LNMP第五节(6月12日)

12.17 Nginx负载均衡
12.18 ssl原理
12.19 生成ssl密钥对
12.20 Nginx配置ssl

12.17 Nginx负载均衡

代理一台服务器叫代理,代理多太服务器叫负载均衡。可以让多个服务器同时提供服务。当后端的一台服务器宕机可以让其他服务器来处理请求,在用户看来并没有差别。

步骤

1.配置文件

1
[root@localhost ~]# vim /usr/local/nginx/conf/vhost/load.conf

新建个load.conf的配置文件来做负载均衡

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
upstream qq
{
    ip_hash;
    server 59.37.96.63:80;
    server 58.60.9.21:80;
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://qq;
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

upstream 后面加自定义模块名字 ip_hash可以让用户的请求此终访问同一台服务器上 proxy_pass 由于是代理多个IP,因此这个用模块名字即可

2.检查语法并加载配置文件

1
2
[root@localhost vhost]# /usr/local/nginx/sbin/nginx -t
[root@localhost vhost]# /usr/local/nginx/sbin/nginx -s reload

测试

1
[root@localhost ~]# curl -x 127.0.0.1:80 www.qq.com


成功的代理到qq的站点上

小知识

dig:查看某个站点的域名解析

yum install -y bind-utils 安装dig工具

1
[root@localhost ~]# dig www.qq.com

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> www.qq.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53086
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.qq.com.            IN    A

;; ANSWER SECTION:
www.qq.com.        167    IN    A    59.37.96.63
www.qq.com.        167    IN    A    58.60.9.21

;; Query time: 13 msec
;; SERVER: 119.29.29.29#53(119.29.29.29)
;; WHEN: 六 6月 09 21:22:16 CST 2018
;; MSG SIZE  rcvd: 71

12.18 ssl原理

SSL(Secure Sockets Layer 安全套接层))是为网络通信提供安全及数据完整性的一种安全协议。https就是使用了SSL来传输数据的,https对比http传输数据时候数据进行加密,更加安全。

  • 工作流程
    • 1.用户发送请求给服务端
    • 2.服务器上有SSL证书(一对公私钥,公钥用于加密,私钥用于解密)
    • 3.服务器把公钥给用户
    • 4.用户收到公钥,浏览器先检验是否有效(证书的厂商事先和浏览器的厂商沟通认可)有效的并生成一串随机字符串,再使用公钥对字符串加密。
    • 5.把加密都的字符串给回服务器
    • 6.服务器用私钥对加密的字符串进行解密,再使用字符串对客服请求的数据进行加密
    • 7.服务器把加密后的请求数据返回给用户
    • 8.用户使用随机字符串对加密后的请求数据进行解密

12.19 生产ssl密钥对

由于没钱,这里我们就自己给自己颁发证书。

步骤

1.进入/usr/local/ngnix/conf/目录下并下载openssl工具(生成公钥,私钥 ,csr文件)

1
2
[root@localhost ~]# cd /usr/local/nginx/conf/
[root@localhost conf]# yum install -y openssl

2.生成私钥并输入私钥密码

1
[root@localhost conf]# openssl genrsa -des3 -out si.key 2048

genrsa 生成私钥格式为rsa -des3 使用3des进行加密 2048为长度

3.取消私钥密码(访问服务器时输入密码太麻烦)

1
[root@localhost conf]# openssl rsa -in si.key -out private.key

si.key和private.key是同一个私钥,只是private.key没有密码

4.删除原私钥

1
[root@localhost conf]# rm -f si.key

5.生成csr文件(该文件和私钥一起生成公钥)

1
[root@localhost conf]# openssl req -new -key private.key -out kun.csr
1
2
3
4
5
6
7
8
Country Name: CN                      //您所在国家的ISO标准代号,中国为CN
State or Province Name:guandong       //您单位所在地省/自治区/直辖市
Locality Name:shenzhen                 //您单位所在地的市/县/区
Organization Name: Tencent Technology (Shenzhen) Company Limited                 //您单位/机构/企业合法的名称 
Organizational Unit Name: R&D         //部门名称 
Common Name: www.example.com     //通用名,例如:www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
Email Address:                          //您的邮件地址,不必输入,直接回车跳过
"extra"attributes                        //以下信息不必输入,回车跳过直到命令执行完毕。

6.生成公钥

1
[root@localhost conf]# openssl x509 -req -days 365 -in kun.csr -signkey private.key -out public.crt

x509证书的格式 -days 365证书的日期一年 public.crt就是生成的公钥

12.20 Nginx配置ssl

步骤

1.查看是否安装ssl模块

1
2
3
4
[root@localhost conf]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.8.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)
configure arguments: --prefix=/usr/local/nginx

-V可以查看Nginx的版本情况

2.进入Nginx的解压包里

1
[root@localhost conf]# cd /usr/local/src/nginx-1.8.0

3.初始化ssl模块

--help可以查看初始化所需要的模块参数

1
2
3
4
5
[root@localhost nginx-1.8.0]# ./configure --help |grep -i ssl
  --with-http_ssl_module             enable ngx_http_ssl_module
  --with-mail_ssl_module             enable ngx_mail_ssl_module
  --with-openssl=DIR                 set path to OpenSSL library sources
  --with-openssl-opt=OPTIONS         set additional build options for OpenSSL

1
[root@localhost nginx-1.8.0]# ./configure --prefix=/usr/local/nginx/ --with-http_ssl_module

4.编译 安装

1
2
[root@localhost nginx-1.8.0]# make
[root@localhost nginx-1.8.0]# make install
1
2
3
4
5
6
[root@localhost conf]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.8.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-28) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx/ --with-http_ssl_module

现在Nginx已经安装ssl模块

6.重启Nginx服务

1
2
[root@localhost conf]# service nginx restart
Restarting nginx (via systemctl):                          [  确定  ]
1
2
3
4
5
6
7
[root@localhost conf]# netstat -lnpt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      4177/nginx: master  
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1013/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1280/master         
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      4177/nginx: master

443端口正在被监听

5.新建ssl.conf文件 

1
[root@localhost conf]# vim /usr/local/nginx/conf/vhost/ssl.conf
1
2
3
4
5
6
7
8
9
10
11
server
{
    listen 443;
    server_name test3.com;
    index index.html index.php;
    root /var/www/test3;
    ssl on;
    ssl_certificate /usr/local/nginx/conf/public.crt;
    ssl_certificate_key /usr/local/nginx/conf/private.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

ssl on 开启ssl模块 ssl_certificate 公钥路径 ssl_certificate_key 私钥路径 ssl_protocols ssl的协议

6.检查语法并加载配置文件

1
2
[root@localhost vhost]# /usr/local/nginx/sbin/nginx -t
[root@localhost vhost]# /usr/local/nginx/sbin/nginx -s reload

测试

使用浏览器访问,由于证书是个人颁发的,不被浏览器认可

使用curl命令访问

1
2
[root@localhost conf]# curl -x 127.0.0.1:443 https://test3.com
curl: (56) Received HTTP code 400 from proxy after CONNECT

这个格式是错误的

/etc/hosts 添加域名解析

1
127.0.0.1 test3.com

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[root@localhost conf]# curl https://test3.com
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.

这个也是因为证书是个人的不被信任 ,实质是可以访问网站的。

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

欢迎光临<br><br>本博客是用来记录学习Linux Python Shell和Perl<br>谢谢大家