记录一下,多版本PHP安装

原有版本 PHP7.*,现在想多装一个 PHP5.4 低版本运行一些东西

下载PHP5.4的最新安装包

wget http://cn2.php.NET/get/php-5.4.45.tar.gz/from/this/mirror

./configure --prefix=/usr/local/php54 --with-config-file-path=/usr/local/php54/etc --enable-fpm --with-fpm-user=www --with-fpm-group=www --with-mysql=mysqlnd --with-mysqli=mysqlnd --with-pdo-mysql=mysqlnd --with-iconv-dir --with-freetype-dir=/usr/local/freetype --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-dir=/usr --enable-xml --disable-rpath --enable-bcmath --enable-shmop --enable-sysvsem --enable-inline-optimization --with-curl --enable-mbregex --enable-mbstring --with-mcrypt --enable-ftp --with-gd --enable-gd-native-ttf --with-openssl --with-mhash --enable-pcntl --enable-sockets --with-xmlrpc --enable-zip --enable-soap --with-gettext --enable-fileinfo --enable-intl --with-xsl

$ make && make install
$ cp -R ./sapi/fpm/php-fpm.conf /usr/local/php54/etc/php-fpm.conf
$ cp php.ini-development /usr/local/php54/lib/php.ini
$ cp -R ./sapi/fpm/php-fpm /etc/init.d/php-fpm54

解决unix:///tmp/supervisor.sock no such file的问题

1.起因

Supervisor 是一个非常好用的进程监控软件,但是在使用过程中,经常会出现一段时间之后 执行 supervisorctl status 的时候会提示 unix:///tmp/supervisor.sock no such file ,最终发现原因为 linux 系统会不定期的清理 tmp 文件夹导致。

2.解决方案

更改 Supervisor 启动时的配置文件路径。
1.停止 Supervisor 所有的监控对象

supervisorctl stop all

2.停止 kill -9 supervisord 进程

3.修改配置文件

vim /etc/supervisord.conf

4.修改 tmp 路径,我常用的路径为 /home/supervisor ,最终结果为

/tmp/supervisor.sock => /home/supervisor/supervisor.sock

5.重新启动 supervisord

简单记录一下证书相关的后缀

之前没接触过证书加密的话,对证书相关的这些概念真是感觉挺棘手的,因为一下子来了一大堆新名词,看起来像是另一个领域的东西,而不是我们所熟悉的编程领域的那些东西,起码我个人感觉如此,且很长时间都没怎么搞懂.写这篇文章的目的就是为了理理清这些概念,搞清楚它们的含义及关联,还有一些基本操作.

SSL
SSL - Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.More:[维基百科]

OpenSSL - 简单地说,OpenSSL是SSL的一个实现,SSL只是一种规范.理论上来说,SSL这种规范是安全的,目前的技术水平很难破解,但SSL的实现就可能有些漏洞,如著名的"心脏出血".OpenSSL还提供了一大堆强大的工具软件,强大到90%我们都用不到.

证书标准
X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.

编码格式
同样的X.509证书,可能有不同的编码格式,目前有以下两种编码格式.

PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.
查看PEM格式证书的信息:openssl x509 -in certificate.pem -text -noout
Apache和*NIX服务器偏向于使用这种编码格式.

DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
查看DER格式证书的信息:openssl x509 -in certificate.der -inform der -text -noout
Java和Windows服务器偏向于使用这种编码格式.

相关的文件扩展名
这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码,相信你已经知道怎么辨别.

CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
查看KEY的办法:openssl rsa -in mykey.key -text -noout
如果是DER格式的话,同理应该这样了:openssl rsa -in mykey.key -text -noout -inform der

CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS APP的朋友都应该知道是怎么向苹果申请开发者证书的吧.
查看的办法:openssl req -noout -text -in my.csr (如果是DER格式的话照旧加上-inform der,这里不写了)

PFX/P12 - predecessor of PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
这个时候会提示你输入提取代码. for-iis.pem就是可读的文本.
生成pfx的命令类似这样:openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

证书编码的转换
PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der

DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem

(提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req...)

获得证书
向权威证书颁发机构申请证书

用这命令生成一个csr: openssl req -newkey rsa:2048 -new -nodes -keyout my.key -out my.csr
把csr交给权威证书颁发机构,权威证书颁发机构对此进行签名,完成.保留好csr,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的csr来申请新的证书,key保持不变.

或者生成自签名的证书
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out cert.pem
在生成证书的过程中会要你填一堆的东西,其实真正要填的只有Common Name,通常填写你服务器的域名,如"yourcompany.com",或者你服务器的IP地址,其它都可以留空的.
生产环境中还是不要使用自签的证书,否则浏览器会不认,或者如果你是企业应用的话能够强制让用户的浏览器接受你的自签证书也行.

Supervisor 安装与使用

经常能用的到,网上的资料有点混乱,所以在此记录一下。

1.安装

# yum install python-setuptools
# easy_install supervisor

2.生成配置文件(supervisord.conf):

# echo_supervisord_conf > /etc/supervisord.conf

3.修改配置文件(/etc/supervisord.conf)

;[include]
;files = relative/directory/*.ini

修改为

[include]
files = /yourdir/*.conf

将配置文件中的 /tmp 目录,全部修改为你自己的目录,例如 /home/supervisor

4.启动supervisor

# supervisord -c /etc/supervisord.conf  
# supervisorctl //打开命令行

5.示例配置(/yourdir/test.conf)

[program:test]
user = www                     ; 用哪个用户启动
directory = /home/wwwroot/test ; 程序的启动目录
command = php think queue:work --daemon  ; 启动命令,与在命令行启动的命令是一样的
autostart = true                         ; 在 supervisord 启动的时候也自动启动
startsecs = 5                            ; 启动 5 秒后没有异常退出,就当作已经正常启动了
autorestart = true                       ; 程序异常退出后自动重启
startretries = 3                         ; 启动失败自动重试次数,默认是 3
redirect_stderr = true                   ; 把 stderr 重定向到 stdout,默认 false
stdout_logfile_maxbytes = 10MB           ; stdout 日志文件大小,默认 50MB
stdout_logfile_backups = 20              ; stdout 日志文件备份数
; stdout 日志文件,需要注意当指定目录不存在时无法正常启动,所以需要手动创建目录(supervisord 会自动创建日志文件)
stdout_logfile = /home/supervisor/test/stdout.log

如果修改了 /etc/supervisord.conf ,需要执行 supervisorctl reload 来重新加载配置文件,否则不会生效。

此篇只针对 centos进行过测试,其他linux版本未知

暂未做supervisord的开机启动,当系统重启的时候 需要手动运行 supervisord 来启动 supervisor服务

1.起因

Supervisor 是一个非常好用的进程监控软件,但是在使用过程中,经常会出现一段时间之后 执行 supervisorctl status 的时候会提示 unix:///tmp/supervisor.sock no such file ,最终发现原因为 linux 系统会不定期的清理 tmp 文件夹导致。

2.解决方案

更改 Supervisor 启动时的配置文件路径。
1.停止 Supervisor 所有的监控对象

supervisorctl stop all

2.停止 kill -9 supervisord 进程

3.修改配置文件

vim /etc/supervisord.conf

4.修改 tmp 路径,我常用的路径为 /home/supervisor ,最终结果为

/tmp/supervisor.sock => /home/supervisor/supervisor.sock

5.重新启动 supervisord

Let's Encrypt

克隆脚本

sudo git clone https://github.com/diafygi/acme-tiny.git  
cd acme-tiny

创建Let's Encrypt私钥

openssl genrsa 4096 > account.key

创建CSR(Certificate Signing Request,证书签名请求) 文件

将需要加密的域名加到下面的代码中,目前一张证书最多可以加密 100 个域名:

openssl genrsa 4096 > domain.key     
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

证明你拥有该域名

手动生成challenges目录,用来存放验证文件(路径可以根据需要修改)

mkdir -p /var/www/challenges

配置nignx的80端口

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;
    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }
}

获取签名证书

sudo chmod +x acme_tiny.py  
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

安装证书

针对nginx, 你还需要将 Let's Encrypt 的中间件证书 intermediate.pem 内容附加在签名证书signed.crt之后:

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem  
cat signed.crt intermediate.pem > chained.pem

server {
    listen 443;
    server_name yoursite.com www.yoursite.com;

    ssl on;
    ssl_certificate /path/to/chained.pem;
    ssl_certificate_key /path/to/domain.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
    ssl_session_cache shared:SSL:50m;
    ssl_prefer_server_ciphers on;

    #...你的其他配置
}

证书自动更新定时任务

#!/usr/bin/sh

python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem

cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem

service nginx reload

定时任务可以设置为每个月执行一次:

0 0 1 * * /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log

设置网站跳转

location / {
    if ($host = "cjango.com") {
        return 301 https://www.cjango.com$request_uri;
    }
}

PHP提高性能的几个设置

$sudo sysctl vm.nr_hugepages=512
zend_extension="opcache.so"
opcache.memory_consumption=128
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=4000
opcache.fast_shutdown=1
opcache.enable_cli=1
opcache.enable=1
opcache.file_cache=/tmp
opcache.huge_code_pages=1
opcache.validate_timestamps=1
opcache.revalidate_freq=0

Nginx 负载均衡

nginx.png

一.需要使用nginx的upstream模块.

    http {
        upstream myServerList {
            server 192.168.1.2;
            server 192.168.1.3;
            server 192.168.1.4;
        }

        server {
            listen 80;
            server_name 192.168.1.1;
            location / {
                proxy_pass http://myServerList;
            }
        }
    }

二.nginx中的upstream支持下面几种方式:

1.轮询(默认,按照时间顺序对所有服务器一个一个的访问,如果有服务器宕机,会自动剔除)
2.weight(服务器的方位几率和weight成正比,这个可以在服务器配置不均的时候进行配置)
    upstream myServerList {
        server 192.168.1.2 weight=3;
        server 192.168.1.3 weight=2;
        server 192.168.1.4; #默认权重为1
    }
3.ip_hash(对每个请求的ip进行hash计算,并按照一定的规则分配对应的服务器)
    upstream myServerList {
        ip_hash;
        server 192.168.1.2;
        server 192.168.1.3;
     }

如果负载均衡成功之后,也可以尝试在单台LANMP架构的服务器上,开启多个Apache虚拟机,或许可以提高响应速度.

在linux中正确的安装Xcache加速php

在linux中正确的安装Xcache加速php,亲测,未安装之前内存消耗为3.4M/req,安装之后,执行过一次页面后,使用内存小于600Kb。

  1. 第一步,下载Xcache

  2. 第二步,解压Xcache源码

  3. 第三步,非常重要

    安装前要执行phpize配置
    /php的路径/bin/phpize

  4. 第四步,配置->编译->安装

    配置

    ./configure --prefix=/php的路径/lib/php/extensions
    --with-php-config=/php的路径/bin/php-config
    --enable-xcache

    编译 && 安装

    make && make install

  5. 第五步,重启服务器

    service httpd restart

需要注意的是zend optimizer和Xcache可能会有冲突

支持跨域请求的nginx CDN服务器配置

server
    {
        listen 80;
        server_name cdn.cjango.com;
        root /home/www/cjango;
        location / {
            add_header Access-Control-Allow-Origin *;
            add_header Access-Control-Allow-Headers X-Requested-With;
            add_header Access-Control-Allow-Methods GET;
            expires      1d;
        }
        access_log  off;
    }

扫一扫