Nginx版本升级

因低版本Nginx 1.10.3存在安全相关漏洞,现升级到当前最新稳定版本Nginx 1.16.1。

环境:

Red Hat Enterprise Linux Server release 7.4

Nginx 1.10.3 

升级步骤:

1. 查看并记录当前Nginx版本及编译参数

/app/nginx/sbin/nginx -V

2. 解压新版本Nginx 1.16.1并编译

tar xf nginx-1.16.1.tar.gz

cd nginx-1.16.1

./configure –without-http-cache –prefix=/app/nginx –sbin-path=/app/nginx/sbin/nginx –conf-path=/app/nginx/conf/nginx.conf –error-log-path=/app/nginx/log/error.log –http-log-path=/app/nginx/log/access.log –pid-path=/var/run/nginx.pid –lock-path=/var/run/nginx.lock –http-client-body-temp-path=/var/cache/nginx/client_temp –http-proxy-temp-path=/var/cache/nginx/proxy_temp –http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp –http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp –http-scgi-temp-path=/var/cache/nginx/scgi_temp –user=nginx –group=nginx –with-http_ssl_module –with-http_realip_module –with-http_addition_module –with-http_sub_module –with-http_dav_module –with-http_flv_module –with-http_mp4_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_random_index_module –with-http_secure_link_module –with-http_stub_status_module –with-mail –with-mail_ssl_module –with-file-aio –with-ipv6 –with-cc-opt=’-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector –param=ssp-buffer-size=4 -m64 -mtune=generic’ –user=nginx –with-stream_ssl_module –with-http_realip_module –with-stream –with-http_auth_request_module –add-module=/app/headers-more-nginx-module-0.33

make

注:使用以前版本的编译参数,编译结束不要执行make install 安装。编译结束会在安装目录下生成一个objs目录且在该目录下有一个nginx执行文件。

3.替换旧的程序并重启

3.1备份旧的执行程序

mv /app/nginx/sbin/nginx /app/nginx/sbin/nginx.bak

3.2复制新的执行程序(使用objs目录下的nginx)

cp objs/nginx /app/nginx/sbin/

3.3使用新的执行程序检查nginx配置文件是否正常

/app/nginx/sbin/nginx -t

3.4平滑重启

Kill -USR2 `cat /path/nginx.pid`

kill -QUIT `cat /path/nginx.pid.oldbin`

注:上述path代表pid文件所在目录路径

3.5升级完成检查下nginx版本及编译参数

/app/nginx/sbin/nginx -V

至此Nginx版本升级完毕。

附录1:如何回滚到以前版本

将备份的nginx还原并重启即可,步骤如下:

mv -f /app/nginx/sbin/nginx.bak /app/nginx/sbin/nginx

/app/nginx/sbin/nginx -s reload


附录2:nginx支持的信号以及nginx升降级

以下几种是主进程可以接收的信号,注意worker进程也可以接收一些信号,但和主进程的信号处理机制有些不一样,且主进程支持的信号worker进程不一定支持。具体可见man nginx。

SIGINT, SIGTERM  立即杀掉nginx主(即所有进程)

SIGQUIT          graceful stop主进程

SIGWINCH         graceful stop所有的worker进程

SIGHUP           reload配置文件,并使老的worker进程graceful stop

SIGUSR1          重新打开日志文件(Reopen log files)

SIGUSR2          在线切换nginx可执行程序(Upgrade the nginx executable on the fly)
1. 升级

如果想对一个已运行的nginx实例进行版本升级,或者因为重新编译了一个版本而替换旧版本,可以考虑按照以下一系列过程来平稳、安全地升级。当然,如果直接停止服务不会产生多大影响,直接停掉再启动新版本nginx实例更方便简单。

(1)将新版本的nginx命令路径替换掉旧的nginx命令。

通常,对于编译安装的nginx来说,采用软链接的方式比较便捷。例如旧版本的安装路径为/usr/local/nginx-1.12.0,为其建立一个软链接/usr/local/nginx,如果有新版本/usr/local/nginx-1.12.1,只需修改软链接/usr/local/nginx的指向目标为/usr/local/nginx-1.12.1即可。这样/usr/local/nginx/sbin/nginx就会随着软链接的指向改变而指向新nginx程序。

(2)对旧nginx实例的主进程发送USR2信号。

kill -USR2 `cat /var/run/nginx/nginx.pid`

该信号提示nginx旧的主进程要升级,并执行新的nginx程序。例如步骤1中,旧的nginx主进程为/usr/local/nginx/sbin/nginx,但其指向的是/usr/local/nginx-1.12.0/sbin/nginx,发送该信号后仍将执行/usr/local/nginx/sbin/nginx,但此时因为软链接目标已改变,使得此时启动的nginx已经是/usr/local/nginx-1.12.1/sbin/nginx程序。

 此外,发送该信号后将会切换pid文件,旧的pid文件被重命名为nginx.pid.oldbin,记录的是旧的nginx主进程pid值,新的pid文件为nginx.pid,记录的是新启动的nginx的主进程pid值。

# ls /var/run/nginx*     

/var/run/nginx.pid  /var/run/nginx.pid.oldbin

(3)graceful stop旧的主进程号。

kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`

向旧的主进程号发送QUIT信号,该信号将使得主进程以graceful的方式关闭。这将使得旧的主进程、旧的worker进程不再接受任何新请求,但却会把正在处理过程中的请求处理完毕,然后被销毁退出。

(4)更稳妥的方式是先让worker进程graceful stop,在新版本的nginx实例运行一小段时间后如果正常工作,再graceful stop旧的主进程。

kill -WINCH `cat /var/run/nginx/nginx.pid.oldbin` 

# a periodoftime goes, graceful stopoldmaster nginx

kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`

在发送WINCH信号给旧的主进程后,旧的worker进程将逐渐退出,但旧的主进程却会保留不退出。

如果发现新版本的nginx实例不满意,可以直接向旧主进程号发送HUP信号,这样旧的主进程就会重新读取配置文件并fork新的worker进程,再将新的主进程号杀掉(可以graceful stop),就可以还原为旧版本的nginx实例。

2.降级

上面第4步其实就是最安全的降级方式。即:

kill -HUP `cat /var/run/nginx/nginx.pid.oldbin`

kill -QUIT `cat /var/run/nginx/nginx.pid`

但如果旧的主进程号已经被杀掉了,目前只有新版本的nginx实例在运行,那么只需以升级的步骤进行降级即可。即:

kill -USR2 `cat /var/run/nginx/nginx.pid`

kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`

VMware_ESX Server常用命令

1.查看esx版本

vmware –v

2.查看显示ESX硬件,内核,存储,网络等信息

esxcfg-info -a (显示所有相关的信息)

esxcfg-info -w (显示esx上硬件信息)

3.列出esx里知道的服务

esxcfg-firewall –s

4.查看具体服务的情况

esxcfg-firewall -q sshclinet

5.重新启动vmware服务

service mgmt-vmware restart

6.修改root的密码

passwd root

7.设置kernel高级选项

esxcfg-advcfg -d (将系统内核恢复默认值)

8.管理资源组

esxcfg-resgrp -l (显示所有资源组)

9.列出你当前的虚拟交换机

esxcfg-vswitch -l

esxcfg-vswitch -v 10 -p “Service Console” vSwitch0 (将vSwitch0上的Service Console划分到vLan 10上,如果vLan号为0则不设置vLan)

10.查看控制台的设置

esxcfg-vswif -l   (列出已添加的网卡)

esxcfg-vswif -a (添加网卡)

11.列出系统的网卡

esxcfg-nics –l

12.添加一个虚拟交换机,名字叫(internal)连接到两块物理网卡,(重新启动服务,vi就能看见了)

esxcfg-vswitch -a vSwitch1

esxcfg-vswitch -A internal vSwitch1

esxcfg-vswitch -L vmnic1 vSwitch1

esxcfg-vswitch -L vmnic2 vSwitch1

13.删除交换机,(注意,别把控制台的交换机也删了)

esxcfg-vswitch -D vSwitch1

14.删除交换机上的网卡

esxcfg-vswitch -u vmnic1 vswitch2

15.删除portgroup

esxcfg-vswitch -D internel vswitch1

16.创建 vmkernel switch ,如果你希望使用vmotion,iscsi的这些功能,你必须创建( 通常是不需要添加网关的)

esxcfg-vswitch -l

esxcfg-vswitch -a vswitch2

esxcfg-vswitch -A “vm kernel” vswitch2

esxcfg-vswitch -L vmnic3 vswitch2

esxcfg-vmknic -a “vm kernel” -i 172.16.1.141 -n 255.255.252.0 (添加一个vmkernel)

17.防火墙设置esxcfg-firewall -e sshclient (打开防火墙ssh端口)

esxcfg-firewall -d sshclient (关闭防火墙ssh端口)

esxcfg-firewall -e veritasNetBackup (允许Veritas Netbackup服务)

esxcfg-firewall -o 123,udp,out,ntp (为ntp服务打开UDP协议中的123端口的输出)

18.路由管理

esxcfg-route (VM生成网卡的路由管理)

esxcfg-route(显示路由表)

esxcfg-route 172.16.0.254 (设置vmkernel网关)

19.创建控制台

esxcfg-vswitch -a vSwitch0

esxcfg-vswitch -A “service console” vSwitch0

esxcfg-vswitch -L vmnic0 vSwitch0

esxcfg-vswif -a vswif0 -p “service console” -i 172.16.1.140 -n 255.255.252.0

20.添加nas设备(a 添加标签,-o,是nas服务器的名字或ip,-s 是nas输入的共享名字)

esxcfg-nas -a isos -o nas.vmwar.cn -s isos

21.nas连接管理

esxcfg-nas -r (强迫esx去连接nas服务器)

esxcfg-nas -l    (用esxcfg-nas -l 来看看结果)

esxcfg-nas -a(添加NAS文件系统到/vmfs目录下)

esxcfg-nas -d (删除NAS文件系统)

22.扫描SCSI设备上的LUN信息

esxcfg-rescan <vmkernel SCSI adapter name>

23.连接iscsi 设备(e:enable q:查询 d, disable s:强迫搜索)

esxcfg-swiscsi -e

24.设置targetip

vmkiscsi-tool -D -a 172.16.1.133 vmhba40

25.列出和target的连接

vmkiscsi-tool -l -T vmhba40

26.列出当前的磁盘

ls -l /vmfs/devices/disks

27.内核dump管理工具

esxcfg-dumppart -l (显示当前dump分区配置信息)

28.路径管理

esxcfg-mpath -l (显示所有路径)

esxcfg-mpath -a (显示所有HBA卡)

29.ESX授权管理配置

esxcfg-authesxcfg-auth –enablenis (运行NIS验证)

30.管理启动设备

esxcfg-bootesxcfg-boot -b (更新启动设备)

31.执行initrd的初始化设置

esxcfg-initesxcfg-init (初始化设备)

32.esxcfg-linuxnet (在linux debug模式中,转换vswif设备命名为linux自带的eth命名规则)

esxcfg-linuxnet –setup

33.升级

esxcfg-upgrade (ESX2.X升级到ESX3.X)

删除文件的空白行

空白行分两类:

1.整个行什么都没有,用正则表达式表示是/^$/。

2.有空格而没有字符,用正则表达式表示是/^\s\+$/。

两个通用的正则表达式是/^\s\*$/。

删除1的命令如下。命令:/^$/d           

### 注释:前面的^指行首$指行尾,最后的d指删除的意思。

删除2的命令如下。命令:/^\s\+$/d             

### 注释:\s\+指1~无穷大个空格,给+加反斜杠是为了转义。

同时删除1、2的命令如下。命令:/^\s\*/d           

### 注释:\s\* 指0~无穷大个空格,给*加反斜杠是为了转义。

示例:

删1的命令:     sed -i ‘/^$/d’ test.txt

删2的命令:     sed -i ‘/^\s\+$/d’ test.txt

删1、2的命令:sed -i ‘/^\s*$/d’ test.txt