WordPress Tuning Teil 2

Nachdem die letzten Tage schon etwas an der Geschwindigkeit gedreht wurde waren gestern noch ein paar Sachen die noch mehr Speed bringen.War ja auch die letzten Tage sehr ruhig, viel neues gab es nicht, also wieso die Zeit nicht für solche Sachen nutzen.

Am Apache wurde noch ein wenig an den Verbindungen pro Clients, Clients pro Child usw. optimiert. Ausserdem hat PHP noch etwas mehr fürs Chaching bekommen. Leider ist das Einbinden von memcached bei WordPress noch nicht vorgesehen. Es gibt da zwar schon etwas, aber da sind noch 1-2 Bugs drin daher wird es nicht aktiviert. Die Stellen die noch etwas Buggy sind guck ich mir noch mal in Ruhe an.

MySQL wurde bei der Gelegenheit auch noch mal etwas getuned.

• query_cache_size auf 32 MB

Dann noch mal:

• key_buffer=64M;
• table_cache=256;
• sort_buffer=4M;
• read_buffer_size=1M

Genauer angeguckt und noch mehr Speicher vergeben.

Sidebar Widget sind jetzt auch noch ein paar rausgeflogen. Kalender ist raus, der muss ja jedesmal Anfragen an die DB schicken und bearbeiten damit er die Tage verlinkt, an die gepostet wurde.

Kategorieren mussen auch ausgelesen und generiert werden, also auch erst mal raus wie der Tag-Cloud. Die drei kommen aber wieder in die Sidebar, aber erst wenn die Module fertig sind. Es sollen für alle drei eigene Module her, die Statisches Material erstellen die dann an die Stellen eingefügt werden. Entweder kann man die Sachen dann nach X Minuten bei einem Aufruf der Seite erstellen lassen oder für die jenigen die Crontabs anlegen können, kann es dann regelmässig von Cron erledigt werden. Alternativ dann aus dem Adminpanel heraus, wenn man etwas neues gepostet hat, damit dann alle Sachen einmal neu generiert werden.

Wo wir gerade dabei sind, das ganze soll dann auch mit den letzten Kommentaren passieren. Was vergessen? Glaube ja, komme aber gerade nicht drauf was gestern noch gemacht wurde. Das wird gepostet wenn es mir wieder einfällt.

WordPress optimiert, Apache und MySQL optimiert.

Die Seite und der Adminbereich sind in letzter Zeit etwas träge gewesen. Also ma wieder das übliche optimiert.

WordPress:

• unötige PlugIns gelöscht,
• Datenbank optimiert,
• Resionierung deaktiviert,
• Revisionen gelöscht.

Apache:

• Content komprinieren im Apache

  AddOutputFilterByType DEFLATE text/html text/plain text/xml text/css application/javascript application/x-javascript application/x-httpd-php application/rss+xml application/atom_xml text/javascrip

• Subdomains für scripts.* und image.* erstellt über die Bilder und CSS ausgeliefert werden, so das die Browser mehr Verbindungen zum Server aufmachen können.
• Create expires headers für Mediafiles, Styles, Bilder usw.

Mysql:

• Caching noch weiter optimiert.
• MySQL Proxy vorbereitet.

Das reicht jetzt erst einmal wieder etwas und die Seite ist jetzt auch noch beim Aufrufen durch Besucher schneller.

Lastverteilung, Backends und Statistiken

[mp3 url="http://www.pretzlaff.info/wp/wp-content/uploads/2008/06/21062008-lastverteilung.mp3"]Vorlesen[/mp3]

In den letzten Tagen, schon eher Wochen war es hier recht still. Der Grund ist die Last des Servers gewesen. Da ein Bekannter von mir einen schlecht programmierten Chat benutzt war die Last auf der Datenbank und dem Webserver teilweise sehr hoch. Dadurch konnten ein paar Seiten nicht mehr ausgeliefert werden. Damit meine Seiten erreichbar bleiben habe ich einfach schnell alle hinter einen Loadbalancer gepackt, der diese Seite z.B. auf drei Webserver verteilt. Die Datenbank wurde auf eine zweite MySQL geschoben und alle Webserver benutzen jetzt für diese Seite die neue Datenbank über eine VPN Verbindung.

Das geht aktuell noch sehr gut, sollten die Besucherzahlen weiter so steigen wird auch hier die nächste Lösung zum Einsatz kommen. Diese wird aber aktuell noch getestet, damit nachher nichts schief läuft.

Das nächste Problem war dann mit der Verteilung auf die verschiedenen Server die Uploads beim WordPress und anderen. Diese werden nur auf dem Server abgelegt, auf dem ein Upload ausgeführt wurde. So sind diese Dateien auf den anderen Servern nicht vorhanden. Dazu wird jetzt regelmässig zwischen den einzelnen Servern synchronisiert. Das übernimmt Unison, da es sehr gut mit SSH funktioniert.

Bei einem anderen Thema wird aktuell an Lastverteilten Front-, Backends und Proxys gebastelt. Der Grund ist Google Analytics, GetClicky usw. die Trackingdaten auf Ihren Servern speichern. Jetzt wird das alle komplett selbst gemacht. Alle Daten werden bei mir gespeichert, nichts mehr an andere Anbieter übertragen. Denn es könnte immer mal sein, das Daten an dritte weitergegeben werden, ein Anbieter stellt seinen Dienst ein oder der Dienst wird kostenpflichtig. Wenn auch nur zum Teil kostenpflichtig, fehlen dann vielleicht dann im kostenlosen Teil die Daten die am wichtigsten sind.

Weitere Argumente gegen einen externen Dienstleister sind Ausfälle bei diesem. Als beim letzten mal Google ausgefallen ist (DNS/Domainklau) waren alle Seiten, die Google Analytics einsetzen nicht mehr erreichbar oder sehr eingeschränkt nutzbar. Es kam immer zu Timeouts beim einbinden des Google Codes und Seiten wurde nur halb oder sogar überhaupt nicht mehr angezeigt. Schlimmer als ein Ausfall ist aber ein erfolgreicher Hack der Google Server. Sollte das einmal passieren könnten Angreifer die Hälfte aller Internetseiten weltweit umleiten auf eigene Seiten.

Damit die eigenen Statistiksoftware stabil und zuverlässig erreichbar ist, ist sie auch hinter einem Loadbalancer, die jeweiligen Frontends sind aber so abgespeckt, das sie nicht mehr viel, bis auf eine Funktion Scriptseitig ausführen können. Sie rufen die angeforderten Inhalte auf den Backends ab, die jeweils wieder nur einen Teil der Aufgaben übernehmen. Ein paar können PHP, die anderen wiederum können z.B. nur Perl. Das ganze setzt sich somit wie folgt zusammen.

• 2 Loadbalancer
• Je Loadblancer 4 Frontends
• Je Frontend 4 PHP und 4 Perl Backends

Die Frontends haben nur die Funktion die Anfragen für die Backends so verarbeiten damit diese mit den richtigen Parametern gefüttert werden. Sollte jetzt jemand z.B. versuchen und auch noch Erfolg haben PHP- oder Perlscripte dazu zu benutzen um externen Code auf dem Webserver abzulegen ist es zwar toll für den Angreifer. Problem ist nur das er im weiteren Verlauf überhaupt nicht auf sein zuvor abgelegtes Script zugreifen kann. Es wurde, wenn es jemand überhaupt schaffen sollte, auf einem der Backends ausgeführt. Diese sind aber überhaupt nicht vom Internet aus erreichbar. Auch nicht über angehängte Parameter könnte man den Frontendserver dazu zubewegen diese weiter durch zureichen. Dazu kommt noch, der Angreifer weiss gar nicht das er auf dahinter liegende Server zugreift und schon gar nicht auf welchen er landet.

Was weiter oben schon angesprochen wurde ist hierbei kein Problem, wenn eine Anfrage sehr langsam oder gar nicht von einem Backend beantwortet werden kann. Bei den ersten Tests war es schon erstaunlich wie schnell die Seiten aufgebaut wurden, auch wenn die entsprechenden Backends komplett abgeschaltet waren. Der Rest der Seite wurde von den anderen geliefert und prompt vom Browser dargestellt.

Zusätzlich wird noch die MySQL-Datenbank in Zukunft mit primary und secondarys betrieben um die lesenden Zugriffe auf mehrere Server besser zuverteilen. Schreibend wird auf den primary zugegriffen, lesend über einen MySQL-Proxy auf allen, je nach dem wie die Last auf den einzelnen Datenbankservern aktuell ist.

Der aktuelle Traffic ist pro Stunde bei ca. 500 – 700 MB, kommt dabei dann dazu das z.B. das Chatsystem wieder einmal amok rennt, wurde es ab und zu einmal eng für die anderen Seiten auf dem Server. Durch die Veränderungen ist es egal, wenn etwas passiert. Sollte ein Server überhaupt nicht mehr erreichbar sein sind noch genug andere vorhanden um die Anfragen zu verarbeiten. Einer der Nebeneffekte ist auch, man kann einzelne Server aus der Verteilung nehmen und auf Testdomains benutzen um mit der Live Konfiguration testen zu können. Klappt alles mit diesem Server nimmt man noch mehr aus der Verteilung, macht die Änderungen auf diesen auch und tauscht die neu konfigurierten Server mit den aktuell genutzten aus. Man muss dann nur noch die restlichen Server umkonfigurieren und anschliessend wieder mit in die Verteilung nehmen. Die User merken nichts davon und es ist auch wesentlich weniger Stress. Man weiß das man in Ruhe auch einmal einen Fehler machen kann.

Links mit Screenshots

RewriteRule für Amazon Partnerprogramm [Update]

Der Chris vom Ruhrpottforum und VDSL-News will seine Links zu Amazon über domain.tld/extern/amazon/suche/<SUCHWORT> umleiten. Hierfür hat er von mir folgende RewriteRule bekommen.

# Die Zeile ist hier mit dem \ umgebrochen wegen der Anzeigen.
RewriteRule ^extern/amazon/suche/(.*) \

link%5Fcode=qs&field-keywords=$1 [L]


Bei ihm funktioniert aber das Flag [P] nicht um die vdsl-news.de in der URL stehen zu lassen, daher nutzt er aktuell noch das Flag [L]. Wer das Flap [P] benutzen möchte sollte noch folgende RewriteRule einsetzen damit dann weitere Links von der Amazonseite aus funktionieren.

# Die Zeile ist hier mit dem \ umgebrochen wegen der Anzeigen.
RewriteRule ^gp/redirect.html/(.*) \ http://www.amazon.de/gp/redirect.html/$1 [L]


Chris plant auch noch zusätzlich neben seinem Info Blog zum Thema VDSL noch weitere Anlaufstellen zum Thema Bluray und HDTV. Dafür schon einmal viel Erfolg.

Beim testen der Rewrite Rules haben wir gerade als Suchbegriff Tiesto benutzt. Erstaunlich das sofort auf der Amazonseite nach dem testen bei mir Tiesto aufgetaucht ist im Amazon Partnerprogramm. Das zeigt einmal mehr wie sehr Amazon Profiles über die Besucher erstellt und sehr viele Daten speichert.

Update: Das Flag [P] sollte an dieser Stelle auch nicht benutzt werden. Denn damit kann Amazon den Link nicht richtig taggen und nicht auf die Amazon ID referenzieren.

Apache mit WebDav Lese-/Schreibrecht je Benutzer festlegen

Zugriff per WebDav ist mit dem DAV Modul im Apache schnell eingerichtet. Der Zugriff ist auch leicht einzuschränken mit AuthUserFile und mit AuthGroupFile kann sogar einzelnen User Lesen und Schreiben erlaubt werden.

Apache Konfiguration:

Hier ist das DocumentRoot auf /path/to/webdav/data ausserhalb des Root gesetzt, welches für die Homepage benutzt wird. Es kann auch innerhalb des Verzeichnisses liegen in de auch die Homepage liegt. Will man aber nicht das irgendwelche ScriptKiddies oder Leute, die nichts im WebDav zusuchen haben, fern halten sollte man es einfach auf eine Subdomain legen. Es ist zwar alles mit Benutzername und Passwort geschützt, was der User nicht weiß macht ihn nicht heiss. Ist es gewünscht das sich das WebDav Daten Verzeichnis doch in der “normalen” WebRoot der Homepage befindet ist hier einfach ein Alias zu setzen und Directory anzupassen:

Alias /webdav/ /srv/www/html/wedav/

Directory /srv/www/html

Die Pfade zu dem AuthUserFile und AuthGroupFile sind dann auch anzupassen.

Hier die oben erwähnte Konfiguration ausserhalb des DocumentRoots der Internetseite:

<Directory /path/to/webdav/data>
DAV on
Options +Indexes
AllowOverride AuthConfig
AuthType Basic
AuthName “WebDAV Verzeichnis”
AuthUserFile /path/to/webdav/.htpasswd
AuthGroupFile “/path/to/webdav/.htgroups”
<LimitExcept OPTIONS>
Require valid-user
</LimitExcept>
<Limit COPY DELETE LOCK MKCOL MOVE POST PUT UNLOCK>
Require group rw
</Limit>
</Directory>

Die Gruppe “rw” bekommt dann die Rechte “COPY DELETE LOCK MKCOL MOVE POST PUT UNLOCK” über die Datei .htgroups. Alle Benutzer werden wie gewohnt in die .htaccess eingetragen. Die User, die per WebDav das Verzeichnis beschreiben dürfen kommen in die Datei .htgroups zu “rw: …” die restlichen User zum Eintrage “ro: …”. Die Datei ist wie folgt aufgebaut:

rw: admin1 admin2 user1 user2

ro: gast1 userA userB

Anschliessend noch ein Apache reload und man kann den Zugriff auf die WebDav-Freigabe testen.

Fehler beim Zugriff

Sollte der Zugriff im Browser oder über den Windowsexplorer/Apple Finder nicht klappen, könnten im Logfile des Apache Webserver folgende Einträge sein:

[Fri Aug 17 16:17:49 2007] [error] [client xxx.xxx.xxx.xxx] The locks could not be queried for verification against a possible “If:” header. [500, #0]
[Fri Aug 17 16:17:49 2007] [error] [client xxx.xxx.xxx.xxx] Could not open the lock database. [500, #400]
[Fri Aug 17 16:17:49 2007] [error] [client xxx.xxx.xxx.xxx] (21)Is a directory: Could not open property database. [500, #1]

Ursache ist, dass das Verzeichnis /var/lock/apache2 nur für root schreibbar war. Somit kann Apache, der als “www-data” arbeitet, das Lock für WebDAV nicht anlegen. Ein

chown www-data:www-data /var/lock/apache2

löst dieses Problem.

Fehler: undefined symbol: dav_hook_gather_propsets

Sollte dieser Fehler auftauchen, nachdem man den Apache2-Webserver neu starten will, muss man das Modul “dav” zusätzlich aktivieren: Der Fehler liegt in der Abhängigkeit, welche nicht richtig aufgelöst werden kann.

Danach sollte der Webserver ohne Probleme starten.

Borkweb Apache Rewrite Cheatsheet

Borkweb Apache Rewrite Cheatsheet