В данной статье будет рассказывается про установку и настройку веб сервера на Centos 7 в конфигурации Apache + PHP 5.6 (opcache)+ NGINX + MySQL + MyPhpAdmin. Такая связка для большинства задач является наиболее производительным решением на сегодняшний день (октябрь 2015 года).

Про установку и первичную настройку Centos 7 можно прочитать в статье «Установка и настройка CentOS 7». Или же можно заказать готовый виртуальный сервер на любом хостинге с уже установленным шаблоном «чистый Centos 7», я рекомендую хостинг ruweb.net.

Сервер конфигурируем таким образом, чтобы на 80 порту висел nginx и отдавал всю статику, а запросы на динамику отдавал апачу, который будет находиться на порту 8080. В качестве сервера MySQL будем использовать MariaDB, это полностью совместимый аналог MySQL, но по некоторым операциям MariaDB в десятки раз производительнее.

Первоначальные настройки Centos 7

Обновляем ОС

yum update

Подключаем репозиторий EPEL

yum install epel-release

Список подключенных репозиториев можем посмотреть командой:

yum repolist

Для наблюдения за загрузкой и производительностью сервера устанавливаем ATOP (вызывается командой atop):

yum install atop

Установка Apache на Centos 7

Apache у нас будет использоваться для отдачи динамического содержимого, непосредственно с клиентом будет общаться nginx.

Установка apache из репозитория:

yum install httpd

В файле конфигурации httpd.conf, который находится по пути /etc/nginx, меняем порт на 8080

Listen 8080

Запускаем сервис и настраиваем его для автозапуска

systemctl start httpd 
systemctl enable httpd

Установка PHP 5.6 с оптимизацией opcache

Устанавливаем PHP 5.6 c opcache и модулем для работы с mysqlnd

rpm -Uvh https://mirror.webtatic.com/yum/el7/epel-release.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
yum install -y php56w php56w-opcache php56w-mysqlnd

Для проверки работы Apache и php временно открываем порт 8080 для внешних подключений (после перезагрузки он будет снова закрыт). В Centos 7 вместо привычной всем IPtables установлена более современная служба файрвола Firewalld.

firewall-cmd --add-port=8080/tcp

В папке /var/www/html создаем файл phpinfo.php со следующим содержимым.

<?php
phpinfo();
?>

Заходим на сервер из любого браузера по нашему IP адресу с указанием порта 8080 — http://IP-сервера:8080/phpinfo.php . Мы должны увидеть информацию о php, apache и установленных модулях.

Установка MySQL (MariaDB) на Centos 7

MariaDB является полностью совместимым и более производительным аналогом MySQL, поэтому я на своих серверах устанавливаю именно ее и проблем пока не встречал.

yum -y install mariadb-server
systemctl start mariadb 
systemctl enable mariadb

Для настройки безопасности MySQL запускаем соответствующий скрипт

mysql_secure_installation

В процессе выполнения скрипта Вам будет задано несколько простых вопросов и будут сделаны основные настройки безопасности.

Установка nginx на Centos 7

Устанавливаем nginx

yum install nginx

Дописываем в конфигурационный файл /etc/nginx/nginx.conf в секции location следующие строки

location / {
            proxy_pass      http://127.0.0.1:8080/;
            proxy_redirect    off;
            proxy_set_header  Host $host;
            proxy_set_header  X-Real-IP $remote_addr;
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
            client_max_body_size 10m;
            proxy_connect_timeout 90;
        }

Запускаем nginx и настраиваем его автозапуск

systemctl start nginx
systemctl enable nginx

Теперь нам необходимо на файрволе открыть 80 порт (http), чтобы наш сервер стал доступен снаружи.

firewall-cmd --add-service=http --permanent

Ключ —permanent указывает на то, что порт открывается на постоянной основе и после перезагрузки останется открытым.

Перезагружаем сервер

reboot

Пробуем в браузере набрать IP адрес нашего сервера, мы должны увидеть страницу «nginx error!». Значит nginx установлен и работает!

Настройка SELinux

В Centos 7 много сделано для повышения безопасности, однако это иногда добавляет головной боли. В частности, в Centos 7 по умолчанию включен SELinux. Скорее всего сервер будет работать как-то не так и в файле /var/log/nginx/error.log выдавать ошибку:

2015/10/20 14:44:16 [crit] 11593#0: *20 connect() to 127.0.0.1:8080 failed (13: Permission denied) while connecting to upstream, client: X.X.X.X, server: msadmin.ru, request: "GET / HTTP/1.1", upstream: "http://127.0.0.1:8080/", host: "msadmin.ru"

Для простоты SELinux можно просто отключить. Для этого находим файл /etc/sysconfig/selinux, исправляем в нем соответствующую строчку на SELINUX=disabled и перезагружаемся.

Но поступать таким варварским способом я считаю неправильно. Лучше не нарушать безопасность и использовать политики SELinux для nginx:

yum install policycoreutils-python
cat /var/log/audit/audit.log|grep nginx | grep denied | tail -n 1 |audit2allow -M mynginx
semodule -i mynginx.pp

Важно: В любой непонятной ситуации, когда все должно работать, но не работает попробуйте отключить SELinux, возможно проблема в нем.

Настройка сервера apache+nginx для обслуживания веб домена

Настройки нашего сервера для обслуживания веб домена состоит из двух простых шагов:

  • написание конфигурационного фала apache для домена
  • написание конфигурационного фала nginx для домена

Предположим нам необходимо сделать, чтобы сервер обслуживал домен msadmin.ru. В папке /etc/httpd/conf.d создаем файл msadmin.ru.conf со следующим содержимым:

    ServerName msadmin.ru
    DirectoryIndex index.php
    DocumentRoot /var/www/msadmin.ru
    ServerAdmin webmaster@hotdem.ru
    ServerAlias www.msadmin.ru
    CustomLog /var/log/httpd/msadmin.access.log combined
    ErrorLog /var/log/httpd/msadmin.error.log


    AllowOverride All
    Options +Includes

В папке /etc/nginx/conf.d создаем файл с таким же именем msadmin.ru.conf со следующим содержимым:

server {
#  listen msadmin.ru:80;
    listen 80;
    server_name msadmin.ru;
# Ведём журнал доступа:
access_log  /var/log/nginx/msadmin.ru_access.log;

# Разделяем статику и динамку, статику храним в кэше 10 дней:
    location ~* \.(jpg|jpeg|png|ico|css|bmp|swf|doc|docx|pdf|xls|xlsx|rar|zip|tbz|7z|exe)$ {
    root /var/www/msadmin.ru/;
    expires 10d;
    }

location / {
    proxy_pass         http://127.0.0.1:8080/;
    proxy_redirect     off;
    log_not_found      off;
    proxy_set_header   X-Real-IP $remote_addr;
    proxy_set_header   Host $http_host;
    proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Создаем папку /var/www/msadmin.ru и располагаем в ней файлы нашего сайта. После создания или внесения изменений в конфигурационных файлах необходимо перезапустить сервисы.

service httpd restart
service nginx restart

Поздравляем, настройка сервера завершена!

Установка phpMyAdmin

Устанавливаем phpMyAdmin

yum install phpmyadmin

После установки phpMyAdmin доступен только для локальной работы, для удобства необходимо разрешить ему работать с внешней сетью. Для этого вносим следующие изменения в конфигурационный файл /etc/httpd/conf.d/phpMyAdmin.conf:

<Directory /usr/share/phpMyAdmin/>
   AddDefaultCharset UTF-8
   <IfModule mod_authz_core.c>
     # Apache 2.4
     <RequireAny>
       # Require ip 127.0.0.1
       # Require ip ::1
       Require all granted
     </RequireAny>
   </IfModule>
   <IfModule !mod_authz_core.c>
     # Apache 2.2
     Order Deny,Allow
     Deny from All
     # Order Allow,Deny
       # Require ip 127.0.0.1
       # Require ip ::1
       Require all granted
   </IfModule>
</Directory>

Не забываем перезапустить apache и разрешить доступ к порту 8080 на постоянной основе (т.к. apache у нас установлен на порту 8080):

service httpd restart
firewall-cmd --add-port=8080/tcp --permanent

Теперь можно заходить в phpMyAdmin по адресу http://ip_сервера:8080/phpmyadmin. Публиковать phpMyAdmin в nginx нет смысла, т.к. массовых обращений к нему не будет и экономии производительности мы не достигнем. Конечно правильнее было бы опубликовать phpMyAdmin по https, но это тема уже другой статьи.

Комментарии

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

обязательно