nginx – 家鯖構築日記

我が家のインフラToDo 2017

そろそろ我が家のインフラも老朽化が著しく、リプレースを検討中。
今動いてる24時間運転マシンを2台に減らすべく構想中。

ネットワーク線も引き直して、外への出口はNuro光とフレッツ光VDSLの2本立てかな。（フレッツはグローバルIP用）

その１Linuxサーバ
セキュリティはガチガチ（基本グローバルからのインバウンドは全部禁止。必要最低限だけ開ける）
Samba＋Netatalkは必須
グローバルアドレス向けNICは必須
RAID Cardは新調。SSDキャッシュできるもの。６GBでいいかなぁ？
P●3カードは2枚入れる
（最近触ってないけどChinachuかなぁ？それともepgrecかなぁ？）
※BCASカードは3枚目投入・・・・いくら半額でもちょっと高いよなぁ・・・・
RAIDカードはキャリーオーバー
（ほんとはこの際に入れ替えたい。SSDのキャッシュも積んでみたい）
バックアップ用のHDDは別途検討（多分８TBか10TBを1本）
（内蔵RAIDの中身を単発の玉に毎日rsyncして、一朝有事の際にはそれだけ持って逃げようと画策中）
nginxでリバプロして、グローバルからのリクエスト振り分け
（wwwとかblogとかその他のサービス）
php-fpmで高速化を図る予定
apcupsd入れてちゃんとシャットダウンさせる
お試しでGuacamole(https://guacamole.incubator.apache.org/)も入れるか
Windows ActiveDirectory鯖新調
Win2016鯖にする予定（この際だから新規にADも作り直そうかな）
Office365も契約見直してEnterpriseにしちまうか。
有線ルーター（RT1200の設定見直し）
懐に余裕ができたらAWSとのインターネットVPN接続復活して、向こう側にドメコン置く予定
※懐具合ではフレッツは後回しかも
無線ルータのリプレース
Appleのヤツだと電波イマイチなので、どうしようか悩み中。
不要機器の処分
多分4台くらい廃棄。無料で回収してくれるところを探さないと・・・・
回線のリプレース
クソ遅いVDSLからNuro光に入れ替え予定
Nuro光。うちは8Fだけどファイバー引いてくれるらしい。
※契約して３ヶ月。工事の音沙汰は全くないわけですが。
http://nuro-h.com/index.html

さてさて・・・鯖に一体おいくら万円かかるのかしら・・・・。
ざっくりこんな感じ？
–2017/6/7追記　RAIDカード忘れてました

ADAPTEC ASA-7805H SGL HBAカード PCIe Gen3対応 7Hシリーズ SAS/SATA HBA PMC Sierra 日本正規代理店品 SC1384 2280800-R

ADAPTECジャパン ACK-I-mSAS4x4-4SATAx1-SB-0.7 R 2272300-R

Intel CPU Core i7-7700 3.6GHz 8Mキャッシュ 4コア/8スレッド LGA1151 BX80677I77700 【BOX】

ASUSTeK Intel Z270搭載マザーボード LGA1151対応 PRIME Z270M-PLUS 【microATX】

CORSAIR DDR4 メモリモジュール VENGEANCE LPX Series 8GB×2枚キット CMK16GX4M2A2666C16

SilverStone ATX対応ストレージPCケースホットスワップベイ8基 SST-CS380B 正規代理店品

Corsair RM650x 80PLUS GOLD認証取得 650W静音電源ユニット PS593 CP-9020091-JP

ENERMAX エナーマックス 3.5インチベイ内蔵モバイルラックホットスワップ対応【SSD/ SAS/ SATA6Gbps対応】 EMK3101

東芝 XG3シリーズ 256GB M.2 2280 PCI-Express 3.0 x4接続 NVMe SSD MLC Read 最大2516 MB/s Write 最大1572MB/Sec 超寿命MLC THNSN5256GPU7

アダプテックジャパン Adaptec RAID 5805 RoHS KIT / 2244100-R ASR-5805 RoHS KIT

WD SSD 内蔵SSD 2.5インチ 1TB WD Blue WDS100T1B0A/SATA3.0/3年保証

TP-Link WiFi 無線LAN ルーター 11ac/n/a/g/b デュアルバンド(866+300Mbps) Archer C55 (Nitendo Switch 動作確認済:利用推奨環境:4人/3LDK/2階建)

[`fc2` not found]

nginxでワイルドカードSSLを使う

全くもって個人的な趣味ですが、サーバ証明書をワイルドカードで取得しています。

物凄く重要な事なので先に書きますが、対象となるドメイン名でメールが受信できる状態になっている必要があります。
申請を向こうで受理したら、申請したドメイン宛にメールが飛んできて初めてActivateできます。（これで二日は潰れました）

もちろん、ご存知の通りワイルドカード証明書は通常メチャクチャ高いわけです。某Signとかすごい金額ですもの。

なので、私はSSLストアさんで、COMODO SSLのワイルドカードを申請しました。（去年まではRapidSSLだったんですが、為替の影響とかで、いきなり倍に値上がりしたので乗り換えです）

で、nginxで使うには・・・ですが、ちょっとだけコツが必要な場合があります。

今回、メールで送られてきたサーバ証明書は、以下の通りです。
STAR_admkazuya_org.crt
STAR_admkazuya_org.ca-bundle

この２ファイルを、くっ付けたファイルを改めて準備しておく必要があります。

例えばこんな感じで。cat STAR_admkazuya_org.crt STAR_admkazuya_org.ca-bundle > 2015_admkazuya_org.crt

あとはいつも通りsslの設定ですが、上記で作ったファイルをssl_certificateで指定します。
（これでまた１日悩みました）

この形で納品されていると、中間証明書をゴチャゴチャしなくていい分、楽ですね（後で判ったのですが）

これ、来年もきっと忘れてると思うので、メモとして残します。

もっと深く書きたいのですが、睡魔に負けそうなので、今日はこの辺で。

[`fc2` not found]

サーバ証明書について

お気付きの方もいらっしゃるかもしれませんが、本サイトでは
第三者機関によるサーバ証明書サービスを受けております。

昨年はRapidSSL WildCardが激安だったので、そちらにしましたが
今年は「為替状況の変動による仕入れ価格の変更」のため、価格改定が入りました。
（同じサービスに対して、さすがに倍払えというのは、コクかと思いますが）

文句を言っても始まらないので、いろいろ探した結果、
SSLストア公式サイトさん提供の
COMODO SSL ワイルドカードへ変更する事としました。

ワイルドカードで、このプライシングは滅多とお目にかかれないので、即ポチしたのが10月も半ば。

いやはや・・・管理人としては失格ですわ（苦笑）

技術的な事柄については、後々のポストでぼちぼち書いていきまする。
（Apacheとnginxではやり方が全く違うので・・・・）

[`fc2` not found]

WordPressをhttps化してnginx reverse proxy配下で使うには

まだまとめてませんが、フロントエンドとバックエンドを分けた時に
どうなるかを散々悩んでやっと解決出来ました。
（実は完全会員制サイトを作りたいのです。）

#2015/01/20追記
　アップロードできるファイルサイズをデフォルトのままにしてましたんで、その辺ちょっと書き足しました。

これまで様々探してみましたが、ようやく答えに行き着きました
とりあえずここのリンクを参照！

前提条件としては、こんな感じです。
　インターネット側から見えるURL：https://frontend.hogehoge.site/
　裏側で動くWordpressが導入されたサイトのURL：http://backend.hogehoge.site

準備作業としては、このへんまでやっておきます。
　http://backend.hogehoge.site/ からWordPressをアクセスできるようにしておく。
　（DBのインストール、Wordpressの初期設定は済ませた状態）
　パーマリンクの設定は、好みでいいと思いますが、私は大体「https://frontend.hogehoge.site/archives/999」
　みたいにすることが多いです。
　管理者でログインして、設定→一般から、「サイトURL」と「xxxURL」を
　「https://frontend.hogehoge.site/」にしておく。
　（ここで保存すると、アクセスできなくなりますが、設定は反映されてますのでそのままにしておきます）
　

で、やったことはこんな感じです。。

先ずはnginx側から。
こんな感じで設定しました。
ポイントとしては・・・
http://frontend.hogehoge.siteからのアクセスは、
https://frontend.hogehoge.siteへ無条件にリダイレクトする。

proxyした時に、元のURLをヘッダーにキチンと残して上げる

server {
        listen          80;
        server_name     frontend.hogehoge.site;

        location / {
                    rewrite ^(.*)$ https://frontend.hogehoge.site$1 redirect;
                   }

        }

server {
        listen                  443;
        server_name             www.hogehoge.site;
        ssl                     on;
        ssl_certificate         /path/to/chainfile;
        ssl_certificate_key     /path/to/certfile;

        ssl_protocols           TLSv1 TLSv1.1 TLSV1.2;
        ssl_ciphers             HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;
　　　　
　　　　 client_max_body_size 20M;

        location / {
                proxy_redirect                          off;
                proxy_set_header Host                   $host;
                proxy_set_header X-Forwarded-Proto      https;
                proxy_set_header X-Forwarded-Server     $host;
                proxy_set_header X-Forwarded-For        $proxy_add_x_forwarded_for;
                proxy_pass              　　　　　　　　　http://backend.hogehoge.site/;
        }
}

server {

listen 80;

server_name frontend.hogehoge.site;

location / {

rewrite ^(.*)$ https://frontend.hogehoge.site$1 redirect;

}

server {

listen 443;

server_name www.hogehoge.site;

ssl on;

ssl_certificate /path/to/chainfile;

ssl_certificate_key /path/to/certfile;

ssl_protocols TLSv1 TLSv1.1 TLSV1.2;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

　　　　 client_max_body_size 20M;

location / {

proxy_redirect off;

proxy_set_header Host $host;

proxy_set_header X-Forwarded-Proto https;

proxy_set_header X-Forwarded-Server $host;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_pass 　　　　　　　　　http://backend.hogehoge.site/;

}

次にbackend.hogehoge.siteにログインして、wp-config.phpに以下の行を追記する。
おもいっきり先頭に書いちゃって下さいｗ

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO'])
    && $_SERVER['HTTP_X_FORWARDED_PROTO'] === "https") {
  $_SERVER['HTTPS'] = 'on';
}

define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

〜ここから下は元々書かれている部分と思ってください〜

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO'])

&& $_SERVER['HTTP_X_FORWARDED_PROTO'] === "https") {

$_SERVER['HTTPS'] = 'on';

}

define('FORCE_SSL_LOGIN', true);

define('FORCE_SSL_ADMIN', true);

〜ここから下は元々書かれている部分と思ってください〜

実際にhttp://frontend.hogehoge.site/にアクセスしてみる。
ちゃんとhttpsへリダイレクトされて、デフォルトのページが表示されるはずです。
上手く言ってないと、スタイルシートが来ないとか、画像が全く表示されないとか
ソース見るとhttp://frontend.hogehoge.siteから始まるURLになっていたりします。
https://frontend.hogehoge.site/wp-login.phpにアクセスしてログインしてみる
ここでリダイレクトループが出たら、リバースプロキシの設定が間違っているか、
wp-config.phpで書き換えた内容がまちがってますので、しっかり確認して下さい。
最後に、ファイルアップロードサイズの上限をあげます。
だって・・・デフォルト2MBだったんだもん。（ぐすん）
こやつは複数箇所設定変更が必要です。
（今日はもう眠いので、後日やります。
　それぞれの設定を1行足したり、記載を変更したりなレベルなので
　そのままオミットするかも（ぉぃ））
1. フロントエンド（リバースプロキシ）側nginx
2. バックエンド（Wordpressが実際動く鯖）側nginx
3. バックエンド側php.ini/li>

さぁ・・・これで器にするための土は集まった。
次はろくろを回さないと。
器の上に載せる料理？
そんなのはマダマダ先ですｗ

まだまだ続きます。

[`fc2` not found]

nginxでphp-fpmを使う

ちょっと別にサイトを作ってて、確か書いたよな～とか思って
わらしのBlogを検索したのですが、書いてなかったので････。

前提としてはこんな感じです。
　epelリポジトリが追加されている
　phpが既にyum install済み
　nginxが既にyum install済み

ここまで準備できているということは・・・
「とりあえずnginx入れたけどまだ何も動かしてない状態」から始める事になります。

1.まずは肝心のパッケージをインストールしましょう。

# yum install php-fpm

1	# yum install php-fpm

2.php-fpmサービスの設定変更
ほとんど設定触らなくても動きますが、ちょっとだけ直しましょう。
変更点としては、こんな感じです。
・デフォルトでローカルホストの9000番待ち受けなのを、socketに変更。
・実行ユーザ・グループが、apacheなんで、nginxに変更。

# diff www.conf www.conf_orig
12c12
< listen = /var/run/php5-fpm.sock
---
> listen = 127.0.0.1:9000
39c39
< user = nginx
---
> user = apache
41c41
< group = nginx
---
> group = apache

# diff www.conf www.conf_orig

12c12

< listen = /var/run/php5-fpm.sock

---

> listen = 127.0.0.1:9000

39c39

< user = nginx

---

> user = apache

41c41

< group = nginx

---

> group = apache

3.php-fpmサービスの起動
無事インストールできたら、php-fpmなサービスを起動します。
こいつが動いてないと何も始まりませんしw
ほとんど設定いらないのもありがたい話です。
手動で起動できたら、自動起動するようにするのをお忘れなく。

# systemctl start php-fpm
# systemctl status php-fpm
php-fpm.service - The PHP FastCGI Process Manager
   Loaded: loaded (/usr/lib/systemd/system/php-fpm.service; disabled)
   Active: active (running) since 金 2015-01-16 22:58:32 JST; 10s ago
 Main PID: 5995 (php-fpm)
   Status: "Processes active: 0, idle: 5, Requests: 0, slow: 0, Traffic: 0req/sec"
   CGroup: /system.slice/php-fpm.service
           tq5995 php-fpm: master process (/etc/php-fpm.conf)
           tq5996 php-fpm: pool www
           tq5997 php-fpm: pool www
           tq5998 php-fpm: pool www
           tq5999 php-fpm: pool www
           mq6000 php-fpm: pool www

 1月 16 22:58:32 prixy.admkazuya.org systemd[1]: Started The PHP FastCGI Pro...
Hint: Some lines were ellipsized, use -l to show in full.
[root@prixy nginx]# systemctl enable php-fpm
ln -s '/usr/lib/systemd/system/php-fpm.service' '/etc/systemd/system/multi-user.target.wants/php-fpm.service'

# systemctl start php-fpm

# systemctl status php-fpm

php-fpm.service - The PHP FastCGI Process Manager

Loaded: loaded (/usr/lib/systemd/system/php-fpm.service; disabled)

Active: active (running) since 金 2015-01-16 22:58:32 JST; 10s ago

Main PID: 5995 (php-fpm)

Status: "Processes active: 0, idle: 5, Requests: 0, slow: 0, Traffic: 0req/sec"

CGroup: /system.slice/php-fpm.service

tq5995 php-fpm: master process (/etc/php-fpm.conf)

tq5996 php-fpm: pool www

tq5997 php-fpm: pool www

tq5998 php-fpm: pool www

tq5999 php-fpm: pool www

mq6000 php-fpm: pool www

1月 16 22:58:32 prixy.admkazuya.org systemd[1]: Started The PHP FastCGI Pro...

Hint: Some lines were ellipsized, use -l to show in full.

[root@prixy nginx]# systemctl enable php-fpm

ln -s '/usr/lib/systemd/system/php-fpm.service' '/etc/systemd/system/multi-user.target.wants/php-fpm.service'

4.nginxの設定変更
たいしたことはありませんが、必要なんでやっちゃいましょう。

        location / {
                root   /usr/share/wordpress;
                index   index.php;

                if (!-e $request_filename) {
                        rewrite ^/(.*)$  /index.php?q=$1 last;
                        break;
                }
        }

        location ~ \.php$ {
                fastcgi_pass   unix:/var/run/php5-fpm.sock;
                fastcgi_index  index.php;
                #fastcgi_split_path_info ^/(.+\.php)(.*)$;
                fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                fastcgi_intercept_errors on;
                include fastcgi_params;
        }

location / {

root /usr/share/wordpress;

index index.php;

if (!-e $request_filename) {

rewrite ^/(.*)$ /index.php?q=$1 last;

break;

}

location ~ \.php$ {

fastcgi_pass unix:/var/run/php5-fpm.sock;

fastcgi_index index.php;

#fastcgi_split_path_info ^/(.+\.php)(.*)$;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

fastcgi_intercept_errors on;

include fastcgi_params;

}

さ、後はphpを置いて表示してみてください！

[`fc2` not found]

別鯖への引越完了。

さて・・・とりあえず引越し完了。
んー色々面倒な感じでしたね＜Wordpressサイトの引っ越し。
本当はReverse Proxy+Cache位やりたいんですが、今日はここ迄。

構成的には、nginx＋php5-fpmの組み合わせ。
CNAMEを切って、別ホスト扱いにしてるので、nginx側も其の様に。
コンフィグファイルはこんな感じです。
（色々見えちゃってますが、悪さしないでねｗ）

それにしても、nginxに慣れると、Apacheには益々戻れないなぁ・・・・・
（仕事ではApache必要なんですけどね）

それにしてもハマってしまった・・・・。
Rewrite忘れてて、アーカイブが全く見えない状態に（大汗）
そりゃそうです。無いディレクトリ指定するんだもん。
Webサーバ（今回はeginx）の場合、こんな感じに設定しておけば
とりあえず良さそうです。

 location / {
 root /usr/share/wordpress;
 index index.php;

 if (!-e $request_filename) {
  rewrite ^/(.*)$  /index.php?q=$1 last;
  break;
 }
}

location / {

root /usr/share/wordpress;

index index.php;

if (!-e $request_filename) {

rewrite ^/(.*)$ /index.php?q=$1 last;

break;

}

Apacheなんかだと、こんな感じに.htaccessに書きますね。

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

# BEGIN WordPress

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

我が家では、cname切ってサイト分けてるので、それぞれconfファイルが居ます。
ので、このサイトの分だけ、全部のせてみます。
（イタヅラしないでねん♪）

server {
	listen		80;
	server_name	blog.admkazuya.org;
	root		/usr/share/wordpress;

		location / {
			alias /usr/share/wordpress;
			index index.php;
			rewrite ^(.*)$ https://blog.admkazuya.org$1 redirect;
		}
	}

server {
        listen          443;
        server_name     blog.admkazuya.org;
        root            /usr/share/wordpress;

        ssl                     on;
        ssl_certificate         /etc/httpd/cert/2014srv_chain.pem;
        ssl_certificate_key     /etc/httpd/cert/2014key_nopass.pem;

        ssl_protocols           TLSv1 TLSv1.1 TLSV1.2;
        ssl_ciphers             HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;

	location / {
		root   /usr/share/wordpress;
		index   index.php;

            	if (!-e $request_filename) {
			rewrite ^/(.*)$  /index.php?q=$1 last;
			break;
		}
	}

	location ~ \.php$ {
		fastcgi_pass   unix:/var/run/php5-fpm.sock;
		fastcgi_index  index.php;
		#fastcgi_split_path_info ^/(.+\.php)(.*)$;
		fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
		fastcgi_intercept_errors on;
		include fastcgi_params;
	}
}

server {

listen 80;

server_name blog.admkazuya.org;

root /usr/share/wordpress;

location / {

alias /usr/share/wordpress;

index index.php;

rewrite ^(.*)$ https://blog.admkazuya.org$1 redirect;

}

server {

listen 443;

server_name blog.admkazuya.org;

root /usr/share/wordpress;

ssl on;

ssl_certificate /etc/httpd/cert/2014srv_chain.pem;

ssl_certificate_key /etc/httpd/cert/2014key_nopass.pem;

ssl_protocols TLSv1 TLSv1.1 TLSV1.2;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

ssl_session_timeout 10m;

location / {

root /usr/share/wordpress;

index index.php;

if (!-e $request_filename) {

rewrite ^/(.*)$ /index.php?q=$1 last;

break;

}

location ~ \.php$ {

fastcgi_pass unix:/var/run/php5-fpm.sock;

fastcgi_index index.php;

#fastcgi_split_path_info ^/(.+\.php)(.*)$;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

fastcgi_intercept_errors on;

include fastcgi_params;

}

[`fc2` not found]

Related posts:

Related posts:

Related posts:

Related posts:

Related posts:

Related posts: