作为电商巨擘的互联网入口的亚马逊域名,其底层所依赖的,是强大的、稳定的,名为Linux系统的运维体系。
这份文本之中,必将深度剖析怎样去构建那支撑顶级域名的企业级服务器架构,从而提供出一套,起初从服务器选型开始,接着到安全加固环节,再之后到环境部署,以及最后的运维监控的,零失败实战教程。
一、 云服务器选型与 ECS 弹性计算配置
要支撑高并发访问,首步是精准选配 云服务器。
建议选择主流云厂商的 ECS弹性计算 实例。
选型策略:是计算型 c7 实例,此实例适用于高负载计算。又或者是通用型 g7 实例。
优先选择的 CPU,是 Intel Xeon Platinum 处理器,或者是 AMD EPYC 处理器。
这两类 Linux系统 拥有最长的社区支持和软件库兼容性。
对于网络配置而言,一定要做出分配一个公网IP的行为,并且要保证能做到带宽至少为10Mbps。
于安全组那里,最初只开放了,名为SSH端口的这一项(其端口号为22),还有名叫ICMP协议的这个,以此为后面的安全加固去做好相应准备。
二、 服务器安全加固与防火墙策略
服务器上线前,必须进行深度安全锁定。
1. SSH安全加固:
改成默认端口:去编辑 /etc/ssh/sshd_config,要把 Port 22 变更成 Port 5822(这是自定义的高位端口)。
严禁以Root身份进行登录操作:于same文件里将PermitRootLogin no予以设置。
密钥进行认证时,要运用 ssh-keygen 来生成密钥对,接着把公钥写入到 ~/.ssh/authorized_keys 里面,而且还要设置 PasswordAuthentication no。
执行,这么一个命令,即systemctl restart sshd,就会使得,重启服务,产生效果,从而生效。
2. 防火墙策略:
使用 firewalld 或 iptables。
以下以 firewalld 为例:
顺序是,先执行“systemctl start firewalld”,紧接着,再执行“systemctl enable firewalld”。
配置:
将5822/tcp这个端口,通过firewall-cmd命令,以永久的方式添加进去,用以开放新SSH端口。
执行这样一条指令,即firewall-cmd,添加永久的服务,具体是添加名为http的服务,这一操作的目的在于开放80端口。
启用https服务,执行命令:firewall-cmd --permanent --add-service=https 备注(此操作开放443端口)。
firewall-cmd --reload (重载规则)
三、 LNMP/LAMP 环境编译搭建
不同于一键安装,生产环境推荐源码编译,以获得极致性能。
在这里,是以 LNMP 来作为例子的,LNMP 也就是 Linux 加上 Nginx 再加上 MySQL 再加上 PHP。
编译Nginx:
进行源码下载操作,所使用的代码是:wget http://nginx.org/download/nginx-1.24.0.tar.gz ,通过此代码来达成下载源码的目的。
拆开进行解压操作,然后开展配置工作:./configure --prefix=/usr/local/nginx,再于其基础之上,增添 --with-http_ssl_module 及 --with-http_stub_status_module。
编译安装:make && make install
编译MySQL/ PHP 类似,需注意依赖库安装。
要是进行快速部署,也能够去运用 宝塔面板可视化运维 来提高效率,不过得在纯净系统里头执行官方所给脚本:yum install -y wget && wget -O install.sh http://download.bt.cn/install/install_6.0.sh && sh install.sh,之后凭借面板可视化配备 Nginx、MySQL 以及 PHP 环境。
四、 域名注册、DNS解析与CDN加速
服务器就绪后,需要将域名指向它。
从事域名注册购买事宜时,于阿里云、腾讯云、GoDaddy等这类注册商方面来进行完域名的注册购买操作。
DNS智能解析:
登录云解析DNS控制台。
添加记录:将 @ 和 www 记录指向服务器 公网IP。
若存在多线服务器,能够配置 智能解析,好似对于移动用户而言,使其走移动IP去向,针对电信用户来讲,让其走电信IP流向。
CDN加速:
在 CDN 控制台添加域名,源站填写你的服务器IP。
调整:将那些属于静态资源范畴的文件诸如jpg格式的图片、css样式文件以及js脚本文件进行缓存操作,同时针对这些缓存设置相应的过期时间。
这一步能显著降低源站负载并加快全球访问速度。
五、 SSL证书部署与HTTPS配置
为了安全与SEO,必须启用 HTTPS。
可以在云厂商那里申请免费的DV SSL证书来获取证书,或者使用Let‘s Encrypt来获取证书。
部署(Nginx示例):
把证书文件,也就是那个.crt格式的文件,还有私钥文件,就是那个.key格式的文件,上传到服务器,就像那个路径是〈code〉/usr/local/nginx/conf/ssl/〈/code〉那样的服务器。
修改Nginx配置文件,添加虚拟主机配置:
server {
listen 443 ssl http2;
server_name yourdomain.com;
ssl_certificate /usr/local/nginx/conf/ssl/yourdomain.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/yourdomain.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!
aNULL:!
MD5;
root /data/wwwroot;
index index.php index.html;
# ... 其余配置
}
server {
listen 80;
server_name yourdomain.com;
return 301 https://$host$request_uri; # 强制跳转HTTPS
}
发出指令,执行“/usr/local/nginx/sbin/nginx -t”来进行测试配置,在确认无误之后,再执行“nginx -s reload”。
六、 Docker容器化部署与K8s基础
对于微服务架构, Docker容器化部署 是关键。
开展Docker的安装操作:借助命令“curl -fsSL https://get.docker.com | bash -s docker”来实现,并且要实施启动操作,即运用命令“systemctl start docker”。
开启运行容器,执行:“docker run -d --name my-nginx -p 8080:80 nginx”,如此一来,便能让Nginx在容器里实现运行。
K8s基础:若需编排,可学习 kubectl 基本命令。
比如说,搞出一个部署,执行这样的命令:〈code〉kubectl create deployment nginx --image=nginx〈/code〉,并且借助 〈code〉kubectl expose deployment nginx --port=80 --type=NodePort〈/code〉 把服务向外进行暴露。
七、 网站环境迁移与故障排查
将文件进行转移操作:使用 rsync 这个命令来同步文件,执行的命令是这样子的 rsync -avz /local/www/ root@新服务器IP:/data/wwwroot/ ;而数据库则是借助 mysqldump 来开展导入导出的操作。
故障排查:
从错误日志之中进行查看,执行这样的操作:tail针对文件进行操作,操作对象是斜杠/usr/local/nginx/logs/error.log这个文件,操作方式为 -f。
对端口监听情况进行检查,执行以下操作:通过输入代码“netstat -tunlp”,并从中查找“80”,来完成此项检查。
对于系统负载进行分析,运用top或者运用htop去查看关于CPU以及内存瓶颈。
八、 日志分析、性能监控与数据备份
举例来说,进行IP访问量的统计:awk ‘{print $1}’ /usr/local/nginx/logs/access.log ,接着sort ,再uniq -c ,最后sort -nr。
关于系统性能的实时监测把控:进行相关设置以部署Prometheus与Grafana实现性能监控,或者选用云厂商自身所含的负责监控用途的插件以便开展监控工作,针对CPU、内存以及磁盘IO进行实时状貌的监测。
数据备份:
编写脚本 backup.sh:
#!
/bin/bash
mysqldump -uroot -p密码 dbname > /backup/db_$(date +%Y%m%d).sql
find /backup -type f -mtime +7 -name “.sql” -exec rm -f {} ; # 保留7天
把它添加到,那个名为crontab的里面,具体像这样,0 2 /bin/bash /root/backup.sh,是要在每天凌晨2点的时候去执行的。
依据上述,有着一步一操作特性的实战流程,你已然构建出一套能与亚马逊级别相媲美的,兼具稳定、安全以及高性能特点的企业级Linux运维架构,此架构为你的域名和业务供给了坚实的网络基石。
Comments NOTHING