Apache（httpd）详解

思维导图

• Apache（httpd）详解

1. httpd服务

1.1 httpd概述

ASF（Apache Software Foundation）

1）服务器的类型

• http服务器（httpd，nginx，Lighttpd）
• 应用程序服务器（IIS：.NET  ，tomcat：.JSP）

2）httpd的特性

高度模块化（Core+modules）

DSO机制（Dynamic Shared Object ，动态共享对象）

MPM（Multipath Procession Modules，多路处理模块）

• 可以通过修改MPM来修改并发响应模型
• 2.4支持MPM模块动态切换，2.2不支持

3）httpd的并发响应模型

• prefork：两级进程模型，父进程管理子进程，每个进程响应一个请求

# 工作模型
一个主进程：
    负责生成子进程及回收子进程
    负责创建套接字、接受请求，并将其派发给某子进程进行处理
n个子进程：
    每个子进程处理一个请求

# 注意：
会预先生成几个空闲进程，随时等待用于响应用户请求
最大空闲和最小空闲

• worker：三级进程模型，父进程管理子进程，子进程通过线程响应用户请求，每个线程处理一个用户请求

# 工作模型
一个主进程：
　　负责生成子进程、创建套接字、接受请求，并将其派发给某子进程进行处理
多个子进程：
　　每个子进程负责生成多个线程
每个线程：
　　负责响应用户请求

# 并发响应数量：
子进程数 * 每个子进程能创建的最大线程数

• event：两级模型，父进程管理子进程，子进程通过事件驱动event-driven机制直接响应n个请求

# 工作模型：
一个主进程：
    负责生成子进程、创建套接字、接受请求，并将其派发给某子进程进行处理
子进程：
    基于事件驱动机制直接响应多个请求

# httpd-2.4中的event机制可以在生产环境中使用

2.2 httpd的程序结构

• httpd2.2（CentOS6中）
• httpd2.4（CentOS7及以上）

3. httpd的主配置文件

3.1 配置文件结构和格式

1）整体结构

全局环境配置（Global Environment）：对进程自己的工作特点，对所有虚拟主机都通用的设定

主服务器配置段（“Main” server configuration）：在2.2上如果要使用主服务器，则要将虚拟主机关掉

虚拟主机（Virtual Hosts）

2）配置格式：directive value

• directive，不区分字符大小写
• value，为路径时，是否区分字符大小写，取决于文件系统

3.2 监听的IP和PORT

# 格式：
Listen  [IP:]Port  [protocol]
    # 若省略IP则表示0.0.0.0
    # Listen指令可以重复出现多次
        Listen 80
        Listen 8080        

# 注意：
修改监听的套接字，重启服务进程才能生效
限制其必须通过ssl通信时，protocol需要定义为https

3.3 用户和用户组

# 作用：
指定以哪个用户的身份运行httpd服务器进程
    
# 格式：
User apache
Group apache
    
# 对主控进程是root用户的说明：
主控进程是root，因为80端口是特权端口（小于1024的端口），只有管理员才能使用
所以主控进程是root，而其他的进程使用普通用户权限
        
SUexec在某些指令执行时可以切换到另外一个用户（默认没有装载）

3.4 默认字符集

# 设置默认字符集
# 格式
AddDefaultCharset   UTF-8

# 中文字符集：
GBK、GB2312、GB18030

3.5 站点主页面

# 格式：
DirectoryIndex  index.html  index.html.var

3.6 持久连接

# 持久连接 Persistent Connection  保持连接，长连接
tcp连接建立后，每个资源获取完成后不断开连接，而是继续等待其他资源请求的进行
        
# 断开条件
1. 数量限制
2. 时间限制
        
# 副作用
对并发访问量较大的服务器，长连接机制会使得后续某些请求无法得到正常响应
        
# 折中方案
1. 使用较短的持久连接时长
2. 限制较少的请求数量
    
# 配置
KeepAlive  On | Off        # 是否启用长连接
KeepAliveTimeout  15       # 超时时长，单位为秒
MaxKeepAliveRequests  100  #保持连接上面所能获取的最大请求数量（每个连接上面的最大请求数量）
        
# 注意
httpd2.4的KeepAliveTimeout可以是毫秒级，如果要设置毫秒级，可以直接在数值后面加上ms表示毫秒

• 可以用telnet命令来对持久连接进行测试

telnet 10.0.0.110 80
GET / HTTP/1.1
Host: 10.0.0.110

3.7 配置MPM

1）说明

在2.2中（CentOS6的rpm包）专门提供了三个应用程序文件；因为httpd2.2不支持通过编译多个MPM模块，所以只能编译选定要使用的那个；

这三个应用程序文件分别用于实现对不同的MPM机制的支持，默认是使用prefork机制

• httpd（prefork）默认就是使用prefork机制
• httpd.worker
• httpd.event

2）查看httpd程序的模块列表

# 查看httpd程序的模块列表

# 查看静态编译的模块
httpd -l

# 查看静态编译及动态编译的模块，查看所有模块
httpd -M

3）切换MPM机制

### 2.2中
# 1.更换使用的httpd程序，以支持其他MPM机制
vim  /etc/sysconfig/httpd
    HTTPD=/usr/sbin/httpd.{worker,event}
# 2.然后启用的时候要使用/usr/sbin/httpd.worker
/usr/sbin/httpd.worker -k start

### 2.4中
# 直接在这个文件中将对应的模块取消注释就ok
vim  /etc/httpd/conf.modules.d/00-mpm.conf
        
# 查看当前的工作模式
httpd -V
    
# 注意：重启服务方可生效

4）MPM的配置

# prefork的配置：
        <IfModule prefork.c>
                StartServers      8   # httpd服务进程启用以后自动创建出空闲的子进程数量
                MinSpareServers   5   # 最少空闲进程数，无论如何都需要有5个空闲进程来对待新请求
                MaxSpareServers  20   # 最大空闲进程数，要大于StartServers的数量
                ServerLimit      256  # 同时在生命周期内处于活跃状态的服务器进程数（跟MaxClients应该是相同的）
                MaxClients       256  # 最大允许启动的服务器子进程的数量
                MaxRequestsPerChild  4000  
                    # 一个子进程最多能处理的请求，若超过这个值，就将这个进程kill掉而创建新的进程
                   # 设置为0则表示永不过期
        </IfModule>
        
# worker的配置：
        <IfModule worker.c>
                StartServers     4      # httpd服务进程启动以后自动创建出空闲的子进程数量
                MinSpareThreads  25     # 最少空闲的线程数
                MaxSpareThreads  75     # 最大空闲的线程数
        MaxClients       300    # 最大的允许在线的线程数
                ThreadsPerChild  25     # 每个子进程生成多少个线程
                MaxRequestsPerChild  0  # 单个进程最大允许响应多少个请求
        <IfModule>

3.8 模块加载

# DSO动态共享对象
    
# 模块位置
/etc/httpd/conf.modules.d/ 
在这个目录下的模块对应的配置文件中修改
    
# 加载模块
LoadModule   <mod_name>  <mod_path>
模块文件路径可使用相对路径，相对于ServerRoot，默认是 /etc/httpd

3.9 定义Main Server

# 定义Main Server
ServerName  FQDN

# 语法格式
ServerName [scheme://]fully-qualified-domain-name[:port]
# 此处的名字是用来表示当前主机认为主机主要是服务于谁的
# 如果这条指令没有定义，那么httpd启动时会试图反解本地的IP地址（把IP解析为主机名），如果解析不成功，则会警告
    
DocumentRoot   "/var/www/html"
# 作用：指明网站的站点的url映射到本地的哪个文件系统路径下
# 文档路径映射：
    # DocumentRoot指向的路径为URL路径的起始位置，其相当于站点URL的根路径
    # URL PATH与FileSystem PATH不是等同的，而是存在一种映射关系

3.10 路径别名

# 格式：
Alias  /URL/   "/PATH/TO/SOMEDIR" 
# 把URL跟另外的其他的目录建立映射关系

# 注意：在httpd2.4中要对那个目录进行显示授权（在Directory中定义那个目录的权限）

• Alias和DocumentRoot的区别：

DocumentRoot "/www/htdocs"
        http://www.hgzero.com/download/xxx.txt 
                             /www/htdocs/download/xxx.txt
                
Alias  /download/  "/doc/pub/"
        http://www.hgzero.com/download/xxx.txt
                             /doc/pub/xxx.txt

3.11 站点访问控制

# 文件系统路径：
        <Directory  "">        # 对目录下的所有资源进行控制
          ...
        </Directory>
        
        <File  "">             # 针对某个文件进行控制
          ...
        </File>
        
        <FileMatch  "PATTERN"> # 针对符合正则匹配的所有文件进行控制
          ...
        </FileMatch>

# URL路径：
        <Location  "">         # 针对URL路径进行控制
          ...
        </Location>
        
        <LocationMatch  "">
          ...
        </LocationMatch>

3.12 status页面

在2.4上面要装载的模块：LoadModule status_module modules/mod_status.so

# 在httpd2.2中：
        <Location  /server-status>
                SetHandler server-status
                Order allow,deny
                Allow  from  172.16
        </Location>
        
# 在httpd2.4中：
        <Location  /server-status>
                SetHandler server-status
                <RequireAll>
                        Require ip 172.16
                </RequireAll>
        </Location>

3.13 页面压缩deflate

1）作用

• 使用mod_deflate模块压缩页面优化传输速度（压缩文本文件，图片文件不需要压缩）

2）适用场景

• 节约带宽，额外消耗CPU；同时，可能有些较老浏览器不支持
• 压缩适于压缩的资源，例如文件文件

3）设置示例

SetOutputFilter DEFLATE    # 设置一个叫DEFLATE的过滤器

# mod_deflate configuration

 
# Restrict compression to these MIME types  # 指定对哪些内容做压缩
AddOutputFilterByType DEFLATE text/plain 
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/css
 
# Level of compression (Highest 9 - Lowest 1) # 指定压缩比
DeflateCompressionLevel 9
 
# Netscape 4.x has some problems.  # 匹配特定的浏览器，再对其做特定的压缩，因为可能有些浏览器的特性不一样，如IE
BrowserMatch ^Mozilla/4  gzip-only-text/html
 
# Netscape 4.06-4.08 have some more problems
BrowserMatch  ^Mozilla/4.0[678]  no-gzip
 
# MSIE masquerades as Netscape, but it is fine
BrowserMatch MSI[E]  !no-gzip !gzip-only-text/html

4. 虚拟主机

4.1 虚拟主机概述

1）站点标识（IP、PORT、FQDN）

• IP相同，端口不同
• IP不同，端口均为默认端口
• FQDN不同：http请求报文首部中 Host：www.hgzero.com

2）虚拟主机种类

• 基于IP地址：为每个虚拟主机准备至少一个ip地址，默认是匹配自上而下的第一个符合条件的
• 基于端口PORT：为每个虚拟主机使用至少一个独立的port
• 基于FQDN：为每个虚拟主机使用至少一个FQDN
  • 基于FQDN时，要将所有的FQDN都解析到同一个IP地址上
  • 可以在本地hosts文件中定义或者在DNS服务器上指定
  • 基于FQDN时，是根据http请求报文中的host值来判断的，这个host值是不会被解析的

4.2 匹配规则&匹配格式

1）匹配规则

• 通配的越少的虚拟主机，匹配优先级越高
• 如果基于名称的虚拟主机无法匹配上，则采用虚拟主机列表中的第一个虚拟主机作为响应主机
• 如果所有的虚拟主机都无法匹配上，则采用主配置段中的主机，如果主配置段中注释了DocumentRoot，则返回对应的错误

注意：

• 一般虚拟主机不要与中心主机混用，如果要使用虚拟主机，得先禁用main主机；2.4则可以不禁Main Server
• 禁用中心主机：注释DocumentRoot即可

2）虚拟主机配置格式

<VirtualHost  IP:PORT>
        ServerName  FQDN
        DocumentRoot  ""
    ...
    ServerAlias：虚拟主机的别名，可多次使用
</VirtualHost>

4.3 虚拟主机配置示例

1）基于IP的虚拟主机（基于端口）

# 基于IP的虚拟主机（基于端口的虚拟主机无非就是IP地址相同，而端口不同而已）：
<VirtualHost 10.0.0.201:81>
        ServerName www.hgzero.com
        DocumentRoot "/data/html/www"
        <Directory "/data/html/www">
                Options None
                AllowOverride None
                Require all granted
        </Directory>
        CustomLog "/data/html/www/log/access_log" combined
</VirtualHost>

<VirtualHost *:82>   # 这里的*表示监听本地所有地址
        ServerName bbs.hgzero.com
        DocumentRoot "/data/html/bbs"
        <Directory "/data/html/bbs">
                Options None
                AllowOverride None
                Require all granted
        </Directory>
        CustomLog "/data/html/bbs/log/access_log" combined
</VirtualHost>

2）基于FQDN的虚拟主机

# 基于主机名（FQDN）
<VirtualHost *:80>
        ServerName web.hgzero.com
        DocumentRoot "/data/html/www"
        <Directory "/data/html/www">
                Options None
                AllowOverride None
                Require all granted
        </Directory>
        CustomLog "/data/html/www/log/access_log" combined
</VirtualHost>

<VirtualHost *:80>
        ServerName bbs.hgzero.com
        DocumentRoot "/data/html/bbs"
        <Directory "/data/html/bbs">
                Options None
                AllowOverride None
                Require all granted 
        </Directory>
        CustomLog "/data/html/bbs/log/access_log" combined
</VirtualHost>

# 注意：如果是在http2.2上，则使用基于FQDN的虚拟主机时，要事先使用如下指令
        NameVirtualHost  172.16.100.6:80
        # 意为在这个IP和端口上，开放基于主机名的虚拟主机

3）注意

基于名称的虚拟主机必须指定ServerName指令，否则它将会继承操作系统的FQDN

对于基于名称的虚拟主机，如果使用IP地址请求无法匹配到任何虚拟主机时，将采用第一个虚拟主机作为默认虚拟主机

5. 访问控制

5.1 基于源地址的访问控制

1）httpd2.2和httpd2.4中的访问控制

### httpd-2.2 ###
AllowOverride   # 表示是否允许覆盖这里的配置；与访问控制相关的指令可以放在.htaccess文件中
    All
    None
        
order           # 定义生效次序，写在后面的表示默认法则
    allow
    deny
        
Allow from      # 允许哪些地址的访问
Deny from       #拒绝哪些地址的访问
    

### httpd-2.4 ###
# 基于IP控制
Require  ip  IP_ADDR
Require  not  ip  IP_ADDR
        
# 基于主机名控制
Require  host  主机名或域名
Require  not  host  主机名或域名
        
### 注意：
# 以上的这些控制信息需要定义在<RequireAll>...</RequireAll>中或<RequireAny>配置块中
# 2.4中的源地址的访问控制需要显示指定

2）Options选项

Indexes        # 指明的URL路径下不存在与定义的主页面资源相等的资源文件时，返回索引列表给用户
FollowSymLinks # 允许跟踪符号链接文件所指向的源文件（在配置别名时很有用）
None
All

3）httpd2.4中的配置示例

### 配置示例
<Directory "/var/www/html/bbs">
        Options None                     
        AllowOverride None
        <RequireAll>  # 这里定义了基于IP的访问控制（这里也可以缓存域名或主机名）
                Require ip 192.168.0.0/16
                Require not ip 192.168.1.102
        </RequireAll>
</Directory>

### 来源地址的格式：如果是基于主机名的话，要写成Requrie host node1.com 
        IP
        NetAddr：
                172.16
                172.16.0.0/16
                172.16.0.0/255.255.0.0

5.2 控制页面允许or不允许所有主机访问

# 控制页面资源允许所有来源的主机可访问：
        # http-2.2
                <Directory  "">
                        ...
                        Order  allow,deny
                        Allow from all
                </Directory>
        # http-2.4
                <Directory  "">
                        ...
                        Require all granted
                </Directory>

# 控制页面资源拒绝所有来源的主机可访问：
        # http-2.2
                <Directory  "">
                        ...
                        Order  allow,deny
                        Deny from all
                </Directory>
        # http-2.4
                <Directory  "">
                        ...
                        Require all denied
                </Directory>

5.3 htpasswd

5.4 基于用户的访问控制

1）认证概述

# 认证质询
WWW-Authenticate，响应码为401，拒绝客户端请求，并说明要求客户端提供账号和密码
客户端用户填入账号和密码后再次发送请求报文，若认证通过，则服务器发送响应的资源
    
# 认证方式
basic：明文
digest：消息摘要认证
表单认证
    
# 安全域
需要用户认证后方能访问的路径
应该通过名称对其特性标识，以便告知用户认证的原因
    
# 用户的账号和密码存放的位置
虚拟账号：仅用于访问某服务时用到的认证标识
存储：
    文本文件
    SQL数据库
    ldap目录存储

2）basic认证配置示例

• 基于用户的认证：

# 定义安全域：
        <Directory  "">
                Options  None
                AllowOverride None # 是否允许覆盖这里的配置，一般都是设置为None
                AuthType Basic     # 也可以指明digest认证方式
                AuthName "String"  # 指明提示信息
                AuthUserFile  "/etc/httpd/conf.d/.htpasswd"  # 密码文件,最好将其设置为隐藏文件
                Require user username1 username2 ...         # 允许登录的用户
        Require valid-user  # 允许账号文件中的所有用户登录访问
        </Directory>

• 基于组账号进行认证：

# 定义安全域：
        <Directory  "">
                Options  None
                AllowOverride  None
                AuthType  Basic
                AuthName  "String"
                AuthUserFile  "PATH/TO/HTTPD_USER_PASSWD_FILE"
                AuthGroupFile  "/PATH/TO/HTTPD_GROUP_FILE"   # 这里引用的是组账号的文件
                Require  group  groupname1  grpname2 ...       # 允许登录的组
        </Directory>
        
# 创建用户账号和组账号文件：
          # 组账号定义格式：
    组文件：每一行定义一个组（创建组账号文件）
    GRP_NAME：username1  username2 ...

6. https的配置

6.1 https的工作流程

1）SSL会话过程

 2）SSL会话缓存

• SSL会话的时长
  • 若每次通信都经过ssl handshake，那将是非常浪费资源的，所以Server端可以吧ssl会话给缓存下来
  • 在一段时间内同一客户端访问时这个ssl handshake过程就不必再做了，直接利用此前已经建立的会话资源就可以了
  • 但是此会话不能保存太长时间，一般是五分钟之内都是有效的
• SSL会话是基于IP地址创建的，所以单IP的主机上，仅可以使用一个https的虚拟主机

6.2 配置httpd支持https

7. 日志相关

7.1 日志的记录

7.2 日志轮替

• cronolog
• rotatelog

8. 压测工具

9. httpd自带的工具程序

• apachectl
• apxs
• suexec

10. LAMP基本架构