yn ganllaw syml, ond rydym yn gobeithio y bydd ein profiad yn ddefnyddiol i sefydliadau dielw eraill, ac nid yn unig.
FYI: Beth allwch chi ei gael gan MCS? 4 CPUs, 32 GB RAM, 1 TB HDD, Ubuntu Linux OS, storfa gwrthrychau 500 GB.
Cam 1: lansio'r gweinydd rhithwir
Dewch i ni fynd yn syth at y pwynt a chreu ein gweinydd rhithwir (aka “instance”) yn eich cyfrif personol MCS. Yn y siop app, mae angen i chi ddewis a gosod stack LAMP parod, sef set o feddalwedd gweinydd (LAMP = Linux, Apache, MySQL, PHP) sy'n angenrheidiol i redeg y rhan fwyaf o wefannau.
Dewiswch y cyfluniad gweinydd priodol a chreu allwedd SSH newydd. Ar ôl clicio ar y botwm “Install”, bydd gosod y gweinydd a stac LAMP yn dechrau, bydd hyn yn cymryd peth amser. Bydd y system hefyd yn cynnig lawrlwytho allwedd breifat i'ch cyfrifiadur i reoli'r peiriant rhithwir trwy'r consol, a'i gadw.
Ar ôl gosod y cymhwysiad, gadewch i ni osod y wal dân ar unwaith, gwneir hyn hefyd yn eich cyfrif personol: ewch i'r adran “Cloud computing -> Virtual Machines” a dewis “Firewall settings”:
Mae angen i chi ychwanegu caniatâd ar gyfer traffig sy'n dod i mewn trwy borthladd 80 a 9997. Mae hyn yn angenrheidiol yn y dyfodol i osod tystysgrifau SSL ac i weithio gyda phpMyAdmin. O ganlyniad, dylai'r set o reolau edrych fel hyn:
Nawr gallwch chi gysylltu â'ch gweinydd trwy'r llinell orchymyn gan ddefnyddio'r protocol SSH. I wneud hyn, teipiwch y gorchymyn canlynol, gan bwyntio at yr allwedd SSH ar eich cyfrifiadur a chyfeiriad IP allanol eich gweinydd (gallwch ddod o hyd iddo yn yr adran “Peiriannau rhithwir”):
$ ssh -i /путь/к/ключу/key.pem ubuntu@<ip_сервера>
Wrth gysylltu â'r gweinydd am y tro cyntaf, argymhellir gosod yr holl ddiweddariadau cyfredol arno a'i ailgychwyn. I wneud hyn, rhedwch y gorchmynion canlynol:
$ sudo apt-get update
Bydd y system yn derbyn rhestr o ddiweddariadau, yn eu gosod gan ddefnyddio'r gorchymyn hwn ac yn dilyn y cyfarwyddiadau:
$ sudo apt-get upgrade
Ar ôl gosod y diweddariadau, ailgychwynwch y gweinydd:
$ sudo reboot
Cam 2: Sefydlu gwesteiwyr rhithwir
Mae angen i lawer o sefydliadau dielw gynnal sawl parth neu is-barth ar yr un pryd (er enghraifft, prif wefan a sawl tudalen glanio ar gyfer ymgyrchoedd hyrwyddo, ac ati). Gellir gosod hyn i gyd yn gyfleus ar un gweinydd trwy greu sawl gwesteiwr rhithwir.
Yn gyntaf mae angen i ni greu strwythur cyfeiriadur ar gyfer y safleoedd a fydd yn cael eu harddangos i ymwelwyr. Gadewch i ni greu rhai cyfeiriaduron:
$ sudo mkdir -p /var/www/a-dobra.ru/public_html
$ sudo mkdir -p /var/www/promo.a-dobra.ru/public_html
A nodwch berchennog y defnyddiwr presennol:
$ sudo chown -R $USER:$USER /var/www/a-dobra.ru/public_html
$ sudo chown -R $USER:$USER /var/www/promo.a-dobra.ru/public_html
Amrywiol $USER
yn cynnwys yr enw defnyddiwr yr ydych wedi mewngofnodi oddi tano ar hyn o bryd (yn ddiofyn dyma'r defnyddiwr ubuntu
). Nawr mae'r defnyddiwr presennol yn berchen ar y cyfeirlyfrau public_html lle byddwn yn storio'r cynnwys.
Mae angen i ni hefyd olygu'r caniatâd ychydig i wneud yn siŵr bod mynediad darllen yn cael ei ganiatáu i'r cyfeiriadur gwe a rennir a'r holl ffeiliau a ffolderau sydd ynddo. Mae hyn yn angenrheidiol er mwyn i dudalennau'r wefan arddangos yn gywir:
$ sudo chmod -R 755 /var/www
Dylai fod gan eich gweinydd gwe nawr y caniatâd sydd ei angen arno i arddangos y cynnwys. Yn ogystal, mae gan eich defnyddiwr nawr y gallu i greu cynnwys yn y cyfeiriaduron gofynnol.
Mae ffeil index.php eisoes yn y cyfeiriadur /var/www/html, gadewch i ni ei gopïo i'n cyfeiriaduron newydd - dyma fydd ein cynnwys am y tro:
$ cp /var/www/html/index.php /var/www/a-dobra.ru/public_html/index.php
$ cp /var/www/html/index.php /var/www/promo.a-dobra.ru/public_html/index.php
Nawr mae angen i chi sicrhau bod y defnyddiwr yn gallu cyrchu'ch gwefan. I wneud hyn, byddwn yn gyntaf yn ffurfweddu'r ffeiliau gwesteiwr rhithwir, sy'n pennu sut y bydd gweinydd gwe Apache yn ymateb i geisiadau i wahanol barthau.
Yn ddiofyn, mae gan Apache ffeil gwesteiwr rhithwir 000-default.conf y gallwn ei ddefnyddio fel man cychwyn. Rydyn ni'n mynd i gopïo hwn i greu ffeiliau gwesteiwr rhithwir ar gyfer pob un o'n parthau. Byddwn yn dechrau gydag un parth, ei ffurfweddu, ei gopïo i barth arall, ac yna gwneud y golygiadau angenrheidiol eto.
Mae cyfluniad rhagosodedig Ubuntu yn mynnu bod gan bob ffeil gwesteiwr rhithwir estyniad *.conf.
Gadewch i ni ddechrau trwy gopïo'r ffeil ar gyfer y parth cyntaf:
$ sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/a-dobra.ru.conf
Agor ffeil newydd mewn golygydd gyda hawliau gwraidd:
$ sudo nano /etc/apache2/sites-available/a-dobra.ru.conf
Golygwch y data fel a ganlyn, gan nodi porthladd 80, eich data ar gyfer ServerAdmin
, ServerName
, ServerAlias
, yn ogystal â'r llwybr i gyfeiriadur gwraidd eich gwefan, cadwch y ffeil (Ctrl + X, yna Y):
<VirtualHost *:80>
ServerAdmin [email protected]
ServerName a-dobra.ru
ServerAlias www.a-dobra.ru
DocumentRoot /var/www/a-dobra.ru/public_html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory /var/www/a-dobra.ru/public_html>
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Require all granted
</Directory>
<FilesMatch .php$>
SetHandler "proxy:unix:/var/run/php/php7.2-fpm.sock|fcgi://localhost/"
</FilesMatch>
</VirtualHost>
ServerName
yn gosod y parth cynradd, sy'n gorfod cyfateb i'r enw gwesteiwr rhithwir. Rhaid mai hwn yw eich enw parth. Yn ail, ServerAlias
, yn diffinio enwau eraill y dylid eu dehongli fel pe bai'n brif barth. Mae hyn yn gyfleus ar gyfer defnyddio enwau parth ychwanegol, er enghraifft trwy ddefnyddio www.
Gadewch i ni gopïo'r ffurfwedd hon ar gyfer gwesteiwr arall a'i olygu hefyd yn yr un modd:
$ sudo cp /etc/apache2/sites-available/a-dobra.ru.conf /etc/apache2/sites-available/promo.a-dobra.ru.conf
Gallwch greu cymaint o gyfeirlyfrau a gwesteiwyr rhithwir ar gyfer eich gwefannau ag y dymunwch! Nawr ein bod wedi creu ein ffeiliau gwesteiwr rhithwir, mae angen i ni eu galluogi. Gallwn ddefnyddio'r cyfleustodau a2ensite i alluogi pob un o'n gwefannau fel hyn:
$ sudo a2ensite a-dobra.ru.conf
$ sudo a2ensite promo.a-dobra.ru.conf
Yn ddiofyn, mae porthladd 80 ar gau yn LAMP, a bydd ei angen arnom yn ddiweddarach i osod tystysgrif SSL. Felly gadewch i ni olygu'r ffeil ports.conf ar unwaith ac yna ailgychwyn Apache:
$ sudo nano /etc/apache2/ports.conf
Ychwanegu llinell newydd a chadw'r ffeil fel ei bod yn edrych fel hyn:
Listen 80
Listen 443
Listen 9997
Ar ôl cwblhau'r gosodiadau, mae angen i chi ailgychwyn Apache er mwyn i'r holl newidiadau ddod i rym:
$ sudo systemctl reload apache2
Cam 3: Sefydlu enwau parth
Nesaf, mae angen ichi ychwanegu cofnodion DNS a fydd yn pwyntio at eich gweinydd newydd. Er mwyn rheoli parthau, mae ein Arithmetic of Good Foundation yn defnyddio'r gwasanaeth dns-master.ru, byddwn yn ei ddangos gydag enghraifft.
Mae sefydlu cofnod A ar gyfer y prif barth fel arfer yn cael ei nodi fel a ganlyn (arwydd @
):
Fel arfer nodir y cofnod A ar gyfer is-barthau fel hyn:
Y cyfeiriad IP yw cyfeiriad y gweinydd Linux yr ydym newydd ei greu. Gallwch chi nodi TTL = 3600.
Ar ôl peth amser, bydd yn bosibl ymweld â'ch gwefan, ond am y tro dim ond drwodd http://
. Yn y cam nesaf byddwn yn ychwanegu cefnogaeth https://
.
Cam 4: Sefydlu tystysgrifau SSL am ddim
Gallwch gael tystysgrifau SSL Let's Encrypt am ddim ar gyfer eich prif wefan a'ch holl is-barthau. Gallwch hefyd ffurfweddu eu hadnewyddu awtomatig, sy'n gyfleus iawn. I gael tystysgrifau SSL, gosodwch Certbot ar eich gweinydd:
$ sudo add-apt-repository ppa:certbot/certbot
Gosodwch y pecyn Certbot ar gyfer Apache gan ddefnyddio apt
:
$ sudo apt install python-certbot-apache
Nawr bod Certbot yn barod i'w ddefnyddio, rhedeg y gorchymyn:
$ sudo certbot --apache -d a-dobra.ru -d www.a-dobra.ru -d promo.a-dobra.ru
Mae'r gorchymyn hwn yn lansio certbot, allweddi -d
diffinio enwau'r parthau y dylid rhoi'r dystysgrif ar eu cyfer.
Os mai dyma'r tro cyntaf i chi lansio certbot, gofynnir i chi nodi'ch cyfeiriad e-bost a chytuno i delerau defnyddio'r gwasanaeth. yna bydd certbot yn cysylltu â'r gweinydd Let's Encrypt ac yna'n gwirio mai chi sy'n rheoli'r parth y gwnaethoch gais am y dystysgrif ar ei gyfer.
Pe bai popeth yn mynd yn dda, bydd certbot yn gofyn sut rydych chi am ffurfweddu cyfluniad HTTPS:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Rydym yn argymell dewis opsiwn 2 a phwyso ENTER. Bydd y cyfluniad yn cael ei ddiweddaru a bydd Apache yn cael ei ailgychwyn i gymhwyso'r newidiadau.
Mae eich tystysgrifau bellach wedi'u llwytho i lawr, eu gosod ac yn gweithio. Ceisiwch ail-lwytho'ch gwefan gyda https:// a byddwch yn gweld yr eicon diogelwch yn eich porwr. Os ydych chi'n profi eich gweinydd
Dim ond am 90 diwrnod y mae tystysgrifau Let's Encrypt yn ddilys, ond bydd y pecyn certbot yr ydym newydd ei osod yn adnewyddu tystysgrifau yn awtomatig. I brofi'r broses ddiweddaru, gallwn wneud rhediad sych o certbot:
$ sudo certbot renew --dry-run
Os na welwch unrhyw wallau o ganlyniad i redeg y gorchymyn hwn, yna mae popeth yn gweithio!
Cam 5: Cyrchwch MySQL a phpMyAdmin
Mae llawer o wefannau yn defnyddio cronfeydd data. Mae'r offeryn phpMyAdmin ar gyfer rheoli cronfa ddata eisoes wedi'i osod ar ein gweinydd. I gael mynediad iddo, ewch i'ch porwr gan ddefnyddio dolen fel:
https://<ip-адрес сервера>:9997
Gellir cael y cyfrinair ar gyfer mynediad gwraidd yn eich cyfrif personol MCS (
Cam 6: Sefydlu lanlwytho ffeil trwy SFTP
Bydd datblygwyr yn ei chael hi'n gyfleus uwchlwytho ffeiliau ar gyfer eich gwefan trwy SFTP. I wneud hyn, byddwn yn creu defnyddiwr newydd, galwch ef yn wefeistr:
$ sudo adduser webmaster
Bydd y system yn gofyn i chi osod cyfrinair a rhoi rhywfaint o ddata arall.
Newid perchennog y cyfeiriadur gyda'ch gwefan:
$ sudo chown -R webmaster:webmaster /var/www/a-dobra.ru/public_html
Nawr, gadewch i ni newid y ffurfwedd SSH fel bod gan y defnyddiwr newydd fynediad i SFTP yn unig ac nid y derfynell SSH:
$ sudo nano /etc/ssh/sshd_config
Sgroliwch i ddiwedd y ffeil ffurfweddu ac ychwanegwch y bloc canlynol:
Match User webmaster
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/www/a-dobra.ru
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
Arbedwch y ffeil ac ailgychwyn y gwasanaeth:
$ sudo systemctl restart sshd
Nawr gallwch chi gysylltu â'r gweinydd trwy unrhyw gleient SFTP, er enghraifft, trwy FileZilla.
Cyfanswm
- Nawr rydych chi'n gwybod sut i greu cyfeiriaduron newydd a ffurfweddu gwesteiwyr rhithwir ar gyfer eich gwefannau o fewn yr un gweinydd.
- Gallwch chi greu'r tystysgrifau SSL angenrheidiol yn hawdd - mae'n rhad ac am ddim, a byddant yn cael eu diweddaru'n awtomatig.
- Gallwch weithio'n gyfleus gyda chronfa ddata MySQL trwy'r phpMyAdmin cyfarwydd.
- Nid oes angen llawer o ymdrech i greu cyfrifon SFTP newydd a sefydlu hawliau mynediad. Gellir trosglwyddo cyfrifon o'r fath i ddatblygwyr gwe trydydd parti a gweinyddwyr gwefannau.
- Peidiwch ag anghofio diweddaru'r system o bryd i'w gilydd, ac rydym hefyd yn argymell gwneud copïau wrth gefn - yn MCS gallwch chi gymryd "cipluniau" o'r system gyfan gydag un clic, ac yna, os oes angen, lansio delweddau cyfan.
Wedi defnyddio adnoddau a allai fod yn ddefnyddiol:
Gyda llaw,
Ffynhonnell: hab.com