سرور مجازی

Docker  می تواند روشی کارآمد برای اجرای برنامه های وب در حال تولید باشد ، اما ممکن است بخواهید چندین برنامه را در یک هاست  Docker اجرا کنید. در این شرایط ، باید پروکسی معکوس تنظیم کنید زیرا فقط می خواهید پورت 80 و 443 را در معرض دید قرار دهید.

Traefik  یک پروکسی معکوس آگاه از Docker است که شامل داشبورد نظارت خود میباشد. در این آموزش ، از Traefik برای مسیر یابی درخواست ها به دو کانتینر مختلف برنامه وب استفاده می کنید: یک کانتینر وردپرس و یک کانتینر Adminer که هر کدام با یک پایگاه داده MySQL در ارتباط هستند. با استفاده از Let’s Encrypt ، Traefik را پیکربندی می کنید تا همه چیز را از طریق HTTPS  ارائه دهد.

پیش نیازها

برای دنبال کردن این آموزش ، به موارد زیر نیاز دارید:

• یک سرور مجازی Ubuntu 18.04 با پیروی از راهنمای ستاپ اولیه سرور مجازی Ubuntu 18.04 ، از جمله کاربر غیر ریشه sudo و فایروال ، راه اندازی شده.
• Docker روی سرور مجازی شما نصب شده باشد ، که می توانید با دنبال کردن نحوه نصب و استفاده از Docker در Ubuntu 18.04 این کار را انجام دهید.
• Docker Compose با دستورالعمل نحوه نصب Docker Compose در Ubuntu 18.04 نصب شده باشد.
• یک دامنه و سه رکورد A ، db-admin ، blog و monitor. هر کدام باید به آدرس IP سرور مجازی شما اشاره کنند. در طول این آموزش ، دامنه خود را به جای your_domain در فایلهای پیکربندی و مثالها جایگزین کنید.

مرحله 1 – پیکربندی و اجرای  Traefik

پروژه Traefik دارای یک تصویر Docker رسمی است ، بنابراین ما برای اجرای Traefik در یک کانتینر Docker از آن استفاده خواهیم کرد.

اما قبل از راه اندازی کانتینر Traefik ، باید یک فایل پیکربندی ایجاد کرده و یک پسورد رمزگذاری شده تنظیم کنیم تا بتوانیم به داشبورد نظارت دسترسی پیدا کنیم.

برای ایجاد این گذرواژه رمزگذاری شده از ابزار htpasswd استفاده خواهیم کرد. ابتدا برنامه کمکی را نصب کنید که در بسته apache2-utils  وجود دارد:

·         $ sudo apt-get install apache2-utils·

 

سپس رمز عبور را با htpasswd تولید کنید. secure_password را با رمز عبوری که می خواهید برای کاربر مدیر Traefik استفاده کنید جایگزین کنید:

·         $ htpasswd -nb admin secure_password·

خروجی برنامه به صورت زیر خواهد بود:

Output

admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

 

برای تنظیم احراز هویت پایه HTTP برای داشبورد بررسی و نظارت بر سلامت Traefik ، از خروجی منحصر به فرد خود در فایل پیکربندی Traefik استفاده خواهید کرد. تمام خط خروجی خود را کپی کنید تا بعداً بتوانید آن را جایگذاری کنید. از خروجی مثال استفاده نکنید.

برای پیکربندی سرور مجازی Traefik ، با استفاده از قالب TOML ، یک فایل پیکربندی جدید به نام traefik.toml ایجاد خواهیم کرد. TOML یک زبان پیکربندی شبیه به فایل های INI اما استاندارد است. این فایل به ما اجازه می دهد تا سرور مجازی Traefik و ادغام های مختلف یا providers را که می خواهیم استفاده کنیم پیکربندی کنیم. در این آموزش ، ما از سه ارائه دهنده موجود Traefik استفاده خواهیم کرد: api ، docker  و acme. آخرین مورد ، acme  با استفاده از Let’s Encrypt از گواهینامه های TLS پشتیبانی می کند.

فایل جدید خود را در nano یا ویرایشگر متن مورد علاقه خود باز کنید:

·         $ nano traefik.toml·

ابتدا دو نقطه ورودی به نام http و https اضافه کنید که به طور پیش فرض همه backends به آنها دسترسی خواهند داشت:

traefik.toml

defaultEntryPoints = [“http”, “https”]

 

بعداً در این فایل نقاط ورودی http و https را پیکربندی خواهیم کرد.

در مرحله بعد ، ارائه دهنده api را پیکربندی کنید ، که به شما امکان دسترسی به رابط داشبورد را می دهد. اینجاست که می توانید خروجی را از دستور htpasswd پیست کنید:

traefik.toml

…

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

 

[api]

entrypoint=”dashboard”

 

داشبورد یک برنامه وب جداگانه است که در کانتینر Traefik اجرا می شود. ما داشبورد را تنظیم می کنیم تا روی پورت 8080 کار کند.

بخش entrypoints.dashboard نحوه ارتباط ما با ارائه دهنده api را تنظیم می کند و بخش entrypoints.dashboard.auth.basic  تأیید اعتبار اصلی HTTP را برای داشبورد پیکربندی می کند. برای مقدار ورودی کاربران از خروجی دستور htpasswd استفاده کنید. می توانید ورودهای اضافی را با جدا کردن آنها با ویرگول مشخص کنید.

ما اولین ورودی خود را تعریف کرده ایم ، اما باید سایر موارد را برای ارتباطات استاندارد HTTP و HTTPS که به سمت ارائه دهنده api  نیست ، تعریف کنیم. بخش entryPoints آدرس هایی را که Traefik و کانتینرهای پروکسی می توانند به آن گوش دهند پیکربندی می کند. این خطوط را به فایل زیر عنوان entryPoints اضافه کنید:

traefik.toml

…

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443”

[entryPoints.https.tls]

…

 

نقطه ورود http پورت 80 را کنترل می کند ، در حالی که نقطه ورود https از پورت 443 برای TLS / SSL استفاده می کند. ما به طور خودکار تمام ترافیک موجود در پورت 80 را به نقطه ورود https هدایت می کنیم تا اتصالات ایمن را برای همه درخواست ها تضمین کنیم.

در مرحله بعد ، این بخش را برای پیکربندی Let’s Encrypt پشتیبانی از گواهی Traefik اضافه کنید:

traefik.toml

…

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

 

این بخش acme نامیده می شود زیرا ACME نام پروتکلی است که برای ارتباط با Let’s Encrypt برای مدیریت گواهینامه ها استفاده می شود. سرویس Let’s Encrypt نیاز به ثبت نام با یک آدرس ایمیل معتبر دارد ، بنابراین برای اینکه Traefik برای هاست های ما گواهی تولید کند ، کلید ایمیل را روی آدرس ایمیل خود تنظیم کنید. سپس مشخص می کنیم که اطلاعاتی که از Let’s Encrypt  دریافت خواهیم کرد را در یک فایل JSON به نام acme.json ذخیره خواهیم کرد. کلید entryPoint باید به نقطه ورودی پورت 443 اشاره کند ، که در مورد ما نقطه ورود https است.

کلید onHostRule نحوه عملکرد Traefik برای تولید گواهینامه ها را تعیین می کند. ما می خواهیم گواهینامه خود را به محض ایجاد کانتینرها با نام هاست های مشخص دریافت کنیم ، و این همان کاری است که تنظیم onHostRule انجام می دهد.

بخش acme.httpChallenge به ما اجازه می دهد تا تعیین کنیم چگونه Let’s Encrypt بتواند تأیید کند که گواهی تولید شده است. ما در حال پیکربندی آن هستیم تا به عنوان بخشی از چالش از طریق نقطه ورود http ، یک فایل را ارائه دهد.

در آخر ، بیایید با اضافه کردن این خطوط به فایل ، ارائه دهنده docker را پیکربندی کنیم:

traefik.toml

…

[docker]

domain = “your_domain”

watch = true

network = “web”

 

ارائه دهنده docker ، Traefik  را قادر می سازد به عنوان یک پروکسی در مقابل کانتینرهای Docker عمل کند. ما ارائه دهنده را پیکربندی کرده ایم تا کانتینرهای جدیدی را در شبکه وب مشاهده کند که به زودی ایجاد خواهیم کرد و آنها را به عنوان زیر دامنه های your_domain نمایش می دهد.

در این مرحله ، traefik.toml  باید دارای محتوای زیر باشد:

traefik.toml

defaultEntryPoints = [“http”, “https”]

 

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443″

[entryPoints.https.tls]

 

[api]

entrypoint=”dashboard”

 

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

 

[docker]

domain = “your_domain”

watch = true

network = “web”

Copy

 

فایل را ذخیره کرده و از ویرایشگر خارج شوید. با استفاده از این پیکربندی ها ، می توانیم Traefik را مقداردهی اولیه کنیم.

مرحله 2 – اجرای  کانتینر  Traefik

سپس ، یک شبکه Docker برای پروکسی ایجاد کنید تا با کانتینرها به اشتراک گذاشته شود. شبکه Docker لازم است تا بتوانیم از آن در برنامه هایی که با استفاده از Docker Compose اجرا می شوند استفاده کنیم. بیایید با این شبکه وب تماس بگیریم:

• $ docker network create web

وقتی کانتینر Traefik شروع به کار کرد ، ما آن را به این شبکه اضافه خواهیم کرد. سپس می توانیم کانتینرهای دیگری را برای پروکسی Trafik به این شبکه اضافه کنیم.

سپس ، یک فایل خالی ایجاد کنید که اطلاعات Let’s Encrypt ما را در خود نگه دارد. ما این را در کانتینر به اشتراک خواهیم گذاشت تا Traefik بتواند از آن استفاده کند:

• $ touch acme.json

Traefik  فقط درصورتی امکان استفاده از این فایل را خواهد داشت که کاربر ریشه داخل کانتینر دسترسی خواندن و نوشتن منحصر به فرد به آن داشته باشد. برای انجام این کار ، مجوزهای acme.json را قفل کنید تا فقط صاحب فایل اجازه خواندن و نوشتن را داشته باشد:

• $ chmod 600 acme.json

هنگامی که فایل به Docker منتقل شد ، مالک به طور خودکار به کاربر اصلی داخل کانتینر تغییر می کند.

در آخر ، با استفاده از این دستور کانتینر Traefik را ایجاد کنید:

• docker run -d \
• -v /var/run/docker.sock:/var/run/docker.sock \
• -v $PWD/traefik.toml:/traefik.toml \
• -v $PWD/acme.json:/acme.json \
• -p 80:80 \
• -p 443:443 \
• -l traefik.frontend.rule=Host:monitor.your_domain \
• -l traefik.port=8080 \
• –network web \
• –name traefik \
• traefik:1.7-alpine

 

دستور کمی طولانی است ، بنابراین اجازه دهید آن را تجزیه کنیم.

ما از پرچم -d برای اجرای کانتینر در پس زمینه به عنوان یک دمون استفاده می کنیم. سپس فایل docker.sock خود را در کانتینر به اشتراک می گذاریم تا روند Traefik بتواند تغییرات در کانتینرها را گوش دهد. همچنین فایل پیکربندی traefik.toml و فایل acme.json  را که ایجاد کردیم در کانتینر به اشتراک می گذاریم.

سپس ، از پورت های 80 و: 443 هاست Docker خود به همان پورت های موجود در کانتینر Traefik ترسیم می کنیم تا Traefik تمام ترافیک HTTP و HTTPS را به سرور مجازی دریافت کند.

سپس دو برچسب Docker تنظیم می کنیم که به Traefik می گوید که باید ترافیک را به سمت نام هاست monitor.your_domain به :8080 درون کانتینر Traefik هدایت کند، که داشبورد نظارت را نشان می دهد.

شبکه کانتینر را روی وب تنظیم می کنیم و کانتینر را traefik نامگذاری می گذاریم.

سرانجام ، از تصویر traefik: 1.7-alpine برای این کانتینر استفاده می کنیم ، زیرا کوچک است.

یک ENTRYPOINT تصویر Docker فرمانی است که همیشه هنگام ایجاد کانتینر از تصویر اجرا می شود. در این حالت ، دستور باینری traefik درون کانتینر است. هنگام راه اندازی کانتینر می توانید آرگومان های دیگری را به آن دستور منتقل کنید ، اما همه تنظیمات خود را در فایل traefik.toml پیکربندی کرده ایم.

با راه اندازی کانتینر ، اکنون داشبوردی دارید که می توانید برای مشاهده سلامت کانتینرهای خود به آن دسترسی داشته باشید. همچنین می توانید از این داشبورد برای تجسم frontends  و  backends که Traefik ثبت کرده استفاده کنید. با رفتن به ادرس https: //monitor.your_domain  در مرورگر خود به داشبورد نظارت دسترسی پیدا کنید. نام کاربری و گذرواژه ادمین  و رمز عبوری که در مرحله 1 پیکربندی کرده اید ، از شما خواسته می شود.

پس از ورود به سیستم ، رابط کاربری مشابه این را مشاهده خواهید کرد:

چیز چندانی برای مشاهده وجود ندارد ، اما این پنجره را باز بگذارید ، و با افزودن کانتینرهایی برای مدیریت Traefik ، تغییر محتوا را مشاهده خواهید کرد.

اکنون پروکسی Traefik در حال اجرا ، پیکربندی شده برای کار با Docker و آماده نظارت بر سایر کانتینرها Docker است. بیایید چند کانتینر برای Traefik به پروکسی اضافه کنیم.

مرحله 3 – ثبت کانتینرها با  Traefik

با استفاده از کانتینر Traefik ، آماده اجرای برنامه هایی در ورای آن هستید. اجازه دهید کانتینرهای زیر را تحت Traefik راه اندازی کنیم:

1- وبلاگی با استفاده از تصویر رسمی وردپرس.

2- یک سرور مجازی مدیریت پایگاه داده با استفاده از تصویر رسمی  Adminer.

ما با استفاده از یک فایل docker-compose.yml هر دو این برنامه ها را با Docker Compose مدیریت خواهیم کرد.

فایل docker-compose.yml را در ویرایشگر خود ایجاد و باز کنید:

• $ nano docker-compose.yml

خطوط زیر را به فایل اضافه کنید تا نسخه و شبکه هایی را که استفاده خواهیم کرد مشخص کنید:

docker-compose.yml

version: “3”

 

networks:

web:

external: true

internal:

external: false

 

ما از Docker Compose نسخه 3 استفاده می کنیم زیرا جدیدترین نسخه اصلی قالب فایل Compose است.

برای اینکه Traefik برنامه های ما را بشناسد ، آنها باید بخشی از یک شبکه باشند و از آنجا که ما شبکه را به صورت دستی ایجاد کرده ایم ، با تعیین نام شبکه وب و تنظیم external  روی true ، آن را به داخل می کشیم. سپس یک شبکه دیگر تعریف می کنیم تا بتوانیم کانتینرهای در معرض دید خود را به یک کانتینر پایگاه داده متصل کنیم که از طریق Traefik در معرض آن قرار نمی گیریم. ما این شبکه را internalمی نامیم.

در مرحله بعدی ، هر یک از سرویس های خود را یک به یک تعریف خواهیم کرد. بیایید با محتوای وبلاگ شروع کنیم ، که پایه آن را تصویر رسمی وردپرس قرار خواهیم داد. این پیکربندی را به پایین فایل خود اضافه کنید:

docker-compose.yml

version: “3”

…

 

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

 

کلید environment به شما امکان می دهد متغیرهای محیطی را که در داخل کانتینر تنظیم می شوند ، تعیین کنید. با تعیین نکردن مقداری برای WORDPRESS_DB_PASSWORD ، به Docker Compose می گوییم که هنگام ایجاد کانتینر مقدار را از پوسته ما گرفته و آن را عبور دهد. قبل از شروع کانتینرها ، این متغیر محیط را در پوسته خود تعریف خواهیم کرد. به این ترتیب گذرواژه های محکم کد گذاری شده را در فایل پیکربندی وارد نمی کنیم.

قسمت labels  جایی است که شما مقادیر پیکربندی Traefik را تعیین می کنید. برچسب های Docker به تنهایی کاری انجام نمی دهند ، اما Traefik این موارد را می خواند تا بداند چگونه با کانتینرها رفتار کند. آنچه در هر یک از این برچسب ها انجام می شود به این شرح است:

• backend نام سرویس backend را در Traefik مشخص می کند (که به کانتینر واقعی blog اشاره دارد).
• frontend.rule=Host:blog.your_domain به Traefik می گوید که میزبان درخواستی را بررسی کند و اگر با الگوی blog.your_domain مطابقت دارد باید ترافیک را به کانتینر blog هدایت کند.
• docker.network=web مشخص می کند برای یافتن IP داخلی این کانتینر در کدام شبکه به دنبال Traefik بگردید. از آنجا که کانتینر Traefik ما به تمام اطلاعات Docker دسترسی دارد ، اگر این مورد را مشخص نکنیم ، احتمالاً IP را برای شبکه داخلی می گیرد.
• port پورت در معرض مشخصی را مشخص می کند که Traefik باید از آن برای مسیر یابی به این کانتینر استفاده کند.

با استفاده از این پیکربندی ، تمام ترافیک ارسال شده به پورت 80 میزبان Docker ما به کانتینر blog  هدایت می شود.

ما این کانتینر را به دو شبکه مختلف اختصاص می دهیم تا Traefik بتواند آن را از طریق شبکه وب پیدا کند و بتواند از طریق شبکه داخلی با کانتینر پایگاه داده ارتباط برقرار کند.

سرانجام ، کلید depend_on به Docker Compose می گوید که این کانتینر پس از اجرای متعلقات باید شروع شود. از آنجا که وردپرس برای اجرا به یک پایگاه داده احتیاج دارد ، ما باید قبل از شروع محتوای وبلاگ خود ، محتوای mysql خود را اجرا کنیم.

سپس ، با اضافه کردن این پیکربندی به پایین فایل ، سرویس MySQL را پیکربندی کنید:

docker-compose.yml

services:

…

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

 

ما برای این کانتینر از تصویر رسمی MySQL 5.7 استفاده می کنیم. مشاهده خواهید کرد که بار دیگر از یک آیتم environment  بدون مقدار استفاده می کنیم. متغیرهای MYSQL_ROOT_PASSWORD و WORDPRESS_DB_PASSWORD  باید در همان مقدار تنظیم شوند تا اطمینان حاصل شود که کانتینر وردپرس ما می تواند با  MySQL  ارتباط برقرار کند. ما نمی خواهیم کانتینر mysql را در معرض Traefik یا جهان خارج قرار دهیم ، بنابراین فقط این کانتینر را به شبکه داخلی اختصاص می دهیم. از آنجا که Traefik به سوکت Docker دسترسی دارد ، این فرایند همچنان پیش فرض یک کانتینر mysql را نشان می دهد ، بنابراین ما برچسب traefik.enable = false را اضافه می کنیم تا مشخص کنیم Traefik نباید این کانتینر را نشان دهد.

سرانجام ، این پیکربندی را به قسمت پایین فایل خود اضافه کنید تا کانتینر Adminer را تعریف کنید:

docker-compose.yml

services:

…

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

 

این کانتینر بر اساس تصویر رسمی ادمین است. پیکربندی network  و depends_on برای این کانتینر دقیقاً با آنچه برای کانتینر blog  استفاده می کنیم مطابقت دارد.

با این حال ، از آنجا که همه ترافیک را به پورت 80 هاست Docker خود مستقیماً به کانتینر blog  هدایت می کنیم ، باید این کانتینر را به گونه دیگری پیکربندی کنیم تا ترافیک به کانتینر ادمین ما برسد. traefik.frontend.rule=Host:db-admin.your_domain به Traefik می گوید هاست درخواستی را بررسی کند. اگر با الگوی db-admin.your_domain مطابقت داشته باشد ، Traefik ترافیک را به سمت کانتینر مدیر هدایت می کند.

در این مرحله ، docker-compose.yml  باید دارای محتوای زیر باشد:

docker-compose.yml

version: “3”

 

networks:

web:

external: true

internal:

external: false

 

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

 

فایل را ذخیره کرده و از ویرایشگر متن خارج شوید.

سپس ، مقادیر را برای پوسته خود برای متغیرهای WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD قبل از شروع کانتینرها خود تنظیم کنید:

• $ export WORDPRESS_DB_PASSWORD=secure_database_password
• $ export MYSQL_ROOT_PASSWORD=secure_database_password

 

secure_database_password  را با گذرواژه پایگاه داده مورد نظر خود جایگزین کنید. فراموش نکنید که برای هر دو WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD از رمز عبور یکسانی استفاده کنید.

با تنظیم این متغیرها ، کانتینرها را با استفاده از docker-compose اجرا کنید:

• $ docker-compose up -d

اکنون نگاهی دوباره به داشبورد مدیریت Traefik بیندازید. خواهید دید که اکنون یک backend  و  frontend برای دو سرور مجازی وجود دارد:

به blog.your_domain خود بروید. به یک اتصال TLS هدایت خواهید شد و اکنون می توانید تنظیمات WordPress را انجام دهید:

اکنون با مراجعه به db-admin.your_domain در مرورگر خود ، به Adminer دسترسی پیدا کنید و your_domain را دوباره با دامنه خود جایگزین کنید. کانتینر mysql در معرض دنیای خارج نیست ، اما کانتینر adminer  از طریق شبکه داخلی Docker  که با استفاده از نام کانتینر mysql به عنوان نام هاست به آن استفاده میکنند ، دسترسی دارد.

در صفحه ورود به سیستم Adminer ، از ROOT به عنوان نام کاربری، MySQL برای سرور مجازی استفاده کنید. و مقداری را که برای MYSQL_ROOT_PASSWORD  تعیین کرده اید برای رمز عبور وارد کنید. پس از ورود به سیستم ، رابط کاربری Adminer را مشاهده خواهید کرد:

هر دو سایت اکنون کار می کنند و شما می توانید از داشبورد موجود در monitor.your_domain استفاده کنید تا برنامه های خود را تحت نظر داشته باشید.

نتیجه

در این آموزش ، Traefik را به درخواست پروکسی از برنامه های دیگر در کانتینرهای Docker پیکربندی کرده اید.

پیکربندی اعلانی Traefik در سطح کانتینر برنامه ، پیکربندی سرویس های بیشتر را آسان می کند و هنگام افزودن برنامه های جدید به ترافیک پروکسی ، نیازی به راه اندازی مجدد کانتینر traefik نیست زیرا Traefik بلافاصله از طریق فایل سوکت Docker که در حال کنترل است، متوجه تغییر می شود.

برای کسب اطلاعات بیشتر در مورد آنچه می توانید با Traefik انجام دهید ، به مطالب رسمی Traefik مراجعه کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

URL  کلاینت یا cURL ، یک کتابخانه و ابزار خط فرمان برای انتقال داده ها بین سیستم ها است. از بسیاری از پروتکل ها پشتیبانی می کند و به طور پیش فرض روی بسیاری از سیستم عامل های یونیکس مانند نصب میباشد. به دلیل در دسترس بودن به صورت عمومی ، برای زمانی که شما نیاز به دانلود یک فایل در سیستم محلی خود دارید ، به خصوص در محیط سرور مجازی ، انتخاب خوبی است.

در این آموزش ، از دستور curl برای دانلود یک فایل متنی از سرور مجازی وب استفاده خواهید کرد. شما محتویات آن را مشاهده خواهید کرد ، آن را به صورت محلی ذخیره خواهید کرد و به curl خواهید گفت که اگر فایل ها منتقل شده اند ، ریدایرکت ها را دنبال کند.

دانلود فایل ها از طریق اینترنت می تواند خطرناک باشد ، بنابراین مطمئن شوید که از منابع معتبر دانلود می کنید.

مرحله 1 – گرفتن فایل های از راه دور

خارج از باکس ، بدون هیچ آرگومان خط فرمان ، دستور curl یک فایل را واکشی می کند و محتوای آن را به خروجی استاندارد نشان می دهد.

با دانلود فایل robots.txt بیایید آن را امتحان کنیم:

·                 $ curl https://www.digitalocean.com/robots.txt

محتوای فایل را در صفحه نمایش خواهید دید:

Output

User-agent: *

Disallow:

 

sitemap: https://www.digitalocean.com/sitemap.xml

sitemap: https://www.digitalocean.com/community/main_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/questions_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/users_sitemap.xml.gz

 

به curl یک URL بدهید و منبع را واکشی کرده و محتوای آن را نمایش می دهد.

ذخیره فایل های از راه دور

واکشی یک فایل و نمایش محتوای آن کاملاً خوب است ، اما اگر بخواهید فایل را در سیستم خود ذخیره کنید چه می کنید؟

برای ذخیره فایل از راه دور در سیستم محلی خود ، با همان نام فایل سرور مجازی که از آن دانلود می کنید ، آرگومان –remote-name را اضافه کنید یا از گزینه -O استفاده کنید:

• $ curl -O https://www.digitalocean.com/robots.txt

فایل شما دانلود می شود:

[secondary_label Output

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

Dload  Upload   Total   Spent    Left  Speed

100   286    0   286    0     0   5296      0 –:–:– –:–:– –:–:–  5296

 

curl به جای نمایش محتویات فایل ، پیشرفت بر پایه متن را نشان می دهد و فایل را به همان نام فایل راه دور ذخیره می کند. با دستور cat می توانید موارد را بررسی کنید:

• $ cattxt

این فایل شامل همان مطالبی است که قبلاً مشاهده کرده اید:

[secondary_label Output

User-agent: *

Disallow:

 

sitemap: https://www.digitalocean.com/sitemap.xml

sitemap: https://www.digitalocean.com/community/main_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/questions_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/users_sitemap.xml.gz

 

اکنون بیایید به تعیین یک نام فایل برای فایل دانلود شده بپردازیم.

مرحله 2 – ذخیره فایل های از راه دور با نام فایل خاص

ممکن است قبلاً یک فایل محلی با همان نام فایل در سرور مجازی راه دور داشته باشید.

برای جلوگیری از رونویسی مجدد فایل محلی خود به همین نام ، از آرگومان -o یا –output و به دنبال آن نام فایل محلی که می خواهید محتوا را در آن ذخیره کنید استفاده کنید.

برای دانلود فایل از راه دور robots.txt در فایل do-bots.txt که به صورت محلی نامگذاری شده است ، دستور زیر را اجرا کنید:

• $ curl -o do-bots.txt https://www.digitalocean.com/robots.txt

بار دیگر نوار پیشرفت را مشاهده خواهید کرد:

Output

% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

Dload  Upload   Total   Spent    Left  Speed

100   286    0   286    0     0   6975      0 –:–:– –:–:– –:–:–  7150

 

اکنون برای نمایش محتویات do-bots.txt از دستور cat استفاده کنید تا فایل مورد نظر را دانلود کنید:

• $ cat do-bots.txt

خروجی یکسان میباشد:

Output

User-agent: *

Disallow:

 

sitemap: https://www.digitalocean.com/sitemap.xml

sitemap: https://www.digitalocean.com/community/main_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/questions_sitemap.xml.gz

sitemap: https://www.digitalocean.com/community/users_sitemap.xml.gz

 

به طور پیش فرض ، curl تغییر مسیرها را دنبال نمی کند ، بنابراین هنگام انتقال فایل ها ، ممکن است آنچه انتظار دارید را دریافت نکنید. بیایید ببینیم چگونه این مشکل را برطرف کنیم.

مرحله 3 – دنبال کردن تغییر مسیرها

تاکنون همه مثالها شامل URL های کاملاً واجد شرایط هستند که شامل پروتکل https: // هستند. اگر بخواهید فایل robots.txt را گرفته و فقط www.example.com را مشخص کنید ، هیچ خروجی نمی بینید ، زیرا example درخواست های http: // را به https: // هدایت می کند:

شما می توانید این را با استفاده از پرچم -I تأیید کنید ، که عناوین درخواست را به جای محتویات فایل نمایش می دهد:

• $ curl -I www.digitalocean.com

خروجی نشان می دهد که URL تغییر مسیر داده است. خط اول خروجی به شما می گوید که جابه جا شده است و خط location مکان آن را به شما می گوید:

[secondary_label Output

HTTP/1.1 301 Moved Permanently

Date: Wed, 26 Aug 2020 19:01:33 GMT

Connection: keep-alive

Cache-Control: max-age=3600

Expires: Wed, 26 Aug 2020 20:01:33 GMT

Location: https://www.digitalocean.com/robots.txt

cf-request-id: 04cdbea7a40000c5cc8d34d200000001

Server: cloudflare

CF-RAY: 5c8fcd52aea0c5cc-EWR

 

می توانید از curl برای درخواستی دیگر به صورت دستی استفاده کنید ، یا می توانید از آرگومان –location یا -L استفاده کنید که به curl می گوید هر زمان که با یک تغییر مسیر مواجه شد درخواست را به مکان جدید دوباره انجام دهد. آن را امتحان کنید:

• $ curl -L www.digitalocean.com/robots.txt

این بار خروجی را مشاهده می کنید ، زیرا curl به دنبال تغییر مسیر می رود:

Output

User-agent: *

Sitemap: https://www.digitalocean.com/sitemap.xml

 

برای دانلود فایل در سیستم محلی خود می توانید آرگومان -L را با برخی از آرگومان های فوق الذکر ترکیب کنید:

• $ curl -L -o do-bots.txt www.digitalocean.com/robots.txt

 

 

هشدار: بسیاری از منابع آنلاین از شما می خواهند که برای دانلود اسکریپت ها و اجرای آنها از curl استفاده کنید. قبل از اجرای اسکریپت های دانلود شده ، بهتر است محتوای آنها را بررسی کنید. برای بررسی کد و اطمینان از چیزی که می خواهید اجرا کنید ، از دستور less استفاده کنید.

 

نتیجه

curl به شما امکان می دهد که فایل ها را سربع از یک سیستم از راه دور دانلود کنید.  Curl  از پروتکل های مختلف پشتیبانی می کند و همچنین می تواند درخواست های وب پیچیده تری از جمله تعامل با API های از راه دور برای ارسال و دریافت داده ها را ایجاد کند.

با مشاهده صفحه دستی  man در مورد curl می توانید اطلاعات بیشتری کسب کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

Docker  می تواند روشی کارآمد برای اجرای برنامه های وب در حال تولید باشد ، اما ممکن است بخواهید چندین برنامه را در یک هاست  Docker اجرا کنید. در این شرایط ، باید پروکسی معکوس تنظیم کنید زیرا فقط می خواهید پورت 80 و 443 را در معرض دید قرار دهید.

Traefik  یک پروکسی معکوس آگاه از Docker است که شامل داشبورد نظارت خود میباشد. در این آموزش ، از Traefik برای مسیر یابی درخواست ها به دو کانتینر مختلف برنامه وب استفاده می کنید: یک کانتینر وردپرس و یک کانتینر Adminer که هر کدام با یک پایگاه داده MySQL در ارتباط هستند. با استفاده از Let’s Encrypt ، Traefik را پیکربندی می کنید تا همه چیز را از طریق HTTPS  ارائه دهد.

پیش نیازها

برای دنبال کردن این آموزش ، به موارد زیر نیاز دارید:

• یک سرورمجازی اوبونتو 20.04 با پیروی از راهنمای ستاپ اولیه سرورمجازی اوبونتو 20.04 ، از جمله کاربر غیر ریشه sudo و فایروال ، راه اندازی شده.
• Docker روی سرورمجازی شما نصب شده باشد ، که می توانید با دنبال کردن نحوه نصب و استفاده از Docker در Ubuntu 20.04 این کار را انجام دهید.
• Docker Compose با دستورالعمل نحوه نصب Docker Compose در اوبونتو 20.04 نصب شده باشد.
• یک دامنه و سه رکورد A ، db-admin.your_domain ، your_domain و monitor.your_domain. هر کدام باید به آدرس IP سرورمجازی شما اشاره کنند. در طول این آموزش ، دامنه خود را به جای your_domain در فایلهای پیکربندی و مثالها جایگزین کنید.

مرحله 1 – پیکربندی و اجرای  Traefik

پروژه Traefik دارای یک تصویر Docker رسمی است ، بنابراین ما برای اجرای Traefik در یک کانتینر Docker از آن استفاده خواهیم کرد.

اما قبل از راه اندازی کانتینر Traefik ، باید یک فایل پیکربندی ایجاد کرده و یک پسورد رمزگذاری شده تنظیم کنیم تا بتوانیم به داشبورد نظارت دسترسی پیدا کنیم.

برای ایجاد این گذرواژه رمزگذاری شده از ابزار htpasswd استفاده خواهیم کرد. ابتدا برنامه کمکی را نصب کنید که در بسته apache2-utils  وجود دارد:

·         $ sudo apt-get install apache2-utils·

 

سپس رمز عبور را با htpasswd تولید کنید. secure_password را با رمز عبوری که می خواهید برای کاربر مدیر Traefik استفاده کنید جایگزین کنید:

·         $ htpasswd -nb admin secure_password·

خروجی برنامه به صورت زیر خواهد بود:

Output

admin:$apr1$ruca84Hq$mbjdMZBAG.KWn7vfN/SNK/

 

برای تنظیم احراز هویت پایه HTTP برای داشبورد بررسی و نظارت بر سلامت Traefik ، از خروجی منحصر به فرد خود در فایل پیکربندی Traefik استفاده خواهید کرد. تمام خط خروجی خود را کپی کنید تا بعداً بتوانید آن را جایگذاری کنید. از خروجی مثال استفاده نکنید.

برای پیکربندی سرورمجازی Traefik ، با استفاده از قالب TOML ، یک فایل پیکربندی جدید به نام traefik.toml ایجاد خواهیم کرد. TOML یک زبان پیکربندی شبیه به فایل های INI اما استاندارد است. این فایل به ما اجازه می دهد تا سرورمجازی Traefik و ادغام های مختلف یا providers را که می خواهیم استفاده کنیم پیکربندی کنیم. در این آموزش ، ما از سه ارائه دهنده موجود Traefik استفاده خواهیم کرد: api ، docker  و acme. آخرین مورد ، acme  با استفاده از Let’s Encrypt از گواهینامه های TLS پشتیبانی می کند.

فایل جدید خود را در nano یا ویرایشگر متن مورد علاقه خود باز کنید:

·         $ nano traefik.toml·

ابتدا دو نقطه ورودی به نام http و https اضافه کنید که به طور پیش فرض همه backends به آنها دسترسی خواهند داشت:

traefik.toml

defaultEntryPoints = [“http”, “https”]

 

بعداً در این فایل نقاط ورودی http و https را پیکربندی خواهیم کرد.

در مرحله بعد ، ارائه دهنده api را پیکربندی کنید ، که به شما امکان دسترسی به رابط داشبورد را می دهد. اینجاست که می توانید خروجی را از دستور htpasswd پیست کنید:

traefik.toml

…

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

 

[api]

entrypoint=”dashboard”

 

داشبورد یک برنامه وب جداگانه است که در کانتینر Traefik اجرا می شود. ما داشبورد را تنظیم می کنیم تا روی پورت 8080 کار کند.

بخش entrypoints.dashboard نحوه ارتباط ما با ارائه دهنده api را تنظیم می کند و بخش entrypoints.dashboard.auth.basic  تأیید اعتبار اصلی HTTP را برای داشبورد پیکربندی می کند. برای مقدار ورودی کاربران از خروجی دستور htpasswd استفاده کنید. می توانید ورودهای اضافی را با جدا کردن آنها با ویرگول مشخص کنید.

ما اولین ورودی خود را تعریف کرده ایم ، اما باید سایر موارد را برای ارتباطات استاندارد HTTP و HTTPS که به سمت ارائه دهنده api  نیست ، تعریف کنیم. بخش entryPoints آدرس هایی را که Traefik و کانتینرهای پروکسی می توانند به آن گوش دهند پیکربندی می کند. این خطوط را به فایل زیر عنوان entryPoints اضافه کنید:

traefik.toml

…

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443”

[entryPoints.https.tls]

…

 

نقطه ورود http پورت 80 را کنترل می کند ، در حالی که نقطه ورود https از پورت 443 برای TLS / SSL استفاده می کند. ما به طور خودکار تمام ترافیک موجود در پورت 80 را به نقطه ورود https هدایت می کنیم تا اتصالات ایمن را برای همه درخواست ها تضمین کنیم.

در مرحله بعد ، این بخش را برای پیکربندی Let’s Encrypt پشتیبانی از گواهی Traefik اضافه کنید:

traefik.toml

…

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

 

این بخش acme نامیده می شود زیرا ACME نام پروتکلی است که برای ارتباط با Let’s Encrypt برای مدیریت گواهینامه ها استفاده می شود. سرویس Let’s Encrypt نیاز به ثبت نام با یک آدرس ایمیل معتبر دارد ، بنابراین برای اینکه Traefik برای هاست های ما گواهی تولید کند ، کلید ایمیل را روی آدرس ایمیل خود تنظیم کنید. سپس مشخص می کنیم که اطلاعاتی که از Let’s Encrypt دریافت خواهیم کرد را در یک فایل JSON به نام acme.json ذخیره خواهیم کرد. کلید entryPoint باید به نقطه ورودی پورت 443 اشاره کند ، که در مورد ما نقطه ورود https است.

کلید onHostRule نحوه عملکرد Traefik برای تولید گواهینامه ها را تعیین می کند. ما می خواهیم گواهینامه خود را به محض ایجاد کانتینرها با نام هاست های مشخص دریافت کنیم ، و این همان کاری است که تنظیم onHostRule انجام می دهد.

بخش acme.httpChallenge به ما اجازه می دهد تا تعیین کنیم چگونه Let’s Encrypt بتواند تأیید کند که گواهی تولید شده است. ما در حال پیکربندی آن هستیم تا به عنوان بخشی از چالش از طریق نقطه ورود http ، یک فایل را ارائه دهد.

در آخر ، بیایید با اضافه کردن این خطوط به فایل ، ارائه دهنده docker را پیکربندی کنیم:

traefik.toml

…

[docker]

domain = “your_domain”

watch = true

network = “web”

 

ارائه دهنده docker ، Traefik  را قادر می سازد به عنوان یک پروکسی در مقابل کانتینرهای Docker عمل کند. ما ارائه دهنده را پیکربندی کرده ایم تا کانتینرهای جدیدی را در شبکه وب مشاهده کند که به زودی ایجاد خواهیم کرد و آنها را به عنوان زیر دامنه های your_domain نمایش می دهد.

در این مرحله ، traefik.toml  باید دارای محتوای زیر باشد:

traefik.toml

defaultEntryPoints = [“http”, “https”]

 

[entryPoints]

[entryPoints.dashboard]

address = “:8080”

[entryPoints.dashboard.auth]

[entryPoints.dashboard.auth.basic]

users = [“admin:your_encrypted_password”]

[entryPoints.http]

address = “:80”

[entryPoints.http.redirect]

entryPoint = “https”

[entryPoints.https]

address = “:443″

[entryPoints.https.tls]

 

[api]

entrypoint=”dashboard”

 

[acme]

email = “your_email@your_domain”

storage = “acme.json”

entryPoint = “https”

onHostRule = true

[acme.httpChallenge]

entryPoint = “http”

 

[docker]

domain = “your_domain”

watch = true

network = “web”

Copy

 

فایل را ذخیره کرده و از ویرایشگر خارج شوید. با استفاده از این پیکربندی ها ، می توانیم Traefik را مقداردهی اولیه کنیم.

مرحله 2 – اجرای  کانتینر  Traefik

سپس ، یک شبکه Docker برای پروکسی ایجاد کنید تا با کانتینرها به اشتراک گذاشته شود. شبکه Docker لازم است تا بتوانیم از آن در برنامه هایی که با استفاده از Docker Compose اجرا می شوند استفاده کنیم. بیایید با این شبکه وب تماس بگیریم:

• $ docker network create web

وقتی کانتینر Traefik شروع به کار کرد ، ما آن را به این شبکه اضافه خواهیم کرد. سپس می توانیم کانتینرهای دیگری را برای پروکسی Trafik به این شبکه اضافه کنیم.

سپس ، یک فایل خالی ایجاد کنید که اطلاعات Let’s Encrypt ما را در خود نگه دارد. ما این را در کانتینر به اشتراک خواهیم گذاشت تا Traefik بتواند از آن استفاده کند:

• $ touch acme.json

Traefik  فقط درصورتی امکان استفاده از این فایل را خواهد داشت که کاربر ریشه داخل کانتینر دسترسی خواندن و نوشتن منحصر به فرد به آن داشته باشد. برای انجام این کار ، مجوزهای acme.json را قفل کنید تا فقط صاحب فایل اجازه خواندن و نوشتن را داشته باشد:

• $ chmod 600 acme.json

هنگامی که فایل به Docker منتقل شد ، مالک به طور خودکار به کاربر اصلی داخل کانتینر تغییر می کند.

در آخر ، با استفاده از این دستور کانتینر Traefik را ایجاد کنید:

• docker run -d \
• -v /var/run/docker.sock:/var/run/docker.sock \
• -v $PWD/traefik.toml:/traefik.toml \
• -v $PWD/acme.json:/acme.json \
• -p 80:80 \
• -p 443:443 \
• -l traefik.frontend.rule=Host:monitor.your_domain \
• -l traefik.port=8080 \
• –network web \
• –name traefik \
• traefik:1.7-alpine

 

دستور کمی طولانی است ، بنابراین اجازه دهید آن را تجزیه کنیم.

ما از پرچم -d برای اجرای کانتینر در پس زمینه به عنوان یک دمون استفاده می کنیم. سپس فایل docker.sock خود را در کانتینر به اشتراک می گذاریم تا روند Traefik بتواند تغییرات در کانتینرها را گوش دهد. همچنین فایل پیکربندی traefik.toml و فایل acme.json  را که ایجاد کردیم در کانتینر به اشتراک می گذاریم.

سپس ، از پورت های 80 و: 443 هاست Docker خود به همان پورت های موجود در کانتینر Traefik ترسیم می کنیم تا Traefik تمام ترافیک HTTP و HTTPS را به سرورمجازی دریافت کند.

سپس دو برچسب Docker تنظیم می کنیم که به Traefik می گوید که باید ترافیک را به سمت نام هاست monitor.your_domain به :8080 درون کانتینر Traefik هدایت کند، که داشبورد نظارت را نشان می دهد.

شبکه کانتینر را روی وب تنظیم می کنیم و کانتینر را traefik نامگذاری می گذاریم.

سرانجام ، از تصویر traefik: 1.7-alpine برای این کانتینر استفاده می کنیم ، زیرا کوچک است.

یک ENTRYPOINT تصویر Docker فرمانی است که همیشه هنگام ایجاد کانتینر از تصویر اجرا می شود. در این حالت ، دستور باینری traefik درون کانتینر است. هنگام راه اندازی کانتینر می توانید آرگومان های دیگری را به آن دستور منتقل کنید ، اما همه تنظیمات خود را در فایل traefik.toml پیکربندی کرده ایم.

با راه اندازی کانتینر ، اکنون داشبوردی دارید که می توانید برای مشاهده سلامت کانتینرهای خود به آن دسترسی داشته باشید. همچنین می توانید از این داشبورد برای تجسم frontends  و  backends که Traefik ثبت کرده استفاده کنید. با رفتن به ادرس https: //monitor.your_domain  در مرورگر خود به داشبورد نظارت دسترسی پیدا کنید. نام کاربری و گذرواژه ادمین  و رمز عبوری که در مرحله 1 پیکربندی کرده اید ، از شما خواسته می شود.

پس از ورود به سیستم ، رابط کاربری مشابه این را مشاهده خواهید کرد:

چیز چندانی برای مشاهده وجود ندارد ، اما این پنجره را باز بگذارید ، و با افزودن کانتینرهایی برای مدیریت Traefik ، تغییر محتوا را مشاهده خواهید کرد.

اکنون پروکسی Traefik در حال اجرا ، پیکربندی شده برای کار با Docker و آماده نظارت بر سایر کانتینرها Docker است. بیایید چند کانتینر برای Traefik به پروکسی اضافه کنیم.

مرحله 3 – ثبت کانتینرها با  Traefik

با استفاده از کانتینر Traefik ، آماده اجرای برنامه هایی در ورای آن هستید. اجازه دهید کانتینرهای زیر را تحت Traefik راه اندازی کنیم:

1- وبلاگی با استفاده از تصویر رسمی وردپرس.

2- یک سرورمجازی مدیریت پایگاه داده با استفاده از تصویر رسمی  Adminer.

ما با استفاده از یک فایل docker-compose.yml هر دو این برنامه ها را با Docker Compose مدیریت خواهیم کرد.

فایل docker-compose.yml را در ویرایشگر خود ایجاد و باز کنید:

• $ nano docker-compose.yml

خطوط زیر را به فایل اضافه کنید تا نسخه و شبکه هایی را که استفاده خواهیم کرد مشخص کنید:

docker-compose.yml

version: “3”

 

networks:

web:

external: true

internal:

external: false

 

ما از Docker Compose نسخه 3 استفاده می کنیم زیرا جدیدترین نسخه اصلی قالب فایل Compose است.

برای اینکه Traefik برنامه های ما را بشناسد ، آنها باید بخشی از یک شبکه باشند و از آنجا که ما شبکه را به صورت دستی ایجاد کرده ایم ، با تعیین نام شبکه وب و تنظیم external  روی true ، آن را به داخل می کشیم. سپس یک شبکه دیگر تعریف می کنیم تا بتوانیم کانتینرهای در معرض دید خود را به یک کانتینر پایگاه داده متصل کنیم که از طریق Traefik در معرض آن قرار نمی گیریم. ما این شبکه را internalمی نامیم.

در مرحله بعدی ، هر یک از سرویس های خود را یک به یک تعریف خواهیم کرد. بیایید با محتوای وبلاگ شروع کنیم ، که پایه آن را تصویر رسمی وردپرس قرار خواهیم داد. این پیکربندی را به پایین فایل خود اضافه کنید:

docker-compose.yml

…

 

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

 

کلید environment به شما امکان می دهد متغیرهای محیطی را که در داخل کانتینر تنظیم می شوند ، تعیین کنید. با تعیین نکردن مقداری برای WORDPRESS_DB_PASSWORD ، به Docker Compose می گوییم که هنگام ایجاد کانتینر مقدار را از پوسته ما گرفته و آن را عبور دهد. قبل از شروع کانتینرها ، این متغیر محیط را در پوسته خود تعریف خواهیم کرد. به این ترتیب گذرواژه های محکم کد گذاری شده را در فایل پیکربندی وارد نمی کنیم.

قسمت labels  جایی است که شما مقادیر پیکربندی Traefik را تعیین می کنید. برچسب های Docker به تنهایی کاری انجام نمی دهند ، اما Traefik این موارد را می خواند تا بداند چگونه با کانتینرها رفتار کند. آنچه در هر یک از این برچسب ها انجام می شود به این شرح است:

• backend نام سرویس backend را در Traefik مشخص می کند (که به کانتینر واقعی blog اشاره دارد).
• frontend.rule=Host:blog.your_domain به Traefik می گوید که میزبان درخواستی را بررسی کند و اگر با الگوی blog.your_domain مطابقت دارد باید ترافیک را به کانتینر blog هدایت کند.
• docker.network=web مشخص می کند برای یافتن IP داخلی این کانتینر در کدام شبکه به دنبال Traefik بگردید. از آنجا که کانتینر Traefik ما به تمام اطلاعات Docker دسترسی دارد ، اگر این مورد را مشخص نکنیم ، احتمالاً IP را برای شبکه داخلی می گیرد.
• port پورت در معرض مشخصی را مشخص می کند که Traefik باید از آن برای مسیر یابی به این کانتینر استفاده کند.

با استفاده از این پیکربندی ، تمام ترافیک ارسال شده به پورت 80 میزبان Docker ما به کانتینر blog  هدایت می شود.

ما این کانتینر را به دو شبکه مختلف اختصاص می دهیم تا Traefik بتواند آن را از طریق شبکه وب پیدا کند و بتواند از طریق شبکه داخلی با کانتینر پایگاه داده ارتباط برقرار کند.

سرانجام ، کلید depend_on به Docker Compose می گوید که این کانتینر پس از اجرای متعلقات باید شروع شود. از آنجا که وردپرس برای اجرا به یک پایگاه داده احتیاج دارد ، ما باید قبل از شروع محتوای وبلاگ خود ، محتوای mysql خود را اجرا کنیم.

سپس ، با اضافه کردن این پیکربندی به پایین فایل ، سرویس MySQL را پیکربندی کنید:

docker-compose.yml

…

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

 

ما برای این کانتینر از تصویر رسمی MySQL 5.7 استفاده می کنیم. مشاهده خواهید کرد که بار دیگر از یک آیتم environment  بدون مقدار استفاده می کنیم. متغیرهای MYSQL_ROOT_PASSWORD و WORDPRESS_DB_PASSWORD  باید در همان مقدار تنظیم شوند تا اطمینان حاصل شود که کانتینر وردپرس ما می تواند با  MySQL  ارتباط برقرار کند. ما نمی خواهیم کانتینر mysql را در معرض Traefik یا جهان خارج قرار دهیم ، بنابراین فقط این کانتینر را به شبکه داخلی اختصاص می دهیم. از آنجا که Traefik به سوکت Docker دسترسی دارد ، این فرایند همچنان پیش فرض یک کانتینر mysql را نشان می دهد ، بنابراین ما برچسب traefik.enable = false را اضافه می کنیم تا مشخص کنیم Traefik نباید این کانتینر را نشان دهد.

سرانجام ، این پیکربندی را به قسمت پایین فایل خود اضافه کنید تا کانتینر Adminer را تعریف کنید:

docker-compose.yml

…

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

 

این کانتینر بر اساس تصویر رسمی ادمین است. پیکربندی network  و depends_on برای این کانتینر دقیقاً با آنچه برای کانتینر blog  استفاده می کنیم مطابقت دارد.

با این حال ، از آنجا که همه ترافیک را به پورت 80 هاست Docker خود مستقیماً به کانتینر blog  هدایت می کنیم ، باید این کانتینر را به گونه دیگری پیکربندی کنیم تا ترافیک به کانتینر ادمین ما برسد. traefik.frontend.rule=Host:db-admin.your_domain به Traefik می گوید هاست درخواستی را بررسی کند. اگر با الگوی db-admin.your_domain مطابقت داشته باشد ، Traefik ترافیک را به سمت کانتینر مدیر هدایت می کند.

در این مرحله ، docker-compose.yml  باید دارای محتوای زیر باشد:

docker-compose.yml

version: “3”

 

networks:

web:

external: true

internal:

external: false

 

services:

blog:

image: wordpress:4.9.8-apache

environment:

WORDPRESS_DB_PASSWORD:

labels:

– traefik.backend=blog

– traefik.frontend.rule=Host:blog.your_domain

– traefik.docker.network=web

– traefik.port=80

networks:

– internal

– web

depends_on:

– mysql

mysql:

image: mysql:5.7

environment:

MYSQL_ROOT_PASSWORD:

networks:

– internal

labels:

– traefik.enable=false

adminer:

image: adminer:4.6.3-standalone

labels:

– traefik.backend=adminer

– traefik.frontend.rule=Host:db-admin.your_domain

– traefik.docker.network=web

– traefik.port=8080

networks:

– internal

– web

depends_on:

– mysql

 

فایل را ذخیره کرده و از ویرایشگر متن خارج شوید.

سپس ، مقادیر را برای پوسته خود برای متغیرهای WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD قبل از شروع کانتینرها خود تنظیم کنید:

• $ export WORDPRESS_DB_PASSWORD=secure_database_password
• $ export MYSQL_ROOT_PASSWORD=secure_database_password

 

SECURE_database_password  را با گذرواژه پایگاه داده مورد نظر خود جایگزین کنید. فراموش نکنید که برای هر دو WORDPRESS_DB_PASSWORD و MYSQL_ROOT_PASSWORD از رمز عبور یکسانی استفاده کنید.

با تنظیم این متغیرها ، کانتینرها را با استفاده از docker-compose اجرا کنید:

• $ docker-compose up -d

اکنون نگاهی دوباره به داشبورد مدیریت Traefik بیندازید. خواهید دید که اکنون یک backend  و  frontend برای دو سرورمجازی وجود دارد:

به blog.your_domain خود بروید. به یک اتصال TLS هدایت خواهید شد و اکنون می توانید تنظیمات WordPress را انجام دهید:

اکنون با مراجعه به db-admin.your_domain در مرورگر خود ، به Adminer دسترسی پیدا کنید و your_domain را دوباره با دامنه خود جایگزین کنید. کانتینر mysql در معرض دنیای خارج نیست ، اما کانتینر adminer  از طریق شبکه داخلی Docker  که با استفاده از نام کانتینر mysql به عنوان نام هاست به آن استفاده میکنند ، دسترسی دارد.

در صفحه ورود به سیستم Adminer ، منوی کشویی System را روی MySQL تنظیم کنید. حالا mysql را برای سرورمجازی وارد کنید ، root  را برای نام کاربری وارد کنید و مقداری را که برای MYSQL_ROOT_PASSWORD برای رمز عبور تعیین کرده اید وارد کنید. Database  را خالی بگذارید. اکنون Login را فشار دهید.

پس از ورود به سیستم ، رابط کاربری Adminer را مشاهده خواهید کرد:

هر دو سایت اکنون کار می کنند و شما می توانید از داشبورد موجود در monitor.your_domain استفاده کنید تا برنامه های خود را تحت نظر داشته باشید.

نتیجه

در این آموزش ، Traefik را به درخواست پروکسی از برنامه های دیگر در کانتینرهای Docker پیکربندی کرده اید.

پیکربندی اعلانی Traefik در سطح کانتینر برنامه ، پیکربندی سرویس های بیشتر را آسان می کند و هنگام افزودن برنامه های جدید به ترافیک پروکسی ، نیازی به راه اندازی مجدد کانتینر traefik نیست زیرا Traefik بلافاصله از طریق فایل سوکت Docker که در حال کنترل است، متوجه تغییر می شود.

برای کسب اطلاعات بیشتر در مورد آنچه می توانید با Traefik انجام دهید ، به مطالب رسمی Traefik مراجعه کنید.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

Redis  یک فروشگاه ساختار داده منبع باز با حافظه داخلی است که به دلیل انعطاف پذیری ، عملکرد و پشتیبانی گسترده زبانی شناخته شده است.

Redis برای استفاده کلاینت های مورد اعتماد در یک محیط قابل اعتماد طراحی شده است و از نظر امنیتی ویژگی های قدرتمندی ندارد. با این حال ، Redis چند ویژگی امنیتی دارد که شامل یک پسورد رمزگذاری نشده و دستور تغییر نام و غیرفعال کردن است. این آموزش دستورالعمل هایی در مورد چگونگی پیکربندی این ویژگی های امنیتی را ارائه می دهد ، همچنین چند تنظیمات دیگر را نیز شامل می شود که می تواند باعث افزایش امنیت نصب مستقل Redis در CentOS 7 شود.

توجه داشته باشید که این راهنما به موقعیت هایی که سرور مجازی Redis و برنامه های کلاینت در هاست های مختلف یا در مراکز داده های مختلف هستند ، نمی پردازد. نصب هایی که ترافیک Redis مجبور است از یک شبکه ناایمن یا غیر قابل اعتماد عبور کند ، به مجموعه دیگری از تنظیمات ، مانند راه اندازی یک پروکسی SSL یا VPN بین دستگاه های Redis نیاز دارد.

پیش نیازها

برای تکمیل این راهنما ، به یک سرور مجازی Centos7 که با دنبال کردن راهنمای راه اندازی سرور مجازی اولیه ما تنظیم شده نیاز دارید.

یک فایروال نصب و پیکربندی شده، به روز و شامل مرحله Turning on the Firewall.

با انجام این پیش نیاز ها آماده نصب Redis و اجرای برخی کارهای پیکربندی اولیه خواهیم بود.

مرحله 1 – نصب Redis

قبل از نصب Redis ، ابتدا باید بسته های اضافی برای منبع Enterprise Linux  (EPEL) را به لیست بسته های سرور مجازی اضافه کنیم. EPEL یک مخزن بسته است که شامل تعدادی بسته نرم افزاری اضافی منبع باز است که بیشتر آنها توسط پروژه Fedora نگهداری می شوند.

ما می توانیم EPEL را با استفاده از yum نصب کنیم:

• $ sudo yum install epel-release

پس از پایان نصب EPEL ، می توانید Redis را نصب کنید ، دوباره با استفاده از yum:

• $ sudo yum install redis -y

انجام این کار ممکن است چند دقیقه طول بکشد. پس از اتمام نصب ، سرویس Redis را شروع کنید:

• $ sudo systemctl start redis.service

 

اگر می خواهید Redis از بوت شروع شود ، می توانید آن را با دستور enable  فعال کنید:

• $ sudo systemctl enable redis

با اجرای موارد زیر می توانید وضعیت Redis را بررسی کنید:

• $ sudo systemctl status redis.service

Output

• redis.service – Redis persistent key-value database

Loaded: loaded (/usr/lib/systemd/system/redis.service; disabled; vendor preset: disabled)

Drop-In: /etc/systemd/system/redis.service.d

??limit.conf

Active: active (running) since Thu 2018-03-01 15:50:38 UTC; 7s ago

Main PID: 3962 (redis-server)

CGroup: /system.slice/redis.service

??3962 /usr/bin/redis-server 127.0.0.1:6379

 

هنگامی که تأیید کردید Redis در حال اجرا است ، با این دستور ستاپ را امتحان کنید:

• $ redis-cli ping

 

این باید PONG را به عنوان پاسخ چاپ کند. اگر این گونه باشد ، به این معنی است که شما اکنون Redis را در سرور مجازی خود اجرا کرده و ما می توانیم پیکربندی آن را برای افزایش امنیت آن آغاز کنیم.

مرحله 2 – اتصال Redis و ایمن سازی آن با فایروال

یک روش موثر برای محافظت از Redis ، ایمن سازی سروری است که روی آن اجرا میشود. شما می توانید این کار را با اطمینان حاصل کردن از این که Redis فقط به localhost یا یک آدرس IP خصوصی متصل است و اینکه سرور مجازی دارای فایروال و به روز است این کار را انجام دهید.

با این حال ، اگر با استفاده از این آموزش خوشه Redis را راه اندازی کرده اید ، پس فایل پیکربندی را به روز کرده اید تا از هرجایی اتصال برقرار شود ، این امنیت به اندازه اتصال به localhost یا IP خصوصی نیست.

برای رفع این مشکل ، فایل پیکربندی Redis را برای ویرایش باز کنید:

• $ sudo vi /etc/redis.conf

ابتدا خطی که با BIND شروع میشود پیدا کنید و مطمئن شوید که خارج شده است:

/etc/redis.conf

bind 127.0.0.1

 

اگر لازم است Redis را به آدرس IP دیگری متصل کنید (مانند مواردی که از یک میزبان جداگانه به Redis دسترسی پیدا خواهید کرد) به شما توصیه می کنیم آن را به یک آدرس IP خصوصی متصل کنید. اتصال به یک آدرس IP عمومی ، قرار گرفتن در معرض رابط Redis شما را در برابر طرف های خارجی افزایش می دهد.

/etc/redis.conf

bind your_private_ip

 

اگر پیش نیازها را دنبال کرده و firewalld را بر روی سرور مجازی خود نصب کرده اید و قصد ندارید از میزبان دیگری به Redis متصل شوید ، دیگر نیازی به افزودن قوانین فایروال اضافی برای Redis ندارید. از این گذشته ، هرگونه ترافیک ورودی به طور پیش فرض کاهش می یابد مگر اینکه صریحاً توسط قوانین فایروال اجازه داده شود. از آنجا که نصب مستقل پیش فرض سرور مجازی Redis فقط به رابط loopback (127.0.0.1 یا localhost) گوش می کند ، دیگر نباید نگرانی برای ترافیک ورودی در پورت پیش فرض آن وجود داشته باشد.

اگر می خواهید از میزبان دیگری به Redis دسترسی پیدا کنید ، باید با استفاده از دستور firewall-cmd تغییراتی در پیکربندی firewalld خود ایجاد کنید. باز هم ، فقط باید با استفاده از آدرس IP خصوصی هاست ها ، به سرور مجازی Redis خود اجازه دسترسی دهید تا تعداد هاست هایی که سرویس شما در معرض آنهاست را محدود کنید.

برای شروع ، یک منطقه اختصاصی Redis را به رویکرد فایروال خود اضافه کنید:

• $ sudo firewall-cmd –permanent –new-zone=redis

سپس مشخص کنید کدام پورت را می خواهید باز کنید. Redis به طور پیش فرض از پورت6397 استفاده می کند:

• $ sudo firewall-cmd –permanent –zone=redis –add-port=6379/tcp

 

سپس ، آدرسهای IP خصوصی را که باید از طریق فایروال عبور کرده و به Redis دسترسی پیدا کنند ، مشخص کنید:

• $ sudo firewall-cmd –permanent –zone=redis –add-source=client_server_private_IP

پس از اجرای این دستورات ، فایروال را دانلود کنید تا قوانین جدید را اجرا کنید:

• $ sudo firewall-cmd –reload

 

تحت این پیکربندی ، هنگامی که فایروال بسته ای را از آدرس IP کلاینت شما مشاهده می کند ، قوانینی را در منطقه اختصاصی Redis برای آن اتصال اعمال می کند. سایر اتصالات توسط منطقه عمومی پیش فرض پردازش می شوند. سرویس های موجود در منطقه پیش فرض برای هر اتصال اعمال می شوند ، نه فقط برای سرویس هایی که به وضوح مطابقت ندارند ، بنابراین نیازی نیست که سرویس های دیگری (به عنوان مثال SSH) را به منطقه Redis اضافه کنید زیرا این قوانین به طور خودکار برای آن اتصال اعمال می شوند.

اگر تصمیم به ایجاد فایروال با استفاده از Iptables کرده اید ، لازم است مجوزهای ثانویه خود را به پورت Redis با دستورات زیر دسترسی دهید:

• $ sudo iptables -A INPUT -i lo -j ACCEPT
• $ sudo iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
• $ sudo iptables -A INPUT -p tcp -s client_servers_private_IP/32 –dport 6397 -m conntrack –ctstate NEW,ESTABLISHED -j ACCEPT
• $ sudo iptables -P INPUT DROP

 

اطمینان حاصل کنید که قوانین فایروال Iptables خود را با استفاده از مکانیزم ارائه شده توسط توزیع ذخیره کنید. با نگاهی به راهنمای ملزومات Iptables می توانید درباره Iptables بیشتر بیاموزید.

به خاطر داشته باشید که استفاده از هر دو ابزار فایروال کار می کند. نکته مهم این است که فایروال در حال کار است و به گونه ای انجام می شود که افراد ناشناس نتوانند به سرور مجازی شما دسترسی پیدا کنند. در مرحله بعدی ، Redis را پیکربندی می کنیم تا فقط با یک رمز عبور قوی قابل دسترسی باشد.

مرحله 3 – پیکربندی رمز عبور Redis

اگر Redis را با استفاده از آموزش نحوه پیکربندی خوشه Redis  در CentOS 7 نصب کرده اید ، باید یک رمز عبور برای آن پیکربندی کرده باشید. بنا به صلاحدید خود ، می توانید با دنبال کردن این بخش یک رمز عبور ایمن تر ایجاد کنید. اگر هنوز رمز عبوری تنظیم نکرده اید ، دستورالعمل های موجود در این بخش نحوه تنظیم رمز سرور مجازی پایگاه داده را نشان می دهد.

پیکربندی رمز عبور Redis یکی از دو ویژگی امنیتی داخلی خود را ایجاد می کند – دستور auth ، که به تایید اعتبار کلاینت ها برای دسترسی به پایگاه داده نیاز دارد. رمز عبور مستقیماً در فایل پیکربندی Redis ، /etc/redis/redis.conf  پیکربندی شده است ، بنابراین دوباره آن فایل را با ویرایشگر مورد نظر خود باز کنید:

$ sudo vi /etc/redis.conf

به بخش SECURITY بروید و به دنبال دستورالعملی باشید که وظیفه خواندن را دارد:

/etc/redis.conf

# requirepass foobared

 

با حذف # آن را لغو کنید و foobared  را به یک رمزعبور امن تغییر دهید. به جای اینکه خودتان یک رمز عبور بسازید ، ممکن است از ابزاری مانند apg یا pwgen برای تولید آن استفاده کنید. اگر نمی خواهید یک برنامه فقط برای تولید گذرواژه نصب کنید ، می توانید از دستور زیر استفاده کنید.

 

توجه داشته باشید که وارد کردن این دستور به صورت نوشته شده هر بار رمز عبور یکسانی را ایجاد می کند. برای ایجاد رمز عبور متفاوت از رمز عبوری که با این کار ایجاد می شود ، کلمه را در صورت نقل قول به هر کلمه یا عبارت دیگری تغییر دهید.

·         $  echo “digital-ocean” | sha256sum

 

اگرچه رمز ورود ایجاد شده قابل تلفظ نیست ، اما یک رمز بسیار قوی و طولانی است که دقیقاً همان نوع رمز مورد نیاز Redis است. پس از کپی و پیست کردن خروجی آن دستور به عنوان مقدار جدید برای Requirese ، به این صورت خواهد بود:

/etc/redis.conf

requirepass password_copied_from_output

 

اگر رمز عبور کوتاه تری را ترجیح می دهید ، به جای آن از خروجی دستور زیر استفاده کنید. دوباره ، کلمه را به صورت نقل قول تغییر دهید تا رمز عبور مشابه این رمز ایجاد نشود:

·         $ echo “digital-ocean” | sha1sum·

پس از تنظیم پسورد فایل را ذخیره کنید و ببندید و Redis را ریستارت کنید:

• $ sudo systemctl restart redis.service

سپس برای بررسی کارکرد گذرواژه، به خط فرمان Redis دسترسی پیدا کنید:

• $ redis-cli

در زیر توالی دستورات مورد استفاده برای تست رمز Redis وجود دارد. دستور اول سعی می کند قبل از تأیید اعتبار ، کلید را روی یک مقدار تنظیم کند:

• 0.0.1:6379> set key1 10

این رمز کار نخواهد کرد زیرا شما تأیید اعتبار نکردید ، بنابراین Redis خطایی را برمی گرداند:

Output(error) NOAUTH Authentication required.

 

دستور بعدی با گذرواژه مشخص شده در فایل پیکربندی Redis تأیید اعتبار می کند:

• 0.0.1:6379> auth your_redis_password

Redis تایید می کند:

OutputOK

پس از آن ، اجرای دوباره فرمان قبلی موفق خواهد بود:

• 0.0.1:6379> set key1 10

Output

OK

 

دستور get key1 مقدار کلید جدید را از Redis جستجو میکند.

• 0.0.1:6379> get key1

Output

“10”

 

با دستور آخر یعنی redis-cli میتوانید خارج شوید:

• 0.0.1:6379> quit

اکنون دسترسی به نصب Redis برای کاربران غیرمجاز بسیار دشوار است. البته توجه داشته باشید که اگر از راه دور به Redis متصل شوید ، بدون SSL یا VPN پسورد رمزگذاری نشده برای اشخاص خارجی قابل مشاهده خواهد بود.

در مرحله بعدی ، برای محافظت بیشتر از Redis در برابر حملات مخرب ، به تغییر دستورات Redis خواهیم پرداخت.

مرحله 5 – تغییر نام دستورات خطرناک

ویژگی امنیتی دیگر که در Redis قرار داده شده ، تغییر نام یا غیرفعال کردن کامل فرامین خاصی است که خطرناک به نظر می رسند.هنگامی که این دستورات توسط کاربران غیرمجاز اجرا می شوند ، می توانند برای پیکربندی ، از بین بردن یا پاک کردن داده های شما استفاده شوند. برخی از دستوراتی که خطرناک به حساب می آیند عبارتند از

• FLUSHDB
• FLUSHALL
• KEYS
• PEXPIRE
• DEL
• CONFIG
• SHUTDOWN
• BGREWRITEAOF
• BGSAVE
• SAVE
• SPOP
• SREM RENAME DEBUG

 

این یک لیست جامع نیست ، اما تغییر نام یا غیرفعال کردن کلیه دستورات موجود در آن لیست ، نقطه شروع خوبی برای افزایش امنیت سرور مجازی Redis شما است.

این که آیا شما باید یک فرمان را غیرفعال کنید یا تغییر نام دهید ، به نیازهای خاص شما یا نیازهای سایت شما بستگی دارد. اگر می دانید هرگز از دستوری که مورد سوءاستفاده قرار می گیرد استفاده نمی کنید ، می توانید آن را غیرفعال کنید. در غیر این صورت ، نام آن مفید را تغییر دهید.

مانند رمز عبور احراز هویت ، تغییر نام یا غیرفعال کردن دستورات در قسمت SECURITY فایل /etc/redis.conf پیکربندی شده است. برای فعال یا غیرفعال کردن دستورات Redis ، یک بار دیگر فایل پیکربندی را برای ویرایش باز کنید:

·         $ sudo vi  /etc/redis.conf

هشدار: این ها چند نمونه مثال است. فقط باید غیرفعال کردن یا تغییر نام دستوراتی که منطقی میباشد را انتخاب کنید. می توانید لیست کامل دستورات را برای خود مرور کنید و نحوه استفاده آنها در redis.io/commands  را تعیین کنید.

برای غیرفعال کردن یک دستور ، کافی است آن را به یک رشته خالی تغییر دهید ، همانطور که در زیر نشان داده شده:

/etc/redis.conf

# It is also possible to completely kill a command by renaming it into

# an empty string:

#

rename-command FLUSHDB “”

rename-command FLUSHALL “”

rename-command DEBUG “”

 

برای تغییرنام یک فرمان، نام دیگری مانند زیر به آن بدهید. حدس زدن فرمان های تغییر نام یافته باید برای دیگران دشوار باشد اما به راحتی بتوانید آن ها را به خاطر بسپارید.

/etc/redis.conf

rename-command CONFIG “”

rename-command SHUTDOWN SHUTDOWN_MENOT

rename-command CONFIG ASC12_CONFIG

 

تغییرات خود را ذخیره کرده و فایل را ببندید و سپس با راه اندازی مجدد Redis ، تغییر را اعمال کنید:

·         $ sudo systemctl restart redis.service

برای آزمایش دستور جدید ، وارد خط فرمان Redis شوید:

• $ redis-cli

سپس ، تأیید اعتبار کنید:

• 0.0.1:6379> auth your_redis_password

Output

OK

فرض کنیم که شما دستور CONFIG را مانند مثال قبل به  ASC12_CONFIGتغییر نام دادید . ابتدا سعی کنید از دستور اصلی CONFIG  استفاده کنید. باید با شکست مواجه شود ، زیرا آن را تغییر نام داده اید:

• 0.0.1:6379> config get requirepass

Output

(error) ERR unknown command ‘config’

 

با این وجود فراخوانی فرمان تغییر نام داده شده موفقیت آمیز خواهد بود. به کوچک و بزرگ بودن کاراکترها حساس نیست:

• 0.0.1:6379> asc12_config get requirepass

Output

1) “requirepass”

2) “your_redis_password”

 

درنهایت ، می توانید از redis-cli خارج شوید:

• 0.0.1:6379> exit

 

توجه داشته باشید که اگر قبلاً از خط فرمان Redis استفاده کرده اید و دوباره Redis را ریستارت کرده اید ، باید مجددا تأیید اعتبار کنید. در غیر این صورت ، اگر یک دستور تایپ کنید ، این خطا را دریافت خواهید کرد:

OutputNOAUTH Authentication required.

 

به خاطر تغییر نام دستورات ، در پایان بخش SECURITY در /etc/redis/redis.conf یک عبارت هشدار وجود دارد:

/etc/redis.conf

. . . # Please note that changing the name of commands that are logged into the# AOF file or transmitted to slaves may cause problems. . . .

این بدان معناست که اگر دستور تغییر نام یافته در فایل AOF نباشد ، یا اگر موجود باشد اما فایل AOF به slaves ارسال نشده باشد ، دیگر مشکلی وجود نخواهد داشت.بنابراین ، هنگام تغییر نام دستورات ، این را به خاطر داشته باشید. بهترین زمان برای تغییر نام یک فرمان زمانی است که شما از ماندگاری AOF استفاده نمی کنید ، یا درست بعد از نصب ، یعنی قبل از استقرار برنامه مبتنی بر Redis.

هنگامی که از AOF استفاده می کنید و با یک نصب master slave سرو کار دارید ، این پاسخ را از صفحه صدور GitHub پروژه در نظر بگیرید.

بنابراین ، بهترین روش برای تغییر نام در مواردی از این دست ، این است که مطمئن شوید دستورات تغییر نام یافته به تمام مثال های نصب های master-slave اعمال میشود.

مرحله 5 – تنظیم مالکیت دایرکتوری داده و مجوزهای پرونده

در این مرحله ، ما تغییرات مالکیت و مجوزهایی را که می توانید برای بهبود نمایه امنیتی نصب Redis خود ایجاد کنید ، در نظر خواهیم گرفت. این شامل اطمینان از این است که فقط کاربری که باید به Redis دسترسی پیدا کند اجازه خواندن اطلاعات آن را دارد. این کاربر به طور پیش فرض ، کاربر redis است.

این را می توانید با grep-ing برای دیرکتوری داده Redis در لیست طولانی دیرکتوری اصلی خود تأیید کنید. دستور و خروجی آن در زیر آورده شده است.

• $ ls -l /var/lib | grep redis

Output

drwxr-xr-x 2 redis   redis   4096 Aug  6 09:32 redis

 

می بینید که دایرکتوری داده Redis متعلق به کاربر redis است و دسترسی ثانویه به گروه redis اعطا می شود. این تنظیم مالکیت ایمن است ، اما مجوزهای پوشه (که روی 755 تنظیم شده است) اینگونه نیست. برای اطمینان از دسترسی انحصاری کاربر Redis به پوشه و محتویات آن ، تنظیمات مجوزها را به 770 تغییر دهید:

• $ sudo chmod 770 /var/lib/redis

 

مجوز دیگری که باید تغییر دهید ، فایل پیکربندی Redis است. به طور پیش فرض ، دارای مجوز فایل 644 است و توسط root متعلق به مالکیت ثانویه توسط گروه root است:

• $ ls -l /etc/redis.conf

Output

-rw-r–r– 1 root root 30176 Jan 14  2014 /etc/redis.conf

 

این مجوز (644) به صورت سراسر جهانی قابل خواندن است. این یک مشکل امنیتی است زیرا فایل پیکربندی حاوی پسورد رمزگذاری نشده ای است که در مرحله 4 پیکربندی کرده اید ، به این معنی که ما باید مالکیت و مجوزهای فایل پیکربندی را تغییر دهیم. در حالت ایده آل ، این مالکیت باید توسط کاربر redis و با مالکیت ثانویه توسط گروه redis باشد. برای انجام این کار ، دستور زیر را اجرا کنید:

• $ sudo chown redis:redis /etc/redis.conf

سپس مجوزها را تغییر دهید تا فقط صاحب فایل بتواند آن را بخواند و یا بنویسد:

• $ sudo chmod 600 /etc/redis.conf

 

شما می توانید مالکیت و مجوزهای جدید را با استفاده از موارد زیر تأیید کنید:

• $ ls -l /etc/redis.conf

Output

total 40

-rw——- 1 redis redis 29716 Sep 22 18:32 /etc/redis.conf

 

در آخر ، Redis را دوباره راه اندازی کنید:

• $ sudo systemctl restart redis.service

 

تبریک ، نصب Redis شما اکنون ایمن تر شده است!

نتیجه

به خاطر داشته باشید که پس از ورود شخصی به سرور مجازی شما ، دور زدن ویژگی های امنیتی ویژه Redis که ما در آن قرار داده ایم بسیار آسان است. بنابراین ، مهمترین ویژگی امنیتی در سرور مجازی Redis ، فایروال شماست (که در صورت پیروی از آموزش مقدماتی راه اندازی اولیه سرور اولیه، آن را پیکربندی کرده اید) ، زیرا این کار پرش از آن حصار امنیتی را برای حمله گران بسیار دشوار می کند.

اگر سعی در برقراری ارتباطات Redis از طریق یک شبکه غیر معتبر دارید ، باید پروکسی SSL را به کار ببرید ، همانطور که توسط توسعه دهندگان Redis در راهنمای رسمی امنیتی Redis توصیه شده است.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان – 

JupyterLab  یک رابط کاربری کاملاً غنی از ویژگی های مختلف است که انجام وظایف را به خصوص در زمینه علوم داده ها و هوش مصنوعی برای کاربران آسان می کند. محیط های JupyterLab طراحی مجدد Jupyter Notebook را با محوریت بهره وری ارائه می دهد. این برنامه ابزاری مانند یک نمایشگر HTML داخلی و بیننده CSV را به همراه ویژگی هایی ارائه می دهد که چندین ویژگی مجزا از Jupyter Notebook را در همان صفحه جمع می کند.

در این آموزش ، JupyterLab  را روی سرور مجازی Ubuntu 18.04 خود نصب و تنظیم می کنید. همچنین می توانید سرور خود را پیکربندی کنید تا بتواند از راه دور با هر نامی از مرورگر وب به طور ایمن و با استفاده از یک نام دامنه به نمونه  JupyterLab متصل شود.

پیش نیازها

برای تکمیل این آموزش ، به موارد زیر نیاز دارید:

• سرور مجازی Ubuntu 18.04 با یک حساب کاربری غیر ریشه با امتیازات sudo با استفاده از راهنمای ستاپ اولیه سرور.
• نصب توزیع پایتون Anaconda روی سرور مجازیتان. می توانید از آموزش نحوه نصب  توزیع پایتون Anaconda  در اوبونتو 18.04 استفاده کنید.
• یک نام دامنه یا زیر دامنه ثبت شده که در آن به ویرایش رکورد DNS دسترسی دارید. در سراسر این آموزش از your_domain استفاده خواهد کرد. می توانید دامنه ها را در Namecheap خریداری کنید ، یک دامنه رایگان در Freenom  دریافت کنید ، یا یک دامنه جدید را با هر نوع ثبت دلخواه خود ثبت کنید.
• سوابق DNS زیر برای دامنه شما تنظیم شده باشد:

o یک رکورد A با your_domain که آدرس IP عمومی سرور مجازی شما را نشان می دهد.

O رکورد A با www.your_domain که آدرس IP عمومی سرور مجازی شما را نشان می دهد. مقاله نحوه ایجاد ، ویرایش و حذف اسناد  رکوردهای DNS  می تواند در تنظیم این رکوردها به شما کمک کند.

مرحله 1 – تنظیم گذرواژه

در این مرحله یک رمز عبور را روی نصب JupyterLab خود تنظیم خواهید کرد. داشتن گذرواژه مهم است زیرا نمونه شما در دسترس عموم خواهد بود.

ابتدا مطمئن شوید که محیط Anaconda شما فعال شده است. طبق آموزش پیش نیاز محیط، base نامیده می شود.

برای فعال کردن محیط ، از دستور زیر استفاده کنید:

• $ conda activate base

اعلان شما در ترمینال تغییر خواهد کرد تا پایه محیط پیش فرض Anaconda  را منعکس کند:

(base) sammy@your_server:~$

کلیه دستورات آینده در این آموزش در محیط baseاجرا می شود.

با فعال شدن محیط Anaconda ، می توانید یک رمز ورود برای JupyterLab را در سرور مجازی خود تنظیم کنید.

ابتدا ، اجازه دهید یک فایلbase پیکربندی برای  Jupyter ایجاد کنیم:

• $ jupyter notebook –generate-config

خروجی زیر را دریافت خواهید کرد:

OutputWriting default config to: /home/sammy/.jupyter/jupyter_notebook_config.py

 

هم  JupyterLab و Jupyter Notebookیک فایل پیکربندی مشترک را دارند.

• $ jupyter notebook password

اکنون ، از دستور زیر برای تنظیم گذرواژه برای دسترسی به نمونه  JupyterLab خود از راه دور استفاده کنید:

OutputEnter password:Verify password:[NotebookPasswordApp] Wrote hashed password to /home/sammy/.jupyter/jupyter_notebook_config.json

 

Jupyter  به شما اعلانی نشان می خواهد که رمز عبور مورد نظر خود را ارائه دهید:

Jupyter  رمز عبور را با فرمت hashed در /home/sammy/.jupyter/jupyter_notebook_config.json ذخیره می کند. در آینده به این مقدار نیاز خواهید داشت.

در آخر ، برای مشاهده گذرواژه hashed ، از دستور cat در فایل تولید شده توسط دستور قبلی استفاده کنید:

• $ cat /home/sammy/.jupyter/jupyter_notebook_config.json

خروجی مشابه با موارد زیر را دریافت خواهید کرد:

/home/sammy/.jupyter/jupyter_notebook_config.json

{

“NotebookApp”: {

“password”: “sha1:your_hashed_password”

}

}

 

مقدار را در کلید رمز عبور JSON کپی کنید و به طور موقت آن را ذخیره کنید.

برای مثال JupyterLab یک گذرواژه تنظیم کرده اید. در مرحله بعد یک گواهی Let’s Encrypt برای سرور مجازی خود ایجاد خواهید کرد.

مرحله 2 – پیکربندی Let’s Encrypt

در این مرحله ، یک گواهی Let’s Encrypt برای دامنه خود ایجاد خواهید کرد. با دسترسی به محیط  JupyterLab از مرورگر ، داده های شما را ایمن می کند.

ابتدا Certbot را روی سرور مجازی خود نصب خواهید کرد. با اضافه کردن مخزن آن به منابع apt شروع کنید:

• $ sudo add-apt-repository ppa:certbot/certbot

پس از اجرای دستور ، از شما خواسته می شود تا ENTER را فشار دهید تا PPA را اضافه کنید:

OutputThis is the PPA for packages prepared by Debian Let’s Encrypt Team and backported for Ubuntu. Note: Packages are only provided for currently supported Ubuntu releases. More info: https://launchpad.net/~certbot/+archive/ubuntu/certbotPress [ENTER] to continue or Ctrl-c to cancel adding it.

 

برای ادامه افزودن PPA ، ENTER  را فشار دهید.

پس از پایان اجرای فرمان ، منابع را با استفاده از دستور apt update ریفرش کنید:

• $ sudo apt update

سپس ، Certbot  را نصب خواهید کرد:

• $ sudo apt install certbot

قبل از شروع به کار Certbot برای تولید گواهینامه ها برای مثال شما ، اجازه دسترسی به پورت: 80 و پورت: 443 سرور مجازی خود را می دهید تا Certbot بتواند از این پورت ها برای تأیید نام دامنه شما استفاده کند. پورت: 80 برای درخواست های http به سرور مجازی بررسی می شود در حالی که پورت 443 برای درخواست های https استفاده می شود. Certbot ابتدا یک درخواست http را ایجاد می کند و پس از دریافت گواهینامه ها برای سرور مجازی شما ، یک درخواست https را ایجاد می کند که از طریق پورت از طریق پورت: 443 برای گوش دادن به پورت 80 پروکسی می شود. با این کار نصب گواه

ینامه ها با موفقیت تأیید خواهد شد.

ابتدا اجازه دسترسی به پورت 80: را بدهید:

• $ sudo ufw allow 80

خروجی زیر را دریافت خواهید کرد:

OutputRule addedRule added (v6)

سپس ، اجازه دسترسی به پورت: 443:

• $ sudo ufw allow 443

Output

Rule added

Rule added (v6)

 

در آخر ، Certbot  را اجرا کنید تا با استفاده از دستور زیر ، گواهینامه هایی را برای مثال خود تولید کنید:

• $ sudo certbot certonly –standalone

پرچم standalone  ، certbot  را برای اجرای یک سرور مجازی موقت برای مدت زمان بررسی تأیید می کند.

ایمیل شما را درخواست می کند:

OutputSaving debug log to /var/log/letsencrypt/letsencrypt.logPlugins selected: Authenticator standalone, Installer NoneEnter email address (used for urgent renewal and security notices) (Enter ‘c’ tocancel): your_email

 

یک ایمیل فعال را وارد کنید و ENTER را فشار دهید.

در مرحله بعد ، از شما خواسته خواهد شد تا شرایط سرویس های Certbot و Let’s Encrypt t را مرور و تایید کنید. شرایط را مطالعه کنید اگر قبول کردید ، A را تایپ کنید و ENTER را فشار دهید:

Output- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -Please read the Terms of Service athttps://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You mustagree in order to register with the ACME server athttps://acme-v02.api.letsencrypt.org/directory- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -(A)gree/(C)ancel: A

 

اکنون از شما خواسته می شود که ایمیل خود را با بنیاد الکترونیکی Frontier به اشتراک بگذارید. پاسخ خود را تایپ کنید و ENTER  را فشار دهید:

Output- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -Would you be willing to share your email address with the Electronic FrontierFoundation, a founding partner of the Let’s Encrypt project and the non-profitorganization that develops Certbot? We’d like to send you email about our workencrypting the web, EFF news, campaigns, and ways to support digital freedom.- – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – -(Y)es/(N)o: Y/N

 

در آخر ، از شما خواسته می شود نام دامنه خود را وارد کنید. نام دامنه خود را بدون هیچ گونه مشخصات پروتکل وارد کنید:

OutputPlease enter in your domain name(s) (comma and/or space separated)  (Enter ‘c’to cancel): your_domainObtaining a new certificatePerforming the following challenges:http-01 challenge for your_domainWaiting for verification…Cleaning up challenges IMPORTANT NOTES: – Congratulations! Your certificate and chain have been saved at:   /etc/letsencrypt/live/your_domain/fullchain.pem   Your key file has been saved at:   /etc/letsencrypt/live/your_domain/privkey.pem   Your cert will expire on 2020-09-28. To obtain a new or tweaked   version of this certificate in the future, simply run certbot   again. To non-interactively renew *all* of your certificates, run   “certbot renew” – Your account credentials have been saved in your Certbot   configuration directory at /etc/letsencrypt. You should make a   secure backup of this folder now. This configuration directory will   also contain certificates and private keys obtained by Certbot so   making regular backups of this folder is ideal. – If you like Certbot, please consider supporting our work by:    Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate   Donating to EFF:                    https://eff.org/donate-le

 

Certbot تأیید دامنه را انجام خواهد داد و گواهی و کلید برای دامنه شما را ایجاد میکند و آنها در / etc / letsencrypt / live / your_domain ذخیره میکند.

اکنون که گواهی Let’s Encrypt خود را تنظیم کرده اید ، فایل پیکربندی JupyterLab خود را به روز خواهید کرد.

مرحله 3 – پیکربندی  JupyterLab

در این مرحله ، پیکربندی JupyterLab را ویرایش می کنید تا مطمئن شوید که از گواهی Let’s Encrypt که در مرحله 2 ایجاد کرده اید استفاده می کند. همچنین می توانید با استفاده از رمز عبور تنظیم شده در مرحله 1 ، آن را در دسترس قرار دهید.

ابتدا باید پیکربندی JupyterLab را در /home/sammy/.jupyter/jupyter_notebook_config.py ویرایش کنید:

• $ nano /home/sammy/.jupyter/jupyter_notebook_config.py

 

اکنون به خطی که مقدار c.NotebookApp.certfile را تعریف می کند بروید و به شرح زیر آن را به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The full path to an SSL/TLS certificate file.

c.NotebookApp.certfile = ‘/etc/letsencrypt/live/your_domain/fullchain.pem’

…

 

سپس ، متغیر c.NotebookApp.keyfile را پیدا کنید و آن را مطابق زیر تغییر دهید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The full path to a private key file for usage with SSL/TLS.

c.NotebookApp.keyfile = ‘/etc/letsencrypt/live/your_domain/privkey.pem’

…

 

c.NotebookApp.certfile و c.NotebookApp.keyfile به گواهی SSLاشاره می کنند که وقتی سعی می کنید از راه دور با استفاده از پروتکل https به سرور مجازی خود دسترسی پیدا کنید ، ارائه می شود.

در مرحله بعد ، به خط تعریف متغیر c.NotebookApp.ip بروید و به شرح زیر به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The IP address the notebook server will listen on.

c.NotebookApp.ip = ‘*’

…

 

c.NotebookApp.ip  IP  هایی را تعریف می کند که می توانند به سرور مجازی شما دسترسی پیدا کنند. آن را روی * wildcard قرار داده اید تا از هر رایانه ای که برای دسترسی به JupyterLab لازم دارید دسترسی داشته باشید.

سپس ، پیکربندی c.NotebookApp.open_browser را پیدا کنید و به شرح زیر آن را به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## Whether to open in a browser after starting. The specific browser used is

#  platform dependent and determined by the python standard library `webbrowser`

#  module, unless it is overridden using the –browser (NotebookApp.browser)

#  configuration option.

c.NotebookApp.open_browser = False

…

 

به طور پیش فرض ، JupyterLab  سعی می کند به طور خودکار بخش مرورگر را شروع کند. از آنجا که در سرور مجازی راه دور مرورگر نداریم ، لازم است آن را خاموش کنید تا از خطاها جلوگیری شود.

در مرحله بعد ، به متغیر c.NotebookApp.password بروید و آن را به شرح زیر تغییر دهید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## Hashed password to use for web authentication.

#

#  To generate, type in a python/IPython shell:

#

#    from notebook.auth import passwd; passwd()

#

#  The string should be of the form type:salt:hashed-password.

c.NotebookApp.password = ‘your_hashed_password’

…

 

JupyterLab از این پیکربندی پسورد رمزگذاری شده برای بررسی رمز عبور وارد شده جهت دسترسی به مرورگر شما استفاده می کند.

در آخر ، بیشتر فایل را بررسی کنید و ورودی c.NotebookApp.port را به روز کنید:

/home/sammy/.jupyter/jupyter_notebook_config.py

…

## The port the notebook server will listen on.

c.NotebookApp.port = 9000

…

 

c.NotebookApp.port  برای دسترسی به زمان اجرای JupyterLab یک پورت ثابت تعیین می کند. به این ترتیب ، می توانید فقط از یک فایروال ufw به یک پورت دسترسی داشته باشید.

پس از اتمام کار ، فایل را ذخیره کنید و خارج شوید.

سرانجام ، اجازه عبور در پورت 9000 را بدهید:

• $ sudo ufw allow 9000

خروجی زیر را دریافت خواهید کرد:

OutputRule addedRule added (v6)

 

اکنون که پیکربندی خود را تنظیم کرده اید ، JupyterLab را اجرا خواهید کرد.

مرحله 4 – اجرای  JupyterLab

در این مرحله ، یک مثال آزمایشی از نمونه JupyterLab را انجام می دهید.

ابتدا دایرکتوری فعلی خود را به دیرکتوری هوم کاربر تغییر دهید:

• $ cd ~

اکنون مجوزهای دسترسی فایل های گواهینامه را اصلاح کنید تا JupyterLab بتواند به آنها دسترسی پیدا کند. مجوزهای پوشه / etc / letsencrypt را به موارد زیر تغییر دهید:

• $ sudo chmod 750 -R /etc/letsencrypt
• $ sudo chown sammy:sammy -R /etc/letsencrypt

 

سپس ، به مثال JupyterLab خود مراجعه کنید تا از دستور زیر استفاده کنید:

• jupyter lab

 

این دستور چندین پارامتر پیکربندی را می پذیرد. با این حال ، از آنجا که ما قبلاً این تغییرات را در فایل پیکربندی ایجاد کرده ایم ، نیازی به ارائه صریح آنها در اینجا نداریم. شما می توانید آنها را به عنوان آرگومان هایی برای این دستور برای غلبه بر مقادیر موجود در فایل پیکربندی ارائه دهید.

اکنون می توانید به https: // your_domain: 9000 بروید تا صفحه ورود به سیستم JupyterLab را دریافت کنید.

اگر با گذرواژه ای که برای مرحله دوم 2 برای JupyterLab تنظیم کرده اید وارد شوید ، رابط JupyterLab به شما ارائه می شود.

در آخر ، دوبار CTRL + C را فشار دهید تا سرور مجازی JupyterLab متوقف شود.

در مرحله بعد ، یک سرویس سیستمی را تنظیم می کنید تا سرور مجازی JupyterLab بطور مداوم در پس زمینه اجرا شود.

مرحله ششم – تنظیم یک سرویس سیستمی

در این مرحله ، شما یک سرویس سیستمی ایجاد خواهید کرد که به JupyterLab اجازه می دهد تا حتی در هنگام خروج از پنجره ترمینال ، عملکرد خود را ادامه دهد. می توانید اطلاعات بیشتر در مورد خدمات سیستمی و واحدهای موجود در این راهنما را در مورد ملزومات systemd مطالعه کنید.

در ابتدا ، باید با استفاده از دستور زیر ، یک فایل .service ایجاد کنید:

• $ sudo nano /etc/systemd/system/jupyterlab.service

محتوای زیر را به فایل /etc/systemd/system/jupyterlab.service اضافه کنید:

/etc/systemd/system/jupyterlab.service

[Unit]

Description=Jupyter Lab Server

 

[Service]

User=sammy

Group=sammy

Type=simple

WorkingDirectory=/home/sammy/

ExecStart=/home/sammy/anaconda3/bin/jupyter-lab –config=/home/sammy/.jupyter/jupyter_notebook_config.py

StandardOutput=null

Restart=always

RestartSec=10

 

[Install]

WantedBy=multi-user.target

 

پس از انجام کار ویرایشگر را ذخیره کرده و از آن خارج شوید.

فایل سرویس به صورت خودکار خود را در سیستم به عنوان یک Daemon ثبت می کند. اما به طور پیش فرض اجرا نمی شود.

برای شروع سرویس از دستور systemctl استفاده کنید:

• $ sudo systemctl start jupyterlab

این کار سرور مجازی JupyterLab را در پس زمینه شروع می کند. می توانید با استفاده از دستور زیر سرور مجازی را بررسی کنید:

• $ sudo systemctl status jupyterlab

خروجی زیر را دریافت خواهید کرد:

Output? jupyterlab.service – Jupyter Lab Server   Loaded: loaded (/etc/systemd/system/jupyterlab.service; disabled; vendor preset: enabled)   Active: active (running) since Sun 2020-04-26 20:58:29 UTC; 5s ago Main PID: 5654 (jupyter-lab)    Tasks: 1 (limit: 1152)   CGroup: /system.slice/jupyterlab.service           ??5654 /home/sammy/anaconda3/bin/python3.7 /home/sammy/anaconda3/bin/jupyter-lab –config=/home/

 

Q را فشار دهید تا از خروجی وضعیت سرویس خارج شوید.

اکنون می توانید به https: // your_domain: 9000 در هر مرورگر مورد نظر خود بروید ، رمز عبوری را که در مرحله 2 تنظیم کرده اید تهیه کنید و به محیط JupyterLab که روی سرور مجازی خود کار می کند دسترسی پیدا کنید.

مرحله 7 – پیکربندی تجدید گواهی Let’s Encrypt

در این مرحله آخر ، گواهینامه های SSL خود را که توسط Let’s Encrypt تهیه شده است پیکربندی می کنید تا هر 90 روز یکبار به طور خودکار تمدید شود و سپس سرور مجازی را مجدداً ریستارت کنید تا گواهی های جدید لود شود.

در حالی که Certbot از تجدید گواهینامه های نصب شما مراقبت می کند ، به طور خودکار سرور مجازی مجدداً راه اندازی نمی شود. برای پیکربندی سرور مجازی برای راه اندازی مجدد با گواهینامه های جدید ، باید یک پیکربندی جدید برای تنظیمات Certbot برای سرور مجازی خود تهیه کنید.

باید فایل /etc/letsencrypt/renewal/your_domain.conf را ویرایش کرده و یک فایل تازه را به انتهای فایل پیکربندی اضافه کنید.

ابتدا از دستور زیر برای باز کردن فایل /etc/letsencrypt/renewal/your_domain.conf در ویرایشگر استفاده کنید:

• $ sudo nano /etc/letsencrypt/renewal/your_domain.conf

سپس در انتهای این فایل موارد زیر را اضافه کنید

/etc/letsencrypt/renewal/your_domain.conf

…

renew_hook = systemctl reload jupyterlab

 

فایل را ذخیره کنید و از آن خارج شوید.

در آخر ، دور جدیدی از روند تجدید را اجرا کنید تا صحت اعتبار فایل پیکربندی شما تایید شود:

• $ sudo certbot renew –dry-run

 

اگر این دستور بدون خطا اجرا شود ، تجدید Certbot شما با موفقیت تنظیم شده است و هنگامی که گواهی نزدیک به تاریخ انقضا است ، سرور مجازی خود را به طور خودکار تمدید و ریستارت می کنید.

نتیجه

در این مقاله ، شما یک محیط JupyterLab را بر روی سرور مجازی خود تنظیم کرده و آن را از راه دور در دسترس قرار داده اید. اکنون می توانید از هر مرورگری به پروژه های یادگیری ماشین یا علوم داده خود دسترسی داشته باشید و مطمئن باشید که تمام تبادلات با رمزگذاری SSL در محل اتفاق می افتد. در کنار آن ، محیط شما دارای تمام مزایای سرور مجازیهای مبتنی بر ابر میباشد.

خرید vps – خرید سرور مجازی – خرید سرور – سرور هلند – فروش vps – سرور مجازی آمریکا – خریدvps – سرور مجازی هلند – فروش سرور مجازی – سرور آمریکا – vps – سرور مجازی انگلیس – سرور مجازی آلمان – سرور مجازی کانادا – خرید vps آمریکا – خرید وی پی اس – سرور – خرید سرور مجازی هلند – vps خرید – سرور مجازی فرانسه – سرور مجازی هلند – خرید vps آمریکا – خرید سرور مجازی ارزان هلند – vps – خرید vps هلند – خرید سرور مجازی آمریکا – خرید vps فرانسه – تست vps – سرور مجازی تست – سرور مجازی ویندوز – ارزانترین vps – خرید وی پی اس – vps ارزان –