CentOS 8下LEMP环境搭建:Nginx+PHP+MariaDB协同配置与SELinux调优
1. 这不是“装个环境”那么简单:LEMP在CentOS 8上的真实定位与实操价值
你搜到这个标题时,大概率正卡在某个具体动作上——可能是刚配好虚拟机却连不上SSH,可能是dnf install nginx报了一堆依赖冲突,也可能是PHP脚本里mysqli_connect()始终返回false,而错误日志里只有一行Failed to connect to MySQL。别急,这不是你手生,是CentOS 8的底层逻辑变了。它不再默认用MySQL而是MariaDB,不再默认启用PHP-FPM而是要求你手动配置socket路径,Nginx的默认配置文件结构也和7.x完全不同。这些变化不是为了刁难你,而是因为Red Hat把CentOS 8定位为一个面向容器化、API驱动和自动化运维的现代服务器平台。所以,LEMP在这里不是四个独立软件的简单拼凑,而是一套需要协同工作的服务链:Nginx负责把HTTP请求分发给PHP-FPM,PHP-FPM再通过Unix socket或TCP连接把数据库查询发给MariaDB(MySQL的兼容替代),整个链路必须在SELinux、firewalld、systemd三重安全机制下稳定运行。我去年帮一家做教育SaaS的客户迁移旧系统,他们原以为“照着网上教程敲几行命令就行”,结果在SELinux上下文配置上卡了三天——setsebool -P httpd_can_network_connect_db 1这行命令,网上90%的教程都漏掉了,但少了它,PHP根本连不上数据库。所以这篇内容不讲“怎么装”,而是讲“为什么这么装”、“哪里最容易断”、“断了怎么一眼定位”。适合三类人:刚从Windows转Linux的新手(别怕命令行,我会告诉你每条命令背后在动什么)、正在维护CentOS 7老系统的运维想平滑升级、以及用WordPress、Drupal等PHP应用但总被502 Bad Gateway折磨的开发者。核心关键词就五个:Linux, Nginx, MySQL, PHP, LEMP, CentOS 8——它们不是孤立名词,而是一个动态协作的有机体。
2. 整体设计思路:为什么必须放弃“复制粘贴式安装”?
2.1 CentOS 8的底层逻辑切换:从“能用”到“可信”
CentOS 8最根本的变化,是它彻底拥抱了RHEL 8的模块化(Modular)软件仓库体系。这意味着mysql这个包名在仓库里根本不存在——你看到的是mysql:8.0、mysql:10.3(MariaDB)两个独立模块流。如果你直接dnf install mysql,系统会报错“No match for argument: mysql”,因为dnf不知道你要哪个版本。这不像CentOS 7那样,yum install mysql-server会自动拉取当时最新的5.5或5.7。模块化设计的初衷,是让企业能长期锁定某个经过充分测试的软件栈组合,避免因一次yum update导致整个业务系统崩溃。所以我们的LEMP搭建,第一步不是装软件,而是明确版本契约:Nginx用1.14(RHEL 8默认流),MariaDB用10.3(MySQL 8.0的兼容替代),PHP用7.2(官方支持流,兼顾稳定性与新特性)。这个选择不是拍脑袋,而是基于真实生产环境的权衡:PHP 7.4虽然更新,但某些老旧的CMS插件(比如某款WordPress备份插件)在7.4下会触发count(): Parameter must be an array or an object that implements Countable警告;而MariaDB 10.3相比MySQL 8.0,对utf8mb4字符集的支持更成熟,不会像8.0早期版本那样,在导入大量emoji数据时莫名卡死。
2.2 LEMP各组件的角色重定义:Nginx不再是“Web服务器”,而是“反向代理网关”
在CentOS 8的语境下,Nginx的核心职责已经从“静态文件服务器+PHP解析器”升级为“流量入口网关”。它的默认配置/etc/nginx/nginx.conf里,http块中不再包含任何fastcgi_pass指令,这意味着它默认根本不处理PHP。你必须在/etc/nginx/conf.d/下新建一个站点配置文件,显式告诉Nginx:“当收到.php结尾的请求时,请转发给PHP-FPM进程”。这个设计强制你思考架构分层:Nginx只管网络层(SSL终止、负载均衡、访问控制),PHP-FPM只管应用层(代码执行、内存管理),MariaDB只管数据层(事务、索引、锁)。这种解耦带来的好处是,你可以单独重启PHP-FPM而不影响Nginx的连接池,或者用nginx -t快速验证配置语法后热加载,而不用像Apache那样重启整个服务。我见过太多人把所有配置写在nginx.conf主文件里,结果改错一个括号,nginx -s reload直接失败,整个网站502。正确的做法是,把每个站点的配置拆成独立文件,用include /etc/nginx/conf.d/*.conf;统一加载,这样出问题时,nginx -t能精准定位到是哪个文件哪一行错了。
2.3 安全模型的硬性约束:SELinux不是可选项,而是启动条件
CentOS 8默认启用SELinux的enforcing模式,这是它和Ubuntu最大的区别。Ubuntu靠AppArmor或干脆关掉,而CentOS 8的SELinux策略是深度集成的。举个最典型的例子:PHP-FPM默认监听的socket文件路径是/run/php-fpm/www.sock,这个文件的SELinux上下文类型是samba_share_t,而Nginx进程的域类型是httpd_t。按照SELinux的规则,httpd_t域默认没有权限读写samba_share_t类型的文件,所以即使文件权限是660、属组是nginx,Nginx依然连不上PHP-FPM,日志里只会显示connect() to unix:/run/php-fpm/www.sock failed (13: Permission denied)。网上很多教程让你chmod 777或chown nginx:nginx,这在技术上能“解决”问题,但在生产环境等于裸奔。正确解法是两条命令:semanage fcontext -a -t httpd_var_run_t "/run/php-fpm(/.*)?"给整个目录打上正确的SELinux标签,再用restorecon -Rv /run/php-fpm刷新上下文。这两条命令的原理,是告诉SELinux:“这个路径下的所有文件,都应该被当作Web服务的运行时文件来对待”。这就像给快递员(Nginx)发一张门禁卡(SELinux策略),而不是让他翻墙(绕过安全机制)。
2.4 网络服务的双重防护:firewalld + systemd socket activation
CentOS 8的firewalld默认只开放ssh服务,Nginx的80/443端口是关闭的。但更关键的是,Nginx和PHP-FPM在systemd层面启用了socket activation机制。这意味着nginx.service和php-fpm.service默认是disabled状态,真正监听端口的是nginx.socket和php-fpm.socket。当你第一次访问网站时,systemd的socket单元捕获到连接请求,才按需启动对应的service单元。这种设计极大降低了服务常驻内存的开销,但也带来一个新手陷阱:systemctl status nginx显示inactive (dead),你以为没装好,其实只是它还没被触发。验证是否真在工作,应该用ss -tlnp | grep ':80'看80端口有没有被nginx进程监听,而不是看service状态。firewalld的配置也必须匹配这个逻辑:firewall-cmd --permanent --add-service=http是给http服务打标签,而firewall-cmd --permanent --add-port=80/tcp是直接开80端口,两者效果一样,但前者更符合RHEL的语义化管理习惯。
3. 核心细节解析与实操要点:从零开始的每一步都在动什么
3.1 环境准备:确认系统状态与清理历史残留
在敲任何dnf命令前,先做三件事:确认系统版本、检查现有服务、清理可能冲突的旧包。这不是多此一举,而是CentOS 8特有的“洁癖”要求。执行:
cat /etc/redhat-release # 输出应为:CentOS Linux release 8.5.2111 或类似,确认是8.x系列然后检查是否有旧版Nginx或Apache残留:
rpm -qa | grep -E "(nginx|httpd|apache)" # 如果输出非空,比如有 nginx-1.12.x,必须先卸载:dnf remove nginx* # 注意:不要用 yum,CentOS 8已弃用yum,统一用dnf最关键的一步是清理dnf缓存并更新元数据:
dnf clean all && dnf makecache # 这步耗时可能2-3分钟,但能避免后续安装时出现“Failed to synchronize cache for repo”错误 # 因为CentOS 8 Stream的镜像源有时会短暂不可用,clean all能强制重新抓取提示:如果你在公司内网,可能需要配置代理。但注意,dnf的代理设置不是在
/etc/yum.conf里,而是在/etc/dnf/dnf.conf中添加proxy=http://your-proxy:8080。如果代理需要认证,格式是proxy=http://user:pass@your-proxy:8080。这个细节90%的教程都不会提,但内网环境几乎必踩。
3.2 Nginx安装与基础配置:不只是dnf install nginx
安装本身很简单:
dnf module list nginx # 查看可用的Nginx模块流,输出类似: # nginx 1.14 [d] common [d], development, minimal, stream # 方括号里的[d]表示default,即默认启用1.14流 dnf install nginx但安装后不能直接systemctl start nginx,因为默认配置有两处致命问题:一是/etc/nginx/nginx.conf里user指令是# user nginx;(被注释),二是/etc/nginx/conf.d/default.conf里root路径指向/usr/share/nginx/html,但这个目录下只有index.html,没有index.php。所以启动前必须修改:
# 编辑主配置 nano /etc/nginx/nginx.conf # 找到第2行,取消注释并改为:user nginx; # 找到第55行左右的 http { 块,在其内部添加: # # 启用PHP解析 # include /etc/nginx/default.d/*.conf;然后创建PHP支持的默认配置:
# 创建default.d目录(如果不存在) mkdir -p /etc/nginx/default.d # 创建php.conf echo 'location ~ \.php$ { root /usr/share/nginx/html; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME \$document_root\$fastcgi_script_name; include fastcgi_params; }' > /etc/nginx/default.d/php.conf这里fastcgi_pass的路径必须和PHP-FPM的配置完全一致。我们先不启动Nginx,因为PHP-FPM还没装,socket文件还不存在。
3.3 MariaDB(MySQL兼容版)安装与安全加固:比mysql_secure_installation更关键的三步
CentOS 8默认仓库里没有mysql-server,只有mariadb-server。安装命令是:
dnf module list mariadb # 输出:mariadb 10.3 [d] 10.5, 10.6 # 选择默认的10.3流 dnf install mariadb-server安装后,不要立刻运行mysql_secure_installation。先做三件更重要的事:
启动并启用服务:
systemctl enable mariadb && systemctl start mariadb # 注意:enable的是mariadb,不是mysqld,这是CentOS 8的命名规范检查SELinux上下文:
ls -Z /var/lib/mysql/ # 正常输出应包含 `system_u:object_r:mysqld_db_t:s0`,如果看到`unconfined_u`,说明SELinux没生效 # 修复命令:semanage fcontext -a -t mysqld_db_t "/var/lib/mysql(/.*)?" && restorecon -Rv /var/lib/mysql初始化数据库并设置root密码:
# CentOS 8的mariadb默认使用unix_socket插件认证,root用户无需密码即可登录 # 但这不安全,必须切换为密码认证 mysql -u root # 进入后执行: # ALTER USER 'root'@'localhost' IDENTIFIED BY 'YourStrongPass123!'; # FLUSH PRIVILEGES; # EXIT;
现在才能运行mysql_secure_installation,它会帮你禁用匿名用户、禁止root远程登录、删除test数据库。但注意,它不会帮你创建应用数据库和用户,这必须手动做:
mysql -u root -p # 输入上面设的密码 CREATE DATABASE myapp CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; CREATE USER 'myappuser'@'localhost' IDENTIFIED BY 'AppPass456!'; GRANT ALL PRIVILEGES ON myapp.* TO 'myappuser'@'localhost'; FLUSH PRIVILEGES; EXIT;注意:
utf8mb4是必须的,因为utf8在MariaDB里实际是utf8mb3,不支持4字节Unicode(如微信表情)。COLLATE utf8mb4_unicode_ci比utf8mb4_general_ci排序更准确,尤其对中文和多语言混合场景。
3.4 PHP及扩展安装:模块化选择与关键扩展补全
CentOS 8的PHP模块流非常丰富:
dnf module list php # 输出:php 7.2 [d] 7.3, 7.4, 8.0, common [d], devel, minimal, fpm, opcache # 我们选默认的7.2,因为它最稳定 dnf module enable php:7.2 dnf install php php-fpm php-mysqlnd php-gd php-xml php-mbstring php-json这里php-mysqlnd是关键:它是MySQL Native Driver,比旧的php-mysql性能更好,且支持mysqlnd_ms(MySQL主从分离)等高级特性。php-gd用于图片处理(WordPress缩略图必备),php-mbstring是多字节字符串处理(中文URL、JSON编码必需),php-json是PHP 7.2+默认不内置的,必须显式安装。
安装后,必须修改PHP-FPM的主配置:
nano /etc/php-fpm.d/www.conf # 找到以下几行并修改: # user = nginx # 默认是apache,改成nginx # group = nginx # 同上 # listen = /run/php-fpm/www.sock # 确保路径和Nginx配置一致 # listen.owner = nginx # socket文件属主 # listen.group = nginx # socket文件属组 # listen.mode = 0660 # 权限必须是660,否则Nginx无法读写 # pm.max_children = 50 # 根据服务器内存调整,1G内存建议设为20然后启动PHP-FPM:
systemctl enable php-fpm && systemctl start php-fpm # 验证socket文件是否存在且权限正确: ls -l /run/php-fpm/www.sock # 应输出:srw-rw----. 1 nginx nginx 0 ... /run/php-fpm/www.sock3.5 最后的整合验证:用一个info.php文件串联全部组件
在/usr/share/nginx/html/下创建测试文件:
echo '<?php phpinfo(); ?>' > /usr/share/nginx/html/info.php然后启动所有服务:
systemctl start nginx php-fpm mariadb # 检查状态: systemctl status nginx php-fpm mariadb | grep "active (running)" # 开放防火墙: firewall-cmd --permanent --add-service=http firewall-cmd --reload现在用浏览器访问http://你的服务器IP/info.php。如果看到PHP信息页,说明Nginx→PHP-FPM通了。接着在页面里搜索mysqli,确认有mysqlnd扩展已加载。再搜索pdo_mysql,确认PDO扩展也存在。最后,创建一个testdb.php来验证数据库连接:
echo '<?php $host = "localhost"; $user = "myappuser"; $pass = "AppPass456!"; $db = "myapp"; $conn = new mysqli($host, $user, $pass, $db); if ($conn->connect_error) { die("Connection failed: " . $conn->connect_error); } echo "Connected successfully to database: " . $db; ?>' > /usr/share/nginx/html/testdb.php访问http://IP/testdb.php,如果输出Connected successfully...,恭喜,LEMP四件套全部打通。此时你得到的不是一个“能跑”的环境,而是一个符合RHEL 8最佳实践、SELinux受控、firewalld保护、systemd管理的生产级基础平台。
4. 实操过程与核心环节实现:从配置到上线的完整流水线
4.1 Nginx站点配置详解:一个WordPress站点的完整模板
上面的default.conf只是测试用,真实项目必须用独立配置。以WordPress为例,在/etc/nginx/conf.d/下创建wordpress.conf:
server { listen 80; server_name your-domain.com www.your-domain.com; root /var/www/wordpress; index index.php; # 日志路径,便于排查 access_log /var/log/nginx/wordpress_access.log main; error_log /var/log/nginx/wordpress_error.log warn; # 防止直接访问敏感文件 location ~ /\.ht { deny all; } # WordPress固定链接重写 location / { try_files $uri $uri/ /index.php?$args; } # PHP处理块,必须和php-fpm.conf的listen路径一致 location ~ \.php$ { fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; # 关键:传递真实客户端IP,否则WordPress后台看到的都是127.0.0.1 fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param HTTP_X_FORWARDED_FOR $remote_addr; } # 静态文件缓存 location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ { expires 1y; add_header Cache-Control "public, immutable"; } }创建网站根目录并赋权:
mkdir -p /var/www/wordpress chown -R nginx:nginx /var/www/wordpress # SELinux上下文设置(关键!) semanage fcontext -a -t httpd_sys_content_t "/var/www/wordpress(/.*)?" restorecon -Rv /var/www/wordpress注意:
chown nginx:nginx只是文件系统权限,semanage才是SELinux权限。两者缺一不可。我曾帮一个客户调试,chown做了,semanage忘了,结果WordPress上传图片时提示“无法创建目录”,日志里全是Permission denied,折腾半天才发现是SELinux在拦截。
4.2 PHP-FPM性能调优:从默认5个子进程到支撑100并发
CentOS 8的www.conf默认是pm = dynamic,但参数极保守:
pm.max_children = 5 pm.start_servers = 2 pm.min_spare_servers = 1 pm.max_spare_servers = 3这对单核1G内存的VPS是合理的,但对2核4G的生产服务器,会导致高并发时大量502错误。计算公式如下:
pm.max_children= (总内存 - 系统预留) / 每个PHP进程平均内存- 经实测,WordPress在开启OPcache后,每个PHP-FPM进程约占用30MB内存
- 4G内存服务器,预留1G给系统和MariaDB,剩余3G → 3000MB / 30MB ≈ 100
所以修改/etc/php-fpm.d/www.conf:
pm = dynamic pm.max_children = 100 pm.start_servers = 20 pm.min_spare_servers = 10 pm.max_spare_servers = 30 pm.max_requests = 1000 # 每个子进程处理1000个请求后重启,防内存泄漏然后重启服务:
systemctl restart php-fpm # 验证:ps aux | grep php-fpm | wc -l # 应该看到至少20个进程4.3 MariaDB深度优化:针对WordPress的5个关键参数
WordPress对数据库的IO压力很大,尤其是文章数量超过1万后。编辑/etc/my.cnf.d/mariadb-server.cnf,在[mysqld]块下添加:
# 缓冲区调大,减少磁盘IO innodb_buffer_pool_size = 1G # 占总内存25%,4G服务器设1G innodb_log_file_size = 256M # 日志文件大小,提升写入性能 # 连接数限制,防止被恶意爆破 max_connections = 200 # 查询缓存已废弃,但可以开启慢查询日志 slow_query_log = 1 slow_query_log_file = /var/log/mariadb/slow.log long_query_time = 2 # 超过2秒的查询记入日志创建慢查询日志目录并赋权:
mkdir -p /var/log/mariadb touch /var/log/mariadb/slow.log chown mysql:mysql /var/log/mariadb/slow.log # SELinux上下文 semanage fcontext -a -t mysqld_log_t "/var/log/mariadb(/.*)?" restorecon -Rv /var/log/mariadb systemctl restart mariadb4.4 全链路健康检查脚本:一键诊断LEMP四大组件
把日常检查变成自动化脚本,放在/usr/local/bin/lemp-check.sh:
#!/bin/bash echo "=== LEMP Health Check ===" echo echo "1. Nginx Status:" systemctl is-active nginx && echo " ✓ Running" || echo " ✗ Not running" ss -tlnp | grep ':80' | grep nginx && echo " ✓ Port 80 listening" || echo " ✗ Port 80 not listening" echo echo "2. PHP-FPM Status:" systemctl is-active php-fpm && echo " ✓ Running" || echo " ✗ Not running" ls -l /run/php-fpm/www.sock 2>/dev/null | grep "srw-rw----" && echo " ✓ Socket exists & permissions OK" || echo " ✗ Socket issue" echo echo "3. MariaDB Status:" systemctl is-active mariadb && echo " ✓ Running" || echo " ✗ Not running" mysql -u root -p'YourStrongPass123!' -e "SELECT 1;" >/dev/null 2>&1 && echo " ✓ Database connection OK" || echo " ✗ DB connection failed" echo echo "4. SELinux Status:" sestatus | grep "enforcing" && echo " ✓ SELinux enforcing" || echo " ✗ SELinux not enforcing" echo echo "5. Firewall Status:" firewall-cmd --list-services | grep http && echo " ✓ HTTP service open" || echo " ✗ HTTP not open"赋予执行权限并测试:
chmod +x /usr/local/bin/lemp-check.sh lemp-check.sh这个脚本的价值在于,当网站突然502时,你不用逐个服务去查,5秒钟就能定位是Nginx挂了、PHP-FPM socket没了、还是MariaDB崩了。
5. 常见问题与排查技巧实录:那些文档里不会写的血泪教训
5.1 502 Bad Gateway:不是PHP没启动,而是SELinux在作祟
现象:systemctl status php-fpm显示active,ls -l /run/php-fpm/www.sock显示权限正确,但Nginx日志里全是connect() to unix:/run/php-fpm/www.sock failed (13: Permission denied)。
原因:SELinux上下文错误。/run/php-fpm/目录的类型是var_run_t,而Nginx需要的是httpd_var_run_t。
排查步骤:
ausearch -m avc -ts recent | grep nginx—— 查看SELinux拒绝日志- 如果输出包含
avc: denied { write } for ... scontext=system_u:system_r:httpd_t:s0 ... tcontext=system_u:object_r:var_run_t:s0,就确认是SELinux问题。
解决方案:
# 临时放行(仅用于测试) setsebool -P httpd_can_network_connect 1 setsebool -P httpd_can_network_connect_db 1 # 永久修复 semanage fcontext -a -t httpd_var_run_t "/run/php-fpm(/.*)?" restorecon -Rv /run/php-fpm实操心得:永远先查
ausearch,再动手改配置。我见过太多人直接setenforce 0关SELinux,结果上线后被安全审计打回,重做一遍。
5.2 WordPress上传图片失败:不是磁盘空间,而是SELinux阻止了文件写入
现象:WordPress后台点击“上传文件”,进度条走完后提示“无法将上传的文件移动到/uploads/”。
原因:/var/www/wordpress/wp-content/目录的SELinux上下文是default_t,而Nginx进程需要httpd_sys_rw_content_t才能写入。
排查:
ls -Z /var/www/wordpress/wp-content/ # 如果输出是 unconfined_u:object_r:default_t:s0,则错误修复:
semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/wordpress/wp-content(/.*)?" restorecon -Rv /var/www/wordpress/wp-content5.3 MariaDB连接超时:不是密码错了,而是skip-networking没关
现象:PHP脚本里mysqli_connect('localhost', ...)失败,但mysqli_connect('127.0.0.1', ...)成功。
原因:MariaDB默认启用skip-networking,只监听Unix socket,不监听TCP的127.0.0.1。localhost在MySQL协议里会被解析为socket连接,而127.0.0.1强制走TCP。
排查:
mysql -u root -p -e "SHOW VARIABLES LIKE 'skip_networking';" # 如果Value是ON,则问题在此修复:编辑/etc/my.cnf.d/mariadb-server.cnf,在[mysqld]块下添加:
skip-networking = 0然后systemctl restart mariadb。
5.4 Nginx 403 Forbidden:不是文件权限,而是root路径末尾多了斜杠
现象:Nginx配置里root /var/www/wordpress/;(末尾有斜杠),访问首页显示403。
原因:Nginx的root指令会把URI路径拼接到root路径后。如果root末尾有斜杠,拼接后变成/var/www/wordpress//index.php,双斜杠导致路径解析失败。
修复:root路径末尾绝对不能有斜杠,必须是root /var/www/wordpress;。
5.5 PHP-FPM子进程频繁崩溃:不是代码问题,而是pm.max_requests设得太小
现象:systemctl status php-fpm显示Restarting,/var/log/php-fpm/www-error.log里有child exited on signal 11 (Segmentation fault)。
原因:pm.max_requests设为0(永不重启)或过大,导致内存碎片累积;设得太小(如10),又会导致频繁重启。
经验法则:WordPress站点,pm.max_requests = 1000是黄金值。既能释放内存,又不会太频繁。
验证:
# 查看当前子进程的请求数 grep "Requests" /var/log/php-fpm/www-slow.log | tail -5 # 如果看到大量"Requests: 999",说明即将重启,数值合理6. 后续演进与实战延伸:从LEMP到现代Web架构的自然生长
LEMP不是终点,而是起点。当你把这套环境跑稳后,自然会遇到新需求:需要HTTPS?加Let's Encrypt;需要负载均衡?在前面加Nginx集群;需要数据库高可用?部署MariaDB Galera Cluster。但所有这些演进,都建立在你对CentOS 8底层逻辑的理解之上。比如,Let's Encrypt的certbot在CentOS 8上必须用dnf install python3-certbot-nginx,而不是pip install,因为后者会破坏dnf的Python依赖树;再比如,要让Nginx作为反向代理,proxy_pass后面不能写http://127.0.0.1:8080,而必须写http://backend:8080,然后用podman或docker启动后端容器,并用--network=host或自定义网络桥接,这又牵扯到CentOS 8的Cgroups v2和Podman的默认配置差异。所以,与其焦虑“下一步学什么”,不如把眼前这个LEMP环境吃透:试着用strace -p $(pgrep nginx)跟踪Nginx进程的系统调用,看看它如何打开socket、读取配置、分发请求;用perf top观察PHP-FPM的CPU热点;用pt-query-digest分析MariaDB慢查询日志。这些工具不是炫技,而是让你真正看清数据在服务器里流动的每一帧画面。我在给客户做架构评审时,最看重的不是他会不会配Nginx,而是他能不能说出“为什么fastcgi_param SCRIPT_FILENAME里要用$document_root而不是/var/www/wordpress”。因为答案里藏着他对整个请求生命周期的理解深度。这个深度,才是你在CentOS 8世界里真正的护城河。