NGINX Unit 및 Ubuntu로 WordPress 설치 자동화

WordPress 설치에 관한 많은 자료가 있으며 Google에서 “WordPress 설치”를 검색하면 약 XNUMX만 개의 결과가 반환됩니다. 그러나 WordPress와 기본 운영 체제가 장기간 지원될 수 있도록 설치하고 구성하는 데 도움이 되는 유용한 가이드는 실제로 거의 없습니다. 아마도 올바른 설정은 귀하의 특정 요구 사항에 크게 좌우될 수도 있고, 자세한 설명으로 인해 기사를 읽기가 어려워졌을 수도 있습니다.

이 기사에서는 우분투에 WordPress를 자동으로 설치하는 bash 스크립트를 제공하여 두 가지 장점을 모두 결합하려고 노력할 것입니다. 각 부분의 기능과 디자인 시 절충점을 설명하면서 이를 살펴보겠습니다. 그것. 숙련된 사용자라면 기사 본문을 건너뛰고 그냥 사용해도 됩니다. 대본을 받아 귀하의 환경에서 수정 및 사용이 가능합니다. 스크립트의 출력은 Lets Encrypt를 지원하고 NGINX 장치에서 실행되며 산업용으로 적합한 사용자 정의 WordPress 설치입니다.

NGINX 유닛을 사용하여 WordPress를 배포하기 위해 개발된 아키텍처는 다음 항목에 설명되어 있습니다. 오래된 기사, 이제 여기서 다루지 않은 내용도 추가로 구성하겠습니다(다른 많은 튜토리얼에서와 마찬가지로).

• 워드프레스 CLI
• Let's Encrypt 및 TLSSSL 인증서
• 자동 인증서 갱신
• NGINX 캐싱
• NGINX 압축
• HTTPS 및 HTTP/2 지원
• 프로세스 자동화

이 기사에서는 정적 처리 서버, PHP 처리 서버 및 데이터베이스를 동시에 호스팅하는 하나의 서버에 설치하는 방법을 설명합니다. 여러 가상 호스트 및 서비스를 지원하는 설치는 미래의 잠재적인 주제입니다. 이 기사에 없는 내용에 대해 글을 쓰길 원하시면 댓글을 남겨주세요.

요구 사항

• 서버 컨테이너(LXC 또는 Lxd), 최소 512MB RAM 및 Ubuntu 18.04 이상이 최근 설치된 가상 머신 또는 일반 하드웨어 서버.
• 인터넷 접속 가능 포트 80 및 443
• 이 서버의 공용 IP 주소와 연결된 도메인 이름
• 루트 권한(sudo)으로 접근합니다.

아키텍처 개요

아키텍처는 설명과 동일합니다. 이전, XNUMX계층 웹 애플리케이션입니다. 이는 PHP 엔진에서 실행되는 PHP 스크립트와 웹 서버에서 처리되는 정적 파일로 구성됩니다.

일반 원칙

• 스크립트의 많은 구성 명령은 멱등성을 위한 if 조건으로 래핑됩니다. 이미 준비된 설정을 변경할 위험 없이 스크립트를 여러 번 실행할 수 있습니다.
• 스크립트는 리포지토리에서 소프트웨어를 설치하려고 시도하므로 하나의 명령으로 시스템 업데이트를 적용할 수 있습니다(apt upgrade 우분투의 경우).
• 팀은 컨테이너에서 실행 중인지 감지하여 그에 따라 설정을 변경할 수 있습니다.
• 설정에서 시작할 스레드 프로세스 수를 설정하기 위해 스크립트는 컨테이너, 가상 머신 및 하드웨어 서버에서 작동하기 위한 자동 설정을 추측하려고 시도합니다.
• 설정을 설명할 때 우리는 항상 자동화를 먼저 생각합니다. 자동화가 코드형 인프라를 만드는 기초가 되기를 바랍니다.
• 모든 명령은 사용자로부터 실행됩니다. 뿌리, 기본 시스템 설정을 변경하기 때문에 WordPress 자체는 일반 사용자로 실행됩니다.

환경 변수 설정

스크립트를 실행하기 전에 다음 환경 변수를 설정하십시오.

• WORDPRESS_DB_PASSWORD — WordPress 데이터베이스 비밀번호
• WORDPRESS_ADMIN_USER - WordPress 관리자 사용자 이름
• WORDPRESS_ADMIN_PASSWORD - WordPress 관리자 비밀번호
• WORDPRESS_ADMIN_EMAIL — WordPress 관리자 이메일
• WORDPRESS_URL – 다음으로 시작하는 WordPress 사이트의 전체 URL https://.
• LETS_ENCRYPT_STAGING — 기본적으로 비어 있지만 값을 1로 설정하면 설정을 테스트할 때 인증서를 자주 요청하는 데 필요한 Let's Encrypt의 스테이징 서버를 사용하게 됩니다. 그렇지 않으면 많은 요청으로 인해 Let's Encrypt가 일시적으로 IP 주소를 차단할 수 있습니다.

스크립트는 이러한 WordPress 관련 변수가 설정되어 있는지 확인하고 그렇지 않은 경우 종료됩니다.
스크립트 줄 572-576에서 값을 확인합니다. LETS_ENCRYPT_STAGING.

파생 환경 변수 설정

55-61행의 스크립트는 하드 코딩된 값이나 이전 섹션에서 설정된 변수에서 파생된 값을 사용하여 다음 환경 변수를 설정합니다.

• DEBIAN_FRONTEND="noninteractive" — 응용 프로그램이 스크립트에서 실행 중이며 사용자 상호 작용 가능성이 없음을 알려줍니다.
• WORDPRESS_CLI_VERSION="2.4.0" — 애플리케이션의 WordPress CLI 버전입니다.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — WordPress CLI 2.4.0 실행 파일의 체크섬(버전은 변수에 표시됨) WORDPRESS_CLI_VERSION). 162행의 스크립트는 이 값을 사용하여 올바른 WordPress CLI 파일이 다운로드되었는지 확인합니다.
• UPLOAD_MAX_FILESIZE="16M" — WordPress에 업로드할 수 있는 최대 파일 크기입니다. 이 설정은 여러 곳에서 사용되기 때문에 한 곳에서 설정하는 것이 더 쉽습니다.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — WORDPRESS_URL 변수에서 추출된 시스템 호스트 이름. 내부 WordPress 확인뿐만 아니라 Let's Encrypt에서 적절한 TLS/SSL 인증서를 얻는 데 사용됩니다.
• NGINX_CONF_DIR="/etc/nginx" — 기본 파일을 포함하여 NGINX 설정이 있는 디렉터리 경로 nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — 변수에서 얻은 WordPress 사이트의 Let's Encrypt 인증서 경로 TLS_HOSTNAME.

WordPress 서버에 호스트 이름 할당

스크립트는 값이 사이트의 도메인 이름과 일치하도록 서버의 호스트 이름을 설정합니다. 꼭 필요한 것은 아니지만, 스크립트에서 구성한 대로 단일 서버를 설정할 때 SMTP를 통해 보내는 메일을 보내는 것이 더 편리합니다.

스크립트 코드

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

/etc/hosts에 호스트 이름 추가

부가 WP-크론 정기적인 작업을 실행하는 데 사용되며 WordPress가 HTTP를 통해 자체적으로 액세스할 수 있어야 합니다. WP-Cron이 모든 환경에서 올바르게 작동하는지 확인하기 위해 스크립트는 파일에 한 줄을 추가합니다. 은 / etc / 호스트WordPress가 루프백 인터페이스를 통해 자체적으로 액세스할 수 있도록 다음을 수행합니다.

스크립트 코드

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

후속 단계에 필요한 도구 설치

나머지 스크립트에는 일부 프로그램이 필요하며 저장소가 최신 상태라고 가정합니다. 리포지토리 목록을 업데이트한 다음 필요한 도구를 설치합니다.

스크립트 코드

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

NGINX 유닛 및 NGINX 리포지토리 추가

이 스크립트는 공식 NGINX 리포지토리에서 NGINX 유닛과 오픈 소스 NGINX를 설치하여 최신 보안 업데이트 및 버그 수정이 포함된 버전이 사용되도록 합니다.

스크립트는 NGINX 단위 저장소를 추가한 다음 NGINX 저장소를 추가하고 저장소 키와 설정 파일을 추가합니다. apt, 인터넷을 통한 저장소에 대한 액세스를 정의합니다.

NGINX 장치와 NGINX의 실제 설치는 다음 섹션에서 진행됩니다. 메타데이터를 여러 번 업데이트하지 않도록 리포지토리를 미리 추가하여 설치 속도를 높입니다.

스크립트 코드

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

NGINX, NGINX 유닛, PHP MariaDB, Certbot(Let's Encrypt) 및 해당 종속성 설치

모든 리포지토리가 추가되면 메타데이터를 업데이트하고 애플리케이션을 설치합니다. 스크립트로 설치된 패키지에는 WordPress.org를 실행할 때 권장되는 PHP 확장도 포함되어 있습니다.

스크립트 코드

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

NGINX 유닛 및 WordPress와 함께 사용할 PHP 설정

스크립트는 디렉터리에 설정 파일을 생성합니다. conf.d. 이는 PHP의 최대 파일 업로드 크기를 설정하고, PHP 오류를 STDERR로 출력하여 NGINX 장치에 기록되고 NGINX 장치를 다시 시작합니다.

스크립트 코드

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

WordPress용 MariaDB 데이터베이스 설정 지정

우리는 MySQL 대신 MariaDB를 선택했습니다. 왜냐하면 커뮤니티 활동이 더 많고 기본적으로 더 나은 성능을 제공합니다. (아마도 여기에서는 모든 것이 더 간단할 것입니다. MySQL을 설치하려면 다른 저장소를 추가해야 합니다., 약. 역자).

스크립트는 새 데이터베이스를 생성하고 루프백 인터페이스를 통해 WordPress 액세스 자격 증명을 생성합니다.

스크립트 코드

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

WordPress CLI 프로그램 설치

이 단계에서 스크립트는 프로그램을 설치합니다. WP-CLI. 이를 사용하면 파일을 수동으로 편집하거나 데이터베이스를 업데이트하거나 제어판에 로그인하지 않고도 WordPress 설정을 설치하고 관리할 수 있습니다. 테마와 추가 기능을 설치하고 WordPress를 업데이트하는 데에도 사용할 수 있습니다.

스크립트 코드

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

WordPress 설치 및 구성

스크립트는 최신 버전의 WordPress를 디렉토리에 설치합니다. /var/www/wordpress, 또한 설정을 변경합니다.

• 데이터베이스 연결은 TCP 트래픽을 줄이기 위해 루프백 시 TCP 대신 Unix 도메인 소켓을 통해 작동합니다.
• WordPress에 접두사 추가 https:// 클라이언트가 HTTPS를 통해 NGINX에 연결하는 경우 URL에 연결하고 원격 호스트 이름(NGINX에서 제공한 대로)을 PHP로 보냅니다. 우리는 이것을 설정하기 위해 코드를 사용합니다.
• WordPress에 로그인하려면 HTTPS가 필요합니다.
• URL 구조는 자동으로 리소스 기반입니다.
• WordPress 디렉터리에 대해 올바른 파일 시스템 권한이 설정되어 있습니다.

스크립트 코드

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

NGINX 장치 설정

이 스크립트는 PHP를 실행하고 WordPress 경로를 처리하도록 NGINX 유닛을 구성하여 PHP 프로세스의 네임스페이스를 격리하고 성능 설정을 최적화합니다. 주목할만한 세 가지 기능이 있습니다.

• 네임스페이스 지원은 스크립트가 컨테이너에서 실행 중인지 확인하는 조건에 따라 결정됩니다. 이는 대부분의 컨테이너 설정이 컨테이너의 중첩 실행을 지원하지 않기 때문에 필요합니다.
• 네임스페이스에 대한 지원이 있으면 네임스페이스가 비활성화됩니다. 네트워크. 이는 WordPress가 엔드포인트에 동시에 연결하고 인터넷에서 액세스할 수 있도록 하는 데 필요합니다.
• 최대 프로세스 수는 다음과 같이 결정됩니다. (MariaDB 및 NGINX Uniy를 실행하는 데 사용 가능한 메모리)/(PHP의 RAM 제한 + 5)
  이 값은 NGINX 단위 설정에서 설정됩니다.

또한 이 값은 항상 최소 두 개의 PHP 프로세스가 실행되고 있음을 의미합니다. 이는 WordPress가 자체적으로 많은 비동기 요청을 하고 추가 프로세스가 실행되지 않으면 WP-Cron이 중단되기 때문에 중요합니다. 여기에서 생성된 설정은 보수적이므로 로컬 설정에 따라 이러한 제한을 늘리거나 줄일 수 있습니다. 대부분의 프로덕션 시스템에서 설정은 10에서 100 사이입니다.

스크립트 코드

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

NGINX 설정

기본 NGINX 설정 구성

스크립트는 NGINX 캐시용 디렉터리를 생성한 다음 기본 구성 파일을 생성합니다. nginx.conf. 핸들러 프로세스 수와 다운로드할 수 있는 최대 파일 크기 설정에 주의하세요. 다음 섹션에서 정의할 압축 설정 파일이 연결되고 캐싱 설정이 이어지는 줄도 있습니다.

스크립트 코드

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

NGINX 압축 설정

콘텐츠를 클라이언트에 보내기 전에 즉시 압축하는 것은 사이트 성능을 향상시키는 좋은 방법이지만 압축이 올바르게 구성된 경우에만 가능합니다. 스크립트의 이 섹션은 설정을 기반으로 합니다. 따라서.

스크립트 코드

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

WordPress용 NGINX 설정

다음으로 스크립트는 WordPress용 구성 파일을 생성합니다. default.conf 카탈로그에 conf.d. 여기에서는 다음과 같이 구성됩니다.

• Certbot을 통해 Let's Encrypt에서 받은 TLS 인증서 활성화(구성은 다음 섹션에서 진행됩니다)
• Let's Encrypt의 권장 사항을 기반으로 TLS 보안 설정 구성
• 기본적으로 건너뛴 요청 캐싱을 1시간 동안 활성화합니다.
• 일반적으로 요청되는 두 가지 파일인 favicon.ico 및 robots.txt에 대해 액세스 로깅과 파일을 찾을 수 없는 경우 오류 로깅을 비활성화합니다.
• 숨겨진 파일 및 일부 파일에 대한 액세스 거부 . PHP는불법적인 접속이나 의도하지 않은 실행을 방지하기 위해
• 정적 및 글꼴 파일에 대한 액세스 로깅 비활성화
• 제목 설정 액세스 제어 허용 출처 글꼴 파일의 경우
• index.php 및 기타 통계에 대한 라우팅을 추가합니다.

스크립트 코드

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

Let's Encrypt 인증서를 위한 Certbot 구성 및 자동 갱신

Certbot Let's Encrypt에서 TLS 인증서를 획득하고 자동으로 갱신할 수 있는 EFF(Electronic Frontier Foundation)의 무료 도구입니다. 스크립트는 다음 단계를 수행하여 NGINX에서 Let's Encrypt의 인증서를 처리하도록 Certbot을 구성합니다.

• NGINX를 중지합니다.
• 권장 TLS 설정 다운로드
• Certbot을 실행하여 사이트에 대한 인증서를 얻습니다.
• 인증서를 사용하기 위해 NGINX를 다시 시작합니다.
• 매일 오전 3시 24분에 실행되도록 Certbot을 구성하여 인증서를 업데이트해야 하는지 확인하고 필요한 경우 새 인증서를 다운로드하고 NGINX를 다시 시작합니다.

스크립트 코드

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

사이트의 추가 사용자 정의

우리는 TLSSSL이 활성화된 프로덕션 지원 웹사이트를 제공하기 위해 스크립트가 NGINX 및 NGINX 유닛을 구성하는 방법에 대해 위에서 이야기했습니다. 필요에 따라 나중에 다음을 추가할 수도 있습니다.

• 지원 브로 틀리, HTTPS를 통한 향상된 실시간 압축
• ModSecurity를 с WordPress의 규칙사이트에 대한 자동화된 공격을 방지하기 위해
• 백업 귀하에게 적합한 WordPress용
• 보호 를 통해 AppArmor (우분투에서)
• WordPress에서 메일을 보낼 수 있도록 Postfix 또는 msmtp
• 사이트에서 처리할 수 있는 트래픽 양을 파악하기 위해 사이트를 확인합니다.

더 나은 사이트 성능을 위해서는 다음으로 업그레이드하는 것이 좋습니다. NGINX 플러스, 오픈 소스 NGINX를 기반으로 한 엔터프라이즈급 상용 제품입니다. 구독자는 동적으로 로드된 Brotli 모듈을 받게 되며 (추가 비용 발생) NGINX ModSecurity WAF. 우리는 또한 제공합니다 NGINX 앱 보호, F5의 업계 최고의 보안 기술을 기반으로 하는 NGINX Plus용 WAF 모듈입니다.

NB 로드가 많은 웹사이트에 대한 지원을 받으려면 전문가에게 문의하세요. 사우스 브리지. 우리는 어떤 부하에서도 귀하의 웹사이트나 서비스가 빠르고 안정적으로 작동하도록 보장할 것입니다.

출처 : habr.com