在设置 Nginx 重定向之前要先安装 Nginx
# vi /usr/local/nginx/conf/nginx.conf将部分内容修改如下:
......
http {
.....
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name 172.16.0.228;
......
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
......
}
......
}(
补充:这里以
1) 将 server_name 设置为 172.16.0.228
2) 监听 80 端口
3) 将 8000 端口转发到 80 端口为例
)
KEY 私钥、CRT 公钥、PFX 公私钥、CSR 证书签名请求文件
KEY 私钥,放置在服务器上,属于机密文件,不能被其他人得到。可以是 PEM 或 DER 两种编码方式中的一种,这两种编码方式也可以相互转换。Linux 上通常使用 PEM,而 Windows 上通常使用 DER
CRT 公钥,放置在服务器上,可以被其它人得到。可以是 PEM 或 DER 两种编码方式中的一种,这两种编码方式也可以相互转换。Linux 上通常使用 PEM,而 Windows 上通常使用 DER
PFX 同时包含公钥和私钥,放置在服务器上。在 Linux 上通常会分别使用 KEY 和 CRT 两个文件,而 Windows 会使用同时包含公钥和私钥的 PFX 文件
CSR 全名 Certificate Signing Request,即证书签名请求文件。用于提供给证书供应商申请证书
# openssl req -nodes -newkey rsa:4096 -sha512 -keyout eternalcenter.com.key -out eternalcenter.com.csr(补充:这里以同时生成长度 4096 位,加密格式为 512 的 KEY 私钥 eternalcenter.com.key 和 CSR 证书签名请求文件 eternalcenter.com.csr 为例)
(注意:后面还有国家、州或省、城市、组织、部门、域名和邮箱地址的信息需要输入此命令后手动填写)
# openssl req -nodes -newkey rsa:4096 -sha512 -out eternalcenter.com.csr -keyout eternalcenter.com.key -subj "/C=CN/ST=Sichuan/L=Chengdu/O=Eternal Center/OU=Mingyu Zhu/CN=eternalcenter.com/emailAddress=contact@mingyuzhu.com"(
补充:这里以同时生成
1) 长度为 4096 位
2) 加密格式为 512
3) 国家为 CN
4) 州或省为 Sichuan
5) 城市为 Chengdu
6) 组织为 Eternal Center
7) 部门为 Mingyu Zhu
8) 域名为 eternalcenter.com
9) 邮箱地址为 contact@mingyuzhu.com
的 KEY 私钥 eternalcenter.com.key 和 CSR 证书签名请求文件 eternalcenter.com.csr 为例
)
# openssl req -nodes -newkey rsa:4096 -sha512 -keyout eternalcenter.com.key(补充:这里以同时生成长度 4096 位,加密格式为 512 的 KEY 私钥 eternalcenter.com.key 和 CSR 证书签名请求文件 eternalcenter.com.csr 为例)
(注意:后面还有国家、州或省、城市、组织、部门、域名和邮箱地址的信息需要输入此命令后手动填写)
# openssl req -nodes -newkey rsa:4096 -sha512 -keyout eternalcenter.com.key -subj "/C=CN/ST=Sichuan/L=Chengdu/O=Eternal Center/OU=Mingyu Zhu/CN=eternalcenter.com/emailAddress=contact@mingyuzhu.com"(
补充:这里以同时生成
1) 长度为 4096 位
2) 加密格式为 512
3) 国家为 CN
4) 州或省为 Sichuan
5) 城市为 Chengdu
6) 组织为 Eternal Center
7) 部门为 Mingyu Zhu
8) 域名为 eternalcenter.com
9) 邮箱地址为 contact@mingyuzhu.com
的 KEY 私钥 eternalcenter.com.key 和 CSR 证书签名请求文件 eternalcenter.com.csr 为例
)
# openssl rsa -in eternalcenter.com.key -out eternalcenter.com.crt -pubout -outform PEM(补充:这里以使用 KEY 私钥 eternalcenter.com.key 生成 CRT 公钥 eternalcenter.com.crt 为例)
# cat eternalcenter.com.key(补充:这里以查看 KEY 私钥 eternalcenter.com.key 为例)
# cat eternalcenter.com.crt(补充:这里以查看 CRT 公钥 eternalcenter.com.crt 为例)
# openssl req -in eternalcenter.com.csr -noout -text(补充:这里以查看 CSR 证书签名请求文件 eternalcenter.com.csr 为例)
纪念:站主于 2021 年 2 月完成了此开源实验,并将过程中的所有命令经过整理和注释以后,形成以下教程
client enp1s0: 172.16.1.99
proxy1 enp1s0: 172.16.0.101
enp7s0: 172.16.1.101
virtual IP: 172.16.1.100
proxy2 enp1s0: 172.16.0.102
enp7s0: 172.16.1.102
web1 enp1s0: 172.16.0.11
web2 enp1s0: 172.16.0.12
proxy1 web1
enp7s0:172.16.1.101 enp1s0:172.16.0.101 enp1s0:172.16.0.11
virtual IP:172.16.1.100
client
enp1s0:172.16.1.99
proxy2 web2
enp7s0:172.16.1.102 enp1s0:172.16.0.102 enp1s0:172.16.0.121) web1 安装 Nginx,web2 安装 Apache 实现网站服务
2) proxy1 和 proxy2 安装 Nginx 实现网站代理,轮询代理 web1、web2 上的网站服务实现负载均衡
3) 虚拟 IP 172.16.1.90 通过 Keepalived 默认放在 proxy1 的 enp7s0 网卡上,如果 proxy1 宕机或者检测到自己 Nginx 代理进程死掉,则虚拟 IP 172.16.1.90 则挂在 proxy2 的 enp7s0 网卡上实现高可用
4) 如果 web1 和 web2 中有一台服务器宕机,则 proxy1 和 proxy2 会自动不再向这台服务器请求网站服务,直到它恢复正常
5) 最终达到的效果是 client 向虚拟 IP 请求网站服务,此时如果 proxy1 正常就代表虚拟 IP 轮询调度 web1 和 web2 上的网站服务,再返回给 client。如果 proxy1 宕机则由 proxy2 代表虚拟 IP 完成次操作
1) 所有服务器的系统都需要是 CentOS 8 版本
2) 所有服务器都要关闭防火墙
3) 所有服务器都要关闭 SELinux
4) 所有服务器系统都要配置好可用的软件源
5) 需要按照拓扑图给对应的服务器配置好 IP 地址和主机名
6) client 的 enp1s0 网卡、proxy1 的 enp7s0 网卡和 proxy2 的 enp7s0 网卡要可以相互 ping 通自己和对方的 IP
7) proxy1 的 enp1s0 网卡、proxy2 的 enp1s0 网卡、web1 的 enp1s0 网卡和 web2 的 enp1s0 网卡要可以相互 ping 通自己和对方的 IP 地址
(只在 web1 上执行以下步骤)
# yum -y install nginx(只在 web1 上执行以下步骤)
# echo web1 > /usr/share/nginx/html/index.html(只在 web1 上执行以下步骤)
# systemctl enable --now nginx(只在 web2 上执行以下步骤)
# yum -y install httpd(只在 web2 上执行以下步骤)
# echo web2 > /var/www/html/index.html(只在 web2 上执行以下步骤)
# systemctl enable --now httpd(分别在 proxy1 和 proxy2 上执行以下步骤)
# yum -y install nginx(分别在 proxy1 和 proxy2 上执行以下步骤)
# vi /etc/nginx/nginx.conf将部分内容修改如下:
......
http {
upstream webserver {
server 172.16.0.11:80;
server 172.16.0.12:80;
}
......
server {
listen 80;
location / {
proxy_pass http://webserver;
}
}
......
}(分别在 proxy1 和 proxy2 上执行以下步骤)
# systemctl enable --now nginx(分别在 proxy1 和 proxy2 上执行以下步骤)
# yum -y install keepalived(分别在 proxy1 和 proxy2 上执行以下步骤)
# vi /etc/keepalived/nginx_check.sh创建以下内容:
#!/bin/bash
if [ `ps -C nginx --no-header | wc -l` -eq 0 ];then
systemctl stop nginx
sleep 5
if [ `ps -C nginx --no-header | wc -l` -eq 0 ];then
killall keepalived
fi
fi(补充:这里以检测 Nginx 没启动就启动 Nginx,5 秒后 Nginx 要是还没有启动就关闭 keepalived 为例)
(分别在 proxy1 和 proxy2 上执行以下步骤)
# chmod u+x /etc/keepalived/nginx_check.sh(只在 proxy1 上执行以下步骤)
# vim /etc/keepalived/keepalived.conf将全部内容修改如下:
! Configuration File for keepalived
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.200.1
smtp_connect_timeout 30
router_id proxy1
vrrp_skip_check_adv_addr
vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
}
vrrp_script chk_nginx {
script "/etc/keepalived/nginx_check.sh"
interval 2
weight 20
}
vrrp_instance VI_1 {
state MASTER
interface enp7s0
virtual_router_id 90
priority 101
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
track_script {
chk_nginx
}
virtual_ipaddress {
172.16.1.100
}
}(
补充:
1) script “/etc/keepalived/nginx_check.sh” 代表使用的检测脚本是 /etc/keepalived/nginx_check.sh
2) interface enp7s0 代表虚拟 IP 将挂载在 enp7s0 网卡上
3) priority 代表修建级是 101,数字越大优先级越高
4) 172.16.1.100 代表虚拟 IP 是 172.16.1.100
)
(只在 proxy2 上执行以下步骤)
# vim /etc/keepalived/keepalived.conf将全部内容修改如下:
! Configuration File for keepalived
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.200.1
smtp_connect_timeout 30
router_id proxy1
vrrp_skip_check_adv_addr
vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
}
vrrp_script chk_nginx {
script "/etc/keepalived/nginx_check.sh"
interval 2
weight 20
}
vrrp_instance VI_1 {
state BACKUP
interface enp7s0
virtual_router_id 90
priority 99
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
track_script {
chk_nginx
}
virtual_ipaddress {
172.16.1.100
}
}(
补充:
1) script “/etc/keepalived/nginx_check.sh” 代表使用的检测脚本是 /etc/keepalived/nginx_check.sh
2) interface enp7s0 代表虚拟 IP 将挂载在 enp7s0 网卡上
3) priority 代表修建级是 99,数字越大优先级越高
4) 172.16.1.100 代表虚拟 IP 是 172.16.1.100
)
(分别在 proxy1 和 proxy2 上执行以下步骤)
# systemctl enable --now keepalived.service(只在 client 上执行以下步骤)
# curl 172.16.1.100(补充:重复以上命令会发现重复显示 web1 和 web2)
(只在 proxy1、proxy2、web1、web2 中的任意一台服务器上执行以下步骤)
# poweroff(只在 client 上执行以下步骤)
# curl 172.16.1.100(补充:重复以上命令会发现重复显示 web1 和 web2)
send-mail: fatal: parameter inet_interfaces: no local interface found for ::1# vim /etc/postfix/main.cf将以下内容:
......
inet_interfaces = localhost
......
inet_protocols = all
......修改为:
......
inet_interfaces = all
......
inet_protocols = all
......# systemctl restart postfixrsyslog 服务端 IP 地址:192.168.0.11
rsyslog 客户端 IP 地址:192.168.0.12
rsyslog 客户端将日志发送给 rsyslog 服务端,并实现分文件存储
1) 所有服务器的系统都需要是 CentOS 8 版本
2) 所有服务器都要关闭防火墙
3) 所有服务器都要关闭 SELinux
4) 需要按照拓扑图给对应的服务器配置好 IP 地址和主机名
5) 所有服务器都要可以相互 ping 通自己和对方的 IP 地址和主机名
(只在 rsyslog 服务端执行以下步骤)
# vim /etc/rsyslog.conf添加以下内容:
......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")(
补充:
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将所有 rsyslog 客户端的日志存储在 rsyslog 服务端的 /var/log/message 里
)
(只在 rsyslog 服务端执行以下步骤)
# vim /etc/rsyslog.conf添加以下内容:
......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
$template DynFile,"/var/log/%HOSTNAME%.log"
*.* -?DynFile
& ~(
补充:
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/ 下的一个文件里,此文件会以其所属系统名命名
)
(只在 rsyslog 服务端执行以下步骤)
# vim /etc/rsyslog.conf添加以下内容:
......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
$template DynFile,"/var/log/remotelog/%HOSTNAME%-%$YEAR%-%$MONTH%-%$DAY%-messages.log"
*.* -?DynFile
& ~(
补充:
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/remotelog 下的一个文件里,此文件会以其创建时间和其所属系统名命名
)
(只在 rsyslog 服务端执行以下步骤)
# vim /etc/rsyslog.conf添加以下内容:
......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
$template DynFile,"/var/log/remotelog/%HOSTNAME%-%$YEAR%-%$MONTH%-%$DAY%-messages.log"
:fromhost-ip,!isequal,"127.0.0.1" -?DynFile
& ~(
补充:
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/ 下的一个文件里,此文件会以其创建时间和其所属系统名命名
4) 此配置不会单独存储 rsyslog 服务端的日志
)
(只在 rsyslog 服务端执行以下步骤)
# vim /etc/rsyslog.conf添加以下内容:
......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
$template DynFile,"/var/log/syslog/system-%HOSTNAME%/messages.log"
*.* -?DynFile
& ~(
补充:
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/ 下某个目录的 messages 文件里,此目录会以其所属系统名命名
)
(只在 rsyslog 服务端执行以下步骤)
# systemctl restart rsyslog(
补充:
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 需要在 3.1 修改 rsyslog 配置文件的案例中任选其一完成后在执行此步骤
)
(只在 rsyslog 客户端执行以下步骤)
# vim /etc/rsyslog.conf添加以下内容:
......
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info @192.168.0.11或者:
......
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info @@192.168.0.11(
补充:
1) 这里的 192.168.0.11 是指 rsyslog 服务端的 IP 地址
2) IP 地址前一个 “@” 符后是指使用 UDP 端口 514 传输日志
3) IP 地址前两个 “@” 符后是指使用 TCP 端口 514 传输日志
)
(只在 rsyslog 客户端执行以下步骤)
# systemctl restart rsyslog(只在 rsyslog 客户端执行以下步骤)
# logger "This is our test log"(补充:这里以发送 This is our test log 信息为例)
(只在 rsyslog 服务端执行以下步骤)
# cat /var/log/* | grep test