تكامل Nginx وApache على أوبونتو 18.04

يُعد تكامل خادم الويب Nginx مع خادم Apache على نظام التشغيل Ubuntu 18.04 أحد الحلول التقنية الرائدة التي تجمع بين القوة والأداء العالي، حيث يُستخدم Nginx كواجهة أمامية تعمل كخادم ويب ووسيط عكسي (Reverse Proxy)، بينما يُخصص Apache لمعالجة الطلبات الديناميكية أو تطبيقات الويب التي تتطلب بيئة خادم أكثر مرونة. يهدف هذا التوجيه الشامل إلى تقديم شرح تفصيلي ومفصل لعملية إعداد هذا التكامل، مع التركيز على الجوانب التقنية والهندسية التي تضمن استقرار الأداء، تعزيز الأمان، وتسهيل إدارة الخادم بشكل فعال ومتطور.

تبدأ عملية الإعداد من خلال تثبيت كل من Nginx وApache على خادم Ubuntu 18.04، وهو خطوة أساسية لضمان وجود البيئة التقنية اللازمة. يُمكن تنفيذ ذلك باستخدام أوامر apt التي تتيح تثبيت الحزم الضرورية، حيث يتم تحديث قائمة الحزم أولاً، ثم تثبيت كل من Nginx وApache بشكل مستقل. بعد اكتمال عملية التثبيت، يُنصح بالتحقق من أن الخدمات تعمل بشكل صحيح، من خلال أوامر مثل systemctl أو service، والتأكد من أن كل من Nginx وApache يعملان بشكل نشط وبدون أخطاء، وأنهما مستعدان للتكوينات المستقبلية.

تخصيص إعدادات Apache للعمل على منفذ غير الافتراضي

عند تثبيت Apache، يكون عادةً مهيأ للعمل على المنفذ 80، وهو المنفذ الافتراضي لخوادم الويب، إلا أن إعداد Nginx كوسيط عكسي يتطلب أن يستمع Apache على منفذ آخر غير 80 لضمان عدم تعارض الطلبات. يُنصح هنا بتخصيص منفذ مثل 8080، وهو اختيار شائع وموثوق به. يتطلب ذلك تحرير ملف الإعدادات الخاص بـ Apache، وتحديد منفذ الاستماع عبر تحرير ملف /etc/apache2/ports.conf وإضافة أو تعديل السطر ليصبح على النحو التالي: Listen 127.0.0.1:8080. هذا يضمن أن Apache يستقبل الطلبات على عنوان localhost فقط، مما يعزز الأمان ويمنع الوصول المباشر من الشبكة الخارجية.

بعد ذلك، يتطلب الأمر تعديل إعدادات الموقع الافتراضي الخاص بـ Apache في ملف /etc/apache2/sites-available/000-default.conf، بحيث يتم توجيه الطلبات إلى المنفذ الجديد، مع تحديد VirtualHost ليعمل على 127.0.0.1:8080. على سبيل المثال، يمكن تعديل السطر إلى . بعد إتمام التعديلات، يجب إعادة تشغيل خدمة Apache عبر الأمر sudo systemctl restart apache2 لضمان تطبيق الإعدادات الجديدة.

إعداد Nginx كوسيط عكسي وخادم ويب أمامي

بعد تخصيص Apache للعمل على المنفذ 8080، يتم تكوين Nginx ليعمل كواجهة أمامية، يستقبل الطلبات من المستخدمين، ثم يوجهها إلى Apache عبر البروتوكول المحلي. يتم ذلك من خلال تحرير ملف التكوين الرئيسي لـ Nginx، والذي عادةً يكون موجودًا في /etc/nginx/nginx.conf، أو عبر إنشاء ملف تكوين مخصص في دليل /etc/nginx/conf.d/ أو /etc/nginx/sites-available/. في هذا السياق، يُنصح بإنشاء ملف خاص بالموقع، مثلاً your_domain.conf، وإضافة التكوين التالي:

server {
    listen 80;
    server_name your_domain.com;
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

يجب استبدال your_domain.com بالنطاق الفعلي الذي تستخدمه. بعد إنشاء هذا الملف، يُنصح بربط الملف بمجلد sites-enabled عبر إنشاء رابط رمزي، وتنفيذ الأمر التالي:

sudo ln -s /etc/nginx/sites-available/your_domain.conf /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

يضمن ذلك أن Nginx يستقبل الطلبات ويعمل على توجيهها بشكل صحيح إلى Apache، مع الحفاظ على أداء عالي ومرونة في إدارة الطلبات الواردة.

تكوين المواقع الفرعية (Virtual Hosts) في Nginx

لتمكين استضافة عدة مواقع أو نطاقات فرعية على نفس الخادم، يُنصح باستخدام تقنية المواقع الفرعية في Nginx، والتي تعتمد على إنشاء ملفات تكوين منفصلة لكل موقع، وتفعيلها عبر روابط رمزية. على سبيل المثال، لإضافة موقع فرعي باسم subdomain.your_domain.com، يُنشىء ملف تكوين جديد في /etc/nginx/sites-available/subdomain، ويحتوي على التكوين التالي:

server {
    listen 80;
    server_name subdomain.your_domain.com;
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

ثم يتم تفعيل الموقع عبر إنشاء الرابط الرمزي التالي:

sudo ln -s /etc/nginx/sites-available/subdomain /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

تمكين هذه الخاصية يوفر مرونة إدارة متعددة للمواقع على نفس الخادم، بالإضافة إلى تحسين الأداء وتقليل استهلاك الموارد، خاصة عند التعامل مع عدد كبير من النطاقات الفرعية.

تفعيل الأمان باستخدام شهادات SSL/TLS من Let’s Encrypt

أمان البيانات المنقولة هو عنصر أساسي في تصميم خادم حديث، لذا يُنصح باستخدام شهادات SSL/TLS لحماية الاتصال بين المستخدم والخادم. يُمكن الحصول على شهادات مجانية من خدمة Let’s Encrypt، التي توفر أدوات آلية لتوليد وتثبيت الشهادات بشكل سهل وآمن. يوضح هذا القسم خطوات تثبيت Certbot، وهو أداة إدارة الشهادات الخاصة بـ Let’s Encrypt، وتكوين Nginx لاستخدام الشهادة:

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d your_domain.com -d subdomain.your_domain.com

اتبع التعليمات التي تظهر، حيث يتم التحقق من ملكية النطاق وتثبيت الشهادات تلقائيًا، مع تحديث إعدادات Nginx لتمكين الاتصال الآمن. بعد إتمام العملية، ستبدأ جميع الاتصالات في استخدام بروتوكول HTTPS، مما يعزز من حماية البيانات ويزيد من ثقة المستخدمين بموقعك.

تعزيز أمان Nginx من خلال ضبط إعدادات التشفير والبروتوكولات

بالإضافة إلى تثبيت شهادات SSL، يُنصح بتحسين إعدادات الأمان في Nginx من خلال تحديد بروتوكولات التشفير المسموح بها، وتفضيل التشفير الأكثر أمانًا، وإيقاف البروتوكولات الضعيفة. يمكن تحرير ملف /etc/nginx/nginx.conf أو ملف إعداد الموقع، وإضافة أو تعديل السطور التالية:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256';
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;

هذه الإعدادات تضمن أن الاتصال يستخدم بروتوكولات حديثة وآمنة، مع تقليل احتمالية تعرض البيانات للاختراق أو الاعتراض. يُنصح أيضًا بتفعيل رؤوس الأمان الإضافية، مثل Strict-Transport-Security، لتعزيز حماية الموقع ضد هجمات الوسيط (MITM).

مراقبة الأداء وتحليل السجلات

من الضروري مراقبة أداء الخادم بشكل مستمر لضمان استقرار الخدمة، وتحديد مصادر الاختناق أو المشكلات قبل أن تتفاقم. يُستخدم أدوات مثل htop لمتابعة استهلاك الموارد، وtop، وiftop لمراقبة الشبكة، وأدوات تحليل السجلات. لضبط سجلات Nginx وApache بشكل فعال، يُنصح بتعديل ملفات التكوين الخاصة بالسجلات، وتحديد مسارات مخصصة لسجلات الأخطاء والطلبات:

error_log /var/log/nginx/error.log;
access_log /var/log/nginx/access.log;

وبالمثل، يتم ضبط سجلات Apache عبر تحرير ملف /etc/apache2/apache2.conf أو ملفات الموقع. يُمكن أيضًا تنفيذ أدوات مراقبة أداء أكثر احترافية، مثل Prometheus وGrafana، لجمع البيانات وتحليلها بشكل ديناميكي، مما يتيح اتخاذ قرارات مستنيرة بشأن تحسين الأداء، وتحديث التكوينات، وتجنب الأعطال.

الصيانة الدورية والتحديثات الأمنية

لضمان استمرارية أداء الخادم واستقراره، يُنصح بتنفيذ عمليات صيانة دورية تشمل تحديث أنظمة التشغيل، وخدمات الويب، وقواعد البيانات، بالإضافة إلى مراجعة التكوينات وتحسينها بشكل مستمر. يُمكن تنفيذ ذلك عبر أدوات مثل apt update وapt upgrade، مع مراقبة إصدارات البرامج، وتطبيق التحديثات الأمنية فور صدورها. كما يُنصح باختبار التكوينات بعد كل تعديل باستخدام أدوات مثل nginx -t وapachectl configtest لضمان عدم وجود أخطاء قبل إعادة التشغيل.

بالإضافة إلى ذلك، يُنصح باستخدام أدوات إدارة النسخ الاحتياطي لضمان استعادة البيانات بسهولة في حالة حدوث خلل أو هجوم، مع تطبيق استراتيجيات النسخ الاحتياطي المنتظمة والتخزين الآمن للنسخ.

الخلاصة والنتائج النهائية

إن عملية إعداد Nginx كخادم ويب ووسيط عكسي لـ Apache على نظام Ubuntu 18.04 تتطلب فهمًا عميقًا للبنية التحتية، وتخصيص التكوينات بشكل دقيق، مع مراعاة عوامل الأمان، والأداء، والإدارة. من خلال تنفيذ الخطوات التفصيلية المذكورة، يمكن بناء بيئة ويب ذات أداء عالي، مرنة، وآمنة، تتيح استضافة مواقع متعددة، وتحسين تجربة المستخدم، وتقليل الأحمال على الخوادم الخلفية. يُعد هذا النهج من الحلول المثالية للمؤسسات التي تتطلع إلى تحديث بنيتها التحتية، والاستفادة من مزايا التوازن بين الأداء والأمان.

وفي النهاية، يُنصح دائمًا بمراجعة أحدث الممارسات والتحديثات التقنية، والاعتماد على أدوات مراقبة وتحليل الأداء بشكل دوري، لضمان استمرارية العمل بكفاءة، والتعامل مع التحديات المستقبلية بشكل استباقي. إن استثمار الوقت والجهد في ضبط وتطوير إعدادات الخادم بشكل مستمر هو المفتاح للحفاظ على بيئة ويب مستقرة ومتطورة تلبي جميع متطلبات الأمان والأداء.