O chionn ghoirid, chuir Mail.Ru Cloud Solutions (MCS) agus seirbheis Dobro Mail.Ru am pròiseact air bhog “”, le taing dha na buidhnean neo-phrothaideach as urrainn goireasan àrd-ùrlar sgòthan MCS fhaighinn an-asgaidh. Bunait Carthannach"» ghabh e pàirt sa phròiseact agus chuir e gu soirbheachail pàirt den bhun-structar aige stèidhichte air MCS.
Às deidh dha a dhol seachad air dearbhadh, faodaidh NPO comas brìgheil fhaighinn bho MCS, ach feumaidh tuilleadh rèiteachaidh teisteanasan sònraichte. Anns an stuth seo, tha sinn airson stiùireadh sònraichte a cho-roinn airson frithealaiche stèidhichte air Ubuntu Linux a stèidheachadh gus am prìomh làrach-lìn bunaiteach a ruith agus grunn fo-roinnean a’ cleachdadh teisteanasan SSL an-asgaidh. Dha mòran, bidh seo na stiùireadh sìmplidh, ach tha sinn an dòchas gum bi an t-eòlas againn feumail do bhuidhnean neo-phrothaideach eile, agus chan ann a-mhàin.
FYI: Dè a gheibh thu bho MCS? 4 CPUs, 32 GB RAM, 1 TB HDD, Ubuntu Linux OS, stòradh stuth 500 GB.
Ceum 1: cuir air bhog am frithealaiche brìgheil
Rachamaid gu dìreach chun phuing agus cruthaich sinn ar frithealaiche brìgheil (aka “mar eisimpleir”) anns a’ chunntas pearsanta MCS agad. Ann an stòr nan app, feumaidh tu stac LAMP deiseil a thaghadh agus a stàladh, a tha na sheata de bhathar-bog frithealaiche (LAMP = Linux, Apache, MySQL, PHP) a tha riatanach gus a’ mhòr-chuid de làraich-lìn a ruith.
Tagh an rèiteachadh frithealaiche iomchaidh agus cruthaich iuchair SSH ùr. Às deidh dhut briogadh air a’ phutan “Stàlaich”, tòisichidh stàladh an fhrithealaiche agus stac LAMP, bheir seo beagan ùine. Bidh an siostam cuideachd a’ tabhann iuchair phrìobhaideach a luchdachadh sìos chun choimpiutair agad gus an inneal brìgheil a riaghladh tron chonsól, sàbhail e.
Às deidh dhuinn an tagradh a chuir a-steach, leig dhuinn am balla-teine a stèidheachadh sa bhad, tha seo cuideachd air a dhèanamh sa chunntas pearsanta agad: rachaibh chun roinn “Cloud computing -> Virtual machines” agus tagh “A’ suidheachadh a ’bhalla-teine”:
Feumaidh tu cead a chuir ris airson trafaic a’ tighinn a-steach tro phort 80 agus 9997. Tha seo riatanach san àm ri teachd gus teisteanasan SSL a chuir a-steach agus obrachadh le phpMyAdmin. Mar thoradh air an sin, bu chòir an seata de riaghailtean coimhead mar seo:
A-nis faodaidh tu ceangal ris an t-seirbheisiche agad tron loidhne àithne a’ cleachdadh protocol SSH. Gus seo a dhèanamh, dèan an àithne a leanas, a’ comharrachadh an iuchair SSH air a’ choimpiutair agad agus seòladh IP taobh a-muigh an fhrithealaiche agad (gheibh thu e san roinn “Innealan mas-fhìor”):
$ ssh -i /путь/к/ключу/key.pem ubuntu@<ip_сервера>Nuair a cheanglas tu ris an t-seirbheisiche airson a’ chiad uair, thathas a’ moladh a h-uile ùrachadh gnàthach a chuir a-steach air agus ath-thòiseachadh. Gus seo a dhèanamh, ruith na h-òrdughan a leanas:
$ sudo apt-get updateGheibh an siostam liosta ùrachaidhean, stàlaich iad leis an àithne seo agus lean an stiùireadh:
$ sudo apt-get upgradeÀs deidh dhut na h-ùrachaidhean a stàladh, ath-thòisich am frithealaiche:
$ sudo rebootCeum 2: Stèidhich virtual hosts
Feumaidh mòran neo-phrothaidean grunn raointean no fo-roinnean a chumail aig an aon àm (mar eisimpleir, prìomh làrach-lìn agus grunn dhuilleagan tighinn air tìr airson iomairtean adhartachaidh, msaa). Faodar seo uile a chuir gu goireasach air aon fhrithealaiche le bhith a’ cruthachadh grunn luchd-aoigheachd brìgheil.
An toiseach feumaidh sinn structar eòlaire a chruthachadh airson na làraich a thèid a thaisbeanadh do luchd-tadhail. Cruthaichidh sinn cuid de chlàran:
$ sudo mkdir -p /var/www/a-dobra.ru/public_html$ sudo mkdir -p /var/www/promo.a-dobra.ru/public_htmlAgus sònraich sealbhadair an neach-cleachdaidh làithreach:
$ sudo chown -R $USER:$USER /var/www/a-dobra.ru/public_html$ sudo chown -R $USER:$USER /var/www/promo.a-dobra.ru/public_html
Caochlaideach $USER anns a bheil an t-ainm-cleachdaiche fon bheil thu air logadh a-steach an-dràsta (gu gnàthach is e seo an cleachdaiche ubuntu). A-nis tha sealbh aig a’ chleachdaiche gnàthach air na clàran poblach_html far an glèidh sinn an susbaint.
Feumaidh sinn cuideachd na ceadan a dheasachadh beagan gus dèanamh cinnteach gu bheil ruigsinneachd leughaidh ceadaichte don eòlaire lìn co-roinnte agus na faidhlichean agus na pasganan uile a th’ ann. Tha seo riatanach airson duilleagan na làraich a thaisbeanadh gu ceart:
$ sudo chmod -R 755 /var/wwwBu chòir gum biodh na ceadan aig an t-seirbheisiche lìn agad a-nis gus an susbaint a thaisbeanadh. A bharrachd air an sin, tha comas aig an neach-cleachdaidh agad a-nis susbaint a chruthachadh anns na clàran riatanach.
Tha faidhle index.php mu thràth anns an eòlaire /var/www/html, dèanamaid lethbhreac dheth dha na clàran ùra againn - is e seo an t-susbaint againn an-dràsta:
$ cp /var/www/html/index.php /var/www/a-dobra.ru/public_html/index.php$ cp /var/www/html/index.php /var/www/promo.a-dobra.ru/public_html/index.phpA-nis feumaidh tu dèanamh cinnteach gum faigh an neach-cleachdaidh cothrom air an làrach agad. Gus seo a dhèanamh, rèitichidh sinn an toiseach na faidhlichean aoigheachd brìgheil, a cho-dhùineas mar a dhèiligeas frithealaiche lìn Apache ri iarrtasan gu diofar raointean.
Gu gnàthach, tha faidhle aoigheachd brìgheil aig Apache 000-default.conf as urrainn dhuinn a chleachdadh mar thoiseach tòiseachaidh. Tha sinn a’ dol a chopaigeadh seo gus faidhlichean aoigheachd brìgheil a chruthachadh airson gach aon de na raointean againn. Tòisichidh sinn le aon àrainn, rèitichidh sinn e, dèan lethbhreac dheth gu àrainn eile, agus an uairsin nì sinn na deasachaidhean riatanach a-rithist.
Feumaidh rèiteachadh bunaiteach Ubuntu gum bi leudachan * .conf aig gach faidhle aoigheachd mas-fhìor.
Feuch an tòisich sinn le bhith a 'dèanamh lethbhreac den fhaidhle airson a' chiad àrainn:
$ sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/a-dobra.ru.confFosgail faidhle ùr ann an deasaiche le còraichean freumha:
$ sudo nano /etc/apache2/sites-available/a-dobra.ru.conf
Deasaich an dàta mar a leanas, a 'sònrachadh port 80, an dàta agad airson ServerAdmin, ServerName, ServerAlias, a bharrachd air an t-slighe gu eòlaire freumh na làraich agad, sàbhail am faidhle (Ctrl + X, an uairsin Y):
<VirtualHost *:80>
ServerAdmin [email protected]
ServerName a-dobra.ru
ServerAlias www.a-dobra.ru
DocumentRoot /var/www/a-dobra.ru/public_html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
<Directory /var/www/a-dobra.ru/public_html>
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Require all granted
</Directory>
<FilesMatch .php$>
SetHandler "proxy:unix:/var/run/php/php7.2-fpm.sock|fcgi://localhost/"
</FilesMatch>
</VirtualHost>
ServerName a’ suidheachadh a’ phrìomh àrainn, a dh’ fheumas a bhith co-ionnan ris an ainm aoigheachd mas-fhìor. Feumaidh gur e seo an t-ainm fearainn agad. An dàrna, ServerAlias, a’ mìneachadh ainmean eile a bu chòir a mhìneachadh mar gum b’ e am prìomh raon a bh’ ann. Tha seo goireasach airson ainmean fearainn a bharrachd a chleachdadh, mar eisimpleir a’ cleachdadh www.
Dèanamaid lethbhreac den rèiteachadh seo airson aoigheachd eile agus deasaich sinn e san aon dòigh:
$ sudo cp /etc/apache2/sites-available/a-dobra.ru.conf /etc/apache2/sites-available/promo.a-dobra.ru.confFaodaidh tu na h-uimhir de chlàran agus luchd-aoigheachd brìgheil a chruthachadh airson na làraich-lìn agad agus a thogras tu! A-nis gu bheil sinn air na faidhlichean aoigheachd brìgheil againn a chruthachadh, feumaidh sinn an comasachadh. Is urrainn dhuinn an goireas a2ensite a chleachdadh gus gach aon de na làraich againn mar seo a chomasachadh:
$ sudo a2ensite a-dobra.ru.conf$ sudo a2ensite promo.a-dobra.ru.conf Gu gnàthach, tha port 80 dùinte ann an LAMP, agus bidh feum againn air nas fhaide air adhart gus teisteanas SSL a chuir a-steach. Mar sin deasaichidh sinn am faidhle ports.conf sa bhad agus an uairsin ath-thòiseachadh Apache:
$ sudo nano /etc/apache2/ports.confCuir loidhne ùr ris agus sàbhail am faidhle gus am bi e a’ coimhead mar seo:
Listen 80
Listen 443
Listen 9997Às deidh dhut na roghainnean a chrìochnachadh, feumaidh tu Apache ath-thòiseachadh airson na h-atharrachaidhean gu lèir a thoirt gu buil:
$ sudo systemctl reload apache2Ceum 3: Stèidhich àrainn ainmean
An uairsin, feumaidh tu clàran DNS a chuir ris a chomharraicheas an t-seirbheisiche ùr agad. Gus raointean a riaghladh, bidh ar Arithmetic of Good Foundation a’ cleachdadh an t-seirbheis dns-master.ru, seallaidh sinn e le eisimpleir.
Mar as trice tha stèidheachadh clàr-A airson a’ phrìomh raon air a chomharrachadh mar a leanas (soidhne @):
Mar as trice tha an clàr A airson subdomains air a shònrachadh mar seo:
Is e an seòladh IP seòladh an fhrithealaiche Linux a chruthaich sinn. Faodaidh tu TTL = 3600 a shònrachadh.
Às deidh beagan ùine, bidh e comasach tadhal air an làrach agad, ach airson a-nis dìreach troimhe http://. Anns an ath cheum cuiridh sinn taic ris https://.
Ceum 4: Stèidhich teisteanasan SSL an-asgaidh
Gheibh thu teisteanasan Let's Encrypt SSL an-asgaidh airson do phrìomh làrach agus gach subdomains. Faodaidh tu cuideachd an ùrachadh fèin-ghluasadach aca a rèiteachadh, a tha gu math goireasach. Gus teisteanasan SSL fhaighinn, stàlaich Certbot air an fhrithealaiche agad:
$ sudo add-apt-repository ppa:certbot/certbot
Stàlaich am pasgan Certbot airson Apache a 'cleachdadh apt:
$ sudo apt install python-certbot-apache A-nis tha Certbot deiseil airson a chleachdadh, ruith an àithne:
$ sudo certbot --apache -d a-dobra.ru -d www.a-dobra.ru -d promo.a-dobra.ru
Bidh an àithne seo a’ ruith certbot, iuchraichean -d mìneachadh ainmean nan raointean airson am bu chòir an teisteanas a thoirt seachad.
Mas e seo a’ chiad uair a chuireas tu certbot air bhog, thèid iarraidh ort do sheòladh post-d a chuir a-steach agus aontachadh ri teirmichean cleachdaidh na seirbheis. cuiridh certbot an uairsin fios chun an fhrithealaiche Let's Encrypt agus an uairsin dearbhaich gu bheil smachd agad air an àrainn air an do dh'iarr thu an teisteanas.
Ma chaidh a h-uile càil gu math, faighnichidh certbot ciamar a tha thu airson an rèiteachadh HTTPS a rèiteachadh:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):Tha sinn a’ moladh roghainn 2 a thaghadh agus putadh ENTER. Thèid an rèiteachadh ùrachadh agus thèid Apache ath-thòiseachadh gus na h-atharrachaidhean a chuir an sàs.
Tha na teisteanasan agad a-nis air an luchdachadh sìos, air an stàladh agus ag obair. Feuch ris an làrach agad ath-luchdachadh le https:// agus chì thu an ìomhaigh tèarainteachd sa bhrobhsair agad. Ma nì thu deuchainn air an fhrithealaiche agad , gheibh e ìre A.
Chan eil teisteanasan Let's Encrypt dligheach ach airson 90 latha, ach bidh am pasgan certbot a chuir sinn a-steach dìreach ag ùrachadh theisteanasan gu fèin-ghluasadach. Gus am pròiseas ùrachaidh a dhearbhadh, is urrainn dhuinn ruith tioram de certbot a dhèanamh:
$ sudo certbot renew --dry-run Mura faic thu mearachdan sam bith mar thoradh air a bhith a’ ruith an àithne seo, tha a h-uile càil ag obair!
Ceum 5: Faigh cothrom air MySQL agus phpMyAdmin
Bidh mòran làraich-lìn a’ cleachdadh stòran-dàta. Tha an inneal phpMyAdmin airson stiùireadh stòr-dàta air a chuir a-steach air an t-seirbheisiche againn mu thràth. Gus faighinn thuige, rachaibh chun bhrobhsair agad a’ cleachdadh ceangal mar:
https://<ip-адрес сервера>:9997Faodar am facal-faire airson ruigsinneachd freumh fhaighinn sa chunntas pearsanta MCS agad (). Na dìochuimhnich am facal-faire bunaiteach agad atharrachadh a’ chiad uair a logas tu a-steach!
Ceum 6: Stèidhich luchdachadh suas faidhle tro SFTP
Bidh e goireasach do luchd-leasachaidh faidhlichean a luchdachadh suas airson an làrach-lìn agad tro SFTP. Gus seo a dhèanamh, cruthaichidh sinn cleachdaiche ùr, cuir fios thuige maighstir-lìn:
$ sudo adduser webmasterIarraidh an siostam ort facal-faire a shuidheachadh agus dàta eile a chuir a-steach.
Ag atharrachadh sealbhadair an eòlaire leis an làrach-lìn agad:
$ sudo chown -R webmaster:webmaster /var/www/a-dobra.ru/public_htmlA-nis atharraichidh sinn an rèiteachadh SSH gus nach bi cothrom aig an neach-cleachdaidh ùr ach air SFTP agus chan e an ceann-uidhe SSH:
$ sudo nano /etc/ssh/sshd_configScrollaich gu deireadh an fhaidhle rèiteachaidh agus cuir ris a’ bhloc a leanas:
Match User webmaster
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/www/a-dobra.ru
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding noSàbhail am faidhle agus ath-thòisich an t-seirbheis:
$ sudo systemctl restart sshdA-nis faodaidh tu ceangal ris an fhrithealaiche tro neach-dèiligidh SFTP sam bith, mar eisimpleir, tro FileZilla.
An toradh
- A-nis tha fios agad mar a chruthaicheas tu clàran ùra agus mar a chruthaicheas tu luchd-aoigheachd brìgheil airson na làraich-lìn agad taobh a-staigh an aon fhrithealaiche.
- Is urrainn dhut na teisteanasan SSL riatanach a chruthachadh gu furasta - tha e an-asgaidh, agus thèid an ùrachadh gu fèin-ghluasadach.
- Faodaidh tu obrachadh gu goireasach leis an stòr-dàta MySQL tron phpMyAdmin air a bheil thu eòlach.
- Chan eil feum air mòran oidhirp gus cunntasan SFTP ùra a chruthachadh agus còraichean-slighe a stèidheachadh. Faodar cunntasan mar seo a ghluasad gu luchd-leasachaidh lìn treas-phàrtaidh agus rianadairean làraich.
- Na dìochuimhnich an siostam ùrachadh bho àm gu àm, agus tha sinn cuideachd a ’moladh cùl-taic a dhèanamh - ann am MCS faodaidh tu“ dealbhan ”a ghabhail den t-siostam gu lèir le aon bhriogadh, agus an uairsin, ma tha sin riatanach, cuir air bhog ìomhaighean slàn.
Stòran a dh’ fhaodadh a bhith feumail:
Air an t-slighe, Faodaidh tu leughadh air VC mar a chleachd ar bun-stèidh àrd-ùrlar airson foghlam air-loidhne do dhìlleachdan stèidhichte air sgòth MCS.
Source: www.habr.com