WordPress instalÄÅ”anas automatizÄcija, izmantojot NGINX Unit un Ubuntu
Ir daudz apmÄcÄ«bas par to, kÄ instalÄt WordPress, Google meklÄÅ”ana ar "WordPress install" parÄdÄ«s aptuveni pusmiljonu rezultÄtu. TomÄr patiesÄ«bÄ starp tiem ir ļoti maz labu ceļvežu, saskaÅÄ ar kuriem jÅ«s varat instalÄt un konfigurÄt WordPress un pamatÄ esoÅ”o operÄtÄjsistÄmu, lai tÄs varÄtu atbalstÄ«t ilgu laiku. IespÄjams, pareizie iestatÄ«jumi ir ļoti atkarÄ«gi no konkrÄtÄm vajadzÄ«bÄm, vai arÄ« tas ir saistÄ«ts ar faktu, ka detalizÄts skaidrojums apgrÅ«tina raksta lasÄ«Å”anu.
Å ajÄ rakstÄ mÄs centÄ«simies apvienot labÄko no abÄm pasaulÄm, nodroÅ”inot bash skriptu, lai automÄtiski instalÄtu WordPress Ubuntu, kÄ arÄ« izietu to cauri, izskaidrojot katras daļas darbÄ«bu, kÄ arÄ« kompromisus, ko pieļÄvÄm, izstrÄdÄjot to. . Ja esat pieredzÄjis lietotÄjs, varat izlaist raksta tekstu un vienkÄrÅ”i paÅem skriptu pÄrveidoÅ”anai un lietoÅ”anai jÅ«su vidÄ. Skripta izvade ir pielÄgota WordPress instalÄcija ar Lets Encrypt atbalstu, kas darbojas NGINX vienÄ«bÄ un ir piemÄrota ražoÅ”anas lietoÅ”anai.
IzstrÄdÄtÄ arhitektÅ«ra WordPress izvietoÅ”anai, izmantojot NGINX vienÄ«bu, ir aprakstÄ«ta vecÄks raksts, tagad mÄs arÄ« turpmÄk konfigurÄsim lietas, kas tur nebija aplÅ«kotas (kÄ daudzÄs citÄs apmÄcÄ«bÄs):
WordPress CLI
Å ifrÄsim un TLSSSL sertifikÄtus
AutomÄtiska sertifikÄtu atjaunoÅ”ana
NGINX keÅ”atmiÅa
NGINX kompresija
HTTPS un HTTP/2 atbalsts
Procesu automatizÄcija
RakstÄ tiks aprakstÄ«ta instalÄÅ”ana vienÄ serverÄ«, kurÄ vienlaikus tiks mitinÄts statiskÄs apstrÄdes serveris, PHP apstrÄdes serveris un datu bÄze. InstalÄcija, kas atbalsta vairÄkus virtuÄlos saimniekdatorus un pakalpojumus, ir potenciÄls nÄkotnes temats. Ja vÄlaties, lai mÄs rakstÄm par kaut ko, kas nav Å”ajos rakstos, rakstiet komentÄros.
Prasības
Konteinera serveris (LXC vai LXD), virtuÄlÄ maŔīna vai parasts dzelzs serveris ar vismaz 512 MB RAM un instalÄta Ubuntu 18.04 vai jaunÄka versija.
Internetam pieejams ports 80 un 443
DomÄna nosaukums, kas saistÄ«ts ar Ŕī servera publisko IP adresi
Saknes piekļuve (sudo).
ArhitektÅ«ras pÄrskats
ArhitektÅ«ra ir tÄda pati kÄ aprakstÄ«ts pirms tam, trÄ«s lÄ«meÅu tÄ«mekļa lietojumprogramma. Tas sastÄv no PHP skriptiem, kas darbojas PHP dzinÄjÄ, un statiskiem failiem, kurus apstrÄdÄ tÄ«mekļa serveris.
VispÄrÄjie principi
Daudzas skripta konfigurÄcijas komandas ir iesaiÅotas idempotences apstÄkļos: skriptu var palaist vairÄkas reizes, neriskÄjot mainÄ«t jau esoÅ”os iestatÄ«jumus.
Skripts mÄÄ£ina instalÄt programmatÅ«ru no krÄtuvÄm, lai jÅ«s varÄtu lietot sistÄmas atjauninÄjumus vienÄ komandÄ (apt upgrade Ubuntu).
Komandas mÄÄ£ina noteikt, ka tÄs darbojas konteinerÄ, lai tÄs varÄtu attiecÄ«gi mainÄ«t savus iestatÄ«jumus.
Lai iestatÄ«jumos iestatÄ«tu iesÄkamo pavedienu procesu skaitu, skripts mÄÄ£ina uzminÄt automÄtiskos iestatÄ«jumus darbam konteineros, virtuÄlajÄs maŔīnÄs un aparatÅ«ras serveros.
Aprakstot iestatÄ«jumus, mÄs vienmÄr vispirms domÄjam par automatizÄciju, kas, mÄs ceram, kļūs par pamatu, lai izveidotu savu infrastruktÅ«ru kÄ kodu.
Visas komandas tiek izpildÄ«tas kÄ lietotÄjs sakne, jo tie maina pamata sistÄmas iestatÄ«jumus, bet tieÅ”i WordPress darbojas kÄ parasts lietotÄjs.
Vides mainīgo iestatīŔana
Pirms skripta palaiÅ”anas iestatiet Å”Ädus vides mainÄ«gos:
WORDPRESS_DB_PASSWORD - WordPress datu bÄzes parole
WORDPRESS_URL ir pilns WordPress vietnes URL, sÄkot no https://.
LETS_ENCRYPT_STAGING - pÄc noklusÄjuma tukÅ”s, bet, iestatot vÄrtÄ«bu uz 1, jÅ«s izmantosiet Encrypt inscenÄÅ”anas serverus, kas ir nepiecieÅ”ami bieži sertifikÄtu pieprasÄ«Å”anai, pÄrbaudot iestatÄ«jumus, pretÄjÄ gadÄ«jumÄ Let's Encrypt var Ä«slaicÄ«gi bloÄ·Ät jÅ«su ip adresi lielÄ pieprasÄ«jumu skaita dÄļ. .
Skripts pÄrbauda, āāvai Å”ie ar WordPress saistÄ«tie mainÄ«gie ir iestatÄ«ti, un iziet, ja nÄ.
Skripta rindiÅas 572-576 pÄrbauda vÄrtÄ«bu LETS_ENCRYPT_STAGING.
AtvasinÄto vides mainÄ«go iestatÄ«Å”ana
Skripts 55.ā61. rindiÅÄ iestata Å”Ädus vides mainÄ«gos vai nu uz kÄdu cieti kodÄtu vÄrtÄ«bu, vai izmantojot vÄrtÄ«bu, kas iegÅ«ta no iepriekÅ”ÄjÄ sadaÄ¼Ä iestatÄ«tajiem mainÄ«gajiem:
DEBIAN_FRONTEND="noninteractive" - norÄda lietojumprogrammÄm, ka tÄs darbojas skriptÄ un ka nav iespÄjama lietotÄja mijiedarbÄ«ba.
WORDPRESS_CLI_VERSION="2.4.0" ir WordPress CLI lietojumprogrammas versija.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" ā WordPress CLI 2.4.0 izpildÄmÄ faila kontrolsumma (versija ir norÄdÄ«ta mainÄ«gajÄ WORDPRESS_CLI_VERSION). Skripts 162. rindÄ izmanto Å”o vÄrtÄ«bu, lai pÄrbaudÄ«tu, vai ir lejupielÄdÄts pareizais WordPress CLI fails.
UPLOAD_MAX_FILESIZE="16M" - maksimÄlais faila lielums, ko var augÅ”upielÄdÄt programmÄ WordPress. Å is iestatÄ«jums tiek izmantots vairÄkÄs vietÄs, tÄpÄc to ir vieglÄk iestatÄ«t vienÄ vietÄ.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - sistÄmas resursdatora nosaukums, izgÅ«ts no WORDPRESS_URL mainÄ«gÄ. Izmanto, lai iegÅ«tu atbilstoÅ”us TLS/SSL sertifikÄtus no Let's Encrypt, kÄ arÄ« iekÅ”Äjai WordPress verifikÄcijai.
NGINX_CONF_DIR="/etc/nginx" - ceļŔ uz direktoriju ar NGINX iestatījumiem, ieskaitot galveno failu nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" ā ceļŔ uz WordPress vietnes Let's Encrypt sertifikÄtiem, kas iegÅ«ti no mainÄ«gÄ TLS_HOSTNAME.
Resursdatora nosaukuma pieŔķirŔana WordPress serverim
Skripts iestata servera saimniekdatora nosaukumu, lai tas atbilstu vietnes domÄna nosaukumam. Tas nav nepiecieÅ”ams, taÄu ÄrtÄk ir nosÅ«tÄ«t izejoÅ”os pastu, izmantojot SMTP, iestatot vienu serveri, kÄ tas ir konfigurÄts skriptÄ.
skripta kods
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Saimniekdatora nosaukuma pievienoŔana /etc/hosts
PapildinÄjums WP-Cron izmanto periodisku uzdevumu izpildei, ir nepiecieÅ”ams, lai WordPress varÄtu piekļūt, izmantojot HTTP. Lai pÄrliecinÄtos, ka WP-Cron darbojas pareizi visÄs vidÄs, skripts failam pievieno rindiÅu / Etc / hostslai WordPress varÄtu piekļūt, izmantojot cilpas interfeisu:
skripta kods
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
PÄrÄjam skriptam ir nepiecieÅ”amas dažas programmas, un tiek pieÅemts, ka krÄtuves ir atjauninÄtas. MÄs atjauninÄm repozitoriju sarakstu, pÄc tam instalÄjam nepiecieÅ”amos rÄ«kus:
skripta kods
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
NGINX vienÄ«bas un NGINX krÄtuvju pievienoÅ”ana
Skripts instalÄ NGINX Unit un atvÄrtÄ koda NGINX no oficiÄlajÄm NGINX krÄtuvÄm, lai pÄrliecinÄtos, ka tiek izmantotas versijas ar jaunÄkajiem droŔības ielÄpiem un kļūdu labojumiem.
Skripts pievieno NGINX vienÄ«bas repozitoriju un pÄc tam NGINX repozitoriju, pievienojot repozitoriju atslÄgu un konfigurÄcijas failus apt, kas nosaka piekļuvi krÄtuvÄm, izmantojot internetu.
FaktiskÄ NGINX vienÄ«bas un NGINX instalÄÅ”ana notiek nÄkamajÄ sadaļÄ. MÄs iepriekÅ” pievienojam krÄtuves, lai mums nebÅ«tu jÄatjaunina metadati vairÄkas reizes, tÄdÄjÄdi padarot instalÄÅ”anu ÄtrÄku.
skripta kods
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
NGINX, NGINX vienÄ«bas, PHP MariaDB, Certbot (Å”ifrÄsim) un to atkarÄ«bu instalÄÅ”ana
Kad visas krÄtuves ir pievienotas, atjauniniet metadatus un instalÄjiet lietojumprogrammas. Skripta instalÄtajÄs pakotnÄs ir iekļauti arÄ« PHP paplaÅ”inÄjumi, kas ieteicami, palaižot vietni WordPress.org
skripta kods
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
PHP iestatīŔana lietoŔanai ar NGINX vienību un WordPress
Skripts direktorijÄ izveido iestatÄ«jumu failu conf.d. TÄdÄjÄdi tiek iestatÄ«ts maksimÄlais PHP augÅ”upielÄdes faila lielums, tiek ieslÄgta PHP kļūdu izvade uz STDERR, lai tÄs tiktu ierakstÄ«tas NGINX vienÄ«bas žurnÄlÄ, un tiek restartÄta NGINX vienÄ«ba.
skripta kods
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
MariaDB datu bÄzes iestatÄ«jumu norÄdÄ«Å”ana pakalpojumam WordPress
MÄs esam izvÄlÄjuÅ”ies MariaDB, nevis MySQL, jo tajÄ ir lielÄka kopienas aktivitÄte un, visticamÄk, arÄ« tÄ bÅ«s nodroÅ”ina labÄku veiktspÄju pÄc noklusÄjuma (iespÄjams, Å”eit viss ir vienkÄrÅ”Äk: lai instalÄtu MySQL, jums jÄpievieno vÄl viens repozitorijs, apm. tulks).
Skripts izveido jaunu datu bÄzi un izveido akreditÄcijas datus, lai piekļūtu WordPress, izmantojot cilpas interfeisu:
skripta kods
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
WordPress CLI programmas instalÄÅ”ana
Å ajÄ darbÄ«bÄ skripts instalÄ programmu WP-CLI. Izmantojot to, varat instalÄt un pÄrvaldÄ«t WordPress iestatÄ«jumus, neveicot manuÄlu failu rediÄ£ÄÅ”anu, datu bÄzes atjauninÄÅ”anu vai vadÄ«bas paneļa ievadÄ«Å”anu. To var izmantot arÄ« motÄ«vu un papildinÄjumu instalÄÅ”anai un WordPress atjauninÄÅ”anai.
skripta kods
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Datu bÄzes savienojums darbojas, izmantojot unix domÄna ligzdu, nevis TCP atpakaļcilpas režīmÄ, lai samazinÄtu TCP trafiku.
WordPress pievieno prefiksu https:// uz URL, ja klienti izveido savienojumu ar NGINX, izmantojot HTTPS, un arÄ« nosÅ«ta attÄlo resursdatora nosaukumu (kÄ nodroÅ”ina NGINX) uz PHP. MÄs izmantojam koda fragmentu, lai to iestatÄ«tu.
Lai pieteiktos, WordPress ir nepiecieŔams HTTPS
NoklusÄjuma URL struktÅ«ra ir balstÄ«ta uz resursiem
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Notiek NGINX vienības iestatīŔana
Skripts konfigurÄ NGINX vienÄ«bu, lai palaistu PHP un apstrÄdÄtu WordPress ceļus, izolÄjot PHP procesa nosaukumvietu un optimizÄjot veiktspÄjas iestatÄ«jumus. Å eit ir jÄÅem vÄrÄ trÄ«s funkcijas:
Atbalstu nosaukumvietÄm nosaka nosacÄ«jumi, pamatojoties uz pÄrbaudi, vai skripts darbojas konteinerÄ. Tas ir nepiecieÅ”ams, jo lielÄkÄ daļa konteineru iestatÄ«jumu neatbalsta konteineru ligzdotu palaiÅ”anu.
Ja ir atbalsts nosaukumvietÄm, atspÄjojiet nosaukumvietu tÄ«kls. Tas ir paredzÄts, lai WordPress varÄtu izveidot savienojumu ar abiem galapunktiem un vienlaikus bÅ«t pieejamam tÄ«meklÄ«.
MaksimÄlais procesu skaits ir definÄts Å”Ädi: (PieejamÄ atmiÅa, lai palaistu MariaDB un NGINX Uniy)/(RAM ierobežojums PHP + 5)
Å Ä« vÄrtÄ«ba ir iestatÄ«ta NGINX vienÄ«bas iestatÄ«jumos.
Å Ä« vÄrtÄ«ba arÄ« nozÄ«mÄ, ka vienmÄr darbojas vismaz divi PHP procesi, kas ir svarÄ«gi, jo WordPress veic daudz asinhronu pieprasÄ«jumu sev, un bez papildu procesiem, piemÄram, WP-Cron palaiÅ”ana pÄrtrÅ«ks. IespÄjams, vÄlÄsities palielinÄt vai samazinÄt Å”os ierobežojumus, pamatojoties uz vietÄjiem iestatÄ«jumiem, jo āāÅ”eit izveidotie iestatÄ«jumi ir konservatÄ«vi. LielÄkajÄ daÄ¼Ä ražoÅ”anas sistÄmu iestatÄ«jumi ir no 10 lÄ«dz 100.
skripta kods
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Notiek NGINX iestatīŔana
NGINX pamata iestatÄ«jumu konfigurÄÅ”ana
Skripts izveido direktoriju NGINX keÅ”atmiÅai un pÄc tam izveido galveno konfigurÄcijas failu nginx.conf. PievÄrsiet uzmanÄ«bu apdarinÄtÄja procesu skaitam un maksimÄlÄ augÅ”upielÄdes faila lieluma iestatÄ«Å”anai. Ir arÄ« rinda, kas ietver nÄkamajÄ sadaÄ¼Ä definÄto saspieÅ”anas iestatÄ«jumu failu, kam seko keÅ”atmiÅas iestatÄ«jumi.
Satura saspieÅ”ana lidojumÄ pirms tÄ nosÅ«tÄ«Å”anas klientiem ir lielisks veids, kÄ uzlabot vietnes veiktspÄju, taÄu tikai tad, ja saspieÅ”ana ir pareizi konfigurÄta. Å Ä« skripta sadaļa ir balstÄ«ta uz iestatÄ«jumiem tÄtad.
skripta kods
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
NGINX iestatīŔana pakalpojumam WordPress
PÄc tam skripts izveido WordPress konfigurÄcijas failu default.conf katalogÄ conf.d. Tas ir konfigurÄts Å”eit:
TLS sertifikÄtu aktivizÄÅ”ana, kas saÅemti no Let's Encrypt, izmantojot Certbot (tÄ iestatÄ«Å”ana bÅ«s nÄkamajÄ sadaļÄ)
TLS droŔības iestatÄ«jumu konfigurÄÅ”ana, pamatojoties uz Let's Encrypt ieteikumiem
PÄc noklusÄjuma iespÄjot izlaiÅ”anas pieprasÄ«jumu saglabÄÅ”anu keÅ”atmiÅÄ uz 1 stundu
AtspÄjot piekļuves reÄ£istrÄÅ”anu, kÄ arÄ« kļūdu reÄ£istrÄÅ”anu, ja fails nav atrasts, diviem bieži pieprasÄ«tajiem failiem: favicon.ico un robots.txt
NovÄrst piekļuvi slÄptiem failiem un dažiem failiem phplai novÄrstu nelikumÄ«gu piekļuvi vai netÄ«Å”u iedarbinÄÅ”anu
AtspÄjot piekļuves reÄ£istrÄÅ”anu statiskajiem un fontu failiem
MarÅ”rutÄÅ”anas pievienoÅ”ana indeksam.php un citai statikai.
skripta kods
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Certbot iestatÄ«Å”ana sertifikÄtiem no Let's Encrypt un to automÄtiska atjaunoÅ”ana
Certbot ir Electronic Frontier Foundation (EFF) bezmaksas rÄ«ks, kas ļauj iegÅ«t un automÄtiski atjaunot TLS sertifikÄtus no Let's Encrypt. Skripts veic Å”Ädas darbÄ«bas, lai konfigurÄtu Certbot apstrÄdÄt sertifikÄtus no Let's Encrypt NGINX:
Aptur NGINX
LejupielÄdÄ ieteicamos TLS iestatÄ«jumus
Palaiž Certbot, lai iegÅ«tu vietnes sertifikÄtus
RestartÄ NGINX, lai izmantotu sertifikÄtus
KonfigurÄ Certbot, lai tÄ darbotos katru dienu plkst. 3:24, lai pÄrbaudÄ«tu, vai sertifikÄti ir jÄatjauno, un, ja nepiecieÅ”ams, lejupielÄdÄtu jaunus sertifikÄtus un restartÄtu NGINX.
skripta kods
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
JÅ«su vietnes papildu pielÄgoÅ”ana
IepriekÅ” mÄs runÄjÄm par to, kÄ mÅ«su skripts konfigurÄ NGINX un NGINX vienÄ«bu, lai tÄ apkalpotu ražoÅ”anai gatavu vietni ar iespÄjotu TLSSSL. AtkarÄ«bÄ no savÄm vajadzÄ«bÄm varat arÄ« turpmÄk pievienot:
atbalsts Brotli, uzlabota saspieÅ”ana lidojuma laikÄ, izmantojot HTTPS
Postfix vai msmtp, lai WordPress varÄtu nosÅ«tÄ«t pastu
Vietnes pÄrbaude, lai saprastu, cik lielu trafiku tÄ spÄj apstrÄdÄt
Lai nodroÅ”inÄtu vÄl labÄku vietnes veiktspÄju, iesakÄm jauninÄt uz NGINX Plus, mÅ«su komerciÄlais, uzÅÄmuma lÄ«meÅa produkts, kura pamatÄ ir atvÄrtÄ koda NGINX. TÄ abonenti saÅems dinamiski ielÄdÄtu Brotli moduli, kÄ arÄ« (par papildus samaksu) NGINX ModSecurity WAF. MÄs arÄ« piedÄvÄjam NGINX App Protect, WAF modulis NGINX Plus, kas balstÄ«ts uz nozarÄ vadoÅ”o droŔības tehnoloÄ£iju no F5.
NB Lai atbalstÄ«tu ļoti noslogotu vietni, varat sazinÄties ar ekspertiem Southbridge. MÄs nodroÅ”inÄsim Ätru un uzticamu JÅ«su mÄjas lapas vai pakalpojuma darbÄ«bu pie jebkuras slodzes.