Linode

07/01/2015

WordPress Permalinks on LEMP

By in Life No Comments Tags: , , ,

最近一个工程项目涉及到网站搬迁,从虚拟主机搬到VPS上,当然使用的是我最喜爱的LEMP精简方案(LAMP太吃内存,多占的内存都可以够我装一个主机控制面板了),虽然LEMP功能实用稳定,美中不足便是设置极为繁琐(想完美不容易)。

这不,主机假设轻车熟路,解决了一系列的小问题,网站上线之后发现伪静态协议失效,只有主页能够显示。

首先,想到了可以更新网站静态链接格式(变成类似本网站的?p=xxx的格式),但这属于避开问题,而且会影响收录,所以放弃。

之后就开始想办法手动解决伪静态的问题,终于在一个网站找到一篇非常详细的设置文章,经过实际测试成功!

下面只粘贴认为最核心的代码,phpmyadmin之类的设置可以参考以前的文章。

server {
listen 80;
server_name www.bjdch.org bjdch.org;
access_log /srv/www/bjdch.org/logs/access.log;
error_log /srv/www/bjdch.org/logs/error.log;
root /srv/www/bjdch.org/public_html;
index index.html index.htm index.php;

#PHP Settings
location ~ \.php$ {
try_files $uri =404;
include /etc/nginx/fastcgi_params;
if ($uri !~ “^/uploads/”) {
fastcgi_pass 127.0.0.1:9000;
}
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /srv/www/bjdch.org/public_html$fastcgi_script_name;
}

location / {
# Deny access to any files with a .php extension in the uploads directory
# Works in sub-directory installs and also in multisite network
location ~* /(?:uploads|files)/.*\.php$ {
deny all;
}

# Make sure files with the following extensions do not get loaded by nginx because nginx would display the source code, and these files can contain PASSWORDS!
location ~* \.(engine|inc|info|install|make|module|profile|test|po|sh|.*sql|theme|tpl(\.php)?|xtmpl)$|^(\..*|Entries.*|Repository|Root|Tag|Template)$|\.php_
{
return 444;
}
#nocgi
location ~* \.(pl|cgi|py|sh|lua)\$ {
return 444;
}
#disallow
location ~* (roundcube|webdav|smtp|http\:|soap|w00tw00t) {
return 444;
}

location ~ /(\.|wp-config.php|readme.html|license.txt) { deny all; }

# Add trailing slash to */wp-admin requests.
rewrite /wp-admin$ $scheme://$host$uri/ permanent;

try_files $uri $uri/ /index.php?q=$request_uri;
}

#Error outputs:
error_page 400 /400.shtml;
error_page 401 /401.shtml;
error_page 403 /403.shtml;
error_page 404 /404.shtml;
error_page 500 502 503 504 /500.shtml;

}

Thanks: http://centminmod.com/nginx_configure_wordpress.html

30/08/2014

Linode利用Nginx搭建透明代理

By in Life No Comments Tags: , , ,

首先感谢小雨,在多年前帮我的博客捉虫之后,又给我带来了新玩法。如果以后定期来看看就更好了(当然,I don’t mind if you couldn’t do it)

其次,我们仅限讨论纯技术圈的内容,对于科学上网,相信大家都懂,本篇文章仅当抛砖引玉。

本篇文章是按照实验顺序写的,我是一边实验一边写这篇文章的,感觉这样学到的东西更多一些。

之前在网络上有很多人搭建代理,其实代理无非就那几种,当然随着技术手段的多样化,加密方式也同样迭代很多。之前接到这个题目做过一些research,但国外鬼佬网站多是关于反向代理的讨论,我在这里插一句,反向代理其实表面不多,其实行业内经常使用,例如澳大利亚很多政府网站(移民部的签证提交页面就是我当时注意到的第一个反向代理),另外很多云加速更是如此(例如大名鼎鼎的CloudFlare云加速,其实很多云加速归根结底宣传的优势都是反向代理与生俱来就拥有的,不足以过多炫耀……),原理也不比这篇文章介绍的复杂太多。

首先拿到一个VPS,假设已经安装好Nginx环境(我在这里省略这些步骤,具体安装方法请翻阅之前的文章),我的试验并不是搭建在Linode上的(这里有赚点击的嫌疑?),Anyway,是搭建在一个128M OpenVZ的VPS上(就靠Nginx如此高性能的服务器程序在这类VPS上发挥余热了,谁知道我这个服务商超售多少呢)。

言归正传,首先根据前辈的代码,进入 /etc/nginx/sites-available ,在default文件的合适位置粘贴以下代码,这里调试的端口是HTTP 8080 端口。我在中间注释了4行,原因是我暂时不需要考虑出错页面,这是代理嘛,暂时不考虑本地放置内容。

server {
listen 8080;

location / {
resolver 8.8.8.8;
proxy_pass http://$http_host$uri$is_args$args;
}

#error_page 500 502 503 504 /50x.html;
#location = /50x.html {
#root html;
#}
}

然后我们 sudo service nginx restart 重启nginx服务器,一般不会出错就对了。我们直接可以浏览器访问VPS的8080端口看效果,会提示 504 Gateway Time-out 错误,这证明端口已经打开。我们可以直接设置浏览器的代理登录IP查询网站查看IP是否有变化。

如果有问题,还可以用命令: netstat -an | egrep ‘Proto|LISTEN’ 查看开放端口,注意防火墙响应设置应当放行。

Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 198.IP地址隐藏:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.2:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:3389 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:587 0.0.0.0:* LISTEN
tcp6 0 0 :::80 :::* LISTEN
tcp6 0 0 :::53 :::* LISTEN
tcp6 0 0 :::22 :::* LISTEN
tcp6 0 0 ::1:953 :::* LISTEN
tcp6 0 0 :::3389 :::* LISTEN
tcp6 0 0 :::445 :::* LISTEN
tcp6 0 0 :::139 :::* LISTEN
Proto RefCnt Flags Type State I-Node Path
unix 2 [ ACC ] STREAM LISTENING 3626180 /var/run/sendmail/mta/smcontrol
unix 2 [ ACC ] STREAM LISTENING 3623127 /var/run/saslauthd/mux

上面的设置有明显问题,其一是没有限制,很容易被监听公开到代理网站上,并导致VPS超高流量。其二,没有SSL协议,一切都是浮云啊。

我们先解决SSL的问题,为了图方便,我们直接用服务器生成自签名证书吧!(直接搬运的现成代码,原谅我吧,非root记得前面加sudo)

cd /etc/nginx/
mkdir SSL
cd SSL
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

然后代码就变成了这样拼凑的结果:

server {
listen 这里填服务器独立IP:443;
ssl on;
ssl_certificate /etc/nginx/SSL/server.crt;
ssl_certificate_key /etc/nginx/SSL/server.key;
server_name proxy.bjdch.org;
location / {
resolver 8.8.8.8;
proxy_pass https://$http_host$uri$is_args$args;
}
}

以上这段代码MARK备用,貌似不是很管用,暂时先考虑443明文吧,突破局域网封锁。

明文代码443突破封锁就比较简单了:

server {
listen 443;

location / {
resolver 8.8.8.8;
proxy_pass http://$http_host$uri$is_args$args;
}

#error_page 500 502 503 504 /50x.html;
#location = /50x.html {
#root html;
#}
}

至此,客户端已经完全可以访问到,IE稍微设置下就可以实现内外网分离,唯一开放的443端口可以用于标准HTTP代理,SSL直接通过原生端口使用,不走代理。

当然,自己开的代理当然不希望被其他网站嗅探到变成对公众开放的服务器(不是我没有共享精神,资源流量伤不起啊),可以添加IP地址列表过滤,简单暴力。同时再增加点资源方面的限制。

server {
allow 这里填写真实IP1;
allow 这里填写真实IP2;
deny all;
listen 0.0.0.0:443;
proxy_set_header HOST $http_host;
proxy_buffers 256 4k;
proxy_max_temp_file_size 0k;
proxy_connect_timeout 30;
proxy_send_timeout 60;
location / {
resolver 8.8.8.8;
access_log /var/log/nginx/proxy.log;
proxy_pass $scheme://$http_host$uri$is_args$args;
}
}

第一阶段任务完成了,VPS终于通过Nginx变成了专属代理。

References:

https://ef.gy/using-nginx-as-a-proxy-server

https://blog.akendo.eu/debiannginx-with-ssl/

09/05/2014

Linode升级完成 与DigitalOcean磁盘性能不全面对比

By in Web Log No Comments Tags: , , ,

自4月17日Linode宣布升级以后,日本VPS服务器需要等待3周时间才能进行升级。到5月8日刚满3周,今天早上发现升级已经就绪,在10分钟之内便完成了VPS关机–数据转移–新主机上线的操作,还是比较迅速的。

升级时数据迁移速度大概在60M一秒左右,大概是0.5Gbps的传输速率,还是可以的。

升级概览:

新的VPS PLAN内存翻倍;

月流量从2TB提升到3TB;

从机械硬盘升级到SSD固态硬盘;以及,

CPU核心数从共享8颗CPU下降到独享2颗(这也是官方博客评论里大家最担心的“升级”,但之后评论反馈来看,由于CPU升级再加上固态硬盘速度提高,大多数站长反应系统性能反而有提升,这从侧面再一次证明了机械硬盘速度才是制约系统速度的瓶颈。)

Linode-1 Linode-2 Linode-3

好戏当然在后面,由于之前DigitalOcean给了$10USD的Credit,便有了现在这个测试项目,既然现在两大主机商都升级到SSD硬盘,那我们不妨用相同的命令测试一下磁盘性能。

测试环境:

Linode

DigitalOcean
CPU

Intel(R) Xeon(R) CPU E5-2680 v2 @ 2.80GHz

Intel(R) Xeon(R) CPU E5-2630L@ 2.00GHz
vCore

2

1
RAM

2048MB

512MB
HDD

48GB SSD

20GB SSD
Bandwidth

3TB

1TB
Monthly Fee

$20 USD

$5 USD
Location

Japan – 日本

Singapore – 新加坡

记得之前在老主机上测试过磁盘写入速度,我直接复制了前一篇博客的命令来做个对比:简单做了一个表,从表中可以观察到,本测试是一个不完整对比。Linode最低档次的Plan月费都是DigitalOcean的4倍,不能用鸡蛋碰石头,但我要试图搞清楚如此大的差价性能究竟差多少。由于时间所限,测试没有取平均值,也没有换不同机房进行同样测试,但都是在同一时段完成的。

$ sudo dd if=/dev/zero of=test bs=64k count=4k && rm test
4096+0 records in
4096+0 records out
268435456 bytes (268 MB) copied, 0.277739 s, 967 MB/s (284MB/s) vs.  201MB/s – 1.33262 s
$ sudo dd if=/dev/zero of=test bs=1M count=256 && rm test
256+0 records in
256+0 records out
268435456 bytes (268 MB) copied, 0.229681 s, 1.2 GB/s (348MB/s) vs. 167MB/s – 1.60812 s
$ sudo dd if=/dev/zero of=test bs=64k count=4k oflag=dsync && rm test
4096+0 records in
4096+0 records out
268435456 bytes (268 MB) copied, 1.4939 s, 180 MB/s (60MB/s) vs. 17MB/s – 15.7993 s

红色是Linode升级SSD后的速度蓝色是Linode升级前的机械硬盘速度橙色是DigitalOcean的SSD硬盘速度。保守估计Linode升级前后整体磁盘性能提升至少三倍以上,而DigitalOcean号称是SSD磁盘的速度还不如Linode机械硬盘速度,更是Linode升级SSD之后测速的零头还不到。即便排除服务器个体差异(由于测试没有多次取平均值等等),但仍不清楚DigitalOcean这所谓的SSD是什么级别的品质(莫非是三星840 TLC,或者是SSD Cache硬盘?)……

结论:同样号称是SSD平台,DigitalOcean和Linode磁盘性能相差高达10倍(但价钱只差4倍)!正所谓一分钱一分货(You get what you pay for!)。

===========补充===========

为了尽可能客观公正,我于5月11日再次测试DigitalOcean磁盘写入速度。下面是截图:

DO-SSD

 

可见磁盘速度有所提升,较上一次个别项提升了两倍还多,证明DigitalOcean磁盘性能波动很大,但仍然和Linode差的比较远。基本上DO的SSD性能和Linode升级SSD前的机械磁盘阵列差不多。

Linode 升级SSD
Linode SSD升级后 – 59
Linode SSD性能提升
DigitalOcean – 59
Linode升级前机械硬盘性能
Linode升级后SSD相比
DigitalOcean – 511
Linode升级前机械硬盘性能
Linode升级后SSD相比
64K * 4K
284 MB/S
967 MB/S
340%
201 MB/S
71%
21%
235 MB/S
83%
24%
1M * 256
348 MB/S
1.2 GB/S
345%
167 MB/S
48%
14%
394 MB/S
113%
33%
64K * 4K (无缓存)
60 MB/S
180 MB/S
300%
17 MB/S
28%
9%
34 MB/S
57%
19%

===========补充结束===========

但并不是说DigitalOcean就没有任何优势。实话说,DigitalOcean最大的特点就是便宜,做实验用主机或者测试平台还是可以的,但长期建站稳定性有待考验。实惠与否还是需要看站长们自己的评判标准了。PS:新加坡机房到北京联通速度时好时坏,有时候丢包很厉害。

Linode-4

新Linode的Plan探针测速也是脱颖而出,超越了探针所有的老旧数据(这并不意外,那个年代都是机械硬盘嘛)。

21/04/2014

Linode 搭建LNMP/LEMP总结

By in Life, Web Log No Comments Tags: , , ,

既然是总结,就属于快餐性质的了,虽然使用Linode不是我第一次接触SSH的相关指令,但毕竟服务器所从事的任务和日常玩的Raspberry Pi以及2012年底买的128M OpenVZ主机是不一样的。

这次在Linode搭建VPS让我对Linux有了更深层次的了解,还是有很大收获的。 之所以不搭建LAMP平台的主要原因,是LAMP吃内存严重。

虽然Linode极力推荐LAMP方案(方便搭设出错概率少),但个人还是希望挑战一把,但没想到整体还是比较顺利的。 代码依据Debian 7 x64平台搭建(个人感觉Debian和Ubuntu实际差异不大,而且安装调试出现问题以后也可以部分参考Ubuntu的文档,但Debian版本更新慢,虽然Ubuntu和Debian底层差不多,但Debian还是相对更加稳定一点),Nginx服务器,PHP Fastcgi引擎,最后加上MYSQL平台和相关防火墙设置保障系统安全。

在开始之前,先习惯更新下程序包:

apt-get update apt-get upgrade

1. 设置时区以及主机名:

dpkg-reconfigure tzdata

echo “vpsgeek” > /etc/hostname

hostname -F /etc/hostname

2. 修改hosts文件(官方文档说与服务器所建主机无关,个人认为这是为了本地解析用的)

nano /etc/hosts

修改格式:

127.0.0.1 localhost.localdomain localhost

12.34.56.78 bjdch.org vpsgeek

2600:3c01::a123:b456:c789:d012 bjdch.org vpsgeek

完成上面的步骤以后,个人经验来看要让主机重启一回,实测中发现如果主机不重启,sudo之类的后期命令会出现错误。 3. 安装Web、PHP、MYSQL服务(第三行和第四行的MYSQL命令执行后需要依据屏幕提示操作,提示都还是挺简单的,主要是创建root代码,系统保护之类的操作)

apt-get install nginx

apt-get install php5-cli php5-cgi spawn-fcgi php-pear

apt-get install mysql-server php5-mysql

mysql_secure_installation

(Linode提供以下内容,每次复制一行,主要作用是把以上程序添加到系统服务里)

cd /opt/
sudo wget -O php-fastcgi-deb.sh http://library.linode.com/assets/1548-php-fastcgi-deb.sh
sudo mv /opt/php-fastcgi-deb.sh /usr/bin/php-fastcgi
sudo chmod +x /usr/bin/php-fastcgi
sudo wget -O init-php-fastcgi-deb.sh http://library.linode.com/assets/1549-init-php-fastcgi-deb.sh
sudo mv /opt/init-php-fastcgi-deb.sh /etc/init.d/php-fastcgi
sudo chmod +x /etc/init.d/php-fastcgi
sudo /etc/init.d/php-fastcgi start
sudo update-rc.d php-fastcgi defaults

4. 安装phpmyadmin (可选)

apt-get install php5-mcrypt apt-get install phpmyadmin

执行完以上命令基础程序基本就装完了,下面是设置部分。 之所以不按照官方教程来操作,是因为官方教程是带有讲解性质的,但实际操作起来会浪费一定的时间,就拿绑定主机头来说,官方教程是先装完Nginx配置一次,重启服务然后再来配置PHP环境,反反复复有时候很疑惑,为此我就走过弯路。 1. 先来配置WEB环境(一次搞定)

nano /etc/nginx/sites-available/网站名

粘贴以下命令(已经包含防注入目录的命令):

server { listen 80; server_name 域名 域名(含WWW形式);

access_log /srv/www/自定义目录/logs/access.log;

error_log /srv/www/自定义目录/logs/error.log;

location / { root /srv/www/自定义目录/public_html;

index index.html index.htm index.php; }

#Error outputs: error_page 400 /400.shtml;

error_page 401 /401.shtml; error_page 403 /403.shtml;

error_page 404 /404.shtml;

error_page 500 502 503 504 /500.shtml;

#PHP Settings
location ~ \.php$ {
try_files $uri =404;
include /etc/nginx/fastcgi_params;
if ($uri !~ “^/防注入目录(相对路径即可)/”) {
fastcgi_pass 127.0.0.1:9000;
}
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /srv/www/自定义目录/public_html$fastcgi_script_name;
}

#phpmyadmin
location /phpmyadmin {
root /usr/share/;
index index.php index.html index.htm;
location ~ ^/phpmyadmin/(.+\.php)$ {
try_files $uri =404;
root /usr/share/;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include etc/nginx/fastcgi_params;
}
location ~* ^/phpmyadmin/(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
root /usr/share/;
}
}
location /phpMyAdmin {
rewrite ^/* /phpmyadmin last;
}
#phpmyadmin end

}

特别注意,如果该主机头所绑定的网站不需要PHP运行权限(即纯HTML、HTML5等网站),可以视情况只写入绿色文字,这样也能增加子网站安全性如果网站需要自定义错误页面,可以考虑增加橙色文字PHP脚本执行(例如Wordpress之类动态站点),需要包含蓝色文字最后,如果需要在网站虚拟出phpmyadmin目录(慎用!建议建站初期使用,使用后在相关区域前加“#”后重启Nginx服务以增强服务器安全性),可以粘贴红色文字部分使用本脚本时,不要忘记上面代码末尾的大括号“}”。 2. 做文件链接到可用网站列表(类似Windows里的快捷方式,但强大太多了)。

ln -s /etc/nginx/sites-available/网站名 /etc/nginx/sites-enabled

每个网站设置好都必须使用上面的命令建立文件链接。 3. 创建目录,修改权限。 官方的命令我在多次执行时均出现问题,所以还是老老实实手动创建每一个目录吧。其中目录名要和上面设置文档的相对应。

mkdir /srv/www/自定义目录

mkdir /srv/www/自定义目录/public_html

mkdir /srv/www/自定义目录/logs

问题重现:这也是我纠结了很长时间的问题,我的网站是从FTP通过wget方式远程搬家过来的,按理说wget在复制FTP目录时会继承之前的文件权限,但搬家之后的Wordpress只能打开不能更改目录内任何文件,对此我尝试了许多批量修改文件权限的命令均不奏效。最后无意间发现文件夹所属用户和用户组都是root……。 更改文件夹用户权限,恢复到WWW用户组:

chown -R www-data:www-data /srv/www/自定义目录/public_html

logs文件不用管。这样自定义目录权限还是root,应该安全性更高。Linux文件权限管理确实严格。 4. 重启Nginx服务,将域名指向Linode(此处不介绍)。

/etc/init.d/php-fastcgi service nginx restart

如果没有出现错误,网站已经开通。 下面内容是更改端口,添加用户、防火墙和登录失败惩罚机制。 1. 更改SSH、端口 SSH默认端口是22,基于多种因素考虑应该修改掉(从科学上网和反暴力破解角度来看)。

nano /etc/ssh/sshd_config

执行上面的命令,找到开头为“Port 22”的那一行(比较靠前,不用翻页),更改为自己喜欢的端口即可。注意不要与现有的端口冲突。执行完后,运行:

service ssh restart

2. 添加用户 Linode默认安装了sudo所以我们可以直接添加一个普通用户然后施加管理员权限。执行下面的命令:

adduser 用户名 usermod -a -G sudo 用户名 passwd 用户名

有时为了科学上网,我们需要创建特殊的SSH账户,这类账户没有登陆SSH的权限,即用putty以及ssh命令登陆后即时被系统剔除,其实这类用户主要是通过特殊命令不创建home文件夹达到的。执行以下命令即可:

sudo useradd -r -s /bin/false 用户名 passwd 用户名

3. 设置防火墙

nano /etc/iptables.firewall.rules

粘贴以下内容:

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

然后执行命令启动防火墙:

iptables-restore < /etc/iptables.firewall.rules

添加到开机任务中:

nano /etc/network/if-pre-up.d/firewall

粘贴以下内容:

#!/bin/sh /sbin/iptables-restore < /etc/iptables.firewall.rules

最后修改文件权限:

chmod +x /etc/network/if-pre-up.d/firewall

4. 添加登录失败惩罚措施 – Fail2ban

apt-get install fail2ban

默认是连续5次SSH密码错误,IP封锁10分钟,感觉默认值就够用了。 写在最后:以上就是我通过整理SSH下历史命令和参考官方文档总结出的LNMP/LEMP安装指南,中间走过不少弯路所以应该这个步骤是相对省时省力的。

参考文档:

https://library.linode.com/getting-started

https://library.linode.com/securing-your-server

https://library.linode.com/lemp-guides

http://askubuntu.com/questions/29359/how-to-add-user-without-home

==========以下是广告栏目==========

另外,我的Linode推广链接(返现10刀,详情与我联系吧):https://www.linode.com/?r=6e90c4d0b3ebbabe169e3ab933326b87813b4c9c

对更便宜的Digital Ocean感兴趣的可以点这个链接(联系我可以帮你免费得到两个月等值$10的点数供测试使用):https://www.digitalocean.com/?refcode=46787e765bb6

18/04/2014

Linode 再次升级,内存和CPU翻倍,升级为SSD硬盘

By in Web Log No Comments Tags: , ,

在前几天网站搬家之后,今日偶然看到Linode再次给力升级。

最低配置的方案,主机从原来的1GB内存升级到2GB;CPU从1核心优先级升级到2核心,硬盘升级为固态硬盘,与此同时VPS价格不变。

希望Linode在和某主机商价格战中保质保量越做越好,其实现在1GB的内存1核心CPU已经完全能够胜任Wordpress这类CMS的功能了。

迫不及待想迁移主机到新服务器上,但发现暂时日本服务器还无法完成。但借机会做个磁盘测试,方便和之后的SSD性能做对比。

$ sudo dd if=/dev/zero of=test bs=64k count=4k && rm test
4096+0 records in
4096+0 records out
268435456 bytes (268 MB) copied, 0.945093 s, 284 MB/s
$ sudo dd if=/dev/zero of=test bs=1M count=256 && rm test
256+0 records in
256+0 records out
268435456 bytes (268 MB) copied, 0.771767 s, 348 MB/s
$ sudo dd if=/dev/zero of=test bs=64k count=4k oflag=dsync && rm test
4096+0 records in
4096+0 records out
268435456 bytes (268 MB) copied, 4.47045 s, 60.0 MB/s

开了个Ticket咨询了下客服有关升级的事宜,客服说日本服务器还需要等一段时间,如果着急可以新开主机通过克隆的方法进行升级。暂时不打算新开主机更换,还是等上两个星期官方统一升级吧!

顺便说一下,Linode客服Ticket回复速度很快,基本上接近某些主机上在线即时聊天的速度了。

linode2g-3

linode2g-2

13/04/2014

网站搬家至Linode,开通IPV6访问支持

By in Web Log No Comments Tags: , ,

经过一天时间的努力,网站终于像以前一样照常运作。但访问速度较之前有了很大程度的加速。网站直连TPG ping值大概在160ms左右,北京联通光纤稍高一些,大概在180ms~250ms不等。应用Cloudflare缓存加速,TPG能下降到40ms左右,国内延迟则有所增加。

由于准备比较充分,理论上应该没有多少分钟网络中断的产生,在此还要表扬下Cloudflare的服务,DNS更新速度非常快,秒秒钟就能完成更新。

由于之前实在受不了IXWebhosting的低质量服务(我之前的帖子有提到过),不得已终于在月初确定了升级VPS的计划,经过几天断断续续的测试,发现Linode不愧是VPS领域的旗舰,整体性能非常稳定。

应用网上的免费压力测试工具,在5分钟内,本博客(在Cloudflare作弊的帮助下)刷出了8329个访问量,Linode SSH后台测试1分钟CPU占用率不超过40%(Longview性能监视面板峰值是18%)。

ssh-top

两篇报告:

http://loadimpact.com/load-test/blog.bjdch.org-4ca95b31cb8bee5708f16d4530cc3970

http://loadimpact.com/load-test/www.bjdch.org-985bf2bd7b99f38167ddf81704f7c80f

用上了VPS,首先是要习惯自己定期维护系统,包括装软件、调设置、打补丁,堵端口等步骤,虽然很辛苦,但很有成就感(最喜欢装软件的时候疯狂刷新的屏幕代码,仿佛进入了黑客帝国)。为了系统安全性和稳定性,暂时只开Web服务,没有近期打算开Mail服务器的想法。服务器目前只挂个人网站,给其他公司做的网站以后打算再找地方(或者免费放在IX)。

服务器采用了LEMP(我习惯叫LNMP,因为Nginx是N开头的嘛),之所以不用Apache是因为LAMP占用资源大,传说一线程用户就要占用20M的内存,可是内存都是用钱堆起来的啊,但主机商推荐LAMP组合也无可厚非,一方面是老牌软件资源多好调试(话说Nginx调试起来是最复杂的,各种错误,设置,而且故障排除确实麻烦,网上有不少玩了多年LAMP组合的老鸟第一次碰LEMP都说复杂),我这个还是一天搞定,效率还挺高。第二,主机商有利可图;当用户内存不够了,自然就打算升级更大的内存。以上两点达到的目的可谓1+1>2 既方便了技术支持,又能坐收渔利,双赢方案!

这次升级VPS总体来说还是比较顺利的,英语阅读能力再一次得到了锻炼(Linode文档会指明方向,但出了问题还是得问Mr. Google),当我主机调试接近尾声的时候,居然在日志发现有人在不停穷举我SSH的root密码,我也就顺便改了默认端口并增加了防火墙和容错惩罚,但真是令人哭笑不得(这肉鸡抓的也太是时候了吧,让人连气也喘不得)。以下是日志内容的NN分之一。

Apr 13 20:03:34 vpsgeek sshd[6798]: Failed password for root from 117.21.226.103 port 2441 ssh2
Apr 13 20:03:37 vpsgeek sshd[6798]: Failed password for root from 117.21.226.103 port 2441 ssh2
Apr 13 20:03:39 vpsgeek sshd[6798]: Failed password for root from 117.21.226.103 port 2441 ssh2
Apr 13 20:03:42 vpsgeek sshd[6798]: Failed password for root from 117.21.226.103 port 2441 ssh2
Apr 13 20:03:44 vpsgeek sshd[6798]: Failed password for root from 117.21.226.103 port 2441 ssh2
Apr 13 20:03:46 vpsgeek sshd[6798]: Failed password for root from 117.21.226.103 port 2441 ssh2

这个IP对应是电信机房,看来国人真是无处不在啊。您买了国内电信VPS不会就是为了抓肉鸡吧,当然这买卖也不亏,呵呵。放心,我的密码绝对10位以上,包含大小写字母,数字,字符,穷举还是要个把月的。另外输错5次以上密码系统封禁10分钟,不过上面这个IP的人欢迎多换几个IP试试看(信息公布还是挺透明的吧)。

此外,本网站全范围内支持IPV6访问,这也是一大特色,在国内用教育网的用户可以不花流量费访问本站了!

我将在稍后总结一些从零开始Linux的文档,虽然互联网上文章天花乱坠,但我会侧重写自己遇到并Troubleshooting的过程,给Linux Community尽一份力量吧。

==========以下是广告栏目==========

另外,我的Linode推广链接(返现10刀,详情与我联系吧):https://www.linode.com/?r=6e90c4d0b3ebbabe169e3ab933326b87813b4c9c

对更便宜的Digital Ocean感兴趣的可以点这个链接(联系我可以帮你免费得到两个月等值$10的点数供测试使用):https://www.digitalocean.com/?refcode=46787e765bb6