原本以为是网络问题，没大留意。但频繁出现数次，还居然一直持续。

在Cacti中查看，网卡占用居然达到机房百兆宽带的所有，12m/s

查看网卡的实时流量，得到了相同结果。

而且 CPU 也有点不正常，用 Top 命令查看，占用最高的是 Httpd 进程。即 Apache

原以为是受到了页面攻击，但这样在进程里头出现的，还应该有 Nginx 跟 Mysql 才对。

不会就这么孤独地只有 Apache。

正在我继续查找原因，攻击停下来了，网卡流量恢复正常。

查看了所有的 WEB 访问日志，无一是有能够解释到该现状的记录。

因为如果是 页面攻击，就好比是压力测试般，肯定会有某个或几个地址有重复不断的垃圾请求。

但日志上显示得相当悠然。

好了，没过多久，流量又来了！httpd 进程把 2个 cpu核心占用到 100%

网卡冲到 12m/s

使用网络命令 netstat -ant 查看，没有 DDOS 之类攻击所产生的 wait 。

而且链接IP还越来越少，这时候从本地 Ping 服务器的响应基本上是 timeout 了

一但把 Apache 停下来，流量就会消失。再次启动！没过多久又会再来。

为了知道到底是哪个 IP 令我产生这样的事，我安装了既时流量检测工具 iftop

iftop介绍详见：http://www.oschina.net/p/iftop

经检测，传输量最大的 IP 是 60.219.100.3 这个IP，直接访问能打开到网站。

使用 IPtables 命令禁止该IP访问本机！！无效，流量继续！

哟？？？？！！ 再次使用 IPtables 命令禁止本机访问该IP ！！！这下流量终于停了。

哟！！这事情就明白多了，绝对能断点我的服务器成为了肉鸡，受到操控对特定目标进行了攻击。

而进行攻击的木马，不是啥米东西，而是 PHP 程序！

应该是在服务器里头某个虚拟主机网站有漏洞，被放入了 PHP DDOS 攻击木马！

然而，剩下的问题就更加复杂了，如何在海量文件的目录里头找到那个木马？

希望是有一个杀毒程序能帮我扫描到….但我还没能找到这个，如果网友们有的不妨推荐推荐。

我的思路是，开启 Apache 的 Server Status。 这家伙能实时查看到 Apache 正在执行那个程序。

而且详细到执行时间，输出数据量等等…

详细可见：http://www.oschina.net/bbs/thread/12650

好了！这下我就可以坐着等兔子再次跑上门来！

还有一个方法，就是把 PHP safe_mod 打开，能禁用掉一些例如 调用 系统 Shell 参数的语法。

来导致木马无法执行。可以我倒还真想把这兔子抓住，所以现在在等待中…

####################

2010-11-9 更新

####################

PHP safe_mod 不能随意打开！期中一个副作用就是导致 Cacti 无法调用 rrdtools 等参数。

就算设置了例外目录也无效！

最后我在 Apache，PHP 上都配置了 php_admin_value open_basedir 选项。

使得虚拟主机的用户无法越权访问到所属目录外的文件，当然也包括 shell 命令了。

但无效，黑客依然能利用暗藏在目录里头的肉鸡程序发动攻击。

虽然攻击事件在凌晨或者早上！！虽然我没在电脑旁！！

但我使用了 curl 对 ApacheStatus 页面的定时抓取作为了日志！！

与 Cacti 配合，一发现高流量！就追索该时间的日志！！

哈哈！这下子被逮个正着！！！！！

以下是 ApacheStatus 的截图，Req 项特别高的！就是 PHP肉鸡程序送发送的  UDP 攻击数据包。

在此也顺便公布攻击来源，辽宁省盘锦市 联通 119.115.80.102 但也有可能是一台跳板肉鸡。

至此，我服务器上存在漏洞的网站被暂时关闭了，经查看文件修改日期，黑客还放了不少后门程序。

看了得好好清除清除才能再次上线了。

而抓到的肉鸡！用 VI 打开，居然是使用 Zend 加密的！！

有没朋友对加密这东西有办法解决的，短信我，我给你发去研究研究。

1，Nginx 的 GZIP 配置

2，Apache 的 mod_deflate.so  模块

3，各种 PHP 程序中通过 PHP自身 实现压缩。

等等…

期中使用 PHP 自身也有2种实现方法，一种是开启zlib.output_compression，一种是 ob_gzhandler编码

在默认情况下，zlib.output_compression是关闭的，如需开启需编辑php.ini文件，找到以下选项并开启：

zlib.output_compression = On
zlib.output_compression_level = 6

完成后可以通过phpinfo()函数检测结果，当zlib.output_compression的Local Value和MasterValue的值同为On时，表示已经生效，这时候访问的PHP页面（包括伪静态页面）已经GZIP压缩了，通过Firebug或者在线网页GZIP压缩检测工具可检测到压缩的效果。

但如果需要使用ob_gzhandler(默认)，则需关闭zlib.output_compression(2个同时开启会出乱子)，把php.ini文件内容更改为：

zlib.output_compression = Off
zlib.output_compression_level = -1

ob_gzhandler是多数程序(discuz,phpwind等)推荐的用法

前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到的问题，以及如何通过应用程序漏洞突破系统，这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写cgi脚本的时候我们的确一定注意各种安全问题，对用户输入进行严格的过滤，但是常在岸边走哪有不湿鞋，吃烧饼哪有不掉芝麻，人有失蹄马有失手，连著名的phpnuke、phpMyAdmin等程序都出现过很严重的问题，更何况象我等小混混写的脚本。所以现在我们假设php脚本已经出现严重问题，比如象前一阵子 phpnuke的可以上传php脚本的大问题了，我们如何通过对服务器的配置使脚本出现如此问题也不能突破系统。

1、编译的时候注意补上已知的漏洞

从4.0.5开始，php的mail函数加入了第五个参数，但它没有好好过滤，使得php应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源码包里ext/standard/mail.c文件，禁止mail函数的第五参数或过滤shell字符。在mail.c文件的第152行，也就是下面这行：

if (extra_cmd != NULL) {

后面加上extra_cmd=NULL;或extra_cmd = php_escape_shell_cmd(extra_cmd);然后编译php那么我们就修补了这个漏洞。

2、修改php.ini配置文件

以php发行版的php.ini-dist为蓝本进行修改。

1)Error handling and logging

在Error handling and logging部分可以做一些设定。先找到：

display_errors = On

php缺省是打开错误信息显示的，我们把它改为：

display_errors = Off

关闭错误显示后，php函数执行错误的信息将不会再显示给用户，这样能在一定程度上防止攻击者从错误信息得知脚本的物理位置，以及一些其它有用的信息，起码给攻击者的黑箱检测造成一定的障碍。这些错误信息可能对我们自己有用，可以让它写到指定文件中去，那么修改以下：

log_errors = Off

改为：

log_errors = On

以及指定文件，找到下面这行：

;error_log = filename

去掉前面的;注释，把filename改为指定文件，如/usr/local/apache/logs/php_error.log

error_log = /usr/local/apache/logs/php_error.log

这样所有的错误都会写到php_error.log文件里。

2)Safe Mode

php的safe_mode功能对很多函数进行了限制或禁用了，能在很大程度解决php的安全问题。在Safe Mode部分找到：

safe_mode = Off

改为：

safe_mode = On

这样就打开了safe_mode功能。象一些能执行系统命令的函数shell_exec()和“被禁止，其它的一些执行函数如：exec(), system(), passthru(), popen()将被限制只能执行safe_mode_exec_dir指定目录下的程序。如果你实在是要执行一些命令或程序，找到以下：

safe_mode_exec_dir =

指定要执行的程序的路径，如：

safe_mode_exec_dir = /usr/local/php/exec

然后把要用的程序拷到/usr/local/php/exec目录下，这样，象上面的被限制的函数还能执行该目录里的程序。

关于安全模式下受限函数的详细信息请查看php主站的说明：

http://www.php.net/manual/en/features.safe-mode.php ;

3)disable_functions

如果你对一些函数的危害性不太清楚，而且也没有使用，索性把这些函数禁止了。找到下面这行：

disable_functions =

在”=“后面加上要禁止的函数，多个函数用”,“隔开。

3、修改httpd.conf

如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

<Directory /usr/local/apache/htdocs>

php_admin_value open_basedir /usr/local/apache/htdocs

</Directory>

这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：

Warning: open_basedir restriction in effect. File is in wrong directory in

/usr/local/apache/htdocs/open.php on line 4 等等。

4、对php代码进行编译

Zend对php的贡献很大，php4的引擎就是用Zend的，而且它还开发了ZendOptimizer和ZendEncode等许多php的加强组件。优化器ZendOptimizer只需http://www.zend.com注册就可以免费得到，下面几个是用于4.0.5和4.0.6的ZendOptimizer，文件名分别对于各自的系统：

ZendOptimizer-1.1.0-PHP_4.0.5-FreeBSD4.0-i386.tar.gz

ZendOptimizer-1.1.0-PHP_4.0.5-Linux_glibc21-i386.tar.gz

ZendOptimizer-1.1.0-PHP_4.0.5-Solaris-sparc.tar.gz

ZendOptimizer-1.1.0-PHP_4.0.5-Windows-i386.zip

优化器的安装非常方便，包里面都有详细的说明。以UNIX版本的为例，看清操作系统，把包里的ZendOptimizer.so文件解压到一个目录，假设是/usr/local/lib下，在php.ini里加上两句：

zend_optimizer.optimization_level=15

zend_extension=”/usr/local/lib/ZendOptimizer.so” 就可以了。用phpinfo()看到Zend图标左边有下面文字：

with Zend Optimizer v1.1.0, Copyright (c) 1998-2000, by Zend Technologies

那么，优化器已经挂接成功了。

但是编译器ZendEncode并不是免费的，这里提供给大家一http://www.PHPease.com的马勇设计的 编译器外壳，如果用于商业目的，请http://www.zend.com联系取得许可协议。

php脚本编译后，脚本的执行速度增加不少，脚本文件只能看到一堆乱码，这将阻止攻击者进一步分析服

务器上的脚本程序，而且原先在php脚本里以明文存储的口令也得到了保密，如mysql的口令。不过在服务器端改脚本就比较麻烦了，还是本地改好再上传吧。

5、文件及目录的权限设置

web目录里除了上传目录，其它的目录和文件的权限一定不能让nobody用户有写权限。否则，攻击者可以修改主页文件，所以web目录的权限一定要设置好。

还有，php脚本的属主千万不能是root，因为safe_mode下读文件的函数被限制成被读文件的属主必须和当前执行脚本的属主是一样才能被读，否则如果错误显示打开的话会显示诸如以下的错误：

Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not

allowed to access /etc/passwd owned by uid 0 in /usr/local/apache/htdocs/open.php

on line 3

这样我们能防止许多系统文件被读，比如：/etc/passwd等。

上传目录和上传脚本的属主也要设成一样，否则会出现错误的，在safe_mode下这些要注意。

6、mysql的启动权限设置

mysql要注意的是不要用root来启动，最好另外建一个mysqladm用户。可以在/etc/rc.local等系统启动脚本里加上一句：

su mysqladm -c “/usr/local/mysql/share/mysql/mysql.server start”

这样系统重启后，也会自动用mysqladmin用户启动mysql进程。

7、日志文件及上传目录的审核及

查看日志和人的惰性有很大关系，要从那么大的日志文件里查找攻击痕迹有些大海捞针，而且也未必有。

web上传的目录里的文件，也应该经常检查，也许程序有问题，用户传上了一些非法的文件，比如执行脚本等。

8、操作系统自身的补丁

一样，给系统打已知漏洞的补丁是系统管理员最基本的职责，这也是最后一道防线。

经过以上的配置，虽然说不上固若金汤，但是也在相当程度上给攻击者的测试造成很多麻烦，即使php脚本程序出现比较严重的漏洞，攻击者也无法造成实际性的破坏。

如果您还有更古怪，更变态的配置方法，希望能一起分享分享；）

顾名思义，MySQL Query Cache 就是用来缓存和 Query 相关的数据的。具体来说，Query Cache 缓存了我们客户端提交给 MySQL 的 SELECT 语句以及该语句的结果集。大概来讲，就是将 SELECT 语句和语句的结果做了一个 HASH 映射关系然后保存在一定的内存区域中。

在大部分的 MySQL 分发版本中，Query Cache 功能默认都是打开的，我们可以通过调整 MySQL Server 的参数选项打开该功能。主要由以下5个参数构成：

• query_cache_limit：允许 Cache 的单条 Query 结果集的最大容量，默认是1MB，超过此参数设置的 Query 结果集将不会被 Cache
• query_cache_min_res_unit：设置 Query Cache 中每次分配内存的最小空间大小，也就是每个 Query 的 Cache 最小占用的内存空间大小
• query_cache_size：设置 Query Cache 所使用的内存大小，默认值为0，大小必须是1024的整数倍，如果不是整数倍，MySQL 会自动调整降低最小量以达到1024的倍数
• query_cache_type：控制 Query Cache 功能的开关，可以设置为0(OFF),1(ON)和2(DEMAND)三种，意义分别如下：
  • 0(OFF)：关闭 Query Cache 功能，任何情况下都不会使用 Query Cache
  • 1(ON)：开启 Query Cache 功能，但是当 SELECT 语句中使用的 SQL_NO_CACHE 提示后，将不使用Query Cache
  • 2(DEMAND)：开启 Query Cache 功能，但是只有当 SELECT 语句中使用了 SQL_CACHE 提示后，才使用 Query Cache
• query_cache_wlock_invalidate：控制当有写锁定发生在表上的时刻是否先失效该表相关的 Query Cache，如果设置为 1(TRUE)，则在写锁定的同时将失效该表相关的所有 Query Cache，如果设置为0(FALSE)则在锁定时刻仍然允许读取该表相关的 Query Cache。

Query Cache 如何处理子查询的？
这是我遇到的最为常见的一个问题。其实 Query Cache 是以客户端请求提交的 Query 为对象来处理的，只要客户端请求的是一个 Query，无论这个 Query 是一个简单的单表查询还是多表 Join，亦或者是带有子查询的复杂 SQL，都被当作成一个 Query，不会被分拆成多个 Query 来进行 Cache。所以，存在子查询的复杂 Query 也只会产生一个Cache对象，子查询不会产生单独的Cache内容。UNION[ALL] 类型的语句也同样如此。

Query Cache 是以 block 的方式存储的数据块吗？
不是，Query Cache 中缓存的内容仅仅只包含该 Query 所需要的结果数据，是结果集。当然，并不仅仅只是结果数据，还包含与该结果相关的其他信息，比如产生该 Cache 的客户端连接的字符集，数据的字符集，客户端连接的 Default Database等。

Query Cache 为什么效率会非常高，即使所有数据都可以 Cache 进内存的情况下，有些时候也不如使用 Query Cache 的效率高？
Query Cache 的查找，是在 MySQL 接受到客户端请求后在对 Query 进行权限验证之后，SQL 解析之前。也就是说，当 MySQL 接受到客户端的SQL后，仅仅只需要对其进行相应的权限验证后就会通过 Query Cache 来查找结果，甚至都不需要经过 Optimizer 模块进行执行计划的分析优化，更不许要发生任何存储引擎的交互，减少了大量的磁盘 IO 和 CPU 运算，所以效率非常高。

客户端提交的 SQL 语句大小写对 Query Cache 有影响吗？
有，由于 Query Cache 在内存中是以 HASH 结构来进行映射，HASH 算法基础就是组成 SQL 语句的字符，所以必须要整个 SQL 语句在字符级别完全一致，才能在 Query Cache 中命中，即使多一个空格也不行。

一个 SQL 语句在 Query Cache 中的内容，在什么情况下会失效？
为了保证 Query Cache 中的内容与是实际数据绝对一致，当表中的数据有任何变化，包括新增，修改，删除等，都会使所有引用到该表的 SQL 的 Query Cache 失效。

为什么我的系统在开启了 Query Cache 之后整体性能反而下降了？
当开启了 Query Cache 之后，尤其是当我们的 query_cache_type 参数设置为 1 以后，MySQL 会对每个 SELECT 语句都进行 Query Cache 查找，查找操作虽然比较简单，但仍然也是要消耗一些 CPU 运算资源的。而由于 Query Cache 的失效机制的特性，可能由于表上的数据变化比较频繁，大量的 Query Cache 频繁的被失效，所以 Query Cache 的命中率就可能比较低下。所以有些场景下，Query Cache 不仅不能提高效率，反而可能造成负面影响。

如何确认一个系统的 Query Cache 的运行是否健康，命中率如何，设置量是否足够？
MySQL 提供了一系列的 Global Status 来记录 Query Cache 的当前状态，具体如下：

mysql> SHOW VARIABLES LIKE ‘%query_cache%’;

• Qcache_free_blocks：目前还处于空闲状态的 Query Cache 中内存 Block 数目
• Qcache_free_memory：目前还处于空闲状态的 Query Cache 内存总量
• Qcache_hits：Query Cache 命中次数
• Qcache_inserts：向 Query Cache 中插入新的 Query Cache 的次数，也就是没有命中的次数
• Qcache_lowmem_prunes：当 Query Cache 内存容量不够，需要从中删除老的 Query Cache 以给新的 Cache 对象使用的次数
• Qcache_not_cached：没有被 Cache 的 SQL 数，包括无法被 Cache 的 SQL 以及由于 query_cache_type 设置的不会被 Cache 的 SQL
• Qcache_queries_in_cache：目前在 Query Cache 中的 SQL 数量
• Qcache_total_blocks：Query Cache 中总的 Block 数量

可以根据这几个状态计算出 Cache 命中率，计算出 Query Cache 大小设置是否足够，总的来说，我个人不建议将 Query Cache 的大小设置超过256MB，这也是业界比较常用的做法。

MySQL Cluster 是否可以使用 Query Cache？
其实在我们的生产环境中也没有使用 MySQL Cluster，所以我也没有在 MySQL Cluster 环境中使用 Query Cache 的实际经验，只是 MySQL 文档中说明确实可以在 MySQL Cluster 中使用 Query Cache。从 MySQL Cluster 的原理来分析，也觉得应该可以使用，毕竟 SQL 节点和数据节点比较独立，各司其职，只是 Cache 的失效机制会要稍微复杂一点。

eaccelerator.cache_dir=”/home/php/tmp”
这个目录是给磁盘缓存使用. eAccelerator 在这里储存预先编译好的代码, 进程数据, 内容以及用户的自定义内容. 同样的数据也能被储存在共享内存中 (这样可以提高访问速度). 默认的设置是 “/tmp/eaccelerator”.

eaccelerator.enable=”1″
开启或关闭 eAccelerator。”1″ 为开启，”0″ 为关闭。默认值为 “1″。

eaccelerator.optimizer=”1″
启或关闭内部优化器，可以提升代码执行速度。”1″ 为开启，”0″ 为关闭。默认值为 “1″。

eaccelerator.check_mtime=”1″
打开或者关闭 PHP 的文件修改检查. “1″ 是指打开, “0″ 是指关闭. 如果您在修改以后重新编译 PHP 的文件,那么您应当设置为 “1″. 默认值是 “1″.

eaccelerator.debug=”0″
开启或关闭调试日志记录。”1″ 为开启，”0″ 为关闭。默认值为 “0″。会将缓存命中得记录写入日志。

eaccelerator.filter=”"
判断哪些 PHP 文件必须缓存。您可以指定缓存和不缓存的文件类型（如 “*.php *.phtml”等）
如果参数以 “!” 开头，则匹配这些参数的文件被忽略缓存。默认值为 “”，即，所有 PHP 文件都将被缓存。

eaccelerator.shm_max=”0″
当使用 ” eaccelerator_put() ” 函数时禁止其向共享内存中存储过大的文件。该参数指定允许存储的最大值，单位：字节 (10240, 10K, 1M)。”0″ 为不限制。默认值为 “0″。

eaccelerator.shm_ttl=”0″
当 eAccelerator 获取新脚本的共享内存大小失败时，它将从共享内存中删除所有在最后 “shm_ttl” 秒内没有存取的脚本缓存。默认值为 “0″，即：不从共享内春中删除任何缓存文件。

eaccelerator.shm_prune_period=”0″
当 eAccelerator 获取新脚本的共享内存大小失败时，他将试图从共享内存中删除早于”shm_prune_period” 秒的缓存脚本。默认值为 “0″，即：不从共享内春中删除任何缓存文件。

eaccelerator.shm_only=”0″
允许或禁止将已编译脚本缓存在磁盘上。该选项对 session 数据和内容缓存无效。默认值为 “0″，即：使用磁盘和共享内存进行缓存。

eaccelerator.compress=”1″
允许或禁止压缩内容缓存。默认值为 “1″，即：允许压缩。

eaccelerator.compress_level=”9″
指定内容缓存的压缩等级。默认值为 “9″，为最高等级。

eaccelerator.keys = “disk_only”
eaccelerator.session = “disk_only”
eaccelerator.content = “disk_only”
设置内容缓存的存放的地方，可以设置为：
shm_and_disk 在共享缓存和硬盘(默认值)
shm 默认存在共享内存，如果共享内存已满或大小超过 “eaccelerator.shm_max” 的值，就存到硬盘
shm_only 只存放在共享内存
disk_only 只存放在硬盘
none 不缓存数据

eaccelerator.allowed_admin_path = “/var/www/html/21andy.com/eaccelerator”
这是控制面板的地址
安装包里有个control.php，你把它复制到网站的任意目录，可以用它查看和管理，这个必须指定，否则查看缓存内容的时候会出错

最后，来看一下我的 eAccelerator 设置

; eaccelerator
[eaccelerator]
zend_extension=”/usr/local/php/lib/php/extensions/no-debug-non-zts-20060613/eaccelerator.so”
eaccelerator.shm_size=”128″
eaccelerator.cache_dir=”/tmp/eaccelerator”
eaccelerator.enable=”1″
eaccelerator.optimizer=”1″
eaccelerator.check_mtime=”1″
eaccelerator.debug=”0″
eaccelerator.filter=”"
eaccelerator.shm_max=”0″
eaccelerator.shm_ttl=”3600″
eaccelerator.shm_prune_period=”3600″
eaccelerator.shm_only=”0″
eaccelerator.compress=”1″
eaccelerator.compress_level=”9″
eaccelerator.keys = “disk_only”
eaccelerator.sessions = “disk_only”
eaccelerator.content = “disk_only”
eaccelerator.allowed_admin_path = “/var/www/html/21andy.com/eaccelerator”

另外，再说下 eAccelerator 的安装

# wget http://bart.eaccelerator.net/source/0.9.6/eaccelerator-0.9.6.tar.bz2
# tar -jxvf eaccelerator-0.9.6.tar.bz2
# cd eaccelerator-0.9.6
# /usr/local/php/bin/phpize
# ./configure –enable-eaccelerator=shared –with-php-config=/usr/local/php/bin/php-config
# make && make install

新配了一台服务器，全新 RedHat 5.4 X64 的OS ，Intel 5500系列的CPU
Apache 2.2.14  + PHP 5.2.6 + Zend 3.3.x + eaccelerator 0.9.4

每到了一段时间，八核CPU就会有2核 始终恒定在 100% 占用进程是 httpd 即 apache
由于还有其他6核的资源，所以访问没有任何影响。
找了好久原因，一度怀疑是 mod_mpm 的问题，调整了无数次参数。
后来由于流量越来越高，出现的频率越来越频繁，差不多2天就又变成这样了。
查看 error_log 看到不断有提示：

child pid ***** exit signal Segmentation fault (11)
child pid ***** exit signal Segmentation fault (11)
child pid ***** exit signal Segmentation fault (11)

重启 Apache 的时候还更会一堆过来。
好不容易找到原因，原来是因为 PHP 加速器 eaccelerator 0.9.4 跟 As5.4 X64 内核的兼容有问题。
之前在 As5.3 X64 上是完全正常的

于是下载了最新的 eaccelerator V0.9.6
重新编译 eaccelerator 升级覆盖，问题解决！

级别： 初级

范 绰耘 (qbanke@163.com), 系统管理员, 广州市摩网信息技术有限公司

2009 年 4 月 30 日

本文主要介绍说明用于支持 Cacti 运作的 PHP+RRDtool 环境的详细配置方法。使其能集中式监控多台，不同平台类型的服务器。以及支持 SNMP 网络设备运作状态。前言

Cacti 功能类似于我们所熟悉的 MRTG 。 MRTG 确实是非常好的老牌系统监控工具，但由于他历史实在很久了，使得许多功能以及配置等方面都比较落后。实现得比较费劲，管理起来很麻烦。比如我有几百个被监测点，分布在不同的机房，而且我需要将这些服务器和网络设备分类，这样的话我就要将这些被监测点放在不同的 mrtg 配置文件中，运行多个 crontab，而且还要自己写了一些 html 页面对其进行管理。

Cacti 其实是一套 php 程序，一个 rrdtool 工具。它运用 snmpget 采集数据，使用 rrdtool 绘图。界面非常漂亮，它提供了强大的数据管理和用户管理功能，一张图是属于一个 host 的，每一个 host 又可以挂载到一个树状的结构上。

用户的管理上，作为一个开源软件，它做到为指定一个用户能查看的“树”、host、甚至每一张图，还可以与 LDAP 结合进行用户的验证。 Cacti 还提供自己增加模板的功能，让你添加自己的 snmp_query 和 script 。功能相当强大！

本文前半部分是教程，主要介绍了 Cacti 以及其 PHP 运行环境的安装配置。后半部分将实际举例如何使用 Cacti 监控诸如 Linux，Windows 。以及支持 SNMP 管理协议的路由器等网络设备。

 Cacit 运行环境需要 PHP + Mysql + rrdtool 以及 snmp 工具的支持。

下边是本次配置需要用到的软件。

Catci:

1. cacti-0.8.6j.tar.gz
2. rrdtool-1.2.27.tar
3. net-snmp-5.0.9-2.30E.15
4. net-snmp-devel-5.0.9-2.30E.15
5. net-snmp-libs-5.0.9-2.30E.15
6. net-snmp-utils-5.0.9-2.30E.15

PHP:

1. php-5.2.6.tar.gz
2. curl-7.15.0.tar.gz
3. freetype-2.1.9.tar.gz
4. gettext-0.16.1.tar.gz
5. gd-2.0.35.tar.gz
6. jpegsrc.v6b.tar.gz
7. libart_lgpl-2.3.17.tar.gz
8. libpng-1.2.18.tar.gz
9. libxml2-2.6.32.tar.gz
10. ZendOptimizer-3.3.0a-linux-glibc21-i386.tar.gz
11. zlib-1.2.3.tar.gz
12. libxml2-2.6.32.tar.gz

Apache：

httpd-2.2.6.tar.gz

Mysql:

mysql-5.1.24-rc.tar.gz

开始构建完整的 PHP 运行的环境，我们以全新安装的 RedHatAs4 updata4 操作系统环境为例。

首先编译安装Apache httpd server

1. # tar zxvf httpd-2.2.6.tar.gz
2. # cd httpd-2.2.6
3. # ./configure –prefix=/usr/local/apache26 –enable-module=so –with-mpm=worker –enable-module=rewrite
4. # make && make install

第二步安装 PHP+GD 等所需的支持插件

编译安装libxml

1. # tar zxvf libxml2-2.6.32.tar.gz
2. # cd libxml2-2.6.32.tar.gz
3. # ./configure –prefix=/usr/local/libxml2/
4. # make && make install

编译安装zlib

1. # tar zxvf zlib-1.2.3.tar.gz
2. # cd zlib-1.2.3
3. #./configure –prefix=/usr/local/zlib2/
4. # make && make install

编译安装jpeg支持

1. # tar -zxf jpegsrc.v6b.tar.gz
2. # cd jpeg-6b/
3. # ./configure –prefix=/usr/local/jpeg6
4. # make
5. # make install-lib
6. # make install

( 该版本的 jpeg 在实际安装过程中，make install 的时候会出现好几个找不到目录，或目录不存在的 error 。只需按照提示人手创建缺失目录，然后再令其 make install 直到无任何错误提示且顺利完成为止。 )

编译安装 libpng

1. # tar zxvf libpng-1.2.18.tar.gz
2. # cd libpng-1.2.18.tar.gz
3. #cp scripts/makefile.gcmmx makefile
4. #./configure –disable-shared –prefix=/usr/local/libpng2/
5. # make && make install

编译安装 freetype

1. # tar zxvf freetype-2.1.9.tar.gz
2. # cd freetype-2.1.9
3. #./configure –disable-shared –prefix=/usr/local/freetype2/
4. # make && make install

编译安装 libart_lgpl

1. # tar zxvf libart_lgpl-2.3.17.tar.gz
2. # cd ibart_lgpl-2.3.17
3. #./configure –disable-shared –prefix=/usr/local/libart/
4. # make && make install

编译安装 gettext

1. # tar zxvf gettext-0.16.1.tar.gz
2. # cd gettext-0.16.1
3. # ./configure –prefix=/usr/local/gettext/
4. # make && make install

编译安装 gd 库 :

1. # tar zxvf gd-2.0.35.tar.gz
2. # cd gd-2.0.35
3. # ./configure –prefix=/usr/local/gd2 –with-zlib=/usr/local/zlib2/ –with-png=/usr/local/libpng2/ –with-jpeg=/usr/local/jpeg6/ –with-freetype=/usr/local/freetype2/ –with-libart=/usr/local/libart/ –with-gettext=/usr/local/gettext/ –with-libxml=/usr/local/libxml2
4. # make && make install

编译安装 Curl 支持

1. # tar zxvf curl-7.15.0.tar.gz
2. # cd curl-7.15.0
3. # ./configure –prefix=/usr/local/curl
4. # make && make install

编译安装 PHP

1. # tar zxvf php-5.2.6.tar.gz
2. # cd php-5.2.6
3. # ./configure –prefix=/usr/local/php –with-apxs2=/usr/local/apache26/bin/apxs –with-jpeg-dir=/usr/local/jpeg6/ –with-png-dir=/usr/local/libpng2/ –with-gd=/usr/local/gd2/ –with-freetype-dir=/usr/local/freetype2/ –with-zlib-dir=/usr/local/zlib2/ –with-mysql=/usr/local/mysql –with-curl=/usr/local/curl –with-gettext=/usr/local/gettext
4. # make && make install
5. # cp php.ini-dist /usr/local/php/lib/php.ini ( 拷贝 PHP 配置文件至安装目录 )
6. # vi /usr/local/apach26/conf/httpd.conf ( 修改 apache 配置文件并加载 PHP 支持 )

要改的有如下几处

1. 一般都在 #AddType application/x-tar .tgz 下加一行 :
   #LoadModule php5_module modules/libphp5.so    AddType application/x-httpd-php .php
2. 如果你搜索其它地方没有以下这行 :
   LoadModule php5_module modules/libphp5.so

请把上面的 # 号去掉，还有找到
DirectoryIndex index.html index.html.var
在后面加 index.php 让它把 index.php 做为默认页

1. 保存 httpd.conf 文件 .
   启动 apache
   # /usr/local/apache2/bin/apachectl start
   如果没有出错 , 写一个测试页放到你网页目录下 . 访问就应该可以看到 php 的版本等信息了 !

用 ZendOptimizer 加速 PHP

1. #tar zxvf ZendOptimizer-2.5.3-linux-glibc21-i386.tar.gz
2. #cd ZendOptimizer-2.5.3-linux-glibc21-i386
3. #./install.sh

安装的时候注意输入正确的安装 apache 的路径等内容 !
安装完毕 , 再看看 phpinfo 页面的 zend 选项就发现了 !!

 安装MYSQL
# groupadd mysql   
# useradd -g mysql mysql   
# tar zxvf mysql-5.1.24-rc.tar.gz   
# cd mysql-5.1.24-rc   
# ./configure –prefix=/usr/local/mysql    –localstatedir=/data/mysql ( 指定数据文件目录 )    –without-innodb –without-debug –with-extra-charsets=gbk    –with-extra-charsets=all –enable-assembler –with-pthread    –enable-thread-safe-client  –with-client-ldflags=-all-static   
# make && make install     
# cp ./support-files/mysql.server /etc/init.d/mysql ( 复制 Mysql 启动服务至系统 )    # chmod 777 /etc/init.d/mysql ( 赐予可执行权限 )    # chown mysql:mysql /data/mysql  ( 设置数据文件目录属性 )

设置数据文件目录属性这一步相当重要，许多朋友第一次使用 tar 包安装 Mysql 的时候就因该目录权限问题导致 Mysql 无法启动。相当头大 . 

# /usr/local/mysql/bin/mysql_install_db 	 ( 初始化数据库 )
# service mysql start 				 ( 启动 Mysql)
# /usr/local/mysql/bin/mysqladmin -u root -p password 'xxxxx' ( 设置管理员密码 xxx 默认值为空 )

好了，至此 mysql 安装完毕 .

这样构建 Cacit 运行的 PHP+Mysql 环境就基本上完成了。

下边开始安装 Cacit 所需要的 rrdtools 图形工具以及 snmp 工具

编译安装 rrdtools

# tar zxvf rrdtool-1.2.27.tar    # cd rrdtool-1.2.27
# ./configure --prefix=/usr/local/rrdtool
# make && make install

如果 ./configure 时出现下面这个错误

configure: error: Please fix the library issues listed above and try again.

表明系统有功能缺失，需安装 libart_lgpl-devel.rpm 这个包

如果还是提示听样的错误，有可能是找不到 FreeType

把 /usr/local/freetype2/lib/pkgconfig 下的 .pc 文件拷贝到 /usr/lib/pkgconfig 下即可

如果 make install 时出现 [tclrrd.o] 错误

就安装 tcl-8.4.7-2.i386.rpm 以及 tcl-devel-8.4.7-2.i386.rpm 这 2 个包

安装 net-snmp、snmpwalk 和 snmpget 命令  
# rpm -qa | grep net-snmp
( 查看系统中有否已经装有所需的软件 )   
net-snmp-5.0.9-2.30E.15   
net-snmp-devel-5.0.9-2.30E.15   
net-snmp-libs-5.0.9-2.30E.15   
net-snmp-utils-5.0.9-2.30E.15

没有或者缺少的话都需要逐一安装上。

而且还很有可能会因 rpm 的依存关系无法顺利安装，须使用 – - nodeps 参数。

以上所需的 rpm 安装包都能在 RedHatAs4 安装光盘上找到 .

 至此，Cacti 所需的运行环境都已经准备好了，接下来开始进行安装以及配置。

稍微修改系统中 snmp 的配置

# vi /etc/snmp/snmpd.conf

1. com2secnotConfigUser default public
   改为：com2secnotConfigUser 127.0.0.1 public
2. access  notConfigGroup ”"  any   noauth    exact  systemview  none none
   改为：accessnotConfigGroup”"anynoauthexact all none none
3. #view all    included  .1         80
   将前面的 # 注释 去掉。
   保存退出 :wq
4. 重新启动 snmp 服务
   # service snmpd restart

安装 / 配置 cacti

1. # tar zxvf cacti-0.8.6j.tar.gz
2. # mv cacti-0.8.6j /data/web_server/admin/cacti
   ( 把 cacit 剪切到自定的 web 目录下 )
3. # chmod 777 – Rf /data/web_server/admin/cacti
   ( 设置目录权限 , 避免因权限问题而导致目录无法写入 )
4. # cd /data/web_server/admin/cacti
   在Mysql中创建一个新的库，并导入cacti 目录中cacti.sql 并设置好该表的用户权限，然后编辑 cacti 的数据库配置文件。
5. # vi /data/web_server/admin/cacti/include/config.php

   $database_type= “ mysql ” ;
   $database_default = “数据库名称” ;
   $database_hostname = “默认是 localhost ” ;
   $database_username = “用户名” ;
   $database_password = “密码” ;

   更改用户、密码等项与上面给出的对应保存退出

6. # crontab – e （加入自动执行规则，每 5 分钟执行。）

   */5 * * * * /usr/local/php/bin/php /data/web_server/admin/cacti/poller.php  \         > /dev/null 2>&1
   （其中 /usr/local/php/bin/php 这个为 php 的安装目录）

7. 保存退出：wq
8. 在 apache 上设置好 cacti 所在 web 目录
9. 打开浏览器 http://youhostname/cacti
10. 进入 cacti 的初始设置页面
    第一次默认登陆账号：admin 密码 admin
    登陆后它就会让你立即修改新密码

说一下 cacti 设置页中各项“零件”的路径。

当修改好新密码进入，第一个显示出的页面就是让你设置 rrdtool，snmp 等工具的路径。这是个很重要的环节，必须无误，要不然 cacti 将无法生成出统计图。

snmpwalk Binary Path ： /usr/bin/snmpwalk
snmpget Binary Path： /usr/bin/snmpget
RRDTool Binary Path： /usr/local/rrdtool/bin/rrdtool
PHP Binary Path： /usr/local/php/bin/php
Cacti Log File Path： /data/web_server/admin/cacti/log/cacti.log
Cactid Poller File Path： /data/web_server/admin/cacti/poller.php

默认的配置中会出现许多“ NotFound ”

按照上边的路径把“ NotFound ”的项都重新填上。

手动运行一次

/usr/local/php/bin/php /data/web_server/admin/cacti/poller.php > /dev/null 2>&1

你就能在顶上 graphs 中 localhost 里头看到本机的内存，CPU，登陆用户等的统计图 .
图 1. Cacti 统计图

但默认 Cacti 是没有创建网卡流量的监控图的。要我们自己来加。

回到 console 菜单

选择 Devices 监控设备。
图 2. 设备监控

图 3. 添加设备

然后点击右上角的 Add 进行添加

Description 设备名称 ( 可随意输入 )

Hostname 设备地址 ( 如果是本机就填 127.0.0.1 )

Host Template 设备的类型 ( 选择 ucd/net SNMP Host )

然后其他按照默认即可，如下图
图 4. 添加的新设备

点 create 创建。

如果刚才填写的地址无误，创建成功后，会在该页面左上方出现所新建设备的 SNMP Information

然后点击隔壁醒目的 * Create Graphs for this Host 即开始创建监控图表
图 5. 创建图表-1

图 6. 创建图表-2

如图 6，沟选你所要监控的网卡以及 IP，点 create 。

这样就完成了你所指定设备统计图的创建。

图 7. 添加的设备统计图

点击菜单中的 Graph Management 即可浏览到你刚才所创建的图表，如图 7 箭头所示。
图 8. 统计图表

有一个小技巧，初次要求 cacti 创建指定设备的统计图表，通过 Graph Management 进入图 8 所示页面时，统计表图片会是一个 X ( 叉 ) 。这是因为在配置初期指定系统中每 5 分钟执所行的 php 语句还没到点运作。要么你就等 5 分钟，要么你就直接进入系统手动执行：

 /usr/local/php/bin/php /data/web_server/admin/cacti/poller.php > /dev/null 2>& 

然后曲线表中就能出现第一个峰值，每 5 分钟自动更新。 24 小时后，曲线图就能完整地出现在你眼前。

回到图 7 Graph Management 的界面勾选新建的图表项，然后在下边

Choose an action 框中选择 Place on a Tree(default Tree)

就能把该图表类似快捷方式的样子张贴到本文图 1 所示的 Graphs，Default tree 栏目中。然而你也能自己在菜单栏的 Graph Trees中新建定制栏目，然后用相同的方法把新建的统计图往你所定制的栏目中放。

Cacti 的强大功能不单止可以通过 snmp 获取装有 Linux，Unix 操作系统服务器的运行状态，还能监控 Windows 系统服务器。跟诸如 Cisco，Linksys， 路由器，交换机，无线 AP 。或者其他支持 snmp 管理协议的网络设备。

实际应用

下边我们举出实应用的例子。
设备结构：

1. 网络入口路由器 Linksys RV042。
   Linksys 的一款路由器，主要负责，外网接入路由，防火墙，以及端口映射。
2. server1 WEB 应用服务器
   操作系统： Linux RedHat As4
   Eth0，Eth1 双网卡工作。前者接入路由器映射至外网。后者直连至 server2
   进行反向代理 ( proxy ) 以及数据备份以及同步等功能。
   IP 分别为 192.168.3.2 以及 192.168.10.2
3. server2储存，FTP与WEB 应用服务器
   操作系统： Windows2003 r2
   与 server1 网络环境相仿，双网卡工作。
   IP 分别为 192.168.3.3 以及 192.168.10.3

Cacti 已经配置完成，安装在 server1 上。第一台添加到监控表里边的是路由器 RV042 。打开路由器的 WEB 设置页面，勾选并启用 SNMP 功能。如图 9

Send SNMP Trap to： 192.168.3.2（ server1 的 IP ）

然后其他输入框按照默认留空即可，但需留意 Get Community Name: 所填写的组名： public 。保存设置。
图 9. 保存设置

登陆 Cacti ，console 菜单栏中点击 Devices。跟前边图 1 至 8 添加新设备以及创建统计图表的步骤相同

Description 设备名称 ( 我们这里自定为 Linksys RV042)

Hostname 设备地址 ( 路由器的地址 192.168.3.1 )

Host Template 设备的类型 ( 选择 ucd/net SNMP Host 或者是 Cisco Router )

然后其他按照默认即可。

创建成功后，也会在该页面左上方出现所新建设备的 Linksys RV042 SNMP Information

点击隔壁 *Create Graphs for this Host 创建监控图表
图 10. 创建监控图表

路由器 RV042 的端口以及 IP 等数据都取出来了。

勾选好所要监控的端口，点击 create 就能完成路由器监控图表的建立。

Cacti 运行在 Server1 上，所以配置方式跟前边所介绍是一样的，这里就掠过了。但顺带说一下，如果环境中还存在 Server3，而且跟 Server1 一样都是 Linux 系统，需要添加到 cacti 里头。哪么只需在该服务器上修改 snmp 配置，修改的内容也跟 server1 上几乎一样，不同的是。

编辑 /etc/snmp/snmpd.conf 的时候，原来填 127.0.0.1 ( 本机地址 ) 的地方换成 Cacti 所在运行的服务器 IP，即 server1: 192.168.3.2

1. com2secnotConfigUser default public
   改为：com2secnotConfigUser 192.168.3.2（server1 地址） public

1. access  notConfigGroup ”"  any   noauth    exact  systemview  none none

改为：accessnotConfigGroup”"anynoauthexact all none none

1. #view all    included  .1         80
   将前面的 # 注释 去掉。

1. 保存退出 :wq

重新启动 snmp 服务

# service snmpd restart

在 Cacti ，Devices中创建新设备，

填写 Server3 IP 地址，设备类型： ucd/net SNMP Host , 创建图表 , 完成。

到 Server2 的 win2003 系统了。

1. 给 Windows 安装 SNMP 协议支持通常由于 SNMP 是一个建议关闭的协议 ( 因为有安全漏洞 )，所以 Windows 2003 不是缺省安装的。但 Cacti 用的就是 SNMP 协议，而且服务器处于内网中，有路由器防火墙对外隔着，所以装吧。

   控制面板– > 添加或删除程序– > 添加 / 删除 Windows 组件– > 管理和监视工具– > 简单网络管理协议 (SNMP)

2. 修改 SNMP 的安全设置 这台服务是被监控方，所以需要像刚才举例的 Server3 那样修改 SNMP 的配置。否则在 server 1 里头的 Cacti 则永远也收不到 SNMP 的消息。打开 Services 窗口并找到 SNMP 服务，打开右键菜单，选择属性。在打开的窗口中找到“安全”选项页。在选项页中有两部分设置，上半部分是指 SNMP 服务接受哪种 Community 指示字，缺省情况下 Windows 2003 不对任何指示字反馈，我一般都添加设置为。

   团体名称：public， 权限：只读

   下半部分添加可信任的主机名、IP 或是 IPX 名称。这里就也是添加 server1 的 IP 192.168.3.2 如图 11
   图 11. 修改 SNMP 的安全设置
   

3. 修改防火墙如果你安装了防火墙，还要记得打开 UDP 161 端口。

   完成后重新启动 SNMP server 服务

   登陆 Cacti 点 Devices 创建新设备。

   填写 Server2 IP 地址，设备类型：Windows 2000/XP hosts

   从 Windows 上获取到的 SNMP 信息也挺多，CPU，内存，虚拟内存，硬盘空间使用，网卡流量，一应俱全。最后创建图表 , 完成。
   图 12. 修改防火墙
   

 Cacti 真是一个世界。在正式使用 Cacti 接管原来的 MRTG 负责服务器状态监控的这段时间， 我所能最深刻感受到的，不止是它漂亮的界面跟图表。而且是对监控设备的创建，跟管理，都有着史无前例地简单，高效。作为系统管理员，我真相当感激 Cacti 的作者能开发出这一套如此拔尖的监控程序。

虽然它所运行的 PHP 环境以及 RRDtool 在前期配置的时候要花好多的时间跟功夫，

但也未尝不是一个新的选择。试想一下，你只需一阵子的功夫在一台服务器上把环境配好，Cacti 装好。以后，无论你要再添更多的服务器，要了解他们的”情绪”，就只需简单地在浏览器上登陆 Cacti – > 新建设备 – > 新建图表。区区几步，整整有条的服务器列表，CPU，硬盘，网卡等等读数的曲线都能一清二楚地显示在你面前。

当然！ Cacti 带来的强大功能以及方便还远不止这些，就交由大家之后去使用，去体验了。

参考资料

• 开源中国社区：http://www.oschina.net
• Cacti 中文站点：http://www.cacti.com.cn/
• Cacti 英文站点：http://www.cacti.net/
• RRDtool 下载：http://oss.oetiker.ch/rrdtool/
• PHP 官方站点：http://www.php.net/
• 在 developerWorks Linux 专区 寻找为 Linux 开发人员（包括 Linux 新手入门）准备的更多参考资料，查阅我们 最受欢迎的文章和教程。
• 在 developerWorks 上查阅所有 Linux 技巧 和 Linux 教程。

范绰耘，服务器软硬件技术架构、开源软件的热衷者，现任职广州市摩网信息技术有限公司系统管理员，您可以通过开源中国社区网站 http://www.oschina.net 来联系我。

Discuz 7.0 的功能很强大, 但后续的问题比较多, 原来的软硬件环境运行 4.1 是绰绰有余的，但升级到7.0  的时候,随着改版,用户的活跃度，以及搜索引擎的优化都带来了流量激增。

原本单台服务器平均 CPU 6~10 增高到 30~40 晚上高峰期明显感到点击的反应的延迟。

是需要用到集群的时候了。

在脑中设计该集群的思路, 使用 Nginx 用于流量分发以及静态文件处理，多Apache 负责处理PHP程序。

这是一种很简单的均衡负载方式，在Nginx中配置好 upteam，Localhost 与APP0 服务器的文件同步采用NFS，再公用一个单独的Mysql_server主机。

脑子中的这个设计蓝图，一下子就能配置出来。但我所要分享的，是一些细微但作用确相当重要的技巧。

首先说一下文件同步，NFS。

Discuz 7.0 的程序根目录下有个 attachments 目录，用于写入存放上传的附件，除此之外为了优化反应速度以及减少传输量，我把除此以外根目录下的所有程序文件都复制到 APP0 的本地硬盘上。

好了，一开始就是这么一架构，开始试验。

发生的第一个问题是当论坛站长(管理员) 登陆后台的时候, 由于均衡负载在不停的 2 个 apache 上跳，所以导致输入密码之后怎样都进不了后台。(后台的 cookies 在一关闭浏览器之后就会自动清除)

怎么办? 你可以使用另一个二级域名域名，指到同一个目录，但不绑到 Nginx 的 upteam，proxy 的时候直接写的是 但一台主机apache 的地址.  例如：proxy_pass http://127.0.0.1:8080;

但还有一个方法是我现在所用的，直接把后台的php程序过滤出来，绑定在localhost 的Apache上，不参与均衡负载。

        location ~ admincp.php$ {
            proxy_pass   http://127.0.0.1:8080;
            include proxy.conf;
        }

 把以上这配置加插在Nginx php的过滤语法之上， 其实原理跟过滤PHP是一样的。
凡是 admincp.php  的文件，都proxy 送至 http://127.0.0.1:8080
下边这段是 Nginx 用于过滤处理 php  的语法。

        location ~ \.php$ {
            proxy_pass   http://server_gznow;
            include proxy.conf;
        }

这么一来，Nginx 负责出来所有除 php 以外的请求，而php 就交由后方 apache 处理。并配置了 upteam 均衡负载，因此会分配到各个apache 处理达到流量分摊。而  admincp.php 在Nginx 过滤所有php进行均衡负载之前已绑定在单一个apache 上，就是说该程序并没设置到均衡复制，所以刚才无法登陆后台的问题解决。

好了，这么做下一个继续测试，上传文件，出问题了。

Discuz 7.0 的上传文件为了标明版权或者防盗链，可以在后台中设置为图片打上水印。

在均衡负载的情况下，使用批量上传功能upload的图片会发生一部分有水印，一部分没有的情况。这就肯定跟配置了均衡负载的原因有关。

水印功能需要用到 GD 的JPEG函数，经检测，2台用于均衡负载的服务器 GD支持 JPEG 的环境是没问题的。不使用均衡负载的情况下所有图片都能打上水印，这是为什么呢？ 这跟 Discuz 7.0 的批量上传构造有关。也不大好说明，但通过以下方法能解决。

从web日志观察所得，用户发帖，会用到 post.php 这个程序文件，而上传，即会用到 misc.php

于是我们就跟之前解决后台登陆的方法一样，先把 misc.php 绑定在localhost上，经测试。不成功，图片上传依旧一部分图片没有水印。看来 misc.php 只负责上传，而打水印的函数应用恐怕就是 post.php 负责的。

所以我就干脆把 misc.php 跟 post.php 都绑定在单独的一台 localhost 上。

这么有个好处，更加省了 APP0  NFS 同步的流量。原来上传图片，用户都需要兜圈 Nginx –> APP0 –> NFS –> local –> Nginx

现在直接就能  Nginx <–> local

坏处就是，post.php 跟 misc.php 都不能参与均衡复制了，如果用户发帖上传得厉害，这就要以后再想别的办法了….

但就又悟出了一个道理，如果日后Mysql 撑不住了，想进行读写分离的时候！可以用同样的方法。

例子：先把Mysql 配置为主从复制

把帖子浏览或板块浏览的程序  viewthread.php  forumdisplay.php 等紧紧读数据的程序 绑在 APP0 ，然后 conf.inc.php 配置文件中 mysql 的地址指定为mysql 从服务器的地址。

因为帖子浏览紧紧需要在 mysql 进行读的操作，而写的操作，例如 post.php 以及一些版主管理的页面都帮到 localhost 然后在conf.inc.php 配置中配置 mysql 主 的服务器地址。这么读写就能分开了！

然后还有一个问题，是后台设置后，Discuz 是有缓存的，往往需要更新缓冲设置才能在前台中显示出来。

但由于设置的admincp.php被绑在单独一台服务器上，所以就算更新缓存，也只更新了一台服务器的缓存。

你可以有2个方法。

1，修改 Nginx  的配置把 admincp.php 指向到另外一台服务器，更新完之后再换回来。

2，用 Rsync ! 配置好同步的参数，写成 shell 程序，一执行即刻往主机上同步，这样就什么 cache 也跟主机上一样了。

############################

4.3 更新

############################

经过数天的观察，发现有个比较奇怪的现象。

Localhost服务器(即Nginx的本地服务器)硬件配置为Intel奔腾D2.8G 双核。

里边运行的服务也不算多，会占些资源的应用，Awstats，Cacti，Nginx，Apache，也就这么几个。

而APP0 机其实是个 VMware 的虚拟机安装的系统，主机的配置是双路的 Xeon 2.8G 1M 。

先撇开双路对性能的强化，就Vmware来说，虚拟出来的从系统性能上已经是有一定的折扣。

PHP 所测得的CPU整数运算能力以及浮点运算成绩都跟真实的机器相差甚远。

但当我把Nginx upteam 的负载量更多地调配到 APP0 上的时候，虽然Discuz 页尾显示的PHP执行的耗时比Localhost多，但的页面反应速度确高于前者。

现在暂时还在研究成因，但既然是这样，我就尝试在Vmware上再模拟多一个应用服务器，APP1。现在+上Localhost就总共有3个Apache 的后端。

速度再有明显的提高！我的看法，是多线程的处理大大有利于Web的应用，这跟多核心CPU有利于WEB服务器性能的道理一样。因为现在算上Xeon2.8 的HT超线程技术3个Apache后端就总共有 6 个CPU在处理应用。

而且经过实际的测试，发觉NFS的缓存是足够能减少APP跟Localhost之间的数据传输，而且缓存还能提高读写性能！比直接在 Vmware 虚拟机的虚拟硬盘上读写的速度快得多。二来也方便得多，不用好像之前那样有更新Discuz 缓存的同步麻烦。于是就直接使用 NFS 把Localhost的web_server 目录直接 mount 到2个 APP上。