سرور مجازي وب Apache از هاست هاي مجازي براي مديريت دامنه هاي متعدد در يك مثال استفاده مي كند. به طور مشابه ، PHP-FPM از يك Daemon براي مديريت چندين نسخه PHP در يك نمونه واحد استفاده مي كند. مي توانيد از Apache و PHP-FPM با هم براي ميزباني چند برنامه وب PHP استفاده كنيد ، هر يك با استفاده از نسخه متفاوت PHP ، همه در يك سرور مجازي يكسان و همه به طور همزمان. اين كار از آن جهت مفيد است كه برنامه هاي مختلف ممكن است به نسخه هاي مختلف PHP نياز داشته باشند ، اما برخي از پشته هاي سرور مجازي ، مانند پشته LAMP كه به طور مرتب پيكربندي شده است ، فقط مي تواند يكي را مديريت كند. تركيب Apache با PHP-FPM نيز يك راه حل مقرون به صرفه تر نسبت به ميزباني هر برنامه به طور خاص است.
PHP-FPM همچنين گزينه هاي پيكربندي براي ورود به سيستم stderr و stdout ، ريستارت اضطراري و spawning روند تطبيقي ​​را ارائه مي دهد ، كه براي سايت هاي داراي بار سنگين مفيد است. در حقيقت ، استفاده از Apache با PHP-FPM يكي از بهترين پشته ها براي ميزباني برنامه هاي PHP است ، به خصوص وقتي صحبت از عملكرد ميشود.
در اين آموزش دو سايت PHP را به صورت يكجا تنظيم خواهيد كرد. هر سايت از دامنه خود استفاده مي كند و هر دامنه نسخه PHP خود را مستقر مي كند. اولي ، site1.your_domain ، PHP 7.0 را مستقر مي كند. دومي ، site2.your_domain ، PHP 7.2 را مستقر مي كند.
پيش نيازها
• يك سرور مجازي Debian 10 با حداقل 1 گيگابايت رم كه طبق راهنماي راه اندازي سرور مجازي اوليه با Debian 10تنظيم شده باشد و شامل كاربر sudo غير ريشه و فايروال تنظيم شده باشد.
• سرور مجازي وب Apache كه با دنبال كردن نحوه نصب وب سرور مجازي Apache در Debian 10تنظيم و پيكربندي شده است.
• نام دامنه تنظيم شده كه به سرور مجازي Debian 10 شما اشاره كند. براي اهداف اين آموزش ، ما از دو زير دامنه استفاده خواهيم كرد كه هر يك با يك ركورد A در تنظيمات DNS ما مشخص شده اند: site1.your_domain و site2.your_domain.
مرحله 1 – نصب PHP نسخه هاي 7.0 و 7.2 با PHP-FPM
با تكميل پيش نيازها، اكنون نسخه هاي PHP 7.0 و 7.2 و همچنين PHP-FPM و چندين پسوند اضافي را نصب خواهيد كرد. اما براي تحقق اين امر ، ابتدا بايد مخزن Sury php را به سيستم خود اضافه كنيد.
ابتدا چندين بسته مورد نياز از جمله curl ، wget و gnupg2 را نصب كنيد:
⦁ $ sudo apt-get install curl wget gnupg2 ca-certificates lsb-release apt-transport-https -y
⦁

بسته هاي فوق به شما امكان مي دهد تا به مخزن Sury php دسترسي پيدا كنيد و اين كار را با اطمينان انجام دهيد. sury php يك مخزن شخص ثالث يا PPA (بايگاني بسته هاي شخصي) است كه PHP 7.4 ، 7.3 ، 7.2 ، 7.1 و 7.0 را براي سيستم عامل Debian ارائه مي دهد. همچنين نسخه هاي به روز تر PHP را نسبت به مخازن رسمي Debian 10 ارائه مي دهد و به شما امكان مي دهد نسخه هاي مختلف PHP را روي همان سيستم نصب كنيد.
سپس ، كليد بسته را وارد كنيد:
⦁ $ wget https://packages.sury.org/php/apt.gpg
⦁
⦁ $ sudo apt-key add apt.gpg

اكنون مخزن Sury php را به سيستم خود اضافه كنيد:
⦁ $ echo “deb https://packages.sury.org/php/ $(lsb_release -sc) main” | sudo tee /etc/apt/sources.list.d/php7.list
⦁

مخزن را به روز كنيد:
⦁ $ sudo apt-get update -y
⦁

سپس ، php7.0 ، php7.0-fpm ، php7.0-mysql ، libapache2-mod-php7.0 و libapache2-mod-fcgid را با دستورات زير نصب كنيد:
⦁ php7.0 ابربسته اي است كه مي تواند براي اجراي برنامه هاي PHP استفاده شود.
⦁ php7.0-fpm مفسر مديريت سريع فرآيند را فراهم مي كند كه به عنوان يك Daemon اجرا مي شود و درخواست هاي سريع / CGI را دريافت مي كند.
⦁ php7.0-mysql PHP را به پايگاه داده MySQL متصل مي كند.
⦁ libapahce2-mod-php7.0 ماژول PHP را براي وب سرور مجازي Apache ارائه مي دهد.
⦁ libapache2-mod-fcgid شامل يك mod_fcgid است كه تعدادي از نمونه هاي برنامه CGI را براي رسيدگي به درخواست هاي همزمان شروع مي كند.
حالا فرايند را براي نسخه PHP 7.2 تكرار كنيد. php7.2 ، php7.2-fpm ، php7.2-mysql و libapache2-mod-php7.2 را نصب كنيد.
⦁ $ sudo apt-get install php7.2 php7.2-fpm php7.2-mysql libapache2-mod-php7.2 -y
⦁

پس از نصب هر دو نسخه PHP ، سرويس php7.0-fpm را شروع كنيد:
⦁ $ sudo systemctl start php7.0-fpm
⦁

بعد ، وضعيت سرويس php7.0-fpm را بررسي كنيد:
⦁ $ sudo systemctl status php7.0-fpm
⦁
خروجي زير را مشاهده خواهيد كرد:
Output
● php7.0-fpm.service – The PHP 7.0 FastCGI Process Manager
Loaded: loaded (/lib/systemd/system/php7.0-fpm.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2020-04-04 08:51:47 UTC; 1min 17s ago
Docs: man:php-fpm7.0(8)
Main PID: 13016 (php-fpm7.0)
Status: “Processes active: 0, idle: 2, Requests: 0, slow: 0, Traffic: 0req/sec”
Tasks: 3 (limit: 1149)
Memory: 19.1M
CGroup: /system.slice/php7.0-fpm.service
├─13016 php-fpm: master process (/etc/php/7.0/fpm/php-fpm.conf)
├─13017 php-fpm: pool www
└─13018 php-fpm: pool www

Apr 04 08:51:47 debian10 systemd[1]: Starting The PHP 7.0 FastCGI Process Manager…
Apr 04 08:51:47 debian10 systemd[1]: Started The PHP 7.0 FastCGI Process Manager.

با تكرار اين روند ، اكنون سرويس php7.2-fpm را شروع كنيد:
⦁ $ sudo systemctl start php7.2-fpm
⦁
و سپس وضعيت سرويس php7.2-fpm را بررسي كنيد:
⦁ $ sudo systemctl status php7.2-fpm
⦁
خروجي زير را مشاهده خواهيد كرد:
Output
● php7.2-fpm.service – The PHP 7.2 FastCGI Process Manager
Loaded: loaded (/lib/systemd/system/php7.2-fpm.service; enabled; vendor preset: enabled)
Active: active (running) since Sat 2020-04-04 08:52:52 UTC; 1min 32s ago
Docs: man:php-fpm7.2(8)
Process: 22207 ExecStartPost=/usr/lib/php/php-fpm-socket-helper install /run/php/php-fpm.sock /etc/php/7.2/fpm/pool.d/www.conf 72 (code=exite
Main PID: 22204 (php-fpm7.2)
Status: “Processes active: 0, idle: 2, Requests: 0, slow: 0, Traffic: 0req/sec”
Tasks: 3 (limit: 1149)
Memory: 12.0M
CGroup: /system.slice/php7.2-fpm.service
├─22204 php-fpm: master process (/etc/php/7.2/fpm/php-fpm.conf)
├─22205 php-fpm: pool www
└─22206 php-fpm: pool www

Apr 04 08:52:52 debian10 systemd[1]: Starting The PHP 7.2 FastCGI Process Manager…
Apr 04 08:52:52 debian10 systemd[1]: Started The PHP 7.2 FastCGI Process Manager.

در آخر ، بايد چندين ماژول را فعال كنيد تا سرويس Apache2 شما بتواند با چندين نسخه PHP كار كند:
⦁ $ sudo a2enmod actions fcgid alias غير مجاز مي باشد_fcgi
⦁

⦁ actions براي اجراي اسكريپت هاي CGI بر اساس نوع رسانه يا روش درخواست استفاده مي شود.
⦁ fcgid يك جايگزين با كارايي بالا براي mod_cgi است كه تعداد كافي از نمونه هاي برنامه CGI را براي رسيدگي به درخواست هاي همزمان شروع مي كند.
⦁ alias براي نگاشت قسمت هاي مختلف سيستم فايل ميزبان در درخت سند و هدايت URL ارائه ميشود.
⦁ غير مجاز مي باشد_fcgi به Apache امكان مي دهد تا درخواست ها را به PHP-FPM ارسال كند.
اكنون سرويس Apache را مجدداً راه اندازي كنيد تا تغييرات خود را اعمال كنيد:
⦁ $ sudo systemctl restart apache2
⦁
در اين مرحله شما دو نسخه PHP را روي سرور مجازي خود نصب كرده ايد. در مرحله بعد ، براي هر وب سايتي كه مي خواهيد مستقر شويد ، يك ساختار دايركتوري ايجاد خواهيد كرد.
مرحله 2 – ايجاد ساختارهاي ديركتوري براي هر دو وب سايت
در اين بخش ، يك دايركتوري اصلي اسناد و صفحه فهرست براي هر دو وب سايت خود ايجاد مي كنيد.
ابتدا دايركتوري هاي اصلي سند را براي site.your_domain و site2.your_domain ايجاد كنيد:
⦁ $ sudo mkdir /var/www/site1.your_domain
⦁
⦁ $ sudo mkdir /var/www/site2.your_domain

به طور پيش فرض ، وب سرور مجازي Apache به عنوان يك كاربر www-data و گروه www-data به كار مي رود. براي اطمينان از مالكيت صحيح و مجوزهاي ديركتوري هاي root وب سايت خود ، دستورات زير را اجرا كنيد:
⦁ $ sudo chown -R www-data:www-data /var/www/site1.your_domain
⦁
⦁ $ sudo chown -R www-data:www-data /var/www/site2.your_domain
⦁
⦁ $ sudo chmod -R 755 /var/www/site1.your_domain
⦁
⦁ $ sudo chmod -R 755 /var/www/site2.your_domain

در مرحله بعد يك فايل info.php را در داخل هر ديركتوري اصلي وب سايت ايجاد مي كنيد. با اين كار اطلاعات نسخه PHP هر وب سايت نمايش داده مي شود. با site1 شروع كنيد:
⦁ $ sudo nano /var/www/site1.your_domain/info.php
⦁
خط زير را اضافه كنيد:
/var/www/site1.your_domain/info.php

فايل را ذخيره كنيد و ببنديد. اكنون فايل info.php كه در سايت2 ايجاد كرده ايد را كپي كنيد:
⦁ $ sudo cp /var/www/site1.your_domain/info.php /var/www/site2.your_domain/info.php
⦁

اكنون وب سرور مجازي شما بايد ديركتوري هاي ريشه اسناد را كه هر سايت براي ارائه اطلاعات به بازديد كنندگان نياز دارد در اختيار داشته باشد. در مرحله بعدي ، وب سرور مجازي Apache خود را پيكربندي خواهيد كرد تا با دو نسخه مختلف PHP كار كند.
مرحله 3 – پيكربندي Apache براي هر دو وب سايت
در اين بخش دو فايل پيكربندي ميزبان مجازي ايجاد خواهيد كرد. با اين كار دو وب سايت شما قادر خواهند بود همزمان با دو نسخه مختلف PHP كار كنند.
براي اينكه Apache بتواند اين محتوا را ارائه دهد ، بايد يك فايل ميزبان مجازي با بخشنامه هاي صحيح ايجاد كنيد. به جاي تغيير فايل پيكربندي پيش فرض واقع در /etc/apache2/sites-available/000-default.conf ، دو فايل جديد را در ديركتوري / etc / apache2 / سايتهاي موجود ايجاد خواهيد كرد.
ابتدا يك فايل پيكربندي ميزبان مجازي جديد براي وب سايت site1.your_domain ايجاد كنيد. در اينجا شما Apache را به ارائه محتوا با استفاده از php7.0 هدايت مي كنيد:
⦁ $ sudo nano /etc/apache2/sites-available/site1.your_domain.conf
⦁

محتواي زير را اضافه كنيد. اطمينان حاصل كنيد كه مسير ديركتوري وب سايت ، نام سرور مجازي و نسخه PHP با تنظيمات شما مطابقت دارد:
/etc/apache2/sites-available/site1.your_domain.conf

ServerAdmin admin@site1.your_domain
ServerName site1.your_domain
DocumentRoot /var/www/site1.your_domain
DirectoryIndex info.php

Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all

# For Apache version 2.4.10 and above, use SetHandler to run PHP as a fastCGI process server
SetHandler “غير مجاز مي باشد:unix:/run/php/php7.0-fpm.sock|fcgi://localhost”

ErrorLog ${APACHE_LOG_DIR}/site1.your_domain_error.log
CustomLog ${APACHE_LOG_DIR}/site1.your_domain_access.log combined

در اين فايل ، DocumentRoot را به دايركتوري جديد و ServerAdmin را به ايميلي كه ادمين سايت your_domain مي تواند به آن دسترسي داشته باشد ، به روز كرده ايد. همچنين ServerName را به روز كرده ايد ، كه دامنه پايه را براي اين پيكربندي ميزبان مجازي ايجاد مي كند ، و يك دستورالعمل SetHandler براي اجراي PHP به عنوان سرور مجازي فرآيند fastCGI اضافه كرده ايد.
فايل را ذخيره كنيد و ببنديد.
در مرحله بعدي ، يك فايل پيكربندي ميزبان مجازي جديد براي وب سايت site2.your_domain ايجاد كنيد. براي استقرار php7.2 اين زير دامنه را مشخص مي كنيد:
⦁ $ sudo nano /etc/apache2/sites-available/site2.your_domain.conf
⦁
محتواي زير را اضافه كنيد. دوباره مطمئن شويد كه مسير ديركتوري وب سايت ، نام سرور مجازي و نسخه PHP با اطلاعات منحصر به فرد شما مطابقت دارد:
/etc/apache2/sites-available/site2.your_domain.conf

ServerAdmin admin@site2.your_domain
ServerName site2.your_domain
DocumentRoot /var/www/site2.your_domain
DirectoryIndex info.php

Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all

# For Apache version 2.4.10 and above, use SetHandler to run PHP as a fastCGI process server
SetHandler “غير مجاز مي باشد:unix:/run/php/php7.2-fpm.sock|fcgi://localhost”

ErrorLog ${APACHE_LOG_DIR}/site2.your_domain_error.log
CustomLog ${APACHE_LOG_DIR}/site2.your_domain_access.log combined

پس از اتمام فايل را ذخيره و ببنديد. سپس فايل پيكربندي Apache را براي هرگونه خطاي نحوي بررسي كنيد:
⦁ $ sudo apachectl configtest
⦁

خروجي زير را مشاهده خواهيد كرد:
Output
Syntax OK
سپس ، هر دو فايل پيكربندي ميزبان مجازي را فعال كنيد:
⦁ $ sudo a2ensite site1.your_domain
⦁
⦁ $ sudo a2ensite site2.your_domain

اكنون سايت پيش فرض را غيرفعال كنيد ، زيرا به آن نياز نخواهيد داشت:
⦁ $ sudo a2dissite 000-default.conf
⦁
در آخر ، سرويس Apache را مجدداً اجرا كنيد تا تغييرات خود را به اجرا درآوريد:
⦁ $ sudo systemctl restart apache2
⦁

اكنون كه Apache را براي سرويس دهي به هر سايت پيكربندي كرده ايد ، آنها را آزمايش مي كنيد تا مطمئن شويد كه نسخه هاي مناسب PHP در حال اجرا هستند.
مرحله 4 – آزمايش هر دو وب سايت
در اين مرحله ، شما براي اجراي دو نسخه مختلف از PHP ، دو وب سايت پيكربندي كرده ايد. حالا نتايج را آزمايش كنيد.
مرورگر وب خود را باز كنيد و از هر دو سايت http: //site1.your_domain و http: //site2.your_domain بازديد كنيد. دو صفحه را مشاهده خواهيد كرد كه به شكل زير است:

عناوين را يادداشت كنيد. صفحه اول نشان مي دهد كه site1.your_domain نسخه 7.0 PHP را مستقر كرده است. دومي نشان مي دهد كه site2.your_domain نسخه 7.2 PHP را مستقر كرده است.
اكنون كه سايت هاي خود را آزمايش كرده ايد ، فايل هاي info.php را حذف كنيد. از آنجا كه حاوي اطلاعات حساس در مورد سرور مجازي شما هستند و براي كاربران غيرمجاز قابل دسترس ميباشند ، يك تهديد امنيتي به حساب خواهند آمد. براي حذف هر دو فايل ، دستورات زير را اجرا كنيد:
⦁ $ sudo rm -rf /var/www/site1.your_domain/info.php
⦁
⦁ $ sudo rm -rf /var/www/site2.your_domain/info.php

اكنون يك سرور مجازي Debian 10 منزوي داريد كه داراي دو وب سايت با دو نسخه مختلف PHP است. با اين حال PHP-FPM به اين يك برنامه محدود نمي شود.
نتيجه
اكنون ميزبان هاي مجازي و PHP-FPM را براي ارائه خدمات به چندين وب سايت و نسخه هاي مختلف PHP در يك سرور مجازي واحد تركيب كرده ايد. تنها محدوديت عملي روي تعداد سايت هاي PHP و نسخه هاي PHP كه سرويس Apache شما قادر به كنترل آن است قدرت پردازش نمونه شماست.
از اينجا ممكن است به بررسي ويژگيهاي پيشرفته تر PHP-FPM بپردازيد ، مانند فرآيند spawning تطبيقي آن يا اينكه چگونه مي تواند sdtout و stderr را وارد كند. از طرف ديگر ، اكنون مي توانيد وب سايت هاي خود را ايمن كنيد. براي انجام اين كار ، مي توانيد آموزش ما در مورد چگونگي تأمين امنيت سايتهاي خود با مجوزهاي رايگان TLS / SSL را از Let’s Encrypt دنبال كنيد.

Node.js يك محيط زمان اجراي جاواسكريپت منبع باز است كه مي توانيد برنامه هاي شبكه و سرور مجازي را به راحتي بسازيد. اين پلتفرم روي لينوكس ، OS X ، FreeBSD و ويندوز اجرا مي شود و برنامه هاي آن به زبان JavaScript نوشته شده اند. برنامه هاي Node.js را مي توان در خط فرمان اجرا كرد اما ما به شما ياد مي دهيم كه چگونه آنها را به عنوان يك سرويس اجرا كنيد ، بنابراين به صورت خودكار در هنگام ريبوت يا خرابي مجدداً راه اندازي مي شوند ، و مي توانيد از آنها در يك محيط توليد استفاده كنيد.
در اين آموزش ، تنظيم محيط Node.js آماده توليد را كه از دو سرور مجازي CentOS 7 تشكيل شده است ، پوشش خواهيم داد. يك سرور مجازي برنامه هاي Node.js را مديريت مي كند كه توسط PM2 اداره مي شود ، و ديگري دسترسي به برنامه را از طريق يك پروكسي معكوس Nginx به سرور مجازي برنامه فراهم مي كند.
نسخه اوبونتو اين آموزش را مي توان در اين لينك پيدا كرد.
پيش نيازها
اين راهنما از دو سرور مجازي CentOS 7 با شبكه خصوصي (در يك مركز داده) استفاده مي كند. شبكه هاي خصوصي را مي توان در هنگام ايجاد (در بخش Select additional options) روي سرور مجازي هاي جديد پيكربندي كرد. با نامهاي زير را به آنها ميدهيم:
app: سرور مجازي ي كه در آن Node.js ، برنامه Node.js و PM2 را نصب خواهيم كرد .
web: سرور مجازيي كه در آن سرور مجازي وب Nginx را نصب خواهيم كرد ، كه به عنوان يك پروكسي معكوس براي برنامه شما عمل مي كند. كاربران براي دريافت برنامه Node.js شما به آدرس IP عمومي اين سرور مجازي دسترسي پيدا مي كنند.
توجه: -گر قصد داريد از يك سرور مجازي موجود كه در حال حاضر شبكه هاي خصوصي پيكربندي شده ندارد ، استفاده كنيد، به مستندات vpsgol تحت عنوان نحوه فعال سازي شبكه خصوي روي دراپلت مراجعه كنيد .
قبل از شروع اين راهنما ، بايد يك كاربر معمولي غير ريشه داشته باشيد كه داراي امتيازات sudo و روي هر دو سرور مجازي شما تنظيم شده باشد – اين همان كاربري است كه بايد با آن به سرور مجازي خود وارد شويد. با پيروي از راهنماي تنظيم اوليه سرور مجازي CentOS 7 مي توانيد نحوه پيكربندي يك حساب كاربري معمولي را ياد بگيريد.
دستورات اجرا شده بر روي سرور مجازي app:
⦁ $ an_example_command_on_app
⦁
دستورات اجرا شده بر روي سرور مجازي web:
⦁ $ an_example_command_on_web
⦁
استفاده از يك سرور مجازي واحد براي اين آموزش امكان پذير است ، اما بايد در طول مسير چند تغيير ايجاد كنيد. هر جايي كه از آدرس IP خصوصي سرور مجازي app استفاده ميشود، به سادگي از آدرس IP localhost ، يعني 127.0.0.1 استفاده كنيد.
در اينجا نموداري از تنظيمات شما پس از دنبال كردن اين آموزش آورده شده است:

اگر مي خواهيد به جاي آدرس IP عمومي آن ، از طريق نام دامنه به سرور مجازي وب خود دسترسي پيدا كنيد ، يك نام دامنه خريداري كنيد و سپس اين آموزش ها را دنبال كنيد:
• نحوه تنظيم نام ميزبان با vpsgol
• چگونه از ثبت كنندگان دامنه به نام سرور مجازي vpsgol اشاره كنيم
بياييد با نصب ران تايم Node.js در سرور مجازي app شروع كنيم.
مرحله 1 – نصب Node.js
آخرين نسخه LTS Node.js را بر روي سرور مجازي app نصب خواهيم كرد.
با استفاده از كاربر معمولي و غير ريشه با امتيازات sudo به سرور مجازي app خود SSH كنيد.
در سرور مجازي app ، اجازه دهيد براي دانلود فايل پيكربندي مخزن NodeSource RPM از Curl استفاده كنيم:
⦁ $ curl -L -o nodesource_setup.sh https://rpm.nodesource.com/setup_10.x
⦁
CURL از پروتكل HTTPS براي دانلود اسكريپت ستاپ بر روي سرور مجازي شما استفاده مي كند ، و خروجي شامل اطلاعات مربوط به دانلود ميباشد:
Output
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 11109 100 11109 0 0 70128 0 –:–:– –:–:– –:–:– 70757

در مرحله بعد ، بايد محتواي اسكريپت را بازرسي كنيد. دستور زير اسكريپت راه اندازي NodeSource را در كنسول سرور مجازي هاي شما باز مي كند ، كه مي توانيد با استفاده از اسكريپت راه اندازي NodeSource (از مخزن Github توزيع هاي NodeSource) براي تأييد صحت اسكريپتي كه به درستي دانلود كرده است ، cross-reference انجام دهيد:
⦁ $ vi nodesource_setup.sh
⦁
پس از رضايت از فايل ، با تايپ كردن: q از vi خارج شويد تا به خط فرمان بازگرديد.
اكنون بياييد اسكريپت تنظيم را اجرا كنيم تا مخزن NodeSource RPM را نصب كنيم. اين كار ما را قادر مي سازد از داخل مدير بسته yum به مخزن NodeSource دسترسي پيدا كنيم:
⦁ $ sudo -E bash nodesource_setup.sh
⦁
اسكريپت براي مرجع ما اطلاعات مربوط به ستاپ را صادر مي كند:
Output
## Installing the NodeSource Node.js 10.x repo…

## Inspecting system…

+ rpm -q –whatprovides redhat-release || rpm -q –whatprovides centos-release || rpm -q –whatprovides cloudlinux-release || rpm -q –whatprovides sl-release
+ uname -m

## Confirming “el7-x86_64” is supported…

+ curl -sLf -o /dev/null ‘https://rpm.nodesource.com/pub_10.x/el/7/x86_64/nodesource-release-el7-1.noarch.rpm’

## Downloading release setup RPM…

+ mktemp
+ curl -sL -o ‘/tmp/tmp.2aCcULVx8n’ ‘https://rpm.nodesource.com/pub_10.x/el/7/x86_64/nodesource-release-el7-1.noarch.rpm’

## Installing release setup RPM…

+ rpm -i –nosignature –force ‘/tmp/tmp.2aCcULVx8n’

## Cleaning up…

+ rm -f ‘/tmp/tmp.2aCcULVx8n’

## Checking for existing installations…

+ rpm -qa ‘node|npm’ | grep -v nodesource

## Run `sudo yum install -y nodejs` to install Node.js 10.x and npm.
## You may also need development tools to build native addons:
sudo yum install gcc-c++ make
## To install the Yarn package manager, run:
curl -sL https://dl.yarnpkg.com/rpm/yarn.repo | sudo tee /etc/yum.repos.d/yarn.repo
sudo yum install yarn

قبل از نصب Node.js مهم است كه تمام اطلاعات ذخيره شده از yum را پاك كنيد. پاك كردن حافظه نهان اطمينان حاصل خواهد كرد كه yum از اتصال شبكه براي دريافت Node.js از مخازن جديد NodeSource ما استفاده مي كند (كه از بروز هرگونه درگيري احتمالي ناشي از بسته هاي منسوخ شده جلوگيري مي كند):
⦁ $ sudo yum clean all
⦁
در مرحله بعد همه ابرداده ها را براي repo هاي yum فعال شده دانلود و استفاده خواهيم كرد. اين كار اطمينان حاصل مي كند كه جستارهاي yum ما در اسرع وقت تكميل ميشوند:
⦁ $ sudo yum makecache fast
⦁
براي كامپايل و نصب add-ons بومي از npm نيز بايد ابزارهاي ساخت را نصب كنيم:
⦁ $ sudo yum install -y gcc-c++ make
⦁
اكنون مي توانيم آخرين نسخه بسته Node.js را نصب كنيم:
⦁ $ sudo yum install -y nodejs
⦁
با بررسي نسخه خود با اين دستور ، تأييد كنيد كه Node نصب شده است:
⦁ $ node -v
⦁

خروجي شما شماره نسخه شما را نشان مي دهد:
اكنون ران تايم Node.js نصب شده است و آماده اجراي يك برنامه است. بياييد يك برنامه Node.js بنويسيم.
مرحله 2 – ايجاد برنامه Node.js
اكنون يك برنامه Hello World ايجاد خواهيم كرد كه به سادگي “Hello World” را به هر درخواست HTTP باز مي گرداند. اين يك برنامه نمونه است كه به شما در راه اندازي Node.js كمك مي كند ، كه مي توانيد برنامه خود را جايگزين آن كنيد فقط مطمئن شويد كه برنامه خود ر به گونه اي اصلاح كرده ايد كه به آدرس هاي IP و پورت هاي مناسب گوش دهيد.
از آنجا كه مي خواهيم برنامه Node.js ما درخواستهايي را كه از سرور مجازي پروكسي معكوس (web) مي آيند ، ارائه كند ، ما از رابط شبكه خصوصي سرور مجازي app خود براي ارتباطات بين سرور مجازي استفاده خواهيم كرد. آدرس شبكه خصوصي سرور مجازي app خود را جستجو كنيد.
اگر از يك دراپلت vpsgol به عنوان سرور مجازي خود استفاده مي كنيد ، مي توانيد آدرس IP خصوصي سرور مجازي را از طريق سرويس Metadata جستجو كنيد. در سرور مجازي app ، از دستور curl براي بازيابي آدرس IP استفاده كنيد:
⦁ $ curl -sw “n” http://169.254.169.254/metadata/v1/interfaces/private/0/ipv4/address
⦁
بهتر است خروجي (آدرس IP خصوصي) را كپي كنيد ، زيرا براي پيكربندي برنامه Node.js استفاده خواهد شد.
در مرحله بعد ، برنامه Node.js خود را براي ويرايش ايجاد و باز كنيد. براي اين آموزش از vi براي ويرايش يك برنامه نمونه به نام hello.js استفاده خواهيم كرد:
⦁ $ vi hello.js
⦁
كد زير را در فايل وارد كنيد و حتما آدرس IP خصوصي سرور مجازي app را براي هر دو مورد هايلايت شده APP_PRIVATE_IP_ADDRESS جايگزين كنيد. در صورت تمايل ، مي توانيد در هر دو مكان ، پورت هايلايت شده ، 8080 را جايگزين كنيد (حتما از پورت غير ادمين ، يعني 1024 يا بالاتر استفاده كنيد):
hello.js
var http = require(‘http’);
http.createServer(function (req, res) {
res.writeHead(200, {‘Content-Type’: ‘text/plain’});
res.end(‘Hello Worldn’);
}).listen(8080, ‘APP_PRIVATE_IP_ADDRESS’);
console.log(‘Server running at http://APP_PRIVATE_IP_ADDRESS:8080/’);

اكنون با فشار دادن ESC براي خروج از حالت –INSERT—فايل را ذخيره كنيد و از آن خارج شويد ، و پس از آن: wq را براي نوشتن و ترك برنامه در يك فرمان واحد وارد كنيد.
اين برنامه Node.js به سادگي آدرس و پورت IP مشخص شده را دنبال مي دهد و “Hello World” را با يك كد موفقيت 200 HTTP برمي گرداند. بدان معنا كه برنامه فقط از سرور مجازي هاي همان شبكه خصوصي مانند سرور مجازي وب ما قابل دسترسي است.
اگر مي خواهيد تست كنيد كه برنامه شما كار مي كند ، اين دستور node را روي سرور مجازي app اجرا كنيد:
⦁ $ node hello.js
⦁
توجه: اجراي يك برنامه Node.js به اين روش ، دستورات اضافي را مسدود مي كند تا اينكه با فشار دادن CTRL + C ، برنامه بسته شود.

اگر براي اولين بارآزمايش كنيم كه سرور مجازي web ما قادر به برقراري ارتباط با برنامه Node.js در app است ، مقدار زيادي از اشكال زدايي Nginx ذخيره مي شود.
براي تست برنامه ، بخش ترمينال ديگري را باز كرده و به سرور مجازي web خود متصل شويد. از آنجا كه سرور مجازي web در همان شبكه خصوصي قرار دارد ، بايد بتواند با استفاده از curl به آدرس IP خصوصي سرور مجازي app برسد. حتماً در آدرس IP سرور مجازي app ، APP_PRIVATE_IP_ADDRESS و پورت را در صورت تغيير جايگزين كنيد:
⦁ $ curl http://APP_PRIVATE_IP_ADDRESS:8080
⦁
اگر خروجي زير را مشاهده كنيد ، برنامه به درستي كار مي كند و آدرس و پورت IP مناسب را گوش مي دهد:
Node Application Output
Hello World

اگر خروجي مناسب را نمي بينيد ، مطمئن شويد كه برنامه Node.js شما در حال اجرا است و براي گوش دادن به آدرس IP و درگاه مناسب پيكربندي شده است.
در سرور مجازي app ، با فشار دادن CTRL + C ، برنامه را به اجبار ببنديد.
مرحله 3 – نصب و استفاده از PM2
اكنون PM2 را نصب خواهيم كرد كه يك مدير پروسه براي برنامه هاي Node.js است. PM2 روشي آسان براي مديريت و daemon كردن برنامه ها (اجراي آنها به عنوان يك سرويس) فراهم مي كند.
ما براي نصب PM2 روي سرور مجازي app خود از ماژول هاي بسته بندي شده Node (NPM) استفاده خواهيم كرد كه در واقع يك مدير بسته براي ماژول هاي Node است كه با Node.js نصب مي كند. براي نصب PM2 از اين دستور استفاده كنيد:
⦁ $ sudo npm install pm2@latest -g
⦁
ما چند كاربرد اصلي PM2 را پوشش خواهيم داد.
اولين كاري كه بايد انجام دهيد اينست كه از دستور pm2 start براي اجراي برنامه خود ، hello.js ، در پس زمينه استفاده كنيد:
⦁ $ pm2 start hello.js
⦁

اين كار همچنين برنامه شما را به ليست فرآيند PM2 اضافه مي كند ، كه با هر بار شروع برنامه، خروجي به بيرون ميفرستد:
Output
┌──────────┬────┬──────┬───────┬────────┬─────────┬────────┬─────────────┬──────────┐
│ App name │ id │ mode │ pid │ status │ restart │ uptime │ memory │ watching │
├──────────┼────┼──────┼───────┼────────┼─────────┼────────┼─────────────┼──────────┤
│ hello │ 0 │ fork │ 30099 │ online │ 0 │ 0s │ 14.227 MB │ disabled │
└──────────┴────┴──────┴───────┴────────┴─────────┴────────┴─────────────┴──────────┘

همانطور كه مشاهده مي كنيد ، PM2 بطور خودكار نام برنامه (بر اساس نام فايل ، بدون پسوند .js) و شناسه PM2 را اختصاص مي دهد. PM2 همچنين اطلاعات ديگري مانند PID روند ، وضعيت فعلي آن و استفاده از حافظه را نگه ميدارد.
برنامه هايي كه تحت PM2 در حال اجرا هستند در صورت خراب شدن برنامه يا بسته شدن برنامه به صورت خودكار مجدداً راه اندازي مي شوند ، اما براي شروع برنامه (بوت يا ريبوت)، بايد يك گام ديگر انجام شود. خوشبختانه ، PM2 با فرمان startup  راهي آسان براي انجام اين كار فراهم مي كند.
فرمان فرعي startup  براي راه اندازي PM2 و فرآيندهاي مديريت شده آن روي بوت هاي سرور مجازي ، يك اسكريپت راه اندازي ايجاد و پيكربندي مي كند. در مورد مثال ما ، بايد سيستم اوليه در حال اجرا كه systemd است را مشخص كنيد:
⦁ $ sudo pm2 startup systemd
⦁

خروجي مانند زير را مشاهده خواهيد كرد ، كه نشان مي دهد سرويس PM2 نصب شده است:
Output
[PM2] Generating system init script in /etc/systemd/system/pm2.service
[PM2] Making script booting at startup…
[PM2] -systemd- Using the command:
su root -c “pm2 dump && pm2 kill” && su root -c “systemctl daemon-reload && systemctl enable pm2 && systemctl start pm2”
[PM2] Dumping processes
[PM2] Stopping PM2…
[PM2] All processes have been stopped and deleted
[PM2] PM2 stopped
[PM2] Done.

براي اطمينان از اينكه PM2 مي داند از چه برنامه هايي براي شروع كار استفاده مي كند ، بايد ليست روند فعلي را ذخيره كنيم. براي ذخيره ليست:
⦁ $ pm2 save
⦁
خروجي مانند زير را مشاهده خواهيد كرد ، كه نشان مي دهد ليست فرآيند PM2 ذخيره شده است:
Output
[PM2] Saving current process list…
[PM2] Successfully saved in /home/deployer/.pm2/dump.pm2

اكنون برنامه هاي مديريت شده PM2 شما بايد بطور خودكار در بوت شروع شوند.
PM2 فرمان هاي فرعي زيادي را در اختيار شما قرار مي دهد تا بتوانيد اطلاعات مربوط به برنامه هاي خود را مديريت و جستجو كنيد. توجه داشته باشيد كه اجراي PM2 بدون هيچگونه آرگوماني ، صفحه راهنمايي شامل استفاده مثال را نمايش مي دهد كه استفاده از PM2 را با جزئيات بيشتر از اين بخش از آموزش پوشش مي دهد.
يك برنامه را با اين دستور متوقف كنيد (نام برنامه يا شناسه PM2 برنامه را مشخص كنيد):
⦁ $ pm2 stop example
⦁
برنامه را با اين دستور مجدداً راه اندازي كنيد (نام برنامه يا شناسه PM2 برنامه را مشخص كنيد):
⦁ $ pm2 restart example
⦁
ليست برنامه هايي كه در حال حاضر توسط PM2 مديريت مي شوند را مي توان با فرمان فرعي list جستجو كرد:
⦁ $ pm2 list
⦁

با استفاده از فرمان فرعي info مي توانيد اطلاعات بيشتري در مورد يك برنامه خاص را پيدا كنيد (نام يا شناسه برنامه PM2 را مشخص كنيد):
⦁ $ pm2 info example
⦁
مانيتور فرآيند PM2 را مي توان با فرمان فرعي monit انجام داد. اين كار وضعيت برنامه ، CPU و استفاده از حافظه را نشان مي دهد:
⦁ $ pm2 monit
⦁

توجه: اجراي دستور monit PM2 دستورات اضافي را مسدود مي كند تا برنامه با فشار دادن CTRL + C بسته شود.
اكنون كه برنامه Node.js شما در حال اجرا و توسط PM مديريت مي شود، بياييد پروكسي معكوس را تنظيم كنيم.
مرحله 4 – تنظيم سرور مجازي پروكسي معكوس Nginx
اكنون كه برنامه شما در حال اجراست و يك آدرس IP خصوصي را شنود ميكنيد، بايد راهي براي دسترسي كاربران خود تنظيم كنيد. ما يك سرور مجازي وب Nginx را به عنوان يك پروكسي معكوس براي اين منظور تنظيم مي كنيم. اين آموزش يك سرور مجازي Nginx را از scratchتنظيم مي كند. اگر قبلاً تنظيمات سرور مجازي Nginx را انجام داده ايد ، مي توانيد فقط بلوك location را در بلوك سرور مجازي مورد نظر خود كپي كنيد (اطمينان حاصل كنيد كه location با هيچ بخشي از محتواي موجود سرور مجازي وب شما مغايرت نداشته باشد).
در سرور مجازي web ، بياييد بسته epel-releaseرا با استفاده از yum نصب كنيم:
⦁ $ sudo yum install epel-release
⦁
سپس Nginx را نصب كنيد:
⦁ $ sudo yum install nginx
⦁

اكنون فايل پيكربندي Nginx را براي ويرايش باز كنيد:
⦁ $ sudo vi /etc/nginx/nginx.conf
⦁

ابتدا خطي را كه server_name تعريف شده است ، در بلوك پيش فرض سرور مجازي پيدا كنيد. بايد چيزي شبيه به اين باشد:
nginx.conf excerpt — server_name (before)
server_name _;

نام سرور مجازي را به روز كنيد تا زيرنويس (_) را با نام دامنه خود براي دستور server_name جايگزين كنيد (يا اگر آدرس دامنه نداريد آدرس IP را جايگزين كنيد).
nginx.conf excerpt — server_name (after)
server_name your-domain;

سپس خطي را كه location/ تعريف شده است (معمولاً چند خط زير server_name) ، در همان بلوك پيش فرض سرور مجازي پيدا كنيد. بايد چيزي شبيه به اين باشد:
nginx.conf excerpt — location / (before)
location / {
}

آن را با بلوك كد زير جايگزين كنيد و مطمئن شويد آدرس IP خصوصي سرور مجازي app را جايگزين APP_PRIVATE_IP_ADDRESS كنيد. علاوه بر اين ، در صورت تنظيم برنامه براي گوش دادن به پورت هاي مختلف، پورت (8080) را تغيير دهيد:
/etc/nginx/nginx.conf excerpt — location / (after)
location / {
غير مجاز مي باشد_pass http://APP_PRIVATE_IP_ADDRESS:8080;
غير مجاز مي باشد_http_version 1.1;
غير مجاز مي باشد_set_header Upgrade $http_upgrade;
غير مجاز مي باشد_set_header Connection ‘upgrade’;
غير مجاز مي باشد_set_header Host $host;
غير مجاز مي باشد_cache_bypass $http_upgrade;
}

اين كار سرور مجازي web را پيكربندي مي كند تا به عنوان ريشه به درخواست ها پاسخ دهد. با فرض اينكه سرور مجازي ما در your-domain موجود است ، دسترسي به http://your-domain/ از طريق يك مرورگر وب ، درخواست را به آدرس IP خصوصي سرور مجازي app در پورت 8080 ارسال مي كند ، كه توسط Node.js دريافت و به آن پاسخ داده ميشود.
براي دسترسي به ساير برنامه ها در همان سرور مجازي web ، مي توانيد بلوك هاي location بيشتري را به همان سرور مجازي اضافه كنيد. به عنوان مثال ، اگر برنامه node.js ديگري را در سرور مجازي app در پورت 8081 اجرا كرده ايد ، مي توانيد اين بلوك location را اضافه كنيد تا از طريق http: // your-domain / app2 به آن دسترسي داشته باشيد:
Nginx Configuration — Additional Locations
location /app2 {
غير مجاز مي باشد_pass http://APP_PRIVATE_IP_ADDRESS:8081;
غير مجاز مي باشد_http_version 1.1;
غير مجاز مي باشد_set_header Upgrade $http_upgrade;
غير مجاز مي باشد_set_header Connection ‘upgrade’;
غير مجاز مي باشد_set_header Host $host;
غير مجاز مي باشد_cache_bypass $http_upgrade;
}

پس از انجام ويرايش بلوك (هاي) مكان براي برنامه (هاي) خود ، آن را ذخيره كنيد با فشار دادن ESC از حالت –INSERT– ، خارج شويد ، به دنبال آن: wq را براي نوشتن و ترك كردن در يك فرمان واحد تايپ كنيد.
در سرور مجازي وب ، Nginx را مجدداً راه اندازي كنيد:
$ sudo systemctl start nginx
⦁
سپس مي خواهيم اطمينان حاصل كنيم كه Nginx هر زمان كه سرور مجازي ريستارت شود ، اجرا خواهد شد:
⦁ $ sudo systemctl enable nginx
⦁

دستور enable بايد خروجي زير را ارائه دهد
Output
Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service.

همچنين با درخواست وضعيت آن از systemctl مي توانيد تأييد كنيد كه Nginx در حال اجرا و فعال است.
⦁ $ sudo systemctl status nginx
⦁
دستور وضعيت اطلاعات پيكربندي را براي سرويس Nginx ارائه مي دهد
Output
● nginx.service – The nginx HTTP and reverse غير مجاز مي باشد server
Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: active (running) since Mon 2019-10-14 09:37:23 UTC; 3min 29s ago
Main PID: 12818 (nginx)
CGroup: /system.slice/nginx.service
├─12818 nginx: master process /usr/sbin/nginx
└─12819 nginx: worker process

Oct 14 09:37:23 centos-s-1vcpu-1gb-sgp1-01 systemd[1]: Starting The nginx HTTP and reverse غير مجاز مي باشد server…
Oct 14 09:37:23 centos-s-1vcpu-1gb-sgp1-01 nginx[12814]: nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
Oct 14 09:37:23 centos-s-1vcpu-1gb-sgp1-01 nginx[12814]: nginx: configuration file /etc/nginx/nginx.conf test is successful
Oct 14 09:37:23 centos-s-1vcpu-1gb-sgp1-01 systemd[1]: Failed to read PID from file /run/nginx.pid: Invalid argument
Oct 14 09:37:23 centos-s-1vcpu-1gb-sgp1-01 systemd[1]: Started The nginx HTTP and reverse غير مجاز مي باشد server.

سرانجام ، امكان انتقال مجدد ترافيك از طريق لينوكس با امنيت بالا (SELinux) را به Nginx ارائه ميدهد. SELinux يك لايه امنيتي را فراهم مي كند كه كنترل دسترسي اجباري (MAC) را در هسته لينوكس پياده سازي مي كند. هر شيء سيستم عامل (پردازش ، توصيف كننده فايل ، فايل و غيره) با يك مفهوم SELinux برچسب گذاري شده است كه مجوزها و عملكردهايي را كه شي مي تواند انجام دهد ، مشخص مي كند.
Nginx با متن httpd_t برچسب گذاري شده است و در نتيجه ، پيكربندي هايي دارد توسط SELinux مسدود شده است ، مگر اينكه صريحاً مجاز باشد. براي نشان دادن اين مسئله، دستور زير را اجرا كنيد تا تأييد كنيد كه سرويس Nginx داراي برچسب httpd_t است:
⦁ $ ps -eZ
⦁
اين دستور اطلاعات مربوط به وضعيت فرآيند را ارائه مي دهد ، اطلاعات مربوط به فرآيند خاص Nginx را براي ديدن برچسب جستجو ميكند. شما httpd_t را به روشي مشابه زير مشاهده خواهيد كرد:
Output
…
system_u:system_r:httpd_t:s0 10208 ? 00:00:00 nginx
system_u:system_r:httpd_t:s0 10209 ? 00:00:00 nginx
…

اكنون بياييد وضعيت بولي هاي پيش فرض (متغير دو بايتي) مربوط به برچسب httpd_t SELinux را بررسي كنيم. مي توانيم با اجراي دستور زير اين اطلاعات را نشان دهيم:
⦁ $ $ getsebool -a
⦁

براي اين آموزش فقط به بولي هاي مربوط به httpd علاقه مند هستيم:
Output
…
httpd_anon_write –> off
httpd_builtin_scripting –> on
httpd_can_check_spam –> off
httpd_can_connect_ftp –> off
httpd_can_connect_ldap –> off
httpd_can_connect_mythtv –> off
httpd_can_connect_zabbix –> off
httpd_can_network_connect –> off
httpd_can_network_connect_cobbler –> off
httpd_can_network_connect_db –> off
httpd_can_network_memcache –> off
httpd_can_network_relay –> off
httpd_can_sendmail –> off
httpd_dbus_avahi –> off
httpd_dbus_sssd –> off
httpd_dontaudit_search_dirs –> off
httpd_enable_cgi –> on
httpd_enable_ftp_server –> off
httpd_enable_homedirs –> off
httpd_execmem –> off
httpd_graceful_shutdown –> on
httpd_manage_ipa –> off
httpd_mod_auth_ntlm_winbind –> off
httpd_mod_auth_pam –> off
httpd_read_user_content –> off
httpd_run_ipa –> off
httpd_run_preupgrade –> off
httpd_run_stickshift –> off
httpd_serve_cobbler_files –> off
httpd_setrlimit –> off
httpd_ssi_exec –> off
httpd_sys_script_anon_write –> off
httpd_tmp_exec –> off
httpd_tty_comm –> off
httpd_unified –> off
httpd_use_cifs –> off
httpd_use_fusefs –> off
httpd_use_gpg –> off
httpd_use_nfs –> off
httpd_use_openstack –> off
httpd_use_sasl –> off
httpd_verify_dns –> off
…

اين دو بولي خاص ، httpd_can_network_connect و httpd_can_network_relay هستند. مستندات Redhat جزئيات مربوط به هر يك از بولي هاي httpd و عملكرد مرتبط با آنها را ارائه مي دهد (در صورتي كه تمايل به كسب اطلاعات بيشتر در مورد هر بولي داريد) ، اگرچه در زير توضيحات دو بولي كه مربوط به اين آموزش است آورده شده است:
…
httpd_can_network_connect: When disabled, this Boolean prevents HTTP scripts and modules from initiating a connection to a network or remote port. Enable this Boolean to allow this access.
httpd_can_network_relay: Enable this Boolean when httpd is being used as a forward or reverse غير مجاز مي باشد.
…

از آنجا كه پيكربندي ما فقط ترافيك را رله مي كند ، فقط بايد به SELinux بگوييم كه سرور مجازي httpd ، در مورد ما Nginx ، مي تواند از شبكه براي رله ترافيك در پيكربندي پروكسي معكوسي كه تنظيم كرده ايم استفاده كند. ما از پرچم -P استفاده خواهيم كرد ، تا اطمينان حاصل شود كه تغييرات دائمي هستند (حذف اين پرچم منجر به بازگشت httpd_can_network_relay به حالت پيش فرض آن ، يعني خاموش ، با راه اندازي مجدد سرور مجازي خواهد شد):
⦁ $ sudo setsebool -P httpd_can_network_relay on
⦁

با فرض اينكه برنامه Node.js شما در حال اجرا است ، و برنامه شما و تنظيمات Nginx صحيح هستند ، بايد بتوانيد از طريق پروكسي معكوس سرور مجازي web به برنامه خود دسترسي پيدا كنيد. با دسترسي به URL سرور مجازي web خود (آدرس IP عمومي يا نام دامنه) آن را امتحان كنيد.
توجه: اگر همچنين قصد داشتيد از سرور مجازي web خود براي ميزباني سايتهاي ديگر (به عنوان ميزبان مجازي معمولي) استفاده كنيد ، لازم است كه httpd_can_network_connect را روشن كنيد.

نتيجه
اكنون برنامه Node.js شما در پس يك پروكسي معكوس Nginx در حال اجرا است. اين تنظيم پروكسي معكوس به اندازه كافي انعطاف پذير است تا دسترسي كاربران شما به ديگر برنامه ها يا محتواي وب استاتيك را كه مي خواهيد به اشتراك بگذاريد ، فراهم نمايد.
همچنين اگر به دنبال انتقالات رمزگذاري شده بين سرور مجازي وب و كاربران خود هستيد ، در اينجا آموزشي مطرح شده است كه به شما كمك مي كند تا پشتيباني HTTPS (TLS / SSL) را تنظيم كنيد

Let’s Encrypt يك مجوز صدور گواهينامه (CA) است كه روشي آسان براي به دست آوردن و نصب مجوزهاي رايگان TLS / SSL فراهم مي كند ، از اين طريق HTTPS رمزگذاري شده را روي سرورهاي وب فعال مي كند. در واقع با ارائه يك كلاينت نرم افزاري ، Certbot ، كه سعي در خودكارسازي اكثر مراحل لازم ميكند ، فرايند را ساده مي كند. در حال حاضر ، كل مراحل اخذ و نصب گواهينامه هم در Apache و هم در Nginx كاملا به صورت اتوماتيك انجام مي شود.
در اين آموزش از Certbot براي دريافت گواهينامه رايگان SSL براي Apache روي Debian 10 استفاده مي كنيد و گواهي خود را براي تمديد خودكار تنظيم مي كنيد.
در اين آموزش به جاي فايل پيكربندي پيش فرض از يك فايل ميزبان مجازي Apache جداگانه استفاده خواهد شد. توصيه مي كنيم براي هر دامنه فايل هاي جديد ميزبان مجازي Apache ايجاد كنيد زيرا اين امر به جلوگيري از اشتباهات رايج كمك مي كند و فايل هاي پيش فرض را به عنوان پيكربندي برگشت پذير حفظ مي كند.
پيش نيازها
براي دنبال كردن اين آموزش ، به موارد زير نياز داريد:
• يك سرور Debian 10 كه با دنبال كردن راهنماي ستاپ اوليه سرور براي Debian 10 تنظيم شده و شامل يك كاربر غير root با امتيازات sudo و فايروال باشد.
• نام دامنه كاملاً ثبت شده. در اين آموزش ، از your_domain به عنوان نمونه استفاده مي شود. مي توانيد نام دامنه را در Namecheap خريداري كنيد ، يكي از آنها را به صورت رايگان در Freenom دريافت كنيد ، يا از ثبت دامنه مورد نظر خود استفاده كنيد.
• هر دو فايل DNS زير كه براي سرور شما تنظيم شده اند. براي انجام اين كار ، مي توانيد دستورالعمل هاي اضافه كردن دامنه ها و سپس دستورالعمل هاي ايجاد ركوردهاي DNS را دنبال كنيد.
o يك ركورد A با your_domain كه به آدرس IP عمومي سرور شما اشاره كند.
o يك ركورد A با www.your_domain كه به آدرس IP عمومي سرور شما اشاره كند.
• Apache كه با دنبال كردن نحوه نصب Apache در Debian 10 نصب شده باشد. مطمئن شويد كه يك فايل ميزبان مجازي براي دامنه خود تنظيم كرده ايد. در اين آموزش از /etc/apache2/sites-available/your_domain.conf به عنوان نمونه استفاده مي شود.
مرحله 1 – نصب Certbot
اولين قدم براي استفاده از Let’s Encrypt جهت دريافت گواهينامه SSL ، نصب نرم افزار Certbot در سرور شماست.
در حال حاضر ، Certbot به طور پيش فرض از مخازن نرم افزار Debian در دسترس نيست. براي دانلود نرم افزار با استفاده از apt ، بايد مخازن backport را به فايل Source.list خود اضافه كنيد كه apt به دنبال منابع بسته ميباشد. backport ها بسته هايي از تست دبيان و توزيع هاي ناپايدار هستند كه دوباره كامپايل مي شوند بنابراين بدون كتابخانه هاي جديد در توزيع هاي دبيان پايدار اجرا مي شوند.
براي اضافه كردن مخزن backports ، فايل sources.list را در ديركتوري / etc / apt / خود باز كنيد (يا ايجاد كنيد):
$ sudo nano /etc/apt/sources.list

در انتهاي فايل خط زير را اضافه كنيد:
/etc/apt/sources.list.d/sources.list
. . .
deb http://mirrors.vpsgol.com/debian buster-backports main
deb-src http://mirrors.vpsgol.com/debian buster-backports main
deb http://ftp.debian.org/debian buster-backports main

شامل بسته هاي اصلي مي باشد كه سازگار با دستورالعمل هاي نرم افزار رايگان Debian (DFSG) و همچنين مولفه هاي non-free و contrib هستند كه خود يا مطابق DFSG نيستند و يا متعلقاتي در اين دسته دارند.
فايل را با فشار دادن CTRL + X ، Y ، سپس enter ، ذخيره كرده و ببنديد ، سپس ليست بسته هاي خود را به روز كنيد:
$ sudo apt update

سپس Certbot را با دستور زير نصب كنيد. توجه داشته باشيد كه گزينه -t به apt ميگويد كه با جستجوي مخزن backports كه اخيراً اضافه كرديد به دنبال بسته باشد:
$ sudo apt install python-certbot-apache -t buster-backports

Certbot اكنون آماده استفاده است اما براي اينكه SSL براي Apache پيكربندي شود ، بايد تأييد كنيم كه Apache به درستي پيكربندي شده است.
مرحله 2 – تنظيم گواهي SSL
Certbot بايد بتواند ميزبان مجازي صحيح را در پيكربندي Apache شما پيدا كند تا SSL را به صورت خودكار پيكربندي كند. به طور خاص ، اين كار را با جستجوي يك دستورالعمل ServerName انجام مي دهد كه با دامنه اي مطابق است كه ميخواهيد براي آن مجوز بگيريد.
اگر مرحله آموزش ميزبان مجازي را در آموزش نصب Apache دنبال كرديد ، بايد يك بلوك VirtualHost براي دامنه خود در /etc/apache2/sites-available/your_domain.conf با دستورالعمل ServerName كه قبلاً به طور مناسب تنظيم شده است، داشته باشيد.
براي بررسي ، فايل ميزبان مجازي را براي دامنه خود با استفاده از nano يا ويرايشگر متن مورد علاقه خود باز كنيد:
$ sudo nano /etc/apache2/sites-available/your_domain.conf

خط ServerName موجود را پيدا كنيد. بايد مانند اين به نظر برسد و نام دامنه شما به جاي your_domain قرار بگيرد:
/etc/apache2/sites-available/your_domain.conf
…
ServerName your_domain;
…

اگر قبلاً اين كار را انجام نداده ايد ، دستورالعمل ServerName را به روز كنيد تا به نام دامنه شما اشاره كنيد. سپس فايل را ذخيره كنيد ، از ويرايشگر خود خارج شويد و تركيب ويرايش هاي پيكربندي خود را تأييد كنيد:
$ sudo apache2ctl configtest

اگر خطايي در نحو وجود نداشته باشد ، آن را در خروجي خود مشاهده خواهيد كرد:
Output
Syntax OK

اگر خطايي رخ داد ، فايل ميزبان مجازي را مجدداً باز كنيد و هرگونه اشتباه تايپي يا كاراكتر جا افتاده را بررسي كنيد. پس از اينكه تركيب فايل پيكربندي شما صحيح شد ، Apache را مجدد لود كنيد تا پيكربندي جديد بارگيري شود:
sudo systemctl reload apache2

Certbot اكنون مي تواند بلوك صحيح VirtualHost را پيدا كرده و آن را به روز كند.
در مرحله بعد ، بياييد فايروال را به روز كنيم تا امكان ترافيك HTTPS را بدهيم.
مرحله 3 – اجازه دادن به HTTPS از طريق فايروال
اگر فايروال ufw را فعال كرده باشيد ، همانطور كه توسط راهنماهاي پيش نياز توصيه شده است ، براي تنظيم ترافيك HTTPS ، بايد تنظيماتي را انجام دهيد. خوشبختانه ، وقتي روي Debian نصب شده باشد ، ufw با چند پروفايل بسته بندي مي شود كه به ساده كردن روند تغيير قوانين فايروال براي ترافيك HTTP و HTTPS كمك مي كند.
با تايپ دستور زير مي توانيد تنظيم فعلي را مشاهده كنيد:
$ sudo ufw status

اگر از مرحله 2 راهنماي ما در مورد چگونگي نصب Apache در Debian 10 استفاده كرده باشيد، خروجي دستور اينگونه خواهد بود ، نشان مي دهد كه فقط ترافيك HTTP به سرور وب مجاز است:
Output
Status: active

To Action From
— —— —-
OpenSSH ALLOW Anywhere
WWW ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
WWW (v6) ALLOW Anywhere (v6)

براي اجزاه ترافيك HTTPS بيشتر، به پروفايل “WWW Full” مجوز بدهيد و بخش اضافي “WWW” را حذف كنيد:
$ sudo ufw allow ‘WWW Full’

$ sudo ufw delete allow ‘WWW’

وضعيت شما اكنون بايد به اين شكل باشد:
$ sudo ufw status

Output
Status: active

To Action From
— —— —-
OpenSSH ALLOW Anywhere
WWW Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
WWW Full (v6) ALLOW Anywhere (v6)

سپس ، بياييد Certbot را اجرا كنيم و گواهينامه هايمان را دريافت كنيم.
مرحله 4 – اخذ گواهينامه SSL
Certbot روشهاي مختلفي براي گرفتن گواهينامه هاي SSL از طريق افزونه ها ارائه مي دهد. افزونه Apache از تنظيم مجدد Apache و بارگيري مجدد تنظيمات در صورت لزوم مراقبت خواهد كرد. براي استفاده از اين افزونه ، دستور زير را تايپ كنيد:
$ sudo certbot –apache -d your_domain -d www.your_domain

اين كار Certbot را با افزونه –apache با استفاده از -d براي مشخص كردن نام هايي كه معتبر آن هستند اجرا ميكند.
اگر اين اولين بار است كه Certbot را اجرا ميكنيد ، از شما خواسته مي شود كه آدرس ايميل را وارد كنيد و با شرايط سرويس ها موافقت كنيد. علاوه بر اين ، از شما سؤال خواهد كرد كه آيا مي خواهيد آدرس ايميل خود را با بنياد الكترونيكي Frontier ، يك سازمان غيرانتفاعي كه از حقوق ديجيتال دفاع مي كند و همچنين سازنده Certbot است به اشتراك بگذاريد يا خير. براي اشتراك آدرس ايميل Y و براي رد اين اعلان N را وارد كنيد.
بعد از انجام اين كار ، certbot با سرور Let’S Encrypt ارتباط برقرار مي كند ، سپس براي تأييد اينكه دامنه مورد نظر خود را كنترل مي كنيد ، يك چالش اجرا كنيد.
اگر موفقيت آميز باشد ، certbot از شما مي پرسد كه چگونه مي خواهيد تنظيمات HTTPS خود را پيكربندي كنيد:
Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
——————————————————————————-
1: No redirect – Make no further changes to the webserver configuration.
2: Redirect – Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you’re confident your site works on HTTPS. You can undo this
change by editing your web server’s configuration.
——————————————————————————-
Select the appropriate number [1-2] then [enter] (press ‘c’ to cancel):

گزينه خود را انتخاب كنيد و سپس ENTER بزنيد. پيكربندي به طور خودكار به روز مي شود ، و Apache براي انتخاب تنظيمات جديد مجدد لود مي شود. certbot با پيغامي همراه خواهد بود كه به شما مي گويد روند موفقيت آميز بوده و گواهي نامه هاي شما در كجا ذخيره شده است:
Output
IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/your_domain/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/your_domain/privkey.pem
Your cert will expire on 2019-10-20. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the “certonly” option. To non-interactively renew *all* of
your certificates, run “certbot renew”
– Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
– If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

گواهينامه هاي شما دانلود ، نصب و لود مي شوند. سعي كنيد وب سايت خود را با استفاده از https: // مجدد لود كنيد و به نشانگر امنيتي مرورگر خود توجه كنيد. بايد نشان دهد كه سايت به طور صحيح ايمن است ، معمولاً با نماد قفل سبز انجام ميشود. اگر سرور خود را با استفاده از SSL Labs Server Test آزمايش كنيد ، درجه A دريافت مي كند.
بياييد با آزمايش روند تجديد كار را به پايان برسانيم.
مرحله 5 – تأييد تمديد خودكار Certbot
گواهي هاي Let’s Encrypt فقط براي نود روز اعتبار دارند. اين امر براي ترغيب كاربران به اتوماسيون كردن فرايند تجديد گواهينامه ميباشد. بسته certbot كه نصب كرديم با اضافه كردن يك اسكريپت تجديد به /etc/cron.d از اين امر مراقبت مي كند. اين اسكريپت روزانه دو بار اجرا مي شود و به طور خودكار هر مدركي را كه كمتر از سي روز از انقضاي آن مانده ، تمديد مي كند.
براي آزمايش فرايند تجديد ، مي توانيد با استفاده از certbot اين دستور را اجرا كنيد:
$ sudo certbot renew –dry-run

اگر خطايي نمي بينيد ، همه تنظيمات انجام شده است. در صورت لزوم ، Certbot گواهي هاي شما را تمديد كرده و Apache را مجدد لود مي كند تا تغييرات را اعمال كند. اگر فرايند تمديد خودكار زماني از كار نافتد ، Let’s Encrypt پيامي را به ايميلي كه مشخص كرده ايد ، ارسال مي كند و به شما هشدار مي دهيد كه گواهي شما رو به پايان است.
نتيجه
در اين آموزش ، كلاينت lets Encrypt certbot را نصب كرديد ، گواهينامه هاي SSL را براي دامنه خود دانلود كرديد ، Apache را براي استفاده از اين گواهينامه ها پيكربندي كرده و تمديد خودكار گواهي نامه را فعال نموديد. اگر سؤال ديگري در مورد استفاده از Certbot داريد ، مراجعه به مطالب مربوطه آنها توصيه ميشود.