ענן למטרות צדקה: מדריך הגירה

לפני זמן לא רב, Mail.Ru Cloud Solutions (MCS) ושירות Dobro Mail.Ru השיקו את הפרויקט "ענן לארגוני צדקה", שבזכותם ארגונים ללא מטרות רווח יכולים להשיג את המשאבים של פלטפורמת הענן MCS בחינם. קרן צדקה"אריתמטיקה של טוב» לקח חלק בפרויקט ופרס בהצלחה חלק מהתשתית שלו מבוססת MCS.

לאחר העברת האימות, NPO יכול לקבל קיבולת וירטואלית מ-MCS, אך תצורה נוספת דורשת כישורים מסוימים. בחומר זה, אנו רוצים לשתף הנחיות ספציפיות להגדרת שרת מבוסס אובונטו לינוקס להפעלת אתר הבסיס הראשי ומספר תת-דומיינים באמצעות תעודות SSL בחינם. עבור רבים, זה יהיה מדריך פשוט, אך אנו מקווים שהניסיון שלנו יועיל לעמותות אחרות, ולא רק.

לידיעתך: מה אתה יכול לקבל מ-MCS? 4 מעבדים, 32 GB RAM, 1 TB HDD, אובונטו לינוקס OS, 500 GB אחסון אובייקטים.

שלב 1: הפעל את השרת הווירטואלי

בואו ניגש ישר לעניין וניצור את השרת הווירטואלי שלנו (המכונה "מופע") בחשבון האישי שלך ב-MCS. בחנות האפליקציות, עליך לבחור ולהתקין ערימת LAMP מוכנה, שהיא קבוצה של תוכנות שרת (LAMP = Linux, Apache, MySQL, PHP) הנחוצות להפעלת רוב אתרי האינטרנט.

בחר את תצורת השרת המתאימה וצור מפתח SSH חדש. לאחר לחיצה על כפתור "התקן", ההתקנה של השרת וערימת LAMP תתחיל, זה ייקח זמן מה. המערכת תציע גם להוריד מפתח פרטי למחשב שלך כדי לנהל את המכונה הוירטואלית דרך הקונסולה, לשמור אותה.

לאחר התקנת האפליקציה, בואו נגדיר מיד את חומת האש, זה נעשה גם בחשבון האישי שלכם: עבור לקטע "מחשוב ענן -> מכונות וירטואליות" ובחר "הגדרת חומת האש":

עליך להוסיף הרשאה לתעבורה נכנסת דרך יציאות 80 ו-9997. זה נחוץ בעתיד כדי להתקין תעודות SSL ולעבוד עם phpMyAdmin. כתוצאה מכך, מערכת הכללים צריכה להיראות כך:

כעת אתה יכול להתחבר לשרת שלך באמצעות שורת הפקודה באמצעות פרוטוקול SSH. כדי לעשות זאת, הקלד את הפקודה הבאה, תוך הצבעה על מקש SSH במחשב שלך וכתובת ה-IP החיצונית של השרת שלך (תוכל למצוא אותה בסעיף "מכונות וירטואליות"):

$ ssh -i /путь/к/ключу/key.pem ubuntu@<ip_сервера>

בעת התחברות לשרת בפעם הראשונה, מומלץ להתקין בו את כל העדכונים העדכניים ולאתחל אותו. לשם כך, הפעל את הפקודות הבאות:

$ sudo apt-get update

המערכת תקבל רשימה של עדכונים, תתקין אותם באמצעות פקודה זו ותפעל לפי ההוראות:

$ sudo apt-get upgrade

לאחר התקנת העדכונים, הפעל מחדש את השרת:

$ sudo reboot

שלב 2: הגדר מארחים וירטואליים

עמותות רבות צריכות לתחזק מספר דומיינים או תת-דומיינים בו-זמנית (לדוגמה, אתר ראשי ומספר דפי נחיתה לקמפיינים פרסומיים וכו'). כל זה יכול להיות ממוקם בנוחות על שרת אחד על ידי יצירת מספר מארחים וירטואליים.

ראשית עלינו ליצור מבנה ספריות עבור האתרים שיוצגו למבקרים. בואו ניצור כמה ספריות:

$ sudo mkdir -p /var/www/a-dobra.ru/public_html

$ sudo mkdir -p /var/www/promo.a-dobra.ru/public_html

וציין את הבעלים של המשתמש הנוכחי:

$ sudo chown -R $USER:$USER /var/www/a-dobra.ru/public_html

$ sudo chown -R $USER:$USER /var/www/promo.a-dobra.ru/public_html

משתנה $USER מכיל את שם המשתמש תחתיו אתה מחובר כעת (כברירת מחדל זהו המשתמש ubuntu). כעת המשתמש הנוכחי הוא הבעלים של ספריות public_html שבהן נאחסן את התוכן.

כמו כן, עלינו לערוך מעט את ההרשאות כדי לוודא שמתאפשרת גישת קריאה לספריית האינטרנט המשותפת ולכל הקבצים והתיקיות שהיא מכילה. זה הכרחי כדי שדפי האתר יוצגו כהלכה:

$ sudo chmod -R 755 /var/www

כעת אמורות להיות לשרת האינטרנט שלך את ההרשאות הדרושות לו כדי להציג את התוכן. בנוסף, למשתמש שלך יש כעת את היכולת ליצור תוכן בספריות הנדרשות.

יש כבר קובץ index.php בספריית /var/www/html, בואו נעתיק אותו לספריות החדשות שלנו - זה יהיה התוכן שלנו לעת עתה:

$ cp /var/www/html/index.php /var/www/a-dobra.ru/public_html/index.php

$ cp /var/www/html/index.php /var/www/promo.a-dobra.ru/public_html/index.php

כעת עליך לוודא שהמשתמש יכול לגשת לאתר שלך. לשם כך, תחילה נגדיר את קבצי המארח הווירטואליים, אשר קובעים כיצד שרת האינטרנט של Apache יגיב לבקשות לדומיינים שונים.

כברירת מחדל, ל- Apache יש קובץ מארח וירטואלי 000-default.conf שאנו יכולים להשתמש בו כנקודת התחלה. אנחנו הולכים להעתיק את זה כדי ליצור קבצי מארח וירטואלי עבור כל אחד מהדומיינים שלנו. נתחיל עם דומיין אחד, תגדיר אותו, נעתיק אותו לדומיין אחר, ואז נבצע שוב את העריכות הנדרשות.

תצורת ברירת המחדל של אובונטו דורשת שלכל קובץ מארח וירטואלי יהיה סיומת *.conf.

נתחיל בהעתקת הקובץ עבור הדומיין הראשון:

$ sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/a-dobra.ru.conf

פתח קובץ חדש בעורך עם זכויות שורש:

$ sudo nano /etc/apache2/sites-available/a-dobra.ru.conf

ערוך את הנתונים כדלקמן, תוך ציון יציאה 80, עבור הנתונים שלך ServerAdmin, ServerName, ServerAlias, כמו גם את הנתיב לספריית הבסיס של האתר שלך, שמור את הקובץ (Ctrl+X, ואז Y):

<VirtualHost *:80>
 
    ServerAdmin [email protected]
    ServerName a-dobra.ru
    ServerAlias www.a-dobra.ru
 
    DocumentRoot /var/www/a-dobra.ru/public_html
    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
 
    <Directory /var/www/a-dobra.ru/public_html>
        Options -Indexes +FollowSymLinks +MultiViews
        AllowOverride All
        Require all granted
    </Directory>
 
    <FilesMatch .php$>
        SetHandler "proxy:unix:/var/run/php/php7.2-fpm.sock|fcgi://localhost/"
    </FilesMatch>
 
</VirtualHost>

ServerName מגדיר את הדומיין הראשי, שעליו להתאים לשם המארח הווירטואלי. זה חייב להיות שם הדומיין שלך. שְׁנִיָה, ServerAlias, מגדיר שמות אחרים שיש לפרש כאילו זה היה התחום הראשי. זה נוח לשימוש בשמות דומיין נוספים, למשל באמצעות www.

בואו נעתיק את התצורה הזו עבור מארח אחר וגם נערוך אותה באותו אופן:

$ sudo cp /etc/apache2/sites-available/a-dobra.ru.conf /etc/apache2/sites-available/promo.a-dobra.ru.conf

אתה יכול ליצור מספר מדריכים ומארחים וירטואליים עבור אתרי האינטרנט שלך ככל שתרצה! כעת, לאחר שיצרנו את קבצי המארח הווירטואליים שלנו, עלינו להפעיל אותם. אנו יכולים להשתמש בכלי השירות a2ensite כדי לאפשר כל אחד מהאתרים שלנו כך:

$ sudo a2ensite a-dobra.ru.conf

$ sudo a2ensite promo.a-dobra.ru.conf 

כברירת מחדל, יציאה 80 סגורה ב-LAMP, ונצטרך אותה מאוחר יותר כדי להתקין אישור SSL. אז בואו נערוך מיד את הקובץ ports.conf ואז נפעיל מחדש את Apache:

$ sudo nano /etc/apache2/ports.conf

הוסף שורה חדשה ושמור את הקובץ כך שייראה כך:

Listen 80
Listen 443
Listen 9997

לאחר השלמת ההגדרות, עליך להפעיל מחדש את Apache כדי שכל השינויים ייכנסו לתוקף:

$ sudo systemctl reload apache2

שלב 3: הגדר שמות דומיין

לאחר מכן, עליך להוסיף רשומות DNS שיצביעו על השרת החדש שלך. כדי לנהל דומיינים, קרן Arithmetic of Good שלנו משתמשת בשירות dns-master.ru, נציג זאת עם דוגמה.

הגדרת רשומה A עבור הדומיין הראשי מצוינת בדרך כלל כדלקמן (סימן @):

רשומת A עבור תת-דומיינים מוגדרת בדרך כלל כך:

כתובת ה-IP היא הכתובת של שרת לינוקס שיצרנו זה עתה. אתה יכול לציין TTL = 3600.

לאחר זמן מה, ניתן יהיה לבקר באתר שלך, אך לעת עתה רק דרך http://. בשלב הבא נוסיף תמיכה https://.

שלב 4: הגדר אישורי SSL בחינם

אתה יכול לקבל בחינם תעודות SSL של Let's Encrypt עבור האתר הראשי שלך וכל תת-הדומיינים. אתה יכול גם להגדיר את החידוש האוטומטי שלהם, וזה מאוד נוח. כדי לקבל אישורי SSL, התקן את Certbot בשרת שלך:

$ sudo add-apt-repository ppa:certbot/certbot

התקן את חבילת Certbot עבור Apache באמצעות apt:

$ sudo apt install python-certbot-apache 

כעת Certbot מוכן לשימוש, הפעל את הפקודה:

$ sudo certbot --apache -d a-dobra.ru -d www.a-dobra.ru -d promo.a-dobra.ru

פקודה זו מריץ את certbot, keys -d להגדיר את שמות הדומיינים שעבורם יש להנפיק את האישור.

אם זו הפעם הראשונה שאתה מפעיל את certbot, תתבקש להזין את כתובת הדוא"ל שלך ולהסכים לתנאי השימוש בשירות. לאחר מכן, certbot ייצור קשר עם שרת Let's Encrypt ולאחר מכן יוודא שאתה באמת שולט בדומיין שעבורו ביקשת את האישור.

אם הכל הלך כשורה, certbot ישאל איך אתה רוצה להגדיר את תצורת ה-HTTPS:

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

אנו ממליצים לבחור באפשרות 2 וללחוץ על ENTER. התצורה תעודכן ו- Apache יופעל מחדש כדי להחיל את השינויים.

כעת האישורים שלך מורידים, מותקנים ופועלים. נסה לטעון מחדש את האתר שלך עם https:// ותראה את סמל האבטחה בדפדפן שלך. אם אתה בודק את השרת שלך מבחן שרת SSL Labs, הוא יקבל ציון א'.

תעודות Let's Encrypt תקפות ל-90 יום בלבד, אך חבילת ה-certbot שהתקנו זה עתה תחדש את האישורים באופן אוטומטי. כדי לבדוק את תהליך העדכון, אנו יכולים לבצע ריצה יבשה של certbot:

$ sudo certbot renew --dry-run 

אם אינך רואה שגיאות כתוצאה מהפעלת פקודה זו, אז הכל עובד!

שלב 5: גש ל-MySQL ו-phpMyAdmin

אתרי אינטרנט רבים משתמשים במאגרי מידע. הכלי phpMyAdmin לניהול מסדי נתונים כבר מותקן בשרת שלנו. כדי לגשת אליו, עבור אל הדפדפן שלך באמצעות קישור כמו:

https://<ip-адрес сервера>:9997

את הסיסמה לגישה לשורש ניתן לקבל בחשבון האישי שלך ב-MCS (https://mcs.mail.ru/app/services/marketplace/apps/). אל תשכח לשנות את סיסמת השורש שלך בפעם הראשונה שאתה מתחבר!

שלב 6: הגדר העלאת קבצים באמצעות SFTP

למפתחים יהיה נוח להעלות קבצים לאתר שלך באמצעות SFTP. לשם כך, ניצור משתמש חדש, קרא לו מנהל האתר:

$ sudo adduser webmaster

המערכת תבקש ממך להגדיר סיסמה ולהזין כמה נתונים אחרים.

שינוי הבעלים של הספרייה עם האתר שלך:

$ sudo chown -R webmaster:webmaster /var/www/a-dobra.ru/public_html

כעת נשנה את תצורת SSH כך שלמשתמש החדש תהיה גישה רק ל-SFTP ולא למסוף SSH:

$ sudo nano /etc/ssh/sshd_config

גלול עד הסוף של קובץ התצורה והוסף את הבלוק הבא:

Match User webmaster
ForceCommand internal-sftp
PasswordAuthentication yes
ChrootDirectory /var/www/a-dobra.ru
PermitTunnel no
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no

שמור את הקובץ והפעל מחדש את השירות:

$ sudo systemctl restart sshd

עכשיו אתה יכול להתחבר לשרת דרך כל לקוח SFTP, למשל, דרך FileZilla.

סך הכל

1. עכשיו אתה יודע איך ליצור ספריות חדשות ולהגדיר מארחים וירטואליים עבור אתרי האינטרנט שלך באותו שרת.
2. אתה יכול בקלות ליצור את אישורי ה-SSL הדרושים - זה בחינם, והם יתעדכנו אוטומטית.
3. אתה יכול לעבוד בנוחות עם מסד הנתונים של MySQL דרך ה-phpMyAdmin המוכר.
4. יצירת חשבונות SFTP חדשים והגדרת זכויות גישה אינם דורשים מאמץ רב. ניתן להעביר חשבונות כאלה למפתחי אינטרנט ומנהלי אתרים של צד שלישי.
5. אל תשכח לעדכן את המערכת מעת לעת, ואנו ממליצים גם לבצע גיבויים - ב-MCS אתה יכול לצלם "תמונות" של כל המערכת בלחיצה אחת, ולאחר מכן, במידת הצורך, להפעיל תמונות שלמות.

משאבים משומשים שעשויים להיות שימושיים:

https://www.digitalocean.com/community/tutorials/apache-ubuntu-14-04-lts-ru
https://www.digitalocean.com/community/tutorials/apache-let-s-encrypt-ubuntu-18-04-ru
https://www.digitalocean.com/community/tutorials/how-to-enable-sftp-without-shell-access-on-ubuntu-18-04

אגב, כאן אתה יכול לקרוא ב-VC כיצד הקרן שלנו פרסה פלטפורמה לחינוך מקוון ליתומים המבוססת על ענן MCS.

מקור: www.habr.com