声明:因属于生产服务器,仅作操作记录。(部分涉及公司信息将替换或隐藏)
镜像备份
由于使用阿里云的服务器故使用了镜像备份,具体操作很简单,可阿里云查看即可。
迁移前准备
因使用旧镜像,故仅需测试所需软件即可。
SSH工具:SecureCRT、SecureFX(可替换其他工具,Puttty、SSH Secure)
应用:java(1.6、1.7、1.8)、tomcat(8.0.50)、nginx、redis、LibreOffice、cronolog、ELK等。(本人其他文章有另外介绍)
阿里云安全组策略:入栈规则:正常开放80、443端口即可。出站规则根据实际需求,通常默认全开。
迁移
阿里云新服务器使用之前备份的镜像即可,只需等待一定的时间即可登录新的服务器了。
检查iptables状态
如果无安装可使用:yum install -y iptables安装或yum update iptables 升级。
设置iptables规则
#查看iptables现有规则
iptables -L -n
#先允许所有,不然有可能会杯具
iptables -P INPUT ACCEPT
#清空所有默认规则
iptables -F
#清空所有自定义规则
iptables -X
#所有计数器归0
iptables -Z
#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT
#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丢弃
iptables -P INPUT DROP
#所有出站一律绿灯
iptables -P OUTPUT ACCEPT
#所有转发一律丢弃
iptables -P FORWARD DROP
保存iptables规则
service iptables save
注:也可以修改/etc/sysconfig/iptables文件,以上规则可以根据实际需要开放。
重启iptables
service iptables restart
角色创建
创建用户组
groupadd -g 500 tomcat
groupadd -g 501 nginx
groupadd -g 502 redis
groupadd -g 503 app
以上仅供参考,非实际数据。
创建用户组,及用户组标识号(非系统工作组大于等于500,系统工作组的组小于500)。
创建用户
useradd –d /usr/tomcat -m tomcat -g tomcat
仅作为实例。
创建tomcat用户属于tomcat组,并且指定home目录为/usr/tomcat ,无则创建该目录。
可直接用root用户设置用户密码.
passwd tomcat (根据步骤输入两次即可)
文件授权
创建相应文件夹或已有的文件夹
mkdir /usr/tomcat
更改文件夹和文件拥有者
chown -R 777 tomcat:tomcat /usr/tomcat
授权tomcat用户组下tomcat用户,/usr/tomcat下所有文件及文件夹的所有权限(777,读、写、执行),-R为遍历根目录。
注:需在/usr/tomcat/XXX/bin目录下为*.sh执行授权 chmod u+x *.sh
安装软件
以安装Liberoffice为例。
以root安装则很简单
sudo yum install ./LibreOffice_4.x.x_Linux_x86_rpm/RPMS/*.rpm
以非root安装(推荐)
需要先Yum install授权,编辑/etc/sudoers。
vi /etc/sudoers
在root用户下面增加一条如以下示例
root ALL=(ALL) ALL
app ALL=(ALL) ALL
则可使用app用户安装所需软件,
yum install ./LibreOffice_5.x.x_Linux_x86_rpm/RPMS/*.rpm
部署应用
本文以tomcat为例,nginx、redis、oracle、cronolog、ELK等有其他文章专门介绍。
因迁移时,已经具备java环境故此处默认已有,linux配置java环境也很简单可自行查阅、部署。
部署方式1
官网下载相应版本即可:下载地址 。 推荐从官网下载相应版本中的最新小版本,因官方会修复一些已知的漏洞后发布出来且删除旧的有漏洞的版本。
也可以wget下载。
wget http://mirrors.shu.edu.cn/apache/tomcat/tomcat-8/v8.0.53/bin/apache-tomcat-8.0.53.tar.gz
然后解压即可
tar -xzvf apache-tomcat-8.0.53.tar.gz
修改./conf/server.xml 文件
vi ./conf/server.xml
修改Connector标签的port端口根据实际需求即可。此处部署是带证书的,所以需要增加一条Connector。因项目原因会屏蔽一些字眼。
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
<Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" maxHttpHeaderSize="8192" maxSpareThreads="75" maxThreads="150" minSpareThreads="15" port="443" redirectPort="1889" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="keystore/www.xxx.com.jks" keystorePass="xxx" clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
<Engine defaultHost="localhost" name="localhost">
<Host name="localhost" appBase="webapps" autoDeploy="true" unpackWARs="true" xmlNamespaceAware="false" xmlValidation="false">
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/>
<Context docBase="/usr/local/webapps/example1" path="/example1" reloadable="false" />
<Context docBase="/usr/local/webapps/example2" path="/example2" reloadable="false" />
</Host>
</Engine>
注:以上示例需以root运行tomcat,因非root用户无法监听1024以下的端口。reloadable线上环境记得设置成false。
当然,规范肯定是以其他用户启动的,可以使用iptables做端口转发的策略绕过此限制。
如80-8081 443-8443 ;
Iptables需增加端口转发(80->8081/443->8443)
*nat 下面增加
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8081
-A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443
部署方式2(推荐)
此方式以一份tomcat实例,通过修改配置文件、环境变量、脚本来实现。(开发工具也是使用此形式实现的。)
官网下载相应版本即可:下载地址 。 推荐从官网下载相应版本中的最新小版本,因官方会修复一些已知的漏洞后发布出来且删除旧的有漏洞的版本。
wget下载。
wget http://mirrors.shu.edu.cn/apache/tomcat/tomcat-8/v8.0.53/bin/apache-tomcat-8.0.53.tar.gz
然后解压即可
tar -xzvf apache-tomcat-8.0.53.tar.gz
然后编写如下脚本(仅作示例)
setenv : 用于配置环境变量
/bin/sh
TOMCAT_USER=tomcat
export JAVA_HOME=/usr/java/jdkxxx
export CATALINA_HOME=/usr/tomcat/apache-tomcat-xxx
export JAVA_OPTS="-server -XX:PermSize=128m -XX:MaxPermSize=256m -Xms512m -Xmx1024m"
starup:启动脚本
#!/bin/sh
export CATALINA_BASE=$(cd `dirname $0`; pwd)
. $CATALINA_BASE/setenv.sh $*
WHO=`whoami`
COUNT=$(ps -ef|grep "^$WHO"|grep $JAVA_HOME|grep $CATALINA_HOME|grep "$CATALINA_BASE "|grep -v 'grep'|wc -l)
if [[ $WHO == root ]];then
echo "切换到 $TOMCAT_USER 执行.."
su - $TOMCAT_USER -c "$CATALINA_BASE/startup.sh"
#|awk '{printf "..."}END{print "Finished"}'
exit 1;
elif [[ $WHO == $TOMCAT_USER ]];then
echo "*******************************************************"
echo "当前配置目录:$CATALINA_BASE"
echo "*******************************************************"
if [[ $COUNT -ge 1 ]];then
echo "服务正在运行,请先 shutdown."
else
$CATALINA_HOME/bin/catalina.sh start|awk '{printf "..."}END{print "启动完毕"}'
if [[ $? == 0 ]];then
echo "TOMCAT 启动成功 @$CATALINA_BASE"
fi
fi
echo "进程信息:"
ps -ef|grep "^$WHO"|grep $JAVA_HOME|grep $CATALINA_HOME|grep "$CATALINA_BASE "|grep -v 'grep'
fi
shutdown:关闭脚本
#!/bin/sh
export CATALINA_BASE=$(cd `dirname $0`; pwd)
. $CATALINA_BASE/setenv.sh $*
WHO=`whoami`
GetPid(){
PS_ID=$(ps -ef|grep "^$WHO"|grep $JAVA_HOME|grep $CATALINA_HOME|grep "$CATALINA_BASE "|grep -v 'grep'|awk '{print $2}')
}
ShowPid(){
echo "进程信息:"
ps -ef|grep "^$WHO"|grep $JAVA_HOME|grep $CATALINA_HOME|grep "$CATALINA_BASE "|grep -v 'grep'
}
CountPid(){
COUNT=$(ps -ef|grep "^$WHO"|grep $JAVA_HOME|grep $CATALINA_HOME|grep "$CATALINA_BASE "|grep -v 'grep'|wc -l)
}
StopTomcat(){
STOP_RESULT=`$CATALINA_HOME/bin/catalina.sh stop >/dev/null 2>&1|grep "Connection Refused"|grep -v grep|wc -l`
}
if [[ $WHO == root ]];then
echo "切换到 $TOMCAT_USER 执行.."
su - $TOMCAT_USER -c "$CATALINA_BASE/shutdown.sh"
exit 1;
elif [[ $WHO == $TOMCAT_USER ]];then
CountPid
if [[ $COUNT == "0" ]];then
echo "服务没有启动."
else
ShowPid
StopTomcat
for((i=1;i<=30;i++));do
for((j=1;j<=5;j++));do
sleep 0.5
printf "."
done
CountPid
if [[ $COUNT -gt 0 ]];then
StopTomcat
elif [[ $COUNT -eq 0 ]];then
break;
fi
done
for((i=1;i<=120;i++));do
if [[ $COUNT -gt 0 ]];then
sleep 0.5
printf ".."
CountPid
fi
done
#如果超时,直接杀死
if [[ $COUNT -gt 0 ]];then
GetPid
kill -9 $PS_ID
fi
if [[ $? == 0 ]];then
echo "TOMCAT 服务已停止 @$CATALINA_BASE"
fi
fi
fi
jc:查看当前tomcat进程
#!/bin/sh
export CATALINA_BASE=$(cd `dirname $0`; pwd)
. $CATALINA_BASE/setenv.sh $*
echo "进程信息:"
ps -ef|grep "^$TOMCAT_USER"|grep $JAVA_HOME|grep $CATALINA_HOME|grep "$CATALINA_BASE "|grep -v 'grep'
rz:查看日志脚本
#!/bin/sh
CATALINA_BASE=$(cd `dirname $0`; pwd)
tail -n 100 -f $CATALINA_BASE/logs/catalina.out
相应的脚本编写完后进行打包,制作成模版,部署其他应用时直接使用,修改部分配置信息文件后即可。
tar -zcvf tomcat-tmpl.tar.gz --exclude=tomcat/lib tomcatxx
注:排除了lib包,因所有tomcat示例都共享这个lib的jar包。
后续部署时将当前模版解压后修改server.xml的端口、应用地址即可。
优点:tomcat版本升级时只需升级tomcat文件即可,不用每个应用都去修改。
备注:个人博客同步至简书。
网友评论