From 8b496f42bf611beda0bd02401c5f2299933dd646 Mon Sep 17 00:00:00 2001 From: deepzz0 Date: Mon, 24 Oct 2016 22:53:29 +0800 Subject: [PATCH] add readme.md --- .travis.yml | 2 +- README.md | 357 +++++++++++++++++++++++++++++++++- conf/nginx/domain/deepzz.conf | 2 +- 3 files changed, 358 insertions(+), 3 deletions(-) diff --git a/.travis.yml b/.travis.yml index 338fee7..fea4953 100644 --- a/.travis.yml +++ b/.travis.yml @@ -1,4 +1,4 @@ -sudo: required # 声明构建语言环境 +sudo: required # 超级权限 dist: trusty # 在ubuntu:trusty notifications: # 每次构建的时候是否通知,如果不想收到通知邮箱(个人感觉邮件贼烦),那就设置false吧 email: false diff --git a/README.md b/README.md index 9e3695b..33b519a 100644 --- a/README.md +++ b/README.md @@ -1 +1,356 @@ -# EiBlog [![Build Status](https://travis-ci.org/eiblog/eiblog.svg?branch=master)](https://travis-ci.org/eiblog/eiblog) \ No newline at end of file +# EiBlog [![Build Status](https://travis-ci.org/eiblog/eiblog.svg?branch=master)](https://travis-ci.org/eiblog/eiblog) + +> 系统根据[https://imququ.com](https://imququ.com)一系列文章和方向进行搭建,期间获得了QuQu的很大帮助,在此表示感谢。 + +Eiblog的开发目的是自用博客系统,许多地方不适合直接使用部署。需要修改的地方很多,并且该系统要求比较苛刻,配置也比较复杂。有兴趣的朋友,可以参照下面的部署流程进行部署。 + +### 系统简介 + +Mongodb 数据库存储 + +Elasticsearch 站内文章搜索 + +Nginx 代理 + +### 前提准备 + +这里所提到的点都是必需提前准备的。 + +* 域名:对,域名。 +* CDN:静态文件存储。 +* HTTPS证书:系统根据https设计,你需要准备一张有效的证书。 +* 服务器:当然是必需要有的,部署系统。 +* Disqus:disqus评论系统账号(shortname)和disque application key。 + +### 后续准备 + +#### 准备文件 + +1、CDN存储文件 + +``` +static/img/bg04.jpg #首页左侧背景图片,500*1200 左右 +static/img/blank.gif #空白图片 +static/img/deepzz.jpg #头像,256*256左右 +static/img/deepzz_small.jpg #小头像,128*128左右 +static/img/default_avatar.png #评论默认图片,92*92左右 +static/img/favicon.ico #网站icon,64*64左右 +static/js/disqus_52ef5a.js #disqus.js,国内背墙,你懂的 +``` + +找到`views/st_blog_css.css`,搜索与`deepzz`相关的地方: + +* 替换`left-col`内的url,即背景地址。 +* 替换`profilepic a`内的url,即头像地址。 +* 替换同样`profilepic a`内的地址,这里是小头像的地址(移动端用到该图片)。 + +找到`views/st_blog_js.js`,搜索`deepzz`找到需要替换的地方: + +* disqus_shortname:替换deepzz +* 替换与域名`deepzz.com`相关的域名 +* 替换`/static/img/blank.gif`地址 +* 替换`/static/js/disqus_52ef5a.js`地址 + +#### 配置文件 + +以下是配置文件目录,将一一进行说明。 + +``` +├── app.yml +├── blackip.yml +├── es +│   ├── config +│   │   ├── analysis +│   │   │   └── synonym.txt +│   │   ├── elasticsearch.yml +│   │   ├── logging.yml +│   │   └── scripts +│   └── plugins +│   └── ik1.10.0 +│   ├── commons-codec-1.9.jar +│   ├── commons-logging-1.2.jar +│   ├── config +│   ├── elasticsearch-analysis-ik-1.10.0.jar +│   ├── httpclient-4.5.2.jar +│   ├── httpcore-4.4.4.jar +│   └── plugin-descriptor.properties +├── nginx +│   ├── domain +│   │   └── deepzz.conf +│   ├── ip.blacklist +│   └── nginx.conf +├── scts +│   ├── aviator.sct +│   └── digicert.sct +├── ssl +│   ├── dhparams.pem +│   ├── domain.key +│   ├── domain.pem +│   ├── full_chained.pem +│   └── session_ticket.key +└── tpl + ├── feedTpl.xml + ├── opensearchTpl.xml + └── sitemapTpl.xml +``` + +1、`app.yml`,整个程序的配置文件,里面已经列出了所有配置项的说明,这里不再阐述。 + +2、`es`全名`elasticsearch`,非常强大的分布式搜索引擎,`github`用的就是它。里面的配置基本不用修改,但`es/analysis/synonym.txt`是同义词,你可以照着已有的随意增加。 + +``` +├── es +│   ├── config +│   │   ├── analysis +│   │   │   └── synonym.txt #同义词配置 +│   │   ├── elasticsearch.yml #分词器配置 +│   │   ├── logging.yml #日志配置 +│   │   └── scripts #脚本 +│   └── plugins #中文分词插件 +│   └── ik1.10.0 +│ +``` + +> 注意,scripts虽然是空的,但必需存在(空文件夹docker打包不了),不然elasticsearch报错。 + +3、`nginx`,系统采用`nginx`作为代理(相信博客系统也不会独占一台服务器~)。该文件夹内容主要是修改`domain/deepzz.conf`,或则重命名(只要是满足`*.conf`)。ok,该`deepzz.conf`文件里面学问是最多的。或许你想一一弄懂,或许…。 + +> 注意本配置需要更新nginx到最新版,openssl更新到1.0.2j,具体请到`Jerry Qu`的[本博客 Nginx 配置之完整篇](https://imququ.com/post/my-nginx-conf.html)查看,了解详情。 + +``` +server { + listen 443 ssl http2 fastopen=3 reuseport; + + server_name www.deepzz.com deepzz.com; + server_tokens off; + + include /data/eiblog/conf/nginx/ip.blacklist; + + # 现在一般证书是内置的。可以注释该项 + # https://imququ.com/post/certificate-transparency.html#toc-2 + # ssl_ct on; + # ssl_ct_static_scts /data/eiblog/conf/scts; + + # 中间证书 + 站点证书 + ssl_certificate /data/eiblog/conf/ssl/domain.pem; + + # 创建 CSR 文件时用的密钥 + ssl_certificate_key /data/eiblog/conf/ssl/domain.key; + + # openssl dhparam -out dhparams.pem 2048 + # https://weakdh.org/sysadmin.html + ssl_dhparam /data/eiblog/conf/ssl/dhparams.pem; + + # https://github.com/cloudflare/sslconfig/blob/master/conf + ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; + + # 如果启用了 RSA + ECDSA 双证书,Cipher Suite 可以参考以下配置: + # ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5; + + ssl_prefer_server_ciphers on; + + ssl_protocols TLSv1 TLSv1.1 TLSv1.2; + + ssl_session_cache shared:SSL:50m; + ssl_session_timeout 1d; + + ssl_session_tickets on; + + # openssl rand 48 > session_ticket.key + # 单机部署可以不指定 ssl_session_ticket_key + # ssl_session_ticket_key /data/eiblog/conf/ssl/session_ticket.key; + + ssl_stapling on; + ssl_stapling_verify on; + + # 根证书 + 中间证书 + # https://imququ.com/post/why-can-not-turn-on-ocsp-stapling.html + ssl_trusted_certificate /data/eiblog/conf/ssl/full_chained.pem; + + resolver 114.114.114.114 valid=300s; + resolver_timeout 10s; + + access_log /data/eiblog/logdata/nginx.log; + + if ($request_method !~ ^(GET|HEAD|POST|OPTIONS)$ ) { + return 444; + } + + if ($host != 'deepzz.com' ) { + rewrite ^/(.*)$ https://deepzz.com/$1 permanent; + } + + # webmaster 站点验证相关 + location ~* (robots\.txt|favicon\.ico|crossdomain\.xml|google4c90d18e696bdcf8\.html|BingSiteAuth\.xml)$ { + root /data/eiblog/static; + expires 1d; + } + + location ^~ /static/ { + root /data/eiblog; + add_header Access-Control-Allow-Origin *; + expires max; + } + + location ^~ /admin/ { + proxy_http_version 1.1; + + add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; + + # DENY 将完全不允许页面被嵌套,可能会导致一些异常。如果遇到这样的问题,建议改成 SAMEORIGIN + # https://imququ.com/post/web-security-and-response-header.html#toc-1 + add_header X-Frame-Options DENY; + + add_header X-Content-Type-Options nosniff; + + # proxy_set_header X-Via QingDao.Aliyun; + proxy_set_header Connection ""; + proxy_set_header Host deepzz.com; + proxy_set_header X-Real_IP $remote_addr; + proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; + proxy_set_header X-XSS-Protection 1; mode=block; + + proxy_pass http://127.0.0.1:9000; + } + + location / { + proxy_http_version 1.1; + + add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; + add_header X-Frame-Options deny; + add_header X-Content-Type-Options nosniff; + # 改deepzz相关的 + add_header Content-Security-Policy "default-src 'none'; script-src 'unsafe-inline' 'unsafe-eval' blob: https:; img-src data: https: https://st.deepzz.com; style-src 'unsafe-inline' https:; child-src https:; connect-src 'self' https://translate.googleapis.com; frame-src https://disqus.com https://www.slideshare.net"; + # 中间证书证书指纹 + # https://imququ.com/post/http-public-key-pinning.html + add_header Public-Key-Pins 'pin-sha256="lnsM2T/O9/J84sJFdnrpsFp3awZJ+ZZbYpCWhGloaHI="; pin-sha256="YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg="; max-age=2592000; includeSubDomains'; + add_header Cache-Control no-cache; + + proxy_ignore_headers Set-Cookie; + + proxy_hide_header Vary; + proxy_hide_header X-Powered-By; + + # proxy_set_header X-Via QingDao.Aliyun; + proxy_set_header Connection ""; + proxy_set_header Host deepzz.com; + proxy_set_header X-Real_IP $remote_addr; + proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; + + proxy_pass http://127.0.0.1:9000; + } +} + +server { + server_name www.deepzz.com deepzz.com; + server_tokens off; + + access_log /dev/null; + + if ($request_method !~ ^(GET|HEAD|POST)$ ) { + return 444; + } + + location ^~ /.well-known/acme-challenge/ { + alias /home/jerry/www/challenges/; + try_files $uri =404; + } + + location / { + rewrite ^/(.*)$ https://deepzz.com/$1 permanent; + } +} +``` + +需要修改项: + +* 替换与deepzz有关的项。 + + +* `ssl_trusted_certificate`:将你的证书的中间证书和根证书依次张贴到full_chained.pem内,方法见网址。 +* `access_log`:nginx访问日志地址 +* `location ~*`:站点验证或什么其它文件。如:你要验证百度站长,会下载到`*.xml`的一个文件,你需要将它放到`eiblog/static`下,并在该位置添加其文件名,那么通过`domain.com/*.xml`就可以访问到了。 +* `location ^~ /static/uploads/ `:文件上传,暂时没有用到。 +* `location /`:`add_header`处你需要注意的是`pin-sha256`,该功能详细请参见网址。不过建议添加你的证书的根证书的`pin-sha256`。 + +`ip.blacklist`自然就是ip黑名单了,本系统有两个ip黑名单,一个是nginx使用,另一个博客系统使用(不是nginx代理的用户)。 + +4、`scts`,现在的证书大都内置,可以不管。 + +5、`ssl`,这里存放了所有证书相关的内容。 + +``` +├── dhparams.pem #参见eiblog/conf/nginx/domain/deepzz.conf +├── domain.key #证书私钥,一般颁发者处下载 +├── domain.pem #证书链,一般从证书颁发者那可以直接下载到 +├── full_chained.pem #参见eiblog/conf/nginx/domain/deepzz.conf +└── session_ticket.key #参见eiblog/conf/nginx/domain/deepzz.conf +``` + +6、`tpl`模版相关,不用修改。 + +### 开始部署 + +#### 直接部署 + +或许你迫不及待的想体eiblog,或许你不愿折腾那么多的东西,或许你需要时间来慢慢理解。那么你可以直接部署该系统。直接部署将只会使用到三个配置文件:`conf/app.yml`、`conf/blackip.yml`、`es`。 + +1、运行`mongodb`数据库系统。获得数据库连接地址,如:127.0.0.1。修改`/etc/hosts`文件,末尾添加一条`127.0.0.1 mongodb`。默认使用`27017`端口,修改请到github的`eiblog`项目下utils/mgo修改。 + +2、运行`elasticsearch`搜索系统。将`conf/es`目录下的文件覆盖到`elasticsearch`配置文件目录。默认使用`9200`端口,修改请到`conf/app.yml`修改。 + +3、编译`go build`得到二进制`eiblog`文件,然后将二进制文件`eiblog`、静态文件`static`、网页模版`views`和配置文件`conf`目录拷贝到服务器与二进制文件`eiblog`相同的目录, 执行`./eiblog`即可运行。 + +``` +# 运行模式 +mode: + # you can fix certfile, keyfile, domain + enablehttp: true + httpport: 9000 + enablehttps: false + httpsport: 443 + certfile: conf/certs/domain.pem + keyfile: conf/certs/domain.key + domain: deepzz.com +``` + +可以看到`conf/app.yml`文件下的,默认只开启`http`模式。 + +#### Nginx Docker部署 + +前提你已经编译部署好`nginx`和`docker`,如未部署,请参考`Jerry Qu`的[本博客 Nginx 配置之完整篇](https://imququ.com/post/my-nginx-conf.html)。 + +1、将`conf`文件夹和`static`文件夹拷贝到服务器的`/data/eiblog`目录下,没有则创建。 + +2、将`docker-compose.yml`拷贝到服务器适当的地方,如:`~/eiblog`。 + +* 执行`docker-compose up -d`命令,启动博客系统。 +* 执行`docker-compose logs -f`,查看日志是否有错(或许`scripts`文件夹不存在,到`/data/eiblog/es/config`创建即可)。 +* 有错,根据错误信息修改。 +* 部署成功。 + +### 镜像构建 + +1、`.travis.yml`,如果你`fork`了Eiblog,或许你会用上它。本系统不提供公共镜像,因为构建的镜像并不通用。 + +``` +script: + - glide up + - CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build # 编译版本 + - docker build -t registry.cn-hangzhou.aliyuncs.com/deepzz/eiblog . # 构建镜像 + +after_success: + - if [ "$TRAVIS_BRANCH" == "master" ]; then + docker login -u="$DOCKER_USERNAME" -p="$DOCKER_PASSWORD" registry.cn-hangzhou.aliyuncs.com; + docker push registry.cn-hangzhou.aliyuncs.com/deepzz/eiblog; + fi # push到镜像仓库 +``` + +首先你需要修改镜像的仓库地址`registry.cn-hangzhou.aliyuncs.com/deepzz/eiblog`。如果需要密码,请到[https://travis-ci.org/](https://travis-ci.org/)填写环境变量`DOCKER_USERNAME`,`DOCKER_PASSWORD`。没有则直接将`after_success`替换为: + +``` +after_success: + - docker push registry.cn-hangzhou.aliyuncs.com/deepzz/eiblog +``` + +2、修改`build_docker.sh`文件中的`domain`为自己仓库地址。执行`./build_docker.sh`。 \ No newline at end of file diff --git a/conf/nginx/domain/deepzz.conf b/conf/nginx/domain/deepzz.conf index ba3dd8a..f4a0429 100644 --- a/conf/nginx/domain/deepzz.conf +++ b/conf/nginx/domain/deepzz.conf @@ -47,7 +47,7 @@ server { # https://imququ.com/post/why-can-not-turn-on-ocsp-stapling.html ssl_trusted_certificate /data/eiblog/conf/ssl/full_chained.pem; - resolver 114.114.114.114 valid=300s; + resolver 8.8.8.8 114.114.114.114 valid=300s; resolver_timeout 10s; access_log /data/eiblog/logdata/nginx.log;