B套餐：IIS+FTP+HTML+ASP+NET+SQL Server +伪静态+gzip(可选)(30元)

C套餐：IIS+FTP+HTML+ASP+PHP+ZEND+MySQL+PHPMyAdmin+NET+SQL Server +伪静态+gzip(50元) Linux套餐 D套餐(LNMP)：Nginx+PHP+MySQL+FTP+伪静态+PHPMyAdmin+ZEND+面板 (30元)

E套餐(LAMP)：Apache+PHP+MySQL+FTP+伪静态+PHPMyAdmin+ZEND+面板 (30元)

F套餐(LANMP)：Apache+Nginx+PHP+MySQL+FTP+伪静态+PHPMyAdmin+ZEND+面板 (30元) 注：安装的所有的软件均为稳定版本，若对软件版本有特殊要求前提前告知 默认版本 PHP5.4 MySQL5.5 SQL Server2008R2 PHP默认会安装多版本，可自由切换单个站点的PHP版本

服务器操作系统版本建议：windows建议用win2008R2 64位 Linux建议用Centos7.4 64位

配置环境需要提供的信息有：服务器公网IP、远程登录用户名(windows默认是Administrator Linux默认是root)、 系统密码

安装时间：套餐安装时间一般1-2个小时，安装完会旺旺通知整理相关说明发送给您

阿里云服务器环境配置 PHP安装 网站搬家 ftp搭建 服务器安全设置维护，首发于服务器安全维护工作室。

根据 Let’s Encrypt CA 的统计，截至 2017 年 11 月，Firefox 加载的网页中启用 HTTPS 的比例占 67%，比去年底的 45% 有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施：将所有 HTTP 网站标记为不安全。
随着 HTTPS 的普及，给网站加个 SSL 证书已经是大势所趋而且很有必要了。
目前已经存在不少免费好用的 SSL 证书，因此，本文就来盘点一下关于免费 SSL 证书的那些事儿。

一、Let’s Encrypt

官方网站：https://letsencrypt.org/
点评：毫无疑问，Let’s Encrypt 是目前使用范围最为广泛的免费 SSL 证书，而且官方博客宣布，自 2018 年开始提供通配符 SSL 证书，也就是 wildcard certificates。这对于广大个人站长来说，无疑是个不错的利好消息。唯一的缺憾就是，Let’s Encrypt 发行的证书有效期只有 3 个月，虽然可以通过定时任务来自动续期。
如何申请？可以通过安装 LAMP 后，使用 lamp add 命令来自动创建 SSL 证书。也可以通过以下在线申请网站，手动申请证书。
在线申请网址1（中文）：https://freessl.org/
在线申请网址2（英文）：https://www.sslforfree.com/
在线申请网址3（英文）：https://gethttpsforfree.com/

2018 年 03 月 15 日更新：
Let’s Encrypt 已经正式支持发行免费的通配符证书（Wildcard SSL），需使用 certbot 或 acme.sh 手动发行。

二、TrustAsia

官方网站：https://www.trustasia.com/
点评：TrustAsia 是国内一家新兴的 SSL 证书提供商，赛门铁克(Symantec)亚太区的白金合作伙伴。随着 Symantec 的 CA 业务被 DigiCert 收购完成，其证书链也从 Symantec 变为 DigiCert。现在也开始提供免费 1 年期的 DV SSL 证书。
在线申请网址：https://freessl.org/

三、AlwaysOnSSL

官方网站：https://alwaysonssl.com/
点评：AlwaysOnSSL 是一个新的免费和自动认证机构。它由 CertCenter 和 Digicert 运行，免费提供 6 个月的 DV SSL 证书。
在线申请网址：https://alwaysonssl.com/

四、Comodo

官方网站：https://www.comodo.com/
点评：在 Let’s Encrypt 没有问世之前，Comodo 的市场占有率是第一位。随着 Let’s Encrypt 的盛行，Comodo 在 DV SSL 市场占有率逐渐下降，但依然是 SSL 的龙头企业。目前 Comodo 也提供免费 90 天的免费 DV SSL 证书。
在线申请网址1：https://secure.instantssl.com/products/SSLIdASignup1a
在线申请网址2：https://www.100tb.com/
备注：100TB 免费提供 1 年期的 Comodo 证书，前提是需要注册为会员后才能在后台申请。100TB 的规定是，发行的证书只能在他们家的产品上使用，否则会有被吊销的风险。申请时，请自备 CSR(Certificate Signing Request)，这里有 CSR 在线生成工具。参考网址：https://www.csr.sh/

五、Cloudflare

官方网站：https://www.cloudflare.com/
点评：Cloudflare 很早就开始提供免费 SSL 证书，前提是你的域名要放在 Cloudflare 解析，注册为 Free Plan 就可以。
备注：只要域名加入 Cloudflare Free Plan，解析 A 记录的时候，点击 Traffic to this hostname will go through Cloudflare，就可以了。一般情况下，这个免费的 Universal SSL 里会包含一大堆别人的域名（该证书也是 Comodo 发行的）。当然，如果你比较介意这个的话，可以付费购买其 Dedicated SSL Certificate ($5/month) 或 Dedicated SSL Certificate with Custom Hostnames ($10/month)。

六、AlphaSSL

官方网站：https://www.alphassl.com/
点评：其实 AlphaSSL 并不免费提供 SSL 证书，而且价格不菲。但是 AlphaSSL 跟 SingleHop 有合作关系，免费给 SingleHop 的客户发行证书，甚至包括通配符 SSL 证书。有人根据这个规则，开发了个自动发行证书的工具。详见：https://github.com/Vittfarne/ASSL
也就是说，只要你有了 SingleHop 的服务，就可以使用你的帐号密码以及该工具去当个活雷锋了。但是，不可避免地，这样的活雷锋是当不了多久的。一般其下场会因为滥用被 SingleHop 给关闭账户。
值得注意的是，如果你申请了这个 SSL 证书，就要有 SSL 证书随时可能被吊销的觉悟。
详情始末的参考网址：https://www.lowendtalk.com/discussion/comment/2306096/#Comment_2306096
在线申请网址：https://en.assl.space/

尾声：

自从 Let’s encrypt 开始提供免费DV SSL后，SSL 证书市场就已经开始洗牌了。
值得一提的是 StarCom 原本是一家以色列的证书商，提供免费和收费的 SSL 证书，后被国内公司 360 收购。曾在 CA 市场也有一席之地，StartCom 的问题在于被发现允许对证书的签发日期进行倒填，从而达到规避 SHA1 证书在 2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16 日，StartCom 宣布终止业务，自 2018 年 1 月 1 日起停止颁发新证书，并于 2020 年停止 OCSP 和 CRL 服务。
沃通（Wosign）也属于类似情况，被 Mozilla 认为 WoSign 最严重的问题是伪造（或者说人为设置）了证书签发日期，相继被 Mozilla 和 Chrome 不信任，最终导致出局。

最后，随着 https 的广泛被适用，我们也乐于看到越来越多的 CA 开始提供免费的 DV SSL 证书。

免费SSL证书，首发于服务器安全维护工作室。

Amazon Aurora与RDS MySQL相比，有一些显著的优点：性能更优，IO能力更强，磁盘容量会自动扩展无需手动管理等等。Aurora与MySQL几乎完全兼容，所以，用Aurora替代MySQL可以获得很多好处。

因为历史原因，我们运行着两个RDS MySQL实例，其中一个在AWS Classic环境中，我们希望把这两个数据库实例迁移到Aurora以获得更好的性能，但是怎么迁移就是个问题。

可选迁移方案

对于迁移，我们做过多种尝试，最简单的做法是：导出数据库的备份，基于该备份创建新的Aurora实例。具体来说，可以有两种做法。

1. 应用下线，停止MySQL, 使用MySQLDump进行全量备份，创建Aurora，在Aurora中导入该备份。完成后应用接入Aurora重新上线。
2. 应用下线，停止MySQL，对MySQL RDS实例进行手动快照，快照完成后，将该MySQL实例的快照迁移到Aurora。完成后应用接入Aurora重新上线。

两种做法都可以将MySQL迁移到Aurora，但是都需要停机维护，时间可能需要几个小时，甚至几天。而这对我们来说是不可接受的。

我们需要的迁移方案必须能够尽量不影响线上服务，平滑过渡到Aurora。

AWS提供了DMS（Database Migration Service）服务 ，但是试用之后，DMS在开始迁移数据之后，会经常出现SQL错误，而调试、排错非常的麻烦，只能够放弃。

直到在文档中发现AWS提供了基于MySQL BinLog的迁移方案，只需要最终阶段切换应用配置中的数据库连接时对线上服务有短时间影响。此方案终于使得我们的数据库迁移变得可行。

迁移过程 1

首先我们需要迁移的是在VPC中的MySQL RDS实例。文档对迁移过程给出了一些要求，如MySQL的版本建议为5.5以上，所有表需要转换为InnoDB等。

具体迁移步骤如下：

1. 在RDS MySQL实例上创建只读副本。如果之前不存在只读副本，这个操作可以启用MySQL binlog。此外，如果数据库比较大，建议调整binlog保存的时间,以下示例将二进制日志文件的保留期设置为 6 天:
   CALL mysql.rds_set_configuration('binlog retention hours', 144);
2. 只读副本创建完成后，等待只读副本跟上主实例，即Replica lag几乎为0时，停止只读副本的复制：
   CALL mysql.rds_stop_replication;
3. 停止只读副本的复制之后，最好等待一段时间，比如10分钟，（重试10次之后的教训。）。
   在只读副本中执行：
   SHOW SLAVE STATUS
   记录结果中得到的Master_Log_File与Read_Master_Log_Pos的内容。
   对该只读副本进行手动快照。
4. 对只读副本的快照，执行迁移快照，将快照转换为Aurora实例。注意：如果发现创建过程很久没响应（超过3小时），需要即时联系AWS确认有无异常。我碰到了很多次，卡在“正在准备数据”阶段。
5. Aurora实例创建完成后，检查集群的安全组设置，确保能够联网。执行：
   CALL mysql.rds_set_external_master ('mysql master server host', 3306, 'repl_user', '<password>', 'mysql-bin-changelog.000031', 107, 0);
CALL mysql.rds_start_replication;
   其中mysql-bin-changelog.000031与107来自上述SHOW SLAVE STATUS的输出中的Master_Log_File与Read_Master_Log_Pos。
6. 在Aurora上执行SHOW SLAVE STATUS，确认复制过程正常执行。如果遇到类似以下错误：
   Error 'Table 'mysql.rds_monitor' doesn't exist' on query. Default database: 'mysql'. Query: 'DELETE from mysql.rds_monitor'
Error 'Table 'mysql.rds_monitor' doesn't exist' on query. Default database: 'mysql'. Query: 'INSERT INTO mysql.rds_monitor(pid, table) values (5455,'abc/#sql-ib345-3892659999')'
   需要联系AWS，或者，直接执行CALL mysql.rds_skip_repl_error跳过复制错误，但是这个问题一旦出现，跳过之后一段时间还会再次出现。
7. Aurora上执行SHOW SLAVE STATUS输出中的Seconds_Behind_Master可以得知复制落后于主实例的时间，一旦复制跟上进度，即可使用CALL mysql.rds_stop_replication;停止复制，然后在应用中切换写入节点。

迁移过程 2

经过上述迁移过程1，我们最终完成了VPC内的MySQL RDS实例到Aurora的迁移。我们另外一个RDS实例是在EC2 Classic环境中，AWS也有一篇文档描述如何进行这种情况下的数据库迁移。

具体的迁移步骤与上述过程只多了一个步骤：在VPC中创建一个新的EC2，开启Classic Link，配置为同时可以访问VPC中的Aurora（新创建的）与VPC外部Classic环境中的RDS MySQL实例，参考文档最后部分，配置nginx代理服务器，然后在mysql.rds_set_external_master中填写的主数据库为那台EC2的IP。其他步骤则完全一致。

经验教训

迁移到Aurora后需要注意以下几点：

1. Aurora的Multi-AZ与RDS MySQL下的Multi-AZ完全不一样。MySQL下的Multi-AZ，只能有一个备机，而且备机是闲置的，而Aurora下可以创建最多15个副本，这些副本都可以按照设置的优先级按顺序进行Fail Over
2. MySQL RDS下的只读副本，是可以改为可写的。但是Aurora下的只读副本是无法设置为可写的。
3. Aurora下的权限也有些变化，导致oak-online-alter-table无法使用，但是Aurora的性能更强，升级实例类型后往往可以直接修改表结构而不影响线上服务。

线上MySQL RDS实例迁移到AWS Aurora详细教程，首发于服务器安全维护工作室。

安全组，类似防火墙，用于设置单台或多台云服务器的网络访问控制，它是重要的安全隔离手段。

每个实例至少属于一个安全组，在创建的时候就需要指定。

不同安全组的实例之间默认内网不通，可以授权两个安全组之间互访。更多详情

ECS安全组配置

目前，ECS安全组有三种方式

• 配置方式1：阿里云管理控制台配置 目前，非VPC用户无法在阿里云控制台看到安全组配置，可提交工单申请开通，注明“开通控制台显示‘本实例安全组’”。

在开通安全组之后，用户可以在ECS实例控制台看到安全组，如图:

点击右上角 “创建安全组”：

填写安全组名称和备注，选择网络类型:

安全组创建成功后，需要配置规则，点击安全组的“配置规则”链接:

添加安全组配置规则时，规则方向需要选“入方向”，网卡类型选“内网”:

规则创建成功后，可以看到此时的安全组还没有应用到任何ECS实例，如图显示，相关实例是0:

下面，还需要将安全组绑定到ecs实例，才能使ecs按此安全组规则生效。

选择ecs实例的“安全组配置”选项

点击右上角“加入安全组”:

在弹出对话框中，选择刚刚创建的安全组:

此时返回安全组列表，可以看到相关实例的值已经变为1:

此时测试从配置的网段访问此ecs的特定端口，即可访问。

• 配置方式2：命令行jar包配置 首先下载jar包到一个有java环境的linux上。执行如下命令，进入交互模式：

$ java -jar ~/aliyuncs.jar -id <您的Access Key ID> -secret <您的Access KeySecret> -service ECS:2014-05-26

其中，aliyuncs.jar为上面下载的文件解压得到，2014-05-26为ECS api版本，此处可以指定为2014-05-26

然后创建安全组实例，如下命令，RegionId为ecs所在城市，Description为安全组名称

@ECS:/>CreateSecurityGroup RegionId=cn-qingdao,Description=gpu_test

创建成功后，会返回安全组实例名，当前操作是sg-28fcdqtel，接着可以给安全组赋予更多的属性。下例是实现10.239.23.101/28网段的所有机器可以访问当前ecs的80端口。

@ECS:/>AuthorizeSecurityGroup SecurityGroupId=sg-28fcdqtel,IpProtocol=TCP,PortRange=80/80,SourceCidrIp=10.239.23.101/28,NicType=intranet,RegionId=cn-qingdao

完善安全组实例属性后，就可以将安全组实例和ecs实例进行绑定。

@ECS:/>JoinSecurityGroup SecurityGroupId=sg-28fcdqtel,InstanceId=i-28weu9ksr

以上步骤操作后，即可实现10.239.23.101/28网段的所有主机访问当前ecs的80端口。

除以上操作外，还有以下一些相关操作。

列出所有安全组 @ECS:/>DescribeSecurityGroups RegionId=cn-qingdao 列出当前安全组的所有属性 @ECS:/>DescribeSecurityGroupAttribute SecurityGroupId=sg-28fcdqtel,NicType=intranet,RegionId=cn-qingdao 解除当前安全组和当前ecs实例的绑定 @ECS:/>LeaveSecurityGroup SecurityGroupId=sg-28fcdqtel,InstanceId=i-28weu9ksr 删除安全组 @ECS:/>DeleteSecurityGroup SecurityGroupId=sg-28fcdqtel,RegionId=cn-qingdao 授权从当前ecs向外访问的安全组规则 @ECS:/>AuthorizeSecurityGroupEgress SecurityGroupId=sg-28fcdqtel,IpProtocol=TCP,PortRange=1/65535,DestCidrIp=0.0.0.0/0,NicType=intranet,RegionId=cn-qingdao

更多信息可以参考Jar包实践

• 配置方式3：API方式配置 详见ECS API 使用文档，使用方式较复杂，不推荐使用。

注：

当前的RegionId，可参考：

ECS安全组设置，首发于服务器安全维护工作室。

在EC2上安装配置gitolite (sudo su)

cd /tmp
# 准备key文件,或者使用你现有的key文件
ssh-keygen -t rsa
cp id_rsa.pub /tmp/your-name.pub

# install packages 安装工具
sudo apt-get install git gitolite git-daemon-run
# create git user 创建git用户
sudo adduser --system --shell /bin/bash --gecos 'git version control' --group --disabled-password --home /home/git git
sudo su - git
cd /home/git
echo "PATH=$HOME/bin:$PATH" > .bashrc
# gl-setup gitolite初始化
gl-setup /tmp/your-name.pub
# 执行上面命令后gitolite会让选择熟悉的编辑器你修改配置文件，打开配置后座如下修改
	$REPO_UMASK = 0022;

至此gitolite安装完毕，建议

配置你工作机上的~/.ssh/config文件

以方便连接
config文件如下

Host 你喜欢的名字，如gs
Hostname 亚马逊PUBLIC DNS
User git
IdentityFile C:/Users/test/.ssh/id_rsa #你的私钥路径
#PreferredAuthentications publickey

在工作机上管理gitolite

这样你就可以在你的工作机上进行连接了，现在clone管理目录
git clone git@gs:gitolite-admin.git
编辑conf/gitolite.conf可以添加repository如

repo    anothertest
        RW+     =   @all

添加用户只需将的公钥添加到keydir就可以了，如果用户有多个公钥，如工作机一个，笔记本一个，可以在keydir下添加目录然后添加key如为tom添加 laptop/tom.pub和workspace/tom.pub即可
修改完成之后commit并push回主机相应的repositoy和user了

在EC2上配置gitlist

用git来管理repository和user很方便，但如果你的老板要查看git上的提交就不那么方便了(:P),通过安装gitlist网页查看就会方便很多
从gitlist.org 上下载最新版并完成配置

cd /tmp
wget https://s3.amazonaws.com/gitlist/gitlist-0.4.0.tar.gz
tar -zxf gitlist-0.4.0.tar.gz
mv gitlist /sites/
cd /sites/gitlist
mv config.ini-example config.ini
edit config.ini
    repositories[] = '/data/git/repositories/'
    hidden[] = '/data/git/repositories/gitolite-admin.git' #建议添加，管理目录不必被网页查看
mkdir cache #必须手动添加
chown -Rh www-data:www-data /sites/gitlist

创建site的nginx配置/etc/nginx/sites-available/gitlist

server {
	listen 80;
	server_name gitlist;
	keepalive_timeout 70;

	access_log /var/log/nginx/gitlist-access.log;
	error_log /var/log/nginx/gitlist-error.log;

	root /sites/gitlist;
	index index.php;
	location ~ /include {
	deny all;
	return 403;
	}

	location ~ ^/api/(tickets|tasks)(.*)$ {
	try_files $uri $uri/ /api/http.php;
	}

	location ~ ^/scp/ajax.php/(.*)$ {
	try_files $uri $uri/ /scp/ajax.php;
	}

	location / {
	index index.php;
	try_files $uri $uri/ /index.php?$args;
	}

	location ~ .php$ {
	fastcgi_split_path_info ^(.+.php)(/.+)$;
	include fastcgi_params;
	fastcgi_pass unix:/var/run/php5-admin.sock;
	#fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
	}
}

如果你此处用的fastcgi_pass是之前用过的那不需要额外的设置，如果没有那需要建立

cd /etc/php5/fpm/pool.d/
cp www.conf gitlist.conf
edit gitlist.conf
    name ->gitlist
    listen ->nginx config 中的

然后重启php5-fpm 和nginx访问你的地址就可以见到gitlist页面了
如果你在第一步设置配置是没有问题，那网页应该就可以正常显示了，如果那时设置的不对那么
编辑 /home/git/.gitolite.rc找到$REPO_UMASK改成0022然后手动设置已有的文件权限 chmod -R 755 /home/git应该就可以了

在亚马逊AWS上建立Git服务器，首发于服务器安全维护工作室。

Amazon EC2实例，是使用Elastic Block Store（EBS）作为存储的，必要时可以通过EBS快照，进行数据的恢复。在这里就介绍一下如何创建EBS快照和通过快照复旧。

创建快照（Snapshot）

1.打开EC2控制面板。如下，点击「卷」，选择需要创建快照的卷，点击「操作」从下拉菜单选择「创建快照」。

2.填写快照名称，描述。点击「创建」。「Name」填写为容易区别的快照名，以便以后选择使用。

3.创建完成，点击「关闭」。

4.可以确认，快照创建完成。

通过创建的快照，进行EBS复旧

通过快照恢复数据时，要按照一下步骤进行：

• 利用之前创建的快照作成EBS卷
• 停止EC2实例
• 分离连接到EC2实例的卷
• 把作成的卷连接到EC2实例
• 起动EC2实例

1.利用之前创建的快照作成EBS 卷。

选择新创建的「快照」，点击「操作」，从下拉菜单选择「创建卷」。

2.如下，默认即可，点击创建。

注：需创建与EC2实例相同可用区域 (AZ)的卷。

3.卷创建完成，点击「关闭」。

4.确认新创建的卷。

5.更换卷，需要停止EC2实例。

6.分离之前连接到EC2实例的卷。

选择卷，点击「操作」，从下拉菜单选择「断开卷」。 7.点击「是，请断开」。

8.把作成的卷连接到EC2实例。

选择新创建的卷，点击「操作」，从下拉菜单选择「连接卷」。如下：

9.默认即可，点击「添加」。

10.可以确认，卷被连接上了。

11.重新成功启动实例。

后话

EBS快照还可以共享给特定用户，感兴趣读者，请查阅本博客【AWS之AMI或EBS快照共享】一文。

EBS创建快照及通过快照恢复，首发于服务器安全维护工作室。

世界，你好！，首发于服务器安全维护工作室。