一、Nginx配置https請求

要實現(xiàn)Nginx配置https請求阿逃，安裝的時候需要加上 --with-http_ssl_module铭拧，因為http_ssl_module不屬于Nginx的基本模塊。

./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

1恃锉、創(chuàng)建證書

SSL 證書是一種互聯(lián)網(wǎng)上身份驗證的方式搀菩，可以用來標識和證明通信雙方身份的數(shù)字信息文件。使用SSL 證書的網(wǎng)站破托，能夠保證用戶和服務器間信息交換的保密性肪跋。SSL證書由瀏覽器中“受信任的根證書頒發(fā)機構(gòu)”在驗證服務器身份后頒發(fā)，具有網(wǎng)站身份驗證和加密傳輸雙重功能土砂。Nginx創(chuàng)建證書步驟如下：

（a）openssl genrsa -des3 -out server.key 1024

創(chuàng)建服務器私鑰州既，采用rsa算法生成服務器私鑰谜洽，然后存放在server.key文件中。

（b）openssl req -new -key server.key -out server.csr

創(chuàng)建證書請求文件csr吴叶，用于申請證書阐虚，csr核心內(nèi)容是一個公鑰

（c）cp server.key server.key.org

備份一份服務器密鑰文件

（d）openssl rsa -in server.key.org -out server.key

去除使用私鑰的口令驗證

（e）openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

生成證書文件server.crt，其中x509是一種證書格式蚌卤，-days 365證書有效期365天实束，server.crt就是最后需要的證書。

2造寝、Nginx配置https

二磕洪、Nginx+keepalived實現(xiàn)高可用

keepalived就是利用VRRP協(xié)議實現(xiàn)的一種可保障集群高可用的工具吭练。通過主機之間的優(yōu)先等級以及心跳檢測來及時切換主備機的工作狀態(tài)诫龙，以提高集群的高可用性。

VRRP全稱 Virtual Router Redundancy Protocol鲫咽，即虛擬路由冗余協(xié)議签赃。可以認為它是實現(xiàn)路由器高可用的容錯協(xié)議分尸，即將N臺提供相同功能的路由器組成一個路由器組(Router Group)锦聊，這個組里面有一個master和多個backup，但在外界看來就像一臺一樣箩绍，構(gòu)成虛擬路由器孔庭，擁有一個虛擬IP（vip，也就是路由器所在局域網(wǎng)內(nèi)其他機器的默認路由）材蛛，占有這個IP的master實際負責ARP響應和轉(zhuǎn)發(fā)IP數(shù)據(jù)包圆到，組中的其它路由器作為備份的角色處于待命狀態(tài)。master會發(fā)組播消息卑吭，當backup在超時時間內(nèi)收不到vrrp包時就認為master宕掉了芽淡，這時就需要根據(jù)VRRP的優(yōu)先級來選舉一個backup當master，保證路由器的高可用豆赏。

1挣菲、安裝keepalived

（a）tar -zxvf keepalived.tar.gz

--prefix指的是安裝路徑，不指定prefix掷邦，則可執(zhí)行文件默認放在/usr/local/bin白胀，庫文件默認放在/usr/local/lib，配置文件默認放在/usr/local/etc抚岗。其它的資源文件放在/usr /local/share纹笼。

--with指的是安裝本文件所依賴的庫文件。

--sysconf指定配置文件安裝路徑

（b）./configure --prefix=/mnt/keepalived --sysconf=/etc

主要作用是對即將安裝的軟件進行配置苟跪，檢查當前的環(huán)境是否滿足要安裝軟件的依賴關(guān)系廷痘，但并不是所有的tar包都是源代碼的包蔓涧，可以查看有沒有configure文件判斷是否源代碼包，如果是二進制的包笋额，解壓后直接就能使用元暴。

（c）make && make install

編譯安裝

（d）cd /mnt/keepalived-2.0.10

ln -s /mnt/keepalived/sbin/keepalived /sbin

建立軟鏈接

（e）添加系統(tǒng)服務

cp /mnt/keepalived-2.0.10/keepalived/etc/init.d/keepalived /etc/init.d/

chkconfig --add keepalived

chkconfig keepalived on

添加系統(tǒng)服務，設(shè)置開機啟動

systemctl start keepalived

systemctl restart keepalived

啟動系統(tǒng)服務

systemctl stop keepalived

停止系統(tǒng)服務

systemctl status keepalived

查看服務狀態(tài)

（f）配置輸出日志

1）將keepalived日志輸出到local0

vim /etc/sysconfig/keepalived

KEEPALIVED_OPTIONS="-D -d -S 0"

2）在/etc/rsyslog.conf里添加：

vim /etc/rsyslog.conf

local0.*? /var/log/keepalived.log

3）重新啟動keepalived和rsyslog服務

service rsyslog restart

systemctl restart keepalived

2兄猩、keepalived配置

主備keepalived使用相同的虛擬ip（192.168.101.10）茉盏，主keepalived的實際ip地址為192.168.101.100，備份keepalived的實際ip地址為192.168.101.101枢冤。主備keepalived的配置文件/etc/keepalived/ keepalived.conf分別如下：

主keepalived配置

備份keepalived配置