Traefik  یک پروکسی معکوس آگاه از Docker است که شامل داشبورد نظارت خود میباشد. در این آموزش ، از Traefik برای مسیر یابی درخواست ها به دو کانتینر مختلف برنامه وب استفاده می کنید: یک کانتینر وردپرس و یک کانتینر Adminer که هر کدام با یک پایگاه داده MySQL در ارتباط هستند. با استفاده از Let’s Encrypt ، Traefik را پیکربندی می کنید تا همه چیز را از طریق HTTPS  ارائه دهد.

پیش نیازها

برای دنبال کردن این آموزش ، به موارد زیر نیاز دارید:

• یک سرور مجازی Ubuntu 18.04 با پیروی از راهنمای ستاپ اولیه سرور مجازی Ubuntu 18.04 ، از جمله کاربر غیر ریشه sudo و فایروال ، راه اندازی شده.
• Docker روی سرور مجازی شما نصب شده باشد ، که می توانید با دنبال کردن نحوه نصب و استفاده از Docker در Ubuntu 18.04 این کار را انجام دهید.
• Docker Compose با دستورالعمل نحوه نصب Docker Compose در Ubuntu 18.04 نصب شده باشد.
• یک دامنه و سه رکورد A ، db-admin ، blog و monitor. هر کدام باید به آدرس IP سرور مجازی شما اشاره کنند. در طول این آموزش ، دامنه خود را به جای your_domain در فایلهای پیکربندی و مثالها جایگزین کنید.

مرحله 1 – پیکربندی و اجرای  Traefik

پروژه Traefik دارای یک تصویر Docker رسمی است ، بنابراین ما برای اجرای Traefik در یک کانتینر Docker از آن استفاده خواهیم کرد.

اما قبل از راه اندازی کانتینر Traefik ، باید یک فایل پیکربندی ایجاد کرده و یک پسورد رمزگذاری شده تنظیم کنیم تا بتوانیم به داشبورد نظارت دسترسی پیدا کنیم.

برای ایجاد این گذرواژه رمزگذاری شده از ابزار htpasswd استفاده خواهیم کرد. ابتدا برنامه کمکی را نصب کنید که در بسته apache2-utils  وجود دارد:

·         $ sudo apt-get install apache2-utils·

سپس رمز عبور را با htpasswd تولید کنید. secure_password را با رمز عبوری که می خواهید برای کاربر مدیر Traefik استفاده کنید جایگزین کنید:

·         $ htpasswd -nb admin secure_password·

خروجی برنامه به صورت زیر خواهد بود:

Output

admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

برای تنظیم احراز هویت پایه HTTP برای داشبورد بررسی و نظارت بر سلامت Traefik ، از خروجی منحصر به فرد خود در فایل پیکربندی Traefik استفاده خواهید کرد. تمام خط خروجی خود را کپی کنید تا بعداً بتوانید آن را جایگذاری کنید. از خروجی مثال استفاده نکنید.

برای پیکربندی سرور مجازی Traefik ، با استفاده از قالب TOML ، یک فایل پیکربندی جدید به نام traefik.toml ایجاد خواهیم کرد. TOML یک زبان پیکربندی شبیه به فایل های INI اما استاندارد است. این فایل به ما اجازه می دهد تا سرور مجازی Traefik و ادغام های مختلف یا providers را که می خواهیم استفاده کنیم پیکربندی کنیم. در این آموزش ، ما از سه ارائه دهنده موجود Traefik استفاده خواهیم کرد: api ، docker  و acme. آخرین مورد ، acme  با استفاده از Let’s Encrypt از گواهینامه های TLS پشتیبانی می کند.

فایل جدید خود را در nano یا ویرایشگر متن مورد علاقه خود باز کنید:

·         $ nano traefik.toml·

ابتدا دو نقطه ورودی به نام http و https اضافه کنید که به طور پیش فرض همه backends به آنها دسترسی خواهند داشت:

traefik.toml

defaultEntryPoints = [“http”, “https”]

بعداً در این فایل نقاط ورودی http و https را پیکربندی خواهیم کرد.

در مرحله بعد ، ارائه دهنده api را پیکربندی کنید ، که به شما امکان دسترسی به رابط داشبورد را می دهد. اینجاست که می توانید خروجی را از دستور htpasswd پیست کنید:

traefik.toml

…

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

[api]

entrypoint=”dashboard”

داشبورد یک برنامه وب جداگانه است که در کانتینر Traefik اجرا می شود. ما داشبورد را تنظیم می کنیم تا روی پورت 8080 کار کند.

بخش entrypoints.dashboard نحوه ارتباط ما با ارائه دهنده api را تنظیم می کند و بخش entrypoints.dashboard.auth.basic  تأیید اعتبار اصلی HTTP را برای داشبورد پیکربندی می کند. برای مقدار ورودی کاربران از خروجی دستور htpasswd استفاده کنید. می توانید ورودهای اضافی را با جدا کردن آنها با ویرگول مشخص کنید.

ما اولین ورودی خود را تعریف کرده ایم ، اما باید سایر موارد را برای ارتباطات استاندارد HTTP و HTTPS که به سمت ارائه دهنده api  نیست ، تعریف کنیم. بخش entryPoints آدرس هایی را که Traefik و کانتینرهای پروکسی می توانند به آن گوش دهند پیکربندی می کند. این خطوط را به فایل زیر عنوان entryPoints اضافه کنید:

traefik.toml

…

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443”

[entryPoints.https.tls]

…

نقطه ورود http پورت 80 را کنترل می کند ، در حالی که نقطه ورود https از پورت 443 برای TLS / SSL استفاده می کند. ما به طور خودکار تمام ترافیک موجود در پورت 80 را به نقطه ورود https هدایت می کنیم تا اتصالات ایمن را برای همه درخواست ها تضمین کنیم.

در مرحله بعد ، این بخش را برای پیکربندی Let’s Encrypt پشتیبانی از گواهی Traefik اضافه کنید:

traefik.toml

…

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

این بخش acme نامیده می شود زیرا ACME نام پروتكلی است كه برای ارتباط با Let’s Encrypt برای مدیریت گواهینامه ها استفاده می شود. سرویس Let’s Encrypt نیاز به ثبت نام با یک آدرس ایمیل معتبر دارد ، بنابراین برای اینکه Traefik برای هاست های ما گواهی تولید کند ، کلید ایمیل را روی آدرس ایمیل خود تنظیم کنید. سپس مشخص می کنیم که اطلاعاتی که از Let’s Encrypt  دریافت خواهیم کرد را در یک فایل JSON به نام acme.json ذخیره خواهیم کرد. کلید entryPoint باید به نقطه ورودی پورت 443 اشاره کند ، که در مورد ما نقطه ورود https است.

کلید onHostRule نحوه عملکرد Traefik برای تولید گواهینامه ها را تعیین می کند. ما می خواهیم گواهینامه خود را به محض ایجاد کانتینرها با نام هاست های مشخص دریافت کنیم ، و این همان کاری است که تنظیم onHostRule انجام می دهد.

بخش acme.httpChallenge به ما اجازه می دهد تا تعیین کنیم چگونه Let’s Encrypt بتواند تأیید کند که گواهی تولید شده است. ما در حال پیکربندی آن هستیم تا به عنوان بخشی از چالش از طریق نقطه ورود http ، یک فایل را ارائه دهد.

در آخر ، بیایید با اضافه کردن این خطوط به فایل ، ارائه دهنده docker را پیکربندی کنیم:

traefik.toml

…

[docker]

domain = “your_domain”

watch = true

network = “web”

ارائه دهنده docker ، Traefik  را قادر می سازد به عنوان یک پروکسی در مقابل کانتینرهای Docker عمل کند. ما ارائه دهنده را پیکربندی کرده ایم تا کانتینرهای جدیدی را در شبکه وب مشاهده کند که به زودی ایجاد خواهیم کرد و آنها را به عنوان زیر دامنه های your_domain نمایش می دهد.

در این مرحله ، traefik.toml  باید دارای محتوای زیر باشد:

traefik.toml

defaultEntryPoints = [“http”, “https”]

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443″

[entryPoints.https.tls]

[api]

entrypoint=”dashboard”

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

[docker]

domain = “your_domain”

watch = true

network = “web”

Copy

فایل را ذخیره کرده و از ویرایشگر خارج شوید. با استفاده از این پیکربندی ها ، می توانیم Traefik را مقداردهی اولیه کنیم.

مرحله 2 – اجرای  کانتینر  Traefik

سپس ، یک شبکه Docker برای پروکسی ایجاد کنید تا با کانتینرها به اشتراک گذاشته شود. شبکه Docker لازم است تا بتوانیم از آن در برنامه هایی که با استفاده از Docker Compose اجرا می شوند استفاده کنیم. بیایید با این شبکه وب تماس بگیریم:

• $ docker network create web

وقتی کانتینر Traefik شروع به کار کرد ، ما آن را به این شبکه اضافه خواهیم کرد. سپس می توانیم کانتینرهای دیگری را برای پروکسی Trafik به این شبکه اضافه کنیم.

سپس ، یک فایل خالی ایجاد کنید که اطلاعات Let’s Encrypt ما را در خود نگه دارد. ما این را در کانتینر به اشتراک خواهیم گذاشت تا Traefik بتواند از آن استفاده کند:

• $ touch acme.json

Traefik  فقط درصورتی امکان استفاده از این فایل را خواهد داشت که کاربر ریشه داخل کانتینر دسترسی خواندن و نوشتن منحصر به فرد به آن داشته باشد. برای انجام این کار ، مجوزهای acme.json را قفل کنید تا فقط صاحب فایل اجازه خواندن و نوشتن را داشته باشد:

• $ chmod 600 acme.json

هنگامی که فایل به Docker منتقل شد ، مالک به طور خودکار به کاربر اصلی داخل کانتینر تغییر می کند.

در آخر ، با استفاده از این دستور کانتینر Traefik را ایجاد کنید:

• docker run -d
• -v /var/run/docker.sock:/var/run/docker.sock
• -v $PWD/traefik.toml:/traefik.toml
• -v $PWD/acme.json:/acme.json
• -p 80:80
• -p 443:443
• -l traefik.frontend.rule=Host:monitor.your_domain
• -l traefik.port=8080
• –network web
• –name traefik
• traefik:1.7-alpine

دستور کمی طولانی است ، بنابراین اجازه دهید آن را تجزیه کنیم.

ما از پرچم -d برای اجرای کانتینر در پس زمینه به عنوان یک دمون استفاده می کنیم. سپس فایل docker.sock خود را در کانتینر به اشتراک می گذاریم تا روند Traefik بتواند تغییرات در کانتینرها را گوش دهد. همچنین فایل پیکربندی traefik.toml و فایل acme.json  را که ایجاد کردیم در کانتینر به اشتراک می گذاریم.

سپس ، از پورت های 80 و: 443 هاست Docker خود به همان پورت های موجود در کانتینر Traefik ترسیم می کنیم تا Traefik تمام ترافیک HTTP و HTTPS را به سرور مجازی دریافت کند.

سپس دو برچسب Docker تنظیم می کنیم که به Traefik می گوید که باید ترافیک را به سمت نام هاست monitor.your_domain به :8080 درون کانتینر Traefik هدایت کند، که داشبورد نظارت را نشان می دهد.

شبکه کانتینر را روی وب تنظیم می کنیم و کانتینر را traefik نامگذاری می گذاریم.

سرانجام ، از تصویر traefik: 1.7-alpine برای این کانتینر استفاده می کنیم ، زیرا کوچک است.

یک ENTRYPOINT تصویر Docker فرمانی است که همیشه هنگام ایجاد کانتینر از تصویر اجرا می شود. در این حالت ، دستور باینری traefik درون کانتینر است. هنگام راه اندازی کانتینر می توانید آرگومان های دیگری را به آن دستور منتقل کنید ، اما همه تنظیمات خود را در فایل traefik.toml پیکربندی کرده ایم.

با راه اندازی کانتینر ، اکنون داشبوردی دارید که می توانید برای مشاهده سلامت کانتینرهای خود به آن دسترسی داشته باشید. همچنین می توانید از این داشبورد برای تجسم frontends  و  backends که Traefik ثبت کرده استفاده کنید. با رفتن به ادرس https: //monitor.your_domain  در مرورگر خود به داشبورد نظارت دسترسی پیدا کنید. نام کاربری و گذرواژه ادمین  و رمز عبوری که در مرحله 1 پیکربندی کرده اید ، از شما خواسته می شود.

پس از ورود به سیستم ، رابط کاربری مشابه این را مشاهده خواهید کرد:

چیز چندانی برای مشاهده وجود ندارد ، اما این پنجره را باز بگذارید ، و با افزودن کانتینرهایی برای مدیریت Traefik ، تغییر محتوا را مشاهده خواهید کرد.

اکنون پروکسی Traefik در حال اجرا ، پیکربندی شده برای کار با Docker و آماده نظارت بر سایر کانتینرها Docker است. بیایید چند کانتینر برای Traefik به پروکسی اضافه کنیم.

مرحله 3 – ثبت کانتینرها با  Traefik

با استفاده از کانتینر Traefik ، آماده اجرای برنامه هایی در ورای آن هستید. اجازه دهید کانتینرهای زیر را تحت Traefik راه اندازی کنیم:

1- وبلاگی با استفاده از تصویر رسمی وردپرس.

2- یک سرور مجازی مدیریت پایگاه داده با استفاده از تصویر رسمی  Adminer.

ما با استفاده از یک فایل docker-compose.yml هر دو این برنامه ها را با Docker Compose مدیریت خواهیم کرد.

فایل docker-compose.yml را در ویرایشگر خود ایجاد و باز کنید:

• $ nano docker-compose.yml

خطوط زیر را به فایل اضافه کنید تا نسخه و شبکه هایی را که استفاده خواهیم کرد مشخص کنید:

docker-compose.yml

version: “3”

networks:

web:

external: true

internal:

external: false

ما از Docker Compose نسخه 3 استفاده می کنیم زیرا جدیدترین نسخه اصلی قالب فایل Compose است.

برای اینکه Traefik برنامه های ما را بشناسد ، آنها باید بخشی از یک شبکه باشند و از آنجا که ما شبکه را به صورت دستی ایجاد کرده ایم ، با تعیین نام شبکه وب و تنظیم external  روی true ، آن را به داخل می کشیم. سپس یک شبکه دیگر تعریف می کنیم تا بتوانیم کانتینرهای در معرض دید خود را به یک کانتینر پایگاه داده متصل کنیم که از طریق Traefik در معرض آن قرار نمی گیریم. ما این شبکه را internalمی نامیم.

در مرحله بعدی ، هر یک از سرویس های خود را یک به یک تعریف خواهیم کرد. بیایید با محتوای وبلاگ شروع کنیم ، که پایه آن را تصویر رسمی وردپرس قرار خواهیم داد. این پیکربندی را به پایین فایل خود اضافه کنید:

docker-compose.yml

version: “3”

…

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

کلید environment به شما امکان می دهد متغیرهای محیطی را که در داخل کانتینر تنظیم می شوند ، تعیین کنید. با تعیین نکردن مقداری برای WORDPRESS_DB_PASSWORD ، به Docker Compose می گوییم که هنگام ایجاد کانتینر مقدار را از پوسته ما گرفته و آن را عبور دهد. قبل از شروع کانتینرها ، این متغیر محیط را در پوسته خود تعریف خواهیم کرد. به این ترتیب گذرواژه های محکم کد گذاری شده را در فایل پیکربندی وارد نمی کنیم.

قسمت labels  جایی است که شما مقادیر پیکربندی Traefik را تعیین می کنید. برچسب های Docker به تنهایی کاری انجام نمی دهند ، اما Traefik این موارد را می خواند تا بداند چگونه با کانتینرها رفتار کند. آنچه در هر یک از این برچسب ها انجام می شود به این شرح است:

• backend نام سرویس backend را در Traefik مشخص می کند (که به کانتینر واقعی blog اشاره دارد).
• frontend.rule=Host:blog.your_domain به Traefik می گوید که میزبان درخواستی را بررسی کند و اگر با الگوی blog.your_domain مطابقت دارد باید ترافیک را به کانتینر blog هدایت کند.
• docker.network=web مشخص می کند برای یافتن IP داخلی این کانتینر در کدام شبکه به دنبال Traefik بگردید. از آنجا که کانتینر Traefik ما به تمام اطلاعات Docker دسترسی دارد ، اگر این مورد را مشخص نکنیم ، احتمالاً IP را برای شبکه داخلی می گیرد.
• port پورت در معرض مشخصی را مشخص می کند که Traefik باید از آن برای مسیر یابی به این کانتینر استفاده کند.

با استفاده از این پیکربندی ، تمام ترافیک ارسال شده به پورت 80 میزبان Docker ما به کانتینر blog  هدایت می شود.

ما این کانتینر را به دو شبکه مختلف اختصاص می دهیم تا Traefik بتواند آن را از طریق شبکه وب پیدا کند و بتواند از طریق شبکه داخلی با کانتینر پایگاه داده ارتباط برقرار کند.

سرانجام ، کلید depend_on به Docker Compose می گوید که این کانتینر پس از اجرای متعلقات باید شروع شود. از آنجا که وردپرس برای اجرا به یک پایگاه داده احتیاج دارد ، ما باید قبل از شروع محتوای وبلاگ خود ، محتوای mysql خود را اجرا کنیم.

سپس ، با اضافه کردن این پیکربندی به پایین فایل ، سرویس MySQL را پیکربندی کنید:

docker-compose.yml

services:

…

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

ما برای این کانتینر از تصویر رسمی MySQL 5.7 استفاده می کنیم. مشاهده خواهید کرد که بار دیگر از یک آیتم environment  بدون مقدار استفاده می کنیم. متغیرهای MYSQL_ROOT_PASSWORD و WORDPRESS_DB_PASSWORD  باید در همان مقدار تنظیم شوند تا اطمینان حاصل شود که کانتینر وردپرس ما می تواند با  MySQL  ارتباط برقرار کند. ما نمی خواهیم کانتینر mysql را در معرض Traefik یا جهان خارج قرار دهیم ، بنابراین فقط این کانتینر را به شبکه داخلی اختصاص می دهیم. از آنجا که Traefik به سوکت Docker دسترسی دارد ، این فرایند همچنان پیش فرض یک کانتینر mysql را نشان می دهد ، بنابراین ما برچسب traefik.enable = false را اضافه می کنیم تا مشخص کنیم Traefik نباید این کانتینر را نشان دهد.

سرانجام ، این پیکربندی را به قسمت پایین فایل خود اضافه کنید تا کانتینر Adminer را تعریف کنید:

docker-compose.yml

services:

…

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

این کانتینر بر اساس تصویر رسمی ادمین است. پیکربندی network  و depends_on برای این کانتینر دقیقاً با آنچه برای کانتینر blog  استفاده می کنیم مطابقت دارد.

با این حال ، از آنجا که همه ترافیک را به پورت 80 هاست Docker خود مستقیماً به کانتینر blog  هدایت می کنیم ، باید این کانتینر را به گونه دیگری پیکربندی کنیم تا ترافیک به کانتینر ادمین ما برسد. traefik.frontend.rule=Host:db-admin.your_domain به Traefik می گوید هاست درخواستی را بررسی کند. اگر با الگوی db-admin.your_domain مطابقت داشته باشد ، Traefik ترافیک را به سمت کانتینر مدیر هدایت می کند.

در این مرحله ، docker-compose.yml  باید دارای محتوای زیر باشد:

docker-compose.yml

version: “3”

networks:

web:

external: true

internal:

external: false

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

فایل را ذخیره کرده و از ویرایشگر متن خارج شوید.

سپس ، مقادیر را برای پوسته خود برای متغیرهای WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD قبل از شروع کانتینرها خود تنظیم کنید:

• $ export WORDPRESS_DB_PASSWORD=secure_database_password
• $ export MYSQL_ROOT_PASSWORD=secure_database_password

secure_database_password  را با گذرواژه پایگاه داده مورد نظر خود جایگزین کنید. فراموش نکنید که برای هر دو WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD از رمز عبور یکسانی استفاده کنید.

با تنظیم این متغیرها ، کانتینرها را با استفاده از docker-compose اجرا کنید:

• $ docker-compose up -d

اکنون نگاهی دوباره به داشبورد مدیریت Traefik بیندازید. خواهید دید که اکنون یک backend  و  frontend برای دو سرور مجازی وجود دارد:

به blog.your_domain خود بروید. به یک اتصال TLS هدایت خواهید شد و اکنون می توانید تنظیمات WordPress را انجام دهید:

اکنون با مراجعه به db-admin.your_domain در مرورگر خود ، به Adminer دسترسی پیدا کنید و your_domain را دوباره با دامنه خود جایگزین کنید. کانتینر mysql در معرض دنیای خارج نیست ، اما کانتینر adminer  از طریق شبکه داخلی Docker  که با استفاده از نام کانتینر mysql به عنوان نام هاست به آن استفاده میکنند ، دسترسی دارد.

در صفحه ورود به سیستم Adminer ، از ROOT به عنوان نام کاربری، MySQL برای سرور مجازی استفاده کنید. و مقداری را که برای MYSQL_ROOT_PASSWORD  تعیین کرده اید برای رمز عبور وارد کنید. پس از ورود به سیستم ، رابط کاربری Adminer را مشاهده خواهید کرد:

هر دو سایت اکنون کار می کنند و شما می توانید از داشبورد موجود در monitor.your_domain استفاده کنید تا برنامه های خود را تحت نظر داشته باشید.

نتیجه

در این آموزش ، Traefik را به درخواست پروکسی از برنامه های دیگر در کانتینرهای Docker پیکربندی کرده اید.

پیکربندی اعلانی Traefik در سطح کانتینر برنامه ، پیکربندی سرویس های بیشتر را آسان می کند و هنگام افزودن برنامه های جدید به ترافیک پروکسی ، نیازی به راه اندازی مجدد کانتینر traefik نیست زیرا Traefik بلافاصله از طریق فایل سوکت Docker که در حال کنترل است، متوجه تغییر می شود.

برای کسب اطلاعات بیشتر در مورد آنچه می توانید با Traefik انجام دهید ، به مطالب رسمی Traefik مراجعه کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

در این آموزش ، از دستور curl برای دانلود یک فایل متنی از سرور مجازی وب استفاده خواهید کرد. شما محتویات آن را مشاهده خواهید کرد ، آن را به صورت محلی ذخیره خواهید کرد و به curl خواهید گفت که اگر فایل ها منتقل شده اند ، ریدایرکت ها را دنبال کند.

دانلود فایل ها از طریق اینترنت می تواند خطرناک باشد ، بنابراین مطمئن شوید که از منابع معتبر دانلود می کنید.

مرحله 1 – گرفتن فایل های از راه دور

خارج از باکس ، بدون هیچ آرگومان خط فرمان ، دستور curl یک فایل را واکشی می کند و محتوای آن را به خروجی استاندارد نشان می دهد.

با دانلود فایل robots.txt بیایید آن را امتحان کنیم:

·                 $ curl https://www.digitalocean.com/robots.txt

محتوای فایل را در صفحه نمایش خواهید دید:

Output

User-agent: *

Disallow:

sitemap: https://www.digitalocean.com/sitemap.xml

sitemap: https://www.digitalocean.com/community/main_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/questions_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/users_sitemap.xml.gz

به curl یک URL بدهید و منبع را واکشی کرده و محتوای آن را نمایش می دهد.

ذخیره فایل های از راه دور

واکشی یک فایل و نمایش محتوای آن کاملاً خوب است ، اما اگر بخواهید فایل را در سیستم خود ذخیره کنید چه می کنید؟

برای ذخیره فایل از راه دور در سیستم محلی خود ، با همان نام فایل سرور مجازی که از آن دانلود می کنید ، آرگومان –remote-name را اضافه کنید یا از گزینه -O استفاده کنید:

• $ curl -O https://www.digitalocean.com/robots.txt

فایل شما دانلود می شود:

[secondary_label Output

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

Dload  Upload   Total   Spent    Left  Speed

100   286    0   286    0     0   5296      0 –:–:– –:–:– –:–:–  5296

curl به جای نمایش محتویات فایل ، پیشرفت بر پایه متن را نشان می دهد و فایل را به همان نام فایل راه دور ذخیره می کند. با دستور cat می توانید موارد را بررسی کنید:

• $ cattxt

این فایل شامل همان مطالبی است که قبلاً مشاهده کرده اید:

[secondary_label Output

User-agent: *

Disallow:

sitemap: https://www.digitalocean.com/sitemap.xml

sitemap: https://www.digitalocean.com/community/main_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/questions_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/users_sitemap.xml.gz

اکنون بیایید به تعیین یک نام فایل برای فایل دانلود شده بپردازیم.

مرحله 2 – ذخیره فایل های از راه دور با نام فایل خاص

ممکن است قبلاً یک فایل محلی با همان نام فایل در سرور مجازی راه دور داشته باشید.

برای جلوگیری از رونویسی مجدد فایل محلی خود به همین نام ، از آرگومان -o یا –output و به دنبال آن نام فایل محلی که می خواهید محتوا را در آن ذخیره کنید استفاده کنید.

برای دانلود فایل از راه دور robots.txt در فایل do-bots.txt که به صورت محلی نامگذاری شده است ، دستور زیر را اجرا کنید:

• $ curl -o do-bots.txt https://www.digitalocean.com/robots.txt

بار دیگر نوار پیشرفت را مشاهده خواهید کرد:

Output

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

Dload  Upload   Total   Spent    Left  Speed

100   286    0   286    0     0   6975      0 –:–:– –:–:– –:–:–  7150

اکنون برای نمایش محتویات do-bots.txt از دستور cat استفاده کنید تا فایل مورد نظر را دانلود کنید:

• $ cat do-bots.txt

خروجی یکسان میباشد:

Output

User-agent: *

Disallow:

sitemap: https://www.digitalocean.com/sitemap.xml

sitemap: https://www.digitalocean.com/community/main_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/questions_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/users_sitemap.xml.gz

به طور پیش فرض ، curl تغییر مسیرها را دنبال نمی کند ، بنابراین هنگام انتقال فایل ها ، ممکن است آنچه انتظار دارید را دریافت نکنید. بیایید ببینیم چگونه این مشکل را برطرف کنیم.

مرحله 3 – دنبال کردن تغییر مسیرها

تاکنون همه مثالها شامل URL های کاملاً واجد شرایط هستند که شامل پروتکل https: // هستند. اگر بخواهید فایل robots.txt را گرفته و فقط www.example.com را مشخص کنید ، هیچ خروجی نمی بینید ، زیرا example درخواست های http: // را به https: // هدایت می کند:

شما می توانید این را با استفاده از پرچم -I تأیید کنید ، که عناوین درخواست را به جای محتویات فایل نمایش می دهد:

• $ curl -I www.digitalocean.com

خروجی نشان می دهد که URL تغییر مسیر داده است. خط اول خروجی به شما می گوید که جابه جا شده است و خط location مکان آن را به شما می گوید:

[secondary_label Output

HTTP/1.1 301 Moved Permanently

Date: Wed, 26 Aug 2020 19:01:33 GMT

Connection: keep-alive

Cache-Control: max-age=3600

Expires: Wed, 26 Aug 2020 20:01:33 GMT

Location: https://www.digitalocean.com/robots.txt

cf-request-id: 04cdbea7a40000c5cc8d34d200000001

Server: cloudflare

CF-RAY: 5c8fcd52aea0c5cc-EWR

می توانید از curl برای درخواستی دیگر به صورت دستی استفاده کنید ، یا می توانید از آرگومان –location یا -L استفاده کنید که به curl می گوید هر زمان که با یک تغییر مسیر مواجه شد درخواست را به مکان جدید دوباره انجام دهد. آن را امتحان کنید:

• $ curl -L www.digitalocean.com/robots.txt

این بار خروجی را مشاهده می کنید ، زیرا curl به دنبال تغییر مسیر می رود:

Output

User-agent: *

Sitemap: https://www.digitalocean.com/sitemap.xml

برای دانلود فایل در سیستم محلی خود می توانید آرگومان -L را با برخی از آرگومان های فوق الذکر ترکیب کنید:

• $ curl -L -o do-bots.txt www.digitalocean.com/robots.txt

هشدار: بسیاری از منابع آنلاین از شما می خواهند که برای دانلود اسکریپت ها و اجرای آنها از curl استفاده کنید. قبل از اجرای اسکریپت های دانلود شده ، بهتر است محتوای آنها را بررسی کنید. برای بررسی کد و اطمینان از چیزی که می خواهید اجرا کنید ، از دستور less استفاده کنید.

نتیجه

curl به شما امکان می دهد که فایل ها را سربع از یک سیستم از راه دور دانلود کنید.  Curl  از پروتکل های مختلف پشتیبانی می کند و همچنین می تواند درخواست های وب پیچیده تری از جمله تعامل با API های از راه دور برای ارسال و دریافت داده ها را ایجاد کند.

با مشاهده صفحه دستی  man در مورد curl می توانید اطلاعات بیشتری کسب کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

Traefik  یک پروکسی معکوس آگاه از Docker است که شامل داشبورد نظارت خود میباشد. در این آموزش ، از Traefik برای مسیر یابی درخواست ها به دو کانتینر مختلف برنامه وب استفاده می کنید: یک کانتینر وردپرس و یک کانتینر Adminer که هر کدام با یک پایگاه داده MySQL در ارتباط هستند. با استفاده از Let’s Encrypt ، Traefik را پیکربندی می کنید تا همه چیز را از طریق HTTPS  ارائه دهد.

پیش نیازها

برای دنبال کردن این آموزش ، به موارد زیر نیاز دارید:

• یک سرورمجازی اوبونتو 20.04 با پیروی از راهنمای ستاپ اولیه سرورمجازی اوبونتو 20.04 ، از جمله کاربر غیر ریشه sudo و فایروال ، راه اندازی شده.
• Docker روی سرورمجازی شما نصب شده باشد ، که می توانید با دنبال کردن نحوه نصب و استفاده از Docker در Ubuntu 20.04 این کار را انجام دهید.
• Docker Compose با دستورالعمل نحوه نصب Docker Compose در اوبونتو 20.04 نصب شده باشد.
• یک دامنه و سه رکورد A ، db-admin.your_domain ، your_domain و monitor.your_domain. هر کدام باید به آدرس IP سرورمجازی شما اشاره کنند. در طول این آموزش ، دامنه خود را به جای your_domain در فایلهای پیکربندی و مثالها جایگزین کنید.

مرحله 1 – پیکربندی و اجرای  Traefik

پروژه Traefik دارای یک تصویر Docker رسمی است ، بنابراین ما برای اجرای Traefik در یک کانتینر Docker از آن استفاده خواهیم کرد.

اما قبل از راه اندازی کانتینر Traefik ، باید یک فایل پیکربندی ایجاد کرده و یک پسورد رمزگذاری شده تنظیم کنیم تا بتوانیم به داشبورد نظارت دسترسی پیدا کنیم.

برای ایجاد این گذرواژه رمزگذاری شده از ابزار htpasswd استفاده خواهیم کرد. ابتدا برنامه کمکی را نصب کنید که در بسته apache2-utils  وجود دارد:

·         $ sudo apt-get install apache2-utils·

سپس رمز عبور را با htpasswd تولید کنید. secure_password را با رمز عبوری که می خواهید برای کاربر مدیر Traefik استفاده کنید جایگزین کنید:

·         $ htpasswd -nb admin secure_password·

خروجی برنامه به صورت زیر خواهد بود:

Output

admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

برای تنظیم احراز هویت پایه HTTP برای داشبورد بررسی و نظارت بر سلامت Traefik ، از خروجی منحصر به فرد خود در فایل پیکربندی Traefik استفاده خواهید کرد. تمام خط خروجی خود را کپی کنید تا بعداً بتوانید آن را جایگذاری کنید. از خروجی مثال استفاده نکنید.

برای پیکربندی سرورمجازی Traefik ، با استفاده از قالب TOML ، یک فایل پیکربندی جدید به نام traefik.toml ایجاد خواهیم کرد. TOML یک زبان پیکربندی شبیه به فایل های INI اما استاندارد است. این فایل به ما اجازه می دهد تا سرورمجازی Traefik و ادغام های مختلف یا providers را که می خواهیم استفاده کنیم پیکربندی کنیم. در این آموزش ، ما از سه ارائه دهنده موجود Traefik استفاده خواهیم کرد: api ، docker  و acme. آخرین مورد ، acme  با استفاده از Let’s Encrypt از گواهینامه های TLS پشتیبانی می کند.

فایل جدید خود را در nano یا ویرایشگر متن مورد علاقه خود باز کنید:

·         $ nano traefik.toml·

ابتدا دو نقطه ورودی به نام http و https اضافه کنید که به طور پیش فرض همه backends به آنها دسترسی خواهند داشت:

traefik.toml

defaultEntryPoints = [“http”, “https”]

بعداً در این فایل نقاط ورودی http و https را پیکربندی خواهیم کرد.

در مرحله بعد ، ارائه دهنده api را پیکربندی کنید ، که به شما امکان دسترسی به رابط داشبورد را می دهد. اینجاست که می توانید خروجی را از دستور htpasswd پیست کنید:

traefik.toml

…

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

[api]

entrypoint=”dashboard”

داشبورد یک برنامه وب جداگانه است که در کانتینر Traefik اجرا می شود. ما داشبورد را تنظیم می کنیم تا روی پورت 8080 کار کند.

بخش entrypoints.dashboard نحوه ارتباط ما با ارائه دهنده api را تنظیم می کند و بخش entrypoints.dashboard.auth.basic  تأیید اعتبار اصلی HTTP را برای داشبورد پیکربندی می کند. برای مقدار ورودی کاربران از خروجی دستور htpasswd استفاده کنید. می توانید ورودهای اضافی را با جدا کردن آنها با ویرگول مشخص کنید.

ما اولین ورودی خود را تعریف کرده ایم ، اما باید سایر موارد را برای ارتباطات استاندارد HTTP و HTTPS که به سمت ارائه دهنده api  نیست ، تعریف کنیم. بخش entryPoints آدرس هایی را که Traefik و کانتینرهای پروکسی می توانند به آن گوش دهند پیکربندی می کند. این خطوط را به فایل زیر عنوان entryPoints اضافه کنید:

traefik.toml

…

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443”

[entryPoints.https.tls]

…

نقطه ورود http پورت 80 را کنترل می کند ، در حالی که نقطه ورود https از پورت 443 برای TLS / SSL استفاده می کند. ما به طور خودکار تمام ترافیک موجود در پورت 80 را به نقطه ورود https هدایت می کنیم تا اتصالات ایمن را برای همه درخواست ها تضمین کنیم.

در مرحله بعد ، این بخش را برای پیکربندی Let’s Encrypt پشتیبانی از گواهی Traefik اضافه کنید:

traefik.toml

…

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

این بخش acme نامیده می شود زیرا ACME نام پروتكلی است كه برای ارتباط با Let’s Encrypt برای مدیریت گواهینامه ها استفاده می شود. سرویس Let’s Encrypt نیاز به ثبت نام با یک آدرس ایمیل معتبر دارد ، بنابراین برای اینکه Traefik برای هاست های ما گواهی تولید کند ، کلید ایمیل را روی آدرس ایمیل خود تنظیم کنید. سپس مشخص می کنیم که اطلاعاتی که از Let’s Encrypt دریافت خواهیم کرد را در یک فایل JSON به نام acme.json ذخیره خواهیم کرد. کلید entryPoint باید به نقطه ورودی پورت 443 اشاره کند ، که در مورد ما نقطه ورود https است.

کلید onHostRule نحوه عملکرد Traefik برای تولید گواهینامه ها را تعیین می کند. ما می خواهیم گواهینامه خود را به محض ایجاد کانتینرها با نام هاست های مشخص دریافت کنیم ، و این همان کاری است که تنظیم onHostRule انجام می دهد.

بخش acme.httpChallenge به ما اجازه می دهد تا تعیین کنیم چگونه Let’s Encrypt بتواند تأیید کند که گواهی تولید شده است. ما در حال پیکربندی آن هستیم تا به عنوان بخشی از چالش از طریق نقطه ورود http ، یک فایل را ارائه دهد.

در آخر ، بیایید با اضافه کردن این خطوط به فایل ، ارائه دهنده docker را پیکربندی کنیم:

traefik.toml

…

[docker]

domain = “your_domain”

watch = true

network = “web”

ارائه دهنده docker ، Traefik  را قادر می سازد به عنوان یک پروکسی در مقابل کانتینرهای Docker عمل کند. ما ارائه دهنده را پیکربندی کرده ایم تا کانتینرهای جدیدی را در شبکه وب مشاهده کند که به زودی ایجاد خواهیم کرد و آنها را به عنوان زیر دامنه های your_domain نمایش می دهد.

در این مرحله ، traefik.toml  باید دارای محتوای زیر باشد:

traefik.toml

defaultEntryPoints = [“http”, “https”]

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443″

[entryPoints.https.tls]

[api]

entrypoint=”dashboard”

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

[docker]

domain = “your_domain”

watch = true

network = “web”

Copy

فایل را ذخیره کرده و از ویرایشگر خارج شوید. با استفاده از این پیکربندی ها ، می توانیم Traefik را مقداردهی اولیه کنیم.

مرحله 2 – اجرای  کانتینر  Traefik

سپس ، یک شبکه Docker برای پروکسی ایجاد کنید تا با کانتینرها به اشتراک گذاشته شود. شبکه Docker لازم است تا بتوانیم از آن در برنامه هایی که با استفاده از Docker Compose اجرا می شوند استفاده کنیم. بیایید با این شبکه وب تماس بگیریم:

• $ docker network create web

وقتی کانتینر Traefik شروع به کار کرد ، ما آن را به این شبکه اضافه خواهیم کرد. سپس می توانیم کانتینرهای دیگری را برای پروکسی Trafik به این شبکه اضافه کنیم.

سپس ، یک فایل خالی ایجاد کنید که اطلاعات Let’s Encrypt ما را در خود نگه دارد. ما این را در کانتینر به اشتراک خواهیم گذاشت تا Traefik بتواند از آن استفاده کند:

• $ touch acme.json

Traefik  فقط درصورتی امکان استفاده از این فایل را خواهد داشت که کاربر ریشه داخل کانتینر دسترسی خواندن و نوشتن منحصر به فرد به آن داشته باشد. برای انجام این کار ، مجوزهای acme.json را قفل کنید تا فقط صاحب فایل اجازه خواندن و نوشتن را داشته باشد:

• $ chmod 600 acme.json

هنگامی که فایل به Docker منتقل شد ، مالک به طور خودکار به کاربر اصلی داخل کانتینر تغییر می کند.

در آخر ، با استفاده از این دستور کانتینر Traefik را ایجاد کنید:

• docker run -d
• -v /var/run/docker.sock:/var/run/docker.sock
• -v $PWD/traefik.toml:/traefik.toml
• -v $PWD/acme.json:/acme.json
• -p 80:80
• -p 443:443
• -l traefik.frontend.rule=Host:monitor.your_domain
• -l traefik.port=8080
• –network web
• –name traefik
• traefik:1.7-alpine

دستور کمی طولانی است ، بنابراین اجازه دهید آن را تجزیه کنیم.

ما از پرچم -d برای اجرای کانتینر در پس زمینه به عنوان یک دمون استفاده می کنیم. سپس فایل docker.sock خود را در کانتینر به اشتراک می گذاریم تا روند Traefik بتواند تغییرات در کانتینرها را گوش دهد. همچنین فایل پیکربندی traefik.toml و فایل acme.json  را که ایجاد کردیم در کانتینر به اشتراک می گذاریم.

سپس ، از پورت های 80 و: 443 هاست Docker خود به همان پورت های موجود در کانتینر Traefik ترسیم می کنیم تا Traefik تمام ترافیک HTTP و HTTPS را به سرورمجازی دریافت کند.

سپس دو برچسب Docker تنظیم می کنیم که به Traefik می گوید که باید ترافیک را به سمت نام هاست monitor.your_domain به :8080 درون کانتینر Traefik هدایت کند، که داشبورد نظارت را نشان می دهد.

شبکه کانتینر را روی وب تنظیم می کنیم و کانتینر را traefik نامگذاری می گذاریم.

سرانجام ، از تصویر traefik: 1.7-alpine برای این کانتینر استفاده می کنیم ، زیرا کوچک است.

یک ENTRYPOINT تصویر Docker فرمانی است که همیشه هنگام ایجاد کانتینر از تصویر اجرا می شود. در این حالت ، دستور باینری traefik درون کانتینر است. هنگام راه اندازی کانتینر می توانید آرگومان های دیگری را به آن دستور منتقل کنید ، اما همه تنظیمات خود را در فایل traefik.toml پیکربندی کرده ایم.

با راه اندازی کانتینر ، اکنون داشبوردی دارید که می توانید برای مشاهده سلامت کانتینرهای خود به آن دسترسی داشته باشید. همچنین می توانید از این داشبورد برای تجسم frontends  و  backends که Traefik ثبت کرده استفاده کنید. با رفتن به ادرس https: //monitor.your_domain  در مرورگر خود به داشبورد نظارت دسترسی پیدا کنید. نام کاربری و گذرواژه ادمین  و رمز عبوری که در مرحله 1 پیکربندی کرده اید ، از شما خواسته می شود.

پس از ورود به سیستم ، رابط کاربری مشابه این را مشاهده خواهید کرد:

چیز چندانی برای مشاهده وجود ندارد ، اما این پنجره را باز بگذارید ، و با افزودن کانتینرهایی برای مدیریت Traefik ، تغییر محتوا را مشاهده خواهید کرد.

اکنون پروکسی Traefik در حال اجرا ، پیکربندی شده برای کار با Docker و آماده نظارت بر سایر کانتینرها Docker است. بیایید چند کانتینر برای Traefik به پروکسی اضافه کنیم.

مرحله 3 – ثبت کانتینرها با  Traefik

با استفاده از کانتینر Traefik ، آماده اجرای برنامه هایی در ورای آن هستید. اجازه دهید کانتینرهای زیر را تحت Traefik راه اندازی کنیم:

1- وبلاگی با استفاده از تصویر رسمی وردپرس.

2- یک سرورمجازی مدیریت پایگاه داده با استفاده از تصویر رسمی  Adminer.

ما با استفاده از یک فایل docker-compose.yml هر دو این برنامه ها را با Docker Compose مدیریت خواهیم کرد.

فایل docker-compose.yml را در ویرایشگر خود ایجاد و باز کنید:

• $ nano docker-compose.yml

خطوط زیر را به فایل اضافه کنید تا نسخه و شبکه هایی را که استفاده خواهیم کرد مشخص کنید:

docker-compose.yml

version: “3”

networks:

web:

external: true

internal:

external: false

ما از Docker Compose نسخه 3 استفاده می کنیم زیرا جدیدترین نسخه اصلی قالب فایل Compose است.

برای اینکه Traefik برنامه های ما را بشناسد ، آنها باید بخشی از یک شبکه باشند و از آنجا که ما شبکه را به صورت دستی ایجاد کرده ایم ، با تعیین نام شبکه وب و تنظیم external  روی true ، آن را به داخل می کشیم. سپس یک شبکه دیگر تعریف می کنیم تا بتوانیم کانتینرهای در معرض دید خود را به یک کانتینر پایگاه داده متصل کنیم که از طریق Traefik در معرض آن قرار نمی گیریم. ما این شبکه را internalمی نامیم.

در مرحله بعدی ، هر یک از سرویس های خود را یک به یک تعریف خواهیم کرد. بیایید با محتوای وبلاگ شروع کنیم ، که پایه آن را تصویر رسمی وردپرس قرار خواهیم داد. این پیکربندی را به پایین فایل خود اضافه کنید:

docker-compose.yml

…

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

کلید environment به شما امکان می دهد متغیرهای محیطی را که در داخل کانتینر تنظیم می شوند ، تعیین کنید. با تعیین نکردن مقداری برای WORDPRESS_DB_PASSWORD ، به Docker Compose می گوییم که هنگام ایجاد کانتینر مقدار را از پوسته ما گرفته و آن را عبور دهد. قبل از شروع کانتینرها ، این متغیر محیط را در پوسته خود تعریف خواهیم کرد. به این ترتیب گذرواژه های محکم کد گذاری شده را در فایل پیکربندی وارد نمی کنیم.

قسمت labels  جایی است که شما مقادیر پیکربندی Traefik را تعیین می کنید. برچسب های Docker به تنهایی کاری انجام نمی دهند ، اما Traefik این موارد را می خواند تا بداند چگونه با کانتینرها رفتار کند. آنچه در هر یک از این برچسب ها انجام می شود به این شرح است:

• backend نام سرویس backend را در Traefik مشخص می کند (که به کانتینر واقعی blog اشاره دارد).
• frontend.rule=Host:blog.your_domain به Traefik می گوید که میزبان درخواستی را بررسی کند و اگر با الگوی blog.your_domain مطابقت دارد باید ترافیک را به کانتینر blog هدایت کند.
• docker.network=web مشخص می کند برای یافتن IP داخلی این کانتینر در کدام شبکه به دنبال Traefik بگردید. از آنجا که کانتینر Traefik ما به تمام اطلاعات Docker دسترسی دارد ، اگر این مورد را مشخص نکنیم ، احتمالاً IP را برای شبکه داخلی می گیرد.
• port پورت در معرض مشخصی را مشخص می کند که Traefik باید از آن برای مسیر یابی به این کانتینر استفاده کند.

با استفاده از این پیکربندی ، تمام ترافیک ارسال شده به پورت 80 میزبان Docker ما به کانتینر blog  هدایت می شود.

ما این کانتینر را به دو شبکه مختلف اختصاص می دهیم تا Traefik بتواند آن را از طریق شبکه وب پیدا کند و بتواند از طریق شبکه داخلی با کانتینر پایگاه داده ارتباط برقرار کند.

سرانجام ، کلید depend_on به Docker Compose می گوید که این کانتینر پس از اجرای متعلقات باید شروع شود. از آنجا که وردپرس برای اجرا به یک پایگاه داده احتیاج دارد ، ما باید قبل از شروع محتوای وبلاگ خود ، محتوای mysql خود را اجرا کنیم.

سپس ، با اضافه کردن این پیکربندی به پایین فایل ، سرویس MySQL را پیکربندی کنید:

docker-compose.yml

…

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

ما برای این کانتینر از تصویر رسمی MySQL 5.7 استفاده می کنیم. مشاهده خواهید کرد که بار دیگر از یک آیتم environment  بدون مقدار استفاده می کنیم. متغیرهای MYSQL_ROOT_PASSWORD و WORDPRESS_DB_PASSWORD  باید در همان مقدار تنظیم شوند تا اطمینان حاصل شود که کانتینر وردپرس ما می تواند با  MySQL  ارتباط برقرار کند. ما نمی خواهیم کانتینر mysql را در معرض Traefik یا جهان خارج قرار دهیم ، بنابراین فقط این کانتینر را به شبکه داخلی اختصاص می دهیم. از آنجا که Traefik به سوکت Docker دسترسی دارد ، این فرایند همچنان پیش فرض یک کانتینر mysql را نشان می دهد ، بنابراین ما برچسب traefik.enable = false را اضافه می کنیم تا مشخص کنیم Traefik نباید این کانتینر را نشان دهد.

سرانجام ، این پیکربندی را به قسمت پایین فایل خود اضافه کنید تا کانتینر Adminer را تعریف کنید:

docker-compose.yml

…

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

این کانتینر بر اساس تصویر رسمی ادمین است. پیکربندی network  و depends_on برای این کانتینر دقیقاً با آنچه برای کانتینر blog  استفاده می کنیم مطابقت دارد.

با این حال ، از آنجا که همه ترافیک را به پورت 80 هاست Docker خود مستقیماً به کانتینر blog  هدایت می کنیم ، باید این کانتینر را به گونه دیگری پیکربندی کنیم تا ترافیک به کانتینر ادمین ما برسد. traefik.frontend.rule=Host:db-admin.your_domain به Traefik می گوید هاست درخواستی را بررسی کند. اگر با الگوی db-admin.your_domain مطابقت داشته باشد ، Traefik ترافیک را به سمت کانتینر مدیر هدایت می کند.

در این مرحله ، docker-compose.yml  باید دارای محتوای زیر باشد:

docker-compose.yml

version: “3”

networks:

web:

external: true

internal:

external: false

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

فایل را ذخیره کرده و از ویرایشگر متن خارج شوید.

سپس ، مقادیر را برای پوسته خود برای متغیرهای WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD قبل از شروع کانتینرها خود تنظیم کنید:

• $ export WORDPRESS_DB_PASSWORD=secure_database_password
• $ export MYSQL_ROOT_PASSWORD=secure_database_password

SECURE_database_password  را با گذرواژه پایگاه داده مورد نظر خود جایگزین کنید. فراموش نکنید که برای هر دو WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD از رمز عبور یکسانی استفاده کنید.

با تنظیم این متغیرها ، کانتینرها را با استفاده از docker-compose اجرا کنید:

• $ docker-compose up -d

اکنون نگاهی دوباره به داشبورد مدیریت Traefik بیندازید. خواهید دید که اکنون یک backend  و  frontend برای دو سرورمجازی وجود دارد:

به blog.your_domain خود بروید. به یک اتصال TLS هدایت خواهید شد و اکنون می توانید تنظیمات WordPress را انجام دهید:

اکنون با مراجعه به db-admin.your_domain در مرورگر خود ، به Adminer دسترسی پیدا کنید و your_domain را دوباره با دامنه خود جایگزین کنید. کانتینر mysql در معرض دنیای خارج نیست ، اما کانتینر adminer  از طریق شبکه داخلی Docker  که با استفاده از نام کانتینر mysql به عنوان نام هاست به آن استفاده میکنند ، دسترسی دارد.

در صفحه ورود به سیستم Adminer ، منوی کشویی System را روی MySQL تنظیم کنید. حالا mysql را برای سرورمجازی وارد کنید ، root  را برای نام کاربری وارد کنید و مقداری را که برای MYSQL_ROOT_PASSWORD برای رمز عبور تعیین کرده اید وارد کنید. Database  را خالی بگذارید. اکنون Login را فشار دهید.

پس از ورود به سیستم ، رابط کاربری Adminer را مشاهده خواهید کرد:

هر دو سایت اکنون کار می کنند و شما می توانید از داشبورد موجود در monitor.your_domain استفاده کنید تا برنامه های خود را تحت نظر داشته باشید.

نتیجه

در این آموزش ، Traefik را به درخواست پروکسی از برنامه های دیگر در کانتینرهای Docker پیکربندی کرده اید.

پیکربندی اعلانی Traefik در سطح کانتینر برنامه ، پیکربندی سرویس های بیشتر را آسان می کند و هنگام افزودن برنامه های جدید به ترافیک پروکسی ، نیازی به راه اندازی مجدد کانتینر traefik نیست زیرا Traefik بلافاصله از طریق فایل سوکت Docker که در حال کنترل است، متوجه تغییر می شود.

برای کسب اطلاعات بیشتر در مورد آنچه می توانید با Traefik انجام دهید ، به مطالب رسمی Traefik مراجعه کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

Redis برای استفاده کلاینت های مورد اعتماد در یک محیط قابل اعتماد طراحی شده است و از نظر امنیتی ویژگی های قدرتمندی ندارد. با این حال ، Redis چند ویژگی امنیتی دارد که شامل یک پسورد رمزگذاری نشده و دستور تغییر نام و غیرفعال کردن است. این آموزش دستورالعمل هایی در مورد چگونگی پیکربندی این ویژگی های امنیتی را ارائه می دهد ، همچنین چند تنظیمات دیگر را نیز شامل می شود که می تواند باعث افزایش امنیت نصب مستقل Redis در CentOS 7 شود.

توجه داشته باشید که این راهنما به موقعیت هایی که سرور مجازی Redis و برنامه های کلاینت در هاست های مختلف یا در مراکز داده های مختلف هستند ، نمی پردازد. نصب هایی که ترافیک Redis مجبور است از یک شبکه ناایمن یا غیر قابل اعتماد عبور کند ، به مجموعه دیگری از تنظیمات ، مانند راه اندازی یک پروکسی SSL یا VPN بین دستگاه های Redis نیاز دارد.

پیش نیازها

برای تکمیل این راهنما ، به یک سرور مجازی Centos7 که با دنبال کردن راهنمای راه اندازی سرور مجازی اولیه ما تنظیم شده نیاز دارید.

یک فایروال نصب و پیکربندی شده، به روز و شامل مرحله Turning on the Firewall.

با انجام این پیش نیاز ها آماده نصب Redis و اجرای برخی کارهای پیکربندی اولیه خواهیم بود.

مرحله 1 – نصب Redis

قبل از نصب Redis ، ابتدا باید بسته های اضافی برای منبع Enterprise Linux  (EPEL) را به لیست بسته های سرور مجازی اضافه کنیم. EPEL یک مخزن بسته است که شامل تعدادی بسته نرم افزاری اضافی منبع باز است که بیشتر آنها توسط پروژه Fedora نگهداری می شوند.

ما می توانیم EPEL را با استفاده از yum نصب کنیم:

• $ sudo yum install epel-release

پس از پایان نصب EPEL ، می توانید Redis را نصب کنید ، دوباره با استفاده از yum:

• $ sudo yum install redis -y

انجام این کار ممکن است چند دقیقه طول بکشد. پس از اتمام نصب ، سرویس Redis را شروع کنید:

• $ sudo systemctl start redis.service

اگر می خواهید Redis از بوت شروع شود ، می توانید آن را با دستور enable  فعال کنید:

• $ sudo systemctl enable redis

با اجرای موارد زیر می توانید وضعیت Redis را بررسی کنید:

• $ sudo systemctl status redis.service

Output

• redis.service – Redis persistent key-value database

Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)

Drop-In: /etc/systemd/system/redis.service.d

└─limit.conf

Active: active (running) since Thu 2018-03-01 15:50:38 UTC; 7s ago

Main PID: 3962 (redis-server)

CGroup: /system.slice/redis.service

└─3962 /usr/bin/redis-server 127.0.0.1:6379

هنگامی که تأیید کردید Redis در حال اجرا است ، با این دستور ستاپ را امتحان کنید:

• $ redis-cli ping

این باید PONG را به عنوان پاسخ چاپ کند. اگر این گونه باشد ، به این معنی است که شما اکنون Redis را در سرور مجازی خود اجرا کرده و ما می توانیم پیکربندی آن را برای افزایش امنیت آن آغاز کنیم.

مرحله 2 – اتصال Redis و ایمن سازی آن با فایروال

یک روش موثر برای محافظت از Redis ، ایمن سازی سروری است که روی آن اجرا میشود. شما می توانید این کار را با اطمینان حاصل کردن از این که Redis فقط به localhost یا یک آدرس IP خصوصی متصل است و اینکه سرور مجازی دارای فایروال و به روز است این کار را انجام دهید.

با این حال ، اگر با استفاده از این آموزش خوشه Redis را راه اندازی کرده اید ، پس فایل پیکربندی را به روز کرده اید تا از هرجایی اتصال برقرار شود ، این امنیت به اندازه اتصال به localhost یا IP خصوصی نیست.

برای رفع این مشکل ، فایل پیکربندی Redis را برای ویرایش باز کنید:

• $ sudo vi /etc/redis.conf

ابتدا خطی که با BIND شروع میشود پیدا کنید و مطمئن شوید که خارج شده است:

/etc/redis.conf

bind 127.0.0.1

اگر لازم است Redis را به آدرس IP دیگری متصل کنید (مانند مواردی که از یک میزبان جداگانه به Redis دسترسی پیدا خواهید کرد) به شما توصیه می کنیم آن را به یک آدرس IP خصوصی متصل کنید. اتصال به یک آدرس IP عمومی ، قرار گرفتن در معرض رابط Redis شما را در برابر طرف های خارجی افزایش می دهد.

/etc/redis.conf

bind your_private_ip

اگر پیش نیازها را دنبال کرده و firewalld را بر روی سرور مجازی خود نصب کرده اید و قصد ندارید از میزبان دیگری به Redis متصل شوید ، دیگر نیازی به افزودن قوانین فایروال اضافی برای Redis ندارید. از این گذشته ، هرگونه ترافیک ورودی به طور پیش فرض کاهش می یابد مگر اینکه صریحاً توسط قوانین فایروال اجازه داده شود. از آنجا که نصب مستقل پیش فرض سرور مجازی Redis فقط به رابط loopback (127.0.0.1 یا localhost) گوش می کند ، دیگر نباید نگرانی برای ترافیک ورودی در پورت پیش فرض آن وجود داشته باشد.

اگر می خواهید از میزبان دیگری به Redis دسترسی پیدا کنید ، باید با استفاده از دستور firewall-cmd تغییراتی در پیکربندی firewalld خود ایجاد کنید. باز هم ، فقط باید با استفاده از آدرس IP خصوصی هاست ها ، به سرور مجازی Redis خود اجازه دسترسی دهید تا تعداد هاست هایی که سرویس شما در معرض آنهاست را محدود کنید.

برای شروع ، یک منطقه اختصاصی Redis را به رویکرد فایروال خود اضافه کنید:

• $ sudo firewall-cmd –permanent –new-zone=redis

سپس مشخص کنید کدام پورت را می خواهید باز کنید. Redis به طور پیش فرض از پورت6397 استفاده می کند:

• $ sudo firewall-cmd –permanent –zone=redis –add-port=6379/tcp

سپس ، آدرسهای IP خصوصی را که باید از طریق فایروال عبور کرده و به Redis دسترسی پیدا کنند ، مشخص کنید:

• $ sudo firewall-cmd –permanent –zone=redis –add-source=client_server_private_IP

پس از اجرای این دستورات ، فایروال را دانلود کنید تا قوانین جدید را اجرا کنید:

• $ sudo firewall-cmd –reload

تحت این پیکربندی ، هنگامی که فایروال بسته ای را از آدرس IP کلاینت شما مشاهده می کند ، قوانینی را در منطقه اختصاصی Redis برای آن اتصال اعمال می کند. سایر اتصالات توسط منطقه عمومی پیش فرض پردازش می شوند. سرویس های موجود در منطقه پیش فرض برای هر اتصال اعمال می شوند ، نه فقط برای سرویس هایی که به وضوح مطابقت ندارند ، بنابراین نیازی نیست که سرویس های دیگری (به عنوان مثال SSH) را به منطقه Redis اضافه کنید زیرا این قوانین به طور خودکار برای آن اتصال اعمال می شوند.

اگر تصمیم به ایجاد فایروال با استفاده از Iptables کرده اید ، لازم است مجوزهای ثانویه خود را به پورت Redis با دستورات زیر دسترسی دهید:

• $ sudo iptables -A INPUT -i lo -j ACCEPT
• $ sudo iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
• $ sudo iptables -A INPUT -p tcp -s client_servers_private_IP/32 –dport 6397 -m conntrack –ctstate NEW,ESTABLISHED -j ACCEPT
• $ sudo iptables -P INPUT DROP

اطمینان حاصل کنید که قوانین فایروال Iptables خود را با استفاده از مکانیزم ارائه شده توسط توزیع ذخیره کنید. با نگاهی به راهنمای ملزومات Iptables می توانید درباره Iptables بیشتر بیاموزید.

به خاطر داشته باشید که استفاده از هر دو ابزار فایروال کار می کند. نکته مهم این است که فایروال در حال کار است و به گونه ای انجام می شود که افراد ناشناس نتوانند به سرور مجازی شما دسترسی پیدا کنند. در مرحله بعدی ، Redis را پیکربندی می کنیم تا فقط با یک رمز عبور قوی قابل دسترسی باشد.

مرحله 3 – پیکربندی رمز عبور Redis

اگر Redis را با استفاده از آموزش نحوه پیکربندی خوشه Redis  در CentOS 7 نصب کرده اید ، باید یک رمز عبور برای آن پیکربندی کرده باشید. بنا به صلاحدید خود ، می توانید با دنبال کردن این بخش یک رمز عبور ایمن تر ایجاد کنید. اگر هنوز رمز عبوری تنظیم نکرده اید ، دستورالعمل های موجود در این بخش نحوه تنظیم رمز سرور مجازی پایگاه داده را نشان می دهد.

پیکربندی رمز عبور Redis یکی از دو ویژگی امنیتی داخلی خود را ایجاد می کند – دستور auth ، که به تایید اعتبار کلاینت ها برای دسترسی به پایگاه داده نیاز دارد. رمز عبور مستقیماً در فایل پیکربندی Redis ، /etc/redis/redis.conf  پیکربندی شده است ، بنابراین دوباره آن فایل را با ویرایشگر مورد نظر خود باز کنید:

$ sudo vi /etc/redis.conf

به بخش SECURITY بروید و به دنبال دستورالعملی باشید که وظیفه خواندن را دارد:

/etc/redis.conf

# requirepass foobared

با حذف # آن را لغو کنید و foobared  را به یک رمزعبور امن تغییر دهید. به جای اینکه خودتان یک رمز عبور بسازید ، ممکن است از ابزاری مانند apg یا pwgen برای تولید آن استفاده کنید. اگر نمی خواهید یک برنامه فقط برای تولید گذرواژه نصب کنید ، می توانید از دستور زیر استفاده کنید.

توجه داشته باشید که وارد کردن این دستور به صورت نوشته شده هر بار رمز عبور یکسانی را ایجاد می کند. برای ایجاد رمز عبور متفاوت از رمز عبوری که با این کار ایجاد می شود ، کلمه را در صورت نقل قول به هر کلمه یا عبارت دیگری تغییر دهید.

·         $  echo “digital-ocean” | sha256sum

اگرچه رمز ورود ایجاد شده قابل تلفظ نیست ، اما یک رمز بسیار قوی و طولانی است که دقیقاً همان نوع رمز مورد نیاز Redis است. پس از کپی و پیست کردن خروجی آن دستور به عنوان مقدار جدید برای Requirese ، به این صورت خواهد بود:

/etc/redis.conf

requirepass password_copied_from_output

اگر رمز عبور کوتاه تری را ترجیح می دهید ، به جای آن از خروجی دستور زیر استفاده کنید. دوباره ، کلمه را به صورت نقل قول تغییر دهید تا رمز عبور مشابه این رمز ایجاد نشود:

·         $ echo “digital-ocean” | sha1sum·

پس از تنظیم پسورد فایل را ذخیره کنید و ببندید و Redis را ریستارت کنید:

• $ sudo systemctl restart redis.service

سپس برای بررسی کارکرد گذرواژه، به خط فرمان Redis دسترسی پیدا کنید:

• $ redis-cli

در زیر توالی دستورات مورد استفاده برای تست رمز Redis وجود دارد. دستور اول سعی می کند قبل از تأیید اعتبار ، کلید را روی یک مقدار تنظیم کند:

• 0.0.1:6379> set key1 10

این رمز کار نخواهد کرد زیرا شما تأیید اعتبار نکردید ، بنابراین Redis خطایی را برمی گرداند:

Output(error) NOAUTH Authentication required.

دستور بعدی با گذرواژه مشخص شده در فایل پیکربندی Redis تأیید اعتبار می کند:

• 0.0.1:6379> auth your_redis_password

Redis تایید می کند:

OutputOK

پس از آن ، اجرای دوباره فرمان قبلی موفق خواهد بود:

• 0.0.1:6379> set key1 10

Output

OK

دستور get key1 مقدار کلید جدید را از Redis جستجو میکند.

• 0.0.1:6379> get key1

Output

“10”

با دستور آخر یعنی redis-cli میتوانید خارج شوید:

• 0.0.1:6379> quit

اکنون دسترسی به نصب Redis برای کاربران غیرمجاز بسیار دشوار است. البته توجه داشته باشید که اگر از راه دور به Redis متصل شوید ، بدون SSL یا VPN پسورد رمزگذاری نشده برای اشخاص خارجی قابل مشاهده خواهد بود.

در مرحله بعدی ، برای محافظت بیشتر از Redis در برابر حملات مخرب ، به تغییر دستورات Redis خواهیم پرداخت.

مرحله 5 – تغییر نام دستورات خطرناک

ویژگی امنیتی دیگر که در Redis قرار داده شده ، تغییر نام یا غیرفعال کردن کامل فرامین خاصی است که خطرناک به نظر می رسند.هنگامی که این دستورات توسط کاربران غیرمجاز اجرا می شوند ، می توانند برای پیکربندی ، از بین بردن یا پاک کردن داده های شما استفاده شوند. برخی از دستوراتی که خطرناک به حساب می آیند عبارتند از

• FLUSHDB
• FLUSHALL
• KEYS
• PEXPIRE
• DEL
• CONFIG
• SHUTDOWN
• BGREWRITEAOF
• BGSAVE
• SAVE
• SPOP
• SREM RENAME DEBUG

این یک لیست جامع نیست ، اما تغییر نام یا غیرفعال کردن کلیه دستورات موجود در آن لیست ، نقطه شروع خوبی برای افزایش امنیت سرور مجازی Redis شما است.

این که آیا شما باید یک فرمان را غیرفعال کنید یا تغییر نام دهید ، به نیازهای خاص شما یا نیازهای سایت شما بستگی دارد. اگر می دانید هرگز از دستوری که مورد سوءاستفاده قرار می گیرد استفاده نمی کنید ، می توانید آن را غیرفعال کنید. در غیر این صورت ، نام آن مفید را تغییر دهید.

مانند رمز عبور احراز هویت ، تغییر نام یا غیرفعال کردن دستورات در قسمت SECURITY فایل /etc/redis.conf پیکربندی شده است. برای فعال یا غیرفعال کردن دستورات Redis ، یک بار دیگر فایل پیکربندی را برای ویرایش باز کنید:

·         $ sudo vi  /etc/redis.conf

هشدار: این ها چند نمونه مثال است. فقط باید غیرفعال کردن یا تغییر نام دستوراتی که منطقی میباشد را انتخاب کنید. می توانید لیست کامل دستورات را برای خود مرور کنید و نحوه استفاده آنها در redis.io/commands  را تعیین کنید.

برای غیرفعال کردن یک دستور ، کافی است آن را به یک رشته خالی تغییر دهید ، همانطور که در زیر نشان داده شده:

/etc/redis.conf

# It is also possible to completely kill a command by renaming it into

# an empty string:

#

rename-command FLUSHDB “”

rename-command FLUSHALL “”

rename-command DEBUG “”

برای تغییرنام یک فرمان، نام دیگری مانند زیر به آن بدهید. حدس زدن فرمان های تغییر نام یافته باید برای دیگران دشوار باشد اما به راحتی بتوانید آن ها را به خاطر بسپارید.

/etc/redis.conf

rename-command CONFIG “”

rename-command SHUTDOWN SHUTDOWN_MENOT

rename-command CONFIG ASC12_CONFIG

تغییرات خود را ذخیره کرده و فایل را ببندید و سپس با راه اندازی مجدد Redis ، تغییر را اعمال کنید:

·         $ sudo systemctl restart redis.service

برای آزمایش دستور جدید ، وارد خط فرمان Redis شوید:

• $ redis-cli

سپس ، تأیید اعتبار کنید:

• 0.0.1:6379> auth your_redis_password

Output

OK

فرض کنیم که شما دستور CONFIG را مانند مثال قبل به  ASC12_CONFIGتغییر نام دادید . ابتدا سعی کنید از دستور اصلی CONFIG  استفاده کنید. باید با شکست مواجه شود ، زیرا آن را تغییر نام داده اید:

• 0.0.1:6379> config get requirepass

Output

(error) ERR unknown command ‘config’

با این وجود فراخوانی فرمان تغییر نام داده شده موفقیت آمیز خواهد بود. به کوچک و بزرگ بودن کاراکترها حساس نیست:

• 0.0.1:6379> asc12_config get requirepass

Output

1) “requirepass”

2) “your_redis_password”

درنهایت ، می توانید از redis-cli خارج شوید:

• 0.0.1:6379> exit

توجه داشته باشید که اگر قبلاً از خط فرمان Redis استفاده کرده اید و دوباره Redis را ریستارت کرده اید ، باید مجددا تأیید اعتبار کنید. در غیر این صورت ، اگر یک دستور تایپ کنید ، این خطا را دریافت خواهید کرد:

OutputNOAUTH Authentication required.

به خاطر تغییر نام دستورات ، در پایان بخش SECURITY در /etc/redis/redis.conf یک عبارت هشدار وجود دارد:

/etc/redis.conf

. . . # Please note that changing the name of commands that are logged into the# AOF file or transmitted to slaves may cause problems. . . .

این بدان معناست که اگر دستور تغییر نام یافته در فایل AOF نباشد ، یا اگر موجود باشد اما فایل AOF به slaves ارسال نشده باشد ، دیگر مشکلی وجود نخواهد داشت.بنابراین ، هنگام تغییر نام دستورات ، این را به خاطر داشته باشید. بهترین زمان برای تغییر نام یک فرمان زمانی است که شما از ماندگاری AOF استفاده نمی کنید ، یا درست بعد از نصب ، یعنی قبل از استقرار برنامه مبتنی بر Redis.

هنگامی که از AOF استفاده می کنید و با یک نصب master slave سرو کار دارید ، این پاسخ را از صفحه صدور GitHub پروژه در نظر بگیرید.

بنابراین ، بهترین روش برای تغییر نام در مواردی از این دست ، این است که مطمئن شوید دستورات تغییر نام یافته به تمام مثال های نصب های master-slave اعمال میشود.

مرحله 5 – تنظیم مالکیت دایرکتوری داده و مجوزهای پرونده

در این مرحله ، ما تغییرات مالکیت و مجوزهایی را که می توانید برای بهبود نمایه امنیتی نصب Redis خود ایجاد کنید ، در نظر خواهیم گرفت. این شامل اطمینان از این است که فقط کاربری که باید به Redis دسترسی پیدا کند اجازه خواندن اطلاعات آن را دارد. این کاربر به طور پیش فرض ، کاربر redis است.

این را می توانید با grep-ing برای دیرکتوری داده Redis در لیست طولانی دیرکتوری اصلی خود تأیید کنید. دستور و خروجی آن در زیر آورده شده است.

• $ ls -l /var/lib | grep redis

Output

drwxr-xr-x 2 redis   redis   4096 Aug  6 09:32 redis

می بینید که دایرکتوری داده Redis متعلق به کاربر redis است و دسترسی ثانویه به گروه redis اعطا می شود. این تنظیم مالکیت ایمن است ، اما مجوزهای پوشه (که روی 755 تنظیم شده است) اینگونه نیست. برای اطمینان از دسترسی انحصاری کاربر Redis به پوشه و محتویات آن ، تنظیمات مجوزها را به 770 تغییر دهید:

• $ sudo chmod 770 /var/lib/redis

مجوز دیگری که باید تغییر دهید ، فایل پیکربندی Redis است. به طور پیش فرض ، دارای مجوز فایل 644 است و توسط root متعلق به مالکیت ثانویه توسط گروه root است:

• $ ls -l /etc/redis.conf

Output

-rw-r–r– 1 root root 30176 Jan 14  2014 /etc/redis.conf

این مجوز (644) به صورت سراسر جهانی قابل خواندن است. این یک مشکل امنیتی است زیرا فایل پیکربندی حاوی پسورد رمزگذاری نشده ای است که در مرحله 4 پیکربندی کرده اید ، به این معنی که ما باید مالکیت و مجوزهای فایل پیکربندی را تغییر دهیم. در حالت ایده آل ، این مالکیت باید توسط کاربر redis و با مالکیت ثانویه توسط گروه redis باشد. برای انجام این کار ، دستور زیر را اجرا کنید:

• $ sudo chown redis:redis /etc/redis.conf

سپس مجوزها را تغییر دهید تا فقط صاحب فایل بتواند آن را بخواند و یا بنویسد:

• $ sudo chmod 600 /etc/redis.conf

شما می توانید مالکیت و مجوزهای جدید را با استفاده از موارد زیر تأیید کنید:

• $ ls -l /etc/redis.conf

Output

total 40

-rw——- 1 redis redis 29716 Sep 22 18:32 /etc/redis.conf

در آخر ، Redis را دوباره راه اندازی کنید:

• $ sudo systemctl restart redis.service

تبریک ، نصب Redis شما اکنون ایمن تر شده است!

نتیجه

به خاطر داشته باشید که پس از ورود شخصی به سرور مجازی شما ، دور زدن ویژگی های امنیتی ویژه Redis که ما در آن قرار داده ایم بسیار آسان است. بنابراین ، مهمترین ویژگی امنیتی در سرور مجازی Redis ، فایروال شماست (که در صورت پیروی از آموزش مقدماتی راه اندازی اولیه سرور اولیه، آن را پیکربندی کرده اید) ، زیرا این کار پرش از آن حصار امنیتی را برای حمله گران بسیار دشوار می کند.

اگر سعی در برقراری ارتباطات Redis از طریق یک شبکه غیر معتبر دارید ، باید پروکسی SSL را به کار ببرید ، همانطور که توسط توسعه دهندگان Redis در راهنمای رسمی امنیتی Redis توصیه شده است.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

در این آموزش ، JupyterLab  را روی سرور مجازی Ubuntu 18.04 خود نصب و تنظیم می کنید. همچنین می توانید سرور خود را پیکربندی کنید تا بتواند از راه دور با هر نامی از مرورگر وب به طور ایمن و با استفاده از یک نام دامنه به نمونه  JupyterLab متصل شود.

پیش نیازها

برای تکمیل این آموزش ، به موارد زیر نیاز دارید:

• سرور مجازی Ubuntu 18.04 با یک حساب کاربری غیر ریشه با امتیازات sudo با استفاده از راهنمای ستاپ اولیه سرور.
• نصب توزیع پایتون Anaconda روی سرور مجازیتان. می توانید از آموزش نحوه نصب  توزیع پایتون Anaconda  در اوبونتو 18.04 استفاده کنید.
• یک نام دامنه یا زیر دامنه ثبت شده که در آن به ویرایش رکورد DNS دسترسی دارید. در سراسر این آموزش از your_domain استفاده خواهد کرد. می توانید دامنه ها را در Namecheap خریداری کنید ، یک دامنه رایگان در Freenom  دریافت کنید ، یا یک دامنه جدید را با هر نوع ثبت دلخواه خود ثبت کنید.
• سوابق DNS زیر برای دامنه شما تنظیم شده باشد:

o یک رکورد A با your_domain که آدرس IP عمومی سرور مجازی شما را نشان می دهد.

O رکورد A با www.your_domain که آدرس IP عمومی سرور مجازی شما را نشان می دهد. مقاله نحوه ایجاد ، ویرایش و حذف اسناد  رکوردهای DNS  می تواند در تنظیم این رکوردها به شما کمک کند.

مرحله 1 – تنظیم گذرواژه

در این مرحله یک رمز عبور را روی نصب JupyterLab خود تنظیم خواهید کرد. داشتن گذرواژه مهم است زیرا نمونه شما در دسترس عموم خواهد بود.

ابتدا مطمئن شوید که محیط Anaconda شما فعال شده است. طبق آموزش پیش نیاز محیط، base نامیده می شود.

برای فعال کردن محیط ، از دستور زیر استفاده کنید:

• $ conda activate base

اعلان شما در ترمینال تغییر خواهد کرد تا پایه محیط پیش فرض Anaconda  را منعکس کند:

(base) sammy@your_server:~$

کلیه دستورات آینده در این آموزش در محیط baseاجرا می شود.

با فعال شدن محیط Anaconda ، می توانید یک رمز ورود برای JupyterLab را در سرور مجازی خود تنظیم کنید.

ابتدا ، اجازه دهید یک فایلbase پیکربندی برای  Jupyter ایجاد کنیم:

• $ jupyter notebook –generate-config

خروجی زیر را دریافت خواهید کرد:

OutputWriting default config to: /home/sammy/.jupyter/jupyter_notebook_config.py

هم  JupyterLab و Jupyter Notebookیک فایل پیکربندی مشترک را دارند.

• $ jupyter notebook password

اکنون ، از دستور زیر برای تنظیم گذرواژه برای دسترسی به نمونه  JupyterLab خود از راه دور استفاده کنید:

OutputEnter password:Verify password:[NotebookPasswordApp] Wrote hashed password to /home/sammy/.jupyter/jupyter_notebook_config.json

Jupyter  به شما اعلانی نشان می خواهد که رمز عبور مورد نظر خود را ارائه دهید:

Jupyter  رمز عبور را با فرمت hashed در /home/sammy/.jupyter/jupyter_notebook_config.json ذخیره می کند. در آینده به این مقدار نیاز خواهید داشت.

در آخر ، برای مشاهده گذرواژه hashed ، از دستور cat در فایل تولید شده توسط دستور قبلی استفاده کنید:

• $ cat /home/sammy/.jupyter/jupyter_notebook_config.json

خروجی مشابه با موارد زیر را دریافت خواهید کرد:

/home/sammy/.jupyter/jupyter_notebook_config.json

{

“NotebookApp”: {

“password”: “sha1:your_hashed_password”

}

}

مقدار را در کلید رمز عبور JSON کپی کنید و به طور موقت آن را ذخیره کنید.

برای مثال JupyterLab یک گذرواژه تنظیم کرده اید. در مرحله بعد یک گواهی Let’s Encrypt برای سرور مجازی خود ایجاد خواهید کرد.

مرحله 2 – پیکربندی Let’s Encrypt

در این مرحله ، یک گواهی Let’s Encrypt برای دامنه خود ایجاد خواهید کرد. با دسترسی به محیط  JupyterLab از مرورگر ، داده های شما را ایمن می کند.

ابتدا Certbot را روی سرور مجازی خود نصب خواهید کرد. با اضافه کردن مخزن آن به منابع apt شروع کنید:

• $ sudo add-apt-repository ppa:certbot/certbot

پس از اجرای دستور ، از شما خواسته می شود تا ENTER را فشار دهید تا PPA را اضافه کنید:

OutputThis is the PPA for packages prepared by Debian Let’s Encrypt Team and backported for Ubuntu. Note: Packages are only provided for currently supported Ubuntu releases. More info: https://launchpad.net/~certbot/+archive/ubuntu/certbotPress [ENTER] to continue or Ctrl-c to cancel adding it.

برای ادامه افزودن PPA ، ENTER  را فشار دهید.

پس از پایان اجرای فرمان ، منابع را با استفاده از دستور apt update ریفرش کنید:

• $ sudo apt update

سپس ، Certbot  را نصب خواهید کرد:

• $ sudo apt install certbot

قبل از شروع به کار Certbot برای تولید گواهینامه ها برای مثال شما ، اجازه دسترسی به پورت: 80 و پورت: 443 سرور مجازی خود را می دهید تا Certbot بتواند از این پورت ها برای تأیید نام دامنه شما استفاده کند. پورت: 80 برای درخواست های http به سرور مجازی بررسی می شود در حالی که پورت 443 برای درخواست های https استفاده می شود. Certbot ابتدا یک درخواست http را ایجاد می کند و پس از دریافت گواهینامه ها برای سرور مجازی شما ، یک درخواست https را ایجاد می کند که از طریق پورت از طریق پورت: 443 برای گوش دادن به پورت 80 پروکسی می شود. با این کار نصب گواه

ینامه ها با موفقیت تأیید خواهد شد.

ابتدا اجازه دسترسی به پورت 80: را بدهید:

• $ sudo ufw allow 80

خروجی زیر را دریافت خواهید کرد:

OutputRule addedRule added (v6)

سپس ، اجازه دسترسی به پورت: 443:

• $ sudo ufw allow 443

Output

Rule added

Rule added (v6)

در آخر ، Certbot  را اجرا کنید تا با استفاده از دستور زیر ، گواهینامه هایی را برای مثال خود تولید کنید:

• $ sudo certbot certonly –standalone

پرچم standalone  ، certbot  را برای اجرای یک سرور مجازی موقت برای مدت زمان بررسی تأیید می کند.

ایمیل شما را درخواست می کند:

OutputSaving debug log to /var/log/letsencrypt/letsencrypt.logPlugins selected: Authenticator standalone, Installer NoneEnter email address (used for urgent renewal and security notices) (Enter ‘c’ tocancel): your_email

یک ایمیل فعال را وارد کنید و ENTER را فشار دهید.

در مرحله بعد ، از شما خواسته خواهد شد تا شرایط سرویس های Certbot و Let’s Encrypt t را مرور و تایید کنید. شرایط را مطالعه کنید اگر قبول کردید ، A را تایپ کنید و ENTER را فشار دهید:

Output- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -Please read the Terms of Service athttps://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You mustagree in order to register with the ACME server athttps://acme-v02.api.letsencrypt.org/directory- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -(A)gree/(C)ancel: A

اکنون از شما خواسته می شود که ایمیل خود را با بنیاد الکترونیکی Frontier به اشتراک بگذارید. پاسخ خود را تایپ کنید و ENTER  را فشار دهید:

Output- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -Would you be willing to share your email address with the Electronic FrontierFoundation, a founding partner of the Let’s Encrypt project and the non-profitorganization that develops Certbot? We’d like to send you email about our workencrypting the web, EFF news, campaigns, and ways to support digital freedom.- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -(Y)es/(N)o: Y/N

در آخر ، از شما خواسته می شود نام دامنه خود را وارد کنید. نام دامنه خود را بدون هیچ گونه مشخصات پروتکل وارد کنید:

OutputPlease enter in your domain name(s) (comma and/or space separated)  (Enter ‘c’to cancel): your_domainObtaining a new certificatePerforming the following challenges:http-01 challenge for your_domainWaiting for verification…Cleaning up challenges IMPORTANT NOTES: – Congratulations! Your certificate and chain have been saved at:   /etc/letsencrypt/live/your_domain/fullchain.pem   Your key file has been saved at:   /etc/letsencrypt/live/your_domain/privkey.pem   Your cert will expire on 2020-09-28. To obtain a new or tweaked   version of this certificate in the future, simply run certbot   again. To non-interactively renew *all* of your certificates, run   “certbot renew” – Your account credentials have been saved in your Certbot   configuration directory at /etc/letsencrypt. You should make a   secure backup of this folder now. This configuration directory will   also contain certificates and private keys obtained by Certbot so   making regular backups of this folder is ideal. – If you like Certbot, please consider supporting our work by:    Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate   Donating to EFF:                    https://eff.org/donate-le

Certbot تأیید دامنه را انجام خواهد داد و گواهی و کلید برای دامنه شما را ایجاد میکند و آنها در / etc / letsencrypt / live / your_domain ذخیره میکند.

اکنون که گواهی Let’s Encrypt خود را تنظیم کرده اید ، فایل پیکربندی JupyterLab خود را به روز خواهید کرد.

مرحله 3 – پیکربندی  JupyterLab

در این مرحله ، پیکربندی JupyterLab را ویرایش می کنید تا مطمئن شوید که از گواهی Let’s Encrypt که در مرحله 2 ایجاد کرده اید استفاده می کند. همچنین می توانید با استفاده از رمز عبور تنظیم شده در مرحله 1 ، آن را در دسترس قرار دهید.

ابتدا باید پیکربندی JupyterLab را در /home/sammy/.jupyter/jupyter_notebook_config.py ویرایش کنید:

• $ nano /home/sammy/.jupyter/jupyter_notebook_config.py

اکنون به خطی که مقدار c.NotebookApp.certfile را تعریف می کند بروید و به شرح زیر آن را به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The full path to an SSL/TLS certificate file.

c.NotebookApp.certfile = ‘/etc/letsencrypt/live/your_domain/fullchain.pem’

…

سپس ، متغیر c.NotebookApp.keyfile را پیدا کنید و آن را مطابق زیر تغییر دهید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The full path to a private key file for usage with SSL/TLS.

c.NotebookApp.keyfile = ‘/etc/letsencrypt/live/your_domain/privkey.pem’

…

c.NotebookApp.certfile و c.NotebookApp.keyfile به گواهی SSLاشاره می کنند که وقتی سعی می کنید از راه دور با استفاده از پروتکل https به سرور مجازی خود دسترسی پیدا کنید ، ارائه می شود.

در مرحله بعد ، به خط تعریف متغیر c.NotebookApp.ip بروید و به شرح زیر به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The IP address the notebook server will listen on.

c.NotebookApp.ip = ‘*’

…

c.NotebookApp.ip  IP  هایی را تعریف می کند که می توانند به سرور مجازی شما دسترسی پیدا کنند. آن را روی * wildcard قرار داده اید تا از هر رایانه ای که برای دسترسی به JupyterLab لازم دارید دسترسی داشته باشید.

سپس ، پیکربندی c.NotebookApp.open_browser را پیدا کنید و به شرح زیر آن را به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## Whether to open in a browser after starting. The specific browser used is

#  platform dependent and determined by the python standard library `webbrowser`

#  module, unless it is overridden using the –browser (NotebookApp.browser)

#  configuration option.

c.NotebookApp.open_browser = False

…

به طور پیش فرض ، JupyterLab  سعی می کند به طور خودکار بخش مرورگر را شروع کند. از آنجا که در سرور مجازی راه دور مرورگر نداریم ، لازم است آن را خاموش کنید تا از خطاها جلوگیری شود.

در مرحله بعد ، به متغیر c.NotebookApp.password بروید و آن را به شرح زیر تغییر دهید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## Hashed password to use for web authentication.

#

#  To generate, type in a python/IPython shell:

#

#    from notebook.auth import passwd; passwd()

#

#  The string should be of the form type:salt:hashed-password.

c.NotebookApp.password = ‘your_hashed_password’

…

JupyterLab از این پیکربندی پسورد رمزگذاری شده برای بررسی رمز عبور وارد شده جهت دسترسی به مرورگر شما استفاده می کند.

در آخر ، بیشتر فایل را بررسی کنید و ورودی c.NotebookApp.port را به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The port the notebook server will listen on.

c.NotebookApp.port = 9000

…

c.NotebookApp.port  برای دسترسی به زمان اجرای JupyterLab یک پورت ثابت تعیین می کند. به این ترتیب ، می توانید فقط از یک فایروال ufw به یک پورت دسترسی داشته باشید.

پس از اتمام کار ، فایل را ذخیره کنید و خارج شوید.

سرانجام ، اجازه عبور در پورت 9000 را بدهید:

• $ sudo ufw allow 9000

خروجی زیر را دریافت خواهید کرد:

OutputRule addedRule added (v6)

اکنون که پیکربندی خود را تنظیم کرده اید ، JupyterLab را اجرا خواهید کرد.

مرحله 4 – اجرای  JupyterLab

در این مرحله ، یک مثال آزمایشی از نمونه JupyterLab را انجام می دهید.

ابتدا دایرکتوری فعلی خود را به دیرکتوری هوم کاربر تغییر دهید:

• $ cd ~

اکنون مجوزهای دسترسی فایل های گواهینامه را اصلاح کنید تا JupyterLab بتواند به آنها دسترسی پیدا کند. مجوزهای پوشه / etc / letsencrypt را به موارد زیر تغییر دهید:

• $ sudo chmod 750 -R /etc/letsencrypt
• $ sudo chown sammy:sammy -R /etc/letsencrypt

سپس ، به مثال JupyterLab خود مراجعه کنید تا از دستور زیر استفاده کنید:

• jupyter lab

این دستور چندین پارامتر پیکربندی را می پذیرد. با این حال ، از آنجا که ما قبلاً این تغییرات را در فایل پیکربندی ایجاد کرده ایم ، نیازی به ارائه صریح آنها در اینجا نداریم. شما می توانید آنها را به عنوان آرگومان هایی برای این دستور برای غلبه بر مقادیر موجود در فایل پیکربندی ارائه دهید.

اکنون می توانید به https: // your_domain: 9000 بروید تا صفحه ورود به سیستم JupyterLab را دریافت کنید.

اگر با گذرواژه ای که برای مرحله دوم 2 برای JupyterLab تنظیم کرده اید وارد شوید ، رابط JupyterLab به شما ارائه می شود.

در آخر ، دوبار CTRL + C را فشار دهید تا سرور مجازی JupyterLab متوقف شود.

در مرحله بعد ، یک سرویس سیستمی را تنظیم می کنید تا سرور مجازی JupyterLab بطور مداوم در پس زمینه اجرا شود.

مرحله ششم – تنظیم یک سرویس سیستمی

در این مرحله ، شما یک سرویس سیستمی ایجاد خواهید کرد که به JupyterLab اجازه می دهد تا حتی در هنگام خروج از پنجره ترمینال ، عملکرد خود را ادامه دهد. می توانید اطلاعات بیشتر در مورد خدمات سیستمی و واحدهای موجود در این راهنما را در مورد ملزومات systemd مطالعه کنید.

در ابتدا ، باید با استفاده از دستور زیر ، یک فایل .service ایجاد کنید:

• $ sudo nano /etc/systemd/system/jupyterlab.service

محتوای زیر را به فایل /etc/systemd/system/jupyterlab.service اضافه کنید:

/etc/systemd/system/jupyterlab.service

[Unit]

Description=Jupyter Lab Server

[Service]

User=sammy

Group=sammy

Type=simple

WorkingDirectory=/home/sammy/

ExecStart=/home/sammy/anaconda3/bin/jupyter-lab –config=/home/sammy/.jupyter/jupyter_notebook_config.py

StandardOutput=null

Restart=always

RestartSec=10

[Install]

WantedBy=multi-user.target

پس از انجام کار ویرایشگر را ذخیره کرده و از آن خارج شوید.

فایل سرویس به صورت خودکار خود را در سیستم به عنوان یک Daemon ثبت می کند. اما به طور پیش فرض اجرا نمی شود.

برای شروع سرویس از دستور systemctl استفاده کنید:

• $ sudo systemctl start jupyterlab

این کار سرور مجازی JupyterLab را در پس زمینه شروع می کند. می توانید با استفاده از دستور زیر سرور مجازی را بررسی کنید:

• $ sudo systemctl status jupyterlab

خروجی زیر را دریافت خواهید کرد:

Output● jupyterlab.service – Jupyter Lab Server   Loaded: loaded (/etc/systemd/system/jupyterlab.service; disabled; vendor preset: enabled)   Active: active (running) since Sun 2020-04-26 20:58:29 UTC; 5s ago Main PID: 5654 (jupyter-lab)    Tasks: 1 (limit: 1152)   CGroup: /system.slice/jupyterlab.service           └─5654 /home/sammy/anaconda3/bin/python3.7 /home/sammy/anaconda3/bin/jupyter-lab –config=/home/

Q را فشار دهید تا از خروجی وضعیت سرویس خارج شوید.

اکنون می توانید به https: // your_domain: 9000 در هر مرورگر مورد نظر خود بروید ، رمز عبوری را که در مرحله 2 تنظیم کرده اید تهیه کنید و به محیط JupyterLab که روی سرور مجازی خود کار می کند دسترسی پیدا کنید.

مرحله 7 – پیکربندی تجدید گواهی Let’s Encrypt

در این مرحله آخر ، گواهینامه های SSL خود را که توسط Let’s Encrypt تهیه شده است پیکربندی می کنید تا هر 90 روز یکبار به طور خودکار تمدید شود و سپس سرور مجازی را مجدداً ریستارت کنید تا گواهی های جدید لود شود.

در حالی که Certbot از تجدید گواهینامه های نصب شما مراقبت می کند ، به طور خودکار سرور مجازی مجدداً راه اندازی نمی شود. برای پیکربندی سرور مجازی برای راه اندازی مجدد با گواهینامه های جدید ، باید یک پیکربندی جدید برای تنظیمات Certbot برای سرور مجازی خود تهیه کنید.

باید فایل /etc/letsencrypt/renewal/your_domain.conf را ویرایش کرده و یک فایل تازه را به انتهای فایل پیکربندی اضافه کنید.

ابتدا از دستور زیر برای باز کردن فایل /etc/letsencrypt/renewal/your_domain.conf در ویرایشگر استفاده کنید:

• $ sudo nano /etc/letsencrypt/renewal/your_domain.conf

سپس در انتهای این فایل موارد زیر را اضافه کنید

/etc/letsencrypt/renewal/your_domain.conf

…

renew_hook = systemctl reload jupyterlab

فایل را ذخیره کنید و از آن خارج شوید.

در آخر ، دور جدیدی از روند تجدید را اجرا کنید تا صحت اعتبار فایل پیکربندی شما تایید شود:

• $ sudo certbot renew –dry-run

اگر این دستور بدون خطا اجرا شود ، تجدید Certbot شما با موفقیت تنظیم شده است و هنگامی که گواهی نزدیک به تاریخ انقضا است ، سرور مجازی خود را به طور خودکار تمدید و ریستارت می کنید.

نتیجه

در این مقاله ، شما یک محیط JupyterLab را بر روی سرور مجازی خود تنظیم کرده و آن را از راه دور در دسترس قرار داده اید. اکنون می توانید از هر مرورگری به پروژه های یادگیری ماشین یا علوم داده خود دسترسی داشته باشید و مطمئن باشید که تمام تبادلات با رمزگذاری SSL در محل اتفاق می افتد. در کنار آن ، محیط شما دارای تمام مزایای سرور مجازیهای مبتنی بر ابر میباشد.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

در این آموزش ، Webmin  را بر روی سرور مجازی خود نصب و پیکربندی می کنید و دسترسی به رابط را با داشتن یک گواهی معتبر از Let’s Encrypt  ایمن می کنید. سپس از Webmin برای اضافه کردن حسابهای کاربری جدید استفاده خواهید کرد و کلیه بسته های موجود در داشبورد را روی سرور مجازی خود به روز می کنید.

پیش نیازها

برای تکمیل این آموزش ، به موارد زیر نیاز دارید:

• یک سرور مجازی Ubuntu 20.04. این سرور مجازی باید دارای یک کاربر غیر ریشه با امتیازات sudo و فایروال UFW پیکربندی شده باشد. این کار را با دنبال کردن راهنمای تنظیم اولیه سرور مجازی Ubuntu 20.04 ما انجام دهید.
• Apache که با دنبال کردن آموزش ما در مورد نحوه نصب وب سرور مجازی Apache در Ubuntu 20.04 نصب شده باشد. اگر این راهنمای پیش نیاز را دنبال می کنید ، حتماً یک هاست مجازی را پیکربندی کنید.
• نام دامنه کاملاً واجد شرایط (FQDN) ، با یک رکورد A DNS که به آدرس IP سرور مجازی شما اشاره دارد.

مرحله 1 – نصب  Webmin

ابتدا ایندکس بسته سرور مجازی را به روز کنید اگر این کار را قبلا انجام نداده اید:

·         $ sudo apt update

سپس باید مخزن Webmin را اضافه کنیم تا بتوانیم Webmin را با استفاده از مدیر بسته خود نصب و به روز کنیم. این کار را با اضافه کردن مخزن به فایل /etc/apt/source.list انجام می دهیم.

فایل را در ویرایشگر مورد نظر خود باز کنید.

·         $ sudo nano /etc/apt/sources.list·

سپس این خط را در پایین فایل اضافه کنید تا مخزن جدید اضافه شود:

/etc/apt/sources.list

. . .

deb http://download.webmin.com/download/repository sarge contrib

فایل را ذخیره کرده و از ویرایشگر خارج شوید.  اگر از nano استفاده میکنید این کار را با CTRL+X, Y, سپس  ENTER انجام دهید.

در مرحله بعد ، کلید Webmin PGP را اضافه خواهید کرد تا سیستم شما به مخزن جدید اعتماد کند. برای انجام این کار، باید بسته gnupg1  را نصب کنید که ابراز GNU برای ارتباط ایمن و ذخیره داده است.

پس از آن، کلید Webmin PGP را با  wget نصب و آن را به لیست کلیدهای سیستم خود اضافه کنید:

• $ wget -q -O- http://www.webmin.com/jcameron-key.asc | sudo apt-key add

فهرست بسته سرور مجازی خود را به روز کنید  تا منابع جدید Webmin را شامل شود:

·         $ sudo apt update·          ·

سپس Webmin را نصب کنید:

·         $ sudo apt install webmin ·

پس از اتمام نصب ، خروجی زیر ارائه می شود:

Output. . .Webmin install complete. You can now login to https://your_server:10000 as root with your root password, or as any user who can use sudo.·

توجه: اگر ufw را در مرحله پیش شرط نصب کردید ، باید دستور sudo ufw allow 10000را اجرا کنید تا Webmin از طریق فایروال امکان پذیر باشد. برای امنیت بیشتر ، بهتر است فایروال خود را پیکربندی کنید تا فقط از محدوده های خاص IP اجازه دسترسی به این پورت را داشته باشید.

بیایید با افزودن یک گواهی معتبر ، Webmin  را ایمن کنیم.

مرحله 2 – اضافه کردن یک گواهی معتبر با Let’s Encrypt

در حال حاضر Webmin  برای استفاده از HTTPS پیکربندی شده است ، اما از یک گواهی نامه امضاء نشده و غیرقابل اعتماد استفاده می کند. بیایید آن را با یک گواهی معتبر از Let’s Encrypt جایگزین کنیم.

به https: // your_domain: 9000 در مرورگر وب خود بروید و your_domain را با نام دامنه خود به آدرس IP سرور مجازی خود جایگزین کنید.

توجه: هنگام ورود به سیستم برای اولین بار ، یک اخطار “Invalid SSL” مشاهده خواهید کرد. این اخطار ممکن است بسته به مرورگر شما متفاوت باشد اما دلیل آن این است که سرور مجازی یک گواهی self-signed ایجاد کرده است. امکان استثناء  را بدهید و به دامنه خود بروید تا بتوانید گواهی خود امضا شده را با یک گواهی Let’s Encrypt جایگزین کنید.

به شما یک صفحه ورود به سیستم ارائه می شود. ضمن انجام پیش نیازهای این آموزش ، با کاربر غیر ریشه ای که ایجاد کرده اید وارد سیستم شوید.

پس از ورود به سیستم ، اولین صفحه ای که مشاهده خواهید کرد داشبورد Webmin است. قبل از استفاده از یک گواهی معتبر ، باید نام میزبان سرور مجازی را تنظیم کنید. همانطور که در شکل زیر نشان داده شده است ، به قسمت System hostname رفته و روی پیوند سمت راست کلیک کنید:

شما را به صفحه Hostname and DNS Client میبرد. فیلد Hostname  را پیدا کنید و نام دامنه کاملاً واجد شرایط خود را وارد این قسمت کنید. سپس بر روی دکمه ذخیره در پایین صفحه کلیک کنید تا تنظیمات اعمال شود.

پس از تنظیم نام میزبان خود ، بر روی منوی کشویی Webmin در نوار پیمایش سمت چپ کلیک کنید و سپس بر روی Webmin Configuration  کلیک کنید.

از صفحه پیکربندی Webmin   ، SSL Encryption  را از لیست آیکون ها انتخاب کنید ، و سپس روی سربرگ Let’s Encrypt کلیک کنید. صفحه نمایشی مانند شکل زیر را مشاهده خواهید کرد:

در این صفحه ، به Webmin  می گویید که چگونه گواهینامه شما را دریافت و تمدید کند. گواهینامه های رمزگذاری شده پس از 3 ماه منقضی میشوند ، اما می توانید به Webmin  دستور دهید که بطور خودکار سعی کند هر ماه مجوز Let’s Encrypt  را تمدید نماید. Let’s Encrypt به دنبال یک فایل تأیید بر روی سرور مجازی میباشد ، بنابراین ما Webmin را پیکربندی می کنیم تا فایل تأیید را درون پوشه / var / www / your_domain قرار دهد ، این پوشه ای است که وب سرور مجازی Apache که در پیش نیازها پیکربندی کرده اید از آن استفاده می کند. برای تنظیم گواهینامه خود این مراحل را دنبال کنید:

1-  Hostnames for certificate  را با FQDN خود پر کنید.

2- برای Website root directory for validation file ، دکمه Other Directory را انتخاب کرده و /var/www/htmlرا وارد کنید. با فرض اینکه آموزش پیش نیاز APACHE را دنبال کرده باشید، /var/www/your_domain خواهد بود.

3- برای بخش Months between automatic renewal ، گزینه Only renew manually را با وارد کردن 1 در جعبه ورودی کنسل کنید، و دکمه رادیو را در سمت چپ جعبه ورودی انتخاب کنید.

روی دکمه  Request Certificate کلیک کنید. بعد از چند ثانیه ، صفحه تأیید را مشاهده خواهید کرد.

برای استفاده از گواهینامه جدید ، روی دکمه بازگشت به پیکربندی Webmin   در صفحه تأیید کلیک کنید. از آن صفحه ، به پایین بروید و بر روی دکمه Restart Webmin کلیک کنید. حدود 30 ثانیه صبر کنید و سپس صفحه را مجدد لود کنید و دوباره وارد سیستم شوید. اکنون مرورگر شما باید نشان دهد که گواهی معتبر است.

مرحله 3 – استفاده از  Webmin

اکنون یک نمونه کار ایمن از Webmin تنظیم کرده اید. بیایید نحوه استفاده از آن را بررسی کنیم.

Webmin  ماژول های مختلف زیادی دارد که می تواند همه چیز را از سرور مجازی BIND DNS گرفته تا چیزی به سادگی اضافه کردن کاربران به سیستم را کنترل کند. بیایید به نحوه ایجاد یک کاربر جدید بپردازیم و سپس نحوه به روزرسانی بسته های سیستم خود را با استفاده از Webmin بررسی کنیم.

مدیریت کاربران و گروه ها

ابتدا بر روی منوی System در نوار کناری سمت چپ کلیک کرده و سپس روی لینک Users and Groups کلیک کنید. از اینجا می توانید کاربران و گروه ها را اضافه و مدیریت کنید.

بیایید کاربر جدیدی به نام deploy ایجاد کنیم که می توانید از آن برای میزبانی برنامه های وب استفاده کنید. هنگام ایجاد کاربر ، می توانید گزینه هایی را برای انقضاء رمز عبور ، پوسته کاربر و اینکه آیا مجاز به ورود به دیرکتوری هوم هستند ، تعیین کنید.

برای افزودن کاربر ، روی Create a new user ، که در بالای جدول کاربران قرار دارد ، کلیک کنید. این گزینه صفحه ایجاد کاربر را نمایش می دهد ، در آنجا می توانید نام کاربری ، رمز عبور ، گروه ها و گزینه های دیگر را ایجاد کنید. برای ایجاد کاربر این دستورالعمل ها را دنبال کنید:

1- نام کاربری را با deploy پر کنید.

2- برای شناسه کاربر automatic را انتخاب کنید.

3- real name را با نام توصیفی مانند deployment user پر کنید.

4- برای Home Directory ، Automatic  را انتخاب کنید.

5- برای Shell ، از لیست کشویی گزینه / bin / bash را انتخاب کنید.

6- برای گذرواژه ، Normal Password  را انتخاب کرده و پسورد مورد نظر خود را تایپ کنید.

7- برای primary group ، New group with same name as userرا انتخاب کنید.

8- برای گروه ثانویه ، از لیست همه گروه ها sudo را انتخاب کنید. باید به طور خودکار به لیست In groups اضافه شود ، اما اگر این گزینه نیست ، دکمه -> را فشار دهید تا آن را اضافه کنید.

برای ایجاد کاربر جدید روی create کلیک کنید. کاربرdeploy  را در یک ترتیب کوتاه ایجاد میکند.

در مرحله بعدی ، بیایید ببینیم که چگونه به روزرسانی های سیستم خود را نصب کنیم.

به روزرسانی بسته ها

Webmin  به شما امکان می دهد همه بسته های خود را از طریق رابط کاربری آن به روز کنید. برای به روزرسانی همه بسته های خود ، ابتدا بر روی دکمه Dashboard در بالای نوار کناری سمت چپ کلیک کرده و سپس قسمت Update Package را پیدا کنید. اگر به روزرسانی وجود داشته باشد ، پیوندی را مشاهده می کنید که تعداد به روزرسانی های موجود را بیان می کند.

برای شروع به روزرسانی ، روی Update selected packages بزنید تا به روز رسانی شروع شود. ممکن است از شما خواسته شود که سرور مجازی را ریبوت کنید ، که می توانید از طریق رابط Webmin نیز این کار را انجام دهید.

نتیجه

اکنون یک نمونه کار ایمن Webmin  دارید و از رابط کاربری برای ایجاد یک کاربر و به روزرسانی بسته ها استفاده کردید. Webmin  به شما امکان دسترسی به موارد زیادی را می دهد که به طور معمول باید از طریق کنسول به آنها دسترسی پیدا کنید ، و آنها را به روشی بصری سازماندهی می کند. به عنوان مثال ، در صورت نصب Apache ، می توانید زبانه پیکربندی آن را در زیر سرور مجازیها ، و سپس Apache پیدا کنید.

رابط را جستجو کنید یا برای یادگیری بیشتر درباره مدیریت سیستم خود با Webmin ، مطالب Official Webmin wiki را مطالعه کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

فایل .htaccess به شما امکان می دهد بدون دسترسی به فایل های پیکربندی سرور مجازی ، قوانین بازنویسی را ایجاد و اعمال کنید. با قرار دادن فایل .htaccess در ریشه وب سایت خود ، می توانید بازنویسی ها را بر اساس هر سایت یا هر دایرکتوری مدیریت کنید.

در این آموزش ، mod_rewrite  را فعال کرده و از فایلهای .htaccess برای ایجاد یک تغییر مسیر URL اصلی استفاده می کنید ، و سپس چند مورد استفاده پیشرفته را پیدا می کنید.

پیش نیازها

برای دنبال کردن این آموزش ، به موارد زیر نیاز دارید:

• یک سرور مجازی Ubuntu 20.04 که با دنبال کردن راهنمای تنظیم اولیه سرور مجازی Ubuntu 20.04 راه اندازی و شامل یک کاربر sudo غیر ریشه و فایروال تنظیم شده باشد.
• Apache که با دنبال کردن مرحله 1 نحوه نصب پشته Linux ، Apache ، MySQL ، PHP (LAMP)  در اوبونتو 20.04 نصب شده باشد.

مرحله 1 – فعال کردن  mod_rewrite

برای اینکه Apache بتواند قوانین بازنویسی را درک کند ، ابتدا باید mod_rewrite را فعال کنیم. قبلاً نصب شده است ، اما در نصب پیش فرض Apache غیرفعال است. برای فعال کردن ماژول از دستور a2enmod استفاده کنید:

·         $ sudo a2enmod rewrite·

با این کار ماژول فعال می شود یا به شما هشدار می دهد که ماژول از قبل فعال شده است. برای اجرای این تغییرات ، Apache  را مجدداً راه اندازی کنید.

·         $ sudo systemctl restart apache2·

اکنون mod_rewrite کاملاً فعال است. در مرحله بعدی، یک فایل .htaccess را برای تعریف قوانین بازنویسی برای تغییر مسیرها تنظیم خواهیم کرد.

مرحله 2 – تنظیم  .htaccess

یک فایل .htaccess به ما امکان می دهد قوانین بازنویسی خود را بدون دسترسی به فایل های پیکربندی سرور مجازی اصلاح کنیم. به همین دلیل ، .htaccess برای امنیت برنامه وب شما بسیار مهم است. دوره ای که نام فایل قبل از آن است ، اطمینان حاصل می کند که فایل مخفی است.

توجه: هر قانونی که می توانید در یک فایل .htaccess قرار دهید ، می تواند مستقیماً در فایل های پیکربندی سرور مجازی قرار گیرد. در حقیقت ، اسناد رسمی Apache  استفاده از فایلهای پیکربندی سرور مجازی را به جای .htaccess توصیه می کند زیرا Apache آن را سریعتر از این پردازش می کند.

با این حال ، در این مثال ساده ، افزایش عملکرد ناچیز خواهد بود. علاوه بر این ، تنظیم قوانین در .htaccess مناسب است ، به خصوص با چندین وب سایت در همان سرور مجازی. برای اجرای تغییرات نیازی به راه اندازی مجدد سرور مجازی نیست و نیازی به امتیازات اصلی برای ویرایش آن قوانین ، ساده سازی تعمیر و نگهداری و ایجاد تغییرات با یک حساب غیر شخصی نیست. برخی از نرم افزارهای منبع باز منبع آزاد ، مانند WordPress و Joomla ، اغلب برای تغییر و ایجاد قوانین اضافی در صورت تقاضا به یک فایل .htaccess متکی هستند.

قبل از شروع استفاده از فایل های .htaccess ، باید تنظیمات دیگری را انجام و آن را ایمن کنید.

به طور پیش فرض ، Apache با استفاده از فایل .htaccess اعمال قوانین بازنویسی را ممنوع می کند ، بنابراین ابتدا باید تغییراتی در فایل اعمال کنید. فایل پیش فرض پیکربندی Apache را با استفاده از nano یا ویرایشگر متن مورد علاقه خود باز کنید.

·         $ sudo nano /etc/apache2/sites-available/000-default.conf·

در داخل آن فایل ، بلوک را که از خط اول شروع می شود ، پیدا خواهید کرد. در داخل آن بلوک ، بلوک جدید زیر را اضافه کنید تا فایل پیکربندی شما مانند زیر باشد. اطمینان حاصل کنید که همه بلوک ها به درستی قرار گرفته اند.

/etc/apache2/sites-available/000-default.conf

Options Indexes FollowSymLinks

AllowOverride All

Require all granted

. . .

فایل را ذخیره کنید و ببندید. برای اجرای این تغییرات ، Apache را مجدداً راه اندازی کنید.

·         $ sudo systemctl restart apache2·

اکنون ، یک فایل .htaccess را در webroot ایجاد کنید.

·         $ sudo nano /var/www/html/.htaccess·

این خط را در بالای فایل جدید اضافه کنید تا موتور بازنویسی فعال شود.

/var/www/html/.htaccess

RewriteEngine on

فایل را ذخیره کرده و خارج شوید.

اکنون ما یک فایل .htaccess عملیاتی داریم که می توانیم از آن استفاده کنیم تا قوانین مسیریابی برنامه وب را کنترل کنیم. در مرحله بعد ، ما فایلهای وب سایت نمونه را ایجاد خواهیم کرد که برای نشان دادن قوانین بازنویسی قوانین از آنها استفاده خواهیم کرد.

مرحله 3 – پیکربندی بازنویسی  URL

در اینجا ، یک بازنویسی URL اصلی را تنظیم می کنیم که URL های زیبا را به مسیرهای واقعی به صفحات تبدیل می کند. به طور خاص ، به کاربران این امکان را می دهیم که به http: // your_server_ip / about دسترسی پیدا کنند ، اما صفحه ای به نام about.html را نمایش می دهند.

با ایجاد فایلی به نام about.html در webroot شروع کنید.

·         $ sudo nano /var/www/html/about.html·

کد HTML زیر را در فایل کپی کنید ، سپس آن را ذخیره کرده و ببندید.

/var/www/html/about.html

About Us

می توانید به این صفحه به آدرس http: //your_server_ip/about.html دسترسی پیدا کنید ، اما توجه داشته باشید که اگر سعی کنید به http: // your_server_ip / About خود دسترسی پیدا کنید ، خطای 404 Not Found  را مشاهده خواهید کرد. برای دسترسی به صفحه با استفاده از /about ، یک قانون بازنویسی ایجاد خواهیم کرد.

همه RewriteRules از این قالب پیروی می کنند:

General RewriteRule structure

RewriteRule pattern substitution [flags]

• RewriteRule بخشنامه را مشخص می کند.

• pattern یک عبارت معمولی است که رشته مورد نظر را از URL مطابقت می دهد ، همان چیزی است که بیننده در مرورگر تایپ می کند.
• substitution مسیر رسیدن به URL واقعی ، یعنی مسیر سرورهای فایل Apache است.
• flags پارامترهای اختیاری هستند که می توانند نحوه عملکرد قانون را تغییر دهند.

بیایید قانون بازنویسی URL ما را ایجاد کنیم. فایل .htaccess را باز کنید.

·         $ sudo nano /var/www/html/.htaccess·

بعد از اولین خط ، RewriteRule هایلایت شده را اضافه کرده و فایل را ذخیره کنید.

در این حالت ، ^about$ الگو است ، About.html ، substitution است ، و [NC] پرچم است. مثال ما از چند کاراکتر با معنی خاص استفاده می کند:

• ^ نشان دهنده شروع URL پس از your_server_ip/ است.
• $ نشانگر پایان URL است.
• about با رشته “about” جفت میشود
• html فایل واقعی است که کاربر به آن دسترسی پیدا می کند.
• [NC] پرچمی است که قضیه را بی حس می کند.

اکنون می توانید به مرورگر خود به http: // your_server_ip / about دسترسی پیدا کنید. در واقع ، با این قانون که در بالا نشان داده شده است ، آدرس های اینترنتی زیر به about.html اشاره می کنند:

• http: // your_server_ip / about ، به دلیل تعریف قانون.
• http: // your_server_ip / About ، زیرا این قانون به حروف حساس نیست.
• http: //your_server_ip/about.html ، زیرا نام فایل مناسب اصلی همیشه کار خواهد کرد.

با این حال ، موارد زیر کار نخواهد کرد:

http: // your_server_ip / about / ، زیرا این قانون به صراحت بیان می کند که ممکن است بعد از آن چیزی وجود نداشته باشد ، زیرا کاراکتر $ بعد از about ظاهر می شود.

http: // your_server_ip / contact ، زیرا با رشته about  در قانون مطابقت نمی دهد.

اکنون یک فایل .htaccess عملیاتی با یک قانون اساسی دارید که می توانید نیازهای خود را تغییر داده و گسترش دهید. در بخش های بعدی ، دو نمونه دیگر از بخشنامه های متداول را نشان خواهیم داد.

مثال 1 – ساده سازی رشته های جستار با  RewriteRule

برنامه های وب اغلب از رشته های جستار استفاده می کنند ، که با استفاده از علامت سؤال (؟) بعد از آدرس به URL اضافه می شوند. پارامترهای جداگانه با استفاده از چ (&) محدود می شوند. رشته های جستار ممکن است برای انتقال داده های اضافی بین صفحات برنامه فردی استفاده شود.

به عنوان مثال ، یک صفحه نتیجه جستجو که به زبان PHP نوشته شده است ممکن است از URL مانند http://example.com/results.php؟item=shirt&season=summer استفاده کند. در این مثال ، دو پارامتر اضافی به اسکریپت برنامه result.php موهومی منتقل می شود: item ، با متغیر shirt ، و مقدار summer. برنامه ممکن است از اطلاعات رشته پرس و جو برای ایجاد صفحه مناسب برای بازدید کننده استفاده کند.

قوانین بازنویسی Apache اغلب برای ساده کردن پیوندهای طولانی و ناخوشایند مانند موارد فوق در URL های دوستانه که تایپ و تفسیر بصری آسان تر است ، به کار می روند. در این مثال ، ما می خواهیم لینک بالا را ساده کنید تا به http://example.com/shirt/summer تبدیل شوید. پارامتر shirt  و summer  هنوز در آدرس هستند اما بدون نام رشته و نام اسکریپت.

در اینجا یک قانون برای اجرای این وجود دارد:

Simple substitution

RewriteRule ^shirt/summer$ results.php?item=shirt&season=summer [QSA]

shirt/summer به طور واضح در آدرس درخواستی مطابقت دارد و به Apache گفته می شود که به جای آن ، results.php?item=shirt&season=summer را ارائه دهد.

پرچم های [QSA] معمولاً در قوانین بازنویسی استفاده می شوند. آنها به Apache می گویند هر رشته درخواست اضافی را در URL ارائه شده اضافه کند ، بنابراین اگر بازدید کننده http://example.com/shirt/summer?page=2  را تایپ کند، سرور مجازی

با results.php?item=shirt&season=summer&page=2 پاسخ خواهد داد. بدون آن ، رشته پرس و جو اضافی حذف می شود.

در حالی که این روش به افکت مطلوب دست می یابد ، هر دو نام آیتم و فصل در قانون کدگذاری می شوند. این بدان معنی است که این قانون برای سایر موارد ، مانند شلوار ، یا فصولی مانند زمستان کار نخواهد کرد.

برای عمومی تر کردن این قاعده ، می توانیم از عبارات معمول برای مطابقت با قسمت های اصلی آدرس استفاده کنیم و از آن قسمت ها در الگوی تعویض استفاده کنیم. سپس قانون اصلاح شده به شرح زیر خواهد بود:

Simple substitution

RewriteRule ^([A-Za-z0-9]+)/(summer|winter|fall|spring) results.php?item=$1&season=$2 [QSA]

اولین گروه عبارت معمول در پرانتز با رشته ای حاوی کاراکترهای الفبا و اعداد مانند shirt  یا pants  مطابقت دارد و قطعه را به عنوان متغیر $ 1 ذخیره می کند. دومین گروه عبارت معمول در پرانتز دقیقاً با summer, winter, fall, یا  spring مطابقت دارد و به همین ترتیب قطعه را به عنوان $2 ذخیره می کند.

قطعات همسان پس از آن به جای shirt  و summer  که قبلاً از آنها استفاده می کردیم در URL نتیجه در متغیرهای item  و season  استفاده می شوند.

موارد فوق ، به عنوان مثال ، http://example.com/pants/summer را به http://example.com/results.php؟item=pants&season=summer تبدیل می کند. این مثال همچنین اثبات آینده است ، و به چندین item  و season  اجازه می دهد تا با استفاده از یک قانون واحد به طور صحیح بازنویسی شوند.

مثال 2 – اضافه کردن شرایط با منطق با استفاده از RewriteConds

بازنویسی قوانین الزاماً همیشه یک به یک و بدون محدودیت ارزیابی نمی شوند. دستورالعمل RewriteCond به ما امکان می دهد تا شرایط را برای بازنویسی خود اضافه کنیم تا هنگام پردازش قوانین ، کنترل کنیم. کلیه RewriteConds با فرمت زیر عمل می کند:

General RewriteCond structure

RewriteCond TestString Condition [Flags]

• RewriteCond بخشنامه RewriteCond را مشخص می کند.
• TestString رشته ای است که باید در برابر آن آزمایش کنید.
• Condition الگو یا شرط مطابقت است.
• Flags پارامترهای اختیاری هستند که ممکن است شرایط و قوانین ارزیابی را تغییر دهند.

اگر RewriteCond درست ارزیابی شود ، RewriteRule  بلافاصله در نظر گرفته می شود. در صورت عدم موفقیت ، این قانون منتفی می شود. RewriteCond  چندگانه ممکن است یکی پس از دیگری مورد استفاده قرار گیرد و با رفتار پیش فرض ، همه باید درست ارزیابی کنند تا قاعده زیر در نظر گرفته شود.

به عنوان نمونه ، فرض می کنیم شما می خواهیئ به جای نشان دادن صفحه خطای استاندارد 404 Not Found ، همه درخواست ها را به فایل ها یا دیرکتوریهای غیر موجود در سایت خود به صفحه اصلی برگردانید. این امر می تواند با قوانین زیر انجام شود:

Redirect all requests to non-existent files and directories to home page

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . / [R=301]

به این شرح:

%{REQUEST_FILENAME} رشته ای برای بررسی است. در این حالت ، نام فایل درخواستی است ، که یک متغیر سیستمی برای هر درخواست است.

-f  یک وضعیت داخلی است که تأیید می کند که آیا نام درخواست شده در دیسک وجود دارد یا فایل است. ! یک عامل منفی است. ! -f  ترکیبی فقط درصورتی که یک نام مشخص وجود نداشته باشد یا فایل نداشته باشد ، درست ارزیابی می شود.

به طور مشابه ، ! -d  فقط درصورتی که یک نام مشخص وجود نداشته باشد یا یک دیرکتوری نباشد ، درست ارزیابی می شود.

RewriteRule در خط نهایی فقط برای درخواست ها به فایل ها یا دایرکتوری های غیر موجود وارد خواهد شد. خود RewriteRule  بسیار ساده است. نقطه . در این الگو با هر چیزی مطابقت دارد و جایگزینی هر درخواست را به ریشه / وب سایت هدایت می کند.

علاوه بر این ، پرچم [R = 301]  به Apache می گوید یک کد پاسخ HTTP  ، 301 Moved Permanently را به مرورگر بازگرداند ، در نتیجه مرورگر می داند که تغییر مسیر اتفاق افتاده است و صریحاً به جای URL درخواست شده ، ریشه وب سایت را واگذار می کند. و تغییری در نوار آدرس مرورگر اعمال میشود.

بدون این پرچم ، Apache  محتوای اصلی وب سایت را بر می گرداند ، اما مرورگر همچنان فکر می کند URL صفحه درخواستی وجود داشته باشد و آدرس درخواست شده را ابتدا در نوار آدرس نشان دهد.

نتیجه

mod_rewrite  به شما امکان می دهد URL های قابل خواندن توسط انسان را ایجاد کنید. در این آموزش شما از دستورالعمل RewriteRule برای هدایت آدرس های اینترنتی از جمله آدرس ها با رشته های پرس و جو استفاده کرده اید. همچنین با استفاده از دستورالعمل RewriteCond  URL  های هدایت شونده مشروط را نوشتید.

اگر می خواهید در مورد mod_rewrite اطلاعات بیشتری کسب کنید ، به mod_rewrite Introduction و مستندات رسمی Apache  برای mod_rewrite نگاهی بیندازید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

در این راهنما، یاد می گیرید که چگونه از دستورات ad hoc برای انجام کارهای متداول مانند نصب بسته ها ، کپی کردن فایل ها ، و راه اندازی مجدد سرویس ها بر روی یک یا چند سرور محازی از راه دور ، از یک گره کنترل Ansible استفاده کنید.

پیش نیازها
برای پیروی از این راهنما ، به موارد زیر نیاز دارید:
• یک گره کنترل Ansible. این راهنما فرض می کند که گره کنترل شما یک دستگاه اوبونتو 20.04 است که Ansible روی آن نصب و پیکربندی شده است تا با استفاده از کلیدهای SSH به میزبان های Ansible شما متصل شود. اطمینان حاصل کنید که گره کنترل دارای یک کاربر معمولی با مجوزهای sudo است و فایروال را نیز فعال کرده است ، همانطور که در راهنمای ستاپ اولیه سرور محازی توضیح داده شده است. برای راه اندازی Ansible ، لطفا راهنمای ما در مورد نحوه نصب و پیکربندی Ansible در اوبونتو 20.04 را دنبال کنید.
• دو یا چند میزبان Ansible. میزبان Ansible هر دستگاهی است که گره کنترل Ansible شما برای خودکار سازی پیکربندی شده باشد. این راهنما فرض می کند که میزبان های Ansible شما سرور محازی های Ubuntu 20.04 از راه دور هستند. اطمینان حاصل کنید که هر میزبان Ansible دارای موارد زیر است:
o کلید عمومی SSH گره کنترل Ansible به کلیدهای مجاز کاربر کاربر اضافه شده باشد. این کاربر می تواند root یا یک کاربر معمولی با امتیازات sudo باشد. برای تنظیم این گزینه ، می توانید مرحله 2 راهنمای نحوه تنظیم کلیدهای SSH را در اوبونتو 20.04 دنبال کنید.
• یک فایل inventory بر روی گره کنترل Ansible تنظیم شده باشد. اطمینان حاصل کنید که یک فایل inventory در آن وجود دارد که شامل همه میزبان های Ansible باشد. برای انجام این کار ، لطفاً به راهنمای چگونگی تنظیم موجودی های Ansible مراجعه کنید. سپس مطمئن شوید که با اجرای تست اتصال مشخص شده در بخش تست اتصال به میزبان های Ansible ، می توانید به گره های خود متصل شوید.

آزمایش اتصال به هاست های Ansible
دستور زیر اتصال بین گره کنترل Ansible و تمام میزبان های Ansible شما را آزمایش می کند. این دستور از کاربر سیستم فعلی و کلید SSH مربوطه آن به عنوان ورود از راه دور استفاده می کند و گزینه -m را نیز شامل می شود ، که به Ansible می گوید ماژول ping را اجرا کنید. همچنین دارای پرچم -i است که به Ansible میگوید میزبان های موجود در فایل inventory مشخص شده را ping کند.
$ ansible all -i inventory -m ping

اگر اولین بار است که از طریق SSH به این سرور محازی ها وصل می شوید ، از شما خواسته می شود که صحت میزبان هایی را که از طریق Ansible به آنها وصل می شوید ، تأیید کنید. وقتی از شما خواسته شد ، yes را تایپ کنید و سپس برای تأیید ENTER را بزنید.
باید خروجی مشابه این دریافت کنید:
Output
server1 | SUCCESS => {
“changed”: false,
“ping”: “pong”
}
server2 | SUCCESS => {
“changed”: false,
“ping”: “pong”
}

هنگامی که یک پاسخ “pong” را از هاست دریافت کردید ، بدان معنی است که ارتباط زنده است و شما آماده اجرای دستورات Ansible در آن سرور محازی هستید.

تنظیم گزینه های اتصال
به طور پیش فرض ، Ansible سعی دارد با استفاده از صفحه کلید SSH مربوطه ، به عنوان کاربر از راه دور با همان نام کاربری سیستم فعلی شما ، به گره ها متصل شود.
برای اتصال به عنوان یک کاربر از راه دور متفاوت ، فرمان را با پرچم -u و نام کاربر در نظر گرفته شده اضافه کنید:
$ ansible all -i inventory -m ping -u sammy

اگر از یک کلید SSH سفارشی برای اتصال به سرور محازی های از راه دور استفاده می کنید ، می توانید آن را در زمان اجرا با گزینه –private-key ارائه دهید:
$ ansible all -i inventory -m ping –private-key=~/.ssh/custom_id

توجه: برای کسب اطلاعات بیشتر در مورد نحوه اتصال به گره ها ، لطفاً به راهنمای نحوه استفاده از Ansible ما مراجعه کنید ، که گزینه های اتصال بیشتری را نشان می دهد.

هنگامی که می توانید با استفاده از گزینه های مناسب اتصال برقرار کنید ، می توانید فایل inventory خود را تنظیم کنید تا به صورت خودکار کاربر از راه دور و کلید خصوصی خود را تنظیم کنید ، تا تفاوتی با مقادیر پیش فرض تعیین شده توسط Ansible نباشد. سپس ، لازم نیست آن پارامترها را در خط فرمان ارائه دهید.
مثال فایل inventory زیر متغیر ansible_user را فقط برای سرور محازی server1 تنظیم می کند:
~/ansible/inventory
server1 ansible_host=203.0.113.111 ansible_user=sammy
server2 ansible_host=203.0.113.112

Ansible اکنون هنگام اتصال به سرور محازی server1 از summy به عنوان کاربر پیش فرض از راه دور استفاده می کند.
برای تنظیم کلید SSH سفارشی ، متغیر ansible_ssh_private_key_file را به شرح زیر وارد کنید:
~/ansible/inventory
server1 ansible_host=203.0.113.111 ansible_ssh_private_key_file=/home/sammy/.ssh/custom_id
server2 ansible_host=203.0.113.112

در هر دو مورد ، ما مقادیر سفارشی را فقط برای server1 تنظیم کرده ایم. اگر می خواهید از همان تنظیمات برای چندین سرور محازی استفاده کنید ، می توانید برای آن گروه child استفاده کنید:
~/ansible/inventory
[group_a]
203.0.113.111
203.0.113.112

[group_b]
203.0.113.113

[group_a:vars]
ansible_user=sammy
ansible_ssh_private_key_file=/home/sammy/.ssh/custom_id

این پیکربندی مثال فقط یک کاربر سفارشی و کلید SSH را برای اتصال به سرور محازی های ذکر شده در group_a اختصاص می دهد.

تعیین اهدافی برای اجرای فرمان
هنگام اجرای دستورات ad hoc با Ansible ، می توانید میزبان های فردی و همچنین هر ترکیبی از گروه ها ، هاست ها و زیر گروه ها را هدف قرار دهید. به عنوان مثال ، به ترتیب زیر می توانید اتصال را برای هر میزبان در یک گروه به نام سرور محازی ها بررسی کنید:
$ ansible servers -i inventory -m ping

همچنین می توانید میزبان ها و گروه های مختلفی را با جدا کردن آنها با ستون هایی مشخص کنید:
$ ansible server1:server2:dbservers -i inventory -m ping

برای درج یک استثناء در یک الگو ، از علامت تعجب ، پیشوند با کاراکتر ، به شرح زیر استفاده کنید. این دستور بر روی همه سرور محازی های گروه 1 اجرا می شود ، به جز server2:
$ ansible group1:!server2 -i inventory -m ping

در صورت تمایل به اجرای یک دستور فقط بر روی سرور محازی هایی که جزئی از گروه 1 و گروه 2 هستند ،
به عنوان مثال ، باید از & استفاده کنید. فراموش نکنید که پیشوند آن را یک کاراکتر قرار دهید:
$ ansible group1:&group2 -i inventory -m ping

برای کسب اطلاعات بیشتر در مورد چگونگی استفاده از الگوها هنگام تعیین اهداف برای اجرای فرمان ، لطفاً به مرحله 5 راهنمای ما در مورد نحوه تنظیم موجودی های Ansible مراجعه کنید.

اجرای ماژول های Ansible
ماژول های Ansible قطعاتی از کد هستند که می توانند از playbooks و همچنین از خط فرمان دریافت شوند تا مراحل اجرا روی گره های از راه دور را تسهیل کنند. مثالها شامل ماژول apt  ، برای مدیریت بسته های سیستم در اوبونتو و ماژول user  است که برای مدیریت کاربران سیستم استفاده می شود. دستور ping  مورد استفاده در سراسر این راهنما نیز یک ماژول است که به طور معمول برای تست اتصال از گره کنترل به هاست استفاده می شود.
Ansible با مجموعه گسترده ای از ماژول های داخلی همراه است که برخی از آنها به منظور فراهم آوردن قابلیت های کامل ، نیاز به نصب نرم افزار اضافی دارند. همچنین می توانید ماژول های دلخواه خود را با استفاده از زبان مورد نظر خود ایجاد کنید.
برای اجرای یک ماژول با آرگومان ها ، پرچم -a را به همراه گزینه های مناسب در نقل قول اضافه کنید ، مانند این:
$ ansible target -i inventory -m module -a “module options”

به عنوان نمونه ، از ماژول apt برای نصب بسته tree  روی server1 استفاده می کند:
$ ansible server1 -i inventory -m apt -a “name=tree”

اجرای دستورات Bash

هنگامی که یک ماژول از طریق گزینه -m ارائه نمی شود ، از ماژول فرمان به طور پیش فرض برای اجرای دستور مشخص شده روی سرور محازی (های) راه دور استفاده می شود.
این امر به شما امکان می دهد تا بتوانید تقریبا هر فرمانی را اجرا کنید که بطور معمول از طریق یک ترمینال SSH اجرا میشود، مادامی که کاربر در حال اتصال مجوزهای کافی داشته باشد و هیچ گونه اعلان تعاملی وجود نداشته باشد.
این مثال فرمان uptime را در کلیه سرور محازی ها از موجودی مشخص شده اجرا می کند:
$ ansible all -i inventory -a “uptime”

Output
server1 | CHANGED | rc=0 >>
14:12:18 up 55 days, 2:15, 1 user, load average: 0.03, 0.01, 0.00
server2 | CHANGED | rc=0 >>
14:12:19 up 10 days, 6:38, 1 user, load average: 0.01, 0.02, 0.00

استفاده از افزایش امتیازات برای اجرای دستورات با sudo
اگر دستور یا ماژول مورد نظر برای اجرا روی هاستهای از راه دور نیاز به امتیازات گسترده سیستم یا کاربر سیستم دیگری دارد ، لازم است که از ماژول افزایش امتیاز Ansible استفاده کنید ، که ماژولی انتزاعی برای sudo و همچنین سایر نرم افزارهای افزایش امتیاز است که توسط Ansible در سیستم عامل های مختلف پشتیبانی می شود.
به عنوان مثال ، اگر می خواهید یک فرمان tail  را برای خروجی آخرین پیام های ورود به سیستم از خطای Nginx روی سرور محازی به نام server1 از inventory ، اجرا کنید ، باید گزینه –become را به شرح زیر وارد کنید:
ansible server1 -i inventory -a “tail /var/log/nginx/error.log” –become

این می تواند معادل اجرای فرمان sudo tail /var/log/nginx/error.log بر روی میزبان از راه دور ، با استفاده از کاربر سیستم فعلی محلی یا کاربر از راه دور تنظیم شده در فایل inventory شما باشد.
سیستم های افزایش امتیاز مانند sudo اغلب با درخواست رمز ورود کاربر، از شما میخواهند که تأیید اعتبار کنید. این باعث می شود که Ansible در اجرای یک دستور یا اجرای playbook شکست بخورد. سپس می توانید از گزینه –ask-become-pass یا -K استفاده کنید تا Ansible اعلان رمز عبور sudo را درخواست کند:

$ ansible server1 -i inventory -a “tail /var/log/nginx/error.log” –become -K

نصب و حذف بسته ها
مثال زیر از ماژول apt برای نصب بسته nginx در تمام گره ها از فایل inventory استفاده می کند:
$ ansible all -i inventory -m apt -a “name=nginx” –become -K

برای حذف بسته ، آرگومان state را درج کنید و آن را روی absent تنظیم کنید:.
$ ansible all -i inventory -m apt -a “name=nginx state=absent” –become -K

کپی کردن فایل ها
با ماژول file ، می توانید فایلها را بین گره کنترل و گره های مدیریت شده ، از هر جهت کپی کنید. دستور زیر یک فایل متنی محلی را برای همه میزبانهای از راه دور در فایل inventory مشخص شده کپی می کند:
$ ansible all -i inventory -m copy -a “src=./file.txt dest=~/myfile.txt”

برای کپی کردن فایل از سرور محازی از راه دور در گره کنترل خود ، گزینه Remote_src را نیز اضافه کنید:
$ ansible all -i inventory -m copy -a “src=~/myfile.txt remote_src=yes dest=./file.txt”

تغییر مجوزهای فایل
برای تغییر مجوزها در فایل ها و دایرکتوری ها روی گره های از راه دور خود ، می توانید از ماژول file استفاده کنید.
دستور زیر مجوزها را روی فایلی به نام file.txt که در / var / www در میزبان از راه دور قرار دارد تنظیم می کند. این قسمت کادر اجرایی فایل را روی 600 تنظیم می کند ، که مجوزهای خواندن و نوشتن را فقط برای مالک فعلی فایل فعال می کند. علاوه بر این ، مالکیت آن فایل را برای کاربر و گروهی به نام sammy تعیین می کند:
$ ansible all -i inventory -m file -a “dest=/var/www/file.txt mode=600 owner=sammy group=sammy” –become -K

از آنجا که این فایل در یک دیرکتوری قرار دارد که معمولاً متعلق به root است ، برای تغییر ویژگی های آن ممکن است به مجوزهای sudo نیاز داشته باشیم. به همین دلیل گزینه های –become و -K را شامل می شود. اینها برای اجرای دستور دارای امتیازات گسترده از سیستم تشدید امتیاز Ansible استفاده می کنند ، و این امر باعث می شود که رمز عبور sudo را برای کاربر از راه دور تهیه کنید.

ریستارت سرویس ها
شما می توانید از ماژول service برای مدیریت سرویس های در حال اجرا روی گره های از راه دور که توسط Ansible استفاده می شود ، استفاده کنید. این امر به امتیازات گسترده سیستم نیاز دارد ، بنابراین اطمینان حاصل کنید که کاربر از راه دور شما دارای مجوزهای sudo است و شما از گزینه –become برای استفاده از سیستم افزایش امتیاز Ansible استفاده می کنید. استفاده از -K باعث می شود که رمز عبور sudo را برای کاربر متصل کننده فراهم کنید.
برای ریستارت سرویس nginx در تمام میزبانهای گروهی به نام webservers ، دستور زیر را اجرا کنید:
$ ansible webservers -i inventory -m service -a “name=nginx state=restarted” –become -K

ریستارت سرور محازی ها
اگرچه Ansible یک ماژول اختصاصی برای راه اندازی مجدد سرور محازی ها ندارد ، می توانید یک دستور bash صادر کنید که فرمان /sbin/reboot را روی میزبان از راه دور فراخوانی می کند.
راه اندازی مجدد سرور محازی به امتیازات گسترده سیستم نیاز دارد ، بنابراین اطمینان حاصل کنید که کاربر از راه دور شما دارای مجوزهای sudo است و شما از گزینه –become برای استفاده از سیستم افزایش امتیاز Ansible استفاده می کنید. استفاده از -K باعث می شود رمز عبور sudo را برای کاربر متصل کننده فراهم کنید.
هشدار: دستور زیر سرور محازی (های) هدف Ansible را ریستارت می کند. این امر ممکن است باعث ایجاد اختلال موقتی در هر برنامه ای که به آن سرور محازی ها متکی است، گردد.

برای ریستارت همه سرور محازی ها در یک گروه webservers  دستور زیر را اجرا کنید :
$ ansible webservers -i inventory -a “/sbin/reboot” –become -K

جمع آوری اطلاعات در مورد گره های از راه دور
ماژول setup  اطلاعات دقیق در مورد سیستمهای از راه دور مدیریت شده توسط Ansible ، که به system facts نیز شناخته میشود را نشان می دهد.
برای به دست آوردن system facts برای server1 ، دستور زیر را اجرا کنید:
$ ansible server1 -i inventory -m setup

این دستور مقدار زیادی از داده های JSON را چاپ می کند که حاوی جزئیاتی درباره محیط سرور محازی از راه دور است. برای اینکه فقط مرتبط ترین اطلاعات چاپ شود، عبارت “gather_subset=min” را به شرح زیر وارد کنید:
$ ansible server1 -i inventory -m setup -a “gather_subset=min”

برای چاپ فقط موارد خاص JSON ، می توانید از آرگومان filter استفاده کنید. که یک الگوی wildcard را میپذیرد که برای مطابقت رشته ها ، مشابه fnmatch ، استفاده میشود. به عنوان مثال ، برای به دست آوردن اطلاعات در مورد هر دو رابط شبکه ipv4 و ipv6 ، می توانید از * ipv * به عنوان فیلتر استفاده کنید:
ansible server1 -i inventory -m setup -a “filter=*ipv*”

Output
server1 | SUCCESS => {
“ansible_facts”: {
“ansible_all_ipv4_addresses”: [
“203.0.113.111”,
“10.0.0.1”
],
“ansible_all_ipv6_addresses”: [
“fe80::a4f5:16ff:fe75:e758”
],
“ansible_default_ipv4”: {
“address”: “203.0.113.111”,
“alias”: “eth0”,
“broadcast”: “203.0.113.111”,
“gateway”: “203.0.113.1”,
“interface”: “eth0”,
“macaddress”: “a6:f5:16:75:e7:58”,
“mtu”: 1500,
“netmask”: “255.255.240.0”,
“network”: “203.0.113.0”,
“type”: “ether”
},
“ansible_default_ipv6”: {}
},
“changed”: false
}

اگر می خواهید میزان استفاده از دیسک را بررسی کنید ، می توانید یک دستور Bash را با استفاده از ابزار df اجرا کنید ، به شرح زیر:
$ ansible all -i inventory -a “df -h”

Output

server1 | CHANGED | rc=0 >>
Filesystem Size Used Avail Use% Mounted on
udev 3.9G 0 3.9G 0% /dev
tmpfs 798M 624K 798M 1% /run
/dev/vda1 155G 2.3G 153G 2% /
tmpfs 3.9G 0 3.9G 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 3.9G 0 3.9G 0% /sys/fs/cgroup
/dev/vda15 105M 3.6M 101M 4% /boot/efi
tmpfs 798M 0 798M 0% /run/user/0

server2 | CHANGED | rc=0 >>
Filesystem Size Used Avail Use% Mounted on
udev 2.0G 0 2.0G 0% /dev
tmpfs 395M 608K 394M 1% /run
/dev/vda1 78G 2.2G 76G 3% /
tmpfs 2.0G 0 2.0G 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 2.0G 0 2.0G 0% /sys/fs/cgroup
/dev/vda15 105M 3.6M 101M 4% /boot/efi
tmpfs 395M 0 395M 0% /run/user/0

نتیجه
در این راهنما ، ما نحوه استفاده از دستورات adible ad hoc را برای مدیریت سرور محازی های از راه دور ، از جمله نحوه اجرای کارهای متداول شامل ریستارت یک سرویس یا کپی کردن یک فایل از گره کنترل به سرور محازی های از راه دور که توسط آن قابل کنترل است ، نشان دادیم. همچنین نحوه جمع آوری اطلاعات از گره های از راه دور با استفاده از پارامترهای محدود کننده و فیلتر را مشاهده کردیم.
به عنوان یک منبع اضافی ، می توانید مستندات رسمی Ansible را در مورد دستورات ad hoc بررسی کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

در مرحله بعد ، به دیرکتوری بروید و یک پروژه npm خالی را آغاز کنید. توجه داشته باشید که گزینه -y در اینجا بدان معنی است که شما از گزینه های تعاملی فرمان عبور میکنید. برای اجرای دستورها ، -y را از دستور حذف کنید:
$ cd my-blog

$ npm init -y

برای اطلاعات بیشتر در مورد این پیام ها ، می توانید مرحله 1 نحوه استفاده از ماژول های Node.js را با npm و pack.json دنبال کنید.
با پاسخهای پیش فرض موجود ، خروجی مشابه موارد زیر را دریافت خواهید کرد:
Output
Wrote to /…/my-blog/package.json:

{
“name”: “my-blog”,
“version”: “1.0.0”,
“description”: “”,
“main”: “index.js”,
“scripts”: {
“test”: “echo ”Error: no test specified” && exit 1″
},
“keywords”: [],
“author”: “”,
“license”: “ISC”
}

این دستور یک فایل pack.json حداقلی ایجاد می کند که شما به عنوان فایل پیکربندی پروژه npm خود استفاده می کنید. اکنون آماده تنظیم پیکربندی TypeScript در پروژه خود هستید.
دستور زیر را برای ستاپ ساده TypeScript اجرا کنید:
npm install typescript ts-node @types/node –save-dev

این دستور، سه بسته به عنوان متعلقات توسعه در پروژه شما نصب می کند:
Typescript: زنجیره ابزار TypeScript.
ts-node: بسته ای برای اجرای برنامه های TypeScript بدون کامپایل قبلی با JavaScript
@ types / node: تعاریف نوع TypeScript برای Node.js.
آخرین کاری که باید انجام دهید اضافه کردن فایل tsconfig.json است تا اطمینان حاصل شود که TypeScript به درستی برای برنامه ای که می خواهید بسازید پیکربندی شده است.
ابتدا ، دستور زیر را برای ایجاد فایل اجرا کنید:
$ nano tsconfig.json

کد JSON زیر را در فایل اضافه کنید:
my-blog/tsconfig.json
{
“compilerOptions”: {
“sourceMap”: true,
“outDir”: “dist”,
“strict”: true,
“lib”: [“esnext”],
“esModuleInterop”: true
}
}

فایل را ذخیره و از آن خارج شوید.
این یک پیکربندی استاندارد و حداقل برای یک پروژه TypeScript است. اگر می خواهید در مورد خصوصیات فردی فایل پیکربندی بیاموزید ، می توانید آنها را در مستندات TypeScript جستجو کنید.
شما پروژه ساده TypeScript خود را با استفاده از npm تنظیم کرده اید. سپس پایگاه داده PostgreSQL خود را با Docker تنظیم می کنید و Prisma را به آن وصل می کنید.
مرحله 2 – تنظیم Prisma با PostgreSQL
در این مرحله Prisma CLI را نصب می کنید ، فایل شماتیک اولیه Prisma خود را ایجاد کرده و PostgreSQL را با Docker تنظیم می کنید و Prisma را به آن وصل می کنید. شماتیک Prism فایل پیکربندی اصلی برای تنظیم Prisma شما است و شامل شماتیک پایگاه داده شما میباشد.
با نصب دستور Prisma CLI با دستور زیر شروع کنید:
$ npm install @prisma/cli –save-dev

به عنوان بهترین روش ، توصیه می شود که Prisma CLI را بصورت محلی در پروژه خود نصب کنید (برخلاف نصب جهانی). این امر به شما کمک می کند تا در صورت داشتن بیش از یک پروژه Prisma در دستگاه خود ، از تداخل نسخه ها جلوگیری کنید.
در مرحله بعد ، پایگاه داده PostgreSQL خود را با استفاده از Docker تنظیم می کنید. با دستور زیر یک فایل جدید Docker Compose ایجاد کنید:
$ nano docker-compose.yml

اکنون کد زیر را به فایل جدید ایجاد شده اضافه کنید:
my-blog/docker-compose.yml
version: ‘3.8’
services:
postgres:
image: postgres:10.3
restart: always
environment:
– POSTGRES_USER=sammy
– POSTGRES_PASSWORD=your_password
volumes:
– postgres:/var/lib/postgresql/data
ports:
– ‘5432:5432’
volumes:
postgres:

این فایل Docker Compose یک پایگاه داده PostgreSQL را تنظیم می کند که از طریق پورت 5432 کانتینر Docker قابل دسترسی است. همچنین توجه داشته باشید که اعتبارنامه دیتابیس در حال حاضر به عنوان sammy (کاربر) و your_password (رمز عبور) تعیین شده است. در تنظیم این اعتبارها با کاربر و رمز عبور دلخواه خود اختیارعمل کامل دارید. فایل را ذخیره کنید و از آن خارج شوید.
با استفاده از این ستاپ، سرور پایگاه داده PostgreSQL را با دستور زیر راه اندازی کنید:
$ docker-compose up -d

خروجی این دستور مشابه این است:
Output
Pulling postgres (postgres:10.3)…
10.3: Pulling from library/postgres
f2aa67a397c4: Pull complete
6de83ca23e55: Pull complete
. . .
Status: Downloaded newer image for postgres:10.3
Creating my-blog_postgres_1 … done

با دستور زیر می توانید تأیید کنید که سرور پایگاه داده در حال اجرا است:
$ docker ps

این چیزی شبیه به این نتیجه خواهد داد:
Output
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
8547f8e007ba postgres:10.3 “docker-entrypoint.s…” 3 seconds ago Up 2 seconds 0.0.0.0:5432->5432/tcp my-blog_postgres_1

با اجرای سرور پایگاه داده ، اکنون می توانید ستاپ Prisma خود را ایجاد کنید. دستور زیر را از Prisma CLI اجرا کنید:
با این کار خروجی زیر چاپ می شود:
$ npx prisma init

خروجی زیر را پرینت میکند:
Output
 Your Prisma schema was created at prisma/schema.prisma.
You can now open it in your favorite editor.

توجه داشته باشید که به عنوان بهترین کار ، باید تمام فراخوانی های Prisma CLI را با npxپیشونددار کنید. این کار اطمینان حاصل می کند نصب محلی شما در حال استفاده است.
پس از اجرای فرمان ، Prisma CLI یک پوشه جدید به نام prisma را در پروژه شما ایجاد کرد. این شامل دو فایل زیر است:
schema.prisma: فایل اصلی پیکربندی پروژه Prisma شما (شامل مدل داده شما خواهد بود(.
.env: یک فایل dotenv برای مشخص کردن URL اتصال به پایگاه داده خود.
برای اطمینان از اینکه Prisma از مکان پایگاه داده شما اطلاع دارد ، فایل .env را باز کنید و متغیر محیط DATABASE_URL را تنظیم کنید.
ابتدا فایل .env را باز کنید:
$ nano prisma/.env

اکنون می توانید متغیر محیط را به شرح زیر تنظیم کنید:
my-blog/prisma/.env
DATABASE_URL=”postgresql://sammy:your_password@localhost:5432/my-blog?schema=public”

اطمینان حاصل کنید که اعتبار دیتابیس را به مواردی که در فایل Docker Compose معرفی کرده اید تغییر دهید. برای کسب اطلاعات بیشتر در مورد قالب URL اتصال ، به اسناد Prisma مراجعه کنید.
پس از اتمام کار ، فایل را ذخیره کنید و خارج شوید.
در این مرحله ، پایگاه داده PostgreSQL خود را با Docker تنظیم کرده ، Prisma CLI را نصب کرده و Prisma را از طریق یک متغیر محیط به پایگاه داده وصل می کنید. در بخش بعدی ، مدل داده خود را تعیین کرده و جداول بانک اطلاعاتی خود را ایجاد خواهید کرد.
مرحله 3 – تعریف مدل داده خود و ایجاد جداول بانک اطلاعاتی
در این مرحله مدل داده خود را در فایل شماتیک Prisma تعریف خواهید کرد. سپس این مدل داده با Prisma Migrate به پایگاه داده نگاشت می شود که عبارت SQL را برای ایجاد جداول متناسب با مدل داده شما تولید و ارسال می کند. از آنجا که شما در حال ایجاد یک برنامه وبلاگ نویسی هستید ، ماهیت های اصلی برنامه، کاربران و پستها خواهند بود.
Prisma از زبان مدل سازی داده خود استفاده می کند تا شکل داده های برنامه شما را تعریف کند.
ابتدا فایل schema.prisma خود را با دستور زیر باز کنید:
$ nano prisma/schema.prisma

حالا تعاریف مدل زیر را به آن اضافه کنید. شما می توانید مدل ها را در پایین فایل ، درست پس از بلوک generator clientقرار دهید:
my-blog/prisma/schema.prisma
. . .
model User {
id Int @default(autoincrement()) @id
email String @unique
name String?
posts Post[]
}

model Post {
id Int @default(autoincrement()) @id
title String
content String?
published Boolean @default(false)
author User? @relation(fields: [authorId], references: [id])
authorId Int?
}

فایل را ذخیره کنید و از آن خارج شوید.
شما در حال تعریف دو مدل به نام های کاربر و پست هستید. هر یک از این موارد دارای تعدادی فیلد است که نشان دهنده ویژگی های مدل است. مدل ها در جداول بانک اطلاعاتی نگاشت می شوند. فیلد ها ستون های فردی را نشان می دهند.
همچنین توجه داشته باشید که بین این دو مدل رابطه یک به یک وجود دارد ، که توسط فیلدهای رابطه ای posts  و author  در User  و Post مشخص شده است. این بدان معنی است که یک کاربر می تواند با بسیاری از پست ها در ارتباط باشد.
با استفاده از این مدل ها ، اکنون می توانید جداول مربوطه را با استفاده از Prisma Migrate در دیتابیس ایجاد کنید. در ترمینال خود دستور زیر را اجرا کنید:
$ npx prisma migrate save –experimental –create-db –name “init”

این دستور یک تغییر جدید در سیستم فایل شما ایجاد می کند. در اینجا یک مرور اجمالی از سه گزینه ارائه شده به این دستور آمده است:
–experimental: الزامی است زیرا Prisma Migrateدر حال حاضر در حالت آزمایشی قرار دارد.
–create-db: Prisma Migrate را قادر می سازد تا پایگاه داده ای را با نام وبلاگ من ایجاد کند که در URL اتصال مشخص شده است.
–name “init”: انتقال را مشخص می کند (برای نامگذاری پوشه جا به جایی ایجاد شده در سیستم فایل شما استفاده خواهد شد).
خروجی این دستور مشابه این است:
Output
New datamodel:

// This is your Prisma schema file,
// learn more about it in the docs: https://pris.ly/d/prisma-schema

datasource db {
provider = “postgresql”
url = env(“DATABASE_URL”)
}

generator client {
provider = “prisma-client-js”
}

model User {
id Int @default(autoincrement()) @id
email String @unique
name String?
posts Post[]
}

model Post {
id Int @default(autoincrement()) @id
title String
content String?
published Boolean @default(false)
author User? @relation(fields: [authorId], references: [id])
authorId Int?
}

Prisma Migrate just created your migration 20200811140708-init in

migrations/
└─ 20200811140708-init/
└─ steps.json
└─ schema.prisma
└─ README.md

در جتجوی فایل های migration که در دیرکتوری prisma/migrations ایجاد شده اند ، آزادانه عمل کنید.
برای اجرای جابه جایی در برابر پایگاه داده خود و ایجاد جداول برای مدل های Prisma ، دستور زیر را در ترمینال خود اجرا کنید:
$ npx prisma migrate up –experimental

خروجی زیر را دریافت خواهید کرد:
Output
. . .
Checking the datasource for potential data loss…

Database Changes:

Migration Database actions Status

20200811140708-init 2 CreateTable statements. Done  Your Prisma schema was created at prisma/schema.prisma.
You can now open it in your favorite editor.

توجه داشته باشید که به عنوان بهترین کار ، باید تمام فراخوانی های Prisma CLI را با npxپیشونددار کنید. این کار اطمینان حاصل می کند نصب محلی شما در حال استفاده است.
پس از اجرای فرمان ، Prisma CLI یک پوشه جدید به نام prisma را در پروژه شما ایجاد کرد. این شامل دو فایل زیر است:
schema.prisma: فایل اصلی پیکربندی پروژه Prisma شما (شامل مدل داده شما خواهد بود(.
.env: یک فایل dotenv برای مشخص کردن URL اتصال به پایگاه داده خود.
برای اطمینان از اینکه Prisma از مکان پایگاه داده شما اطلاع دارد ، فایل .env را باز کنید و متغیر محیط DATABASE_URL را تنظیم کنید.
ابتدا فایل .env را باز کنید:
$ nano prisma/.env

اکنون می توانید متغیر محیط را به شرح زیر تنظیم کنید:
my-blog/prisma/.env
DATABASE_URL=”postgresql://sammy:your_password@localhost:5432/my-blog?schema=public”

اطمینان حاصل کنید که اعتبار دیتابیس را به مواردی که در فایل Docker Compose معرفی کرده اید تغییر دهید. برای کسب اطلاعات بیشتر در مورد قالب URL اتصال ، به اسناد Prisma مراجعه کنید.
پس از اتمام کار ، فایل را ذخیره کنید و خارج شوید.
در این مرحله ، پایگاه داده PostgreSQL خود را با Docker تنظیم کرده ، Prisma CLI را نصب کرده و Prisma را از طریق یک متغیر محیط به پایگاه داده وصل می کنید. در بخش بعدی ، مدل داده خود را تعیین کرده و جداول بانک اطلاعاتی خود را ایجاد خواهید کرد.
مرحله 3 – تعریف مدل داده خود و ایجاد جداول بانک اطلاعاتی
در این مرحله مدل داده خود را در فایل شماتیک Prisma تعریف خواهید کرد. سپس این مدل داده با Prisma Migrate به پایگاه داده نگاشت می شود که عبارت SQL را برای ایجاد جداول متناسب با مدل داده شما تولید و ارسال می کند. از آنجا که شما در حال ایجاد یک برنامه وبلاگ نویسی هستید ، ماهیت های اصلی برنامه، کاربران و پستها خواهند بود.
Prisma از زبان مدل سازی داده خود استفاده می کند تا شکل داده های برنامه شما را تعریف کند.
ابتدا فایل schema.prisma خود را با دستور زیر باز کنید:
$ nano prisma/schema.prisma

حالا تعاریف مدل زیر را به آن اضافه کنید. شما می توانید مدل ها را در پایین فایل ، درست پس از بلوک generator clientقرار دهید:
my-blog/prisma/schema.prisma
. . .
model User {
id Int @default(autoincrement()) @id
email String @unique
name String?
posts Post[]
}

model Post {
id Int @default(autoincrement()) @id
title String
content String?
published Boolean @default(false)
author User? @relation(fields: [authorId], references: [id])
authorId Int?
}

فایل را ذخیره کنید و از آن خارج شوید.
شما در حال تعریف دو مدل به نام های کاربر و پست هستید. هر یک از این موارد دارای تعدادی فیلد است که نشان دهنده ویژگی های مدل است. مدل ها در جداول بانک اطلاعاتی نگاشت می شوند. فیلد ها ستون های فردی را نشان می دهند.
همچنین توجه داشته باشید که بین این دو مدل رابطه یک به یک وجود دارد ، که توسط فیلدهای رابطه ای posts  و author  در User  و Post مشخص شده است. این بدان معنی است که یک کاربر می تواند با بسیاری از پست ها در ارتباط باشد.
با استفاده از این مدل ها ، اکنون می توانید جداول مربوطه را با استفاده از Prisma Migrate در دیتابیس ایجاد کنید. در ترمینال خود دستور زیر را اجرا کنید:
$ npx prisma migrate save –experimental –create-db –name “init”

این دستور یک تغییر جدید در سیستم فایل شما ایجاد می کند. در اینجا یک مرور اجمالی از سه گزینه ارائه شده به این دستور آمده است:
–experimental: الزامی است زیرا Prisma Migrateدر حال حاضر در حالت آزمایشی قرار دارد.
–create-db: Prisma Migrate را قادر می سازد تا پایگاه داده ای را با نام وبلاگ من ایجاد کند که در URL اتصال مشخص شده است.
–name “init”: انتقال را مشخص می کند (برای نامگذاری پوشه جا به جایی ایجاد شده در سیستم فایل شما استفاده خواهد شد).
خروجی این دستور مشابه این است:
Output
New datamodel:

// This is your Prisma schema file,
// learn more about it in the docs: https://pris.ly/d/prisma-schema

datasource db {
provider = “postgresql”
url = env(“DATABASE_URL”)
}

generator client {
provider = “prisma-client-js”
}

model User {
id Int @default(autoincrement()) @id
email String @unique
name String?
posts Post[]
}

model Post {
id Int @default(autoincrement()) @id
title String
content String?
published Boolean @default(false)
author User? @relation(fields: [authorId], references: [id])
authorId Int?
}

Prisma Migrate just created your migration 20200811140708-init in

migrations/
└─ 20200811140708-init/
└─ steps.json
└─ schema.prisma
└─ README.md

در جتجوی فایل های migration که در دیرکتوری prisma/migrations ایجاد شده اند ، آزادانه عمل کنید.
برای اجرای جابه جایی در برابر پایگاه داده خود و ایجاد جداول برای مدل های Prisma ، دستور زیر را در ترمینال خود اجرا کنید:
$ npx prisma migrate up –experimental

خروجی زیر را دریافت خواهید کرد:
Output
. . .
Checking the datasource for potential data loss…

Database Changes:

Migration Database actions Status

20200811140708-init 2 CreateTable statements. Done