接上一篇文章,在了解Apache基本配置以及SELinux相關知識后,繼續演示Apache提供的虛擬主機功能以及訪問控制方式,
如果還沒看上一篇的建議先查看后再來,上篇文章“linux入門系列18--web服務之apache服務1”,
三、Apache虛擬主機功能
如果早期你部署過網站,相信一定知道虛擬機主機、VPS等概念,尤其是2000年前后建站非常流行,甚至誕生了很多成功的草根站長,其中有一部分網站到現在仍然做的非常成功,
網站流量的增加是一個長期累積的程序,如果每臺服務器上只能運行一個網站,那些人氣低、流量小的草根站長就要被迫承擔著高昂的服務器租賃費用,這顯然也會造成硬體資源的浪費,
為此在虛擬專用服務器(VPS:Virtual Private Server)和云計算技術誕生以前,IDC服務供應商為了更充分利用服務器資源和減低草根站長的購買門檻,都啟用了虛擬主機功能,利用虛擬主機功能,可以把一臺處于運行狀態的物理服務器分割成多個“虛擬的服務器”,
虛擬主機功能也有明顯的缺點,它無法像目前的云主機技術那樣實作硬體資源的隔離,這些虛擬主機共同使用物理服務器的硬體資源,IDC供應商只能限制硬碟的使用空間大小,因此同一臺物理主機上的不同用戶的虛擬主機可能會相互影響,但是出于成本考慮,目前還是有部分個人站長采用虛擬主機的方式來部署網站,
其示意圖如下:
Apache的虛擬主機功能是服務器基于用戶請求的不同IP地址、主機域名或埠號,實作提供多個網站同時為外部提供訪問服務的技術,
3.1 基于IP
如果一臺服務器有多個IP地址,每個IP與服務器上部署的每個網站一一對應, 這樣當用戶請求訪問不同的IP地址時,會訪問到不同網站的頁面資源,
這種方式每個網站都有一個獨立的IP地址,利于搜索引擎SEO優化,因此這種方式提供虛擬網站主機功能最常見且受草根站長的歡迎,
本示例IP的網站對應關系為:192.168.78.101、102、103分別對應網站1、2、3,程序如下:
3.1.1 配置多個IP
利用前面講解的網路配置方法配置多IP,忘記的請回傳查看“linux入門系列11--Centos7網路服務管理”,
[root@apache ~]# nmtui
中間操作程序省略,為主機配置三個IP地址,保存并退出
重啟網路使其生效
[root@apache ~]# systemctl restart network
[root@apache ~]# ip addr
...省略部分內容
2: eno16777736: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:2e:3a:65 brd ff:ff:ff:ff:ff:ff
inet 192.168.78.101/24 brd 192.168.78.255 scope global eno16777736
valid_lft forever preferred_lft forever
inet 192.168.78.102/24 brd 192.168.78.255 scope global secondary eno16777736
valid_lft forever preferred_lft forever
inet 192.168.78.103/24 brd 192.168.78.255 scope global secondary eno16777736
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe2e:3a65/64 scope link
valid_lft forever preferred_lft forever
[root@apache ~]#
確保通過ip addr命令可以看到剛才配置的IP,并能在虛擬機或宿主機上能ping通剛才配置的每個IP,
3.1.2 準備多個網站
在系統根目錄下的website目錄下創建3個目錄,并分別創建不同的頁面檔案,
[root@apache website]# mkdir -p /website/1
[root@apache website]# mkdir -p /website/2
[root@apache website]# mkdir -p /website/3
[root@apache website]# echo "192.168.78.101">/website/1/index.html
[root@apache website]# echo "192.168.78.102">/website/2/index.html
[root@apache website]# echo "192.168.78.103">/website/3/index.html
3.1.3 配置Apache
配置主組態檔/etc/httpd/conf/httpd.conf
[root@apache website]# vim /etc/httpd/conf/httpd.conf
...省略部分內容
<VirtualHost 192.168.78.101>
DocumentRoot /website/1
ServerName website1
<Directory /website/1>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.78.102>
DocumentRoot /website/2
ServerName website2
<Directory /website/2>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.78.103>
DocumentRoot /website/3
ServerName website3
<Directory /website/3>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
...省略部分內容
添加如下配置,并保存退出
重啟httpd使其生效,
[root@apache website]# systemctl restart httpd
3.2.4 測驗訪問
由于是繼續上前文的環境下實驗,前文已經設定好了防火墻和SELinux,所以直接就可以訪問了,如果你遇到不能訪問的情況,請參考前文檢查相關設定,
注意:
(1)前邊已經把/website目錄添加了SELinux的背景關系,因此無需把剛剛創建的子目錄/website/1等進行設定,
(2)前文實驗中直接通過ip可以訪問/website/index.html檔案,本文實驗并沒有洗掉原來的配置,只是新加了虛擬主機相關配置,可以看到,再次訪問192.168.78.101這個ip是指向新的虛擬主機網站,而非原來的網站,也就是會虛擬主機配置會覆寫原來設定,優先級更高,
3.2 基于域名
當服務器無法為每個網站都分配一個獨立 IP 地址的時候,可以嘗試讓 Apache 自動識別 用戶請求的域名,從而根據不同的域名請求來傳輸不同的內容,
基于域名的配置與基于IP的配置,方法基本一致,只是多了一個域名和IP的映射,
3.2.0 環境準備
還是繼續使用上一步的環境,把之前設定的多余的IP洗掉,只保留一個IP:192.168.78.101;同時將上一步3.1.3中配置的多個IP與網站的映射洗掉,
假設三個域名分別對應三個網站,域名分別為:test1、test2、test3.heimatengyun.com,分別對應之前的1、2、3三個網站,
3.2.1 配置域名與IP映射
可以通過DNS決議服務進行配置,本處直接修改/etc/hosts檔案,在該檔案中指定IP與域名之間的映射關系,/etc/hosts是Linux系統中用于強制把某個主機域名決議到指定IP地址的組態檔,
[root@apache website]# vim /etc/hosts
192.168.78.101 test1.heimatengyun.com test2.heimatengyun.com test3.heimatengyun.com
在檔案末尾添加以上內容保存并退出,
在虛擬機中確保可以ping同以上各個域名,
[root@apache website]# ping -c 1 test1.heimatengyun.com
PING test1.heimatengyun.com (192.168.78.101) 56(84) bytes of data.
64 bytes from test1.heimatengyun.com (192.168.78.101): icmp_seq=1 ttl=64 time=0.033 ms
--- test1.heimatengyun.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.033/0.033/0.033/0.000 ms
[root@apache website]#
這樣等后續操作完成后就可以在虛擬機內部通過域名進行訪問,
但是如果想讓宿主機也能進行訪問的話,需要在宿主機中也要添加IP與域名的映射,由于我的宿主機為win10,因此將以上IP與域名的映射內容添加到C:\Windows\System32\drivers\etc\hosts檔案即可,然后在宿主機就可以ping同前面的三個域名,
3.2.2 準備多個網站
由于是直接采用原來的三個網站,先修改下每個網頁里邊的內容,我們采用重定向往原來頁面中追加對應的域名資訊,方便后續驗證效果,
[root@apache website]# echo "test1.heimatengyun.com">>/website/1/index.html
[root@apache website]# echo "test2.heimatengyun.com">>/website/2/index.html
[root@apache website]# echo "test3.heimatengyun.com">>/website/3/index.html
3.2.3 配置Apache
修改Apache主組態檔,/etc/httpd/conf/httpd.conf
[root@apache website]# vim /etc/httpd/conf/httpd.conf
...省略部分內容
<VirtualHost 192.168.78.101>
DocumentRoot /website/1
ServerName test1.heimatengyun.com
<Directory /website/1>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.78.101>
DocumentRoot /website/2
ServerName test2.heimatengyun.com
<Directory /website/2>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.78.101>
DocumentRoot /website/3
ServerName test3.heimatengyun.com
<Directory /website/3>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
...省略部分內容
在組態檔中添加上述內容并保存退出,
注意:此處可以對比之前的IP配置,配置引數都是基本一樣的,唯一的不同是之前每個網站對應不同IP,現在是都寫同一個IP,可以自行對比
修改完成后重啟Apache,使其生效,
[root@apache website]# systemctl restart httpd
注意:修改Apache配置后,需要重啟服務才會生效,
3.2.4 測驗訪問
在宿主機瀏覽器輸入對應的域名即可訪問對應的網站,
3.3 基于埠號
基于埠號的虛擬主機功能可以讓用戶通過指定的埠號來訪問服務器上的網站資源,
相較于前二種方式,這種方式的配置要稍微復制一些,因為不僅要考慮httpd服務程式的配置,還要考慮SELinux服務對新開的埠的監控和限制,
通常情況下使用80、443、8080等埠提供網站訪問服務,如果是其他埠就需要注意SELinux的現在,
3.3.0 環境準備
我們繼續在上邊的環境下實驗,洗掉上一步3.2.3在組態檔中的配置,假設8111、8222、8333分別對應前面創建的1、2、3三個網站,
3.3.1 網站內準備
我們繼續使用之前的三個網站,對網站內容進行修改
[root@apache website]# echo "8111">>/website/1/index.html
[root@apache website]# echo "8222">>/website/2/index.html
[root@apache website]# echo "8333">>/website/3/index.html
3.3.2 Apache配置
對/etc/httpd/conf/httpd.conf進行配置,使其支持多埠監聽
(1)在大概43行左右,添加埠監聽
[root@apache website]# vim /etc/httpd/conf/httpd.conf
...省略部分內容
Listen 8111
Listen 8222
Listen 8333
...省略部分內容
繼續下邊的修改
(2)在大概120行左右,追加基于埠號的虛擬主機引數配置
<VirtualHost 192.168.78.101:8111>
DocumentRoot /website/1
ServerName test1.heimatengyun.com
<Directory /website/1>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.78.101:8222>
DocumentRoot /website/2
ServerName test2.heimatengyun.com
<Directory /website/2>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
<VirtualHost 192.168.78.101:8333>
DocumentRoot /website/3
ServerName test3.heimatengyun.com
<Directory /website/3>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
...省略部分內容
保存退出
與3.2.3相對,沒有太大變化,只是在IP后添加埠即可,幾種配置方法都大同小異,
重啟apache使其生效
[root@apache website]# systemctl restart httpd
Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.
[root@apache website]# journalctl -xn
...省略部分內容
***** Plugin bind_ports (92.2 confidence) suggests
If you want to allow /usr/sbin/httpd to bind to network port 8111
Then you need to modify the port type.
Do
# semanage port -a -t PORT_TYPE -p tcp 8111
...省略部分內容
但是你會發現,重啟失敗,如果你查看日志,會發現這樣的提示內容,別擔心,這正是剛開始提到的SELinux在搞鬼,
3.3.3 設定SELinux域
查看目前默認的SELinux允許的與HTTP協議相關的埠
[root@apache website]# semanage port -l | grep http
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
[root@apache website]#
于是我們要把剛才新加的三個埠添加進入
[root@apache website]# semanage port -a -t http_port_t -p tcp 8111
[root@apache website]# semanage port -a -t http_port_t -p tcp 8222
[root@apache website]# semanage port -a -t http_port_t -p tcp 8333
添加完成重啟apache
[root@apache website]# systemctl restart httpd
3.3.4 測驗訪問
經過以上的操作在虛擬機內容通過瀏覽器進行訪問,可以正常通過各個埠去訪問對應的網站,
但是如果在宿主機進行訪問,你會發現訪問不了,這無疑就是因為防火墻在搞鬼,
利于“linux入門系列10--firewalld防火墻管理”講解的知識,將這3個對應的埠放行即可,
[root@apache website]# firewall-cmd --zone=public --list-ports
[root@apache website]# firewall-cmd --zone=public --add-port=8111/tcp
success
[root@apache website]# firewall-cmd --zone=public --add-port=8222/tcp
success
[root@apache website]# firewall-cmd --zone=public --add-port=8333/tcp
此時,再次在宿主機進行訪問,就可以正常訪問了,
細心的你可能會發現,如果是按照上邊的步驟一路下來的話,你會發現現在其實是3種方式都開啟的,分別通過不同的埠去訪問,可以正常訪問到對應的不同網站,
但是通過如果你通過ip或域名再去訪問的話,你會發現統統都指向前一篇文章中案例1指向的網頁,為什么會這樣呢?那是因為之前案例沒有顯式指定埠,默認的埠為80,因此如果沒顯式指定埠,默認是去web的80埠的,
四、Apache訪問控制
Apache可以基于源主機名、源IP地址或源主機上的瀏覽器特征等資訊對網站上的資源進行訪問控制,簡單說就是能控制網站讓指定用戶才能看到,
主要是通過訪問控制指令實作,常用指令有:Allow、Deny、Order
Allow:允許某個主機訪問服務器上的網站資源
Deny:實作禁止訪問
Order: 定義Allow或Deny指令起作用的順序,其匹配原則是按照順序進行匹配,若匹配成功則執行后面的默認指令,
舉個例子:
Order Allow, Deny:表示先將源主機與允許規則進行匹配,若匹配成功則允許訪 問請求,反之則拒絕訪問請求,
4.1 通過IP控制
假設我們的需求是:讓前面部署的1網站只允許虛擬機內部進行訪問,禁止外部機器訪問,
[root@apache website]# vim /etc/httpd/conf/httpd.conf
...省略部分內容
<VirtualHost 192.168.78.101:8111>
DocumentRoot /website/1
ServerName test1.heimatengyun.com
<Directory /website/1>
AllowOverride None
Require all granted
Order allow,deny
Allow from 192.168.78.101
</Directory>
</VirtualHost>
...省略部分內容
我們只需要打開主組態檔,在添加Order allow,deny和Allow from 192.168.78.101即可實作,配置之后,重啟apache,發現在虛擬機里可以正常訪問,但是在宿主機已經不能訪問了此網站了(直接跳轉到測驗頁面),
除此之外還可以通過瀏覽器特征來限制指定瀏覽器進行訪問,再此就不進行演示了,
下一篇文章將演示Mysql資料的兄弟-MariaDB的安裝及基本用法,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/120943.html
標籤:Linux
上一篇:Linux 常用命令總結(一)
下一篇:grep 查找關鍵字的數量