Web Service

标签(空格分隔): Linux 运维 HTTP Web
实验主机:
❶ CentOS7.2 10.0.0.11
❷ CentOS6.8 10.0.0.61


HTTP协议: Hyper Text Mark Language,超文本传输协议.客户端/服务器端架构,服务器端监听在一个Socket(套接字)上,客户端也是通过一个Scoket向服务端发送请求信息.

HTTP版本

❶ HTTP/0.9: 原型版本
❷ HTTP/1.0: 增加了cache,MIME等功能
❸ HTTP/1.1: 扩展了cache,加入更多的首部 条件式请求

端口范围

IANA(The Internet Assigned Numbers Authority,互联网数字分配机构)是负责协调一些使Internet正常运作的机构。
常用端口分类:
❶ 0 ~ 1023: 众所周知,永久地分配给固定的应用程序使用,特权端口(仅root有权限使用)
❷ 1024 ~ 41951: 注册端口,但要示略宽松,分配给某程序注册使用.
❸ 40952+:客户端程序使用的随机端口,动态端口,或称为私有端口.

Linux系统中的本地端口范围查看可执行cat /proc/sys/net/ipv4/ip_local_port_range命令查看,默认是32768 ~ 61000,以下为这个文件的说明:
The /proc/sys/net/ipv4/ip_local_port_range defines the local port range that is used by TCP and UDP traffic to choose the local port. You will see in the parameters of this file two numbers: The first number is the first local port allowed for TCP and UDP traffic on the server, the second is the last local port number. For high-usage systems you may change its default parameters to 32768-61000 -first-last.

HTTP的事务与格式

HTTP的事务可分为request与response,即请求与响应.其格式分别如下
request:

<method> <URL><http version>
HEADERS:
<body>

response:

<http version> status code
<body>

URL: 定位互联网中的某一个资源

<scheme>://<user>:<passowrd>@<host>[:<port>]/<path>;<params>?<query>#<frag>

method:
GET HEAD POST PUT DELETE OPTIONS RACE ...
status code

1xx:信息类
2xx:成功类
3xx:重定向类
4xx:客户端错误类
5xx:服务端错误类

一次完整的Http请求响应过程:
(1) 建立或处理连接;接收或拒绝请求;
(2) 接收请求
(3) 处理请求:解析请求;
(4) 访问资源:
资源映射:DocumentRoot /var/www/html/
http://www.magedu.com/index.html --> /var/www/html/index.html
(5) 构建响应报文
(6) 发送响应报文
(7) 记录日志

HTTP协议的实现

  • httpd
  • nginx
  • ...

HTTP常用首部

❶ 通用首部

  • Connection: {close,keep-alive} 长连接
  • Date: 报文创建的日期时间
  • Via: 经由,报文传输经过的中间代理服务器
  • Cache-Control: 定义缓存控制机制,http1.1才有

❷ 请求首部(客户端)

  • Accept: 可接受的MIME类型
  • Accept-language: 可接受的语言
  • Accept-encoding: 可接受的内容编码格式,如deflate,gzip
  • Accept-Charset: 可接受的字符集
  • Host: 请求的服务器的名称和端口
  • Referer: 跳转至当前页面的上级页面
  • User-Agent: (多数情况下是)客户端的浏览器类型
  • Expect:
  • If-Modified-Since
  • If-Unmodified-Since
  • If-None-Match
  • If-Match
  • Authorization:
  • Cookie

❸ 响应首部

  • Age:
  • Server
  • Accept-Range: 服务端可接受的请求类型的范围
  • Vary: 其它首部列表
  • Set-Cookie:

❹ 实体首部

  • Content-Encoding
  • Content-language
  • Content-Lenth
  • Content-location
  • Content-Type
  • Allow: 允许客户端的请求方法
  • Location: 资源的真正地址
  • Etag
  • Expires
    • last-Modifiled

❺ 扩展首部

  • X-Forwarded-For

httpd的安装与详细说明

yum -y install httpd # 安装httpd-2.4.6-45.el7.centos.x86_64
下面2个工具是作为依赖会被安装
httpd-tools
mailcap.noarch
httpd的程序环境

`/etc/httpd/conf/httpd.conf`   # 主配置文件
`/etc/httpd/conf.d`            # 辅助配置文件目录
`/etc/httpd/conf.modules.d`    # 加载模块的配置文件

httpd的Unit File说明

[Unit]
Description=The Apache HTTP Server              # 描述
After=network.target remote-fs.target nss-lookup.target
Documentation=man:httpd(8)
Documentation=man:apachectl(8)

[Service]
Type=notify
EnvironmentFile=/etc/sysconfig/httpd            # 给httpd设置额外的环境变量或传递额外的参数,如下面的$OPTIONS就在这里设置
ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND # 启动httpd需要执行的放在前台交给systemd处理
ExecReload=/usr/sbin/httpd $OPTIONS -k graceful # 重载时执行的命令
ExecStop=/bin/kill -WINCH ${MAINPID}
# We want systemd to give httpd some time to finish gracefully, but still want
# it to kill httpd after TimeoutStopSec if something went wrong during the
# graceful stop. Normally, Systemd sends SIGTERM signal right after the
# ExecStop, which would kill httpd. We are sending useless SIGCONT here to give
# httpd time to finish.
KillSignal=SIGCONT
PrivateTmp=true

[Install]
WantedBy=multi-user.target

httpd相关的命令与用法

/usr/sbin/httpd:
    httpd: 不接任何参数直接启动httpd
    -M: 列出httpd所有加载的静态的与共享的模块
    -t: 测试配置文件语法
    
/usr/sbin/apachectl: 管理httpd的一个shell脚本程序
    -k start:        开启httpd
    -k stop:         关闭httpd
    -k restart:      重启httpd
    -k  graceful:    优雅地重启httpd
    -k graceful-stop:优雅地关闭httpd
  

httpd配置指令说明

ServerRoot "/etc/httpd"  # httpd服务器配置的目录树的顶级目录,所有配置文件里的相对路径都是相对这个
Listen 80                # 默认httpd监听的IP与端口,可添加多个
KeepAlive On|Off         # 持久连接
KeepAliveTimeout NUM(ms) # 持久连接的超时时长
MaxKeepAliveRequests NUM # 一次持久连接允许的连接数目
LoadModule foo_module modules/mod_foo.so  # 加载指定模块文件
Include conf.modules.d/*.conf             # 包含其它的配置子文件,相对于ServerRoot目录
<IfModule [!]MODULE_NAME>:                # 指令块,里面放置一些指令,但是只能是在指定的模块存在时才有效
    "
    <IfModule dir_module>
        DirectoryIndex index.html   #定义站点主页面,可跟多个
    </IfModule>
    "
ErrorLog "logs/error_log":          # 指定错误日志文件存放的位置
LogLevel warn            :          # 日志级别
LogFormat:                          # 日志格式,可查看[日志格式][1]
    
CustomLog "logs/access_log" common: # 自定义日志文件
DocumentRoot "/var/www/html":       # 网站文档根目录
ServerName www.example.com:80:      # 服务器名
<Directory "/usr/local/httpd/htdocs"> # 设置指令的生效(作用)范围(本地文件系统)其中常用的包含指令有
    Options Indexes FollowSymLinks None All ...
    AllowOverride None  # Types of directives that are allowed in .htaccess files
    # Allow open access:
    Require all granted|denied
    #Require [not] ip IP|NETWORK
    #Require [not] host HOSTNAME
<Location /private2/>                # 同上但基于URL路径进行控制
Alias  /URL/  "/PATH/TO/SOME_DIR/"   # 路径别名,URL-文件系统
<VirtualHost IP:PORT>                # 定义虚拟主机 本机的IP与监听的端口
    ServerName
    DocumentRoot
</VirtualHost>
<Location /status>                   # 定义状态页面,通常放在status.conf
    SetHandler server-status
    Require all granted
</Location>
    
ExtendedStatus {On|Off}              # 是否输出扩展的状态信息
------------------------------------------------------------------------------
httpd-2.2:static                    # MPM机制说明
httpd-2.4:shared
    prefork:两级架构,由进程响应每个请求
        master process:1个, 
        child process:n个,
    worker:每线程响应一个请求;三级架构
        master process:1个
        child process:n个
            thread:m个
    event:每进程响应多个请求;
    
    prefork
        ServerLimit             
        StartServers
        MinspareServers
        MaxSpareServers
        MaxConnectionsPerchild
        MaxRequestWorkers 
        
    woker:
        ServerLimit
        StartServers
        MinSpareThreads
        MaxSpareThreads
        MaxRequestWorkers
        ThreadsPerChild 
        
    event:
        ThreadsPerChild
        MaxRequestWorkers
        AsyncRequestWorkerFactor
------------------------------------------------------------------------------      
AuthType basic                           # 用户认证
AuthName "Admin Area, Enter your name/password"
AuthUserFile "/etc/httpd/conf/.htpasswd" # htpasswd -c -m USERNAME [PWD]
Require valid-user
#AuthGroupFIle "/etc/httpd/conf/.htgroup"# 文件格式group_name: user1 user2 ..
#Require group 
------------------------------------------------------------------------------
使用mod_deflate模块压缩页面优化传输速度(需要装载deflate_module模块)
    适用场景:
        (1) 节约带宽,但会额外消耗CPU;同时,可能有些较老浏览器不支持;
        (2) 压缩适于压缩的资源,例如文件文件/etc/httpd/conf.d/deflate.conf;
    SetOutputFilter DEFLATE
    # mod_deflate configuration
    # Restrict compression to these MIME types
    AddOutputFilterByType DEFLATE text/plain
    AddOutputFilterByType DEFLATE text/html
    AddOutputFilterByType DEFLATE application/xhtml+xml
    AddOutputFilterByType DEFLATE text/xml
    AddOutputFilterByType DEFLATE application/xml
    AddOutputFilterByType DEFLATE application/x-javascript
    AddOutputFilterByType DEFLATE text/javascript
    AddOutputFilterByType DEFLATE text/css

    # Level of compression (Highest 9 - Lowest 1) 压缩级别
    DeflateCompressionLevel 9
    # Netscape 4.x has some problems.  浏览器匹配机制
    BrowserMatch ^Mozilla/4  gzip-only-text/html
    # Netscape 4.06-4.08 have some more problems 同上
    BrowserMatch  ^Mozilla/4\.0[678]  no-gzip
    # MSIE masquerades as Netscape, but it is fine
    BrowserMatch \bMSI[E]  !no-gzip !gzip-only-text/html

httpd调用ssl实现HTTPS安全传输

SSL会话的简化过程
    ㈠ 客户端发送可供选择的加密方式,并向服务器请求证书.
    ㈡ 服务器端发送证书以及选定的加密方式给客户端
    ㈢ 客户端取得证书并进行证书验证
        ① 验证证书的来源的合法性,用CA的公钥解密证书上数字签
        ② 验证证书的内容的合法性,完整性验证
        ③ 检查证书的有效期限
        ④ 检查证书是否被吊销 
        ⑤ 证书中拥有者的名字,与访问的目标主机要一对致
    ㈣ 客户端端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换
    ㈤ 服务用此密钥加密用户请求的资源,响应给客户端
注意:SSL会话是基于IP地址创建,所以单IP主机止,仅可以使用一个https虚拟主机.

配置实例

1. 确保httpd装载了ssl_module模块,默认不存在需要安装.
`yum -y install mod_ssl`
/etc/httpd/conf.d/ssl.conf            # 配置基于SSL的虚拟主机
/etc/httpd/conf.modules.d/00-ssl.conf # 装载mod_ssl.so模块的指令
/usr/lib64/httpd/modules/mod_ssl.so   # mod_ssl.so的路径
/usr/libexec/httpd-ssl-pass-dialog    # 
/var/cache/httpd/ssl                  # ssl缓存目录,有效期为5分钟
`systemctl reload httpd`              # 重载httpd使生效
2. 创建测试用的私有CA
    cd /etc/pki/CA/
    (umask 077;openssl genrsa -out private/cakey.pem 4096)
    openssl req -new -x509 -key private/cakey.pem -out cacert.pem
    echo 01 > serial
    touch index.txt
    
    cd /etc/httpd; mkdir certs;cd certs
    (umask 077;openssl genrsa -out httpd.key 2048)
    openssl req -new -key httpd.key -out httpd.csr  # 生成证书请求文件
    openssl ca -in httpd.csr -out httpd.crt
3. 编辑/etc/httpd/conf.d/ssl.conf 
    SSLCertificateFile /etc/httpd/certs/httpd.crt
    SSLCertificateKeyFile /etc/httpd/certs/httpd.key
    DocumentRoot "/var/www/html"
    ServerName www.magedu.com:443
4. systemctl httpd reload                           # 此时443端口应该开启了

httpd自带的应用程序

❶ htpasswd: basic认证基于文件实现,用于生成账号和密码的程序
❷ apachectl: httpd自带的报务控制脚本,支持start和stop等命令
❸ apxs: apache 扩展工具
❹ rotatelogs:
❺ ab: apache benchmarking tools

httpd2.2与httpd2.4的不同之处

2.2中的"mpm_prefork_module (static)" 是静态编译的,可在/etc/sysconfig/httpd文件中更改,httpd的启动脚本会调用这个环境文件

2.2的配置文件中MPM的默认配置如下

<IfModule prefork.c>
    StartServers       8         # 初始启动的子进程数量
    MinSpareServers    5         # 最小空闲子进程数量
    MaxSpareServers   20         # 最大空闲子进程数量
    ServerLimit      256         # 子进程数量上限
    MaxClients       256         # 最大并发请求数 其值小于等于ServerLimit
    MaxRequestsPerChild  4000    # 每个子进程服务请求超过4000的话就会被主进程销毁重建
</IfModule>
    
<IfModule worker.c>
    StartServers         4       # 初始启动的子进程数量 worker进程
    MaxClients         300       # 最大并请求数
    MinSpareThreads     25       # 最小空闲线程数量
    MaxSpareThreads     75       # 最大空闲线程数量
    ThreadsPerChild     25       #  每个worker有多少个线程,即启动时有100个线程,但因为上面定义了最大空闲线程为75个所以会自动杀死一个worker子进程.(可实验)
    MaxRequestsPerChild  0       # 每个worker进程最多能处理多少个请求.0表示没有限制
</IfModule>

2.2中基于IP的访问机制的指令与2.4不同,前者使用allow deny等词,后者使用Require

Require all denied|granted       # httpd2.4中(将基于IP与基于用户都用Require指令配置,统一了风格)
Order allow,deny                 # httpd2.2中,由这2行设置
Allow from all

2.2中基于ServerName的虚拟主机,要使用专用指令NameVirtualHost

即在2.2中定义基于ServerName的虚拟主机的话必须在开件开头添加一行如下:
NameVirtualHost IP:PORT
...
否则httpd会有如下错误提示:
[warn] _default_ VirtualHost overlap on port 80, the first has precedence

2.2中对于<Directory >授权没有2.4严格,在2.4中必须对指定的文件做Directory授权才能访问
[1]: http://httpd.apache.org/docs/2.4/mod/mod_log_config.html#formats

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,816评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,729评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,300评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,780评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,890评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,084评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,151评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,912评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,355评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,666评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,809评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,504评论 4 334
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,150评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,882评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,121评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,628评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,724评论 2 351

推荐阅读更多精彩内容