ProHoster > Blog > башкаруу > NGINX Unit жана Ubuntu менен WordPress орнотууну автоматташтыруу
NGINX Unit жана Ubuntu менен WordPress орнотууну автоматташтыруу
WordPressти орнотуу боюнча көптөгөн материалдар бар; Google'дан "WordPress орнотуу" деп издөө жарым миллиондой натыйжаларды берет. Бирок, чындыгында, WordPressти жана негизги операциялык системаны узак убакыт бою колдоого ала тургандай кылып орнотууга жана конфигурациялоого жардам бере турган пайдалуу колдонмолор абдан аз. Балким, туура орнотуулар сиздин өзгөчө муктаждыктарыңыздан көз каранды же деталдуу түшүндүрмө макаланы окууну кыйындаткандыктан болушу мүмкүн.
Бул макалада биз WordPressти Ubuntu'го автоматтык түрдө орнотуу үчүн bash скриптин берүү менен эки дүйнөнүн эң жакшысын бириктирүүгө аракет кылабыз жана биз аны карап чыгабыз, ар бир бөлүктүн эмне кыларын жана дизайнда жасаган соодалашууларыбызды түшүндүрүп беребиз. ал. Эгер сиз тажрыйбалуу колдонуучу болсоңуз, анда макаланын текстин өткөрүп жиберсеңиз болот сценарийди ал чөйрөлөрүңүздө өзгөртүү жана колдонуу үчүн. Скрипттин чыгарылышы NGINX бирдигинде иштеген жана өнөр жайлык колдонууга ылайыктуу, Lets Encrypt колдоосу менен ыңгайлаштырылган WordPress орнотуусу.
NGINX Unit аркылуу WordPressти жайылтуу үчүн иштелип чыккан архитектура сүрөттөлгөн эски макала, эми биз анда каралбаган нерселерди дагы конфигурациялайбыз (башка көптөгөн окуу куралдарындагыдай):
WordPress CLI
Келгиле, Шифрлейли жана TLSSSL сертификаттары
Автоматтык түрдө сертификатты жаңылоо
NGINX кэштөө
NGINX кысуу
HTTPS жана HTTP/2 колдоо
Процесстерди автоматташтыруу
Макала бир эле учурда статикалык иштетүү серверин, РНР иштетүү серверин жана маалымат базасын жайгаштырган бир серверге орнотууну сүрөттөйт. Бир нече виртуалдык хостторду жана кызматтарды колдоо менен орнотуу келечектеги потенциалдуу тема болуп саналат. Бул макалаларда жок нерсе жөнүндө жазышыбызды кааласаңыз, комментарийге жазыңыз.
талаптар
Сервер контейнери (LXC же LXD), виртуалдык машина же кадимки аппараттык сервер, кеминде 512 МБ оперативдүү эс тутуму жана Ubuntu 18.04 же андан көп жаңы орнотулган.
Интернетке жеткиликтүү порттор 80 жана 443
Бул сервердин коомдук IP дареги менен байланышкан домен аты
Тамыр укуктары менен кирүү (sudo).
Архитектурага сереп салуу
Архитектура сүрөттөлгөндөй эле мурун, үч баскычтуу веб-тиркеме. Ал PHP кыймылдаткычында аткарылган PHP скрипттеринен жана веб-серверде иштетилген статикалык файлдардан турат.
жалпы негиздери
Скрипттеги көптөгөн конфигурация буйруктары, эгерде идемпотенттүүлүк үчүн шарттар болгондо оролот: скрипт мурунтан эле даяр болгон орнотууларды өзгөртүү коркунучу жок бир нече жолу иштетилиши мүмкүн.
Скрипт репозиторийлерден программалык камсыздоону орнотууга аракет кылат, андыктан тутум жаңыртууларын бир буйрукта колдоно аласыз (apt upgrade Ubuntu үчүн).
Командалар контейнерде иштеп жатканын аныктоого аракет кылышат, ошондуктан алар орнотууларын ошого жараша өзгөртө алышат.
Орнотууларда ишке киргизиле турган жип процесстеринин санын коюу үчүн скрипт контейнерлерде, виртуалдык машиналарда жана аппараттык серверлерде иштөө үчүн автоматтык орнотууларды болжолдоого аракет кылат.
Орнотууларды сүрөттөп жатканда биз ар дайым биринчи кезекте автоматташтыруу жөнүндө ойлонобуз, бул сиздин жеке инфраструктураңызды код катары түзүү үчүн негиз болот деп үмүттөнөбүз.
Бардык буйруктар колдонуучу тарабынан ишке ашырылат тамыр, анткени алар системанын негизги жөндөөлөрүн өзгөртүшөт, бирок WordPress өзү кадимки колдонуучу катары иштейт.
Айлана-чөйрө өзгөрмөлөрүн орнотуу
Скриптти иштетүүдөн мурун төмөнкү чөйрө өзгөрмөлөрүн орнотуңуз:
WORDPRESS_DB_PASSWORD — WordPress маалыматтар базасынын сырсөзү
WORDPRESS_ADMIN_USER - WordPress администраторунун колдонуучу аты
WORDPRESS_ADMIN_EMAIL — WordPress администраторунун электрондук почтасы
WORDPRESS_URL – менен баштап WordPress сайтынын толук URL дареги https://.
LETS_ENCRYPT_STAGING — демейки боюнча бош, бирок маанини 1ге коюу менен, сиз жөндөөлөрүңүздү сынап жатканда сертификаттарды тез-тез сурап туруу үчүн зарыл болгон Let's Encrypt'тин стадиялык серверлерин колдоносуз, антпесе Let's Encrypt өтүнмөлөрдүн көптүгүнө байланыштуу IP дарегиңизди убактылуу бөгөттөп коюшу мүмкүн.
Скрипт бул WordPress менен байланышкан өзгөрмөлөр коюлганын текшерет жана эгерде алар орнотулбаса, чыгат.
572-576 скрипт саптары маанини текшерет LETS_ENCRYPT_STAGING.
Туунду чөйрө өзгөрмөлөрүн орнотуу
55-61-саптардагы скрипт төмөнкү чөйрө өзгөрмөлөрүн кандайдыр бир катуу коддолгон мааниге же мурунку бөлүмдө коюлган өзгөрмөлөрдөн алынган маанини колдонуп орнотот:
DEBIAN_FRONTEND="noninteractive" — тиркемелерге алар скриптте иштеп жатканын жана колдонуучунун өз ара аракеттенүү мүмкүнчүлүгү жок экенин айтат.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — WordPress CLI 2.4.0 аткарылуучу файлынын текшерүү суммасы (версия өзгөрмөдө көрсөтүлгөн WORDPRESS_CLI_VERSION). 162-саптагы скрипт бул маанини туура WordPress CLI файлы жүктөлүп алынганын текшерүү үчүн колдонот.
UPLOAD_MAX_FILESIZE="16M" — WordPressке жүктөлө турган файлдын максималдуу өлчөмү. Бул жөндөө бир нече жерде колдонулат, андыктан аны бир жерге коюу оңой.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — системанын хост аты, WORDPRESS_URL өзгөрмөсүнөн алынган. Let's Encrypt'тен тиешелүү TLS/SSL сертификаттарын алуу үчүн, ошондой эле WordPress ички текшерүүсү үчүн колдонулат.
NGINX_CONF_DIR="/etc/nginx" — NGINX орнотуулары менен каталогго жол, анын ичинде негизги файл nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — өзгөрмөдөн алынган WordPress сайты үчүн Let's Encrypt сертификаттарына жол TLS_HOSTNAME.
WordPress серверине хост атын дайындоо
Скрипт сервердин хост атын орнотот, ошентип маани сайттын домен атына дал келет. Бул зарыл эмес, бирок скрипт менен конфигурациялангандай, бир серверди орнотууда SMTP аркылуу чыгуучу каттарды жөнөтүү ыңгайлуураак.
скрипт коду
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
/etc/hosts дарегине хост атын кошуу
толуктоо WP‑Cron мезгилдүү тапшырмаларды аткаруу үчүн колдонулат, WordPress өзүнө HTTP аркылуу кире алгыдай болушун талап кылат. WP-Cron бардык чөйрөлөрдө туура иштегенине ынануу үчүн, скрипт файлга сызык кошот / Александр Барыкин / өтүүдөОшентип, WordPress өзүнө кайра цикл интерфейси аркылуу кире алат:
скрипт коду
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Кийинки кадамдар үчүн керектүү куралдарды орнотуу
Сценарийдин калган бөлүгү кээ бир программаларды талап кылат жана репозиторийлер жаңыртылган деп болжолдойт. Биз репозиторийлердин тизмесин жаңыртабыз, андан кийин керектүү шаймандарды орнотобуз:
скрипт коду
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
NGINX бирдигин жана NGINX репозиторийлерин кошуу
Скрипт акыркы коопсуздук жаңыртуулары жана мүчүлүштүктөрдү оңдоолору бар версиялардын колдонулушун камсыз кылуу үчүн расмий NGINX репозиторийлеринен NGINX Unit жана ачык булактуу NGINX орнотот.
Скрипт NGINX Unit репозиторийин, андан кийин NGINX репозиторийлерин кошуп, репозиторийлердин ачкычын жана орнотуу файлдарын кошот. apt, Интернет аркылуу репозиторийлерге кирүүнү аныктоо.
NGINX бирдигин жана NGINXти иш жүзүндө орнотуу кийинки бөлүмдө болот. Орнотууну тездетип, метадайындарды бир нече жолу жаңыртпоо үчүн репозиторийлерди алдын ала кошобуз.
скрипт коду
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) жана алардын көз карандылыктарын орнотуу
Бардык репозиторийлер кошулгандан кийин, биз метадайындарды жаңыртабыз жана колдонмолорду орнотобуз. Скрипт тарабынан орнотулган топтомдор WordPress.org иштеткенде сунушталган PHP кеңейтүүлөрүн да камтыйт
скрипт коду
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
NGINX Unit жана WordPress менен колдонуу үчүн PHP орнотуу
Скрипт каталогдо орнотуулар файлын түзөт конф.д. Бул PHP үчүн файлды жүктөөнүн максималдуу өлчөмүн орнотот, PHP каталарын STDERRге чыгарууга мүмкүндүк берет, ошондуктан алар NGINX бирдигине катталат жана NGINX бирдигин кайра иштетет.
скрипт коду
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
WordPress үчүн MariaDB маалымат базасын орнотуу
Биз MariaDBди MySQLге караганда тандадык, анткени ал көбүрөөк жамааттык активдүүлүккө ээ жана ошондой эле мүмкүн демейки боюнча жакшыраак аткарууну камсыз кылат (Балким, бул жерде баары жөнөкөй: MySQLди орнотуу үчүн башка репозиторий кошуу керек, болжол менен. котормочу).
Скрипт жаңы маалымат базасын түзөт жана луп интерфейси аркылуу WordPress мүмкүндүк алуу грамоталарын түзөт:
скрипт коду
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
WordPress CLI программасын орнотуу
Бул кадамда скрипт программаны орнотот WP-CLI. Анын жардамы менен сиз файлдарды кол менен түзөтпөстөн, маалымат базасын жаңыртбастан же башкаруу панелине кирбестен WordPress жөндөөлөрүн орнотуп, башкара аласыз. Ал темаларды жана кошумчаларды орнотуу жана WordPressти жаңыртуу үчүн да колдонсо болот.
скрипт коду
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
WordPress орнотуу жана конфигурациялоо
Скрипт WordPressтин эң акыркы версиясын каталогго орнотот /var/www/wordpress, ошондой эле орнотууларды өзгөртөт:
Маалыматтар базасынын туташуусу TCP трафигин азайтуу үчүн кайра циклдеги TCP ордуна unix домендик розетка аркылуу иштейт.
WordPress префикс кошот https:// URL дарегине, эгерде кардарлар HTTPS аркылуу NGINXке туташып, ошондой эле алыскы хосттун атын (NGINX тарабынан берилгендей) PHPге жөнөтсө. Муну орнотуу үчүн коддун бир бөлүгүн колдонобуз.
WordPress кирүү үчүн HTTPS керек
URL түзүмү унчукпай ресурска негизделген
Туура файл тутумунун уруксаттары WordPress каталогу үчүн коюлган.
скрипт коду
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
NGINX бирдигин орнотуу
Скрипт PHPди иштетүү жана WordPress жолдорун иштетүү үчүн NGINX бирдигин конфигурациялайт, PHP процесстеринин аталыш мейкиндигин обочолонтуп жана аткаруу параметрлерин оптималдаштырат. Көңүл бурууга арзырлык үч өзгөчөлүк бар:
Ат мейкиндигин колдоо скрипт контейнерде иштеп жатканын текшерүүнүн негизинде шарт менен аныкталат. Бул керек, анткени көпчүлүк контейнер орнотуулары контейнерлердин уяча иштешин колдобойт.
Эгер аттар мейкиндигин колдоо бар болсо, аттар мейкиндиги өчүрүлгөн тармак. Бул WordPress бир эле учурда акыркы чекиттерге туташып, Интернетте жеткиликтүү болушу үчүн зарыл.
Процесстердин максималдуу саны төмөнкүдөй аныкталат: (MariaDB жана NGINX Uniy иштетүү үчүн жеткиликтүү эстутум)/(PHP + 5те RAM чеги)
Бул маани NGINX Unit жөндөөлөрүндө коюлган.
Бул маани ар дайым жок дегенде эки PHP процесси иштеп турганын билдирет, бул маанилүү, анткени WordPress өзүнө көптөгөн асинхрондук суроо-талаптарды жасайт жана кошумча процесстер иштебей туруп, мисалы, WP-Cron бузулат. Жергиликтүү жөндөөлөрүңүздүн негизинде бул чектөөлөрдү көбөйтүп же азайтсаңыз болот, анткени бул жерде түзүлгөн орнотуулар консервативдүү. Көпчүлүк өндүрүш системаларында орнотуулар 10дон 100гө чейин.
скрипт коду
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
NGINX орнотулууда
Негизги NGINX орнотууларын конфигурациялоо
Скрипт NGINX кэши үчүн каталогду түзүп, андан кийин негизги конфигурация файлын түзөт nginx.conf. Иштетүү процесстеринин санына жана жүктөө үчүн файлдын максималдуу өлчөмүнө көңүл буруңуз. Кийинки бөлүмдө аныкталган кысуу орнотуулары файлы туташтырылган сызык да бар, андан кийин кэш орнотуулары.
Кардарларга жөнөтүүдөн мурун мазмунду кысуу сайттын иштешин жакшыртуунун эң сонун жолу, бирок кысуу туура конфигурацияланганда гана. Скрипттин бул бөлүмү жөндөөлөргө негизделген бул жерде.
скрипт коду
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
WordPress үчүн NGINX орнотулууда
Андан кийин, скрипт WordPress үчүн конфигурация файлын түзөт default.conf каталогдо конф.д. Бул жерде ал конфигурацияланган:
Let's Encrypt'тен Certbot аркылуу алынган TLS сертификаттарын активдештирүү (аны конфигурациялоо кийинки бөлүмдө болот)
Let's Encrypt сунуштарынын негизинде TLS коопсуздук жөндөөлөрүн конфигурациялаңыз
Өткөрүлүп жиберилген сурамдын кэшин демейки боюнча 1 саатка иштетүү
Суралган эки файл үчүн кирүү журналын, ошондой эле файл табылбаса ката журналын өчүрүү: favicon.ico жана robots.txt
Жашыруун файлдарга жана кээ бир файлдарга кирүүгө тыюу салыңыз , .PSDмыйзамсыз кирүүгө же атайылап ишке киргизүүгө жол бербөө үчүн
Статикалык жана шрифт файлдары үчүн кирүү журналын өчүрүү
index.php жана башка статика үчүн маршрутту кошуу.
скрипт коду
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Келгиле Шифрлейли сертификаттары үчүн Certbot конфигурацияланууда жана аларды автоматтык түрдө жаңыртуу
certbot бул Let's Encryptтен TLS сертификаттарын алууга жана автоматтык түрдө узартууга мүмкүндүк берген Электрондук Чек ара Фондунун (EFF) акысыз куралы. Скрипт Certbotту NGINXте Let's Encrypt'тен сертификаттарды иштетүү үчүн конфигурациялоо үчүн төмөнкү кадамдарды аткарат:
NGINXти токтотот
Сунушталган TLS жөндөөлөрүн жүктөйт
Сайттын сертификаттарын алуу үчүн Certbot иштетет
Сертификаттарды колдонуу үчүн NGINXти өчүрүп күйгүзөт
Сертификаттарды жаңыртууларды текшерүү жана зарыл болсо, жаңы сертификаттарды жүктөп алуу жана NGINXти кайра иштетүү үчүн Certbotту күн сайын саат 3:24тө иштей тургандай конфигурациялайт.
скрипт коду
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Сиздин сайттын кошумча настройка
Биз жогоруда биздин скрипт NGINX жана NGINX Unitти TLSSSL иштетилген өндүрүшкө даяр веб-сайтты тейлөө үчүн кантип конфигурациялай тургандыгы жөнүндө сүйлөштүк. Ошондой эле, сиздин муктаждыктарыңызга жараша, келечекте төмөнкүлөрдү кошо аласыз:
Сайтыңызды текшерип, ал канчалык трафикти көтөрө аларын түшүнөсүз
Сайттын жакшыраак иштеши үчүн, биз жаңыртууну сунуштайбыз NGINX Plus, ачык булак NGINX негизинде биздин ишкана деңгээлиндеги коммерциялык продукт. Анын абоненттери динамикалык түрдө жүктөлгөн Brotli модулун алышат, ошондой эле (кошумча төлөм үчүн) NGINX ModSecurity WAF. Биз да сунуштайбыз NGINX App Protect, NGINX Plus үчүн WAF модулу, F5 тармагындагы алдыңкы коопсуздук технологиясына негизделген.
NB Жогорку жүктөмдүү веб-сайтты колдоо үчүн адистерге кайрылсаңыз болот түштүк көпүрө. Биз сиздин веб-сайтыңыздын же кызматыңыздын ар кандай жүктөм астында тез жана ишенимдүү иштешин камсыз кылабыз.