Mana pieredze ar Plesku

Es vēlētos dalīties dažos iespaidos par vadības paneļa nepieciešamību komerciālam viena servera tīmekļa projektam ar ļoti nepilna laika administratoru. Stāsts sākās pirms pāris gadiem, kad daži draugu draugi lūdza mani pārraudzīt uzņēmuma — ziņu vietnes — iegādi no tehniskā viedokļa. Man bija jāiegūst pamatzināšanas par to, kas darbojas uz kura, jānodrošina, lai visa nepieciešamā informācija tiktu nodota pareizā formātā un apjomā, un stratēģiski jāizvērtē, ko varētu uzlabot.

Darījums bija noslēgts, vijolnieks vairs nebija vajadzīgs. Beigas. Ne gluži.

Vietne darbojās uz divkodolu 4 GB virtuālās mašīnas Linode platformā, kaut kādas novecojušas Debian 5 operētājsistēmas ar aptuveni 400 dienu darbības laiku un milzīgu novecojušu pakotņu sarakstu. Tīmekļa daļa darbojās ar pielāgotu satura pārvaldības sistēmu (CMS), nginx, PHP 5.3 FPM un uzlabotu Percona MySQL. Pamatā viss darbojās.

Sarunas laikā ar mani jaunais īpašnieks meklēja programmētāju, lai projektu īstenotu atbilstoši cerībām. Viņš tādu atrada. Programmētājs novērtēja trafiku un apjomu un nolēma, ka viņam piemīt talants optimizācijā un izmaksu pārvaldībā. Viņš visu vietni migrēja uz 700 rubļu vērtu koplietojamu mitināšanas pakalpojumu, ko pārvaldīja viņa ierastais informācijas nesējs. Pēc dažām dienām īpašnieks atkal piezvanīja: "Viss notiek lēni, un šķiet, ka esam salauzti." Es mēģināju situāciju labot, izmantojot vadības paneli, bet pēc vairākiem neveiksmīgiem mēģinājumiem mainīt PHP versiju vai apstrādātāju no fcgi uz fpm, es padevos un iegāju čaulā. Tur es atradu iespējotu atkļūdošanu, kas atklāja paroli visam internetam, 777 dažām mapēm, kuras tajā brīdī jau bija pilnas ar ļaunprātīgu programmatūru, un tamlīdzīgas muļķības. Īpašnieks saprata un nolēma, ka taupīt uz mitināšanu, programmētāju un administratoru, kas rūpīgi sekotu līdzi, kā viss notiek, ir nepareizi.

Mēs pārceļamies uz RuVDS. Tas ir nedaudz tuvāk nekā Apvienotās Karalistes Linode, un, ja pēkšņi vēlēsimies glabāt personas datus un visu pārējo, mums nebūs jāpārceļas nekur citur. Tā kā projekts bija paredzēts paplašināšanai, mēs iegādājāmies virtuālo mašīnu "izaugsmei": 4 kodoli, 8 GB atmiņas, 80 GB diska vietas. Ne jau tāpēc, ka es nezinu, kā manuāli pielāgot nginx konfigurācijas, man vienkārši nebija entuziasma tik intensīvi strādāt pie šī projekta (skatīt iepriekš par nepilna laika darbu). Tātad, es instalēju Plesk (es šeit izlaidīšu instalēšanas detaļas, jo tādas īsti nav: palaidiet instalētāju, iestatiet administratora paroli, ievadiet atslēgu, un viss). Toreiz tā bija 17.0. Pamata iestatījumi darbojas diezgan labi uzreiz pēc instalēšanas; tam ir fail2ban un jaunākās pieejamās PHP un nginx versijas. 

Varbūt man vajadzētu apstāties un paskaidrot, kāpēc. Tā kā es reti veicu šāda veida darbu un man nav īpašu rīku vai iepriekš iestatītu iestatījumu katrai situācijai, bija skaidrs, ka ir nepieciešama zināma pamatfunkciju automatizācija, pirmkārt, lai padarītu to ātru, otrkārt, lai nodrošinātu drošību un, treškārt, lai nodrošinātu, ka visa labākā prakse jau ir ieviesta.

Tā nu es to instalēju. Ietaupīju diezgan daudz laika, un vietne jaunajā serverī restartējās gandrīz acumirklī. Atlika tikai pielāgot muskuļu konfigurāciju, piešķirot pusi atmiņas un palielinot buferu kopu skaitu, un piešķirot pusi kodolu nginx (Splash nepieskaras globālajām konfigurācijām), un pēc tam uz pāris dienām pieteikties čaulā, lai apskatītu mysqltuner statistiku. Ak jā, un es nopirku maksas ImunifyAV no paplašinājumu kataloga, lai atbrīvotos no ievietotās ļaunprogrammatūras. Viņi atrada aptuveni 11 000 inficētu failu. Nepatīkamākais ir tas, ka statiskajos failos tika ievietoti apmulsināti koda fragmenti, un to manuāla tīrīšana būtu bijusi īsta problēma. Vispirms izmēģināju ClamAV, bet izrādījās, ka tas nevar tikt galā ar šādām lietām, kamēr ImunifyAV to varēja. Turklāt iztīrītie faili paliek funkcionāli; ar ļaunprogrammatūru inficētais fragments tiek vienkārši izdzēsts.

Matemātika ir vienkārša: 50 ASV dolāri mēnesī par VMware, 10 ASV dolāri par Plesk (patiesībā mazāk, jo mēs iegādājāmies pilnu gadu ar divu mēnešu atlaidi) un 3 ASV dolāri par antivīrusu. Vai arī daudz naudas par laiku, ko sākotnēji būtu pavadījis serverī, manuāli tīrot šos nekārtības. Īpašnieks bija diezgan apmierināts ar šo vienošanos.

Tikmēr mēs atradām jaunu programmētāju. Vienojāmies par atbildības sadalījumu, izveidojām apakšdomēnu testa versijai un ķērāmies pie darba. Viņš veidoja jaunu vietnes versiju Laravel vidē, bet es uzraudzīju fail2ban%).

Interesanti, ka ziņkārīgo cilvēku plūsma nekad nebeidzas, un aizliegto adrešu sarakstā vienmēr ir aptuveni simts adrešu. Efekts ir interesants: jo īpaši, kad es parasti piesakos čaulā, sveiciena ekrānā parasti tiek parādīti aptuveni 20 000–30 000 neveiksmīgu SSH pieteikšanās mēģinājumu. Ar iespējotu fail2ban to ir aptuveni 70. Ieguldītās pūles: 0. Diemžēl bija neliels āķis. Pēc noklusējuma WAF (modsecurity) bija "daļēji iespējots": noteikšanas režīmā. Tas ir, tas reģistrēja aizdomīgas aktivitātes žurnālā, bet neveica nekādas faktiskas darbības. Un fail2ban bez izšķirības nolasīja visus žurnālus atbilstoši iespējotajiem jailiem un izdzēsa visu, kas pārvietojās. Tādējādi mēs aizliedzām pusi redakcijas personāla :D. Mums bija jāatspējo šis jails un jāiekļauj baltajā sarakstā nepieciešamās IP adreses uzticamības labad. Ieguldītās pūles bija pāris peles klikšķi un redaktoru apmācība sniegt savas IP adreses.

Programmētājam uzreiz patika iespēja augšupielādēt datubāzes tieši panelī un ātra piekļuve phpMyAdmin.

Man patika žurnāli un dublējumkopijas. Žurnāli tiek rakstīti un mainīti automātiski pēc noklusējuma; dublējumkopijas ir ļoti viegli iestatīt. Vislēnākajos laikos tiek izveidota pilna aptuveni 10 GB dublējumkopija, un pēc tam katru dienu nedēļas garumā tiek izveidota 200 MB inkrementāla dublējumkopija. Atjaunošana ir detalizēta, līdz konkrētam failam vai datubāzei. Ja nepieciešams atjaunot no inkrementālas dublējumkopijas, nav jāuztraucas par pilnu dublējumkopiju un pēc tam jāatjauno visa ķēde — Plesk to visu dara automātiski. Dublējumkopijas var augšupielādēt jebkur: FTP, Dropbox, S3 Bucket, Google Drive utt.

G diena: Programmētājs beidzot pabeidza jauno dzinēju, mēs to ielādējām ražošanā, importējām vecos datus un apsēdāmies, lai izvēlētos mūsu nākotnes Maserati krāsu. Mēs joprojām izvēlamies.

Sākās pirmās problēmas. Jaunā vietne, kā jau paredzams, bija noslogotāka par veco, taču īstā problēma bija tā, ka viņi cita starpā izmantoja Yandex.Zen, lai piesaistītu datplūsmu, kas savukārt piesaistīja milzīgus apmeklētājus. Vietne avarēja pie mazāk nekā 150 vienlaicīgiem savienojumiem (es nerunāju par RPS, jo mēs to nemērījām). Viņi sāka bakstīt pogas un pielāgot kloķīšus php_fpm iestatījumu apgabalā:
 

Ups, tas jau satur 500 savienojumus. Kad es izmantoju savu kredītkarti reklāmas rīkiem, datplūsmas viļņi kļuva arvien lielāki. Nākamais pagrieziena punkts bija 1000 vienlaicīgi savienojumi. Šeit man bija jāuzlabo kods un jāpārbauda tā jauda. Splash nepalīdzēja, bet tas nebija tas, ko es gaidīju. Es iespējoju lēno vaicājumu žurnālu, pievienoju datubāzei indeksus, no koda noņēmu nevajadzīgos vaicājumus un vēlreiz pielāgoju MySQL konfigurāciju, sekojot mysqltuner ieteikumam.

Jauns izaicinājums – 2000 savienojumu. Tikko bija izlaista Plesk 17.8 versija, kas cita starpā pievienoja nginx kešatmiņu. Mēs atjauninājām (pārsteidzoši viegli). Mēs to izmēģinājām. Tas darbojas! Un tad mēs saskārāmies ar ķibeli: Yandex.Zen plūsma pārstāja darboties. Vietne darbojas, bet plūsma nedarbojas. Plūsma nedarbojas, nav datplūsmas. Atmosfēra kļūst karstāka. Apstākļu spiediena un iztēles trūkuma dēļ es nekavējoties mēģināju atrast nginx un atradu to, ko meklēju. Izrādās, ka kādā brīdī stulbais nginx kešatmiņā saglabāja nejaušu 500 kļūdu kā atbildi uz Yandex get feed.xml. Mēs to labojām, pievienojot izņēmumus kešatmiņas iestatījumiem:

Ir skaidrs, ka īpašniekam vajag VAIRĀK, un viļņi lēnām pieaug. Pagaidām mēs tiekam galā, bet mēs jau laikus sākām eksperimentēt ar memcached, jo Laravel to atbalsta gandrīz uzreiz. Mēs īsti negribējām instalēt memcached manuāli tikai tāpēc, lai paspēlētos, tāpēc mēs instalējām Docker attēlu. Tieši no informācijas paneļa.

Labi, es meloju, man vajadzēja ieiet korpusā un instalēt moduli, izmantojot pecl. Tieši tā. instrukcijasPagaidām nav nekā, ko ziņot par caurlaidspējas pieaugumu; nav bijuši būtiski pieaugumi. Vietnes dzinējs ir savienots ar localhost:11211, statistika tiek rādīta, bet atmiņa tiek patērēta. Ja mums tas patiks, redzēsim, ko darīt tālāk. Vai nu atstāsim to tādu, kāds tas ir, vai instalēsim "īsto" tieši operētājsistēmā. Vai arī mēģināsim Redis tādā pašā veidā.

Tad man vajadzēja iestatīt e-pasta biļetenu. Nekādu releju, tikai SMTP autentifikācija. Es izveidoju e-pasta adresi, un mēs izmantojām tās datus, lai nosūtītu biļetenu, izmantojot PHP.

Nesen tika izlaista Plesk Obsidian (18.0), un mēs to atjauninājām bez bailēm, pamatojoties uz iepriekšējo pieredzi. Viss noritēja ļoti gludi, nav nekā, par ko ziņot. Pozitīvi ir tas, ka saskarne ir ievērojami uzlabota, modernizēta un tagad dažās jomās lietotājam draudzīgāka. Uzlabotā uzraudzība Grafana ir lieliska funkcija.

Es to vēl neesmu detalizēti izpētījis, bet, piemēram, var iestatīt e-pasta brīdinājumus jebkuram parametram. Īpašniekam, lol.

Runājot par saskarni, tā ir atsaucīga un ļoti labi darbojas tālrunī. Sākumposmā, kamēr mēs centāmies atrast optimālos PHP iestatījumus un citas lietas, tas bija milzīgs palīgs. It īpaši, kad programmētājs, darba entuziasma lēkmē, strādā pie kaut kā pulksten 23:00, bet es esmu darba entuziasma lēkmē, dzeru šņabi pirtī, un man STEIDZAMI kaut kas ir jāmaina.

Ak, starp citu. Attēlā var redzēt, ka ir parādījies PHP Composer. Mēs vēl neesam ar to spēlējušies, bet, piemēram, Laravel gadījumā tas var ietaupīt pāris čaulas pieteikšanās reižu un nedaudz laika atkarību instalēšanai. Līdzīga sistēma pastāv arī Node.JS un Ruby.

SSL ir vienkāršs. Ja domēns tiek identificēts, kā paredzēts, Let's Encrypt tiek instalēts ar vienu klikšķi un automātiski atjauninās gan pašam domēnam, gan apakšdomēniem, gan pat e-pasta pakalpojumiem.

Pats Plesk pašlaik ir diezgan lietotājam draudzīgs un stabils. Tas klusi atjaunina sevi un operētājsistēmu, izmanto maz resursu un darbojas nevainojami. Es pat neatceros nekādas problēmas, ko varētu uzskatīt par skaidru produkta defektu. Protams, dažas problēmas bija, taču tās bija vai nu nepilnīgas konfigurācijas, vai arī radušās kaut kur pa ceļam, tāpēc tur īsti nav ko pārmest. Kopumā mana pieredze ar Plesk ir bijusi patīkama. Kas tam nav, un tas ir svarīgi saprast, ir jebkāda veida klasterizācija. Nav LB, nav HA. Var mēģināt, bet ieguldījums būs tik liels, ka labāk jau no paša sākuma darīt kaut ko citu.

Es domāju, ka mēs varam rezumēt. Situācijā, kad nav administratora vai ir tikai daži, kad mitināšanas un tajā darbojošās(-o) vietnes(-u) izmaksas pārsniedz, teiksim, 100 USD, kad mēs nerunājam par milzīgu koplietojamu serveri ar 1500 vietnēm, kad lēmumu pieņēmējam ir jāizdara izvēle starp nepilna laika administratora nolīgšanu, programmatūras iegādi un "pusslodzes" administratora nolīgšanu vai vispār nealgošanu — tas noteikti ir loģiski. No attālināta administratora viedokļa tas ir tas pats. 10 USD mēnesī ietaupa laiku un nodrošina elastību darbam ļoti lielā mērogā.оLielāka summa. Piemēram, ja man stingri lūgs uzņemties līdzīgu projektu savā paspārnē, es pieprasīšu tā pārvietošanu uz Plesk.

Avots: www.habr.com