date: 2018-3-8 13:50:03
title: Swoft| Swoft官网全站 HTTP2 实践
Swoft1.0正式来袭, Swoft 也迎来自己的一个里程碑, star数正式突破 1k. Swoft官网作为项目组服务开发者们的重要渠道, 也迎来了自己的一次重大更新:
- 重构, 升级到 Swoft1.0
- 全站实现HTTP2
本篇先介绍 Swoft官网全站 HTTP2 实践
先来一张 Swoft 官网 效果图镇楼:
swoft 官网: 全站 HTTP2
- 静态资源由 nginx 托管, 开启 http2
- 业务代码交由 Swoft 执行, 设置 \Swoole\HttpServer 使用 HTTP2 协议
要实现 HTTP2 非常简单:
- nginx 开启 HTTP2
- Swoft 开启 HTTP2
- nginx + Swoft 配合使用
- 福利: 域名证书申请 轻松指南
nginx 开启 HTTP2
首先查看 nginx 中是否开启了 HTTP2 module(模块)
# -V: show version and configure options then exit
/var/www # nginx -V
# 新版 nginx 默认开启了 HTTP2: --with-http_v2_module
nginx version: nginx/1.13.8
built by gcc 6.2.1 20160822 (Alpine 6.2.1)
built with OpenSSL 1.0.2n 7 Dec 2017
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-stream_ssl_preread_module --with-stream_realip_module --with-stream_geoip_module=dynamic --with-http_slice_module --with-mail --with-mail_ssl_module --with-compat --with-file-aio
--with-http_v2_module
nginx 开启 HTTP2 配置示例, 可以在我的开源项目-docker中查看到示例:
# http2
server {
listen 80;
server_name www.daydaygo.top;
# 将 HTTP 请求强制跳转到 HTTPS
rewrite ^(.*)$ https://${server_name}$1 permanent;
}
server {
# 开启 HTTP2
listen 443 ssl http2 default_server;
server_name www.daydaygo.top;
# 证书极简设置
ssl on;
ssl_certificate daydaygo.top.crt;
ssl_certificate_key daydaygo.top.key;
root /var/www/https_test;
index index.php index.html;
location / {}
location ~ \.php$ {
fastcgi_pass fpm:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
Swoft 开启 HTTP2
Swoole 开启 HTTP2, 可以参考 Swoft 提供的 Dockerfile
# Debian系Linux
apt-get install -y libssl-dev libnghttp2-dev
# Swoole 添加编译参数
./configure --enable-async-redis --enable-mysqlnd --enable-coroutine --enable-openssl --enable-http2
Swoft 配置中开启 HTTP2, 参考 .env.example 文件
# 默认配置
OPEN_HTTP2_PROTOCOL=false
SSL_CERT_FILE=/path/to/ssl_cert_file
SSL_KEY_FILE=/path/to/ssl_key_file
# 开启 HTTP2: 这里是将证书放到项目 resource/ 目录下
OPEN_HTTP2_PROTOCOL=true
SSL_CERT_FILE=@res/ssl/ssl_cert_file
SSL_KEY_FILE=@res/ssl/ssl_key_file
nginx 配合 Swoft 使用
nginx 配合 Swoft 使用, 类似 nginx+fpm 配置即可, 代码示例可以参考 我的开源项目-docker
# swoft-site
server {
listen 80;
server_name swoft.daydaygo.top;
# 将 HTTP 请求强制跳转到 HTTPS
rewrite ^(.*)$ https://${server_name}$1 permanent;
}
server {
# 开启 HTTP2
listen 443 ssl http2;
server_name swoft.daydaygo.top;
# 证书极简配置
ssl on;
ssl_certificate 1_swoft.daydaygo.top_bundle.crt;
ssl_certificate_key 2_swoft.daydaygo.top.key;
root /var/www/swoole/swoft-offcial-site/public;
index index.php index.html;
error_log /var/log/nginx/swoft-site.error.log;
access_log /var/log/nginx/swoft-site.access.log;
# nginx 转发请求给 swoft
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Connection "keep-alive";
proxy_pass https://swoft:9501;
}
location ~ \.php(.*)$ {
proxy_pass https://swoft:9501;
}
# nginx 托管静态文件
location ~* \.(js|map|css|png|jpg|jpeg|gif|ico|ttf|woff2|woff)$ {
expires max;
}
}
福利: 域名证书申请 轻松指南
先确认你知道关于域名的几个基础知识:
- 为什么用域名?
- 什么是子域名?
- 为什么域名要备案?
- 什么是域名证书?
如果这些都不熟悉, 建议申请一个域名体验一下.
域名证书分为 2 种: 单域名证书 泛域名证书, 区别来自于 什么是子域名. 比如我拥有域名 .daydaygo.top, 那么我可以设置任意子域名, 比如 www.daydaygo.top, test.www.daydaygo.top. 如果是单域名证书, 那么我每一个子域名都需要一个证书, 泛域名证书则可以对我所有的子域名生效.
域名证书由相关机构发放, 一般需要花钱购买. 既然是 福利, 这里介绍 2 个免费好用的途径:
- 动动鼠标, 证书到手, 腾讯云-申请免费单域名证书
- 终于等到免费泛域名证书, Let's Encrypt 泛域名证书
单域名证书实践
腾讯云-申请免费单域名证书: https://console.qcloud.com/ssl
全程只需要动动鼠标即可:
-
到腾讯云官网申请
腾讯云 - 单域名证书申请
-
配置域名解析验证域名所有权
配置域名解析
然后下载证书, 配置到 nginx 中即可. 详细教程请参考腾讯云官方文档.
不过要注意:
- 证书有效期 1 年
- 同一域名最多只能申请 20 个证书
通配符域名证书实践
Let's Encrypt 终于支持通配符证书了: https://www.jianshu.com/p/c5c9d071e395
Let's Encrypt 在免费域名证书领域算是 家喻户晓, 现在终于支持 通配符证书 了. 不过按照上面 blog 的教程, 很是一番折腾. 虽然一波三折, 但是得益于自己使用 docker 作为开发环境, 在尝试各种解决方案时, 都没有太大阻碍.
这里记录下来最终成功使用的一种方式:
- 来自官网的教程: ACME v2 Production Environment & Wildcards: Remember: You must use an ACME v2 compatible client to access this endpoint
- ACME v2 Compatible Clients: 结合上面的 blog, 选择 certbot
- 在 certbot 官网, 选择
nginx+centos7环境, 出现教程 - 使用自己的 docker 开发环境 - centos 进行实践
# 安装 certbot
yum install certbot-nginx
# 稍微修改教程中的命令
certbot certonly -d *.daydaygo.top --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory
之后一路确认, 最后添加 配置域名解析验证域名所有权, 大功告成!
[root@e6be50c34c81 www]# ll /etc/letsencrypt/live/daydaygo.top/
total 4
-rw-r--r-- 1 root root 543 Mar 16 16:48 README
lrwxrwxrwx 1 root root 36 Mar 16 16:48 cert.pem -> ../../archive/daydaygo.top/cert1.pem
lrwxrwxrwx 1 root root 37 Mar 16 16:48 chain.pem -> ../../archive/daydaygo.top/chain1.pem
lrwxrwxrwx 1 root root 41 Mar 16 16:48 fullchain.pem -> ../../archive/daydaygo.top/fullchain1.pem
lrwxrwxrwx 1 root root 39 Mar 16 16:48 privkey.pem -> ../../archive/daydaygo.top/privkey1.pem
查看 README, 所得证书与 nginx 配置对应关系如下:
ssl_certificate -> fullchain1.pem
ssl_certificate_key -> privkey1.pem
certbot 还可以配置 crontab 来 自动更新证书, 按照 官方教程 配置即可
折腾的过程颇为一波三折, 简单记录一下, 希望能给大家帮助:
- 我本人喜欢使用 alpine linux, 所以直接使用自己的 docker 开发环境 - alpine 安装 certbot:
apk add certbot, 然而执行后报错不支持泛域名 - 百度之, 出现的第一篇文章是
Let's Encrypt官方新闻, 发现里面的 url 和教程的 url 不同, 没细看下 以为是 url 错误, 其实看到的这篇新闻比较早, url 是预发布时的 url - 继续看
Let's Encrypt官方新闻, 评论中看到正式 url 放出的新闻, 这就是上面教程中提到的链接, 从而知道使用的 certbot 版本不对:Certbot (Certbot >= 0.22.0) - 另一条错误的尝试是使用
certbot-auto, 根据报错发现运行需要依赖python + gugeas, 于是又尝试使用自己的 docker 开发环境 - python 来尝试, 但pip install python-gugeas时一直报错, 解决软件依赖无果
写在最后
对技术保持好奇并勇于尝试新技术, 实在是一件颇为有趣的事.
不要因为环境, 限制了你的能力, 投入 docker 的怀抱吧
网友评论