CentOS 7 虚拟机搭建lamp (php-fpm)，三者分离，https认证

3213213

1.主机规划
配置虚拟机中有至少 3台，操作系统都是centos7
1台httpd服务器（172.18.251.235）
1台php-fpm服务器（172.18.252.132）
1台MySQL服务器（172.18.252.0）


在搭建安装之前，我们首先了解一下它们之间分开工作的模式：

在搭建lamp之前，我们先配置yum源，阿里云，搜狐，163开源镜像网站很多，在这儿我就不一一赘述了。
现在我们就开始利用yum源安装httpd（172.18.251.235）
~]# yum install httpd -y
一般centos7上的httpd都是2.4版本，2.4版本和2.2版本最大区别是：2.4版本默认支持fcgi模块，所以centos6上使用fcgi模块要自己编译安装，centos6上编译会再下次给大家介绍。
httpd的配置文件一般在/etc/httpd/conf/httpd.conf
                     /etc/httpd/conf.d/*.conf
安装完成后我们启动httpd服务
~]# systemctl start httpd.service
看一下是否监听于80端口
~]# ss -tnl
然后我们在另一台虚拟机上安装PHP-fpm，PHP-mysql（172.18.252.132）
~]# yum install php-fpm php-mysql -y
PHP-fpm是专用于将php运行于fpm模式，服务配置文件：/etc/php-fpm.conf,  /etc/php-fpm.d/*.conf
安装完成后，我们启动PHP-fpm服务
~]# systemctl start php-fpm.service
查看是否监听9000端口


接着我们在另一台虚拟机上安装二进制mysql包（172.18.252.0）
(1) 准备数据目录；
         以/mydata/data目录为例；
(2) 安装配置mysql                        
             # useradd  -r  mysql
             # tar xf  mariadb-VERSION.tar.xz  -C  /usr/local
             # cd /usr/local
             # ln  -sv  mariadb-VERSION  mysql
             # cd  /usr/local/mysql
             # chown  -R  root:mysql  ./*      

             # mkdir /mydata/data -pv
     初始化：# scripts/mysql_install_db  --user=mysql --datadir=/mydata/data
提供一个服务脚本# cp  support-files/mysql.server   /etc/init.d/mysqld
         # chkconfig   --add  mysqld
弄配置文件 # cp  support-files/my-large.cnf  /etc/my.cnf     添加三个选项 # vim /etc/my.cnf



(4) 启动服务
      # systemctl start mysql
如果启动时找不到mysql命令，需要配置环境变量后再启动服务
       # vim /etc/profile.d/mysql.sh
   加入：export PATH=/usr/local/mysql/bin:$PATH
看一下是否监听3306端口


然后我们把httpd和PHP-fpm和mysql整到一起
基于IP的虚拟主机进行配置
在httpd和php-fpm两台服务器上分别创建URL路径的目录
# mkdir /apps/vhosts/b.net
修改httpd服务器上的配置文件
# vim /etc/httpd/conf/httpd.conf （可以先复制一份配置文件，以免修改文件错误）
把这一行注释掉，然后看这一项是否开启，没开启的话，开启


然后在/etc/httpd/conf.d/目录下创建vhosts.conf文件
# vim /etc/httpd/conf.d/vhosts.conf 加入


然后修改php-fpm服务器上配置文件,修改监听地址
# vim /etc/php-fpm.d/www.conf





然后查看session目录的属主属组是否是Apache，如果不是请修改属主属组
#  chown  apache：apache  /var/lib/php/session
如果没有session文件需要创建
# mkdir  /var/lib/php/session
然后整合mysql
# mysql -uroot -proot

mysql>use mysql

mysql> select user,host,password from user; 显示user的信息；
#下面的较为重要；这是授权PHP主机可以访问的
mysql> grant all privileges on *.* to 'root'@'172.18.%。%' identified by 'passwd';
mysql> select user,host,password from user;
mysql> flush privileges;  更新
先测试三者是否可以连接
在php-fpm服务器上创建测试文件
# vim /apps/vhosts/b.net/index.php

    $conn = mysql_connect('172.18.252.0','root','passwd');                     

                      if ($conn)
                            echo "OK";
                        else
                            echo "Failure";
?>   
打开浏览器输入地址（确保防火墙和selinux都是关闭的）



现在我们以虚拟主机安装wordpress(安装包先下好的)
在httpd和php-fpm服务器上分别创建/apps/vhosts/c.org
在php-fpm服务器上 # cd /apps/vhosts/c.org
解压    # unzip wordpress
#chmod -R 777 wordpress
# cd  wordpress
备份配置文件：# cp  wp-config-sample.php  wp-config.php
然后在mysql服务器上登录mysql
# mysql -uroot -proot
授权：GRANT ALL ON wpdb.* TO wpuser@'172.18.%.%' IDENTIFIED BY 'wppass';   CREATE DATABASE wpdb;
然后修改wordpress配置文件
# vim wp-config.php
修改：/** WordPress数据库的名称 */
define('DB_NAME', 'wpdb');

/** MySQL数据库用户名 */
define('DB_USER', 'wpuser');

/** MySQL数据库密码 */
define('DB_PASSWORD', 'wppass');

/** MySQL主机 */
define('DB_HOST', '172.18.252.132');
然后修httpd服务器的配置文件，因为是基于ip的虚拟主机
需要加ip地址：ifconfig eno16777736:0 172.18.251.234
# vim /etc/httpd/conf.d/vhosts.conf   加入



然后重启三个服务器


注意在hosts文件中添加解析地址
# vim     /etc/hosts   

172.18.251.235     www.b.net

172.18.251.234     www.c.org

然后在php-fpm服务器上把PHP加速器xcache装上
# yum install php-xcache
接下来我们 配置phpmyadmin并且提供https认证
先在httpd和php-fpm两台服务器上创建文件
# mkdir  /apps/vhosts/a.com
在php-fpm服务器上

# cd /apps/vhosts/a.com
# unzip phpMyAdmin   解压文件
#  ln -sv phpMyAdmin  pma   创建符号链接
# cd  pma
# cp config.sample.inc.php  config.inc.php  备份一份配置文件
# vim config.inc.php    修改配置文件
~]# openssl rand -base64 30  生成随机数加入里边

指向数据库地址


安装php-mbstring
# yum install php-mbstring -y
然后我们要改一下httpd服务器的配置文件
# vim /etc/httpd/conf.d/vhosts.conf


之后我们重启一下服务，就能打开了。如果基于https认证，可以注释掉这些，之后就只有https才能访问了，不注释的话，http和https都能访问到。
接着我们就构建私有CA，因为我们要给httpd服务器做证书，我们要在另一台机器上构建私有CA
# cd  /etc/pki/CA
生成私钥
#  （umask 077；opemssl  genrsa  -out private/cakey.pem  1024）
生成自签证书：
#  openssl req  -new  -x509  -key  private/cakey.pem  -out  cacert.pem


(3) 为CA提供所需的目录及文件
~]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}
~]# touch  /etc/pki/CA/{serial,index.txt}
~]# echo  01 > /etc/pki/CA/serial
要用到证书进行安全通信的服务器，需要向CA请求签署证书：
在httpd服务器上生成私钥，安装ssl模块，yum install mod_ssl -y

~]# mkdir  /etc/httpd/ssl
~]# cd  /etc/httpd/ssl
~]# (umask 077; openssl genrsa -out httpd.key  2048)
(2) 生成证书签署请求
~]# opensslreq -new -key /httpd.key -out httpd.csr -days 365


(3) 将请求通过可靠方式发送给CA主机；
# scp certs/httpd.csr  root@172.18.252.0:/tmp
(4) 在CA主机上签署证书（172.18.252.0）
~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
(5)签署完证书以后发给服务器主机
~]# scp /etc/pki/CA/certs/httpd.crt root@172.18.251.235:/etc/httpd/ssl/httpd.crt
备份配置文件
# cp /etc/httpd/conf.d/ssl.conf   ssl.conf.apk

然后我们要修改ssl配置文件
# vim /etc/httpd/conf.d/ssl.conf




因为基于ip地址配置的虚拟机，所以在httpd服务器上
# ifconfig eno16777736:1 172.18.251.233

然后在hosts文件中加入
172.18.251.233  www.a.com
然后在windos中hosts文件中也加入（C:WindowsSystem32driversetc）
172.18.251.235  www.b.net

172.18.251.234  www.c.org

172.18.251.233  www.a.com

然后在浏览器中打开，导入证书，设定权限。最后结果：