ProHoster > Blog > διαχείριση > Αυτοματοποίηση εγκατάστασης WordPress με μονάδα NGINX και Ubuntu
Αυτοματοποίηση εγκατάστασης WordPress με μονάδα NGINX και Ubuntu
Υπάρχουν πολλά μαθήματα για το πώς να εγκαταστήσετε το WordPress, μια αναζήτηση στο Google για "εγκατάσταση του WordPress" θα εμφανίσει περίπου μισό εκατομμύριο αποτελέσματα. Ωστόσο, στην πραγματικότητα, υπάρχουν πολύ λίγοι καλοί οδηγοί ανάμεσά τους, σύμφωνα με τους οποίους μπορείτε να εγκαταστήσετε και να διαμορφώσετε το WordPress και το υποκείμενο λειτουργικό σύστημα έτσι ώστε να είναι σε θέση να υποστηρίξουν για μεγάλο χρονικό διάστημα. Ίσως οι σωστές ρυθμίσεις να εξαρτώνται σε μεγάλο βαθμό από συγκεκριμένες ανάγκες ή αυτό οφείλεται στο γεγονός ότι μια λεπτομερής εξήγηση κάνει το άρθρο δυσανάγνωστο.
Σε αυτό το άρθρο, θα προσπαθήσουμε να συγκεντρώσουμε τα καλύτερα και των δύο κόσμων, παρέχοντας ένα σενάριο bash για να εγκαταστήσετε αυτόματα το WordPress στο Ubuntu και να το περπατήσουμε, εξηγώντας τι κάνει κάθε κομμάτι και τις ανταλλαγές που κάναμε στη σχεδίασή του. Εάν είστε προχωρημένος χρήστης, μπορείτε να παραλείψετε το κείμενο του άρθρου και απλώς πάρτε το σενάριο για τροποποίηση και χρήση στο περιβάλλον σας. Η έξοδος του σεναρίου είναι μια προσαρμοσμένη εγκατάσταση WordPress με υποστήριξη Lets Encrypt, που εκτελείται σε μονάδα NGINX και είναι κατάλληλη για παραγωγική χρήση.
Η ανεπτυγμένη αρχιτεκτονική για την ανάπτυξη του WordPress χρησιμοποιώντας τη μονάδα NGINX περιγράφεται στο παλαιότερο άρθρο, τώρα θα διαμορφώσουμε περαιτέρω πράγματα που δεν καλύπτονταν εκεί (όπως σε πολλά άλλα σεμινάρια):
WordPress CLI
Ας κρυπτογραφήσουμε και τα πιστοποιητικά TLSSSL
Αυτόματη ανανέωση πιστοποιητικών
NGINX Caching
Συμπίεση NGINX
Υποστήριξη HTTPS και HTTP/2
Αυτοματισμός Διαδικασιών
Το άρθρο θα περιγράψει την εγκατάσταση σε έναν διακομιστή, ο οποίος θα φιλοξενεί ταυτόχρονα έναν διακομιστή στατικής επεξεργασίας, έναν διακομιστή επεξεργασίας PHP και μια βάση δεδομένων. Μια εγκατάσταση που υποστηρίζει πολλαπλούς εικονικούς κεντρικούς υπολογιστές και υπηρεσίες είναι ένα πιθανό θέμα για το μέλλον. Αν θέλετε να γράψουμε για κάτι που δεν υπάρχει σε αυτά τα άρθρα, γράψτε στα σχόλια.
Απαιτήσεις
Διακομιστής κοντέινερ (LXC ή Lxd), μια εικονική μηχανή ή έναν κανονικό σιδερένιο διακομιστή με τουλάχιστον 512 MB μνήμης RAM και εγκατεστημένο το Ubuntu 18.04 ή νεότερο.
Προσβάσιμες στο Διαδίκτυο θύρες 80 και 443
Το όνομα τομέα που σχετίζεται με τη δημόσια διεύθυνση IP αυτού του διακομιστή
Πρόσβαση με δικαιώματα root (sudo).
Επισκόπηση Αρχιτεκτονικής
Η αρχιτεκτονική είναι η ίδια που περιγράφεται νωρίτερα, μια διαδικτυακή εφαρμογή τριών επιπέδων. Αποτελείται από σενάρια PHP που εκτελούνται στη μηχανή PHP και στατικά αρχεία που επεξεργάζονται ο διακομιστής Ιστού.
Γενικές αρχές
Πολλές εντολές διαμόρφωσης σε ένα σενάριο είναι τυλιγμένες σε συνθήκες ανικανότητας: το σενάριο μπορεί να εκτελεστεί πολλές φορές χωρίς τον κίνδυνο αλλαγής ρυθμίσεων που είναι ήδη έτοιμες.
Το σενάριο προσπαθεί να εγκαταστήσει λογισμικό από αποθετήρια, ώστε να μπορείτε να εφαρμόσετε ενημερώσεις συστήματος με μία εντολή (apt upgrade για το Ubuntu).
Οι εντολές προσπαθούν να εντοπίσουν ότι εκτελούνται σε ένα κοντέινερ, ώστε να μπορούν να αλλάξουν τις ρυθμίσεις τους ανάλογα.
Για να ορίσετε τον αριθμό των διεργασιών νημάτων που θα ξεκινήσουν στις ρυθμίσεις, το σενάριο προσπαθεί να μαντέψει τις αυτόματες ρυθμίσεις για εργασία σε κοντέινερ, εικονικές μηχανές και διακομιστές υλικού.
Όταν περιγράφουμε ρυθμίσεις, πάντα σκεφτόμαστε πρώτα απ 'όλα την αυτοματοποίηση, η οποία, ελπίζουμε, θα γίνει η βάση για τη δημιουργία της δικής σας υποδομής ως κώδικα.
Όλες οι εντολές εκτελούνται ως χρήστης ρίζα, επειδή αλλάζουν τις βασικές ρυθμίσεις συστήματος, αλλά απευθείας το WordPress εκτελείται ως κανονικός χρήστης.
Ρύθμιση μεταβλητών περιβάλλοντος
Ορίστε τις ακόλουθες μεταβλητές περιβάλλοντος πριν εκτελέσετε το σενάριο:
WORDPRESS_URL είναι η πλήρης διεύθυνση URL του ιστότοπου WordPress, ξεκινώντας από https://.
LETS_ENCRYPT_STAGING - κενό από προεπιλογή, αλλά ορίζοντας την τιμή σε 1, θα χρησιμοποιήσετε τους διακομιστές φάσης Let's Encrypt, οι οποίοι είναι απαραίτητοι για τα συχνά αιτήματα πιστοποιητικών κατά τον έλεγχο των ρυθμίσεών σας, διαφορετικά το Let's Encrypt ενδέχεται να αποκλείσει προσωρινά τη διεύθυνση IP σας λόγω μεγάλου αριθμού αιτημάτων .
Το σενάριο ελέγχει ότι αυτές οι μεταβλητές που σχετίζονται με το WordPress έχουν οριστεί και εξέρχεται εάν δεν έχουν οριστεί.
Οι γραμμές δέσμης ενεργειών 572-576 ελέγχουν την τιμή LETS_ENCRYPT_STAGING.
Ρύθμιση παραγόμενων μεταβλητών περιβάλλοντος
Το σενάριο στις γραμμές 55-61 ορίζει τις ακόλουθες μεταβλητές περιβάλλοντος, είτε σε κάποια κωδικοποιημένη τιμή είτε χρησιμοποιώντας μια τιμή που λαμβάνεται από τις μεταβλητές που ορίστηκαν στην προηγούμενη ενότητα:
DEBIAN_FRONTEND="noninteractive" - Λέει στις εφαρμογές ότι εκτελούνται σε σενάριο και ότι δεν υπάρχει δυνατότητα αλληλεπίδρασης με τον χρήστη.
WORDPRESS_CLI_VERSION="2.4.0" είναι η έκδοση της εφαρμογής WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — άθροισμα ελέγχου του εκτελέσιμου αρχείου WordPress CLI 2.4.0 (η έκδοση καθορίζεται στη μεταβλητή WORDPRESS_CLI_VERSION). Το σενάριο στη γραμμή 162 χρησιμοποιεί αυτήν την τιμή για να ελέγξει ότι έχει γίνει λήψη του σωστού αρχείου CLI του WordPress.
UPLOAD_MAX_FILESIZE="16M" — το μέγιστο μέγεθος αρχείου που μπορεί να μεταφορτωθεί στο WordPress. Αυτή η ρύθμιση χρησιμοποιείται σε πολλά σημεία, επομένως είναι πιο εύκολο να τη ρυθμίσετε σε ένα μέρος.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - όνομα κεντρικού υπολογιστή του συστήματος, που ανακτήθηκε από τη μεταβλητή WORDPRESS_URL. Χρησιμοποιείται για την απόκτηση κατάλληλων πιστοποιητικών TLS/SSL από το Let's Encrypt καθώς και για εσωτερική επαλήθευση WordPress.
NGINX_CONF_DIR="/etc/nginx" — διαδρομή προς τον κατάλογο με ρυθμίσεις NGINX, συμπεριλαμβανομένου του κύριου αρχείου nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — η διαδρομή προς τα πιστοποιητικά Let's Encrypt για τον ιστότοπο WordPress, που λαμβάνεται από τη μεταβλητή TLS_HOSTNAME.
Εκχώρηση ονόματος κεντρικού υπολογιστή σε διακομιστή WordPress
Το σενάριο ορίζει το όνομα κεντρικού υπολογιστή του διακομιστή ώστε να ταιριάζει με το όνομα τομέα του ιστότοπου. Αυτό δεν απαιτείται, αλλά είναι πιο βολικό να στέλνετε εξερχόμενη αλληλογραφία μέσω SMTP όταν ρυθμίζετε έναν μεμονωμένο διακομιστή, όπως έχει διαμορφωθεί από το σενάριο.
κώδικας σεναρίου
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Προσθήκη ονόματος κεντρικού υπολογιστή στο /etc/hosts
Πρόσθεση WP-Cron χρησιμοποιείται για την εκτέλεση περιοδικών εργασιών, απαιτεί από το WordPress να μπορεί να έχει πρόσβαση μόνο του μέσω HTTP. Για να βεβαιωθείτε ότι το WP-Cron λειτουργεί σωστά σε όλα τα περιβάλλοντα, το σενάριο προσθέτει μια γραμμή στο αρχείο / Etc / hostsέτσι ώστε το WordPress να έχει πρόσβαση μόνο του μέσω της διεπαφής loopback:
κώδικας σεναρίου
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Εγκατάσταση των εργαλείων που απαιτούνται για τα επόμενα βήματα
Το υπόλοιπο σενάριο χρειάζεται κάποια προγράμματα και υποθέτει ότι τα αποθετήρια είναι ενημερωμένα. Ενημερώνουμε τη λίστα των αποθετηρίων, μετά την οποία εγκαθιστούμε τα απαραίτητα εργαλεία:
κώδικας σεναρίου
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Προσθήκη μονάδας NGINX και αποθετηρίων NGINX
Το σενάριο εγκαθιστά το NGINX Unit και το NGINX ανοιχτού κώδικα από τα επίσημα αποθετήρια NGINX για να βεβαιωθεί ότι χρησιμοποιούνται οι εκδόσεις με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και διορθώσεις σφαλμάτων.
Το σενάριο προσθέτει το αποθετήριο NGINX Unit και στη συνέχεια το αποθετήριο NGINX, προσθέτοντας το κλειδί αποθετηρίων και τα αρχεία ρυθμίσεων apt, ορίζοντας την πρόσβαση στα αποθετήρια μέσω του Διαδικτύου.
Η πραγματική εγκατάσταση της μονάδας NGINX και του NGINX γίνεται στην επόμενη ενότητα. Προσθέτουμε εκ των προτέρων τα αποθετήρια, ώστε να μην χρειάζεται να ενημερώνουμε τα μεταδεδομένα πολλές φορές, γεγονός που κάνει την εγκατάσταση πιο γρήγορη.
κώδικας σεναρίου
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Εγκατάσταση NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) και των εξαρτήσεών τους
Μόλις προστεθούν όλα τα αποθετήρια, ενημερώστε τα μεταδεδομένα και εγκαταστήστε τις εφαρμογές. Τα πακέτα που εγκαθίστανται από το σενάριο περιλαμβάνουν επίσης τις επεκτάσεις PHP που συνιστώνται κατά την εκτέλεση του WordPress.org
κώδικας σεναρίου
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Ρύθμιση της PHP για χρήση με το NGINX Unit και το WordPress
Το σενάριο δημιουργεί ένα αρχείο ρυθμίσεων στον κατάλογο conf.d. Αυτό ορίζει το μέγιστο μέγεθος για μεταφορτώσεις PHP, ενεργοποιεί την έξοδο σφαλμάτων PHP σε STDERR, ώστε να εγγραφούν στο αρχείο καταγραφής της μονάδας NGINX και επανεκκινεί τη μονάδα NGINX.
κώδικας σεναρίου
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Καθορισμός ρυθμίσεων βάσης δεδομένων MariaDB για WordPress
Επιλέξαμε το MariaDB έναντι της MySQL επειδή έχει περισσότερη κοινοτική δραστηριότητα και μπορεί επίσης παρέχει καλύτερη απόδοση από προεπιλογή (πιθανώς, όλα είναι πιο απλά εδώ: για να εγκαταστήσετε τη MySQL, πρέπει να προσθέσετε ένα άλλο αποθετήριο, περ. μεταφράστης).
Το σενάριο δημιουργεί μια νέα βάση δεδομένων και δημιουργεί διαπιστευτήρια για πρόσβαση στο WordPress μέσω της διεπαφής loopback:
κώδικας σεναρίου
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Εγκατάσταση του προγράμματος WordPress CLI
Σε αυτό το βήμα, το σενάριο εγκαθιστά το πρόγραμμα WP-CLI. Με αυτό, μπορείτε να εγκαταστήσετε και να διαχειριστείτε τις ρυθμίσεις του WordPress χωρίς να χρειάζεται να επεξεργαστείτε μη αυτόματα αρχεία, να ενημερώσετε τη βάση δεδομένων ή να εισέλθετε στον πίνακα ελέγχου. Μπορεί επίσης να χρησιμοποιηθεί για την εγκατάσταση θεμάτων και πρόσθετων και την ενημέρωση του WordPress.
κώδικας σεναρίου
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Εγκατάσταση και διαμόρφωση WordPress
Το σενάριο εγκαθιστά την πιο πρόσφατη έκδοση του WordPress σε έναν κατάλογο /var/www/wordpressκαι αλλάζει επίσης τις ρυθμίσεις:
Η σύνδεση της βάσης δεδομένων λειτουργεί μέσω μιας υποδοχής τομέα unix αντί για το TCP στο loopback για τη μείωση της επισκεψιμότητας TCP.
Το WordPress προσθέτει ένα πρόθεμα https:// στη διεύθυνση URL εάν οι πελάτες συνδέονται στο NGINX μέσω HTTPS και στέλνουν επίσης το όνομα του απομακρυσμένου κεντρικού υπολογιστή (όπως παρέχεται από το NGINX) στην PHP. Χρησιμοποιούμε ένα κομμάτι κώδικα για να το ρυθμίσουμε.
Το WordPress χρειάζεται HTTPS για σύνδεση
Η προεπιλεγμένη δομή διεύθυνσης URL βασίζεται σε πόρους
Ορίζει τα σωστά δικαιώματα στο σύστημα αρχείων για τον κατάλογο WordPress.
κώδικας σεναρίου
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Ρύθμιση μονάδας NGINX
Το σενάριο διαμορφώνει το NGINX Unit για να εκτελεί PHP και να χειρίζεται διαδρομές WordPress, απομονώνοντας τον χώρο ονομάτων των διεργασιών PHP και βελτιστοποιώντας τις ρυθμίσεις απόδοσης. Υπάρχουν τρία χαρακτηριστικά που αξίζει να προσέξετε:
Η υποστήριξη του χώρου ονομάτων καθορίζεται βάσει συνθήκης, βάσει του ελέγχου ότι το σενάριο εκτελείται στο κοντέινερ. Αυτό είναι απαραίτητο επειδή οι περισσότερες ρυθμίσεις κοντέινερ δεν υποστηρίζουν ένθετη λειτουργία κοντέινερ.
Εάν υπάρχει υποστήριξη για χώρους ονομάτων, απενεργοποιήστε τον χώρο ονομάτων δίκτυο. Αυτό γίνεται για να επιτραπεί στο WordPress να συνδεθεί και στα δύο τελικά σημεία και να είναι ταυτόχρονα διαθέσιμο στον ιστό.
Ο μέγιστος αριθμός διεργασιών ορίζεται ως εξής: (Διαθέσιμη μνήμη για εκτέλεση MariaDB και NGINX Uniy)/(όριο RAM σε PHP + 5)
Αυτή η τιμή ορίζεται στις ρυθμίσεις της μονάδας NGINX.
Αυτή η τιμή υποδηλώνει επίσης ότι εκτελούνται πάντα τουλάχιστον δύο διεργασίες PHP, κάτι που είναι σημαντικό επειδή το WordPress κάνει πολλά ασύγχρονα αιτήματα στον εαυτό του και χωρίς πρόσθετες διεργασίες, η εκτέλεση π.χ. το WP-Cron θα σπάσει. Μπορεί να θέλετε να αυξήσετε ή να μειώσετε αυτά τα όρια με βάση τις τοπικές ρυθμίσεις σας, επειδή οι ρυθμίσεις που δημιουργούνται εδώ είναι συντηρητικές. Στα περισσότερα συστήματα παραγωγής, οι ρυθμίσεις είναι μεταξύ 10 και 100.
κώδικας σεναρίου
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Ρύθμιση του NGINX
Διαμόρφωση Βασικών ρυθμίσεων NGINX
Το σενάριο δημιουργεί έναν κατάλογο για την προσωρινή μνήμη NGINX και στη συνέχεια δημιουργεί το κύριο αρχείο διαμόρφωσης nginx.conf. Δώστε προσοχή στον αριθμό των διαδικασιών χειριστή και στη ρύθμιση μέγιστου μεγέθους αρχείου για λήψη. Υπάρχει επίσης μια γραμμή στην οποία συνδέεται το αρχείο ρυθμίσεων συμπίεσης, που ορίζεται στην επόμενη ενότητα, ακολουθούμενο από ρυθμίσεις προσωρινής αποθήκευσης.
Η συμπίεση περιεχομένου αμέσως πριν την αποστολή του σε πελάτες είναι ένας πολύ καλός τρόπος για να βελτιώσετε την απόδοση του ιστότοπου, αλλά μόνο εάν η συμπίεση έχει ρυθμιστεί σωστά. Αυτή η ενότητα του σεναρίου βασίζεται στις ρυθμίσεις ως εκ τούτου,.
κώδικας σεναρίου
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Ρύθμιση του NGINX για WordPress
Στη συνέχεια, το σενάριο δημιουργεί ένα αρχείο ρυθμίσεων για το WordPress προεπιλογή.conf στον κατάλογο conf.d. Έχει ρυθμιστεί εδώ:
Ενεργοποίηση πιστοποιητικών TLS που λαμβάνονται από το Let's Encrypt μέσω Certbot (η διαμόρφωσή του θα γίνει στην επόμενη ενότητα)
Διαμόρφωση ρυθμίσεων ασφαλείας TLS βάσει συστάσεων από το Let's Encrypt
Ενεργοποίηση προσωρινής αποθήκευσης αιτημάτων παράβλεψης για 1 ώρα από προεπιλογή
Απενεργοποιήστε την καταγραφή πρόσβασης, καθώς και την καταγραφή σφαλμάτων εάν το αρχείο δεν βρεθεί, για δύο κοινά αιτούμενα αρχεία: favicon.ico και robots.txt
Αποτρέψτε την πρόσβαση σε κρυφά αρχεία και ορισμένα αρχεία . Phpγια την αποτροπή παράνομης πρόσβασης ή ακούσιας εκτόξευσης
Απενεργοποιήστε την καταγραφή πρόσβασης για στατικά αρχεία και αρχεία γραμματοσειρών
Προσθήκη δρομολόγησης για index.php και άλλα στατικά.
κώδικας σεναρίου
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Ρύθμιση Certbot για πιστοποιητικά από το Let's Encrypt και αυτόματη ανανέωσή τους
Certbot είναι ένα δωρεάν εργαλείο από το Electronic Frontier Foundation (EFF) που σας επιτρέπει να αποκτάτε και να ανανεώνετε αυτόματα πιστοποιητικά TLS από το Let's Encrypt. Το σενάριο εκτελεί τα ακόλουθα βήματα για να ρυθμίσει το Certbot ώστε να επεξεργάζεται πιστοποιητικά από το Let's Encrypt στο NGINX:
Σταματά το NGINX
Λήψη προτεινόμενων ρυθμίσεων TLS
Εκτελεί το Certbot για να λάβει πιστοποιητικά για τον ιστότοπο
Επανεκκινεί το NGINX για χρήση πιστοποιητικών
Ρυθμίζει τις παραμέτρους του Certbot ώστε να εκτελείται καθημερινά στις 3:24 π.μ. για να ελέγχει εάν τα πιστοποιητικά πρέπει να ανανεωθούν και, εάν είναι απαραίτητο, να κατεβάσετε νέα πιστοποιητικά και να επανεκκινήσετε το NGINX.
κώδικας σεναρίου
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Πρόσθετη προσαρμογή του ιστότοπού σας
Μιλήσαμε παραπάνω για το πώς το σενάριό μας διαμορφώνει το NGINX και το NGINX Unit ώστε να εξυπηρετεί έναν ιστότοπο έτοιμο για παραγωγή με ενεργοποιημένο το TLSSSL. Μπορείτε επίσης, ανάλογα με τις ανάγκες σας, να προσθέσετε στο μέλλον:
υποστήριξη Brotli, βελτιωμένη συμπίεση on-the-fly μέσω HTTPS
Postfix ή msmtp ώστε το WordPress να μπορεί να στέλνει μηνύματα
Έλεγχος του ιστότοπού σας για να καταλάβετε πόση επισκεψιμότητα μπορεί να αντέξει
Για ακόμα καλύτερη απόδοση του ιστότοπου, συνιστούμε την αναβάθμιση σε NGINX Plus, το εμπορικό μας, εταιρικό προϊόν που βασίζεται σε ανοιχτού κώδικα NGINX. Οι συνδρομητές του θα λάβουν μια δυναμικά φορτωμένη μονάδα Brotli, καθώς και (με επιπλέον χρέωση) NGINX ModSecurity WAF. Προσφέρουμε επίσης NGINX App Protect, μια μονάδα WAF για το NGINX Plus που βασίζεται στην κορυφαία τεχνολογία ασφαλείας από το F5.
Σημείωση Για υποστήριξη ενός ιστότοπου με υψηλή φόρτωση, μπορείτε να επικοινωνήσετε με τους ειδικούς Southbridge. Θα διασφαλίσουμε τη γρήγορη και αξιόπιστη λειτουργία της ιστοσελίδας ή της υπηρεσίας σας κάτω από οποιοδήποτε φορτίο.