Apache Prefork+mod_phpからEvent+PHP-FPMへの切り替えた記録(CentOS7) - YOMON8.NET
Apache のPrefork MPM + mod_phpで運用していたシステムを、Apache Event MPMに変更したので、その際の記録を残したいと思います。 ApacheのPrefork MPMは「プロセス数=同時接続数」です。しかし、Apacheに割り当てられるメモリには当然限りがあり、Preforkで増やせるプロセスに制限をかける必要があります。つまり接続数に限界がでてくることになります。 KeepAlive Offだと、性能頭打ちするし。。。KeepAlive Onにすると、パラメータ調整が難しく、大丈夫だと思っても、いきなり不安定になるときがあったり。。。設定しては負荷検証を繰り返し繰り返しと戦ったあげく、アーキテクチャをEvent MPMにすることにしました。 このあたりは、似たようなことされているこちらのブログも参考になるかと。 Apacheをpreforkからeve
Apache 便利コマンド集 - Qiita
conf ファイルにシンタックスエラーがないか確認するコマンド。 再起動前に必ず確認しよう。 service httpd configtest や apachectl configtest でもほぼ同様だが上記の方が打鍵数が少ない。 再起動 緩やかな再起動。 前述の構文チェックが自動で走り、シンタックスエラーがあった場合は再起動されない。 service httpd graceful や apachectl graceful でも同様だが上記の方が打鍵数が少ない。systemctl graceful httpd は機能しない。 graceful を検証している記事 1 でうまく動作していない報告もあるので、CentOS 7 では systemctl reload httpd の方がいいかもしれない。 エラーログ [Sun Jan 01 09:00:00.054284 2017] [cgi:
Apacheのevent MPMのパフォーマンスチューニング方法
Apache2.4からMPMモジュールのデフォルトがevent MPMになって久しいですが、それのパフォーマンスチューニングをしようと思うと設定項目がそれなりにあり、なにげに難しいです。ググってもまとまった情報がいまいち無かったのでまとめてみました。 event MPMの構造 event MPMは基本的にはworker MPMと同じマルチプロセスでマルチスレッドなサーバです。ひとつのプロセス内にひとつのリスナースレッドと複数個のワーカースレッドがあり、さらにそのプロセスが複数個存在するという構造になっています。各プロセスではリスナースレッドが接続を受け付け、それをワーカースレッドに渡して処理を完了させるということを行っています。プロセス内のワーカースレッドの数は固定で、ワーカースレッドの数はワーカープロセス単位で増減します。 worker MPMではkeep aliveなどの待ちが発生する
CentOS7にApache2.4最新版をyum installする
Updated 2017.01.05 / Published 2017.01.05 CentOS7.3(1611)にyumでApache2.4をインストールしようとした場合、2017年1月の現時点ではApache2.4.6系の古いバージョンが通常インストールされてしまいます。HTTP/2の処理をするmod_http2はApache2.4.17のバージョンからのため、HTTP/2を導入するにはこれ以降のバージョンが必要です。2017年1月執筆時点ではApache2.4.25(mod_http2 のサービス運用妨害の脆弱性 - CVE-2016-8740にも対応済)が最新版です。Apache2.4.25をCentOS7にインストールする方法をGoogleで検索しても、ソースコードからインストールする手順を公開しているところしか見当たらなかったため、本稿では最新のRPMパッケージを揃えているIU
LB配下のLet’sEncrypt更新を自動化
常時HTTPS化がすすみ、多くのサイトが常時HTTPS(SSL)になってきています。 Let’s Encryptを使用してHTTPS化を実現しているところも多くありますが、そこで問題になるのがロードバランサ(LB)配下に複数のWebサーバーがある場合の証明書更新です。 Let’s Encryptは、90日ごとの更新が必要で、LB配下に複数のWebサーバーがある場合には、この更新作業が繁雑になりがちです。 今回は、このLB配下のWebサーバーで安全に簡単にLet’s Encrypt証明書の更新を行うための方法をご紹介いたします。 想定している環境 FQDN: www.example (LBによりwww01とwww02,www03にバランシング)Webサーバー1: www01(192.168.1.101) / マスターWebサーバー2: www02(192.168.1.102) / スレーブ1
正しく圧縮、素早く送信、mod_deflateの設定方法 | なうびるどいんぐ
このブログでは、帯域の削減とページ表示を高速化する目的でgzip圧縮して転送しています。 ただ、「Apache deflate 設定」とかで調べると「ん?、それ必要なの?/間違ってない?」と思う様な設定例が沢山ヒットします。 「自分の設定が完璧だ!」と主張するつもりはありませんが、少しでも正しい(と思える)情報を掲載したいので。 圧縮して転送すると? 圧縮して転送するのはページの表示速度を向上する目的でもほぼ全方位からおススメされている方法です。 圧縮にCPUリソースを利用しますが、上り帯域の節約や転送に掛かる時間が短縮される事を考えるとむしろプラスです。(一般的に、ネットワークを含むI/O操作はCPUを遊ばせます) この時代にmod_deflateが使えない鯖の方が少ないと思うので、出来る事ならばやっておいた方が良いでしょう。 良くある間違った例 以下の様な例が良くヒットしますが、間違っ
Apache2で国別許可・遮断(GeoIP) | ユーロテック情報システム販売株式会社
IPアドレスから位地情報を割り出すGeoIP GeoIP(GeoIP2)は、MaxMind社(本社:米国マサチューセッツ州ウォルサム)が提供するIPアドレスから位地情報を割り出す仕組みです(Software+データベース情報)。GeoIPには、結果として得られるデータの粒度の違い(大陸>国>都市>郵便番号 etc.)によっていろいろな有償サービスが提供されています。 MaxMind社のホームページ(日本語) オープンソース製品 GeoLite MaxMind社はGeoIP2のオープンソース版としてGeoLiteという名称で、ソフトウェアと無償データベースを無償で提供しています。GeoLiteのデータベースは以下のものが提供されています。それぞれ、CSVとバイナリの二つのフォーマットが利用可能です。 GeoLiteCountry: IPアドレス から国を特定 GeoLiteCity: I
Apache認証をSQLでRDBMSへ連携する mod_authn_dbd と mod_dbを使う。 - それマグで!
Apache のDigest認証って便利なんだけど Apache のパスワード認証がSQLで出来たら楽じゃん。htpasswd コマンドでファイルを置いておくと、管理が面倒になってきて書き散らかす。なにより有効期限とか決めたいじゃん。 かといってLDAPを聞いたりPAMに投げるのは、PAM・LDAPにガンガンユーザー増やすことになって本意じゃないし。なんかいい方法ないかとApacheのDocumentをあさってたら dbd とか便利そうなの見つけた。 Fileの代わりにデータベース(SQL:RDMBS)を使える。 mod_db 使ってみた。 mod_db で認証をSQLで連携できる 仕組みとしてはApacheにDigest(Basic)認証で、パスワードをファイルじゃなく、RDBMSでSQLを使うことになる。 mod_dbd を使うことで、次のようなパスワード連携が可能になる。 httpリ
Apache2.2の設定ファイルをApache2.4に移植するためにやったことまとめ - Qiita
Apache2.2からApache2.4 に移行する場合、設定ファイルをそのまま持ってきても動きません。 数日格闘したら解決できたのですが、 これからやる人が同じ苦労をしなくてすむようにノウハウを記録しておきます。 下記は、Apache2.2/CentOS6 から Apache2.4/CentOS7 に移行するための方法です。 他のディストリビューションでも似たようなものだと思います。 公式マニュアルを見ておきましょう 2.2 -> 2.4 アップグレードガイドがあります。 http://httpd.apache.org/docs/2.4/new_features_2_4.html http://httpd.apache.org/docs/2.4/upgrading.html ただ、すごく分かりにくいのと、CentOS固有(ディストリ固有)の情報は書いてないので、実際に動かしてエラーを1個
HTTP/2 に対応した Apache を yum でインストール | あぱーブログ
これまで HTTP/2 に対応した Apache httpd をインストールするには、関連するライブラリを含めソースからコンパイルしなければならないため、なかなかの手間がかかっていました。しかし CentOS7.4 (1708) から OpenSSL1.0.2 がサポートされたことにより、CentOSコミュニティ承認済みの IUSリポジトリから yum で簡単にインストールできるようになりました。そこで今回は、IUSリポジトリを使って HTTP/2 に対応した Apache httpd をインストールする手順をまとめてみました。 (参考資料)CentOSコミュニティ承認リポジトリ一覧 AdditionalResources/Repositories - CentOS Wiki IUS プロジェクトについて リポジトリを公開してくれている IUSプロジェクトの歴史は古く、米ホスティングサービ
Apache 2.4 の DoS攻撃対策 mod_dosdetector 設定メモ
mod_dosdetector は、DoS攻撃を検出することができる Apache httpd のモジュールです。mod_dosdetector で検出したDoS攻撃のアクセスを mod_rewrite でエラーページなどにリダイレクトさせることで、DoS攻撃対策をすることもできます。そこで今回は、mod_dosdetector のインストール方法と設定手順をまとめてみました。 下準備 今回のサーバー環境は以下の通りです。 CentOS 7.3 (1611) Apache httpd 2.4 apxs コマンドのインストール mod_dosdetector をインストールするにあたって apxsコマンド(Apacheのモジュールをコンパイルしれくれるツールです)が必要になりますので、インストールしておきます。apxsコマンド は httpd-devel パッケージに含まれています。
apacheのmod_dosdetectorでDos(F5アタック)対策 - Qiita
方式 apacheで同一IPアドレスからの連打を検出した場合アクセスを拒否するか、 特定の静的なページに飛ばすことでサーバの負荷を低減させる。 有名なのは下記の2つだが、今回は mod_dosdetector を選択した。 mod_evasive 即アクセス禁止になるため、特定のエラーページ等への遷移ができない(かもしれない)。 目的からすれば充分だが、エンタープライズでは 意図せぬ連打(F5の上に本置きっぱなし状態とかも)した顧客に いきなり403を見せるというのは結構キツイ。 何より、apacheをpreforkで動かしている場合 子プロセス単位の個別でアクセス数がカウントされるため (サーバ単位でアクセスをカウントしてくれないため) httpサーバやpreforkの設定次第では、結構連打したけど防いでくれないとか、普通にあり得る。 こちらは同一IPから一定時間内に一定数以上のアクセス
ApacheのMPMについて - shibainu55日記
今日はApacheのMPMについて書いてみる。MPMは、Apache HTTP サーバではリクエストを処理する部分のことを指し、Apacheを使用する上でMPMはとっても大事なもの。Apache HTTP サーバ 2.0系から採用されている。MPMの種類は以下の4通り。 prefork worker perchild winnt 【参考】ApacheのMPMの確認方法だが、Linux環境でのMPMの確認例は以下の通り。 # /usr/sbin/httpd -l Compiled in modules: core.c prefork.c http_core.c mod_so.c prefork MPM 一番代表的な prefork MPM について。prefork MPM の特徴は、次のとおり。 Apache HTTP サーバ 1.3 系以前のモデル 1 つのリクエストに対して、1 プロセス
Apacheのチューニングメモ - Qiita
個人的Apacheチューニングのメモ。 間違いがあったら教えて下さい! prefork 前提 Apacheでは、リクエストはApacheの子サーバプロセスが処理する。 子サーバプロセスは動的にforkで生成されたり、殺されたりする。 が、forkはとても重い処理なので、forkが発生しないように設定するのがよい。 チューニング方針 負荷が高かろうが低かろうが常に一定数のプロセスが動いている状態にする。 preforkの動作 MaxClientsは絶対値。 子プロセス数はこの値を超えない。 (以下正確ではないですが簡単に) Apacheは負荷が高くなってきたら 子プロセスを生成していく アイドル状態の子プロセスはMinSpareServers以上になるよう維持 MaxClients以上の子プロセスは生成しない MinSpareServersよりMaxClientsが強い 負荷が低くなってきた
いまさらながら Apache HTTP Server についてまとめてみた - Qiita
特徴 Apache は非常に高機能だが、高機能故に、一般的に重いとされている。C10K が問題になってきた現状、代替を求める声が大きくなってきた。 チューニング 設定項目は多くあるが、実際に触るべきところは多くない。実際に動かしてみて、その都度ボトルネックを解消するために設定を変えていく方がいい。 注意したい項目 HostnameLookups off off になっていることを確認 on 担っていると、ログファイルにホスト名を出力するために DNSLookup を行ってしまう 無駄なログを出さない ログのローテートを行い、ログファイルの容量が大きくならないように設定 設定でログフォーマットを適切に設定 無駄なモジュールをロードしない あまり効果はないという報告もある なにがロードされているかは把握する必要あり .htaccess を無効にする リクエストのたびに存在チェックと読み込みを行
hashdos攻撃をmod_securityで防御する(CentOS+yum編)
このエントリでは、hashdos対策としてのmod_securityの導入と設定の方法を説明します。CentOS環境でyumによりApacheを導入しているサイトに対して、yumによりmod_securityを導入するというシナリオで説明します。 はじめに既に当ブログで報告の通り、hashdosと呼ばれる攻撃手法が公表されています。HTTPリクエストのパラメータ名に対するハッシュ値を故意に同一にした(衝突させた)ものを多数(数万程度)送信することにより、Webサーバーを数分程度過負荷にできるというDoS攻撃手法です。まだhashdosによる攻撃事例は報告されていないようですが、既に攻撃コード(PoC)が公表されているため、いつ攻撃が起こっても不思議ではない状況です。 PHPも影響を受けるプラットフォームであり、PHP5.3.9で対処予定となっていますが、まだPHP5.3.9はリリースされて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Apacheロードバランサで負荷分散。冗長化構成を開発環境でも。~負荷分散と冗長化の基礎を添えて~
[Apache2.4] yum経由でApache2.4 をインストールしてPHP5.6を動かすまで - Qiita![[Apache2.4] yum経由でApache2.4 をインストールしてPHP5.6を動かすまで - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/77f8eec238a5eb4ae00109f0c42a772dc5b20610/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCQXBhY2hlMi40JTVEJTIweXVtJUU3JUI1JThDJUU3JTk0JUIxJUUzJTgxJUE3QXBhY2hlMi40JTIwJUUzJTgyJTkyJUUzJTgyJUE0JUUzJTgzJUIzJUUzJTgyJUI5JUUzJTgzJTg4JUUzJTgzJUJDJUUzJTgzJUFCJUUzJTgxJTk3JUUzJTgxJUE2UEhQNS42JUUzJTgyJTkyJUU1JThCJTk1JUUzJTgxJThCJUUzJTgxJTk5JUUzJTgxJUJFJUUzJTgxJUE3JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmcz1lZDdjYTIzOGVjODc3MzA0ZmM4MWFkNTMzMmEzNDY3Zg%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDBwYl90bXowOCZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9YWM1MTQ3MDJlYzM2Zjk2YjUzZmI3NGIwOWE4MDcxYzA%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Dd9b9a885144d8f41e6d9f7451d74fe0f)
ApacheでPHP-FPMを動かすなら、ProxyPassMatchではなくSetHandlerを使うのがいいらしい - Qiita
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
