Отворен билет 
+373 79 600002 
Чат на живо в Telegram 
Често задавани въпроси 
български
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
Polski 
Indonesia 
中文 (中国) 
АдминистрацияКакво е Apache HTTP Server и какво прави той за разработката на уебсайтове?
Apache HTTP Server е софтуер за уеб сървър с отворен код, който получава HTTP/HTTPS заявки от клиенти (браузъри, API потребители, кроулъри) и връща подходящия отговор — изобразена HTML страница, двоичен файл, пренасочване или код за грешка. Поддържан от Apache Software Foundation от 1995 г., той остава един от най-широко разпространените уеб сървъри в интернет, захранвайки всичко — от едностранични лични блогове до многостепенни корпоративни приложения.
В архитектурната си същност Apache следва модел за обработка на заявки, базиран на процеси/нишки, управляван от Multi-Processing Modules (MPMs). Всяка входяща връзка се обработва от работен процес или нишка, което е съзнателен архитектурен избор, приоритизиращ стабилността и изолацията пред чистия паралелизъм — компромис, който има значителни последици при избора на уеб сървър за натоварвания с висок трафик.
Как Apache се вписва в уеб стека
Apache не работи изолирано. Той се намира между мрежата и приложния ви слой, превеждайки необработени TCP връзки в структурирани HTTP транзакции. При типично производствено внедряване той взаимодейства с:
- Машина за бази данни (MySQL, PostgreSQL, MariaDB) за постоянни данни
- Среда за изпълнение от страна на сървъра (PHP-FPM, Python WSGI, Ruby Rack, Node.js чрез прокси)
- Слой за TLS терминиране (обработван нативно чрез
mod_sslили прехвърлен към обратен прокси) - Планировчик на процеси на операционната система, който разпределя CPU времето към работния пул на Apache
Разбирането на тези взаимоотношения е от съществено значение преди конфигурирането на Apache за каквото и да е извън инсталацията по подразбиране.
Основни технически спецификации на Apache
| Свойство | Подробности |
|---|
| — | — |
|---|
| Текущ стабилен клон | Apache 2.4.x |
|---|
| Лиценз | Apache License 2.0 |
|---|
| Поддържани платформи | Linux, FreeBSD, Windows, macOS, Solaris |
|---|
| Конфигурационен файл по подразбиране | `/etc/apache2/apache2.conf` (Debian/Ubuntu), `/etc/httpd/conf/httpd.conf` (RHEL/CentOS) |
|---|
| Основна директория на документи по подразбиране | `/var/www/html` |
|---|
| MPM опции | `prefork`, `worker`, `event` |
|---|
| Модулна система | Статична (компилирана) и динамична (DSO чрез `mod_so`) |
|---|
Multi-Processing Modules: Архитектурата, която определя производителността
Това е детайлът, който повечето уводни статии напълно пропускат. Поведението на Apache при обработка на заявки се определя от това кой MPM е активен, а грешният избор може да причини сериозна деградация на производителността при натоварване.
prefork MPM
Всяка заявка се обработва от отделен, еднонишков дъщерен процес. Никакви нишки не се споделят между заявките, което го прави единствения безопасен MPM за библиотеки, които не са безопасни за нишки — най-критично, наследственият модул mod_php (libphp).
- Предимство: Изолацията на процесите означава, че срив в един работен процес не засяга останалите.
- Недостатък: Висока консумация на памет при мащабиране. Всеки неактивен процес все още заема RAM.
- Кога да се използва: Наследствени PHP приложения, използващи
mod_php, които не са мигрирани към PHP-FPM.
worker MPM
Хибриден модел: множество дъщерни процеси, всеки от които създава множество нишки. Една нишка обработва една връзка.
- Предимство: Значително по-малко използване на памет в сравнение с
preforkпри еквивалентен паралелизъм. - Недостатък: Всички модули, заредени в процеса, трябва да бъдат безопасни за нишки.
event MPM
Съвременният стандарт от Apache 2.4. Разширява worker, като делегира управлението на keep-alive връзки на специална нишка-слушател, освобождавайки работните нишки да обработват активни заявки, вместо да чакат на неактивни постоянни връзки.
- Предимство: Най-добро съотношение паралелизъм/ресурси сред MPMs на Apache. Ефективно обработва хиляди едновременни keep-alive връзки.
- Недостатък: Изисква PHP да се обслужва чрез PHP-FPM (FastCGI), а не
mod_php. - Кога да се използва: Всеки съвременен PHP стек, Python WSGI или конфигурация с обратен прокси.
За да проверите активния MPM на работещ сървър:
apache2ctl -V | grep -i mpmЗа превключване към event MPM на Debian/Ubuntu:
sudo a2dismod php8.2
sudo a2dismod mpm_prefork
sudo a2enmod mpm_event
sudo a2enmod proxy_fcgi setenvif
sudo a2enconf php8.2-fpm
sudo systemctl restart apache2Какво прави Apache за разработката на уебсайтове
Обслужване на статично и динамично съдържание
Най-фундаменталната роля на Apache е доставката на съдържание. За статични ресурси — HTML, CSS, JavaScript пакети, изображения, шрифтове — Apache чете файла от диска и го предава директно на клиента. За динамично съдържание делегира изпълнението на бекенд среда за изпълнение и проксира отговора.
Път за статично съдържание:
Browser → TCP connection → Apache → filesystem read → HTTP responseПът за динамично съдържание (пример с PHP-FPM):
Browser → TCP connection → Apache → FastCGI socket → PHP-FPM worker → HTTP responseРазграничението е важно за стратегията за кеширане. Статичните файлове могат да бъдат агресивно кеширани на ниво edge (CDN, кеш на браузъра) с помощта на заглавки Expires и Cache-Control, зададени в конфигурацията на Apache. Динамичните отговори изискват логика за инвалидиране на кеша на ниво приложение.
SSL/TLS терминиране с mod_ssl
Apache обработва HTTPS нативно чрез mod_ssl, който обвива OpenSSL. Минималната конфигурация на TLS виртуален хост изглежда така:
<VirtualHost *:443>
ServerName example.com
DocumentRoot /var/www/example
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
SSLHonorCipherOrder off
SSLSessionTickets off
Header always set Strict-Transport-Security "max-age=63072000"
</VirtualHost>Критични точки за защита, които често се пропускат:
- Изрично деактивирайте TLS 1.0 и 1.1 — и двете са остарели съгласно RFC 8996 и ще се провалят при сканирания за съответствие с PCI-DSS.
- Задайте
SSLHonorCipherOrder offпри използване на TLS 1.3, който управлява договарянето на шифри по различен начин от TLS 1.2. - Добавете HSTS заглавки чрез
mod_headers, за да предотвратите атаки за понижаване на протокола.
Ако се нуждаете от правилно издаден сертификат за вашия домейн, SSL сертификати са налични като самостоятелна услуга и се интегрират директно с конфигурацията mod_ssl на Apache.
Пренаписване на URL адреси и пренасочвания с mod_rewrite
mod_rewrite е един от най-мощните — и най-често неправилно конфигурираните — модули на Apache. Той използва базиран на правила механизъм за пренаписване на входящи URI на заявки, преди Apache да ги съпостави с файл или бекенд прокси.
Пренасочване от HTTP към HTTPS с HSTS предварително зареждане за производствена среда:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Пренаписване на чист URL за PHP приложение (напр. маршрутизиране на всички заявки през index.php):
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^ /index.php [QSA,L]Честа грешка: Поставянето на правила за пренаписване в .htaccess файлове води до допълнителни търсения в файловата система при всяка заявка, тъй като Apache трябва да проверява за .htaccess във всяка директория в пътя на заявката. За производствени сървъри, където производителността е от значение, преместете правилата в блока <VirtualHost> в основната конфигурация и задайте AllowOverride None, за да деактивирате напълно обработката на .htaccess.
Виртуални хостове за хостинг на множество сайтове
Системата за виртуални хостове на Apache позволява на един сървърен екземпляр да обслужва произволен брой различни уебсайтове. Това е механизмът, който прави споделения хостинг архитектурно възможен.
Виртуален хостинг, базиран на имена (стандартният подход — множество домейни на един IP):
<VirtualHost *:80>
ServerName site1.com
ServerAlias www.site1.com
DocumentRoot /var/www/site1
ErrorLog ${APACHE_LOG_DIR}/site1_error.log
CustomLog ${APACHE_LOG_DIR}/site1_access.log combined
</VirtualHost>
<VirtualHost *:80>
ServerName site2.com
ServerAlias www.site2.com
DocumentRoot /var/www/site2
ErrorLog ${APACHE_LOG_DIR}/site2_error.log
CustomLog ${APACHE_LOG_DIR}/site2_access.log combined
</VirtualHost>Apache избира правилния виртуален хост, като съпоставя заглавката Host: в HTTP заявката с директивите ServerName и ServerAlias. Ако не бъде намерено съвпадение, Apache се връща към първия дефиниран виртуален хост — поведение, което може да разкрие непредвидено съдържание, ако вашият виртуален хост по подразбиране не е изрично защитен.
Виртуален хостинг, базиран на IP, все още се използва в среди, където TLS SNI не е налично (рядко при съвременни внедрявания) или където се изисква строга изолация на мрежово ниво между наематели.
Ако управлявате множество клиентски сайтове или проекти от един сървър, средата за VPS хостинг ви дава пълен контрол върху конфигурацията на виртуалните хостове на Apache, избора на MPM и зареждането на модули — възможности, които са ограничени или недостъпни при споделена инфраструктура.
Логване, мониторинг и криминалистичен анализ
Apache генерира два основни потока от логове:
Лог за достъп — записва всяка завършена заявка:
192.168.1.10 - frank [10/Oct/2024:13:55:36 -0700] "GET /index.html HTTP/1.1" 200 2326Полетата следват Combined Log Format по подразбиране: клиентски IP, ident, удостоверен потребител, времеви печат, ред на заявката, код на статуса, размер на отговора, референт, потребителски агент.
Лог за грешки — записва грешки на ниво сървър, предупреждения от модули и диагностика при стартиране. Това е първото място за проверка, когато Apache връща грешка 500 или отказва да стартира.
За едновременно следене на двата лога по време на отстраняване на грешки:
tail -f /var/log/apache2/access.log /var/log/apache2/error.logЗа производствени среди помислете за препращане на логовете към централизирана система за агрегиране (ELK стек, Loki, Graylog), вместо да разчитате на локална ротация на логовете. Apache поддържа логване чрез тръби нативно:
CustomLog "|/usr/bin/logger -t apache -p local6.info" combinedОбратен прокси и балансиране на натоварването
Възможност, която оригиналната статия напълно пропуска: Apache може да действа като обратен прокси, препращайки заявки към бекенд сървъри за приложения. Това е стандартната архитектура за изпълнение на Node.js, Python (Gunicorn/uWSGI) или Java (Tomcat) приложения зад Apache.
Активирайте необходимите модули:
sudo a2enmod proxy proxy_http proxy_balancer lbmethod_byrequestsОсновен обратен прокси към Node.js приложение на порт 3000:
<VirtualHost *:443>
ServerName app.example.com
ProxyPreserveHost On
ProxyPass / http://127.0.0.1:3000/
ProxyPassReverse / http://127.0.0.1:3000/
</VirtualHost>Балансиране на натоварването между множество бекенд екземпляри:
<Proxy balancer://appcluster>
BalancerMember http://127.0.0.1:3001 loadfactor=1
BalancerMember http://127.0.0.1:3002 loadfactor=1
ProxySet lbmethod=byrequests
</Proxy>
ProxyPass / balancer://appcluster/
ProxyPassReverse / balancer://appcluster/За натоварвания, изискващи този вид архитектура в мащаб — особено приложения с GPU-ускорени бекенди за инференция — GPU хостингът осигурява основната изчислителна инфраструктура, пред която Apache може да действа като фронтенд чрез своя прокси модул.
Apache срещу Nginx: Директно техническо сравнение
| Критерий | Apache | Nginx |
|---|
| — | — | — |
|---|
| Архитектура | Базирана на процеси/нишки (MPM) | Асинхронна, управлявана от събития |
|---|
| Обхват на конфигурацията | По директория чрез `.htaccess` | Само на ниво сървър (без конфигурация по директория по време на изпълнение) |
|---|
| Производителност при статични файлове | Добра | Отлична (малко по-бърза при висок паралелизъм) |
|---|
| Динамично съдържание | Нативна интеграция на модули (`mod_php`) | Винаги чрез външен FastCGI/uWSGI |
|---|
| Използване на памет (неактивен) | По-високо (prefork) / Умерено (event) | По-ниско |
|---|
| Екосистема от модули | Обширна, зряла | Нарастваща, но по-малка |
|---|
| Поддръжка на `.htaccess` | Да (с разходи за производителност) | Не |
|---|
| Обратен прокси | Да (`mod_proxy`) | Да (основна функция) |
|---|
| Крива на обучение | Умерена | Умерена |
|---|
| Най-подходящ за | Споделен хостинг, LAMP стекове, приложения, зависещи от `.htaccess` | API с висок паралелизъм, обслужване на статични ресурси, микроуслуги |
|---|
Нито един сървър не е универсално превъзходен. Правилният избор зависи от профила на натоварването ви, изискванията за конфигурация на приложението ви и оперативната запознатост на екипа ви. Много производствени среди използват и двата — Nginx като фронтенд обратен прокси, обработващ TLS терминирането и статичните ресурси, с Apache, обслужващ динамично съдържание на приложението на непубличен порт.
Справочник за ключовите модули на Apache
| Модул | Функция | Типичен случай на употреба |
|---|
| — | — | — |
|---|
| `mod_ssl` | TLS/SSL криптиране | HTTPS за всички виртуални хостове |
|---|
| `mod_rewrite` | Механизъм за пренаписване на URI | Чисти URL адреси, пренасочвания, маршрутизиране |
|---|
| `mod_proxy` | Обратен прокси и шлюз | Node.js, Python, Java бекенди |
|---|
| `mod_headers` | Манипулиране на HTTP заглавки | HSTS, CORS, CSP заглавки |
|---|
| `mod_deflate` | Gzip/Brotli компресия | Намаляване на размера на полезния товар на отговора |
|---|
| `mod_cache` | HTTP слой за кеширане | Намаляване на натоварването на бекенда |
|---|
| `mod_security` | Защитна стена за уеб приложения | Блокиране на SQLi, XSS, RFI атаки |
|---|
| `mod_evasive` | Смекчаване на DoS/DDoS | Ограничаване на скоростта за злоупотребяващи клиенти |
|---|
| `mod_status` | Табло за статус на сървъра | Мониторинг на производителността в реално време |
|---|
Защита на сигурността: Какво повечето ръководства пропускат
Инсталацията на Apache по подразбиране разкрива информация, която помага на нападателите. Приложете тези стъпки за защита преди всяко производствено внедряване.
Потискане на разкриването на версията в /etc/apache2/conf-available/security.conf:
ServerTokens Prod
ServerSignature OffДеактивиране на листването на директории глобално:
<Directory /var/www/>
Options -Indexes
</Directory>Ограничаване на HTTP методите само до тези, които вашето приложение използва:
<LimitExcept GET POST HEAD>
deny from all
</LimitExcept>Задаване на заглавки за сигурност с mod_headers:
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=()"Защита на самия файл .htaccess от обслужване като документ:
<FilesMatch "^.ht">
Require all denied
</FilesMatch>За среди, където се нуждаете от пълен root достъп за прилагане на тези конфигурации без ограничения, Dedicated сървърите осигуряват изолацията и контрола, които споделените или управляваните среди не могат да предложат.
Кога да използвате Apache: Матрица за вземане на решения
| Сценарий | Препоръчва ли се Apache? | Причина |
|---|
| — | — | — |
|---|
| LAMP стек с наследствен `mod_php` | Да | `prefork` MPM осигурява безопасност за нишки |
|---|
| Съвременен PHP чрез PHP-FPM | Да | `event` MPM съответства на производителността на Nginx |
|---|
| Обслужване на статични файлове с висок паралелизъм | Условно | Nginx има малко предимство; Apache е достатъчен |
|---|
| CMS, зависещ от `.htaccess` (WordPress, Drupal) | Да | Нативна поддръжка; Nginx изисква ръчен превод |
|---|
| Микроуслуги / API шлюз | Не | Nginx или Caddy са по-подходящи архитектурно |
|---|
| Споделен хостинг с множество наематели | Да | Виртуални хостове + конфигурация `.htaccess` за всеки наемател |
|---|
| Обратен прокси за Node.js/Python | Да | `mod_proxy` е готов за производство |
|---|
| Среди, изискващи WAF интеграция | Да | `mod_security` е зрял и добре документиран |
|---|
Практически контролен списък с ключови изводи
Преди внедряването на Apache в производство, проверете всяко от следните:
- Избор на MPM: Потвърдете, че
eventMPM е активен при използване на PHP-FPM; използвайтеpreforkсамо за наследствени настройки сmod_php. - TLS конфигурация: Деактивирайте TLS 1.0/1.1; наложете минимум TLS 1.2 със силни наборни шифри; добавете HSTS заглавки.
- Обхват на
AllowOverride: ЗадайтеAllowOverride Noneглобално и го активирайте само за директории, които наистина изискват конфигурация по директория. - Разкриване на информация: Задайте
ServerTokens ProdиServerSignature Offпреди всяко публично излагане. - Листване на директории: Потвърдете, че
Options -Indexesе зададено за всички основни директории на документи. - Маршрутизиране на логове: Уверете се, че логовете за достъп и грешки се записват и ротират; помислете за централизирано агрегиране при настройки с множество сървъри.
- Одит на модули: Изпълнете
apache2ctl -Mи деактивирайте всеки зареден модул, който вашето приложение не използва — всеки зареден модул увеличава повърхността за атака и отпечатъка на паметта. - Заглавки за сигурност: Валидирайте заглавките
X-Frame-Options,X-Content-Type-Optionsи CSP с помощта на securityheaders.com след внедряването. - Виртуален хост по подразбиране: Дефинирайте изричен виртуален хост по подразбиране, който връща 444 или статична страница за обработка на заявки с нераспознати заглавки
Host:.
Ако стартирате нов проект и искате предварително конфигурирана среда с Apache и контролен панел, VPS с cPanel предоставя управляван стек, където Apache, PHP и SSL са конфигурирани и поддържани чрез GUI — намалявайки оперативните разходи за ръчна конфигурация.
Често задавани въпроси
Каква е разликата между Apache и уеб сървър?
Apache е конкретна реализация на софтуер за уеб сървър. „Уеб сървър” е общата концепция — всеки софтуер, който слуша за HTTP заявки и връща отговори. Apache HTTP Server е една от няколкото реализации на тази концепция, наред с Nginx, Caddy и LiteSpeed.
Поддържа ли Apache HTTP/2?
Да. Поддръжката на HTTP/2 се осигурява от mod_http2, наличен от Apache 2.4.17. На практика изисква TLS (HTTPS), тъй като всички основни браузъри реализират HTTP/2 само над TLS. Активирайте го с Protocols h2 http/1.1 вътре в блока на вашия SSL виртуален хост.
Защо Apache използва повече памет от Nginx?
При prefork MPM Apache създава отделен процес за всяка връзка, като всеки носи пълния отпечатък на паметта на двоичния файл на Apache плюс заредените модули. Nginx използва асинхронен цикъл на събития, при който един работен процес обработва хиляди връзки едновременно. Превключването на Apache към event MPM с PHP-FPM значително намалява тази разлика.
Могат ли Apache и Nginx да работят на един и същ сървър?
Да, и това е честа производствена схема. Nginx слуша на портове 80 и 443, обработва TLS терминирането и доставката на статични ресурси, след което проксира динамичните заявки към Apache, работещ на вътрешен порт (обикновено 8080). Това съчетава ефективността на паралелизма на Nginx с гъвкавостта на mod_rewrite на Apache и интеграцията с mod_security.
Необходим ли е .htaccess за работата на Apache?
Не. .htaccess е незадължителен механизъм за замяна на конфигурацията по директория. Удобен е за среди за споделен хостинг, където потребителите не могат да променят основната конфигурация на сървъра, но носи измерими разходи за производителност. На сървъри, където контролирате основния конфигурационен файл, консолидирането на всички директиви в блокове <VirtualHost> и деактивирането на .htaccess с AllowOverride None е правилният подход.