OCI arm 인스턴스에서 docker로 web, was 사용

OCI 에서 제공되는 무료 서버를 이용하여 nginx(x86) – was(arm64) – DB(arm64) 으로 잘 사용하고 있었다.

기존엔 snapd(certbot) 도 arm64에서 정상 동작지 않았고 http3를 구현한 nginx도 베타 였으나 현재는 mainline-quic 으로 되었기 때문에 native-arm64 환경으로 이행을 통해 메모리가 적어서 상대적으로 속도가 느렸던 x86서버를 버리기 위해서 아래와 같은 목표를 구현하는 것을 목표로 잡았다.

1. Docker – rockylinux9 – nginx-quic(http3) 구축

2. Docker – Was(http,php-fpm) 의 OS를 amazonlinux2 -> rockylinux9 으로 변경 하여 php-8.3 사용

베이스 OS는 rockylinux 8(arm64) 이며, 먼저 arm 서버에 docker, memcached 를 설치하고 활성화 한다.
php-fpm에서 세션 저장 위치로 호스트OS에 memcached(:11211)를 사용한다.

~]# dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

~]# dnf -y install docker-ce docker-ce-cli containerd.io docker-compose-plugin memcached

~]# systemctl enable --now docker.service memcached.service

Was 컨테이너 안에서 웹서비스가 apache:apache 권한 으로 동작 되기 때문에 아래와 같이 베이스 os에 같은 권한을 생성하여 웹동작 과 웹서비스 폴더및 파일의 소유권을 일치화 한다.

~]# groupadd -g 48 apache

~]# useradd -s /sbin/nologin -u 48 -g apache -d /usr/share/httpd -c Apache apache

~]# mkdir -p /var/www/html

~]# chown -R apache:apache /var/www/html

파이어월 설정을 해서 memcache 와 was 포트를 허용한다.

~]# firewall-cmd --add-service=memcache --permanent

~]# firewall-cmd --add-port=8000/tcp --permanent

~]# firewall-cmd --reload

https://hub.docker.com/r/san0123/rocky9-arm64-http-php

도커는 pull 을 별도로 하지 않더라도 정확한 주소를 사용할 경우 자동으로 pull 하는 기능이 있으므로 바로 run 을 실행 한다. nginx 가 80,443 을 사용할 예정이기 때문에 9000번 포트를 이용해 run 한다.

1 2	~]# docker run -d --name main_site --add-host host.docker.internal:host-gateway --restart always \ -p 9000:80 -v /var/www/html:/var/www/html san0123/rocky9-arm64-http-php:8.3

Nginx 용 도커를 띄우기 위해 아래와 같이 방화벽 설정을 한다.

~]# firewall-cmd --add-service=http --permanent

~]# firewall-cmd --add-service=https --permanent

~]# firewall-cmd --add-port=443/udp --permanent

~]# firewall-cmd --reload

웹용 도커는 베이스os에서 virtualhost 설정파일을 수정 하고 docker를 재실행 하기 위해 먼저 해당 파일을 생성해 둬야 한다.

1 2	~]# mkdir -p /var/www/conf ~]# touch /var/www/conf/virtual.conf

https://hub.docker.com/r/san0123/rocky9-arm64-nginx

Nginx용 도커를 실행 한다.
컨테이너를 재 생성 할때마다 인증서나 가상호스트 파일을 수정하지 않도록 두개의 마운트 포인트를 추가해서 실행한다.

~]# docker run -d --name nginx_docker \

-p 80:80 -p 443:443 -p 443:443/udp \

-v /etc/letsencrypt:/etc/letsencrypt \

-v /var/www/conf/virtual.conf:/etc/nginx/conf.d/virtual.conf \

san0123/rocky9-arm64-nginx

Let‘s encrypt 를 생성하는 명령어는 다음과 같다.

~]# docker exec nginx_docker /usr/local/bin/certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --rsa-key-size 4096 --agree-tos

--email 이메일@주소.com --webroot -w /var/www/html \

-d www.도메인.com -d 도메인.com -d grafana.도메인.com

이후 베이스OS 에서 /var/www/conf/virtual.conf 를 자신의 url에 맞게 수정하고 발급된 인증서가 동작할 수 있도록 아래와 같이 수정을 한다.

### http server

server {

listen 80;

server_name www.도메인.com 도메인.com grafana.도메인.com;

include security_params;

include security_method_params;

location ^~ /.well-known/acme-challenge/ { root /var/www/html/; }

location / { rewrite ^ https://$host$request_uri? permanent; }

}

### http2 set for example.com -> www.example.com ###

server {

listen 443 ssl;

server_name 도메인.com;

location / {

return 301 https://www.$server_name$request_uri;

}

ssl_certificate /etc/letsencrypt/live/www.도메인.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/www.도메인.com/privkey.pem;

add_header Strict-Transport-Security 'max-age=31536000; preload';

include http2_params;

}

### http3 only one site ###

server {

listen 443 ssl;

listen 443 quic reuseport;

server_name www.도메인.com;

include security_params;

include security_method_params;

location / {

include proxy_params;

proxy_pass http://host.docker.internal:9000;

}

ssl_certificate /etc/letsencrypt/live/www.도메인.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/www.도메인.com/privkey.pem;

add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';

include http2_params;

include http3_params;

}

### http2 other site ###

server {

listen 443 ssl;

server_name grafana.도메인.com;

include security_params;

if ( $request_method !~ ^(GET|POST|PUT|DELETE|HEAD|OPTIONS)$ ) { return 405; }

allow 123.123.123.123/32;

deny all;

location / {

include proxy_params;

proxy_pass http://host.docker.internal:3000;

}

ssl_certificate /etc/letsencrypt/live/www.도메인.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/www.도메인.com/privkey.pem;

add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';

include http2_params;

}

이후 nginx를 재시작 하기 위해 컨테이너를 재시작 한다.

1	~]# docker restart nginx_docker

http3가 잘 활성화 되어있는지 확인 한다. ( https://http3check.net/ )

2024-04-27 17 14 57

인증서가 약 2-3개월 마다 갱신해야 하기 때문에 cronatb에 아래와 같이 등록해서 주기적인 인증서 업데이트 및 적용을 위한 재시작을 한다. (매주 월요일 오전 8시)

1	00 08 * * 1 bash docker exec nginx_docker /usr/local/bin/certbot renew && docker restart nginx_docker

php-fpm 서버에서의 php_value 를 선언하는 방법.

기존에 mod_php를 사용하는 php 4.x ~ 7.2 까지의 버전에서는 .htaccess 파일에서 php_value 를 설정해서 쓰는 경우가 많았다.

다만 php-fpm의 경우 별도의 데몬으로 작동을 하기 때문에 해당 값을 입력할 경우 500 에러가 발생한다.

아울러서 Apache 의 디렉토리 보안설정의 AllowOverride 설정이 All 또는 Options 으로 설정 되어 있어야 했다.
주: AllowOverride All 은 하위에서 위험한 값들을 변조 가능성을 열어 주기 때문에 보안상 매우 좋지 않으니 되도록이면 하지 말아야 한다.

기술적으로 php 5.6의 경우에도 php-fpm 을 사용 할 수 있기 때문에 버전으로 나누기 보다 phpinfo() 에 선언된 값을 보고 php-fpm 인지 판단해야 한다.

20240326_140656

위 캡춰 이미지와 같이 php-fpm 으로 구성된 서버에서는 php 코드 안에서의 ini_set 을 선언하거나 .htaccess 에서 php_value 선언을 해도 무시되거나 500 에러가 발생 한다고 생각 하면 쉽다.

권고 되는 방법은 apache 웹서버내에서 선언되거나 php-fpm 에서 선언 되거나 user.ini 를 불러오도록 설정해서 하는 방법이다. 다만 이경우 서버 설정을 건들이기 때문에 직접 수정이 불가능한 경우가 많겠다.

먼저 php.net 에서 공개해둔 메뉴얼 https://www.php.net/manual/en/ini.core.php을 보게 되면 아래와 같이 Changeable 이 공개 되어 있다.

20240326_141221

php_value 으로 변경 할 수 있는 값은 INI_PERDIR 또는 INI_ALL 이다.

INI_SYSTEM 의 경우 PHP_ADMIN_VALUE 으로 선언이 가능하지만.. 일반 계정에서의 선언은 되지 않고 웹서버(apache conf 파일) 에서 선언해야만 인식 한다.

설정 방법은 아래와 같다.

1	SetEnv PHP_VALUE "max_input_vars = 3000"

주의 할점은 $_SERVER 으로 전달 하는 부분이기 때문에 하나의 SetEnv만 인식 한다는 부분이다. 여러 가지의 PHP_VALUE 를 선언 하기 위해서는 vi 에디터로 수정을 해야 한다.

Ctrl + v 를 누르면 ^ 부분이 vi 에디터에 입력이 되는데 이후 Enter 를 입력하면 파란색의 ^M 표시기를 입력할 수 있다.
ftp를 이용하려 전송할때 ascii 파일을 binary로 전송했을때 칸 구분에 붙은 그 표기가 맞다.

이를 아래와 같이 입력하면 여러개의 PHP_VALUE 를 사용할 수 있다.

도커 허브에 배포 중인 이미지에서 CI4(CodeIgniter 4) 사용 방법

도커에 이미지를 작성 하여 배포중에 있다.
https://hub.docker.com/search?q=san0123

간단히 서버를 꾸미거나 개발용 PC에 서버 환경을 꾸릴 수 있도록 배포하였고.
Oracle Linux 8 (arm64) 서버에 httpd, php 설치, Docker for windows – centos8(php, httpd) 설치
일반 CMS (wordpress, gnuboard 등등) 를 사용하는데는 큰 지장이 없지만 CI4 를 설치시 환경 구성법을 문의 하는 사람이 있어서 사용법을 적습니다.

일단 도커를 설치한 윈도우 또는 Linux 에서 아래와 같은 명령어로 시작을 합니다.

# Linux - rockylinux 8

~]# docker run -d --name project1 -p 80:80 -v /free/home/project1:/var/www/html san0123/rocky8-http-php:7.4

# Linux - rockylinux 9

~]# docker run -d --name project1 -p 80:80 -v /free/home/project1:/var/www/html san0123/rocky9-http-php:8.0

# Linux - amazonlinux 2 - arm64

~]# docker run -d --name project1 -p 80:80 -v /free/home/project1:/var/www/html san0123/amzn2-arm64-http-php:8.2

# Windows

C:\> docker run -d --name project1 -p 80:80 -v d:/project1:/var/www/html [도커허브이미지명]:[버전]

이미지가 없어도 run 할때 정확한 도커URL을 적으면 pull 을 하고 나서 run을 하는 기능이 있으미 바로 run을 하면 된다.

실행된 도커 진입 (윈도우나 리눅스 둘다 명령어 같음)

~]# docker exec -it [컨테이너이름] bash

~]# docker exec -it project1 bash

또는

C:\> docker exec -it [컨테이너ID] bash

C:\> docker exec -it 4379b8ed4b6d bash

아파치 더큐먼트 루트 변경 (컨테이너 안에서 실행)

1 2	bash-4.2# echo 'DocumentRoot /var/www/html/public' > /etc/httpd/conf.d/documentroot.conf bash-4.2# apachectl restart

CI4 설치 (컨테이너 안에서 실행)

bash-4.2# cd /var/www

bash-4.2# composer create-project codeigniter4/appstarter html

bash-4.2# chown -R apache:apache html

접속 확인 🙂
20240326_093221

RockyLinux 8 미사용 커널 삭제

Linux 상에서 dnf update 를 한 경우 보통은 새로운 업데이트 버전이 설치 되면서 기존 버전을 삭제 하게 되어있다.

다만 일반적인 범주를 벗어나는 java 라든가 python 은 기존 버전의 삭제 없이 다른 이름으로 설치 되어 alternatives에 의해 선택되어 사용 된다.

그리고 또 다른 하나의 경우는 kernel 이 업데이트 된 경우 인데 (8.5 -> 8.9) 이경우 /boot 파티션에 기존 부분 삭제없이 누적 되기 때문에

업데이트를 꾸준히 한경우 /boot 파티션의 용량이 부족한 경우가 발생한다.

요점은 /boot 폴더는 보통 용량이 작기 때문에 용량 확보를 위해서 기존 커널을 지워야 한다 ‘ ㅅ’a

~]# dnf remove --oldinstallonly --setopt installonly_limit=2 kernel

Dependencies resolved.

==============================================================================================

Package Architecture Version Repository Size

==============================================================================================

Removing:

kernel x86_64 4.18.0-372.9.1.el8 @anaconda 0

kernel-core x86_64 4.18.0-372.9.1.el8 @anaconda 69 M

kernel-modules x86_64 4.18.0-372.9.1.el8 @anaconda 23 M

kernel-uek x86_64 5.4.17-2136.307.3.1.el8uek @anaconda 132 M

kernel-uek x86_64 5.4.17-2136.307.3.6.el8uek @ol8_UEKR6 132 M

kernel-uek-devel x86_64 5.4.17-2136.307.3.1.el8uek @ol8_UEKR6 74 M

kernel-uek-devel x86_64 5.4.17-2136.307.3.6.el8uek @ol8_UEKR6 74 M

==============================================================================================

손쉽게 삭제가 된다. 🙂

20240304_142946

OCI 구성 서버중 update를 많이 한 웹서버 용량이 73%를 쓰고 있어서 삭제 후 43% 으로 감소 하였음 :).

nginx 설정파일을 vim 으로 변경시 색상 표시

nginx 의 경우 vim 을 이용한 편집시 색상 표기가 되지 않아 눈에 잘 들어오지 않는다.

이는 vim 이 가지고 있는 syntax중 nginx 에 맞는 색상 코드가 존재 하지 않기 때문이고 이를 추가해 줄 경우

색상이 정상적으로 표시가 된다.

먼저 아래 와 같이 경로 이동 및 파일 다운로드를 진행한다. (경로 이동중 vim80 부분은 설치된 vim의 버전에 따라 변경 될 수 있다.)

~]# cd /usr/share/vim/vim80/syntax

~]# curl -Os https://www.enteroa.com/nginx.vim.tgz

~]# tar xvfzp nginx.vim.tgz

~]# rm -f nginx.vim.tgz

이후 filetype.vim 에서 어떤 파일에 해당 syntax를 사용할지 설정해야 한다.

vi /usr/share/vim/vim80/filetype.vim 를 이용해 파일 편집을 진행 한다.

1	au BufRead,BufNewFile /etc/nginx/,/etc/nginx/conf.d/,/usr/local/nginx/conf/,/conf/nginx.conf setf nginx

99번째 줄에 apache(httpd) 에 대한 설정이 있는데 그 아래 추가를 하고 저장 한다.

nginx.conf 를 vi 로 열었을때 아래와 같이 나온다면 잘 설정이 된것이다.

20240208_133533

출처: https://gist.github.com/ralavay/c4c7750795ccfd72c2db

ps. 출처에서는 vim.org 에서 다운받게 하였으나 다운로드 시 잘 안되는 경우가 발생했고, 일부 ssl 관련 설정을 추가해서 nginx.vim.tgz 에 담았음.