NSD Operation DAY01
1 案例1:搭建Nginx服务器
1.1 问题
在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能:
- 使用火狐浏览器访问
- 使用curl访问
1.2 方案
提前准备运维课程所有的所有虚拟机,为后续所有实验做准备,克隆4台RHEL7虚拟机,实验环境所需要的主机及对应的IP设置列表如表-1所示,正确配置IP地址、主机名称,并且为每台主机配置YUM源。
表-1 主机列表
第一天课程需要使用2台RHEL7虚拟机,其中一台作为Nginx服务器(192.168.4.5)、另外一台作为测试用的Linux客户机(192.168.4.100),如图-1所示。
图-1
安装Nginx-1.10.3版本时,需要使用如下参数:
- --with-http_ssl_module:提供SSL加密功能
- --user:指定账户
- --group:指定组
1.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:构建Nginx服务器
1)使用源码包安装Nginx软件包
- [root@proxy ~]# yum -y install gcc pcre-devel openssl-devel //安装依赖包
- [root@proxy ~]# useradd -s /sbin/nologin Nginx
- [root@proxy ~]# tar -xf Nginx-1.10.3.tar.gz
- [root@proxy ~]# cd Nginx-1.10.3
- [root@proxy Nginx-1.10.3]# ./configure \
- > --prefix=/usr/local/Nginx \ //指定安装路径
- > --user=Nginx \ //指定用户
- > --group=Nginx \ //指定组
- > --with-http_ssl_module //开启SSL加密功能
- .. ..
- Nginx path prefix: "/usr/local/Nginx"
- Nginx binary file: "/usr/local/Nginx/sbin/Nginx"
- Nginx configuration prefix: "/usr/local/Nginx/conf"
- Nginx configuration file: "/usr/local/Nginx/conf/Nginx.conf"
- Nginx pid file: "/usr/local/Nginx/logs/Nginx.pid"
- Nginx error log file: "/usr/local/Nginx/logs/error.log"
- Nginx http access log file: "/usr/local/Nginx/logs/access.log"
- Nginx http client request body temporary files: "client_body_temp"
- Nginx http proxy temporary files: "proxy_temp"
- Nginx http fastcgi temporary files: "fastcgi_temp"
- Nginx http uwsgi temporary files: "uwsgi_temp"
- Nginx http scgi temporary files: "scgi_temp"
- [root@proxy Nginx-1.10.3]# make && make install //编译并安装
- [root@proxy ~]# /usr/local/Nginx/sbin/Nginx //启动服务
- [root@proxy ~]# /usr/local/Nginx/sbin/Nginx -s stop //关闭服务
- [root@proxy ~]# /usr/local/Nginx/sbin/Nginx -s reload //重新加载配置文件
- [root@proxy ~]# /usr/local/Nginx/sbin/Nginx –V //查看软件信息
- [root@proxy ~]# ln -s /usr/local/Nginx/sbin/Nginx /sbin/ //方便后期使用
3)设置防火墙与SELinux
- [root@proxy ~]# firewall-cmd --set-default-zone=trusted
- [root@proxy ~]# setenforce 0
Nginx Web服务默认首页文档存储目录为/usr/local/Nginx/html/,在此目录下默认有一个名为index.html的文件,使用客户端访问测试页面:
- [root@client ~]# curl http://192.168.4.5
- <html>
- <head>
- <title>Welcome to Nginx!</title>
- </head>
- <body bgcolor="white" text="black">
- <center><h1>Welcome to Nginx!</h1></center>
- </body>
- </html>
1)编译新版本Nginx软件
- [root@proxy ~]# tar -zxvf Nginx-1.12.2.tar.gz
- [root@proxy ~]# cd Nginx-1.12.2
- [root@proxy Nginx-1.12.2]# ./configure \
- > --prefix=/usr/local/Nginx \
- > --user=Nginx \
- > --group=Nginx \
- > --with-http_ssl_module
- [root@proxy Nginx-1.12.2]# make
2) 备份老的Nginx主程序,并使用编译好的新版本Nginx替换老版本
- [root@proxy Nginx-1.12.2]# mv /usr/local/Nginx/sbin/Nginx \
- >/usr/local/Nginx/sbin/Nginxold
- [root@proxy Nginx-1.12.2]# cp objs/Nginx /usr/local/Nginx/sbin/ //拷贝新版本
- [root@proxy Nginx-1.12.2]# make upgrade //升级
- /usr/local/Nginx/sbin/Nginx -t
- Nginx: the configuration file /usr/local/Nginx/conf/Nginx.conf Syntax is ok
- Nginx: configuration file /usr/local/Nginx/conf/Nginx.conf test is successful
- kill -USR2 `cat /usr/local/Nginx/logs/Nginx.pid`
- sleep 1
- test -f /usr/local/Nginx/logs/Nginx.pid.oldbin
- kill -QUIT `cat /usr/local/Nginx/logs/Nginx.pid.oldbin`
- [root@proxy ~]# /usr/local/Nginx/sbin/Nginx –v //查看版本
步骤三:客户端访问测试
1)分别使用浏览器和命令行工具curl测试服务器页面
- [root@client ~]# firefox http://192.168.4.5
- [root@client ~]# curl http://192.168.4.5
2 案例2:用户认证
2.1 问题
沿用练习一,通过调整Nginx服务端配置,实现以下目标:
2.2 方案
模板配置文件框架如下:
- [root@proxy ~]# vim /usr/local/Nginx/conf/Nginx.conf
- 全局配置(用户名,日志,进程)
- http{
- server{
- listen 80;
- server_name localhost;
- root html;
- }
- server{
- listen 80;
- server_name localhost;
- root www;
- }
- }
通过Nginx实现Web页面的认证,需要修改Nginx配置文件,在配置文件中添加auth语句实现用户认证。最后使用htpasswd命令创建用户及密码即可。
2.3 步骤
实现此案例需要按照如下步骤进行。
1)修改/usr/local/Nginx/conf/Nginx.conf
- [root@proxy ~]# vim /usr/local/Nginx/conf/Nginx.conf
- .. ..
- server {
- listen 80;
- server_name localhost;
- auth_basic "Input Password:"; //认证提示符
- auth_basic_user_file "/usr/local/Nginx/pass"; //认证密码文件
- location / {
- root html;
- index index.html index.htm;
- }
- }
使用htpasswd命令创建账户文件,需要确保系统中已经安装了httpd-tools。
- [root@proxy ~]# yum -y install httpd-tools
- [root@proxy ~]# htpasswd -c /usr/local/Nginx/pass tom //创建密码文件
- New password:
- Re-type new password:
- Adding password for user tom
- [root@proxy ~]# htpasswd /usr/local/Nginx/pass jerry //追加用户,不使用-c选项
- New password:
- Re-type new password:
- Adding password for user jerry
- [root@proxy ~]# cat /usr/local/Nginx/pass
3)重启Nginx服务
步骤二:客户端测试
1)登录192.168.4.100客户端主机进行测试
- [root@client ~]# firefox http://192.168.4.5 //输入密码后可以访问
3 案例3:基于域名的虚拟主机
3.1 问题
沿用练习二,配置基于域名的虚拟主机,实现以下目标:
3.2 方案
修改Nginx配置文件,添加server容器实现虚拟主机功能;对于需要进行用户认证的虚拟主机添加auth认证语句。
虚拟主机一般可用分为:基于域名、基于IP和基于端口的虚拟主机。
3.3 步骤
实现此案例需要按照如下步骤进行。
- [root@proxy ~]# vim /usr/local/Nginx/conf/Nginx.conf
- .. ..
- server {
- listen 80; //端口
- server_name www.a.com; //域名
- auth_basic "Input Password:"; //认证提示符
- auth_basic_user_file "/usr/local/Nginx/pass"; //认证密码文件
- location / {
- root html; //指定网站根路径
- index index.html index.htm;
- }
- }
- … …
- server {
- listen 80; //端口
- server_name www.b.com; //域名
- location / {
- root www; //指定网站根路径
- index index.html index.htm;
- }
- }
- [root@proxy ~]# mkdir /usr/local/Nginx/www
- [root@proxy ~]# echo "www" > /usr/local/Nginx/www/index.html
3)重启Nginx服务
步骤二:客户端测试
1)修改客户端主机192.168.4.100的/etc/hosts文件,进行域名解析
- [root@client ~]# vim /etc/hosts
- 192.168.4.5 www.a.com www.b.com
2)登录192.168.4.100客户端主机进行测试
注意:请先关闭真实机的firefox,SSH –X远程连接调用虚拟机的firefox。
- [root@client ~]# firefox http://www.a.com //输入密码后可以访问
- [root@client ~]# firefox http://www.b.com //直接访问
4 案例4:SSL虚拟主机
4.1 问题
沿用练习三,配置基于加密网站的虚拟主机,实现以下目标:
4.2 方案
源码安装Nginx时必须使用--with-http_ssl_module参数,启用加密模块,对于需要进行SSL加密处理的站点添加ssl相关指令(设置网站需要的私钥和证书)。
加密算法一般分为对称算法、非对称算法、信息摘要。
对称算法有:AES、DES,主要应用在单机数据加密。
非对称算法有:RSA、DSA,主要应用在网络数据加密。
信息摘要:MD5、sha256,主要应用在数据完整性校验、数据秒传等。
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置SSL虚拟主机
1)生成私钥与证书
- [root@proxy ~]# cd /usr/local/Nginx/conf
- [root@proxy ~]# openssl genrsa > cert.key //生成私钥
- [root@proxy ~]# openssl req -new -x509 -key cert.key > cert.pem //生成证书
- [root@proxy ~]# vim /usr/local/Nginx/conf/Nginx.conf
- … …
- server {
- listen 443 ssl;
- server_name www.c.com;
- ssl_certificate cert.pem;
- ssl_certificate_key cert.key;
- ssl_session_cache shared:SSL:1m;
- ssl_session_timeout 5m;
- ssl_ciphers HIGH:!aNULL:!MD5;
- ssl_prefer_server_ciphers on;
- location / {
- root html;
- index index.html index.htm;
- }
- }
步骤二:客户端验证
1)修改客户端主机192.168.4.100的/etc/hosts文件,进行域名解析
- [root@client ~]# vim /etc/hosts
- 192.168.4.5 www.c.com www.a.com www.b.com
2)登录192.168.4.100客户端主机进行测试
- [root@client ~]# firefox https://www.c.com //信任证书后可以访问
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
