本文將介紹Linux環境下如何安裝Web服務基礎運行環境,包括以下內容:
安裝jdk
安裝Tomcat
安裝MySQL
安裝PHP
安裝Nginx
安裝SSL證書
整合Nginx和Tomcat
整合完成后,服務器將可以滿足大部分應用場景需求。
以下案例使用的服務器是一款美國的VPS,騰訊云、阿里云等云主機搭建過程與之類似。
首先看一下服務器的參數
這臺服務器內存有1G,使用的是CentOS7 64位系統,可以跑中小型的Java Web程序。特別提醒,由于目前的項目一般都會用到springmvc、mybatis等一堆框架,對內存的消耗很大,建議內存最低配置要1G以上。以這臺服務器為例,只跑一個應用,由于用了較多的框架,tomcat內存占用已達到277M。
之前我圖省錢選擇了768M內存的VPS,發現每隔一段時間Tomcat就無緣無故shutdown,花了很長時間排查原因,最后查看系統日志才發現是由于java內存占用過高而被系統 強制kill掉。
事前準備
由于這臺VPS默認的語言環境是英文,所以需要先切換到中文。
(1)設置語言
export LANG="zh_CN.UTF-8"
(2)重新載入
. /etc/profile
(3)檢查修改結果
echo $LANG
此外,由于是美國的服務器,所以還要將系統的時間改為北京時間,執行以下命令:
(1)修改日期
date -s 16/11/2017
(2)修改時間(這里是上午11:35)
date -s 111:35
(3)將時鐘寫入CMOS,確保重啟后依然生效(記得不要漏了這一句)
clock -w
(4)修改時區
cp -f /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
會提示是否覆蓋,選Y
安裝JDK
先檢查一下系統是否已經裝了jdk
rpm -qa | grep jdk
某些系統可能安裝了openjdk,不過據說這個版本可能兼容性不是很好,你可以看情況選擇是否要卸載而重新安裝Oracle版本。我這里選擇的是卸載后重新安裝。
(1)卸載
yum remove java-1.7.0-openjdk
(2)安裝Oracle官方的JDK
先要下載rpm安裝包,可以在瀏覽器打開jdk下載頁面,右鍵獲取鏈接。但是目前網頁需要進行用戶驗證(需要你點擊accept才能下載),所以wget的時候要加上一些參數來跳過這個檢查
wget --no-check-certificate --no-cookie --header "Cookie:oraclelicense=accept-secureback-cookie;" http://download.oracle.com/otn-pub/java/jdk/8u121-b13/e9e7ea248e2c4826b92b3f075a80e441/jdk-8u121-linux-x64.rpm
(3)直接安裝
rpm -ivh jdk-8u121-linux-x64.rpm
系統默認會將jdk安裝到這個位置:/usr/java/jdk1.8.0_121
安裝Tomcat
Tomcat可以使用yum或者下載安裝的方式,我這里采用的是下載安裝的方式。
(1)下載壓縮包
wget http://www-us.apache.org/dist/tomcat/tomcat-8/v8.5.11/bin/apache-tomcat-8.5.11.tar.gz
(2)解壓縮
tar -zxvf apache-tomcat-8.5.11.tar.gz
(3)將apache-tomcat-8.5.11 移動到/usr/local目錄下
mv apache-tomcat-8.5.11 /usr/local
(4)將apache-tomcat-8.5.11目錄名更名為tomcat
mv/usr/localapache-tomcat-8.5.11/usr/localtomcat
為了安全起見,我們一般會將諸如Tomcat、Nginx等對外提供服務應用的目錄權限修改一下。
(1)新建一個tomcat用戶組
groupadd tomcat
(2)新建一個tomcat用戶并加入tomcat用戶組,同時限制該賬戶無法使用bash
useradd -g tomcat -s /sbin/nologin tomcat
(3)可以使用以下命令查看一下設置結果
id tomcat
(4)將tomcat目錄的擁有者改為tomcat,并將目錄權限改為770:
chown -R tomcat:tomcat /usr/local/tomcat
chmod -R 770 /usr/local/tomcat
此外,我們一般還會設置Tomcat隨系統自動啟動。
(1)在tomca/bin 目錄下面,增加 setenv.sh 配置,catalina.sh會在tomcat啟動的時候被調用。
這個文件包含如下兩行內容(Java內存參數根據自己服務器配置來修改):
#指定tomcat pid的路徑,系統將以此來區分進程
CATALINA_PID="$CATALINA_BASE/tomcat.pid"
#增加一些java內存配置參數,并修改一下時區,否則tomcat日志的時間可能不準確
JAVA_OPTS="-Xms256m -Xmx512m -Xss1024K -XX:PermSize=64m -XX:MaxPermSize=128m -Duser.timezone=Asia/Shanghai"
(2)添加服務
切換至/usr/lib/systemd/system/目錄,建立tomcat.service文件并輸入以下內容:
[Unit]
Description=Tomcat
After=syslog.target network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/usr/local/tomcat/tomcat.pid
ExecStart=/usr/local/tomcat/bin/startup.sh
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
User=tomcat
Group=tomcat
[Install]
WantedBy=multi-user.target
(3)設置為開機啟動
systemctl enable tomcat
(4)啟動、停止、重啟tomcat命令:
#啟動tomcat
systemctl start tomcat
#停止tomcat
systemctl stop tomcat
#重啟tomcat
systemctl restart tomcat
#查看tomcat服務狀態
systemctl status tomcat.service
systemctl status tomcat.service
如果看到狀態為active(running),表明tomcat已經成功啟動。不過,這時候你還不能通過http://IP地址:8080來訪問tomcat,因為我們還沒有開放8080端口。先別急,我們繼續往下走。
安裝PHP
(1)先檢查系統是否已經安裝了php及其版本
yum list installed | grep php
(2)如果有安裝的PHP包,先刪除他們
yum remove php.*
(3)配置yum源(可能要試幾次才能成功)
rpm -Uvh https://mirror.webtatic.com/yum/el7/epel-release.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
(4)接著就一次性安裝php及相關組件
yum install php56w.x86_64 php56w-cli.x86_64 php56w-common.x86_64 php56w-gd.x86_64 php56w-ldap.x86_64 php56w-mbstring.x86_64 php56w-mcrypt.x86_64 php56w-mysql.x86_64 php56w-pdo.x86_64 php56w-fpm.x86_64
(5)檢查一下php是否安裝成功:
由于我們使用的是yum的安裝方式,所以已經幫我們配置好相關的service了,直接啟動就可以,相關命令:
#啟動
systemctl start php-fpm
#重啟
systemctl restart php-fpm
#停止
systemctl stop php-fpm
#設置開機啟動php-fpm
systemctl enable php-fpm.service
接下來,我們要對php進行一下配置。
(1)打開php.ini配置文件
vi /etc/php.ini
(2)限制PHP只能操作指定目錄下的文件,注意后面要加斜杠。
由于我們會用到Nginx服務器,所以這里我們將PHP目錄直接放到Nginx默認的web路徑之下(見下文)
open_basedir = /usr/local/nginx/html/
另外還會有很多安全選項可以配置,如allow_url_include、allow_url_fopen、allow_url_include、display_errors等,這些選項在正式環境下建議關閉。不過由于本案例會用到phpMyAdmin這個可視化工具來管理MySQL數據庫,所以暫時先保留默認狀態。
安裝MySQL
這臺服務器默認安裝了MariaDB(MySQL的一個分支),其用法基本跟MySQL一致,但也有微小區別(如字段大小寫問題),由于我在本地開發的時候用的是MySQL,所以這里我還是換回了MySQL。
(1)卸載MariaDB
檢查系統是否安裝了mariadb
rpm -qa | grep mariadb
強制卸載
rpm -e –nodeps mariadb-libs-5.5.37-1.el7_0.x86_64
(2)下載mysql的repo源
wget http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm
(3)安裝mysql-community-release-el7-5.noarch.rpm包
rpm -ivh mysql-community-release-el7-5.noarch.rpm
安裝這個包后,會獲得兩個mysql的yum repo源:
/etc/yum.repos.d/mysql-community.repo
/etc/yum.repos.d/mysql-community-source.repo
(4)之后就可以使用yum方式安裝mysql
yum install mysql-server
(5)設為開機啟動并立即啟動服務
systemctl enable mysqld
systemctl start mysqld
安裝完之后要第一時間進行安全初始化設置,直接輸入mysql_secure_installation
mysql_secure_installation
該指令會引導你完成初始化操作:
Set root password? [Y/n] <– 回車
New password: <– 輸入ROOT密碼 // KD020lzb@
Re-enter new password: <– 再輸入一次ROOT密碼
Remove anonymous users? [Y/n] <– 回車
Disallow root login remotely? [Y/n] <– 回車
Remove test database and access to it? [Y/n] <– 回車
Reload privilege tables now? [Y/n] <– 回車
(6)可以驗證一下剛才設置的密碼
此外,由于我們數據庫會用到中文字符集,所以要進行一下相應配置。
(1)修改/etc/my.cnf
vi /etc/my.cnf
在[client]段增加:
default-character-set=utf8
在[mysqld]段增加:
character-set-server=utf8
collation-server=utf8_general_ci
(2)配置完成后要重啟服務
systemctl restart mysqld
安裝Nginx
我使用的是手工安裝的方式,你也可以選擇yum方式
(1)Nginx的運行需要依賴以下組件,需要先安裝
yum install -y gcc-c++
yum install -y pcre pcre-devel
yum install -y zlib zlib-devel
yum install -y openssl openssl-devel
(2)下載安裝包
wget -c https://nginx.org/download/nginx-1.10.2.tar.gz
(3)解壓
tar -zxvf nginx-1.10.2.tar.gz
(4)進入nginx-1.10.2目錄,直接編譯安裝
./configure
make
make install
默認會安裝到/usr/local/nginx目錄。
(5)設置開機啟動,方式跟tomcat類似
vi /usr/lib/systemd/system/nginx.service
輸入以下內容:
[Unit]
Description=nginx - high performance web server
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
設置開機啟動并立即啟動服務
systemctl enable nginx.service
systemctl start nginx.service
(6)開放相關端口
在訪問應用之前,我們要先在防火墻中開放相關的端口,可以直接使用以下命令:
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
這時候輸入http://IP地址,應該就能夠看到Nginx中默認的頁面了。不過由于我們沒有開放8080端口,所以你不能使用8080端口來訪問Tomcat。為什么不開放8080端口呢?因為我們不需要開放,我們走的是Nginx反向代理,Nginx會自動根據配置(見下文)將內容轉交給Tomcat處理。
接下來申請SSL證書并對Nginx和Tomcat進行整合。
申請免費的SSL證書
目前SSL證書大部分都是要收費的。對于企業網站,建議還是花點錢買個安心吧,而對于個人網站,可以選擇免費的Let's encrypt。
安裝SSL證書的過程并不復雜,第一步是申請證書,第二步是在Nginx中配置證書路徑。
(1)安裝certbot工具
yum install epel-release
yum install certbot
這個工具會在 你的網站根目錄(也就是/usr/local/nginx/html)/.well-known 生成特殊的文件,在申請證書時,Let's Encrypt 服務會通過 http 來訪問此文件,以簽證服務器,所以在使用 certbot 獲取證書之前,你要確保可以瀏覽器中能夠通過http正常訪問服務器。
(2)申請證書
certbot certonly -a webroot --webroot-path=/usr/local/nginx/html -d xxx.com -d www.xxx.com
這里的--webroot-path指定網站的根目錄,使用-d來指定應用證書的域名,如果有多個,使用多個-d就可以(一般至少應該兩個,一個沒有www、一個有www)。
最終會在 /etc/letsencrypt/live/xxx.com 下,生成四個 PEM 文件
cert.pem: 域名證書
chain.pem:Let's Enctrypt chain certificate
fullchain.pem:cert.pem 和 chain.pem 組成
privkey.pem:證書的私鑰
我們需要用到的是后面的兩個:fullchain.pem和privkey.pem
(3)在Nginx中應用證書
這一步見下一部分的具體配置。
(4)配置自動更新證書
因為 Let's Encrypt 的證書有效期是90天,到期前要更新證書。certbot 提供了更新證書的命令 cerbot renew。添加一個 conb job 來實現自動更新
crontab -e
輸入
30 2 * * 1 /usr/bin/certbot renew >> /var/log/le-renew.log
35 2 * * 1 /usr/bin/systemctl reload nginx
保存即可創建 cron job。以后每周1的凌晨2點30自動更新證書,2點35自動重啟nginx。
Nginx與Tomcat終極整合
Nginx對于靜態內容的處理能力非常強,跟Tomcat整合我們一般會將靜態資源交給Nginx來處理,同時,考慮到我們會使用靜態化技術來將頁面轉為html并會用到文件上傳功能,所以,我們要將Nginx目錄的權限也交給tomcat用戶,以便其可以正常將文件寫入到/usr/local/nginx/html目錄下。
chown -R tomcat:tomcat /usr/local/nginx
修改/usr/local/nginx/conf/nginx.conf,內容如下,我已經在要關注的地方進行了說明。這個配置主要實現了以下幾項功能:
(1)與Tomcat服務器整合(支持集群)
(2)支持ssl,對特定目錄強制使用https協議,其他目錄則可以分別使用兩種協議
(3)與php整合,對phpMyAdmin增加多一重auth basic驗證
#注意改為tomcat
user tomcat;
#根據服務器CPU數量來設
worker_processes 1;
error_log logs/error.log;
#這個pid路徑要跟/usr/lib/systemd/system/nginx.service中的保持一致
pid logs/nginx.pid;
events {
use epoll;
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main;
sendfile on;
tcp_nopush on;
keepalive_timeout 65;
types_hash_max_size 2048;
#注意這里我們包含了一個proxy.conf文件,該文件也是位于/usr/local/nginx/conf目錄,下文會講
include proxy.conf;
#下面這堆配置主要用來限制并發連接數,以及壓縮內容節省帶寬
limit_conn_zone $binary_remote_addr zone=addr:10m;
gzip on;
gzip_min_length 1000;
gzip_comp_level 4;
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
open_file_cache max=655350 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
#定義Tomcat服務器的位置,包括端口、權重。如果要配置集群,可以在其中增加多個server,只要將localhost改為具體IP地址并設置權重即可。這里實用的是ip_hash方案,即對于集群環境下,根據ip地址來確定內容轉交給哪個Tomcat處理。
upstream tomcats{
ip_hash;
server localhost:8080 weight=1;
}
#下面定義的是默認監聽端口80,我們要求所有java action(jsp)以及php都走https協議,因此80端口下放的都是靜態資源(html、圖片、js等),因此無須太多的配置。
server{
listen 80;
server_name xxx.com www.xxx.com;
#admin目錄和phpMyAdmin目錄強制使用https協議
location ~ /(admin|phpMyAdmin)/ {
return 301 https://$server_name$request_uri;
}
#do、jsp等交由Tomcat來處理
location ~ .*.(do|jsp|action|jspx|shtml)?$ {
proxy_pass http://tomcats;
}
}
#下面是監聽https協議(默認443端口)
server {
listen 443 ssl;
server_name xxx.com www.xxx.com;
server_tokens off;
charset utf-8;
//限制并發連接數,這里的“addr”是在前面的“ limit_conn_zone”中定義的,名稱要保持一致
limit_conn addr 5;
#只允許我們的域名訪問
if ($host !~ ^(xxx.com|www.xxx.com|images.xxx.com)$ ) {
return 444;
}
#屏蔽非法請求類型
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
#拒絕異常的User-Agents
if ($http_user_agent ~* LWP::Simple|BBBike|wget) {
return 403;
}
if ($http_user_agent ~* Sosospider|YodaoBot) {
return 403;
}
#設置網站根目錄
root /usr/local/nginx/html;
#設置默認首頁
index index.html index.htm index.php;
include /etc/nginx/default.d/*.conf;
#配置ssl證書
ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
location / {
}
location ^~ /static/{
}
#admin目錄轉交Tomcat處理
location ~ /admin/ {
proxy_pass http://tomcats;
}
#do、jsp等資源轉交Tomcat處理
location ~ .*.(do|jsp|action|jspx|shtml)?$ {
proxy_pass http://tomcats;
}
#phpMyAdmin目錄轉交php處理
location ~ /phpMyAdmin/ {
fastcgi_index index.php;
location ~ .*.(php|php5)?$ {
#這里的9000端口是在/etc/php.ini中配置的,9000是默認值,你也可以修改
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
#/配置auth_basic驗證
auth_basic "security";
#密碼保存在哪里
auth_basic_user_file /usr/local/nginx/conf/passwd;
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
}
上面的配置文件中我們還調用了兩個配置文件:proxy.conf、passwd。
proxy.conf的內容如下:
proxy_redirect off; #代理重定向關閉
proxy_set_header Host $host; #從header頭中獲取的主機名
proxy_set_header X-Real-IP $remote_addr;#獲取header頭中獲取的主機的真實IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #獲取header頭中獲取代理者的真實ip
proxy_set_header X-Forwarded-Proto $scheme;
server_names_hash_bucket_size 128;
large_client_header_buffers 4 32k; #設置請求緩存
client_header_buffer_size 64k; #客戶端上傳文件緩存大小
client_max_body_size 300m; #設置客戶端能夠上傳文件大小
client_body_buffer_size 512k;
proxy_connect_timeout 60; #跟后臺服務器連接超時時間發起握手等待響應超時時間
proxy_send_timeout 90; #后臺服務器數據回傳時間,就是在規定時間內后端服務器必須傳完所有數據
proxy_read_timeout 90; #連接成功后,等待服務器響應時間,其實已經進入后端的排隊之中等待處理
proxy_buffer_size 16k; #設置請求緩存區,這個緩存區會保存用戶的頭信息,以供nginx進行規則處理,一般只要能保存下頭信息即可
proxy_buffers 4 64k; #告訴nginx保留單個用到幾個Buffer最大用多少空間
proxy_busy_buffers_size 128k; #代理忙碌時使用的緩沖區大小
proxy_temp_file_write_size 128k;#緩存臨時文件的大小
而passwd文件則要通過命令來生成:
printf "admin:$(openssl passwd -crypt admin888) " >>/usr/local/nginx/conf/passwd
上面的admin是用戶名、admin888是密碼。當我們訪問http://xxx.com/phpMyAdmin的時候,將會先彈出以下提示,然后才進入正常的登陸界面。
除了配置Nginx外,我們還要配置Tomcat。
打開/usr/local/tomcat/conf/server.xml,在 節增加如下內容:
remoteIpHeader="X-Forwarded-For"
protocolHeader="X-Forwarded-Proto"
protocolHeaderHttpsValue="https"/>
這里順便將Host的unpackWARs以及autoDeploy設置成false,主要是為了提高安全性。
至此,所有配置完成,訪問網站的時候可以看到URL位置有“安全連接”的提示:
