如何在 Ubuntu 16.04 上使用 Postgres、Nginx 和 Gunicorn 设置 Django
介绍
Django 是一个功能强大的 Web 框架,可以帮助您启动 Python 应用程序或网站。 Django 包括一个简化的开发服务器,用于在本地测试您的代码,但对于任何与生产相关的东西,即使是轻微的生产相关,都需要一个更安全和更强大的 Web 服务器。
在本指南中,我们将演示如何在 Ubuntu 16.04 上安装和配置一些组件以支持和服务 Django 应用程序。我们将设置一个 PostgreSQL 数据库,而不是使用默认的 SQLite 数据库。我们将配置 Gunicorn 应用服务器以与我们的应用程序交互。然后我们将设置 Nginx 以反向代理 Gunicorn,使我们能够访问其安全和性能功能来为我们的应用程序提供服务。
先决条件和目标
为了完成本指南,您应该有一个全新的 Ubuntu 16.04 服务器实例,其中非根用户配置了 sudo 权限。您可以通过我们的初始服务器设置指南了解如何设置它。
我们将在虚拟环境中安装 Django。将 Django 安装到特定于项目的环境中将允许单独处理项目及其需求。
一旦我们的数据库和应用程序启动并运行,我们将安装和配置 Gunicorn 应用程序服务器。这将作为我们应用程序的接口,将 HTTP 中的客户端请求转换为我们的应用程序可以处理的 Python 调用。然后,我们将在 Gunicorn 前面设置 Nginx,以利用其高性能连接处理机制和易于实现的安全功能。
让我们开始吧。
从 Ubuntu 存储库安装软件包
要开始这个过程,我们将从 Ubuntu 存储库下载并安装我们需要的所有项目。稍后我们将使用 Python 包管理器 pip 安装其他组件。
我们需要更新本地的 apt 包索引,然后下载并安装包。我们安装的包取决于您的项目将使用的 Python 版本。
如果您使用的是 Python 2,请键入:
- sudo apt-get update
- sudo apt-get install python-pip python-dev libpq-dev postgresql postgresql-contrib nginx
如果您将 Django 与 Python 3 结合使用,请键入:
- sudo apt-get update
- sudo apt-get install python3-pip python3-dev libpq-dev postgresql postgresql-contrib nginx
这将安装 pip、稍后构建 Gunicorn 所需的 Python 开发文件、Postgres 数据库系统和与之交互所需的库,以及 Nginx Web 服务器。
创建 PostgreSQL 数据库和用户
我们将直接进入并为我们的 Django 应用程序创建一个数据库和数据库用户。
默认情况下,Postgres 对本地连接使用称为“对等身份验证”的身份验证方案。基本上,这意味着如果用户的操作系统用户名与有效的 Postgres 用户名匹配,则该用户无需进一步身份验证即可登录。
在 Postgres 安装期间,创建了一个名为 postgres 的操作系统用户,以对应于 postgres PostgreSQL 管理用户。我们需要使用此用户来执行管理任务。我们可以使用 sudo 并使用 -u 选项传入用户名。
通过键入以下内容登录到交互式 Postgres 会话:
- sudo -u postgres psql
您将看到一个 PostgreSQL 提示符,我们可以在其中设置我们的要求。
首先,为您的项目创建一个数据库:
- CREATE DATABASE myproject;
每个 Postgres 语句都必须以分号结尾,因此如果您遇到问题,请确保您的命令以分号结尾。
接下来,为我们的项目创建一个数据库用户。确保选择安全密码:
- CREATE USER myprojectuser WITH PASSWORD 'password';
之后,我们将为刚刚创建的用户修改一些连接参数。这将加快数据库操作,这样就不必在每次建立连接时都查询和设置正确的值。
我们将默认编码设置为 Django 期望的 UTF-8。我们还将默认事务隔离方案设置为“读取已提交”,它会阻止未提交事务的读取。最后,我们正在设置时区。默认情况下,我们的 Django 项目将设置为使用 UTC .这些都是Django项目本身的推荐:
- ALTER ROLE myprojectuser SET client_encoding TO 'utf8';
- ALTER ROLE myprojectuser SET default_transaction_isolation TO 'read committed';
- ALTER ROLE myprojectuser SET timezone TO 'UTC';
现在,我们可以授予新用户访问权限来管理我们的新数据库:
- GRANT ALL PRIVILEGES ON DATABASE myproject TO myprojectuser;
完成后,键入以下命令退出 PostgreSQL 提示符:
- \q
为您的项目创建一个 Python 虚拟环境
现在我们有了数据库,可以开始准备其余的项目需求了。我们将在虚拟环境中安装我们的 Python 需求,以便于管理。
为此,我们首先需要访问 virtualenv 命令。我们可以使用 pip 安装它。
如果您使用的是 Python 2,请升级 pip 并通过键入以下命令安装包:
- sudo -H pip install --upgrade pip
- sudo -H pip install virtualenv
如果您使用的是 Python 3,请升级 pip 并通过键入以下内容安装包:
- sudo -H pip3 install --upgrade pip
- sudo -H pip3 install virtualenv
安装了 virtualenv 后,我们就可以开始构建我们的项目了。创建并移动到一个目录,我们可以在其中保存我们的项目文件:
- mkdir ~/myproject
- cd ~/myproject
在项目目录中,通过键入以下命令创建 Python 虚拟环境:
- virtualenv myprojectenv
这将在您的 myproject 目录中创建一个名为 myprojectenv 的目录。在内部,它将安装一个本地版本的 Python 和一个本地版本的 pip。我们可以使用它为我们的项目安装和配置一个独立的 Python 环境。
在我们安装项目的 Python 要求之前,我们需要激活虚拟环境。您可以通过键入以下内容来做到这一点:
- source myprojectenv/bin/activate
您的提示应更改为表明您现在正在 Python 虚拟环境中操作。它看起来像这样:(myprojectenv)user@host:~/myproject$。
在虚拟环境处于活动状态的情况下,使用 pip 的本地实例安装 Django、Gunicorn 和 psycopg2 PostgreSQL 适配器:
无论您使用的是哪个版本的 Python,当虚拟环境被激活时,您应该使用 pip 命令(而不是 pip3)。
- pip install django gunicorn psycopg2
您现在应该拥有启动 Django 项目所需的所有软件。
创建和配置一个新的 Django 项目
安装我们的 Python 组件后,我们可以创建实际的 Django 项目文件。
创建 Django 项目
由于我们已经有了一个项目目录,我们将告诉 Django 在这里安装文件。它会创建一个带有实际代码的二级目录,这很正常,并在该目录下放置一个管理脚本。这样做的关键是我们明确定义了目录,而不是让 Django 做出相对于我们当前目录的决定:
- django-admin.py startproject myproject ~/myproject
此时,您的项目目录(在我们的示例中为 ~/myproject)应具有以下内容:
~/myproject/manage.py:一个Django项目管理脚本。~/myproject/myproject/:Django项目包。这应该包含__init__.py、settings.py、urls.py和wsgi.py文件。~/myproject/myprojectenv/:我们之前创建的虚拟环境目录。
调整项目设置
我们应该对我们新创建的项目文件做的第一件事是调整设置。在文本编辑器中打开设置文件:
- nano ~/myproject/myproject/settings.py
首先找到 ALLOWED_HOSTS 指令。这定义了可用于连接到 Django 实例的服务器地址或域名列表。任何带有不在此列表中的 Host 标头的传入请求都将引发异常。 Django 要求您设置此项以防止某类安全漏洞。
在方括号中,列出与您的 Django 服务器关联的 IP 地址或域名。每一项都应在引号中列出,条目之间以逗号分隔。如果您希望请求整个域和任何子域,请在条目开头添加一个句点。在下面的代码片段中,有一些用于演示的注释掉的示例:
. . .
# The simplest case: just add the domain name(s) and IP addresses of your Django server
# ALLOWED_HOSTS = [ 'example.com', '203.0.113.5']
# To respond to 'example.com' and any subdomains, start the domain with a dot
# ALLOWED_HOSTS = ['.example.com', '203.0.113.5']
ALLOWED_HOSTS = ['your_server_domain_or_IP', 'second_domain_or_IP', . . .]
接下来,找到配置数据库访问的部分。它将以 DATABASES 开头。文件中的配置适用于 SQLite 数据库。我们已经为我们的项目创建了一个 PostgreSQL 数据库,所以我们需要调整设置。
使用您的 PostgreSQL 数据库信息更改设置。我们告诉 Django 使用我们通过 pip 安装的 psycopg2 适配器。我们需要给出数据库名称、数据库用户名、数据库用户密码,然后指定数据库位于本地计算机上。您可以将 PORT 设置保留为空字符串:
. . .
DATABASES = {
'default': {
'ENGINE': 'django.db.backends.postgresql_psycopg2',
'NAME': 'myproject',
'USER': 'myprojectuser',
'PASSWORD': 'password',
'HOST': 'localhost',
'PORT': '',
}
}
. . .
接下来,向下移动到文件底部并添加一个指示静态文件应放置位置的设置。这是必要的,以便 Nginx 可以处理对这些项目的请求。以下行告诉 Django 将它们放在基础项目目录中名为 static 的目录中:
. . .
STATIC_URL = '/static/'
STATIC_ROOT = os.path.join(BASE_DIR, 'static/')
完成后保存并关闭文件。
完成初始项目设置
现在,我们可以使用管理脚本将初始数据库模式迁移到我们的 PostgreSQL 数据库:
- ~/myproject/manage.py makemigrations
- ~/myproject/manage.py migrate
通过键入以下内容为项目创建管理用户:
- ~/myproject/manage.py createsuperuser
您必须选择一个用户名,提供一个电子邮件地址,然后选择并确认一个密码。
我们可以通过键入以下内容将所有静态内容收集到我们配置的目录位置:
- ~/myproject/manage.py collectstatic
您将必须确认该操作。然后静态文件将被放置在项目目录中名为 static 的目录中。
如果您遵循初始服务器设置指南,您应该有一个 UFW 防火墙来保护您的服务器。为了测试开发服务器,我们必须允许访问我们将使用的端口。
通过键入以下内容为端口 8000 创建例外:
- sudo ufw allow 8000
最后,您可以使用以下命令启动 Django 开发服务器来测试您的项目:
- ~/myproject/manage.py runserver 0.0.0.0:8000
在您的网络浏览器中,访问您服务器的域名或 IP 地址,后跟 :8000:
http://server_domain_or_IP:8000
你应该看到默认的 Django 索引页面:
如果将 /admin 附加到地址栏中的 URL 末尾,系统将提示您输入使用 createsuperuser 命令创建的管理用户名和密码:
通过身份验证后,您可以访问默认的 Django 管理界面:
完成探索后,在终端窗口中按 CTRL-C 关闭开发服务器。
测试 Gunicorn 服务项目的能力
在离开我们的虚拟环境之前,我们要做的最后一件事是测试 Gunicorn 以确保它可以为应用程序提供服务。我们可以通过进入我们的项目目录并使用 gunicorn 加载项目的 WSGI 模块来完成此操作:
- cd ~/myproject
- gunicorn --bind 0.0.0.0:8000 myproject.wsgi
这将在运行 Django 开发服务器的同一界面上启动 Gunicorn。您可以返回并再次测试该应用程序。
注意:管理界面不会应用任何样式,因为 Gunicorn 不知道对此负责的静态 CSS 内容。
我们通过指定 Django 的 wsgi.py 文件的相对目录路径将模块传递给 Gunicorn,这是我们应用程序的入口点,使用 Python 的模块语法。在该文件中,定义了一个名为application 的函数,用于与应用程序通信。要了解有关 WSGI 规范的更多信息,请单击此处。
完成测试后,在终端窗口中按 CTRL-C 以停止 Gunicorn。
我们现在已经完成了 Django 应用程序的配置。我们可以通过键入以下内容退出我们的虚拟环境:
- deactivate
提示中的虚拟环境指示器将被删除。
创建 Gunicorn systemd 服务文件
我们已经测试过 Gunicorn 可以与我们的 Django 应用程序交互,但是我们应该实现一种更健壮的方式来启动和停止应用程序服务器。为此,我们将创建一个 systemd 服务文件。
在文本编辑器中使用 sudo 权限为 Gunicorn 创建并打开一个 systemd 服务文件:
- sudo nano /etc/systemd/system/gunicorn.service
从 [Unit] 部分开始,该部分用于指定元数据和依赖项。我们将在此处对我们的服务进行描述,并告诉 init 系统仅在达到网络目标后才启动此服务:
[Unit]
Description=gunicorn daemon
After=network.target
接下来,我们将打开 [Service] 部分。我们将指定我们想要处理以在其下运行的用户和组。我们将授予我们的普通用户帐户所有权,因为它拥有所有相关文件。我们将组所有权授予 www-data 组,以便 Nginx 可以轻松地与 Gunicorn 通信。
然后我们将映射出工作目录并指定用于启动服务的命令。在这种情况下,我们必须指定安装在我们的虚拟环境中的 Gunicorn 可执行文件的完整路径。由于 Nginx 安装在同一台计算机上,我们将把它绑定到项目目录中的 Unix 套接字。这比使用网络端口更安全、更快速。我们还可以在此处指定任何可选的 Gunicorn 调整。例如,我们在这种情况下指定了 3 个工作进程:
[Unit]
Description=gunicorn daemon
After=network.target
[Service]
User=sammy
Group=www-data
WorkingDirectory=/home/sammy/myproject
ExecStart=/home/sammy/myproject/myprojectenv/bin/gunicorn --access-logfile - --workers 3 --bind unix:/home/sammy/myproject/myproject.sock myproject.wsgi:application
最后,我们将添加一个 [Install] 部分。如果我们允许它在引导时启动,这将告诉 systemd 将该服务链接到什么。我们希望此服务在常规多用户系统启动并运行时启动:
[Unit]
Description=gunicorn daemon
After=network.target
[Service]
User=sammy
Group=www-data
WorkingDirectory=/home/sammy/myproject
ExecStart=/home/sammy/myproject/myprojectenv/bin/gunicorn --access-logfile - --workers 3 --bind unix:/home/sammy/myproject/myproject.sock myproject.wsgi:application
[Install]
WantedBy=multi-user.target
这样,我们的 systemd 服务文件就完成了。现在保存并关闭它。
我们现在可以启动我们创建的 Gunicorn 服务并启用它,以便它在引导时启动:
- sudo systemctl start gunicorn
- sudo systemctl enable gunicorn
我们可以通过检查套接字文件来确认操作是否成功。
检查 Gunicorn 套接字文件
检查进程的状态以确定它是否能够启动:
- sudo systemctl status gunicorn
接下来,检查项目目录中是否存在 myproject.sock 文件:
- ls /home/sammy/myproject
Outputmanage.py myproject myprojectenv myproject.sock static
如果 systemctl status 命令指示发生错误,或者如果您在目录中找不到 myproject.sock 文件,则表明Gunicorn 无法正确启动。键入以下命令检查 Gunicorn 进程日志:
- sudo journalctl -u gunicorn
查看日志中的消息,找出 Gunicorn 在哪里遇到问题。您可能遇到问题的原因有很多,但如果 Gunicorn 无法创建套接字文件,通常是由于以下原因之一:
- 项目文件属于
root用户而不是sudo用户 /etc/systemd/system/gunicorn.service文件中的WorkingDirectory路径未指向项目目录ExecStart指令中为gunicorn进程提供的配置选项不正确。检查以下项目:gunicorn二进制文件的路径指向二进制文件在虚拟环境中的实际位置--bind指令定义要在 Gunicorn 可以访问的目录中创建的文件myproject.wsgi:application是 WSGI 可调用的准确路径。这意味着当您在WorkingDirectory中时,您应该能够通过查看myproject 来访问名为模块(转换为名为application的可调用对象.wsgi./myproject/wsgi.py的文件)
如果您更改了
/etc/systemd/system/gunicorn.service文件,请重新加载守护进程以重新读取服务定义并通过键入以下命令重新启动 Gunicorn 进程:- sudo systemctl daemon-reload
- sudo systemctl restart gunicorn
确保在继续之前解决上述任何问题。
配置 Nginx 代理传递给 Gunicorn
现在 Gunicorn 已设置,我们需要配置 Nginx 以将流量传递给该进程。
首先在 Nginx 的
sites-available目录中创建并打开一个新的服务器块:- sudo nano /etc/nginx/sites-available/myproject
在里面,打开一个新的服务器块。我们将首先指定此块应在正常端口 80 上侦听,并且它应响应我们服务器的域名或 IP 地址:
server { listen 80; server_name server_domain_or_IP; }接下来,我们将告诉 Nginx 忽略查找图标的任何问题。我们还将告诉它在哪里可以找到我们在
~/myproject/static目录中收集的静态资产。所有这些文件都有一个标准的 URI 前缀“/static”,因此我们可以创建一个位置块来匹配这些请求:server { listen 80; server_name server_domain_or_IP; location = /favicon.ico { access_log off; log_not_found off; } location /static/ { root /home/sammy/myproject; } }最后,我们将创建一个
location/{}块来匹配所有其他请求。在此位置内,我们将包含 Nginx 安装中包含的标准proxy_params文件,然后我们将流量传递到我们的 Gunicorn 进程创建的套接字:server { listen 80; server_name server_domain_or_IP; location = /favicon.ico { access_log off; log_not_found off; } location /static/ { root /home/sammy/myproject; } location / { include proxy_params; proxy_pass http://unix:/home/sammy/myproject/myproject.sock; } }完成后保存并关闭文件。现在,我们可以通过将文件链接到
sites-enabled目录来启用该文件:- sudo ln -s /etc/nginx/sites-available/myproject /etc/nginx/sites-enabled
键入以下命令测试 Nginx 配置是否存在语法错误:
- sudo nginx -t
如果没有报告错误,请继续并通过键入以下内容重新启动 Nginx:
- sudo systemctl restart nginx
最后,我们需要在端口 80 上对正常流量开放防火墙。由于我们不再需要访问开发服务器,因此我们也可以删除规则以打开端口 8000:
- sudo ufw delete allow 8000
- sudo ufw allow 'Nginx Full'
您现在应该能够转到服务器的域或 IP 地址来查看您的应用程序。
配置 Nginx 后,下一步应该是使用 SSL/TLS 保护到服务器的流量。这很重要,因为没有它,包括密码在内的所有信息都将以纯文本形式通过网络发送。
如果您有域名,获取 SSL 证书以保护您的流量的最简单方法是使用 Let's Encrypt。按照本指南在 Ubuntu 16.04 上使用 Nginx 设置 Let's Encrypt。
如果您没有域名,您仍然可以使用自签名 SSL 证书保护您的站点以进行测试和学习。
Nginx 和 Gunicorn 故障排除
如果这最后一步没有显示您的应用程序,您将需要对安装进行故障排除。
Nginx 显示默认页面而不是 Django 应用程序
如果 Nginx 显示默认页面而不是代理到您的应用程序,这通常意味着您需要调整
/etc/nginx/sites-available/myprojectserver_namemark> 文件指向你服务器的IP地址或域名。Nginx 使用
server_name来确定使用哪个服务器块来响应请求。如果您看到默认的 Nginx 页面,则表明 Nginx 无法将请求显式匹配到服务器块,因此它会返回到/etc/nginx/sites-available 中定义的默认块/默认。项目服务器块中的
server_name必须比要选择的默认服务器块中的服务器名称更具体。Nginx 显示 502 Bad Gateway 错误而不是 Django 应用程序
502 错误表示 Nginx 无法成功代理该请求。范围广泛的配置问题会以 502 错误表示,因此需要更多信息才能正确排除故障。
查找更多信息的主要位置是 Nginx 的错误日志。通常,这会告诉您在代理事件期间是什么情况导致了问题。通过键入以下内容来跟踪 Nginx 错误日志:
- sudo tail -F /var/log/nginx/error.log
现在,在浏览器中发出另一个请求以生成新错误(尝试刷新页面)。您应该会在日志中看到一条新的错误消息。如果您查看该消息,它应该可以帮助您缩小问题范围。
您可能会看到以下某些消息:
connect() 到 unix:/home/sammy/myproject/myproject.sock 失败(2:没有那个文件或目录)
这表明 Nginx 无法在给定位置找到
myproject.sock文件。您应该将/etc/nginx/sites-available/myproject文件中定义的proxy_pass位置与myproject.sock文件的实际位置进行比较在您的项目目录中生成。如果您在项目目录中找不到
myproject.sock文件,通常意味着gunicorn进程无法创建它。返回检查 Gunicorn 套接字文件部分,逐步完成 Gunicorn 的故障排除步骤。connect() 到 unix:/home/sammy/myproject/myproject.sock 失败(13:权限被拒绝)
这表明 Nginx 由于权限问题无法连接到 Gunicorn 套接字。通常,当使用 root 用户而不是
sudo用户执行该过程时,会发生这种情况。虽然 Gunicorn 进程能够创建套接字文件,但 Nginx 无法访问它。如果根目录 (
/) 和myproject.sock文件之间的任何位置的权限有限,就会发生这种情况。我们可以通过将套接字文件的绝对路径传递给namei命令来查看套接字文件及其每个父目录的权限和所有权值:- namei -nom /home/sammy/myproject/myproject.sock
Outputf: /home/sammy/myproject/myproject.sock drwxr-xr-x root root / drwxr-xr-x root root home drwxr-xr-x sammy sammy sammy drwxrwxr-x sammy sammy myproject srwxrwxrwx sammy www-data myproject.sock输出显示每个目录组件的权限。通过查看权限(第一列)、所有者(第二列)和组所有者(第三列),我们可以确定允许对套接字文件进行何种类型的访问。
在上面的示例中,套接字文件和通向套接字文件的每个目录都具有全局读取和执行权限(目录的权限列以
r-x而不是结尾---)。 Nginx 进程应该能够成功访问套接字。如果通向套接字的任何目录没有世界读取和执行权限,则 Nginx 将无法访问套接字,除非允许世界读取和执行权限或确保将组所有权授予 Nginx 所属的组的。对于像
/root目录这样的敏感位置,上述两个选项都是危险的。最好将项目文件移到目录之外,这样您可以在不影响安全性的情况下安全地控制访问。Django 正在显示:“无法连接到服务器:连接被拒绝”
当您尝试在 Web 浏览器中访问应用程序的某些部分时,您可能会从 Django 看到一条消息:
OperationalError at /admin/login/ could not connect to server: Connection refused Is the server running on host "localhost" (127.0.0.1) and accepting TCP/IP connections on port 5432?这表明 Django 无法连接到 Postgres 数据库。通过键入以下内容确保 Postgres 实例正在运行:
- sudo systemctl status postgresql
如果不是,您可以通过键入以下命令启动它并使其在引导时自动启动(如果尚未配置为这样做):
- sudo systemctl start postgresql
- sudo systemctl enable postgresql
如果仍有问题,请确保
~/myproject/myproject/settings.py文件中定义的数据库设置正确。进一步故障排除
对于其他故障排除,日志可以帮助缩小根本原因的范围。依次检查它们中的每一个并查找指示问题区域的消息。
以下日志可能会有所帮助:
- 通过键入以下命令检查 Nginx 进程日志:
sudo journalctl -u nginx - 通过键入以下命令检查 Nginx 访问日志:
sudo less /var/log/nginx/access.log - 通过键入以下命令检查 Nginx 错误日志:
sudo less /var/log/nginx/error.log - 通过键入以下命令检查 Gunicorn 应用程序日志:
sudo journalctl -u gunicorn
当您更新配置或应用程序时,您可能需要重新启动流程以适应您的更改。
如果您更新 Django 应用程序,您可以通过键入以下命令重新启动 Gunicorn 进程以获取更改:
- sudo systemctl restart gunicorn
如果更改
gunicornsystemd 服务文件,请重新加载守护进程并通过键入以下命令重新启动进程:- sudo systemctl daemon-reload
- sudo systemctl restart gunicorn
如果更改 Nginx 服务器块配置,请测试配置,然后通过键入以下命令测试 Nginx:
- sudo nginx -t && sudo systemctl restart nginx
这些命令有助于在您调整配置时获取更改。
结论
在本指南中,我们在自己的虚拟环境中设置了一个 Django 项目。我们已经配置 Gunicorn 来翻译客户端请求,以便 Django 可以处理它们。之后,我们将 Nginx 设置为充当反向代理来处理客户端连接并根据客户端请求为正确的项目提供服务。
Django 通过提供许多通用部分使创建项目和应用程序变得简单,让您专注于独特的元素。通过利用本文中描述的通用工具链,您可以轻松地为从单个服务器创建的应用程序提供服务。