■参考資料
Nginx でPerlを使う場合、FastCGIでNginxとPerlを繋ぐ。
Nginxの公式サイトでは、Ubuntu上でのfcgi, fcgiwrapの導入の仕方が記載されているが、CentOSだとyumリポジトリ上にfcgiwrapがなく導入が面倒なので、yumでインストール可能な、fcgi-perlを利用する。
まずは、epelレポジトリの用意。
$ rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm
続いてfcgi-perlのインストール。
$ yum install fcgi-perl --enablerepo=epel
/usr/local/nginx/conf/nginx.confを編集。
server {
....
location ~ \.cgi$ {
gzip off;
fastcgi_pass 127.0.0.1:8999;
fastcgi_index index.cgi;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
....
}
あとは、ここに従って、fcgi-perlをデーモンで実行するスクリプトと、initに登録するスクリプトを作成して完了。
■参考文献
Nginx上でWordPressを動かす。
PHP環境の設定、WordPressの稼働から、Apache + WordPress環境とのベンチマークテストまで行う。
1. php-fpmのインストール
Nginxとphpの連携は、php-fpmデーモンによって行う。
php-fpmは、php 5.3.3からコンパイル時のオプションによってphp本体に組み込めるようだが、現在のサーバのphpバイナリ(5.3.8)には含まれていなかったため、別途インストールすることにする。
php-fpmがデフォルトのyumリポジトリに含まれていない場合、まずはレポジトリの追加から行う。
remiのリポジトリを追加。
$ rpm -Uvh http://rpms.famillecollet.com/enterprise/5/remi/i386/remi-release-5-8.el5.remi.noarch.rpm
php-fpmのインストール。
$ yum install php-fpm --enablerepo=remi
2. Nginxの設定
/usr/local/nginx/conf/nginx.confを開いて下記追記。コメントアウトされているだけの場合もあるので、コメントを外してもいい。
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PAHT_INFO $fastcgi_script_name;
include fastcgi_params;
}
これで、拡張子がphpへのリクエストがphp-fpmに転送されることになる。
3. php-fpmの設定変更
/etc/php-fpm.d/www.confを編集。
まずは、ユーザとグループを変更。これがNginxのワーキングプロセスの実行ユーザ、グループと合致していないと、ブラウザで*.phpにアクセスした際に、「File Not Found」と表示される。user = nginx group = nginx待ち受けポート番号(デフォルト9000)を必要に応じて変更。
listen = 127.0.0.1:9000接続可能クライアントのIPアドレスを制限。
listen.allowed_clients = 127.0.0.1php-fpmの実行。
$ service php-fpm start4. 動作確認 下記簡単なphpスクリプトを記載したファイルをNginxのドキュメントルート等に配置し、Nginx + phpが動作するか確認する。
<?php phpinfo(); ?>ブラウザでアクセスして、phpの情報が表示されれば正常。 5. ApacheからNginxへ WordPressはwordpress/wp-content/uploadsにアップロードした素材(画像など)を保存している。 Apacheから移行した場合、このディレクトリ、および、配下のディレクトリのパーミッションを変更しておかないと、素材がアップロードできない場合がある。 所有者をNginxに変更するか、パーミッションを777にしておく。 あとは、Apacheを止めて、Nginxを稼働して移行完了。
6. ベンチマーク
JMterで現在のWebサーバ(apache)のベンチマークをとる。
ベンチマークをとるクライアントのMac OS Xに、JMeterのインストール。
$ brew install jmeter
インストール後、このサイトを参考にJMeterでベンチマークをとる。
動的ページ(WordPressのトップページ)、静的ページの表示にかかった平均時間は以下の通り。
| WordPress トップページ | 単一静的ページ | |
| Nginx | 424 [ms] | 21 [ms] |
| Apache | 819 [ms] | 65 [ms] |
Nginxの方がApacheに比較して、動的ページで2倍、静的ページで3倍、表示が高速化している。
Fig. ベンチマーク(Nginx, Dynamic)
Fig. ベンチマーク(Apache, Dynamic)
Fig. ベンチマーク(Nginx, Static)
Fig. ベンチマーク(Apache, Static)
■参考文献
Nginxではデフォルトの設定でSSIの実行がOFFになっている。
/usr/local/nginx/conf/nginx.confを編集して、http, server, locationいずれかのレベルでSSIを有効にする。
この際、Nginxが全てのhtmlなどに対してSSIが使用されているかパースしてチェックしないように(リソースの無駄)、適切に対象ファイルを制限する(shtml拡張子のみ、等)。
server {
...
location ~* \.shtml$ {
ssi on;
}
...
}
■参考文献
NginxとApacheを共存させる場合、Nginxをリーバスプロキシにして、Apacheをバックエンドにする構成が通常。
単純にリバースプロキシを動かすと、Apache側に伝わるクライアントのIPアドレスが全てNginxのアドレスになってしまうため、この対応を入れつつ設定を行う。
1. Nginxのプロキシ設定
/usr/local/nginx/conf/nginx.confに、以下の通り追加。
server {
listen xxx.xxx.xxx.xxx;
server_name hoge.com;
# このサーバへの全てのアクセスを転送
location / {
proxy_pass http://127.0.0.1:8080;
#proxy_redirect off;
# この設定がなくても.htaccessでの制限は可能。
# ただし、cgi等から参照した際にNginxのIPアドレスになる。
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
# 以下は、cgi等で明示的に利用していなければ、有効にする必要なし。
#proxy_set_header X-Forwarded-Host $host;
#proxy_set_header X-Forwarded-Server $host;
# この設定がなくてもcgi等から正しいIPを確認可能。
# ただし、.htaccessでの制限は不可。
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
2. Apache側でリバースプロキシ経由以外のアクセスを拒否
/etc/httpd/conf/httpd.confを変更し、Nginxからの接続のみを許可してセキュリティを上げる。
<Directory "/var/www/html">
...
# Order allow,deny
# Allow from all
Order deny,allow
Deny from all
Allow from 127.0.0.1 192.168.0.1
</Directory>
ただし、Nginxの設定でproxy_set_header X-Forwarded-Forを設定しており、かつ、後述のmod_extract_forwardedを導入している場合、クライアントの正しいIPアドレスがApacheに伝わるため、上記設定にしていると全てのアクセスをリジェクトしてしまうので要注意。
http://abeerforyou.com:8080/等へのアクセスで、Apacheのwelcomeファイルが表示されてしまう場合、/etc/httpd/conf.d/welcome.conf内を全文コメントアウトする。
前述したApacheに伝わるクライアントIPアドレスに問題がなければ、リバースプロキシの設定は、ここで終了。
3. Apacheにモジュール追加
Apache側にもクライアントの正しいIPを知るためのモジュールを導入する。
モジュールは、mod_extract_forwardedとmod_rpafがあるが、mod_rpafだと.htaccessでのアクセス制限が使えないため、mod_extract_forwardedを利用する。
/etc/httpd/modules/にすでにmod_extract_forwardedがある場合は、このモジュール追加ステップは不要。
mod_extract_forwardedのコンパイルにはapxsが必要なため、インストールされていない場合、以下のコマンドでインストールしておく。
$ yum install httpd-devel
mod_extract_forwardedのダウンロード、解凍、コンパイルとインストール。
$ curl -O http://www.openinfo.co.uk/apache/extract_forwarded-2.0.2.tar.gz $ tar zxf extract_forwarded-2.0.2.tar.gz $ cd extract_forwarded $ apxs -i -c -a mod_extract_forwarded.c
上記apxsコマンドで、モジュールがコンパイルされ/usr/lib/httpd/modules/にコピーされる。
また、/etc/httpd/modules/に上記モジュールへのシンボリックリンクが作成される。
4. Apacheの設定
/etc/httpd/conf/httpd.confのLoadModule近辺に以下を追加。
LoadModule extract_forwarded_module modules/mod_extract_forwarded.so
また、ファイルの最後に以下も追加。
MEForder refuse,accept MEFrefuse all # Nginx(リバースプロキシ)のIPアドレス MEFaccept 127.0.0.1
ここからはポートの設定。
通常、Nginxを80番ポートで実行するため、Apacheの待ち受けポートを8080等に変更する。
#Listen 80 Listen 8080
NginxとApacheの両方でHTTPSを提供している場合、こちらもポートがかぶるので、Apache側のポートを変更する。設定ファイルは、/etc/httpd/conf.d/ssl.conf。
# Apacheでsslを停止するなら、下記のようにコメントアウトでOK #Listen 443
以上の設定で、Nginxをリバースプロキシとして、一部の通信をApacheに転送することが可能。
5. 補足(mod_rpafの利用)
mod_rpafをインストールする場合は、ここが参考になる。
■参考文献
| インストール前にインストールパス確認 | make -n install |
| アンインストール | make uninstall |
1. 証明書の結合
自分が使っているサーバ証明書のルート証明書が、ユーザのブラウザでは中間証明書になっている、または、インストールされていない場合、正当な証明書として認識されない。
この場合、自分のルート証明書とユーザのブラウザにインストールされているルート証明書を結びつける連結証明書を認証局が提供している場合がある。
今回の場合、サーバ証明書はRapid SSL、このルート証明書はGeoTrust Global CAで、ユーザのブラウザには、ルート証明書としてEquifax Secure CAがインストールされている可能性があるので、公開されているGeoTrust Global CAとEquifax Secure CAの連結証明書(ex. intermediate.crt)をサーバ証明書(ec. hoge.com.crt)に結合する。
$ cat hoge.com.crt intermediate.crt > hoge.com.chainded.crt
2. Nginxの設定
HTTPS(SSL)を利用するには二つの設定方法がある。
(a) 新たにHTTPS専用のserverブロックを丸ごと追記する
(b) 既存のHTTPのserverブロックにsslに必要な項目だけ追記する
基本的な記述内容は、(a), (b)で同じになる。
既存のHTTPサーバーと同じ設定で運用したいなら(b)が便利。ここでは、(b)で進める。
server {
listen 59.157.2.75:80;
# リッスンポートを指定
listen 59.157.2.75:443 ssl;
server_name abeerforyou.com;
root /var/www/html/abeerforyou.com;
# サーバ証明書
ssl_certificate /etc/pki/tls/certs/hoge.com.chained.crt
# プライベートキー
ssl_certificate_key /etc/pki/tls/private/hoge.com.key.pem
....
}
■参考文献
1つのNginxサーバで複数のサイト(Virtual Host)を運営する。
Nginxの設定ファイル/usr/local/nginx/conf/nginx.confにVirtual Hostの数だけserverブロックを追加するだけでいい。
server {
listen 59.157.2.75:80;
server_name abeerforyou.com;
root /var/www/html/abeerforyou.com;
...
}
server {
listen xxx.xxx.xxx.xxx:80;
server_name hoge.com;
root /var/www/html/hoge.com;
...
}
...
■参考文献
Webサーバを高機能低速なApacheから、シンプル高速動作のNginxに移行する。
静的なコンテンツが多い場合は、速度改善に劇的な効果がある。
1. サーバ側の事前準備
Nginxを動作させるグループとユーザの作成。
$ groupadd nginx
ユーザの作成。
シェルは無効にし(-s /sbin/nologin)、ホームディレクトリは後ほどNginxをインストールするディレクトリを指定する(-d /usr/local/nginx)。
$ useradd -g nginx -s /sbin/nologin -d /usr/local/nginx nginx
2. Nginxのコンパイル
yum等のパッケージ管理でインストールする場合は、公式サイトが参考になる。
以下は、コンパイルしてインストールする場合。コンパイルした方が様々なオプションの設定をコンパイル時に変更できる。
コンパイルには、gcc, PCRE(pcre, pcre-devel), zlib(zlib, zlib-devel), openssl(openssl, openssl-devel)が必要なため、インストールされていなければインストール。
$ yum install pcre pcre-devel
等。
Nginxソースコードのダウンロードと解凍。バージョンアップされている可能性もあるため、URLは随時公式サイトをチェック。
$ curl -O http://nginx.org/download/nginx-1.2.0.tar.gz $ tar zxf nginx-1.2.0.tar.gz $ cd nginx-1.2.0
デフォルト設定でコンパイル準備する(./configure)と、HTTPSが無効になるため、以下のオプションを与えてHTTPSを有効にする。
$ ./configure --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module
コンパイルとインストール。
$ make $ make install
3. システムサービス化
$ service nginx start
等のコマンドでNginxを制御できるようにする。また、initに登録することで、サーバ起動時に自動起動できるようにもする。
公式サイトのここからinitスクリプトのサンプルを取得して、/etc/init.d./nginxとして保存。
環境にあわせて/etc/init.d/nginxの一部を変更する必要がるが、通常、下記2箇所の変更で問題ない。
nginx="/usr/local/nginx/sbin/nginx" NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"
initスクリプトに実行権限を付与。
$ chmod +x /etc/init.d/nginx
スクリプトが起動時に自動実行されるように登録する。
$ chkconfig --add nginx $ chkconfig nginx on
適切なランレベルで自動起動されるようになっているか確認。
$ chkconfig --list nginx
4. 起動
$ servcie nginx start
■参考文献
| インストール可能パッケージ一覧 | $ brew search |
| インストール済パッケージ一覧 | $ brew list |
| アップデート可能パッケージ一覧 | $ brew outdated |
| パッケージの情報確認
(未インストール含む) |
$ brew info [package] |
| インストール | $ brew install [package] |
| アップデート
(hobebrewとアップデート可能な全てのパッケージ) |
$ brew update |
| アップデート
(指定したパッケージのみ) |
$ brew upgrade [package] |
| アンインストール | $ brew |
■参考資料