Назад | Перейти на главную страницу

Кажется, два отдельных сайта PHP-FPM используют один и тот же код?

У меня есть два веб-сайта с двумя базами кода, но когда я меняю одну базу кода, я вижу изменения в обеих.

У меня есть две кассы одного и того же сайта. Они настроены на использование PHP-FPM через Apache2 с FastCGI. Кассы находятся в:

/var/www/site1
/var/www/site2

Конфиги Apache выглядят так:

<VirtualHost *:80>
    ServerName site1.myserver.com
    DocumentRoot /var/www/site1
    <IfModule mod_fastcgi.c>
        AddHandler php5-fcgi-handler .php
        Action php5-fcgi-handler /php5-fcgi-uri
        Alias /php5-fcgi-uri fcgi-application
        FastCgiExternalServer fcgi-application -socket /var/run/site1-fpm.sock -pass-header Authorization -idle-timeout 30000 -flush
    </IfModule>
</VirtualHost>

<VirtualHost *:80>
    ServerName site2.myserver.com
    DocumentRoot /var/www/site2
    <IfModule mod_fastcgi.c>
        AddHandler php5-fcgi-handler .php
        Action php5-fcgi-handler /php5-fcgi-uri
        Alias /php5-fcgi-uri fcgi-application
        FastCgiExternalServer fcgi-application -socket /var/run/site2-fpm.sock -pass-header Authorization -idle-timeout 30000 -flush
    </IfModule>
</VirtualHost>

Конфиги пула FPM выглядят так:

[site1]
user = site1-user
group = site1-group
listen = /var/run/site1-fpm.sock
listen.owner = www-data
listen.group = www-data
chdir = /
pm = ondemand
pm.max_children = 5
pm.max_requests = 500 ;default to unlimited

[site2]
user = site2-user
group = site2-group
listen = /var/run/site2-fpm.sock
listen.owner = www-data
listen.group = www-data
chdir = /
pm = ondemand
pm.max_children = 5
pm.max_requests = 500 ;default to unlimited

Я не использую функцию chroot в FPM (насколько я могу судить).

Когда я меняю код для site1 и перезапускаю PHP-FPM и посещаю site1 и site2, я вижу изменение на обоих сайтах.

Если я перезапускаю PHP-FPM и сначала захожу на site2 (неизмененный сайт), а затем на site1, то я не увижу изменений ни на одном из сайтов.

Что не так с моими конфигами? Я действительно вижу отдельные процессы PHP-FPM, запущенные для site1 и site2 под основным мастером FPM.

Когда я видел похожие проблемы в наших средах, это, похоже, было связано с тем, что OpCache (по умолчанию) использует один кеш для всех пользователей в среде общего хостинга. А ошибка была отправлена (и вы можете и должны пойти и проголосовать, чтобы сообщить сопровождающим, насколько это важно для вашего варианта использования), хотя никаких обязательств по доставке исправления принято не было.

TL; DR: по умолчанию, когда OpCache включен, кеш, который используется для хранения скомпилированного байтового кода, является общим для всех пользователей. В среде, где хостинг совместно используется несколькими сайтами / пользователями, это может привести к тому, что сайт захватит кэшированный вывод php-скриптов с другого сайта или, если включены определенные параметры безопасности, даже приведет к возникновению ошибок.

Если вы планируете использовать PHP-FPM со встроенным opcache PHP 5.5+, пожалуйста, прочтите сообщение в блоге ниже, прежде чем вы действительно это сделаете. Оказывается, кэш опкодов может прочитать любой пользователь на сервере. Это означает, что если есть, скажем, 10 отдельных пользователей со своими собственными vhosts и каталогами, и вы настраиваете один пул PHP-FPM для каждого пользователя, каждый пользователь по-прежнему может видеть, какие скрипты кэшированы и их расположение. Поскольку у них есть доступ на чтение кеша, они потенциально могут просматривать все эти данные.

Это, очевидно, серьезная проблема безопасности, и даже если никто не воспользуется этим, все еще существует вероятность того, что скрипты будут прочитаны неправильным пользователем при создании страницы, поэтому веб-сайты могут отображать неправильные данные / информацию, если есть несколько индексов .php скрипты в кеше.

Хотя официально исправлений не было, если вы используете cPanel, В этой вики есть документированный способ настройки пулов php-fpm, которые будут создаваться и защищаться для каждого пользователя. и если вы будете следовать инструкциям ниже, а также ВАЖНЫЕ ЗАМЕТКИ внизу этого ответа вы сможете получить желаемую функциональность без каких-либо ошибок.

В этом посте также описывается, как вы можете настроить это вручную для каждого сайта / пользователя (хотя я готов поспорить, что это может стать утомительным, если вы размещаете много сайтов). Если вы не используете cPanel, вам может потребоваться изменить сценарии, чтобы указать ваши индивидуальные пути и имена пользователей вместо переменных, используемых механизмом конфигурации cPanel.


ВАЖНЫЕ ЗАМЕТКИ

Во время тестирования и дополнительных исследований мне попалось эта статья, которая дает несколько пояснений которые могут иметь отношение к вашей конкретной ситуации:

  1. Вам нужно убедиться, что opcache.use_cwd параметр установлен на true для конфигурации вашего приложения OpCache - он установлен на false по умолчанию и оставив его по умолчанию, вероятно, вызовет коллизии, если вы размещаете более одного приложения PHP в своей системе:

Прежде всего, вероятно, в каждом типичном проекте вам нужно будет убедиться, что для параметра opcache.use_cwd установлено значение true. Включение этого параметра означает, что механизм OpCache будет проверять полные пути к файлам, чтобы различать файлы с одинаковыми именами. Установка значения false приведет к конфликтам между файлами с одинаковым базовым именем.

  1. Если вы запускаете приложение на базе Zend Framework или другой подобной платформы, которая использует аннотации, вам ТАКЖЕ необходимо убедиться, что opcache.load_comments и opcache.save_comments директивы установлены на true. Вам следует перепроверить это предложение с документацией вашего приложения / фреймворка, так как большинство из них обновили свои документы конкретными инструкциями по включению правильного использования OpCache для своих систем:

Есть также параметр, который важен в инструментах и ​​фреймворках, в которых используются аннотации. Если вы используете Doctrine, Zend Framework 2 или PHP Unit, не забудьте установить для параметров opcache.load_comments и opcache.save_comments значение true. В результате комментарии к документации из ваших файлов также будут включены в предварительно скомпилированный код, созданный OpCache. Эта настройка позволит вам работать с аннотациями без сбоев.

Если ваш проект основан на определенной платформе или веб-приложении, всегда полезно проверить документацию на наличие рекомендаций относительно конфигурации OpCache.

ВАЖНЫЕ ЗАМЕТКИ


Надеюсь, это помогло - и если вы используете cPanel, оставьте комментарий, чтобы сообщить нам, как вы справились с этой частью конфигурации!