http:
http协议:
http/0.9:原型版本;
http/1.0:cache, MIME(multipupose internet Mail Extensions)
method:GET、POST、HEAD、PUT、DELETE、TRACE、OPTIONS、...
http/1.1:缓存功能大大增强
speedy:spdy
http/2.0
80/tcp 端口
https协议:
443/tcp 端口
IANA:
0-1023:众所周知的,永久地分配给固定的应用使用;特权端口(仅root可用);
1024-41951:注册端口,但要求不是特别严格,分配给程序注册为某应用使用;
41952+:客户端程序使用的随机端口,动态端口,或称为私有端口;/proc/sys/net/ipv4/ip_local_port_range;里面会有说明
BSD Socket:IPC一种实现,允许位于不同主机之上的进程之间互相通信的解决方案之一;
Socket API:
SOCK_STREAM:tcp套接字;
SOCK_DGRAM:udp套接字;
SOCK_RAW:裸套接字;
根据套按使用的地址格式:
AF_INET:ipv4地址家族;
AF_INET6:ipv6
AF_UNIX:Unix_sock;这种仅限于同一主机上
TCP Finite State Machine:有限状态机
TCP协议的特性:
建立连接:三次握手;
将数据打包成段:校验和(CRC32)
确认、重传及超时;
排序:逻辑序号;
流量控制:滑动窗口;
拥塞控制:慢启动及拥塞避免算法;
http:hyper text tranfer protocol, 超文本传输协议;超链接协议,应用层协议;
html:hyper text mark language,超文本标记语言;
<html>
<head>
<title></title>
</head>
<body>
</body>
</html>
css
js
工作模式:request/response 请求响应模型
一次完整的http事务:请求<-->响应;
web资源:
一个html文档;
一个图片;
一个mp3文件片断;
...
URL:资源标识,用于描述服务器上某特定资源的位置;
Uniform Resource Locator
scheme://Server[:port]/PATH/TO/SOME_RESOURCE
资源的种类:
静态资源:.jpg, .gif, .png, .html, .txt,
动态资源:
服务器端技术:.php, .jsp, ...
客户端技术:.js
一次完整的http请求的处理过程:
(1) 建立或处理连接:接收请求或拒绝请求;
(2) 接收请求:接收客户端发来的具体请求报文;
(3) 处理请求:对请求报文进行解析;
(4) 访问资源:通过存储IO获取用户请求的资源;
(5) 构建响应报文:
(6) 发送响应报文 :
(7) 记录于日志中:
并发响应模型:
单进程I/O模型:串行响应;
多进程I/O模型:同时启动多个进程,每个进程响应一个请求;
复用的I/O模型:一个进程响应多个请求;
多线程模型:一个进程生成多个线程,每个线程响应一个请求;
事件驱动:一个进程直接响应多个请求;
复用的多进程I/O结构:启动m个进程,每个进程生成n个线程,每个线程响应一个请求;
资源映射:
chroot:
/var/test/a/b/index.html
chroot /var/test,
/a/b/index.html
例如:/var/www/html/
p_w_picpaths/logo.jpg
DocumentRoot
web服务器的资源映射机制:
(a) DocumentRoot
(b) alias
(c) 虚拟主机的docroot
(d) 用户的docroot
...
http请求处理中的连接方式:
保持连接:长连接,keepalive
非保持连接:短连接,
时间:
数量:
http协议的实现:
简单的基本http协议服务器:
httpd (apache)
nginx
lighttpd
application server:动态服务器技术;
iis, tomcat, jetty, resin, ...
weblogic, websphere, jboss, glassfish, ...
httpd:
ASF:apache software foundation
apache,a patchy server, httpd
httpd的特性:
高度模块化:core + modules
DSO: Dynamic shared objects
支持动态装载和卸载;
MPM:multipath processing modules
prefork:一个主进程,多个子进程;一个进程响应一个请求;
主进程:管理子进程;创建套接字;接收用户请求,并派发给某子进程处理;...
子进程:处理请求、响应请求;
worker:多进程多线程模型;一个线程响应一个请求;
主进程:管理子进程;创建套接字;接收用户请求,并派发给某子进程处理;...
子进程:负责管理线程;
线程:处理并响应请求;
event:事件驱动模型,多进程模型,每个进程响应多个请求;
主进程:管理子进程;创建套接字;接收用户请求,并派发给某子进程处理;...
子进程:处理并响应请求;
httpd-2.2:event为测试模型;
CentOS 6:MPM不支持DSO机制;
httpd-2.4:production ready;支持DSO机制;
CentOS 7:
httpd的版本:
httpd-1.3:官方已经停止维护;
httpd-2.0:
httpd-2.2:
httpd-2.4:
httpd.apache.org
httpd的功能特性:
CGI:common gateway interface;
虚拟主机:IP, PORT, HOSTNAME
反向代理
负载均衡:bytraffic, bybusiness, byrequest
路径别名
丰富的用户认证机制
basic:
digest:
支持第三方模块
...
安装httpd:
rpm包:CentOS base源;
编译安装:定制新功能,或其它原因;
CentOS 6:httpd-2.2
sysinit脚本:/etc/rc.d/init.d/httpd
程序环境:
配置文件:
/etc/httpd/conf/httpd.conf
/etc/httpd/conf.d/*.conf
程序文件:
/usr/sbin/httpd
/usr/sbin/httpd.event
/usr/sbin/httpd.worker
脚本配置文件:/etc/sysconfig/httpd
日志文件:
/var/log/httpd
access_log:访问日志
error_log:错误日志
站点文档根目录:
/var/www/html
模块文件路径:
/usr/lib64/httpd/modules
chkconfig httpd on|off
CentOS 7:httpd-2.4
Systemd Unit File:/usr/lib/systemd/system/httpd.service
程序环境:
配置文件:
/etc/httpd/conf/httpd.conf
/etc/httpd/conf.modules.d/*.conf
/etc/httpd/conf.d/*.conf
程序文件:
/usr/sbin/httpd
MPM支持DSO机制,所以各为一个独立的模块;
日志文件:
/var/log/httpd
access_log:访问日志
error_log:错误日志
站点文档根目录:
/var/www/html
模块文件路径:
/usr/lib64/httpd/modules
systemctl enable httpd.service
回顾:http, httpd
http: 协议
http/1.1, http/2.0
html
httpd:
MPM:
prefork:一个进程响应一个请求;
worker:一个线程响应一个请求;
event:一个进程响应多个请求;
http(2)
httpd-2.2的基础配置
/etc/httpd:ServerRoot
conf/httpd.conf、conf.d/*.conf:配置文件
logs:日志文件
modules:模块文件
主配置文件:/etc/httpd/conf/httpd.conf
directive value
directive:不区分字符大小写;例如:ServerRoot;
value:除了文件路径这外,大多数不区分字符大小写;
egrep -i "#{2,}Section" httpd.conf
### Section 1: Global Environment 全局配置段
### Section 2: 'Main' server configuration 主服务器配置
### Section 3: Virtual Hosts 这个可以不定义 继承Main上面的配置
修改后生效:
reload
restart:通常仅修改了监听的地址和端口;
1、修改监听的地址端口;
Listen [IP:]PORT
(1) 可定义多次;
Listen 80
Listen 8080
(2) 省略IP,表示0.0.0.0;
2、持久连接
persistent connection:tcp连接建立后,资源获取完成不会断开连接,而是继续等待请求其它资源;
如何断开?
数量限制
时间限制
相关指令:
KeepAlive On|Off
MaxKeepAliveRequests 100
KeepAliveTimeout 15
请求测试:
$ telnet SERVER_IP PORT
GET /test1.html HTTP/1.1
Host: SERVER_IP
HTTP/1.1 200 OK
Date: Tue, 14 Jun 2016 06:04:36 GMT
Server: Apache/2.2.15 (CentOS)
Last-Modified: Tue, 14 Jun 2016 03:34:43 GMT
ETag: "60102-10-53534af955806"
Accept-Ranges: bytes
Content-Length: 16
Connection: close
Content-Type: text/html; charset=UTF-8
test1.html page
Connection closed by foreign host.
3、MPM
multipath processing module:多路处理模块;
httpd-2.2的MPM机制不支持DSO机制,event为测试;
httpd:prefork
httpd.worker: worker
httpd.event: event
/etc/sysconfig/httpd 启用模块
HTTPD=/usr/sbin/httpd|httpd.worker|httpd.event
查看httpd程序的模块列表:
查看静态编译的模块:
httpd -l
查看编译的所有模块:
httpd -M
<IfModule prefork.c>
StartServers 8 预先创建的空闲子进程数量
MinSpareServers 5 最小空闲进程
MaxSpareServers 20 最大空闲进程
ServerLimit 256 同一时间允许存在的进程数量
MaxClients 256 同一时间启动最大进程数量
MaxRequestsPerChild 4000 最大进程数量
</IfModule>
<IfModule worker.c>
StartServers 4 预先创建的空闲子进程数量
MaxClients 300 最大并发线程数量
MinSpareThreads 25 最少空闲线程数量
MaxSpareThreads 75 最大空闲线程数量
ThreadsPerChild 25 每个子进程启动25个线程
MaxRequestsPerChild 0 每个子进程响应多少个请求 0表示不限制
</IfModule>
80, 500ms, 256
512*86400/80=55W PV
Page View
UV: User View
4、DSO
LoadModule指令
LoadModule Mod_Name modules/Module_File.so
相对路径,是相对于ServerRoot指令所定义的路径而言;
/etc/httpd/
5、 ‘Main' Server
定义一个主机的基本指令:
ServerName FQDN:PORT
DocumentRoot /var/www/html
6、站点资源访问控制
在配置文件里面定义的路径下创建个文件比如:
vim /var/www/html/index.html
里面内容随便写 比如 <h1> i am is wufeng </h1>
打开网站浏览本机地址 即可看到这个默认主页
如果想改变路径则可以如下:
先创建一个路径mkdir -pv /data/web
vim /data/web/index.html <h1> new DocRoot </h1>
然后改配置文件路径 vim /etc/httpd/conf/httpd.conf
DocumentRoot "/data/web"
基于文件系统进行访问控制
<Directory "/PATH/TO/SOME_DIR">
</Directory>
<File "">
</File>
<FileMatch "PATTERN">
</FileMatch>
基于url路径进行访问控制
<Location "/PATH/TO/SOME_URL">
</Location>
<LocationMatch "URL_PATTERN">
...
</LocationMatch>
目录中的常用指令:
(1) Options:用于定义资源的展示方式;后跟以空白字符分隔的“选项”列表;
Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews None All
Indexes:允许索引;
FollowSymLinks:允许跟踪符号链接;
SymLinksifOwnerMatch
ExecCGI:允许执行CGI脚本;
(2) AllowOverride
httpd允许在网页文档的各目录下使用.htaccess文件实现单目录资源的访问控制;表示哪此指令可以存放于.htaccess文件中;
/data/web/
.htaccess
admin: .htaccess
p_w_picpaths: .htaccess
(3) order和allow/deny from
基于IP地址的访问控制;
order用于定义allow和deny的生效次序;
allow from IP/NETWORK/FQDN
deny from IP/NETWORK/FQDN
来源地址格式:
IP
NetAddr:
172.16
172.16.0.0
172.16.0.0/16
172.16.0.0/255.255.0.0
FQDN
DAMAIN
来源请求遵循最佳匹配法则机制;
order allow, deny
7、定义站点主页面:
DirectoryIndex file1 file2 ...
8、定义路径别名:
Alias /URL/ "/PATH/TO/SOME_DIR/"
DocumentRoot "/data/web"
<-- /data/web/p_w_picpaths/logo.jpg
Alia /p_w_picpaths/ "/webdata/pictures/"
<-- /webdata/pictures/logo.jpg
alias指定的URL右侧的“/”相当于后面的路径右侧的“/”
9、日志设定
错误日志:
ErrorLog logs/error_log
LogLevel warn
访问日志:
LogFormat:定义日志信息格式;
CustomLog:指明日志文件路径及日志格式;
格式:
%h Remote host
%l Remote logname (from identd, if supplied).
%u Remote user (from auth; may be bogus if return status (%s) is 401)
%t Time the request was received (standard english format)
%r First line of request
%s Status. For requests that got internally redirected, this is the status of the *original* request --- %>s for the last.
%b Size of response in bytes, excluding HTTP headers.
%{Foobar}i The contents of Foobar: header line(s) in the request sent to the server.
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
10、httpd-manual
# yum install httpd-manual
配置文件:/etc/httpd/conf.d/manual.conf
# service httpd reload
访问路径:
11、基于用户的访问控制机制
http协议的认证功能:
认证质询:
WWW-Authenticate:响应码为401,拒绝客户端请求,并说明要求客户端提供账号和密码;
认证:
Authorization:客户端填入账号和密码后再次发送请求报文;认证通过后,服务端发送响应资源;
认证的方式有两种:
basic:明文
digest:消息摘要认证
虚拟账号:仅用于访问某服务的账号和密码;
存储于何处(httpd要有相应的适配模块)?
文本文件
SQL数据库
ldap目录数据库
安全域:需要用户认证后方能访问的资源集合;通常基于名称对其进行标识;
basic认证的配置示例:
(1) 定义安全域
<Directory "/PATH/TO/SOME_DIR">
Options None
AllowOverride None
AuthType Basic
AuthName "SOME_STRING_HERE"
AutuUserFile "/PATH/TO/HT_PASSWD_FILE"
Require user user1 user2 ...
</Directory>
Require valid-user
(2) 创建账号文件
htpasswd [options] /PATH/TO/HT_PASSWD_FILE USERNAME
-c:创建文件;
-m:md5加密密码;
-s: SHA加密密码;
-D:删除指定用户
也可于基于组账号进行认证:
(1) 定义安全域
<Directory "/PATH/TO/SOME_DIR">
Options None
AllowOverride None
AuthType Basic
AuthName "SOME_STRING_HERE"
AuthUserFile "/PATH/TO/HT_PASSWD_FILE"
AuthGroupFile "/PATH/TO/HT_GROUP_FILE"
Require group grp1 grp2 ...
</Directory>
(2) 创建用户账号密码文件完成后,还得将用户定义为组(创建组账号文件)
组文件:每行定义一个组
GROUP_NAME: username1 username2 ...
12、虚拟主机
多个站点基于不同的信息进行标识;
站点标识:
IP相同,端口不同;
IP不同,端口相同;
FQDN不同;
虚拟主机就有了三种实现方式:
基于IP的虚拟主机:
每个虚拟主机使用一独有的IP地址;
基于PORT的虚拟主机:
每个虚拟主机使用一个独有的PORT;
基于FQDN的虚拟主机:
每个虚拟主机使用一个独有的FQDN;
注意:虚拟主机与“主服务器”不能够同时使用;
虚拟主机的配置方法:
<VirtualHost IP:PORT>
ServerName
DocumentRoot
</VirtualHost>
其它常用指令:
Errorlog
CusomLog
Alias
ServerAlias
...
基于IP的虚拟主机示例:
前提:本机需要配置了用到的所有IP地址;
<VirtualHost 172.16.100.71:80>
ServerName www1.magedu.com
DocumentRoot /data/vhosts/www1
</VirtualHost>
<VirtualHost 172.16.100.72:80>
ServerName www2.magedu.com
DocumentRoot /data/vhosts/www2
</VirtualHost>
基于端口的虚拟主机示例:
前提:httpd监听了用到的所有端口;
<VirtualHost 172.16.100.71:80>
ServerName www1.magedu.com
DocumentRoot /data/vhosts/www1
</VirtualHost>
<VirtualHost 172.16.100.71:8080>
ServerName www2.magedu.com
DocumentRoot /data/vhosts/www2
</VirtualHost>
基于FQDN的虚拟主机示例:
NameVirtualHost 172.16.100.71:80
<VirtualHost 172.16.100.71:80>
ServerName www1.magedu.com
DocumentRoot /data/vhosts/www1
</VirtualHost>
<VirtualHost 172.16.100.71:80>
ServerName www2.magedu.com
DocumentRoot /data/vhosts/www2
</VirtualHost>
-------------------------------------------------------------------------------------------------------
http协议:http/1.0, http/1.1, http/2.0
http协议的事务:request/response
stateless:无状态
cookie:
Set-Cookie:
Cookie:
session
url:Uniform Resource Locator
URL scheme:协议,http, https, ftp,
服务器地址:IP:PORT
资源路径:/path/to/resource
DocumentRoot
基本语法格式:
<scheme>://<user>:<password>@<host>[:<port>]/<path>;<params>?<query>#<frag>
http协议报文格式:
通用格式:
起始行
Name: Value
Name: Value
...
主体
request:
<method> <request-URL> <version>
<headers>
<body>
response:
<version> <status> <reason-phrase>
<headers>
<body>
method:请求方法,标明客户端希望服务器对资源执行的动作
GET、HEAD、POST
WebDAV:PUT、DELETE
OPTIONS、TRACE
协议查看或分析工具:tcpdump, wireshark, tshark, ...
status:状态码,status code
三位数字,1xx, 2xx, ..., 5xx
标明请求处理过程的结果状态;
1xx: 100-101, 信息提示;
2xx:200-206,成功类的响应码,例如200;
3xx:300-305,重定向类的响应码,例如301, 302, 304等 ;
4xx:400-415, 错误类信息,客户端错误,例如 401, 404, 403等 ;
5xx:500-505, 服务器端错误,例如500,502等;
headers:
媒体格式:MIME
major/minor
p_w_picpaths/jpeg
text/html
text/plaintext
text/xml
...
格式:
Name: Value
首部分类:
通用首部
请求首部
响应首部
实体首部
扩展首部
通用首部:请求、响应报文均可使用;
Date:报文的创建时间;
Connction:连接状态,keep-alive, close;
Via:经由,报文传输经由的代理节点;
Cache-Control:缓存控制
Pragma:
请求首部:
Accept:可接受的媒介类型;MIME
Accept-Charset:接受字符集格式;
Accept-Encoding:接受的编码格式,deflate, gzip, ...
Accept-language:接受的语言;
Client-IP:
Host:请求的服务器名称和端口;
Referer:包含当前正在请求的资源的上一级资源;
User-Agent:客户端代理;
条件式请求首部:
Expect:
If-Modified-Since:
If-Unmodified-Since:
If-None-Match:本地缓存中存储的文件的ETag的值是否与服务器对应的资源的不相同;
If-Match:
安全请求首部:
Authrization:向服务器发送账号和密码;
Cookie:向服务器端发送Cookie信息;
Cookie2:
响应首部:
信息性首部:
Age:响应持续时长
Server:服务器端软件程序的名称、版本、...
协商首部:
Accept-Ranges:服务器端可接受的请求类型范围;
Vary:服务器查看的其它首部列表;
安全响应首部:
Set-Cookie:为客户端设定Cookie
Set-Cookie2:
WWW-Authenticat:认证质询
实体首部:
Allow:对此实体可使用的请求方法;
Location:资源的真正地址;
Content-Encoding:
Content-language:
Content-Length:
Content-Location:
Content-Type
缓存相关:
Etag:
Expires:实体过期时间;
Last-Modified: 最近一次的修改时间;
扩展首部:
X-Forwared-For
...
httpd-2.2基本配置
status页面
LoadModule status_module modules/mod_status.so
<Location /server-status>
SetHandler server-status
Order allow,deny
Allow from 172.16
</Location>
ExtendedStatus {On|Off}
[root@localhost ~]# vim /etc/httpd/conf/httpd.conf
把这一项也启动起来 即可查看 浏览器输入172.16.100.32/server-status 就可以查看状态信息
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from all
</Location>
把这一项ON起来
ExtendedStatus On
curl命令
curl是基于URL语法在命令行方式下工作的文件传输工具,它支持FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE及LDAP等协议。curl支持HTTPS认证,并且支持HTTP的POST、PUT等方法, FTP上传, kerberos认证,HTTP上传,代理服务器, cookies, 用户名/密码认证, 下载文件断点续传,上载文件断点续传, http代理服务器管道( proxy tunneling), 甚至它还支持IPv6, socks5代理服务器,,通过http代理服务器上传文件到FTP服务器等等,功能十分强大。
curl [options] [URL...]
curl的常用选项:
-A/--user-agent <string> 设置用户代理发送给服务器
--basic 使用HTTP基本认证
--tcp-nodelay 使用TCP_NODELAY选项
-e/--referer <URL> 来源网址
--cacert <file> CA证书 (SSL)
--compressed 要求返回是压缩的格式
-H/--header <line>自定义首部信息传递给服务器
-I/--head 只显示响应报文首部信息
--limit-rate <rate> 设置传输速度
-u/--user <user[:password]>设置服务器的用户和密码
-0/--http1.0 使用HTTP 1.0
用法:curl [options] [URL...]
另一个工具:elinks
elinks [OPTION]... [URL]...
-dump: 不进入交互式模式,而直接将URL的内容输出至标准输出;
user/group
指定以哪个用户的身份运行httpd服务进程;
User apache
Group apache
SUexec
使用mod_deflate模块压缩页面优化传输速度
适用场景:
(1) 节约带宽,额外消耗CPU;同时,可能有些较老浏览器不支持;
(2) 压缩适于压缩的资源,例如文件文件;
SetOutputFilter DEFLATE 过滤器
把这个虚线里面的配置在/etc/httpd/conf.d/随便写个文件名比如gzip.conf
=============================================================
# mod_deflate configuration
# Restrict compression to these MIME types
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/css
# Level of compression (Highest 9 - Lowest 1)
DeflateCompressionLevel 9
# Netscape 4.x has some problems.
BrowserMatch ^Mozilla/4 gzip-only-text/html
# Netscape 4.06-4.08 have some more problems
BrowserMatch ^Mozilla/4\.0[678] no-gzip
# MSIE masquerades as Netscape, but it is fine
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html
=============================================================
https, http over ssl
SSL会话的简化过程
(1) 客户端发送可供选择的加密方式,并向服务器请求证书;
(2) 服务器端发送证书以及选定的加密方式给客户端;
(3) 客户端取得证书并进行证书验正:
如果信任给其发证书的CA:
(a) 验正证书来源的合法性;用CA的公钥解密证书上数字签名;
(b) 验正证书的内容的合法性:完整性验正
(c) 检查证书的有效期限;
(d) 检查证书是否被吊销;
(e) 证书中拥有者的名字,与访问的目标主机要一致;
(4) 客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换;
(5) 服务用此密钥加密用户请求的资源,响应给客户端;
注意:SSL会话是基于IP地址创建;所以单IP的主机上,仅可以使用一个https虚拟主机;
回顾几个术语:PKI,CA,CRL,X.509 (v1, v2, v3)
配置httpd支持https:
(1) 为服务器申请数字证书;
测试:通过私建CA发证书
(a) 创建私有CA
(b) 在服务器创建证书签署请求
(c) CA签证
(2) 配置httpd支持使用ssl,及使用的证书;
# yum -y install mod_ssl
配置文件:/etc/httpd/conf.d/ssl.conf
DocumentRoot
ServerName
SSLCertificateFile
SSLCertificateKeyFile
(3) 测试基于https访问相应的主机;
# openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]
在CA主机上centos7上
1、生成密钥
[root@localhost CA]# (umask 077; openssl genrsa -out private/cakey.pem 2048)
2、生成自签证书
[root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:wufeng
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:ca.wufeng.com
Email Address []:admin@wufeng.com
补充文件
[root@localhost CA]# touch index.txt
[root@localhost CA]# echo 01 > serial
===========================================================
在请求服务器上centos6
安装模块
~]# yum install mod_ssl
在/etc/httpd/目录下
~]# mkdir ssl
~]# cd ssl
生成密钥
[root@localhost ssl]# (umask 077; openssl genrsa -out httpd.key 1024)
生成签署请求文件:
[root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:wufeng
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:www1.wufeng.com
Email Address []:www1admin@wufeng.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
复制给CA主机签署证书
[root@localhost ssl]# scp httpd.csr 172.16.100.31:/tmp
然后到centos7主机上签署文件
[root@localhost CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt
连续2个yes 简写y
签署完成后 复制给请求主机
[root@localhost CA]# scp certs/httpd.crt 172.16.100.32:/etc/httpd/ssl/
在请求主机上也就是centos6上
编辑这个文件
[root@localhost httpd]# vim conf.d/ssl.conf
DocumentRoot "/data/vhost/www1" 这2个启用起来 把前面的#号去掉 改成自己的资源映射路径
ServerName www1.wufeng.com:443 主机名也改成自己的
SSLCertificateFile /etc/httpd/ssl/httpd.crt 指明签署的证书文件路径
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key 指明私钥文件的路径
然后reload一下
然后ss -tnl 查看一下443端口起来没
在centos7 主CA机器上 测试基于https访问相应的主机;
[root@localhost CA]# openssl s_client -connect 172.16.100.32:443 -CAfile /etc/pki/CA/cacert.pem
http协议:
url、status、method、headers
httpd-2.2:
mod_status、user/group、mod_ssl(https)、mod_deflate
httpd应用(4)
18、httpd自带的工具程序
htpasswd:basic认证基于文件实现时,用到的账号密码文件生成工具;
htdbm/htdigest;
apachectl:httpd自带的服务控制脚本,支持start和stop;
apxs:由httpd-devel包提供,扩展httpd使用第三方模块的工具;APache eXtenSion tool
rotatelogs:日志滚动工具;
access.log -->
access.log, access.1.log -->
access.log, acccess.1.log, access.2.log
suexec:访问某些有特殊权限配置的资源时,临时切换至指定用户身份运行;
ab: apache bench
19、httpd的压力测试工具
ab, webbench, http_load, seige
jmeter, loadrunner
tcpcopy:网易,复制生产环境中的真实请求,并将之保存下来;
ab [OPTIONS] URL
-n:总请求数;
-c:模拟的并发数;
-k:以持久连接模式 测试;
httpd-2.4:
新特性:
(1) MPM支持DSO机制,以模块方式加载;
(2) event MPM生产可用;
(3) 异步读写机制;
(4) 支持每模块及每目录单独日志级别定义;
(5) 每请求相关的专用配置;
(6) 增强版的表达式分析器;
(7) 毫秒级的持久连接时长;
(8) 基于FQDN的虚拟主机不再需要专门的指令NameVirtualHost;
(9) 支持用户自定义变量;
(10) 更低内在的开销;
新模块:
(1) mod_proxy_fcgi
(2) mod_proxy_scgi
(3) mod_remoteip
安装httpd-2.4:
apr: apache porable runtime
依赖于apr-1.4+, apr-utils-1.4+, [apr-iconv]
CentOS 6:
前提:开发包组;
编译安装httpd-2.4;
CentOS 7:
# yum install httpd
配置环境:
/etc/httpd/conf/httpd.conf
模块配置文件:/etc/httpd/conf.modules.d/*.conf
分段配置文件:/etc/httpd/conf.d/*.conf
特有配置:
(1) 切换MPM;
编辑配置文件/etc/httpd/conf.modules.d/00-mpm.conf
LoadModule mpm_MPMNAME_module modules/..
(2) 基于IP地址的访问控制
统一使用Require指令进行,不再支持使用allow, deny等 ;
允许所有主机访问:Require all granted
拒绝所有主机访问:Require all denied
<RequireAll>
Require ip 172.16.100.67
Require all denied
</RequireAll>
控制特定的客户端IP地址访问:
Require ip IPADDR:授权
Require not ip IPADDR:拒绝
控制特定的主机名访问:
Require host HOSTNAME
Require not host HOSTNAME
HOSTNAME:
FQDN:单个主机名
domain.tld:域名内的所有主机
(3) 虚拟主机
基于FQDN的虚拟主机不再需要专门的指令NameVirtualHost;
<VirtualHost *:80>
ServerName www1.magedu.com
DocumentRoot /data/vhosts/www1
<Directory "/data/vhosts/www1">
Options None
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
(4) 毫秒级长连接
KeepAliveTimeout #ms
/etc/httpd/conf.d/ka.conf
KeepAlive On
KeepAliveTimeout 500ms
MaxKeepAliveRequests 100
(5) https
LAMP组合:
Web资源的类型:
静态资源:原始形式与响应结果一致;
动态资源:原始形式通常为程序文件,需要运行后将运行结果呈现给用户;
客户端技术:js
服务器端技术:php, jsp
CGI:Common Gateway Interface
可以让一个客户端,从客户端代理向运行在网络服务器上程序传输数据;CGI描述了客户端和服务器程序之间传输数据的一种标准;
请求流程:
Client --(http) --> httpd --> (cgi) --> application process (code) --> (mysql) --> mysqld (mariadb)
程序=指令+数据
数据模型:层次、网状、关系;
指令:代码文件;
数据:数据存储系统、文件、...
php:脚本编程语言、专为web开发而设计、将代码嵌入到html中;
LAMP:
A: httpd
M: mysql或mariadb
P: php/perl/python/ruby
关于PHP
一、PHP简介
PHP是通用服务器端脚本编程语言,其主要用于web开发以实现动态web页面,它也是最早实现将脚本嵌入HTML源码文档中的服务器端脚本语言之一。同时,php还提供了一个命令行接口,因此,其也可以在大多数系统上作为一个独立的shell来使用。
Rasmus Lerdorf于1994年开始开发PHP,它是初是一组被Rasmus Lerdorf称作“Personal Home Page Tool” 的Perl脚本, 这些脚本可以用于显示作者的简历并记录用户对其网站的访问。后来,Rasmus Lerdorf使用C语言将这些Perl脚本重写为CGI程序,还为其增加了运行Web forms的能力以及与数据库交互的特性,并将其重命名为“Personal Home Page/Forms Interpreter”或“PHP/FI”。此时,PHP/FI已经可以用于开发简单的动态web程序了,这即是PHP 1.0。1995年6月,Rasmus Lerdorf把它的PHP发布于comp.infosystems.www.authoring.cgi Usenet讨论组,从此PHP开始走进人们的视野。1997年,其2.0版本发布。
1997年,两名以色列程序员Zeev Suraski和Andi Gutmans重写的PHP的分析器(parser)成为PHP发展到3.0的基础,而且从此将PHP重命名为PHP: Hypertext Preprocessor。此后,这两名程序员开始重写整个PHP核心,并于1999年发布了Zend Engine 1.0,这也意味着PHP 4.0的诞生。2004年7月,Zend Engine 2.0发布,由此也将PHP带入了PHP 5时代。PHP5包含了许多重要的新特性,如增强的面向对象编程的支持、支持PDO(PHP Data Objects)扩展机制以及一系列对PHP性能的改进。
二、PHP Zend Engine
Zend Engine是开源的、PHP脚本语言的解释器,它最早是由以色列理工学院(Technion)的学生Andi Gutmans和Zeev Suraski所开发,Zend也正是此二人名字的合称。后来两人联合创立了Zend Technologies公司。
Zend Engine 1.0于1999年随PHP 4发布,由C语言开发且经过高度优化,并能够做为PHP的后端模块使用。Zend Engine为PHP提供了内存和资源管理的功能以及其它的一些标准服务,其高性能、可靠性和可扩展性在促进PHP成为一种流行的语言方面发挥了重要作用。
Zend Engine的出现将PHP代码的处理过程分成了两个阶段:首先是分析PHP代码并将其转换为称作Zend opcode的二进制格式(类似Java的字节码),并将其存储于内存中;第二阶段是使用Zend Engine去执行这些转换后的Opcode。
三、PHP的Opcode
Opcode是一种PHP脚本编译后的中间语言,就像Java的ByteCode,或者.NET的MSL。PHP执行PHP脚本代码一般会经过如下4个步骤(确切的来说,应该是PHP的语言引擎Zend):
1、Scanning(Lexing) —— 将PHP代码转换为语言片段(Tokens)
2、Parsing —— 将Tokens转换成简单而有意义的表达式
3、Compilation —— 将表达式编译成Opocdes
4、Execution —— 顺次执行Opcodes,每次一条,从而实现PHP脚本的功能
hhvm
扫描-->分析-->编译-->执行
四、php的加速器
基于PHP的特殊扩展机制如opcode缓存扩展也可以将opcode缓存于php的共享内存中,从而可以让同一段代码的后续重复执行时跳过编译阶段以提高性能。由此也可以看出,这些加速器并非真正提高了opcode的运行速度,而仅是通过分析opcode后并将它们重新排列以达到快速执行的目的。
常见的php加速器有:
1、APC (Alternative PHP Cache)
遵循PHP License的开源框架,PHP opcode缓存加速器,目前的版本不适用于PHP 5.4。项目地址,http://pecl.php.net/package/APC。
2、eAccelerator
源于Turck MMCache,早期的版本包含了一个PHP encoder和PHP loader,目前encoder已经不在支持。项目地址, http://eaccelerator.net/。
3、XCache
快速而且稳定的PHP opcode缓存,经过严格测试且被大量用于生产环境。项目地址,http://xcache.lighttpd.net/
4、Zend Optimizer和Zend Guard Loader
Zend Optimizer并非一个opcode加速器,它是由Zend Technologies为PHP5.2及以前的版本提供的一个免费、闭源的PHP扩展,其能够运行由Zend Guard生成的加密的PHP代码或模糊代码。 而Zend Guard Loader则是专为PHP5.3提供的类似于Zend Optimizer功能的扩展。项目地址,http://www.zend.com/en/products/guard/runtime-decoders
5、NuSphere PhpExpress
NuSphere的一款开源PHP加速器,它支持装载通过NuSphere PHP Encoder编码的PHP程序文件,并能够实现对常规PHP文件的执行加速。项目地址,http://www.nusphere.com/products/phpexpress.htm
五、PHP源码目录结构
PHP的源码在结构上非常清晰。其代码根目录中主要包含了一些说明文件以及设计方案,并提供了如下子目录:
1、build —— 顾名思义,这里主要放置一些跟源码编译相关的文件,比如开始构建之前的buildconf脚本及一些检查环境的脚本等。
2、ext —— 官方的扩展目录,包括了绝大多数PHP的函数的定义和实现,如array系列,pdo系列,spl系列等函数的实现。 个人开发的扩展在测试时也可以放到这个目录,以方便测试等。
3、main —— 这里存放的就是PHP最为核心的文件了,是实现PHP的基础设施,这里和Zend引擎不一样,Zend引擎主要实现语言最核心的语言运行环境。
4、Zend —— Zend引擎的实现目录,比如脚本的词法语法解析,opcode的执行以及扩展机制的实现等等。
5、pear —— PHP 扩展与应用仓库,包含PEAR的核心文件。
6、sapi —— 包含了各种服务器抽象层的代码,例如apache的mod_php,cgi,fastcgi以及fpm等等接口。
7、TSRM —— PHP的线程安全是构建在TSRM库之上的,PHP实现中常见的*G宏通常是对TSRM的封装,TSRM(Thread Safe Resource Manager)线程安全资源管理器。
8、tests —— PHP的测试脚本集合,包含PHP各项功能的测试文件。
9、win32 —— 这个目录主要包括Windows平台相关的一些实现,比如sokcet的实现在Windows下和*Nix平台就不太一样,同时也包括了Windows下编译PHP相关的脚本。
httpd与php结合方式:
CGI
module (把php编译成为httpd的扩展模块)
MPM:
prefork: libphp5.so
event, worker: libphp5-zts.so
FastCGI:
fpm
LAMP的实现方式:
httpd(prefork)+libphp5.so+mysql
httpd(event)+libphp5-zts.so+mysql
httpd+fpm(php)+mysql
CentOS 6:
mysql-server-5.1
CentOS 7
mariadb-server-5.5
MySQL的命令行客户端程序:mysql
-uUSERNAME
-hHOST
-pPASSWORD
支持SQL语句对数据完成管理:
DDL,DML
DDL:CREATE, ALTER, DROP
DML:INSERT,DELETE,SELECT,UPDATE
mysql> GRANT ALL ON db_name.tbl_name TO username@'host' IDENTIFIED BY 'password';
_:任意单个字符
%:任意长度的任意字符
管理员账号:root/localhost, 密码默认为空;
配置文件:/etc/my.cnf, /etc/my.cnf.d/*.cnf
[mysqld]
innodb_file_per_table = ON
skip_name_resolve = ON
安装完成后,建议运行 mysql_secure_installation一次;
php的安装:
httpd(prefork)
# yum install php
配置文件:
/etc/php.ini, /etc/php.d/*.ini
测试php:
<?php
phpinfo();
?>
测试mysql连接性:
<?php
$conn = mysql_connect('172.16.100.31','testuser','testpass');
if($conn)
echo "OK";
else
echo "Failure";
?>