[Linux系统] (8)Nginx

一、高并发基础架构

 

简要流程:

  1.客户端发请求。

  2.又LVS等四层负载均衡系统将请求转发给不同的Nginx服务器。

  3.Nginx与客户端建立TCP连接,拿到请求后分析URI,然后将其转发给对应的功能模块服务(Tomcat容器)。

  4.等待后端功能模块服务的响应。

  5.功能模块进行计算,并从后端存储中获取数据,并返回。

  6.Nginx收到响应后返回给客户端。

 

二、Nginx和Tengine

    Nginx(engin x)是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP代理服务器。

    主要以稳定性、丰富的功能集、低系统资源消耗而闻名。

    官方测试nginx能够支撑5万并发连接,并且CPU、内存等资源消耗非常低,运行稳定。

 

什么是反向代理(通俗理解)?

  正向代理:是代用户访问远程资源。 例如我们要访问国外的网站,我们可以通过位于香港等地的代理服务器来帮我们从国外获取资源,但我们请求的目的还是真正的国外服务器地址。国外服务器看到的请求方是代理服务器。

  反向代理:就是帮后端资源进行代理,也就是我们看到的目标服务器就是该反向代理服务器,而看不到真正提供资源的服务器。我们看到的资源地址是反向代理服务器。

 

Nginx相对apache的优点:

1.nginx是轻量级,同样web服务,比apache占用更少的内存及资源。

2.抗并发,nginx是异步非阻塞的,而apache是阻塞型的,在高并发下nginx保持低资源消耗,高性能

3.高度模块化的设计,编写模块相对简单

4.社区活跃,各种高性能模块出品迅速

5.配置简洁

apache的优点:

1.rewrite强大

2.模块超多

3.bug少

 

最核心的不同:

    apache是同步多进程模型(select),一个链接对应一个进程;nginx是异步(epoll),多个链接(万级别)对应一个进程。

    nginx不会浪费时间在进程的切换上,所以效率很高。

 

三、安装Nginx(Tengine)

1.安装依赖

yum install gcc pcre-devel openssl-devel -y

2.下载tengine包,并解压

cd ~
wget http://tengine.taobao.org/download/tengine-2.3.0.tar.gz
tar zxf tengine-2.3.0.tar.gz

3.安装tengine

cd tengine-2.3.0
./configure --prefix=/opt/nginx

**企业标准安装:

./configure 
--prefix=/usr
--sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf
--error-log-path=/var/log/nginx/error.log 
--http-log-path=/var/log/nginx/access.log 
--pid-path=/var/run/nginx/nginx.pid
--lock-path=/var/lock/nginx.lock
--user=nginx
--group=nginx
--with-http_ssl_module
--with-http_flv_module
--with-http_stub_status_module
--with-http_gzip_static_module
--http-client-body-temp-path=/var/tmp/nginx/client/ 
--http-proxy-temp-path=/var/tmp/nginx/proxy/ 
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ 
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi
--http-scgi-temp-path=/var/tmp/nginx/scgi
--with-pcre
make && make install

4.设置nginx为系统服务

添加nginx.service文件:

vi /usr/lib/systemd/system/nginx.service

[Unit]
Description=The nginx HTTP and reverse proxy server
After=syslog.target network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
PIDFile=/opt/nginx/logs/nginx.pid
ExecStartPre=/opt/nginx/sbin/nginx -t
ExecStart=/opt/nginx/sbin/nginx -c /opt/nginx/conf/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true

[Install]
WantedBy=multi-user.target

注意,所有path的部分都要修改为实际安装nginx的目录。

 

使用systemctl启动nginx:

systemctl start nginx.service

使用浏览器访问(默认监听80端口,可以在nginx.conf中修改):

其他服务操作:

# 设置开机启动
systemctl enable nginx.service
# 停止服务
systemctl stop nginx.service
# 重启服务
systemctl restart nginx.service
# 取消开机启动
systemctl disable nginx.service
# 查看服务运行状态
systemctl status nginx.service

查看所有已启动服务:

systemctl list-units --type=service

查看开机启动服务列表:

[root@real-server-1 conf]# systemctl list-unit-files
UNIT FILE STATE proc
-sys-fs-binfmt_misc.automount static dev-hugepages.mount static dev-mqueue.mount static proc-sys-fs-binfmt_misc.mount static sys-fs-fuse-connections.mount static sys-kernel-config.mount static sys-kernel-debug.mount static tmp.mount disabled brandbot.path enabled systemd-ask-password-console.path static systemd-ask-password-plymouth.path static systemd-ask-password-wall.path static session-1.scope static arp-ethers.service disabled auditd.service enabled autovt@.service enabled blk-availability.service disabled brandbot.service static chrony-dnssrv@.service static chrony-wait.service disabled chronyd.service enabled console-getty.service disabled console-shell.service disabled container-getty@.service static cpupower.service disabled crond.service enabled dbus-org.freedesktop.hostname1.service static dbus-org.freedesktop.import1.service static dbus-org.freedesktop.locale1.service static dbus-org.freedesktop.login1.service static dbus-org.freedesktop.machine1.service static dbus-org.freedesktop.timedate1.service static dbus.service static debug-shell.service disabled dm-event.service static dnsmasq.service disabled

四、配置Nginx(Tengine)

1.修改nginx配置文件

[root@real-server-1 conf]# vi /opt/nginx/conf/nginx.conf

      1 
      # 虽然user nobody是注释掉的,但仍然在使用,当然也可以修改为任意用户。子进程worker是nobody用户所有。父进程是root用户的。
      2 #user  nobody;
      # worker_processes 是真正做事的进程的数量,一般为物理核心的1-2倍
      3 worker_processes  1;
      4 
      # 配置日志
      5 #error_log  logs/error.log;
      6 #error_log  logs/error.log  notice;
      7 #error_log  logs/error.log  info;
      8 #error_log  "pipe:rollback logs/error_log interval=1d baknum=7 maxsize=2G";
      9 
     10 #pid        logs/nginx.pid;
     11 
     12
     # worker_connection很重要,除了修改此处的数字,还需要修改操作系统内核允许进程所能操作文件描述符的数量。
     # 使用ulimit -a可以查看当前内核允许的进程操作文件描述符的数量(open files)。
     # 操作系统所能操作文件描述符的总数一般和内存成正比(例如1GB对应10W个文件描述符)。
     # 我们在考虑worker_connnection时,除了考虑客户端连接数,还要考虑nginx从后端请求数据时的socket,所以需要配置得更大一些。
     # 使用ulimit -SHn 65535可以修改内核限制,并且这里也修改为对应的数量。
     13 events {
     14     #worker_connections  1024;
              worker_connections  65535;
     15 }
     16 
     17 # load modules compiled as Dynamic Shared Object (DSO)
     18 #
     19 #dso {
     20 #    load ngx_http_fastcgi_module.so;
     21 #    load ngx_http_rewrite_module.so;
     22 #}
     23 
   # http区域块,定义nginx的核心web功能 24 http { 25 include mime.types; 26 default_type application/octet-stream; 27 # 日志记录的格式化,控制日志怎么记录,做日志分析的时候可以参照这里的规范(重要) # 有些公司使用nginx做小数据的采集,就可以直接使用日志来记录,例如传感器数据,直接访问nginx,将小数据传递过来,写进日志。 28 #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' 29 # '$status $body_bytes_sent "$http_referer" ' 30 # '"$http_user_agent" "$http_x_forwarded_for"'; 31 32 #access_log logs/access.log main; 33 #access_log "pipe:rollback logs/access_log interval=1d baknum=7 maxsize=2G" main; 34 # (重要)零拷贝,例如nginx读取文件内容,然后返回给客户端的过程。首先调内核,让内核读取文件,读到的内容放在内核的缓冲区。 # 然后将内核缓冲区的内容拷贝到用户态buffer中。当要从socket发送给客户端时,又要从用户态buffer将内容拷贝到socket在内核的缓冲区。 # 这样就要进行两次内核态和用户态之间的数据拷贝。 # 零拷贝的意思就是,nginx调内核读取文件的时候,直接告诉内核文件和socker(也就是输入和输出),然后内核读取数据后,直接将数据用socket发送给客户端。 # 这就减少了2次拷贝的时间,效率大大提高。 35 sendfile on; # 就是socket buffer是否写满才发送,类似于执行不执行flush。 36 #tcp_nopush on; 37 # http1.1扩充了一个字段叫keepalive,就是tcp链接保持长连接多久才断开。做实验我们为了看效果,设置为0。正式环境应该配一个合适的值。 38 keepalive_timeout 0; 39 #keepalive_timeout 65; 40 # 返回时是否压缩数据,减少IO和带宽消耗。可以提供更多的请求响应。 41 #gzip on; 42 # 其中一个虚拟服务器(nginx可以支持多个虚拟服务器,他可以用请求头中的Host域名来区分,通过浏览器F12查看) # 也就是说如果DNS上有两个域名指向同一个IP地址,nginx可以通过两个域名来提供2个虚拟服务,都使用80端口 43 server { # 监听的端口是80 44 listen 80; # 虚拟服务器名,就是域名。例如DNS中有两个域名,www.123.com,www.234.com,这里填写其中一个。 45 server_name localhost; # www.123.com 46 47 #charset koi8-r; 48 49 #access_log logs/host.access.log main; 50 #access_log "pipe:rollback logs/host.access_log interval=1d baknum=7 maxsize=2G" main; 51 # 访问的根,也就是http://www.123.com/ 52 location / { # root是相对路径,html就是我们安装nginx的地方/opt/nginx/html目录 53 root html; # index用来定义默认根页面 54 index index.html index.htm; 55 } 56 57 #error_page 404 /404.html; 58 59 # redirect server error pages to the static page /50x.html 60 # 61 error_page 500 502 503 504 /50x.html; 62 location = /50x.html { 63 root html; 64 } 65 66 # proxy the PHP scripts to Apache listening on 127.0.0.1:80 67 # 68 #location ~ \.php$ { 69 # proxy_pass http://127.0.0.1; 70 #} 71 72 # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 73 # 74 #location ~ \.php$ { 75 # root html; 76 # fastcgi_pass 127.0.0.1:9000; 77 # fastcgi_index index.php; 78 # fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; 79 # include fastcgi_params; 80 #} 81 82 # deny access to .htaccess files, if Apache's document root 83 # concurs with nginx's one 84 # 85 #location ~ /\.ht { 86 # deny all; 87 #} 88 } # server的end
   89 } # http的end

其中Location是非常重要的,我们可以参看官方文档中Location的语法:

http://tengine.taobao.org/nginx_docs/cn/docs/http/ngx_http_core_module.html#location

 

可以看到以下内容:

让我们用一个例子解释上面的说法:

location = / {
    [ configuration A ]
}

location / {
    [ configuration B ]
}

location /documents/ {
    [ configuration C ]
}

location ^~ /images/ {
    [ configuration D ]
}

location ~* \.(gif|jpg|jpeg)$ { 
    [ configuration E ] 
} 
请求“/”匹配配置A, 请求“/index.html”匹配配置B, 请求“/documents/document.html”匹配配置C, 请求“/images/1.gif”匹配配置D, 请求“/documents/1.jpg”匹配配置E。

符号解释:

  "=":精确匹配

  "/dir/":当前路径及子路径都匹配,最大前缀匹配,但注意,是用这个字段去和用户请求的URI匹配,而不是反过来。

  "~":后面用正则表达式。区分大小写

  "~*":后面用正则表达式。不区分大小写

  "^~":阻断,匹配到这里就不再进行正则匹配,例如上面的/images/1.gif,匹配到/images/,就不再匹配后面的".gif结尾"。

匹配规则:

  他们有优先级关系: "="  >  "^~"   >  "~ | ~*"  >  "/ | /dir/"

  普通location之间是无匹配顺序的。而正则location之间是有顺序的,只要匹配到第一个就不匹配后面的。

  如果匹配到^~项,后面的正则也不进行匹配。

  普通location和正则location之间,先匹配普通的,再考虑是否匹配正则:

    这里的考虑就是指“可能”,当普通location前使用了^~,则不匹配后面的正则。或者当普通location刚好匹配好(非最大前缀匹配),则也不匹配后面的正则。

如下图所示:

2.添加一个虚拟服务器(yum本地源)

# 这里添加一个虚拟服务器www.repo.com,将/mnt作为repo源,通过nginx发布
server {
    listen  80;
    server_name www.repo.com;
    location / {
        root /mnt;
        # autoindex就是将/mnt的文件列表展示出去
        autoindex on;
    }
}

这里的域名为www.repo.com,而访问index.html的域名为www.123.com,所以可以区分我们要访问哪个服务器。

 

配置完nginx.conf后,我们要重置nginx:

systemctl reload nginx.service

将光盘挂载在/mnt:

mount /dev/cdrom /mnt

在浏览器操作系统的hosts中添加响应的DNS映射:

#在windows的hosts中添加以下内容
192.168.1.201    real-server-1    www.123.com    www.repo.com

此时我们访问http://www.repo.com:80:

在访问http://www.123.com:80:

 

 我们在浏览器的F12中查看一下两个域名访问时的host字段:

 

 

 我们可以看到,两次请求的请求头中的Request URL分别是两个域名,Nginx就可以通过域名与配置文件的server_name匹配来区分我们要访问的服务,匹配到某个服务名后,再将域名后的URI(也就是"/"、"/search/"等)用location字段去匹配。

3.反向代理

在location中配置反向代理,将上面第一个server配置加上一个location做反向代理:

server {
        listen       8000;
        server_name  www.123.com;

        location / {
            root   html;
            index  index.html index.htm;
        }
        # 反向代理,访问192.168.1.202:80
        location /ooxx {
            proxy_pass http://192.168.1.202:80/;
        }
}

此时,我们访问www.123.com:80,就不是返回tengine的默认页面,而是会帮我们请求192.168.1.202:80的页面;

 

从结果可以看出,我们通过www.123.com:80/ooxx(也就是real-server-1 192.168.1.201)访问了real-server-2(192.168.1.202的服务),并返回给客户端。

 

示例:反向代理www.baidu.com:

server {
        listen       8000;
        server_name  www.123.com;

        location / {
            root   html;
            index  index.html index.htm;
        }
        # 反向代理,访问192.168.1.202:80
        location /ooxx {
            proxy_pass http://192.168.1.202:80/;
        }
        # 代理baidu首页
        location /baidu {
            proxy_pass https://www.baidu.com/;
        }
}    

使用浏览器访问http://www.123.com/baidu:

 

注意,这里的proxy_pass配置的是https://www.baidu.com。如果配置成http://www.baidu.com,则百度可能先返回页面跳转给浏览器,浏览器会直接用https://www.baidu.com去访问百度。所以这里一定要写成https协议。

 

我们使用代理后的百度进行搜索:

 

报错信息:找不到URL,主要关注后面的URI(s?wd=*****):

我们再添加一跳location:

server {
        listen       8000;
        server_name  www.123.com;

        location / {
            root   html;
            index  index.html index.htm;
        }
        # 反向代理,访问192.168.1.202:80
        location /ooxx {
            proxy_pass http://192.168.1.202:80/;
        }
        # 代理baidu首页
        location /baidu {
            proxy_pass https://www.baidu.com/;
        }
        # 匹配以/s开头的URI
        location ~* ^/s {
            proxy_pass https://www.baidu.com;
        }  
}    

注意:location /baidu和location ~* ^/s的proxy_pass最后一个带"/",一个不带"/",区别很大

如果带"/"或"/xxx",则会直接使用其进行访问,例如www.baidu.com/xxx。

如果什么都不带,则会使用location的匹配到的URI来串接在后面进行访问,例如www.baidu.com/s?xxxxxxx(location ~* ^/s)。

 

此时使用代理baidu搜索"香港":

 

4.负载均衡

在nginx配置文件中配置负载均衡:

# 在server前面定义一个upstream池
upstream leeoo {
        server 192.168.1.121:80;
        server 192.168.1.202;
}

# 然后在对应的location中,将目标服务器的域名或IP替换为leeoo
location /ooxx {
        proxy_pass http://leeoo/;
}

此时,当我们访问http://www.123.com:80/ooxx时,nginx会自动进行负载均衡,将轮询访问leeoo中的两台real server。

5.Session一致性问题

如果我们的后端服务器使用的是tomcat等容器,需要为用户保存Session。当Nginx将一个用户链接负载到不同的后端服务器时,我们需要保证他们能够使用同一个Session对用户进行验证,否则会出现让用户重复登录的问题;

1)首先,要保证集群中的服务器时间一致性。

2)使用专门管理Session的软件,或者使用memcache、Redis等内存数据库等来帮助Tomcat共享Session。

 

在192.168.1.199上安装memcached:

yum install memcached -y

使用以下命令启动:

memcached -d -m 128m -p 11211 -l 192.168.1.199 -u root -P /tmp/

  -m是使用128M内存空间

  -p是使用11211端口进行通信

  -l是服务器地址

  -u用户名

使用netstat查看memcached监听情况:

[root@lvs-server-1 etc]# netstat -natp | grep 11211
tcp        0      0 192.168.1.199:11211     0.0.0.0:*               LISTEN      1540/memcached      

 

在192.168.1.202和192.168.1.121上安装JDK和Tomcat:

下载JDK和Tomcat:

apache-tomcat-7.0.96.tar.gz  
jdk-7u80-linux-x64.rpm

安装JDK:

rpm -i jdk-7u80-linux-x64.rpm

配置环境变量:

vi /etc/profile

# 在最后添加
export JAVA_HOME=/usr/java/jdk1.7.0_80
export PATH=$PATH:$JAVA_HOME/bin

# 使其生效
source /etc/profile

运行jps命令,检查是否安装成功:

[root@real-server-2 etc]# jps
1793 Jps

解压Tomcat:

tar xf apache-tomcat-7.0.96.tar.gz

 

创建一个页面,让其打印Session:

cd ~/apache-tomcat-7.0.96/webapps/ROOT
cp index.jsp index.jsp.bak
vi index.jsp

from 192.168.1.202<br>Session: <%= session.getId()%>

启动Tomcat:

cd ~/apache-tomcat-7.0.96/bin
./startup.sh
[root@real-server-2 bin]# ./startup.sh 
Using CATALINA_BASE:   /root/apache-tomcat-7.0.96
Using CATALINA_HOME:   /root/apache-tomcat-7.0.96
Using CATALINA_TMPDIR: /root/apache-tomcat-7.0.96/temp
Using JRE_HOME:        /usr/java/jdk1.7.0_80
Using CLASSPATH:       /root/apache-tomcat-7.0.96/bin/bootstrap.jar:/root/apache-tomcat-7.0.96/bin/tomcat-juli.jar
Tomcat started.

访问192.168.1.202:8080:

 

重复刷新,Session是不会变化的,因为我们访问的是同一个Tomcat服务器。

 

在192.168.1.202和192.168.1.121上都安装好Tomcat之后,我们使用nginx来做负载均衡(192.168.1.201上):

在/opt/nginx/conf/nginx.conf中做如下配置:

upstream tom {
        server 192.168.1.121:8080;
        server 192.168.1.202:8080;
}

server {
        listen       80;
        server_name  www.123.com;

        location / {
            root   html;
            index  index.html index.htm;
        }

        location /cat/ {
            proxy_pass http://tom/;
        }
}

重新载入:

systemctl reload nginx

然后此时访问www.123.com:80:

 

 

我们可以看到,重复访问的时候,负载均衡是起效的,但是他们的Session不一致的。

 

停掉两台机器的Tomcat:

cd ~/apache-tomcat-7.0.96/bin
./shutdown.sh

配置Tomcat使用memcached:

cd /root/apache-tomcat-7.0.96/conf
vi context.xml 

在最后添加如下内容:

<Manager className="de.javakaffee.web.msm.MencachedBackupSessionManager"
        memcachedNodes="n1:192.168.1.199:11211"
    sticky="false"
    lockingMode="auto"
    sessionBackupAsync="false"
        requestUriIgnorePattern=".*\.(ico|png|gif|jpg|css|js)$"
    sessionBackupTimeout="1000" transcoderFactoryClass="de.javakaffee.web.msm.serializer.kryo.KryoTranscoderFactory"
/>

再为Tomcat的lib中补充需要的一些jar包:

[root@real-server-2 tomcat_jar]# ll
total 804
-rw-r--r-- 1 root root  43398 Feb 26  2019 asm-3.2.jar
-rw-r--r-- 1 root root  94830 Feb 26  2019 kryo-1.04.jar
-rw-r--r-- 1 root root  62112 Feb 26  2019 kryo-serializers-0.11.jar
-rw-r--r-- 1 root root 142281 Feb 26  2019 memcached-session-manager-1.7.0.jar
-rw-r--r-- 1 root root  11283 Feb 26  2019 memcached-session-manager-tc7-1.8.1.jar
-rw-r--r-- 1 root root   4879 Feb 26  2019 minlog-1.2.jar
-rw-r--r-- 1 root root  26511 Feb 26  2019 msm-kryo-serializer-1.7.0.jar
-rw-r--r-- 1 root root  11615 Feb 26  2019 reflectasm-1.01.jar
-rw-r--r-- 1 root root 407912 Feb 26  2019 spymemcached-2.7.3.jar

将这些jar包拷贝到Tomcat的lib目录中:

cp ~/tomcat_jar/* ~/apache-tomcat-7.0.96/lib

重新启动tomcat,后再次尝试访问http://www.123.com/cat,发现负载均衡正常,Session也不会发生变化。

posted @ 2019-10-31 19:55  风间悠香  阅读(994)  评论(0编辑  收藏  举报