11 章：部署上线 在这个教程的最后一章，我们将会把程序部署到互联网上，让网络中的其他所有人 都可以访问到。 Web 程序通常有两种部署方式：传统部署和云部署。传统部署指的是在使用物理主 机或虚拟主机上部署程序，你通常需要在一个 Linux 系统上完成所有的部署操作； 云部署则是使用其他公司提供的云平台，这些平台为你设置好了底层服务，包括 Web 服务器、数据库等等，你只需要上传代码并进行一些简单设置即可完成部署。

key 重启 Apache 服务使以上修改的配置生效： systemctl restart httpd.service 60 Web 服务器加固 在 URL 的根目录上启用 Zabbix 将虚拟主机添加到 Apache 配置，并将文档根目录的永久重定向设置为 Zabbix SSL URL。注意将 example.com 替换为服务器的实际名 称。 /etc/httpd/conf/httpd 前端不受协议降级攻击，我们建议在 Web 服务器上启用HSTS策略 例如，要在 Apache 配置中为您的 Zabbix 前端启用 HSTS 策略： /etc/httpd/conf/httpd.conf 将以下指令添加到虚拟主机的配置中： Header set Strict-Transport-Security "max-age=31536000" /status ping.path = /ping 2. 语法验证: $ php-fpm7 -t 3. 重新加载 php-fpm 服务. 4. 在 Nginx 配置文件 Server 配置块 (虚拟主机) 中, 添加 (带注 释的扩展样例参见模板的 Readme.md ): location ~ ^/(status\|ping)\$ { access_log off; fastcgi_param

Apache 服务使以上修改的配置生效： systemctl restart httpd.service Web server hardening 在 URL 的根目录上启用 Zabbix 将虚拟主机添加到 Apache 配置，并将文档根目录的永久重定向设置为 Zabbix SSL URL。不要忘记将 example.com 替换为服务器的实际 名称。 /etc/httpd/conf/httpd 前端不受协议降级攻击，我们建议在 Web 服务器上启用HSTS策略 例如，要在 Apache 配置中为您的 Zabbix 前端启用 HSTS 策略： /etc/httpd/conf/httpd.conf 将以下指令添加到虚拟主机的配置中： Header set Strict-Transport-Security "max-age=31536000" Apache 配置中为您的 Zabbix 前端启用 CSP，请编辑： /etc/httpd/conf/httpd.conf 例如，如果计划所有内容都来自站点的来源（不包括子域），则可以将以下指令添加到虚拟主机的配置中： Header set Content-Security-Policy "default-src 'self';" 585

-selfsigned.key 重启 Apache 服务使以上修改的配置生效： systemctl restart httpd.service 在 URL 的根目录上启用 Zabbix 将虚拟主机添加到 Apache 配置，并将文档根目录的永久重定向设置为 Zabbix SSL URL。不要忘记将 example.com 替换为服务器的实际 名称。 /etc/httpd/conf/httpd - VM are 服务的 URL 地址 uuid - VMware 虚拟机主 机名 vmware.vm.memory.size.private[,] VMware 虚拟主机 专用内存 大小 (字 节). 整型 url - VMw re 服务的 URL 地址 uuid - VMware 虚拟机主 机名 vmware.vm.memory.size.shared[

wrap_socket() function. 在客户端连接上，可选形参 server_hostname 指定所要连接的服务的主机名。这允许单个服务器托 管具有单独证书的多个基于 SSL 的服务，很类似于 HTTP 虚拟主机。如果 server_side 为真值则指定 server_hostname 将引发ValueError。 session，参见session。 在 3.5 版更改: 总是允许传送 server_hostname，即使 完成的，可以用ProxyHandler 对象获取到代理处理函数。 在 3.2 版更改: 增加了 cafile 与 capath。 在 3.2 版更改: 现在如果可行（指ssl.HAS_SNI 为真），支持 HTTPS 虚拟主机 3.2 新版功能: data 可以是一个可迭代对象。 在 3.3 版更改: 增加了 cadefault。 在 3.4.3 版更改: 增加了 context。 3.6 版后已移除: cafile 添加了 source_address, context 和 check_hostname。 在 3.2 版更改: 这个类目前会在可能的情况下（即如果ssl.HAS_SNI 为真值）支持 HTTPS 虚拟主机。 在 3.4 版更改: 删除了 strict 参数，不再支持 HTTP 0.9 风格的“简单响应”。 21.12. http.client —HTTP 协议客户端 1109 The Python

wrap_socket() function. 在客户端连接上，可选形参 server_hostname 指定所要连接的服务的主机名。这允许单个服务器托 管具有单独证书的多个基于 SSL 的服务，很类似于 HTTP 虚拟主机。如果 server_side 为真值则指定 server_hostname 将引发ValueError。 session，参见session。 在 3.5 版更改: 总是允许传送 server_hostname，即使 完成的，可以用ProxyHandler 对象获取到代理处理函数。 在 3.2 版更改: 增加了 cafile 与 capath。 在 3.2 版更改: 现在如果可行（指ssl.HAS_SNI 为真），支持 HTTPS 虚拟主机 3.2 新版功能: data 可以是一个可迭代对象。 在 3.3 版更改: 增加了 cadefault。 在 3.4.3 版更改: 增加了 context。 3.6 版后已移除: cafile 添加了 source_address, context 和 check_hostname。 在 3.2 版更改: 这个类目前会在可能的情况下（即如果ssl.HAS_SNI 为真值）支持 HTTPS 虚拟主机。 在 3.4 版更改: 删除了 strict 参数，不再支持 HTTP 0.9 风格的“简单响应”。 21.12. http.client —HTTP 协议客户端 1109 The Python

行。此方法可能会引发SSLError。 在客户端连接上，可选形参 server_hostname 指定所要连接的服务的主机名。这允许单个服务器托 管具有单独证书的多个基于 SSL 的服务，很类似于 HTTP 虚拟主机。如果 server_side 为真值则指定 server_hostname 将引发ValueError。 形参 do_handshake_on_connect 指明是否要在调用 socket.connect() 完成的，可以用ProxyHandler 对象获取到代理处理函数。 在 3.2 版更改: 增加了 cafile 与 capath。 在 3.2 版更改: 现在如果可行（指ssl.HAS_SNI 为真），支持 HTTPS 虚拟主机 3.2 新版功能: data 可以是一个可迭代对象。 在 3.3 版更改: 增加了 cadefault。 在 3.4.3 版更改: 增加了 context。 3.6 版后已移除: cafile 添加了 source_address, context 和 check_hostname。 在 3.2 版更改: 这个类目前会在可能的情况下（即如果ssl.HAS_SNI 为真值）支持 HTTPS 虚拟主机。 在 3.4 版更改: 删除了 strict 参数，不再支持 HTTP 0.9 风格的“简单响应”。 在 3.4.3 版更改: 目前这个类在默认情况下会执行所有必要的证书和主机检查。要回复到先前的非验证

行。此方法可能会引发SSLError。 在客户端连接上，可选形参 server_hostname 指定所要连接的服务的主机名。这允许单个服务器托 管具有单独证书的多个基于 SSL 的服务，很类似于 HTTP 虚拟主机。如果 server_side 为真值则指定 server_hostname 将引发ValueError。 形参 do_handshake_on_connect 指明是否要在调用 socket.connect() 、method 均取自 请求对象。 在 3.2 版更改: 增加了 cafile 与 capath。 在 3.2 版更改: 只要条件允许（指ssl.HAS_SNI 为真），现在能够支持 HTTPS 虚拟主机。 3.2 新版功能: data 可以是一个可迭代对象。 在 3.3 版更改: 增加了 cadefault。 在 3.4.3 版更改: 增加了 context。 3.6 版后已移除: cafile 添加了 source_address, context 和 check_hostname。 在 3.2 版更改: 这个类目前会在可能的情况下（即如果ssl.HAS_SNI 为真值）支持 HTTPS 虚拟主机。 在 3.4 版更改: 删除了 strict 参数，不再支持 HTTP 0.9 风格的“简单响应”。 在 3.4.3 版更改: 目前这个类在默认情况下会执行所有必要的证书和主机检查。要回复到先前的非验证

行。此方法可能会引发SSLError。 在客户端连接上，可选形参 server_hostname 指定所要连接的服务的主机名。这允许单个服务器托 管具有单独证书的多个基于 SSL 的服务，很类似于 HTTP 虚拟主机。如果 server_side 为真值则指定 server_hostname 将引发ValueError。 形参 do_handshake_on_connect 指明是否要在调用 socket.connect() 、method 均取自 请求对象。 在 3.2 版更改: 增加了 cafile 与 capath。 在 3.2 版更改: 只要条件允许（指ssl.HAS_SNI 为真），现在能够支持 HTTPS 虚拟主机。 3.2 新版功能: data 可以是一个可迭代对象。 在 3.3 版更改: 增加了 cadefault。 在 3.4.3 版更改: 增加了 context。 在 3.10 版更改: 当未给出 添加了 source_address, context 和 check_hostname。 在 3.2 版更改: 这个类目前会在可能的情况下（即如果ssl.HAS_SNI 为真值）支持 HTTPS 虚拟主机。 在 3.4 版更改: 删除了 strict 参数，不再支持 HTTP 0.9 风格的“简单响应”。 在 3.4.3 版更改: 目前这个类在默认情况下会执行所有必要的证书和主机检查。要回复到先前的非验证

行。此方法可能会引发SSLError。 在客户端连接上，可选形参 server_hostname 指定所要连接的服务的主机名。这允许单个服务器托 管具有单独证书的多个基于 SSL 的服务，很类似于 HTTP 虚拟主机。如果 server_side 为真值则指定 server_hostname 将引发ValueError。 形参 do_handshake_on_connect 指明是否要在调用 socket.connect() 、method 均取自 请求对象。 在 3.2 版更改: 增加了 cafile 与 capath。 在 3.2 版更改: 只要条件允许（指ssl.HAS_SNI 为真），现在能够支持 HTTPS 虚拟主机。 3.2 新版功能: data 可以是一个可迭代对象。 在 3.3 版更改: 增加了 cadefault。 在 3.4.3 版更改: 增加了 context。 3.6 版后已移除: cafile 添加了 source_address, context 和 check_hostname。 在 3.2 版更改: 这个类目前会在可能的情况下（即如果ssl.HAS_SNI 为真值）支持 HTTPS 虚拟主机。 在 3.4 版更改: 删除了 strict 参数，不再支持 HTTP 0.9 风格的“简单响应”。 在 3.4.3 版更改: 目前这个类在默认情况下会执行所有必要的证书和主机检查。要回复到先前的非验证