http:   

    http协议:

        http/0.9:原型版本;

        http/1.0:cache, MIME(multipupose internet Mail Extensions)

        method:GET、POST、HEAD、PUT、DELETE、TRACE、OPTIONS、...              

        http/1.1:缓存功能大大增强

            speedy:spdy

        http/2.0

        80/tcp 端口

    https协议:

        443/tcp   端口

    IANA:

        0-1023:众所周知的,永久地分配给固定的应用使用;特权端口(仅root可用);

        1024-41951:注册端口,但要求不是特别严格,分配给程序注册为某应用使用;

        41952+:客户端程序使用的随机端口,动态端口,或称为私有端口;/proc/sys/net/ipv4/ip_local_port_range;里面会有说明

    BSD Socket:IPC一种实现,允许位于不同主机之上的进程之间互相通信的解决方案之一;

        Socket API:

            SOCK_STREAM:tcp套接字;

            SOCK_DGRAM:udp套接字;

            SOCK_RAW:裸套接字;

        根据套按使用的地址格式:

            AF_INET:ipv4地址家族;

            AF_INET6:ipv6

            AF_UNIX:Unix_sock;这种仅限于同一主机上

        TCP Finite State Machine:有限状态机

        TCP协议的特性:

            建立连接:三次握手;

            将数据打包成段:校验和(CRC32)

            确认、重传及超时;

            排序:逻辑序号;

            流量控制:滑动窗口;

            拥塞控制:慢启动及拥塞避免算法;

    http:hyper text tranfer protocol, 超文本传输协议;超链接协议,应用层协议;

        html:hyper text mark language,超文本标记语言;

        <html>

            <head>

                <title></title>

            </head>

            <body>

            </body>

        </html>

        css

        js

        工作模式:request/response           请求响应模型

            一次完整的http事务:请求<-->响应;

            web资源:

                一个html文档;

                一个图片;

                一个mp3文件片断;

                ...

                URL:资源标识,用于描述服务器上某特定资源的位置;

                    Uniform Resource Locator

                        scheme://Server[:port]/PATH/TO/SOME_RESOURCE

                资源的种类:

                    静态资源:.jpg, .gif, .png, .html, .txt, 

                    动态资源:

                        服务器端技术:.php, .jsp, ...

                        客户端技术:.js

        一次完整的http请求的处理过程:

            (1) 建立或处理连接:接收请求或拒绝请求;

            (2) 接收请求:接收客户端发来的具体请求报文;

            (3) 处理请求:对请求报文进行解析;

            (4) 访问资源:通过存储IO获取用户请求的资源; 

            (5) 构建响应报文:

            (6) 发送响应报文 :

            (7) 记录于日志中:

        并发响应模型:

            单进程I/O模型:串行响应;

            多进程I/O模型:同时启动多个进程,每个进程响应一个请求;

            复用的I/O模型:一个进程响应多个请求;

                多线程模型:一个进程生成多个线程,每个线程响应一个请求;

                事件驱动:一个进程直接响应多个请求; 

            复用的多进程I/O结构:启动m个进程,每个进程生成n个线程,每个线程响应一个请求;

        资源映射:

            chroot:

                /var/test/a/b/index.html

                chroot /var/test, 

                    /a/b/index.html

                例如:/var/www/html/

                        p_w_picpaths/logo.jpg

           

                DocumentRoot

                web服务器的资源映射机制:

                    (a) DocumentRoot

                    (b) alias 

                    (c) 虚拟主机的docroot

                    (d) 用户的docroot

                    ...

        http请求处理中的连接方式:

            保持连接:长连接,keepalive

            非保持连接:短连接, 

            时间:

            数量:

    http协议的实现:

        简单的基本http协议服务器:

            httpd (apache)

            nginx

            lighttpd

        application server:动态服务器技术;

            iis, tomcat, jetty, resin, ...

            weblogic, websphere, jboss, glassfish, ...

        httpd:

            www.netcraft.com

            ASF:apache software foundation

            apache,a patchy server, httpd

        httpd的特性:

            高度模块化:core + modules

            DSO: Dynamic shared objects

                支持动态装载和卸载;

            MPM:multipath processing modules

                prefork:一个主进程,多个子进程;一个进程响应一个请求;

                    主进程:管理子进程;创建套接字;接收用户请求,并派发给某子进程处理;...

                    子进程:处理请求、响应请求;

                worker:多进程多线程模型;一个线程响应一个请求; 

                    主进程:管理子进程;创建套接字;接收用户请求,并派发给某子进程处理;...

                    子进程:负责管理线程; 

                    线程:处理并响应请求; 

                event:事件驱动模型,多进程模型,每个进程响应多个请求;

                    主进程:管理子进程;创建套接字;接收用户请求,并派发给某子进程处理;...

                    子进程:处理并响应请求; 

                    httpd-2.2:event为测试模型;

                        CentOS 6:MPM不支持DSO机制;

                    httpd-2.4:production ready;支持DSO机制;

                        CentOS 7:

            httpd的版本:

                httpd-1.3:官方已经停止维护;

                httpd-2.0:

                httpd-2.2:

                httpd-2.4:

                httpd.apache.org

            httpd的功能特性:

                CGI:common gateway interface;

                虚拟主机:IP, PORT, HOSTNAME

                反向代理 

                负载均衡:bytraffic, bybusiness, byrequest

                路径别名

                丰富的用户认证机制

                    basic:

                    digest:

                支持第三方模块 

                ...

    安装httpd:

        rpm包:CentOS base源;

        编译安装:定制新功能,或其它原因;

        CentOS 6:httpd-2.2

            sysinit脚本:/etc/rc.d/init.d/httpd

            程序环境:

                配置文件:

                    /etc/httpd/conf/httpd.conf

                    /etc/httpd/conf.d/*.conf

                程序文件:

                    /usr/sbin/httpd

                    /usr/sbin/httpd.event

                    /usr/sbin/httpd.worker

                    脚本配置文件:/etc/sysconfig/httpd

                日志文件:

                    /var/log/httpd 

                        access_log:访问日志

                        error_log:错误日志

                站点文档根目录:

                    /var/www/html

                模块文件路径:

                    /usr/lib64/httpd/modules

            chkconfig httpd on|off

        CentOS 7:httpd-2.4

            Systemd Unit File:/usr/lib/systemd/system/httpd.service

            程序环境:

                配置文件:

                    /etc/httpd/conf/httpd.conf

                    /etc/httpd/conf.modules.d/*.conf

                    /etc/httpd/conf.d/*.conf

                程序文件:

                    /usr/sbin/httpd

                    MPM支持DSO机制,所以各为一个独立的模块;

                日志文件:

                    /var/log/httpd 

                        access_log:访问日志

                        error_log:错误日志

                站点文档根目录:

                    /var/www/html

                模块文件路径:

                    /usr/lib64/httpd/modules    

            systemctl enable httpd.service

回顾:http, httpd

    http: 协议

        http/1.1, http/2.0

        html

    httpd:

        MPM:

            prefork:一个进程响应一个请求;

            worker:一个线程响应一个请求;

            event:一个进程响应多个请求;

http(2)

    httpd-2.2的基础配置

        /etc/httpd:ServerRoot

            conf/httpd.conf、conf.d/*.conf:配置文件

            logs:日志文件

            modules:模块文件

        主配置文件:/etc/httpd/conf/httpd.conf

            directive value

                directive:不区分字符大小写;例如:ServerRoot;

                value:除了文件路径这外,大多数不区分字符大小写;

egrep -i "#{2,}Section" httpd.conf

            ### Section 1: Global Environment       全局配置段

            ### Section 2: 'Main' server configuration     主服务器配置

            ### Section 3: Virtual Hosts                       这个可以不定义 继承Main上面的配置

            修改后生效:

                reload

                restart:通常仅修改了监听的地址和端口;

        1、修改监听的地址端口;

            Listen [IP:]PORT

                (1) 可定义多次;

                    Listen 80

                    Listen 8080

                (2) 省略IP,表示0.0.0.0;

        2、持久连接

            persistent connection:tcp连接建立后,资源获取完成不会断开连接,而是继续等待请求其它资源; 

                如何断开?

                    数量限制 

                    时间限制

                相关指令:

                    KeepAlive On|Off

                    MaxKeepAliveRequests 100

                    KeepAliveTimeout 15

            请求测试:

                $ telnet SERVER_IP PORT

                GET /test1.html HTTP/1.1     

                Host: SERVER_IP

                HTTP/1.1 200 OK

                Date: Tue, 14 Jun 2016 06:04:36 GMT

                Server: Apache/2.2.15 (CentOS)

                Last-Modified: Tue, 14 Jun 2016 03:34:43 GMT

                ETag: "60102-10-53534af955806"

                Accept-Ranges: bytes

                Content-Length: 16

                Connection: close

                Content-Type: text/html; charset=UTF-8

                test1.html page

                Connection closed by foreign host.

        3、MPM 

            multipath processing module:多路处理模块;

                httpd-2.2的MPM机制不支持DSO机制,event为测试;

                    httpd:prefork

                    httpd.worker: worker

                    httpd.event: event

                    /etc/sysconfig/httpd    启用模块

                    HTTPD=/usr/sbin/httpd|httpd.worker|httpd.event

                查看httpd程序的模块列表:

                    查看静态编译的模块:

                        httpd -l

                    查看编译的所有模块:

                        httpd -M

<IfModule prefork.c>

StartServers       8                 预先创建的空闲子进程数量

MinSpareServers    5            最小空闲进程

MaxSpareServers   20          最大空闲进程

ServerLimit      256              同一时间允许存在的进程数量

MaxClients       256            同一时间启动最大进程数量

MaxRequestsPerChild  4000   最大进程数量

</IfModule>

<IfModule worker.c>

StartServers         4                    预先创建的空闲子进程数量

MaxClients         300                  最大并发线程数量

MinSpareThreads     25            最少空闲线程数量

MaxSpareThreads     75            最大空闲线程数量

ThreadsPerChild     25                每个子进程启动25个线程

MaxRequestsPerChild  0            每个子进程响应多少个请求 0表示不限制

</IfModule>

                80, 500ms, 256

                    512*86400/80=55W PV

                        Page View

                    UV: User View 

        4、DSO 

            LoadModule指令

                LoadModule  Mod_Name  modules/Module_File.so

            相对路径,是相对于ServerRoot指令所定义的路径而言;

                            /etc/httpd/

        5、    ‘Main' Server

            定义一个主机的基本指令:

                ServerName  FQDN:PORT

                DocumentRoot /var/www/html

   

        6、站点资源访问控制

                在配置文件里面定义的路径下创建个文件比如:

                        vim  /var/www/html/index.html  

                                                里面内容随便写 比如  <h1>  i am is wufeng </h1>

                        打开网站浏览本机地址 即可看到这个默认主页

                    如果想改变路径则可以如下:

                    先创建一个路径mkdir  -pv  /data/web

                        vim /data/web/index.html               <h1> new DocRoot </h1>

                    然后改配置文件路径  vim /etc/httpd/conf/httpd.conf  

                        DocumentRoot "/data/web"

                


            基于文件系统进行访问控制

                <Directory "/PATH/TO/SOME_DIR">

                </Directory>

                <File "">

                </File>

                <FileMatch "PATTERN">

                </FileMatch>

            基于url路径进行访问控制

                <Location "/PATH/TO/SOME_URL">

                </Location>

                <LocationMatch "URL_PATTERN">

                ...

                </LocationMatch>

            目录中的常用指令:

                (1) Options:用于定义资源的展示方式;后跟以空白字符分隔的“选项”列表; 

                    Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews None All

                        Indexes:允许索引;

                        FollowSymLinks:允许跟踪符号链接;

                        SymLinksifOwnerMatch

                        ExecCGI:允许执行CGI脚本;

                (2) AllowOverride

                    httpd允许在网页文档的各目录下使用.htaccess文件实现单目录资源的访问控制;表示哪此指令可以存放于.htaccess文件中;

                        /data/web/

                            .htaccess

                            admin: .htaccess 

                            p_w_picpaths: .htaccess

                (3) order和allow/deny from

                    基于IP地址的访问控制;

                    order用于定义allow和deny的生效次序;

                    allow from IP/NETWORK/FQDN

                    deny from IP/NETWORK/FQDN 

                        来源地址格式:

                            IP

                            NetAddr:

                                172.16

                                172.16.0.0

                                172.16.0.0/16

                                172.16.0.0/255.255.0.0

                            FQDN

                            DAMAIN

                        来源请求遵循最佳匹配法则机制;

                    order allow, deny 

            7、定义站点主页面:

                DirectoryIndex file1 file2 ...

            8、定义路径别名:

                Alias  /URL/  "/PATH/TO/SOME_DIR/"

                DocumentRoot "/data/web"

                   <-- /data/web/p_w_picpaths/logo.jpg

                Alia  /p_w_picpaths/ "/webdata/pictures/"

                    <-- /webdata/pictures/logo.jpg

                    alias指定的URL右侧的“/”相当于后面的路径右侧的“/”

            9、日志设定

                错误日志:

                    ErrorLog logs/error_log

                    LogLevel warn

                访问日志:

                    LogFormat:定义日志信息格式;

                    CustomLog:指明日志文件路径及日志格式;

                格式:

                    %h    Remote host

                    %l    Remote logname (from identd, if supplied).

                    %u    Remote user (from auth; may be bogus if return status (%s) is 401)

                    %t    Time the request was received (standard english format)

                    %r    First line of request

                    %s    Status. For requests that got internally redirected, this is the status of the *original* request --- %>s for the last.

                    %b    Size of response in bytes, excluding HTTP headers.

                    %{Foobar}i    The contents of Foobar: header line(s) in the request sent to the server. 

                    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

            10、httpd-manual

                # yum install httpd-manual

                配置文件:/etc/httpd/conf.d/manual.conf

                # service httpd reload

                访问路径:

                    http://SERVER_IP/manual/

            11、基于用户的访问控制机制

                http协议的认证功能:

                    认证质询:

                        WWW-Authenticate:响应码为401,拒绝客户端请求,并说明要求客户端提供账号和密码;

                    认证:

                        Authorization:客户端填入账号和密码后再次发送请求报文;认证通过后,服务端发送响应资源; 

                认证的方式有两种:

                    basic:明文

                    digest:消息摘要认证

                虚拟账号:仅用于访问某服务的账号和密码;

                    存储于何处(httpd要有相应的适配模块)?

                        文本文件

                        SQL数据库

                        ldap目录数据库

                安全域:需要用户认证后方能访问的资源集合;通常基于名称对其进行标识;

                basic认证的配置示例:

                    (1) 定义安全域

                        <Directory "/PATH/TO/SOME_DIR">

                            Options  None

                            AllowOverride None

                            AuthType Basic

                            AuthName "SOME_STRING_HERE"

                            AutuUserFile "/PATH/TO/HT_PASSWD_FILE"

                            Require user user1 user2 ...

                        </Directory>

                            Require valid-user

                    (2) 创建账号文件

                        htpasswd [options]  /PATH/TO/HT_PASSWD_FILE  USERNAME

                            -c:创建文件;

                            -m:md5加密密码; 

                            -s: SHA加密密码;

                            -D:删除指定用户

                    也可于基于组账号进行认证:

                        (1) 定义安全域

                            <Directory "/PATH/TO/SOME_DIR">

                                Options  None

                                AllowOverride None

                                AuthType Basic

                                AuthName "SOME_STRING_HERE"

                                AuthUserFile "/PATH/TO/HT_PASSWD_FILE"

                                AuthGroupFile "/PATH/TO/HT_GROUP_FILE"

                                Require group grp1 grp2 ...

                            </Directory>

                        (2) 创建用户账号密码文件完成后,还得将用户定义为组(创建组账号文件)

                            组文件:每行定义一个组

                                GROUP_NAME: username1 username2 ...

            12、虚拟主机 

                多个站点基于不同的信息进行标识;

                站点标识:

                    IP相同,端口不同;

                    IP不同,端口相同;

                    FQDN不同;

                虚拟主机就有了三种实现方式:

                    基于IP的虚拟主机:

                        每个虚拟主机使用一独有的IP地址;

                    基于PORT的虚拟主机:

                        每个虚拟主机使用一个独有的PORT;

                    基于FQDN的虚拟主机:

                        每个虚拟主机使用一个独有的FQDN;

                注意:虚拟主机与“主服务器”不能够同时使用;

                    虚拟主机的配置方法:

                        <VirtualHost IP:PORT>

                            ServerName

                            DocumentRoot 

                        </VirtualHost>

                        其它常用指令:

                            Errorlog

                            CusomLog

                            Alias

                            ServerAlias

                            ...

                    基于IP的虚拟主机示例:

                        前提:本机需要配置了用到的所有IP地址;

                        <VirtualHost 172.16.100.71:80>

                            ServerName www1.magedu.com

                            DocumentRoot /data/vhosts/www1

                        </VirtualHost>

                        <VirtualHost 172.16.100.72:80>

                            ServerName www2.magedu.com

                            DocumentRoot /data/vhosts/www2

                        </VirtualHost>

                    基于端口的虚拟主机示例:

                        前提:httpd监听了用到的所有端口;

                        <VirtualHost 172.16.100.71:80>

                            ServerName www1.magedu.com

                            DocumentRoot /data/vhosts/www1

                        </VirtualHost>

                        <VirtualHost 172.16.100.71:8080>

                            ServerName www2.magedu.com

                            DocumentRoot /data/vhosts/www2

                        </VirtualHost>                        

                    基于FQDN的虚拟主机示例:

                        NameVirtualHost 172.16.100.71:80

                        <VirtualHost 172.16.100.71:80>

                            ServerName www1.magedu.com

                            DocumentRoot /data/vhosts/www1

                        </VirtualHost>

                        <VirtualHost 172.16.100.71:80>

                            ServerName www2.magedu.com

                            DocumentRoot /data/vhosts/www2

                        </VirtualHost> 


-------------------------------------------------------------------------------------------------------

    http协议:http/1.0, http/1.1, http/2.0

    http协议的事务:request/response

        stateless:无状态

            cookie:

                Set-Cookie:

                Cookie:

            session

    url:Uniform Resource Locator 

        URL scheme:协议,http, https, ftp, 

        服务器地址:IP:PORT

        资源路径:/path/to/resource

            DocumentRoot

        

        基本语法格式:

            <scheme>://<user>:<password>@<host>[:<port>]/<path>;<params>?<query>#<frag>


    http协议报文格式:

        通用格式:

            起始行

            Name: Value

            Name: Value

            ...

            主体 

        request:

            <method> <request-URL> <version>

            <headers>

            <body>

        response:

            <version> <status> <reason-phrase>

            <headers>

            <body>

        method:请求方法,标明客户端希望服务器对资源执行的动作

            GET、HEAD、POST

            WebDAV:PUT、DELETE

            OPTIONS、TRACE

            协议查看或分析工具:tcpdump, wireshark, tshark, ...

        status:状态码,status code

            三位数字,1xx, 2xx, ..., 5xx

            标明请求处理过程的结果状态; 

            1xx: 100-101, 信息提示;

            2xx:200-206,成功类的响应码,例如200;

            3xx:300-305,重定向类的响应码,例如301, 302, 304等 ;

            4xx:400-415, 错误类信息,客户端错误,例如 401, 404, 403等 ;

            5xx:500-505, 服务器端错误,例如500,502等;

        headers:

            媒体格式:MIME

                major/minor

                    p_w_picpaths/jpeg

                    text/html

                    text/plaintext

                    text/xml

                    ...

            格式:

                Name: Value

            首部分类:

                通用首部

                请求首部

                响应首部

                实体首部

                扩展首部

            通用首部:请求、响应报文均可使用;

                Date:报文的创建时间;

                Connction:连接状态,keep-alive, close;

                Via:经由,报文传输经由的代理节点;

                Cache-Control:缓存控制

                Pragma:

            请求首部:

                Accept:可接受的媒介类型;MIME

                Accept-Charset:接受字符集格式;

                Accept-Encoding:接受的编码格式,deflate, gzip, ...

                Accept-language:接受的语言;

                Client-IP:

                Host:请求的服务器名称和端口;

                Referer:包含当前正在请求的资源的上一级资源; 

                User-Agent:客户端代理;

                条件式请求首部:

                    Expect:

                    If-Modified-Since:

                    If-Unmodified-Since:

                    If-None-Match:本地缓存中存储的文件的ETag的值是否与服务器对应的资源的不相同;

                    If-Match:

                安全请求首部:

                    Authrization:向服务器发送账号和密码;

                    Cookie:向服务器端发送Cookie信息;

                    Cookie2:

            响应首部:

                信息性首部:

                    Age:响应持续时长

                    Server:服务器端软件程序的名称、版本、...

                协商首部:

                    Accept-Ranges:服务器端可接受的请求类型范围;

                    Vary:服务器查看的其它首部列表; 

                安全响应首部:

                    Set-Cookie:为客户端设定Cookie

                    Set-Cookie2:

                    WWW-Authenticat:认证质询

            实体首部:

                Allow:对此实体可使用的请求方法;

                Location:资源的真正地址;

                Content-Encoding:

                Content-language:

                Content-Length:

                Content-Location:

                Content-Type

                缓存相关:

                    Etag:

                    Expires:实体过期时间;

                    Last-Modified: 最近一次的修改时间;

            扩展首部:

                X-Forwared-For

                ...


    httpd-2.2基本配置

        status页面

                LoadModule  status_module  modules/mod_status.so

                <Location /server-status>

                    SetHandler server-status

                    Order allow,deny

                    Allow from 172.16

                </Location>    

                ExtendedStatus {On|Off}

[root@localhost ~]# vim /etc/httpd/conf/httpd.conf 


把这一项也启动起来    即可查看  浏览器输入172.16.100.32/server-status 就可以查看状态信息

<Location /server-status>

    SetHandler server-status

    Order deny,allow

    Deny from all

    Allow from all

</Location>

把这一项ON起来

ExtendedStatus On


       curl命令

            curl是基于URL语法在命令行方式下工作的文件传输工具,它支持FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE及LDAP等协议。curl支持HTTPS认证,并且支持HTTP的POST、PUT等方法, FTP上传, kerberos认证,HTTP上传,代理服务器, cookies, 用户名/密码认证, 下载文件断点续传,上载文件断点续传, http代理服务器管道( proxy tunneling), 甚至它还支持IPv6, socks5代理服务器,,通过http代理服务器上传文件到FTP服务器等等,功能十分强大。            

            curl  [options]  [URL...]

            curl的常用选项:

                -A/--user-agent <string> 设置用户代理发送给服务器

                --basic 使用HTTP基本认证

                --tcp-nodelay 使用TCP_NODELAY选项

                -e/--referer <URL> 来源网址

                --cacert <file> CA证书 (SSL)

                --compressed 要求返回是压缩的格式

                -H/--header <line>自定义首部信息传递给服务器

                -I/--head 只显示响应报文首部信息

                --limit-rate <rate> 设置传输速度

                -u/--user <user[:password]>设置服务器的用户和密码

                -0/--http1.0 使用HTTP 1.0    

            用法:curl [options] [URL...]

            另一个工具:elinks

                elinks  [OPTION]... [URL]...

                    -dump: 不进入交互式模式,而直接将URL的内容输出至标准输出; 

        user/group

            指定以哪个用户的身份运行httpd服务进程;

                User apache

                Group apache

            SUexec

       使用mod_deflate模块压缩页面优化传输速度

            适用场景:

                (1) 节约带宽,额外消耗CPU;同时,可能有些较老浏览器不支持;

                (2) 压缩适于压缩的资源,例如文件文件;

            SetOutputFilter DEFLATE  过滤器

          

把这个虚线里面的配置在/etc/httpd/conf.d/随便写个文件名比如gzip.conf

=============================================================

           # mod_deflate configuration  

            # Restrict compression to these MIME types

            AddOutputFilterByType DEFLATE text/plain 

            AddOutputFilterByType DEFLATE text/html

            AddOutputFilterByType DEFLATE application/xhtml+xml

            AddOutputFilterByType DEFLATE text/xml

            AddOutputFilterByType DEFLATE application/xml

            AddOutputFilterByType DEFLATE application/x-javascript

            AddOutputFilterByType DEFLATE text/javascript

            AddOutputFilterByType DEFLATE text/css

            # Level of compression (Highest 9 - Lowest 1)

            DeflateCompressionLevel 9

            # Netscape 4.x has some problems.

            BrowserMatch ^Mozilla/4  gzip-only-text/html

            # Netscape 4.06-4.08 have some more problems

            BrowserMatch  ^Mozilla/4\.0[678]  no-gzip

            # MSIE masquerades as Netscape, but it is fine

            BrowserMatch \bMSI[E]  !no-gzip !gzip-only-text/html

=============================================================

        https,  http over ssl 

            SSL会话的简化过程

                (1) 客户端发送可供选择的加密方式,并向服务器请求证书;

                (2) 服务器端发送证书以及选定的加密方式给客户端;

                (3) 客户端取得证书并进行证书验正:

                    如果信任给其发证书的CA:

                        (a) 验正证书来源的合法性;用CA的公钥解密证书上数字签名;

                        (b) 验正证书的内容的合法性:完整性验正

                        (c) 检查证书的有效期限;

                        (d) 检查证书是否被吊销;

                        (e) 证书中拥有者的名字,与访问的目标主机要一致;

                (4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换;

                (5) 服务用此密钥加密用户请求的资源,响应给客户端;

                注意:SSL会话是基于IP地址创建;所以单IP的主机上,仅可以使用一个https虚拟主机;

            回顾几个术语:PKI,CA,CRL,X.509 (v1, v2, v3)

            配置httpd支持https:

                (1) 为服务器申请数字证书;

                    测试:通过私建CA发证书

                        (a) 创建私有CA

                        (b) 在服务器创建证书签署请求

                        (c) CA签证

                (2) 配置httpd支持使用ssl,及使用的证书;

                    # yum -y install mod_ssl

                    配置文件:/etc/httpd/conf.d/ssl.conf

                        DocumentRoot

                        ServerName

                        SSLCertificateFile

                        SSLCertificateKeyFile

                (3) 测试基于https访问相应的主机;

                    # openssl  s_client  [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]

在CA主机上centos7上

1、生成密钥

[root@localhost CA]# (umask 077; openssl genrsa -out private/cakey.pem 2048)

2、生成自签证书

[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem 

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:wufeng

Organizational Unit Name (eg, section) []:ops

Common Name (eg, your name or your server's hostname) []:ca.wufeng.com

Email Address []:admin@wufeng.com

补充文件

[root@localhost CA]# touch index.txt

[root@localhost CA]# echo 01 > serial

===========================================================

在请求服务器上centos6

安装模块

~]# yum install mod_ssl

在/etc/httpd/目录下

~]# mkdir ssl

~]# cd ssl

生成密钥

[root@localhost ssl]# (umask 077; openssl genrsa -out httpd.key 1024)

生成签署请求文件:

[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr 

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:CN

State or Province Name (full name) []:beijing

Locality Name (eg, city) [Default City]:beijing

Organization Name (eg, company) [Default Company Ltd]:wufeng

Organizational Unit Name (eg, section) []:ops

Common Name (eg, your name or your server's hostname) []:www1.wufeng.com

Email Address []:www1admin@wufeng.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

复制给CA主机签署证书 

[root@localhost ssl]# scp httpd.csr 172.16.100.31:/tmp

然后到centos7主机上签署文件

[root@localhost CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt

连续2个yes   简写y

签署完成后 复制给请求主机

[root@localhost CA]# scp certs/httpd.crt 172.16.100.32:/etc/httpd/ssl/

在请求主机上也就是centos6上

编辑这个文件

[root@localhost httpd]# vim conf.d/ssl.conf 

DocumentRoot "/data/vhost/www1"        这2个启用起来 把前面的#号去掉 改成自己的资源映射路径

ServerName www1.wufeng.com:443            主机名也改成自己的

SSLCertificateFile /etc/httpd/ssl/httpd.crt       指明签署的证书文件路径

SSLCertificateKeyFile /etc/httpd/ssl/httpd.key  指明私钥文件的路径

然后reload一下

然后ss -tnl 查看一下443端口起来没

在centos7 主CA机器上 测试基于https访问相应的主机;

                  

[root@localhost CA]# openssl s_client -connect 172.16.100.32:443 -CAfile /etc/pki/CA/cacert.pem



    http协议:

        url、status、method、headers

    httpd-2.2:

        mod_status、user/group、mod_ssl(https)、mod_deflate

httpd应用(4)

        18、httpd自带的工具程序

            htpasswd:basic认证基于文件实现时,用到的账号密码文件生成工具;

                htdbm/htdigest;

            apachectl:httpd自带的服务控制脚本,支持start和stop;

            apxs:由httpd-devel包提供,扩展httpd使用第三方模块的工具;APache eXtenSion tool

            rotatelogs:日志滚动工具;

                access.log -->

                    access.log, access.1.log  -->

                        access.log, acccess.1.log, access.2.log

            suexec:访问某些有特殊权限配置的资源时,临时切换至指定用户身份运行;

            ab: apache bench

        19、httpd的压力测试工具

            ab, webbench, http_load,  seige

            jmeter, loadrunner

            tcpcopy:网易,复制生产环境中的真实请求,并将之保存下来;

            ab  [OPTIONS]  URL

                -n:总请求数;

                -c:模拟的并发数;

                -k:以持久连接模式 测试;

    httpd-2.4:

        新特性:

            (1) MPM支持DSO机制,以模块方式加载;

            (2) event MPM生产可用;

            (3) 异步读写机制;

            (4) 支持每模块及每目录单独日志级别定义;

            (5) 每请求相关的专用配置;

            (6) 增强版的表达式分析器;

            (7) 毫秒级的持久连接时长;

            (8) 基于FQDN的虚拟主机不再需要专门的指令NameVirtualHost;

            (9) 支持用户自定义变量;

            (10) 更低内在的开销; 

        新模块:

            (1) mod_proxy_fcgi

            (2) mod_proxy_scgi

            (3) mod_remoteip

        安装httpd-2.4:

            apr: apache porable runtime

            依赖于apr-1.4+, apr-utils-1.4+, [apr-iconv]

            CentOS 6:

                前提:开发包组;

                编译安装httpd-2.4;

            CentOS 7:

                # yum install httpd

                配置环境:

                    /etc/httpd/conf/httpd.conf

                    模块配置文件:/etc/httpd/conf.modules.d/*.conf

                    分段配置文件:/etc/httpd/conf.d/*.conf 

                特有配置:

                    (1) 切换MPM;

                        编辑配置文件/etc/httpd/conf.modules.d/00-mpm.conf

                            LoadModule mpm_MPMNAME_module modules/..

                    (2) 基于IP地址的访问控制

                        统一使用Require指令进行,不再支持使用allow, deny等 ;

                        允许所有主机访问:Require all granted

                        拒绝所有主机访问:Require all denied

                        <RequireAll>

                            Require ip 172.16.100.67

                            Require all denied

                        </RequireAll>

                        控制特定的客户端IP地址访问:

                            Require ip IPADDR:授权

                            Require not ip IPADDR:拒绝

                        控制特定的主机名访问:

                            Require host HOSTNAME

                            Require not host HOSTNAME

                                HOSTNAME:

                                    FQDN:单个主机名

                                    domain.tld:域名内的所有主机

                    (3) 虚拟主机

                        基于FQDN的虚拟主机不再需要专门的指令NameVirtualHost; 

                            <VirtualHost *:80>

                                ServerName www1.magedu.com

                                DocumentRoot /data/vhosts/www1

                                <Directory "/data/vhosts/www1">

                                    Options None

                                    AllowOverride None

                                    Require all granted

                                </Directory>

                            </VirtualHost>                        

                    (4) 毫秒级长连接

                        KeepAliveTimeout #ms

                        /etc/httpd/conf.d/ka.conf

                            KeepAlive On

                            KeepAliveTimeout 500ms

                            MaxKeepAliveRequests 100                        

                    (5) https


    LAMP组合:

        Web资源的类型:

            静态资源:原始形式与响应结果一致;

            动态资源:原始形式通常为程序文件,需要运行后将运行结果呈现给用户;

                客户端技术:js

                服务器端技术:php, jsp

        CGI:Common Gateway Interface

            可以让一个客户端,从客户端代理向运行在网络服务器上程序传输数据;CGI描述了客户端和服务器程序之间传输数据的一种标准;

            请求流程:

                Client --(http) --> httpd --> (cgi) --> application process (code) --> (mysql) --> mysqld (mariadb)

            程序=指令+数据

                数据模型:层次、网状、关系;

                指令:代码文件;

                数据:数据存储系统、文件、...

        php:脚本编程语言、专为web开发而设计、将代码嵌入到html中;

        LAMP:

            A: httpd

            M: mysql或mariadb

            P: php/perl/python/ruby

        关于PHP

            一、PHP简介

            PHP是通用服务器端脚本编程语言,其主要用于web开发以实现动态web页面,它也是最早实现将脚本嵌入HTML源码文档中的服务器端脚本语言之一。同时,php还提供了一个命令行接口,因此,其也可以在大多数系统上作为一个独立的shell来使用。

            Rasmus Lerdorf于1994年开始开发PHP,它是初是一组被Rasmus Lerdorf称作“Personal Home Page Tool” 的Perl脚本, 这些脚本可以用于显示作者的简历并记录用户对其网站的访问。后来,Rasmus Lerdorf使用C语言将这些Perl脚本重写为CGI程序,还为其增加了运行Web forms的能力以及与数据库交互的特性,并将其重命名为“Personal Home Page/Forms Interpreter”或“PHP/FI”。此时,PHP/FI已经可以用于开发简单的动态web程序了,这即是PHP 1.0。1995年6月,Rasmus Lerdorf把它的PHP发布于comp.infosystems.www.authoring.cgi Usenet讨论组,从此PHP开始走进人们的视野。1997年,其2.0版本发布。

            1997年,两名以色列程序员Zeev Suraski和Andi Gutmans重写的PHP的分析器(parser)成为PHP发展到3.0的基础,而且从此将PHP重命名为PHP: Hypertext Preprocessor。此后,这两名程序员开始重写整个PHP核心,并于1999年发布了Zend Engine 1.0,这也意味着PHP 4.0的诞生。2004年7月,Zend Engine 2.0发布,由此也将PHP带入了PHP 5时代。PHP5包含了许多重要的新特性,如增强的面向对象编程的支持、支持PDO(PHP Data Objects)扩展机制以及一系列对PHP性能的改进。

            二、PHP Zend Engine

            Zend Engine是开源的、PHP脚本语言的解释器,它最早是由以色列理工学院(Technion)的学生Andi Gutmans和Zeev Suraski所开发,Zend也正是此二人名字的合称。后来两人联合创立了Zend Technologies公司。

            Zend Engine 1.0于1999年随PHP 4发布,由C语言开发且经过高度优化,并能够做为PHP的后端模块使用。Zend Engine为PHP提供了内存和资源管理的功能以及其它的一些标准服务,其高性能、可靠性和可扩展性在促进PHP成为一种流行的语言方面发挥了重要作用。

            Zend Engine的出现将PHP代码的处理过程分成了两个阶段:首先是分析PHP代码并将其转换为称作Zend opcode的二进制格式(类似Java的字节码),并将其存储于内存中;第二阶段是使用Zend Engine去执行这些转换后的Opcode。

            三、PHP的Opcode

            Opcode是一种PHP脚本编译后的中间语言,就像Java的ByteCode,或者.NET的MSL。PHP执行PHP脚本代码一般会经过如下4个步骤(确切的来说,应该是PHP的语言引擎Zend):

            1、Scanning(Lexing) —— 将PHP代码转换为语言片段(Tokens)

            2、Parsing —— 将Tokens转换成简单而有意义的表达式

            3、Compilation —— 将表达式编译成Opocdes

            4、Execution —— 顺次执行Opcodes,每次一条,从而实现PHP脚本的功能

                hhvm

                扫描-->分析-->编译-->执行

            四、php的加速器

            基于PHP的特殊扩展机制如opcode缓存扩展也可以将opcode缓存于php的共享内存中,从而可以让同一段代码的后续重复执行时跳过编译阶段以提高性能。由此也可以看出,这些加速器并非真正提高了opcode的运行速度,而仅是通过分析opcode后并将它们重新排列以达到快速执行的目的。

            常见的php加速器有:

            1、APC (Alternative PHP Cache)

            遵循PHP License的开源框架,PHP opcode缓存加速器,目前的版本不适用于PHP 5.4。项目地址,http://pecl.php.net/package/APC

            2、eAccelerator

            源于Turck MMCache,早期的版本包含了一个PHP encoder和PHP loader,目前encoder已经不在支持。项目地址, http://eaccelerator.net/

            3、XCache

            快速而且稳定的PHP opcode缓存,经过严格测试且被大量用于生产环境。项目地址,http://xcache.lighttpd.net/

            4、Zend Optimizer和Zend Guard Loader

            Zend Optimizer并非一个opcode加速器,它是由Zend Technologies为PHP5.2及以前的版本提供的一个免费、闭源的PHP扩展,其能够运行由Zend Guard生成的加密的PHP代码或模糊代码。 而Zend Guard Loader则是专为PHP5.3提供的类似于Zend Optimizer功能的扩展。项目地址,http://www.zend.com/en/products/guard/runtime-decoders

            5、NuSphere PhpExpress

            NuSphere的一款开源PHP加速器,它支持装载通过NuSphere PHP Encoder编码的PHP程序文件,并能够实现对常规PHP文件的执行加速。项目地址,http://www.nusphere.com/products/phpexpress.htm

            五、PHP源码目录结构

            PHP的源码在结构上非常清晰。其代码根目录中主要包含了一些说明文件以及设计方案,并提供了如下子目录:

            1、build —— 顾名思义,这里主要放置一些跟源码编译相关的文件,比如开始构建之前的buildconf脚本及一些检查环境的脚本等。

            2、ext —— 官方的扩展目录,包括了绝大多数PHP的函数的定义和实现,如array系列,pdo系列,spl系列等函数的实现。 个人开发的扩展在测试时也可以放到这个目录,以方便测试等。

            3、main —— 这里存放的就是PHP最为核心的文件了,是实现PHP的基础设施,这里和Zend引擎不一样,Zend引擎主要实现语言最核心的语言运行环境。

            4、Zend —— Zend引擎的实现目录,比如脚本的词法语法解析,opcode的执行以及扩展机制的实现等等。

            5、pear —— PHP 扩展与应用仓库,包含PEAR的核心文件。

            6、sapi —— 包含了各种服务器抽象层的代码,例如apache的mod_php,cgi,fastcgi以及fpm等等接口。

            7、TSRM —— PHP的线程安全是构建在TSRM库之上的,PHP实现中常见的*G宏通常是对TSRM的封装,TSRM(Thread Safe Resource Manager)线程安全资源管理器。

            8、tests —— PHP的测试脚本集合,包含PHP各项功能的测试文件。

            9、win32 —— 这个目录主要包括Windows平台相关的一些实现,比如sokcet的实现在Windows下和*Nix平台就不太一样,同时也包括了Windows下编译PHP相关的脚本。

        httpd与php结合方式:

            CGI 

            module (把php编译成为httpd的扩展模块)

                MPM:

                    prefork: libphp5.so

                    event, worker: libphp5-zts.so

            FastCGI:

                fpm

            LAMP的实现方式:

                httpd(prefork)+libphp5.so+mysql

                httpd(event)+libphp5-zts.so+mysql

                httpd+fpm(php)+mysql

            CentOS 6:

                mysql-server-5.1

            CentOS 7

                mariadb-server-5.5

            MySQL的命令行客户端程序:mysql

                -uUSERNAME

                -hHOST

                -pPASSWORD

                支持SQL语句对数据完成管理:

                    DDL,DML

                        DDL:CREATE, ALTER, DROP

                        DML:INSERT,DELETE,SELECT,UPDATE

                mysql> GRANT ALL ON db_name.tbl_name TO username@'host' IDENTIFIED BY 'password';

                    _:任意单个字符

                    %:任意长度的任意字符

                管理员账号:root/localhost, 密码默认为空;

                配置文件:/etc/my.cnf, /etc/my.cnf.d/*.cnf

                    [mysqld]

                    innodb_file_per_table = ON

                    skip_name_resolve = ON

                安装完成后,建议运行 mysql_secure_installation一次;

            php的安装:

                httpd(prefork)

                # yum install php 

                配置文件:

                    /etc/php.ini, /etc/php.d/*.ini 

                测试php:

                    <?php 

                        phpinfo();

                    ?>

                测试mysql连接性:

                    <?php

                        $conn = mysql_connect('172.16.100.31','testuser','testpass');

                        if($conn)

                            echo "OK";

                        else

                            echo "Failure";

                    ?>