nginx php-fpm

コメントを残す

382 sudo yum install php-fpm
384 sudo vi /etc/php-fpm.d/www.conf
391 sudo vi /etc/nginx/nginx.conf
393 sudo /etc/init.d/php-fpm start
395 sudo chkconfig php-fpm on
396 sudo /etc/init.d/nginx restart

http://qiita.com/utano320/items/36b6eac2bbd5bb5657f6

nginx vsftpd×2 別サーバ

コメントを残す

★backend vsftpdサーバ×2

vi /etc/vsftpd/vsftpd.conf

pasv_enable=YES
pasv_min_port=60000
pasv_max_port=60001
pasv_address=lb.x.x.x

★frontend nginxサーバ

vi nginx.conf

stream {
#FTP
upstream ftp {
hash $remote_addr;
server vsftpd.nilesflow.net:21 weight=5 max_fails=3 fail_timeout=30s;
server aws-default.nilesflow.net:21 weight=5 max_fails=3 fail_timeout=30s;
# server pure-ftpd.nilesflow.net:10021 weight=5 max_fails=3 fail_timeout=30s;
}

server {
listen 20021;
proxy_connect_timeout 1s;
# proxy_timeout 3s;
proxy_pass ftp;
}

#FTP data
upstream ftpdata-v1 {
hash $remote_addr;
server vsftpd.nilesflow.net:60000 weight=5 max_fails=3 fail_timeout=30s;
server aws-default.nilesflow.net:60000 weight=5 max_fails=3 fail_timeout=30s;
}
upstream ftpdata-v2 {
server vsftpd.nilesflow.net:60001 weight=5 max_fails=3 fail_timeout=30s;
server aws-default.nilesflow.net:60001 weight=5 max_fails=3 fail_timeout=30s;
}

# vsftpd
server {
listen 60000;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftpdata-v1;
}
server {
listen 60001;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftpdata-v2;
}

★どこかのサーバから

ftp lb.nilesflow.net 20021

★補足

pasv_address= ドメイン名ではなくIPアドレス

nginx vsftpd pure-ftpd

コメントを残す

vi /etc/vsftpd/vsftpd.conf

pasv_enable=YES
pasv_min_port=60000
pasv_max_port=60001
pasv_address=x.x.x.x

vi /etc/pure-ftpd/pure-ftpd.conf

Bind z.z.z.z,10021

PassivePortRange 60010 60011

ForcePassiveIP x.x.x.x

vi nginx.conf

stream {
#FTP
upstream ftp {
hash $remote_addr;
server z.z.z.z:21 weight=5 max_fails=3 fail_timeout=30s; #v
server z.z.z.z:10021 weight=5 max_fails=3 fail_timeout=30s; #p
}

server {
listen 20021;
proxy_connect_timeout 1s;
# proxy_timeout 3s;
proxy_pass ftp;
}

#FTP data
upstream ftpdata-v1 {
server z.z.z.z:60000 weight=5 max_fails=3 fail_timeout=30s;
}
upstream ftpdata-v2 {
server z.z.z.z:60001 weight=5 max_fails=3 fail_timeout=30s;
}
upstream ftpdata-p1 {
server z.z.z.z:60010 weight=5 max_fails=3 fail_timeout=30s;
}
upstream ftpdata-p2 {
server z.z.z.z:60011 weight=5 max_fails=3 fail_timeout=30s;
}

# vsftpd
server {
listen 60000;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftpdata-v1;
}
server {
listen 60001;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftpdata-v2;
}

# pure-ftpd
server {
listen 60010;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftpdata-p1;
}
server {
listen 60011;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftpdata-p2;
}

nginx smtp smtps ロードバランサー

コメントを残す

Amazon SESへのProxyで確認

「サーバ名がサーバが期待しているものと違っている」旨のエラーになったので、

メーラで「証明書を検証しない」設定が必要だった。

stream {

#SMTP
upstream smtp {
server email-smtp.us-west-2.amazonaws.com:587 weight=5 max_fails=3 fail_timeout=30s;
}

server {
listen 587;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass smtp;
}

upstream smtps {
server email-smtp.us-west-2.amazonaws.com:465 weight=5 max_fails=3 fail_timeout=30s;
}

server {
listen 465;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass smtps;
}

nginx ftp ロードバランサー

コメントを残す

stream {
#FTP
upstream ftp {
server 127.0.0.1:21 weight=5 max_fails=3 fail_timeout=30s;
server 127.0.0.1:10021 weight=5 max_fails=3 fail_timeout=30s;
}

server {
listen 20021;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass ftp;
}

と思ったら、vsftpd/pureftpd共に、Passiveコマンドで失敗している

227 Entering Passive Mode (160,16,117,208,47,254)
421 Service not available, remote server has closed connection

vsftpdは以下設定で回避できたが、

pasv_promiscuous=yes

pure-ftpdは回避できるオプションがなさそう。

Nginx

コメントを残す

yum -y install pcre-devel
yum install openssl-devel
yum install gcc

wget http://nginx.org/download/nginx-1.9.4.tar.gz
tar xvzf nginx-1.9.4.tar.gz
cd nginx-1.9.4
./configure --with-http_ssl_module
make
make install

SSLを使うときは、上記のオプション追加

vi ~/.bash_profile
source ~/.bash_profile

vi /usr/local/nginx/conf/nginx.conf

nginx


SSL設定
$ sudo sh -c "openssl genrsa 2048 &gt; ssl.key"
$ sudo sh -c "openssl req -new -key ssl.key &gt; ssl.csr"
$ sudo sh -c "openssl x509 -days 3650 -req -signkey ssl.key &lt; ssl.csr &gt; ssl.crt"

CA認証局
/etc/pki/tls/misc/CA -newca

＃再作成は以下を削除
rm -rf /etc/pki/CA/

[注意]：　サーバ証明書を作成する場合、以下の2点を守らないと失敗するので注意が必要です。

CA用秘密鍵とサーバ用秘密鍵のパスフレーズは異なるものを使用すること。
CA証明書とサーバ証明書のON(Organization Name)は、異なる名称とすること。


sed -i "s/365/3650/g" /etc/pki/tls/openssl.cnf
sed -i "s/365/3650/g" /etc/pki/tls/misc/CA
sed -i "s/1095/3650/g" /etc/pki/tls/misc/CA

sha256にするのは、以下を参考
<a href="http://www.viva-musen.net/archives/21025477.html">http://qiita.com/kgbu/items/44535b31c0f1a062693d</a>
cp vi /etc/pki/tls/openssl.cnf vi /etc/pki/tls/openssl.cnf.org
cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org
vi /etc/pki/tls/openssl.cnf

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-ca.cnf
vi /etc/pki/tls/openssl-ca.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc/pki/tls/misc/CA -newca

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-server.cnf
vi /etc/pki/tls/openssl-server.cnf
SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -sign
mv /etc/pki/tls/newcert.pem /etc/pki/CA/certs/dev.furoom.net.crt

openssl rsa -in /etc/pki/tls/newkey.pem -out /etc/pki/CA/private/dev.furoom.net.key

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-client.cnf
vi /etc/pki/tls/openssl-client.cnf
SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -sign
openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out myclient.dev.furoom.net.pfx -name "dev.furoom.net"

mkdir -p /etc/pki/CA/client/certs/
mkdir -p /etc/pki/CA/client/private/
mv /etc/pki/tls/newcert.pem /etc/pki/CA/client/certs/myclient.dev.furoom.net.crt
mv /etc/pki/tls/newreq.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.csr
mv /etc/pki/tls/newkey.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.key
mv /etc/pki/tls/myclient.dev.furoom.net.pfx /etc/pki/CA/client/private/.


#追記
メールとTCPロードバランサ
./configure --with-http_ssl_module --with-mail --with-stream --with-stream_ssl_module
make
make install

nginx -s stop
nginx -t
nginx

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

yum -y install pcre-devel

yum install openssl-devel

yum install gcc

wget http://nginx.org/download/nginx-1.9.4.tar.gz

tar xvzf nginx-1.9.4.tar.gz

cd nginx-1.9.4

./configure --with-http_ssl_module

make

make install

SSLを使うときは、上記のオプション追加

vi ~/.bash_profile

source ~/.bash_profile

vi /usr/local/nginx/conf/nginx.conf

nginx

SSL設定

$ sudo sh -c "openssl genrsa 2048 > ssl.key"

$ sudo sh -c "openssl req -new -key ssl.key > ssl.csr"

$ sudo sh -c "openssl x509 -days 3650 -req -signkey ssl.key < ssl.csr > ssl.crt"

CA認証局

/etc/pki/tls/misc/CA -newca

＃再作成は以下を削除

rm -rf /etc/pki/CA/

[注意]：　サーバ証明書を作成する場合、以下の2点を守らないと失敗するので注意が必要です。

CA用秘密鍵とサーバ用秘密鍵のパスフレーズは異なるものを使用すること。

CA証明書とサーバ証明書のON(Organization Name)は、異なる名称とすること。

sed -i "s/365/3650/g" /etc/pki/tls/openssl.cnf

sed -i "s/365/3650/g" /etc/pki/tls/misc/CA

sed -i "s/1095/3650/g" /etc/pki/tls/misc/CA

sha256にするのは、以下を参考

<a href="http://www.viva-musen.net/archives/21025477.html">http://qiita.com/kgbu/items/44535b31c0f1a062693d</a>

cp vi /etc/pki/tls/openssl.cnf vi /etc/pki/tls/openssl.cnf.org

cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org

vi /etc/pki/tls/openssl.cnf

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-ca.cnf

vi /etc/pki/tls/openssl-ca.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc/pki/tls/misc/CA -newca

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-server.cnf

vi /etc/pki/tls/openssl-server.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-server.cnf" /etc/pki/tls/misc/CA -sign

mv /etc/pki/tls/newcert.pem /etc/pki/CA/certs/dev.furoom.net.crt

openssl rsa -in /etc/pki/tls/newkey.pem -out /etc/pki/CA/private/dev.furoom.net.key

cp -p /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-client.cnf

vi /etc/pki/tls/openssl-client.cnf

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -newreq

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-client.cnf" /etc/pki/tls/misc/CA -sign

openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -out myclient.dev.furoom.net.pfx -name "dev.furoom.net"

mkdir -p /etc/pki/CA/client/certs/

mkdir -p /etc/pki/CA/client/private/

mv /etc/pki/tls/newcert.pem /etc/pki/CA/client/certs/myclient.dev.furoom.net.crt

mv /etc/pki/tls/newreq.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.csr

mv /etc/pki/tls/newkey.pem /etc/pki/CA/client/private/myclient.dev.furoom.net.key

mv /etc/pki/tls/myclient.dev.furoom.net.pfx /etc/pki/CA/client/private/.

#追記

メールとTCPロードバランサ

./configure --with-http_ssl_module --with-mail --with-stream --with-stream_ssl_module

make

make install

nginx -s stop

nginx -t

nginx