目录
1. 搭建Web服务
首先安装python的flask库,可以使用以下代码:
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple flask
然后编写最简单的flask项目,只需创建目录/home/ubuntu/www/用于存放代码,创建目录/home/ubuntu/www/log/用于存放日志,再创建一个/home/ubuntu/www/main.py文件,内容如下:
# 导入Flask类
from flask import Flask
# 实例化Flask
app = Flask(__name__)
# route()方法用于设定路由
@app.route('/')
def hello_world():
return 'Hello, World!'
if __name__ == '__main__':
# host为0.0.0.0表示所有IP均可访问此Web服务
app.run(host="0.0.0.0", port=5000, debug=False)
最后输入命令python3 main.py即可运行此项目
2. 安装nginx
更新软件源:sudo apt-get update
安装nginx:sudo apt-get install nginx
访问云主机的ip确认nginx安装成功
修改nginx配置文件:sudo vi /etc/nginx/nginx.conf
在http{}合适位置添加以下代码
一定要将http{}里面的最后两个include行注释掉,修改才会生效
server{
listen 80;
server_name web.example.cn;
access_log /home/ubuntu/www/log/access.log;
error_log /home/ubuntu/www/log/error.log;
location /{
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_redirect off;
proxy_buffering off;
proxy_pass http://127.0.0.1:5000;
}
}
不重启重新载入最新配置文件内容:sudo service nginx reload
停止nginx服务:sudo service nginx stop
重启nginx服务:sudo service nginx restart
另外在域名服务商添加一条名称为web的A记录解析到本云主机的IP即可访问http://web.example.cn,会看到网页返回Hello, World!
3 安装ACME自动签发证书
https证书是Let’s Encrypt网站签发的,每次有限期三个月,手动申请很麻烦,所以使用ACME工具来自动申请和续期
3.1 安装证书
安装很简单,只需要一个命令:curl https://get.acme.sh | sh
此命令实际帮用户进行以下操作:
- 把
acme.sh安装到用户的home目录下,即~/.acme.sh/ - 创建一个
bash的alias, 方便使用:alias acme.sh=~/.acme.sh/acme.sh - 自动创建cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书
如果~目录下无.bashrc需要手动创建;如果用户ssh重新登录,.bashrc文件不会自动生效,需要进行下一步
终端输入vim .bash_profile,然后写入以下内容:
if [ -s ~/.bashrc ]; then
source ~/.bashrc;
fi
安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/
3.2 生成证书
首先登录DNSPod,它已被腾讯云收购,可直接使用腾讯云账户登录。在里面创建API接口和秘钥。然后在命令行输入:
export DP_Id="152345"
export DP_Key="235b55ffd5a4588aabbccee1e2e5a74a"
acme.sh --issue -d example.cn -d *.example.cn --dns dns_dp
等待验证DNS和创建证书即可(接口和秘钥信息会被自动保存在~/.acme.sh/account.conf配置文件,方便自动续期)。这里生成主域名example.cn的证书和泛域名*.example.cn证书
3.3 安装证书
sudo mkdir /etc/nginx/ssl/
sudo chmod -R 777 ssl
acme.sh --install-cert -d example.cn \
--key-file /etc/nginx/ssl/example.cn.key \
--fullchain-file /etc/nginx/ssl/example.cn.cer \
--reloadcmd "service nginx force-reload"
在终端输入sudo vim /etc/nginx/ssl/example.cn.ssl.conf来创建ssl配置的单文件example.cn.ssl.conf,文件内容为:
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate ssl/example.cn.cer;
ssl_certificate_key ssl/example.cn.key;
最后sudo vim /etc/nginx/nginx.conf在server{}里面添加一行:include ssl/example.cn.ssl.conf;,最终的代码如下:
server{
listen 80;
server_name web.example.cn;
access_log /home/ubuntu/www/log/access.log;
error_log /home/ubuntu/www/log/error.log;
include ssl/example.cn.ssl.conf;
location /{
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_redirect off;
proxy_buffering off;
proxy_pass http://127.0.0.1:5000;
}
}
此时不重启重新载入最新nginx配置文件内容sudo service nginx reload,即可访问https://web.example.cn,会看到网页返回Hello, World!
4. 使用logrotate自动切割日志文件
如果某个web服务自己会产生日志(步骤1中的Python程序,可以使用logging.handlers.RotatingFileHandler来分割日志文件),且没有自带的分割日志文件的功能,那么我们可以借助logrotate实现分割,这里我们对nginx的日志文件进行分割
创建/etc/logrotate.d/nginx-myweb文件,内容如下
/home/ubuntu/www/log/access.log /home/ubuntu/www/log/error.log{
weekly
minsize 10M
rotate 10
missingok
dateext
notifempty
sharedscripts
postrotate
[ -e /usr/local/nginx/logs/nginx.pid ] && kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
endscript
}
系统会定时运行logrotate,一般是每天一次,可以在此文件/etc/cron.daily/logrotate查看
5. 配置nginx切割日志文件
在nginx的配置文件中,添加以下内容,这种方法只能切割文件,不能自动删除过时文件:
# 可以位于http、server块
map $time_iso8601 $logdate {
'~^(?<ymd>\d{4}-\d{2}-\d{2})' $ymd;
default 'date-not-found';
}
# 一般位于server块
access_log /home/ubuntu/www/log/access_www-$logdate.log;
error_log /home/ubuntu/www/log/error_www-$logdate.log;
# 提高日志效率,不是控制日志文件个数
open_log_file_cache max=10;
如果发现只是创建文件'error_www-$logdate.log',且内容包括以下部分:
"/home/ubuntu/www/log/access_www-2020-09-28.log" failed (13: Permission denied) while logging request
这说明nginx的权限无法创建文件/home/ubuntu/www/log/access_www-2020-09-28.log,则需要以下步骤:
# 把用户添加到当前用户组
sudo gpasswd -a www-data ubuntu
# 添加权限
sudo chmod -R a+w /home/ubuntu/frp/log
# 如果还是出错的话,直接修改/etc/nginx/nginx.conf文件
# 把user改为ubuntu即可
晨曦
/
/ - views
Published under (CC) BY-NC-SA 4.0