作者:嗳灬到此为止_769_836 | 来源:互联网 | 2023-10-10 18:47
内容转载自我的博客文章目录1.搭建Web服务2.安装nginx3安装ACME自动签发证书3.1安装证书3.2生成证书3.3安装证书4.使用logrotate自动切割日志文件5.配置
内容转载自我的博客
文章目录 1. 搭建Web服务 2. 安装nginx 3 安装ACME自动签发证书 4. 使用logrotate自动切割日志文件 5. 配置nginx切割日志文件
1. 搭建Web服务 首先安装python的flask
库,可以使用以下代码: pip install -i https://pypi.tuna.tsinghua.edu.cn/simple flask
然后编写最简单的flask项目,只需创建目录/home/ubuntu/www/
用于存放代码,创建目录/home/ubuntu/www/log/
用于存放日志,再创建一个/home/ubuntu/www/main.py
文件,内容如下:
from flask import Flask app = Flask( __name__) @app. route( '/' ) def hello_world ( ) : return 'Hello, World!' if __name__ == '__main__' : app. run( host= "0.0.0.0" , port= 5000 , debug= False )
最后输入命令python3 main.py
即可运行此项目
2. 安装nginx 更新软件源:sudo apt-get update
安装nginx:sudo apt-get install nginx
访问云主机的ip确认nginx安装成功 修改nginx配置文件:sudo vi /etc/nginx/nginx.conf
在http{}
合适位置添加以下代码 一定要将http{}
里面的最后两个include行注释掉,修改才会生效
server{listen 80;server_name web.example.cn;access_log /home/ubuntu/www/log/access.log;error_log /home/ubuntu/www/log/error.log;location /{proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_redirect off;proxy_buffering off;proxy_pass http://127.0.0.1:5000;}}
不重启重新载入最新配置文件内容:sudo service nginx reload
停止nginx服务:sudo service nginx stop
重启nginx服务:sudo service nginx restart
另外在域名服务商添加一条名称为web
的A记录解析到本云主机的IP即可访问http://web.example.cn
,会看到网页返回Hello, World!
3 安装ACME自动签发证书 https证书是Let’s Encrypt网站签发的,每次有限期三个月,手动申请很麻烦,所以使用ACME工具来自动申请和续期
3.1 安装证书 安装很简单,只需要一个命令:curl https://get.acme.sh | sh
此命令实际帮用户进行以下操作:
把acme.sh
安装到用户的home
目录下,即~/.acme.sh/
创建一个bash
的alias, 方便使用:alias acme.sh=~/.acme.sh/acme.sh
自动创建cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书 如果~
目录下无.bashrc
需要手动创建;如果用户ssh重新登录,.bashrc
文件不会自动生效,需要进行下一步 终端输入vim .bash_profile
,然后写入以下内容:
if [ -s ~/.bashrc ] ; then source ~/.bashrc; fi
安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/
3.2 生成证书 首先登录DNSPod,它已被腾讯云收购,可直接使用腾讯云账户登录。在里面创建API接口和秘钥。然后在命令行输入:
export DP_Id= "152345" export DP_Key= "235b55ffd5a4588aabbccee1e2e5a74a" acme.sh --issue -d example.cn -d *.example.cn --dns dns_dp
等待验证DNS和创建证书即可(接口和秘钥信息会被自动保存在~/.acme.sh/account.conf
配置文件,方便自动续期)。这里生成主域名example.cn
的证书和泛域名*.example.cn
证书
3.3 安装证书 sudo mkdir /etc/nginx/ssl/sudo chmod -R 777 ssl acme.sh --install-cert -d example.cn \ --key-file /etc/nginx/ssl/example.cn.key \ --fullchain-file /etc/nginx/ssl/example.cn.cer \ --reloadcmd "service nginx force-reload"
在终端输入sudo vim /etc/nginx/ssl/example.cn.ssl.conf
来创建ssl配置的单文件example.cn.ssl.conf
,文件内容为:
ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_certificate ssl/example.cn.cer; ssl_certificate_key ssl/example.cn.key;
最后sudo vim /etc/nginx/nginx.conf
在server{}
里面添加一行:include ssl/example.cn.ssl.conf;
,最终的代码如下:
server{listen 80;server_name web.example.cn;access_log /home/ubuntu/www/log/access.log;error_log /home/ubuntu/www/log/error.log;include ssl/example.cn.ssl.conf;location /{proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_redirect off;proxy_buffering off;proxy_pass http://127.0.0.1:5000;}}
此时不重启重新载入最新nginx配置文件内容sudo service nginx reload
,即可访问https://web.example.cn
,会看到网页返回Hello, World!
4. 使用logrotate自动切割日志文件 如果某个web服务自己会产生日志(步骤1中的Python程序,可以使用logging.handlers.RotatingFileHandler
来分割日志文件),且没有自带的分割日志文件的功能,那么我们可以借助logrotate
实现分割,这里我们对nginx的日志文件进行分割 创建/etc/logrotate.d/nginx-myweb
文件,内容如下
/home/ubuntu/www/log/access.log /home/ubuntu/www/log/error.log{weeklyminsize 10Mrotate 10missingokdateextnotifemptysharedscriptspostrotate[ -e /usr/local/nginx/logs/nginx.pid ] && kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`endscript }
系统会定时运行logrotate
,一般是每天一次,可以在此文件/etc/cron.daily/logrotate
查看
5. 配置nginx切割日志文件 在nginx
的配置文件中,添加以下内容,这种方法只能切割文件,不能自动删除过时文件:
# 可以位于http、server块 map $time_iso8601 $logdate {'~^(?\d{4}-\d{2}-\d{2})' $ymd;default 'date-not-found'; }# 一般位于server块 access_log /home/ubuntu/www/log/access_www-$logdate.log; error_log /home/ubuntu/www/log/error_www-$logdate.log; # 提高日志效率,不是控制日志文件个数 open_log_file_cache max=10;
如果发现只是创建文件'error_www-$logdate.log'
,且内容包括以下部分:
"/home/ubuntu/www/log/access_www-2020-09-28.log" failed (13: Permission denied) while logging request
这说明nginx的权限无法创建文件/home/ubuntu/www/log/access_www-2020-09-28.log
,则需要以下步骤:
sudo gpasswd -a www-data ubuntusudo chmod -R a+w /home/ubuntu/frp/log