Nginx负载均衡

Nginx负载均衡php
dig qq.com命令能够解析域名html
若是没有dig命令，安装命令yum install -y bind-utilslinux
vim /usr/local/nginx/conf/vhost/load.conf/ （写入如下）nginx
```
upstream qq.com
```
```
{
```
```
Ip_hash;
```
```
Server 61.135.157.156:80;
```
```
Server 127.39.240.113:80;
```
```
}
```
```
Server
```
```
{
```
```
Listen 80;
```
```
Server_name www.qq.com
```
```
Location /
```
```
{
```
```
Proxy_pass   http://qq_com;
```
```
Proxy_set_header Host  $host
```

Proxy_set_header X-Real-IP   $remote_addr;

Proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_tor;

```
}
```
```
}
```
upstream来指定多个web serverweb
curl 127.0.0.1:80 www.qq.com算法
Nginx不支持代理https也就是说不支持443端口，能够支持http和tcpvim
ssl原理浏览器
ssl工做流程安全
浏览器发送一个https的请求给服务器。服务器
服务器须要有一套数字证书，能够本身制做也能够向组织申请，区别就是本身颁发的证书须要客户端验证经过，才能够继续访问。而是有受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥和私钥。
服务器会把公钥传输给客户端。
客户端（浏览器）收到公钥后，会验证其是否合法，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密。
客户端把加密后的随机字符串传输给服务器。
服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据（该加密为对称加密，所谓对称加密就是把数据和私钥，也就是这个随机字符串>经过某种算法混合在一块儿，这样除非知道私钥，不然没法获取数据内容）。
服务器把加密后的数据传输给客户端。
客户端收到数据后，再用本身的私钥也就是那个随机字符串解密。
SSL协议的工做流程：
服务器认证阶段：
1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话链接；
2）服务器根据客户的信息肯定是否须要生成新的主密钥，如须要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；
3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；
4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。
用户认证阶段：
在此以前，服务器已经经过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。
（SET协议：为网上信用卡支付提供了全球性的标准。）
SSL协议的握手过程：
SSL 协议既用到了公钥加密技术(非对称加密)又用到了对称加密技术，SSL对传输内容的加密是采用的对称加密，而后对对称加密的密钥使用公钥进行非对称加密。这样作的好处是，对称加密技术比公钥加密技术的速度快，可用来加密较大的传输内容，公钥加密技术相对较慢，提供了更好的身份认证技术，可用来加密对称加密过程使用的密钥。
SSL 的握手协议很是有效的让客户和服务器之间完成相互之间的身份认证，其主要过程以下：
　　①客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其余服务器和客户端之间通信所须要的各类信息。
　　②服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及其余相关信息，同时服务器还将向客户端传送本身的证书。
　　③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过时，发行服务器证书的 CA 是否可靠，发行者证书的公钥可否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。若是合法性验证没有经过，通信将断开；若是合法性验证经过，将继续进行第四步。
　　④用户端随机产生一个用于后面通信的“对称密码”，而后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中得到）对其加密，而后将加密后的“预主密码”传给服务器。
　　⑤若是服务器要求客户的身份认证（在握手过程当中为可选），用户能够创建一个随机数而后对其进行数据签名，将这个含有签名的随机数和客户本身的证书以及加密过的“预主密码”一块儿传给服务器。
　　⑥若是服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥可否正确解开客户证书的发行 CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验若是没有经过，通信马上中断；若是验证经过，服务器将用本身的私钥解开加密的“预主密码 ”，而后执行一系列步骤来产生主通信密码（客户端也将经过一样的方法产生相同的主通信密码）。
　　⑦服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于 SSL 协议的安全数据通信的加解密通信。同时在 SSL 通信过程当中还要完成数据通信的完整性，防止数据通信中的任何变化。
　　⑧客户端向服务器端发出信息，指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。
　　⑨服务器向客户端发出信息，指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。
　　⑩SSL 的握手部分结束，SSL 安全通道的数据通信开始，客户和服务器开始使用相同的对称密钥进行数据通信，同时进行通信完整性的检验。
双向认证 SSL 协议的具体过程
　　① 浏览器发送一个链接请求给安全服务器。
　　② 服务器将本身的证书，以及同证书相关的信息发送给客户浏览器。
　　③ 客户浏览器检查服务器送过来的证书是不是由本身信赖的 CA 中心所签发的。若是是，就继续执行协议；若是不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是能够信赖的，询问客户是否须要继续。
　　④ 接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，若是是一致的，客户浏览器承认这个服务器的合法身份。
　　⑤ 服务器要求客户发送客户本身的证书。收到后，服务器验证客户的证书，若是没有经过验证，拒绝链接；若是经过验证，服务器得到用户的公钥。
　　⑥ 客户浏览器告诉服务器本身所可以支持的通信对称密码方案。
　　⑦ 服务器从客户发送过来的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加过密后通知浏览器。
　　⑧ 浏览器针对这个密码方案，选择一个通话密钥，接着用服务器的公钥加过密后发送给服务器。
　　⑨ 服务器接收到浏览器送过来的消息，用本身的私钥解密，得到通话密钥。
　　⑩ 服务器、浏览器接下来的通信都是用对称密码方案，对称密钥是加过密的。
生成ssl密钥对
将公钥私钥放在/usr/local/nginx/conf/
cd /usr/local/nginx/conf/
openssl genrsa -des3 -out tmp.key 2048（key文件为私钥）
该私钥须要生成密码，可是太过麻烦因此如下取消该设置密码
openssl rsa -in tmp.key -out aminglinux（名称随意命名）.key（转换key，取消密码）
rm -f tmp.key
openssl req -new -key aminglinux.key -out aminglinux.csr（生成证书请求文件，须要那这个文件和私钥一块儿产生公钥文件）
openssl x509 -req -days 365 -in aminglinux.csr -singkey aminglinux.key -out aminglinux.crt
这里的aminglinux.crt为公钥，key为私钥。
Nginx配置ssl（该证书为本身颁发的测试证书）
vim /usr/local/nginx/conf/vhost/ssl.conf/ （加入如下）
```
{
```
```
listen 443;
```
```
server_name aming.com;
```
```
index index.html index.php;
```
```
root /data/wwwroot/aming.com;
```
```
ssl on;
```
```
ssl_certificate aminglinux.crt;
```
```
ssl_certificate_key aminglinux.key;
```
```
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
```
```
}
```
-t && -s reload（若报错unknown directive “ssl” ,须要从新编译nginx，加上--with-http_ssl_module 。
cd /usr/local/nginx/sbin/nginx -V
./comfigure --prefix=/usr/local/nginx --with-http_ssl_module）
mkdir /data/wwwroot/aming.com
echo “ssl test page.” >/data/wwwroot/aming.com/index.html
编辑hosts ，增长127.0.0.1 aming.com
curl https://aming.com/
Php-fpm的pool
vim /usr/local/php/etc/php-fpm.conf（在[global]部分增长）
include=etc/php-fpm.d/*.conf
mkdir /usr/local/php/etc/php-fpm.d/
cd /usr/local/php/etc/php-fpm.d/
cd /usr/local/php/etc/php-fpm.d/
vim www.conf （内容以下）
[www]
listen=/tmp/www.sock
losten.mode=666
user=php-fpm
group=php-fpm
pm.max_children=50
pm.start_servers=20
pm.min_spare_servers=5
pm.max_spare_servers=35
pm.max_requests=500
rlimit_files=1024
/usr/local/php-fpm/sbin/php-fpm -t
/etc/init.d/php-fpm reload
Php-fpm慢执行日志
vim /usr/local/php-fpm/etc/php-fpm.d/www.conf（加入如下）
request_slowlog_timeout=1
slowlog=/usr/local/php-fpm/var/log/www-slow.log
/usr/local/php-fpm/sbin/php-fpm -t
/etc/init.d/php-fpm reload
Ls /usr/local/php-fpm/var/log/（查看是否生成www-slow-log）
配置nginx的虚拟主机test.com.conf ，把unix:/tmp/php-fcgi.sock改成unix:/tmp/www.sock
从新加载nginx服务
vim /data/wwwroot/test.com/sleep.php（写入如下）
<?php
echo “test slow log”;
sleep(2);
#要求sleep执行2秒
echo “done”;
?>
curl -x127.0.0.1:80 test.com/sleep.php
cat /usr/local/php-fpm/var/log/www-slow.log
Open_basedir
Php-fpm定义open_basedir
vim /usr/local/php-fpm/etc/php-fpm.d/aming.conf（加入如下）
Php_admin_value[open_basedir]=/data/wwwroot/aming.com:/tmp/
/etc/init.d/php-fpm restart
curl -x127.0.0.1:80 test.com/sleep.php
建立测试php脚本，进行测试
再次更改aming.conf，修改路径，再次测试
配置错误日志
再次测试
查看错误日志
Php-fpm进程管理
m = dynamic （动态进程管理，也能够是static）
pm.max_chilidren = 50 （最大子进程数，ps aux能够查看）
pm.start_servers = 20 （启动服务时会启动的进程数）
pm.min_spare_severs = 5 （定义在空闲时段，子进程数的最大值，若是高于这个数值时，php-fpm服务会自动派生新的子进程）
pm.max_spare_servers = 35 （定义在空闲时段，子进程数的最大值，若是高于这个数值就开始清理空闲的子进程）
pm.max_requests = 500 （定义一个子进程最多处理的请求数，也就是说在一个php-fpm的子进程最多能够处理这么多请求，当达到这个数值时，它会自动退出）