nginx
nginx简介
nginx
(发音同engine x)是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like协议下发行。
nginx
由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引擎Rambler使用。
第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。
nginx
的特点是占有内存少,并发能力强,事实上nginx
的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx
网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
nginx的特性与优点
nginx的特性
nginx
是一个很牛的高性能Web和反向代理服务器,它具有很多非常优越的特性:
- 在高连接并发的情况下,nginx是Apache服务器不错的替代品,能够支持高达50000个并发连接数的响应
- 使用epoll and kqueue作为开发模型
- nginx作为负载均衡服务器:nginx既可在内部直接支持和PHP程序对外进行服务,也可支持作为HTTP代理服务器对外进行服务
- nginx采用C进行编写,不论系统资源开销还是CPU使用效率都比Perlbal要好很多
nginx的优点
- 高并发连接:官方测试能够支撑5万并发连接,在实际生产环境中跑到2-3万并发连接数
- 内存消耗少:在3万并发连接下,开启的10个nginx进程才消耗150M内存(15M*10=150M)
- 配置文件非常简单:风格跟程序一样通俗易懂
- 成本低廉:nginx为开源软件,可以免费使用。而购买F5 BIG-IP、NetScaler等硬件负载均衡交换机则需要十多万至几十万人民币
- 支持Rewrite重写规则:能够根据域名、URL的不同,将HTTP请求分到不同的后端服务器群组
- 内置的健康检查功能:如果Nginx Proxy后端的某台Web服务器宕机了,不会影响前端访问
- 节省带宽:支持GZIP压缩,可以添加浏览器本地缓存的Header头
- 稳定性高:用于反向代理,宕机的概率微乎其微
- 模块化设计:模块可以动态编译
- 外围支持好:文档全,二次开发和模块较多
- 支持热部署:可以不停机重载配置文件
- 支持事件驱动、AIO(AsyncIO,异步IO)、mmap(Memory Map,内存映射)等性能优化
nginx的功能及应用类别
nginx的基本功能
- 静态资源的web服务器,能缓存打开的文件描述符
- http、smtp、pop3协议的反向代理服务器
- 缓存加速、负载均衡
- 支持FastCGI(fpm,LNMP),uWSGI(Python)等
- 模块化(非DSO机制),过滤器zip、SSI及图像的大小调整
- 支持SSL
nginx的扩展功能
- 基于名称和IP的虚拟主机
- 支持keepalive
- 支持平滑升级
- 定制访问日志、支持使用日志缓冲区提高日志存储性能
- 支持URL重写
- 支持路径别名
- 支持基于IP及用户的访问控制
- 支持速率限制,支持并发数限制
nginx的应用类别
- 使用nginx结合FastCGI运行PHP、JSP、Perl等程序
- 使用nginx作反向代理、负载均衡、规则过滤
- 使用nginx运行静态HTML网页、图片
- nginx与其他新技术的结合应用
nginx的模块与工作原理
nginx
由内核和模块组成。其中,内核的设计非常微小和简洁,完成的工作也非常简单,仅仅通过查找配置文件将客户端请求映射到一个location block(location是nginx配置中的一个指令,用于URL匹配),而在这个location中所配置的每个指令将会启动不同的模块去完成相应的工作。
nginx的模块分类
nginx的模块从结构上分为核心模块、基础模块和第三方模块
- HTTP模块、EVENT模块和MAIL模块等属于核心模块
- HTTP Access模块、HTTP FastCGI模块、HTTP Proxy模块和HTTP Rewrite模块属于基本模块
- HTTP Upstream模块、Request Hash模块、Notice模块和HTTP Access Key模块属于第三方模块
用户根据自己的需要开发的模块都属于第三方模块。正是有了如此多模块的支撑,nginx的功能才会如此强大
nginx模块从功能上分为三类,分别是:
- Handlers(处理器模块)。此类模块直接处理请求,并进行输出内容和修改headers信息等操作。handlers处理器模块一般只能有一个
- Filters(过滤器模块)。此类模块主要对其他处理器模块输出的内容进行修改操作,最后由nginx输出
- Proxies(代理器模块)。就是nginx的HTTP Upstream之类的模块,这些模块主要与后端一些服务比如fastcgi等操作交互,实现服务代理和负载均衡等功能
nginx模块分为:核心模块、事件模块、标准Http模块、可选Http模块、邮件模块、第三方模块和补丁等
- nginx基本模块:所谓基本模块,指的是nginx默认的功能模块,它们提供的指令,允许你使用定义nginx基本功能的变量,在编译时不能被禁用,包括:
- 核心模块:基本功能和指令,如进程管理和安全。常见的核心模块指令,大部分是放置在配置文件的顶部
- 事件模块:在Nginx内配置网络使用的能力。常见的events(事件)模块指令,大部分是放置在配置文件的顶部
- 配置模块:提供包含机制
具体的指令,请参考nginx
的官方文档
nginx的工作原理
nginx
的模块直接被编译进nginx
,因此属于静态编译方式。
启动nginx
后,nginx
的模块被自动加载,与Apache
不一样,首先将模块编译为一个so文件,然后在配置文件中指定是否进行加载。
在解析配置文件时,nginx
的每个模块都有可能去处理某个请求,但是同一个处理请求只能由一个模块来完成。
nginx
的进程架构:
启动nginx
时,会启动一个Master
进程,这个进程不处理任何客户端的请求,主要用来产生worker
线程,一个worker
线程用来处理n个request
。
下图展示了nginx
模块一次常规的HTTP请求和响应的过程
基本流程解释:
用户建立连接,和nginx内核空间建立接连,nginx服务器处理并响应请求,nginx会访问自己的的存储资源池,并且复制一份内存缓存成为进程缓存,然后构建响应,然后返回到内核空间,通过搭建的网卡链路将数据返回给用户。
进程与线程
进程是具有一定独立功能的程序,关于某个数据集合上的一次运行活动,进程是系统进行资源分配和调度的一个独立单位。从逻辑角度来看,多线程的意义在于一个应用程序(进程)中,有多个执行部分可以同时执行。但操作系统并没有将多个线程看做多个独立的应用来实现,而是作为进程来调度和管理以及资源分配。这就是进程和线程的重要区别,进程和线程的主要差别在于,进程有独立的地址空间,一个进程崩溃后,在保护模式下不会对其它进程产生影响,而线程只是一个进程中的不同执行路径。线程有自己的堆栈和局部变量,但线程之间没有单独的地址空间,一个线程死掉就等于整个进程死掉,所以多进程的程序要比多线程的程序健壮,但在进程切换时,耗费资源较大,效率要差一些。但对于一些要求同时进行并且又要共享某些变量的并发操作,只能用线程,不能用进程。下面我们来说一说并发连接数。
并发连接数
什么是最大并发连接数呢?
最大并发连接数是服务器同一时间能处理最大会话数量。
什么是会话
我们打开一个网站就是一个客户端浏览器与服务端的一个会话,而我们浏览网页是基于http协议。
HTTP协议如何工作
HTTP支持两种建立连接的方式:非持久连接和持久连接(HTTP1.1默认的连接方式为持久连接)。
浏览器与Web服务器之间将完成下列7个步骤
1.建立TCP连接 2.Web浏览器向Web服务器发送请求命令 3.Web浏览器发送请求头信息 4.Web服务器应答 5.Web服务器发送应答头信息 6.Web服务器向浏览器发送数据 7.Web服务器关闭TCP连接
一般情况下,一旦Web服务器向浏览器发送了请求数据,它就要关闭TCP连接,但是浏览器一般其头信息加入了这行代码 Connection:keep-alive,TCP连接在发送后将仍然保持打开状态,于是,浏览器可以继续通过相同的连接发送请求。保持连接目的,节省了为每 个请求建立新连接所需的时间,还节约了网络带宽。
并发连接数的计算方法
用户下载服务器上的文件,则为一个连接,用户文件下载完毕后这个连接就消失了。有时候用户用迅雷的多线程方式下载的话,这一个用户开启了5个线程的话,就算是5个连接。
用户打开你的页面,就算停留在页面没有对服务器发出任何请求,那么在用户打开一面以后的15分钟内也都要算一个在线。
上面的情况用户继续打开同一个网站的其他页面,那么在线人数按照用户最后一次点击(发出请求)以后的15分钟计算,在这个15分钟内不管用户怎么点击(包括新窗口打开)都还是一人在线。
当用户打开页面然后正常关闭浏览器,用户的在线人数也会马上清除。
Web服务器提供服务的方式
Web服务器由于要同时为多个客户提供服务,就必须使用某种方式来支持这种多任务的服务方式。一般情况下可以有以下三种方式来选择,多进程方式、多线程方式及异步方式。其中,多进程方式中服务器对一个客户要使用一个进程来提供服务,由于在操作系统中,生成一个进程需要进程内存复制等额外的开销,这样在客户较多时的性能就会降低。为了克服这种生成进程的额外开销,可以使用多线程方式或异步方式。在多线程方式中,使用进程中的多个线程提供服务, 由于线程的开销较小,性能就会提高。事实上,不需要任何额外开销的方式还是异步方式,它使用非阻塞的方式与每个客户通信,服务器使用一个进程进行轮询就行了。
虽然异步方式最为高效,但它也有自己的缺点。因为异步方式下,多个任务之间的调度是由服务器程序自身来完成的,而且一旦一个地方出现问题则整个服务器就会出现问题。因此,向这种服务器增加功能,一方面要遵从该服务器自身特定的任务调度方式,另一方面要确保代码中没有错误存在,这就限制了服务器的功能,使得异步方式的Web服务器的效率最高,但功能简单,如Nginx服务器。
由于多线程方式使用线程进行任务调度,这样服务器的开发由于遵从标准,从而变得简单并有利于多人协作。然而多个线程位于同一个进程内,可以访问同样的内存空间,因此存在线程之间的影响,并且申请的内存必须确保申请和释放。对于服务器系统来讲,由于它要数天、数月甚至数年连续不停的运转,一点点错误就会逐渐积累而最终导致影响服务器的正常运转,因此很难编写一个高稳定性的多线程服务器程序。但是,不是不能做到时。Apache的worker模块就能很好的支持多线程的方式。
多进程方式的优势就在于稳定性,因为一个进程退出的时候,操作系统会回收其占用的资源,从而使它不会留下任何垃圾。即便程序中出现错误,由于进程是相互隔离的,那么这个错误不会积累起来,而是随着这个进程的退出而得到清除。Apache的prefork模块就是支持多进程的模块。
在上面的讲解中我们说明,Web服务器的如何提供服务的,有多进程的方式、多线程的方式还有异步方式我们先简单这么理解,后面我们慢慢说,现在我们不管Web服务器是如何提供服务的,多进程也好、多线程好,异步也罢。下面我们来说一下,一个客户端的具体请求Web服务的具体过程,从上图中我们可以看到有11步,下面我们来具体说一下,
1.首先我们客户端发送一个请求到Web服务器,请求首先是到网卡。2.网卡将请求交由内核空间的内核处理,其实就是拆包了,发现请求的是80端口。3.内核便将请求发给了在用户空间的Web服务器,Web服务器接受到请求发现客户端请求的index.html页面。4.Web服务器便进行系统调用将请求发给内核。5.内核发现在请求的是一页面,便调用磁盘的驱动程序,连接磁盘。6.内核通过驱动调用磁盘取得的页面文件。7.内核将取得的页面文件保存在自己的缓存区域中便通知Web进程或线程来取相应的页面文件。8.Web服务器通过系统调用将内核缓存中的页面文件复制到进程缓存区域中。9.Web服务器取得页面文件来响应用户,再次通过系统调用将页面文件发给内核。10.内核进程页面文件的封装并通过网卡发送出去。11.当报文到达网卡时通过网络响应给客户端
简单来说就是:用户请求-->送达到用户空间-->系统调用-->内核空间-->内核到磁盘上读取网页资源->返回到用户空间->响应给用户。上述简单的说明了一下,客户端向Web服务请求过程,在这个过程中,有两个I/O过程,一个就是客户端请求的网络I/O,另一个就是Web服务器请求页面的磁盘I/O。
nginx的安装与配置
nginx的安装
//创建系统用户nginx [root@RedHat ~]# useradd -r -M -s /sbin/nologin nginx //安装依赖环境 [root@RedHat ~]# yum -y install pcre-devel openssl openssl-devel gd-devel gcc gcc-c++ make 安装过程略.... [root@RedHat ~]# yum -y groups mark install 'Development Tools' //创建日志存放目录 [root@RedHat ~]# mkdir -p /var/log/nginx [root@RedHat ~]# chown -R nginx.nginx /var/log/nginx //下载nginx # cd /usr/src/ # wget http://nginx.org/download/nginx-1.20.0.tar.gz //编译安装 [root@RedHat src]# ls debug kernels nginx-1.20.0.tar.gz [root@RedHat src]# tar xf nginx-1.20.0.tar.gz [root@RedHat src]# cd nginx-1.20.0 [root@RedHat nginx-1.20.0]# ./configure \ > --prefix=/usr/local/nginx \ > --user=nginx \ > --group=nginx \ > --with-debug \ > --with-http_ssl_module \ > --with-http_realip_module \ > --with-http_image_filter_module \ > --with-http_gunzip_module \ > --with-http_gzip_static_module \ > --with-http_stub_status_module \ > --http-log-path=/var/log/nginx/access.log \ > --error-log-path=/var/log/nginx/error.log [root@RedHat nginx-1.20.0]# make -j $(grep 'processor' /proc/cpuinfo | wc -l) && make install
nginx安装后配置
//配置环境变量 [root@RedHat ~]# echo 'export PATH=/usr/local/nginx/sbin:$PATH' > /etc/profile.d/nginx.sh [root@RedHat ~]# . /etc/profile.d/nginx.sh //服务控制方式,使用nginx命令 -t //检查配置文件语法 -v //输出nginx的版本 -c //指定配置文件的路径 -s //发送服务控制信号,可选值有{stop|quit|reopen|reload} //启动nginx [root@RedHat ~]# nginx [root@RedHat ~]# ss -antl State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 *:80 *:* LISTEN 0 128 *:22 *:* LISTEN 0 100 127.0.0.1:25 *:* LISTEN 0 128 :::22 :::* LISTEN 0 100 ::1:25 :::*
nginx的配置文件详解
Nginx的配置文件结构
Nginx的配置文件nginx.conf位于其安装目录的conf目录下。
nginx.conf由多个块组成,最外面的块是main,main包含Events和HTTP,HTTP包含upstream和多个Server,Server又包含多个location:
主要分成四部分,如下所示:
main(全局设置):main部分设置的指令将影响到其它所有部分设置;
server(主机设置):server部分的指令主要用于指定虚拟主机域名、IP和端口;
upstream(上游服务器设置,主要为反向代理、负载均衡相关配置):upstream的指令用于设置一系列的后端服务器,设置反向代理及后端服务器的负载均衡;
location(URL匹配特定位置后的设置):location部分用于匹配网页位置(比如,根目录“/”,“/images”,等等);
主配置文件:/usr/local/nginx/conf/nginx.conf
- 默认启动nginx时,使用的配置文件是:安装路径/conf/nginx.conf文件
- 可以在启动nginx时通过-c选项来指定要读取的配置文件
nginx
常见的配置文件及其作用
配置文件 | 作用 |
---|---|
nginx.conf | nginx的基本配置文件 |
mime.types | MIME类型关联的扩展文件 |
fastcgi.conf | 与fastcgi相关的配置 |
proxy.conf | 与proxy相关的配置 |
sites.conf | 配置nginx提供的网站,包括虚拟主机 |
Nginx文件结构
1、全局块:配置影响nginx全局的指令。一般有运行nginx服务器的用户组,nginx进程pid存放路径,日志存放路径,配置文件引入,允许生成worker process数等。
2、events块:配置影响nginx服务器或与用户的网络连接。有每个进程的最大连接数,选取哪种事件驱动模型处理连接请求,是否允许同时接受多个网路连接,开启多个网络连接序列化等。
3、http块:可以嵌套多个server,配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置。如文件引入,mime-type定义,日志自定义,是否使用sendfile传输文件,连接超时时间,单连接请求数等。
4、server块:配置虚拟主机的相关参数,一个http中可以有多个server。
5、location块:配置请求的路由,以及各种页面的处理情况。
Nginx常见的配置项:
1.$remote_addr 与 $http_x_forwarded_for 用以记录客户端的ip地址;
2.$remote_user :用来记录客户端用户名称;
3.$time_local : 用来记录访问时间与时区;
4.$request : 用来记录请求的url与http协议;
5.$status : 用来记录请求状态;成功是200;
6.$body_bytes_s ent :记录发送给客户端文件主体内容大小;
7.$http_referer :用来记录从那个页面链接访问过来的;
8.$http_user_agent :记录客户端浏览器的相关信息;
每个指令必须有分号结束。
用于调试、定位问题的配置参数
daemon {on|off}; //是否以守护进程方式运行nginx,调试时应设置为off master_process {on|off}; //是否以master/worker模型来运行nginx,调试时可以设置为off error_log 位置 级别; //配置错误日志
error_log里的位置和级别能有以下可选项:
位置 | 级别 |
---|---|
file stderr syslog:server=address[,parameter=value] memory:size |
debug:若要使用debug级别,需要在编译nginx时使用--with-debug选项 info notice warn error crit alert emerg |
正常运行必备的配置参数
user USERNAME [GROUPNAME]; //指定运行worker进程的用户和组 pid /path/to/pid_file; //指定nginx守护进程的pid文件 worker_rlimit_nofile number; //设置所有worker进程最大可以打开的文件数,默认为1024 worker_rlimit_core size; //指明所有worker进程所能够使用的总体的最大核心文件大小,保持默认即可
优化性能的配置参数
worker_processes n; //启动n个worker进程,这里的n为了避免上下文切换,通常设置为cpu总核心数-1或等于总核心数 worker_cpu_affinity cpumask ...; //将进程绑定到某cpu中,避免频繁刷新缓存 //cpumask:使用8位二进制表示cpu核心,如: 0000 0001 //第一颗cpu核心 0000 0010 //第二颗cpu核心 0000 0100 //第三颗cpu核心 0000 1000 //第四颗cpu核心 0001 0000 //第五颗cpu核心 0010 0000 //第六颗cpu核心 0100 0000 //第七颗cpu核心 1000 0000 //第八颗cpu核心 timer_resolution interval; //计时器解析度。降低此值,可减少gettimeofday()系统调用的次数 worker_priority number; //指明worker进程的nice值
事件相关的配置:event{}段中的配置参数
accept_mutex {off|on}; //master调度用户请求至各worker进程时使用的负载均衡锁;on表示能让多个worker轮流地、序列化地去响应新请求 lock_file file; //accept_mutex用到的互斥锁锁文件路径 use [epoll | rtsig | select | poll]; //指明使用的事件模型,建议让nginx自行选择 worker_connections #; //每个进程能够接受的最大连接数
网络连接相关的配置参数
keepalive_timeout number; //长连接的超时时长,默认为65s keepalive_requests number; //在一个长连接上所能够允许请求的最大资源数 keepalive_disable [msie6|safari|none]; //为指定类型的UserAgent禁用长连接 tcp_nodelay on|off; //是否对长连接使用TCP_NODELAY选项,为了提升用户体验,通常设为on client_header_timeout number; //读取http请求报文首部的超时时长 client_body_timeout number; //读取http请求报文body部分的超时时长 send_timeout number; //发送响应报文的超时时长
fastcgi的相关配置参数
LNMP:php要启用fpm模型
配置示例如下:
location ~ \.php$ { root html; fastcgi_pass 127.0.0.1:9000; //定义反向代理 fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; include fastcgi_params; }
常需要进行调整的参数
- worker_processes
- worker_connections
- worker_cpu_affinity
- worker_priority
nginx作为web服务器时使用的配置:http{}段的配置参数
http{...}:配置http相关,由ngx_http_core_module模块引入。nginx的HTTP配置主要包括四个区块,结构如下:
http {//协议级别 include mime.types; default_type application/octet-stream; keepalive_timeout 65; gzip on; upstream {//负载均衡配置 ... } server {//服务器级别,每个server类似于httpd中的一个<VirtualHost> listen 80; server_name localhost; location / {//请求级别,类似于httpd中的<Location>,用于定义URL与本地文件系统的映射关系 root html; index index.html index.htm; } } }
http{}段配置指令:
server {}:定义一个虚拟主机,示例如下:
server { listen 80; server_name www.idfsoft.com; root "/vhosts/web"; }
listen:指定监听的地址和端口
listen address[:port];
listen port;
server_name NAME [...];后面可跟多个主机,名称可使用正则表达式或通配符
当有多个server时,匹配顺序如下: 先做精确匹配检查 左侧通配符匹配检查,如*.idfsoft.com 右侧通配符匹配检查,如mail.* 正则表达式匹配检查,如~ ^.*\.idfsoft\.com$ default_server
root path
设置资源路径映射,用于指明请求的URL所对应的资源所在的文件系统上的起始路径
alias path
用于location配置段,定义路径别名
error_page code [...] [=code] URI | @name
根据http响应状态码来指明特用的错误页面,例如 error_page 404 /404_customed.html
[=code]:以指定的响应码进行响应,而不是默认的原来的响应,默认表示以新资源的响应码为其响应码,例如 error_page 404 =200 /404_customed.html
location区段,通过指定模式来与客户端请求的URI相匹配
#功能:允许根据用户请求的URI来匹配定义的各location,匹配到时,此请求将被相应的location配置块中的配置所处理,例如做访问控制等功能
#语法:location [ 修饰符 ] pattern {......}
常用修饰符说明:
修饰符 | 功能 |
---|---|
= | 精确匹配 |
~ | 正则表达式模式匹配,区分大小写 |
~* | 正则表达式模式匹配,不区分大小写 |
^~ | 前缀匹配,类似于无修饰符的行为,也是以指定模块开始,不同的是,如果模式匹配,那么就停止搜索其他模式了,不支持正则表达式 |
@ | 定义命名location区段,这些区段客户端不能访问,只可以由内部产生的请求来访问,如try_files或error_page等 |
nginx平滑升级过程:
1.获取之前的编译参数
2.下载新模块
3.重新编译软件,--add-module=新模块的路径
4.编译,替换主程序(原程序先备份)
5.启动新程序
Nginx信号简介
主进程支持的信号
TERM
,INT
: 立刻退出QUIT
: 等待工作进程结束后再退出KILL
: 强制终止进程HUP
: 重新加载配置文件,使用新的配置启动工作进程,并逐步关闭旧进程。USR1
: 重新打开日志文件USR2
: 启动新的主进程,实现热升级WINCH
: 逐步关闭工作进程
工作进程支持的信号
TERM
,INT
: 立刻退出QUIT
: 等待请求处理结束后再退出USR1
: 重新打开日志文件
//平滑升级过程 # wget https://github.com/openresty/echo-nginx-module/archive/refs/heads/master.zip # unzip master.zip # nginx -V # tar -xf nginx-1.20.0.tar.gz # ls anaconda-ks.cfg echo-nginx-module-master master.zip nginx-1.20.0.tar.gz # tar -xf nginx-1.20.0.tar.gz # ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-debug --with-http_ssl_module --with-http_realip_module --with-http_image_filter_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_stub_status_module --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --add-module=../echo-nginx-module-master/ # make # mv /usr/local/nginx/sbin/nginx /opt/nginx_$(date +%F) # ls /opt/ nginx_2021-05-31 # mv objs/nginx /usr/local/nginx/sbin/ # kill -USR2 `cat /usr/local/nginx/logs/nginx.pid` # nginx -V nginx version: nginx/1.20.0 built by gcc 8.3.1 20191121 (Red Hat 8.3.1-5) (GCC) built with OpenSSL 1.1.1g FIPS 21 Apr 2020 TLS SNI support enabled configure arguments: --prefix=/usr/local/nginx --user=nginx --group=nginx --with-debug --with-http_ssl_module --with-http_realip_module --with-http_image_filter_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_stub_status_module --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --add-module=../echo-nginx-module-master/
没有修饰符表示必须以指定模式开始 如:
server { listen 80; server_name localhost; location /test { echo "123"; }
有几种正确匹配的方式例如:
- http://(IP地址)/test
- http://(IP地址)/test?p1=11?p2=22
- http://(IP地址)/test/
=:表示必须与指定的模式精确匹配,如:
server { listen 80; server_name localhost; location = /test { echo "234"; }
那么久可以使用这种匹配方式例如:
- http://ip/test
- http://ip/test?p1=qq?p2=ww
~:表示指定的正则表达式要区分大小写,如:
server { listen 80; server_name localhost; location ~ /test$ { echo "345"; }
那么如下内容就可正确匹配:
- http://ip/test
- http://ip/test?p1=qq?p2=ww
如下内容则无法匹配:
- http://ip/test/
- http://ip/TEST
- http://ip/testabc
~*:表示指定的正则表达式不区分大小写,如:
server { listen 80; server_name localhost; location ~* /test$ { echo "456"; }
那么如下内容就可正确匹配:
- http://ip/test
- http://ip/test?p1=qq?p2=ww
- http://ip/TEST
如下内容则无法匹配:
- http://ip/test/
- http://ip/testabc
查找顺序和优先级:由高到底依次为
- 带有
=
的精确匹配优先 - 正则表达式按照他们在配置文件中定义的顺序
- 带有
^~
修饰符的,开头匹配 - 带有
~
或~*
修饰符的,如果正则表达式与URI匹配 - 没有修饰符的精确匹配
优先级次序如下:
( location = 路径 ) --> ( location ^~ 路径 ) --> ( location ~ 正则 ) --> ( location ~* 正则 ) --> ( location 路径 )
访问控制
用于location段
allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开
deny:设定禁止哪台或哪些主机访问,多个参数间用空格隔开
示例:
//拒绝所有,这样的话所有的连接都不能访问到test下面的内容 location /test { deny all; # allow ; }
//单独禁用一些地址,例如我禁用我自己物理机的IP location /test { deny 192.168.124.11; deny 192.168.18.1; allow all;
//但是我的虚拟机可以访问 [root@nginx ~]# curl http://192.168.100.145/test/index.html hehe [root@nginx ~]# curl http://192.168.100.145/test/index.html hehe
如果你把参数写到server里面,他是针对整个网站的
例如:
//我只放行了虚拟机IP访问nginx,拒绝了所有其他机器 server { listen 80; server_name localhost; allow 192.168.100.145; deny all;
[root@nginx ~]# curl 192.168.100.145 <!DOCTYPE html> <html> <head> <title>Welcome to nginx!</title> <style> body { width: 35em; margin: 0 auto; font-family: Tahoma, Verdana, Arial, sans-serif;
由此可见,写在location字段里面是针对某个资源,写在server里是针对整个网站
基于用户认证
auth_basic "欢迎信息"; auth_basic_user_file "/path/to/user_auth_file"
user_auth_file内容格式为:
username:password
这里的密码为加密后的密码串,建议用htpasswd来创建此文件:
htpasswd -c -m /path/to/.user_auth_file USERNAME
安装htpasswd
[root@nginx ~]# yum -y install httpd-tools
//我把密码文件放到/usr/local/nginx/conf/里面叫.user_auth_file //使用htpasswd给它加密 [root@nginx conf]# htpasswd -c -m .user_auth_file tom New password: Re-type new password: Adding password for user tom [root@nginx conf]# ls -a |grep ^.user .user_auth_file //编辑字段 location /test { root html; index index.html index.htm; auth_basic "你好"; auth_basic_user_file "/usr/local/nginx/conf/.user_auth_file"; } [root@nginx conf]# nginx -s reload
必须通过认证才能访问,否则拒绝
https配置
生成私钥,生成证书签署请求并获得证书,然后在nginx.conf中配置如下内容:
server { listen 443 ssl; server_name www.idfsoft.com; ssl_certificate /etc/nginx/ssl/nginx.crt; ssl_certificate_key /etc/nginx/ssl/nginx.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } }
//创建证书和私钥的目录 # cd /usr/local/nginx # mkdir CA //创建服务器私钥,命令会让你输入一个口令 //注意,centos版本如果是CentOS Linux release 8.0.1905 (Core)版本,私钥长度不能设置成1024位,必须2048位 # cd CA # openssl genrsa -des3 -out server.key 2048 //创建签名请求的证书(CSR),设置信息 # openssl req -new -key server.key -out server.csr # openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt //配置nginx server { listen 443 ssl; server_name localhost; ssl_certificate "/usr/local/nginx/CA/server.crt"; ssl_certificate_key "/usr/local/nginx/CA/server.key"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } }
重启服务网页上访问
使用zabbix监控nginx状态
master和slave配置详情见:Keepalived实现Nginx负载均衡机高可用
zabbix监控配置详情见:监控服务Zabbix部署 和 Zabbix配置
在nginx客户端安装zabbix客户端
//slave关闭防火墙和selinux # systemctl disable --now firewalld # sed -ri 's/^(SELINUX=).*/\1disabled/g' /etc/selinux/config # setenforce 0
//安装依赖包 # yum -y install gcc gcc-c++ bzip2 pcre* make #wget https://cdn.zabbix.com/zabbix/sources/stable/5.2/zabbix-5.2.6.tar.gz # tar xf zabbix-5.2.6.tar.gz # useradd -r -M -s /sbin/nologin zabbix # cd zabbix-5.2.6 # ./configure --enable-agent # make install
开启nginx状态查看项
# vim /usr/local/nginx/conf/nginx.conf location /status{ stub_status on; } # nginx -t nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful # nginx -s reload
配置zabbix配置文件
# vim /usr/local/etc/zabbix_agentd.conf ······ Server=192.168.100.1 #修改成服务端IP ······ ServerActive=192.168.100.1 #修改成服务端IP ······ Hostname=nginx # zabbix_agentd # ss -antl State Recv-Q Send-Q Local Address:Port Peer Address:Port LISTEN 0 128 0.0.0.0:22 0.0.0.0:* LISTEN 0 128 0.0.0.0:10050 0.0.0.0:* LISTEN 0 128 [::]:22 [::]:*
编写脚本
# mkdir /usr/local/etc/zabbix_scripts -p # cat /usr/local/etc/zabbix_scripts/nginx_status.sh //脚本内容 #!/bin/bash nginx_server=192.168.100.1 requests(){ requests=`curl -s http://${nginx_server}/status | awk 'NR==3{print $3}'` echo ${requests} } Reading(){ Reading=`curl -s http://${nginx_server}/status | awk 'NR==4{print $2}'` echo ${Reading} } Writing(){ Writing=`curl -s http://${nginx_server}/status | awk 'NR==4{print $4}'` echo ${Writing} } Waiting(){ Waiting=`curl -s http://${nginx_server}/status | awk 'NR==4{print $6}'` echo ${Waiting} } main(){ case $1 in requests) requests; ;; Reading) Reading; ;; Writing) Writing; ;; Waiting) Waiting; ;; esac } main $1 //添加执行权限 # chmod +x /usr/local/etc/zabbix_scripts/nginx_status.sh //添加键值 [root@nginx zabbix-5.2.6]# vim /usr/local/etc/zabbix_agentd.conf UnsafeUserParameters=1 UserParameter=nginx_check_status[*],/usr/local/etc/zabbix_scripts/nginx_status.sh $1 //重启zabbix # pkill zabbix # zabbix_agentd
测试zabbix获取值
//zabbix主控端 [root@zabbix ~]# zabbix_get -s 192.168.100.145 -k 'nginx_check_status[Writing]' 1 [root@zabbix ~]# zabbix_get -s 192.168.100.145 -k 'nginx_check_status[requests]' 6 [root@zabbix ~]# zabbix_get -s 192.168.100.145 -k 'nginx_check_status[Reading]' 0 [root@zabbix ~]# zabbix_get -s 192.168.100.145 -k 'nginx_check_status[Waiting]' 0
创建监控项
添加主机组
Configuration —— Host groups —— 右上角 Create host group
添加主机组
Configuration —— Host groups —— 右上角 Create host group
添加监控项
Configuration --- Hosts --- 客户机的Items --- 右上角Create Items
填加第一项:requests
填加第二项:Reading
填加第三项:Writing
填加第四项:Waiting
添加graph
Configuration --- Hosts --- 客户机的Graphs --- 右上角Create graph
在Screens上添加图表方便监控
Monitoring --- Screens --- 右上角Edit screen
监控nginx状态成功
rewrite (url 重写)
语法:rewrite regex replacement flag;
,如:
将url 开头为/imgs 下所有的以.jpg结尾的文件路径全部转成 /images下所有.jpg结尾的文件
rewrite ^/imgs/(.*\.jpg)$ /images/$1 break;
在nginx网页访问目录下创建一个目录,在里面放入一张图片
[root@nginx imgs]# pwd
/usr/local/nginx/html/imgs
[root@nginx imgs]# ls
erciyuan.jpg
将原图片存放位置修改名字
[root@nginx imgs]# cd ..
[root@nginx html]# mv imgs images
[root@nginx html]# ls
50x.html images index.html test
将rewrite机制写入配置文件中
location /imgs {
rewrite ^/imgs/(.*\.jpg)$ /images/$1 break;
}
我没有改变访问的地址,还是能访问到图片
还有一种写法
rewrite ^/images/(.*\.jpg)$ www.baidu.com break;
location /imgs {
rewrite ^/imgs/(.*\.jpg)$ http://www.baidu.com break;
}
[root@nginx html]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@nginx html]# nginx -s reload
直接访问到了百度
常见的flag
flag | 作用 |
---|---|
last | 基本上都用这个flag,表示当前的匹配结束,继续下一个匹配,最多匹配10个到20个 一旦此rewrite规则重写完成后,就不再被后面其它的rewrite规则进行处理 而是由UserAgent重新对重写后的URL再一次发起请求,并从头开始执行类似的过程 |
break | 中止Rewrite,不再继续匹配 一旦此rewrite规则重写完成后,由UserAgent对新的URL重新发起请求, 且不再会被当前location内的任何rewrite规则所检查 |
redirect | 以临时重定向的HTTP状态302返回新的URL |
permanent | 以永久重定向的HTTP状态301返回新的URL |
rewrite模块的作用是用来执行URL重定向。这个机制有利于去掉恶意访问的url,也有利于搜索引擎优化(SEO)
nginx使用的语法源于Perl兼容正则表达式(PCRE)库,基本语法如下:
标识符 | 意义 |
---|---|
^ | 必须以^后的实体开头 |
$ | 必须以$前的实体结尾 |
. | 匹配任意字符 |
[] | 匹配指定字符集内的任意字符 |
[^] | 匹配任何不包括在指定字符集内的任意字符串 |
| | 匹配 | 之前或之后的实体 |
() | 分组,组成一组用于匹配的实体,通常会有 | 来协助 |
捕获子表达式,可以捕获放在()之间的任何文本,比如:
^(hello|sir)$ //字符串为“hello sir”捕获的结果:$1=hello$2=sir
//这些被捕获的数据,在后面就可以当变量一样使用了
redirect
[root@nginx html]# vim /usr/local/nginx/conf/nginx.conf
location /imgs {
rewrite ^/imgs/(.*\.jpg)$ /images/$1 redirect;
}
[root@nginx html]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@nginx html]# nginx -s reload
permanent
[root@nginx html]# vim /usr/local/nginx/conf/nginx.conf
location /imgs {
rewrite ^/imgs/(.*\.jpg)$ /images/$1 permanent;
}
[root@nginx html]# nginx -s reload
last
[root@nginx html]# vim /usr/local/nginx/conf/nginx.conf
location /imgs {
rewrite ^/imgs/(.*\.jpg)$ /images/$1 last;
}
location /images {
rewrite ^/images/(.*\.jpg)$ http://www.baidu.com last;
}
[root@nginx html]# nginx -s reload
刷新之后直接跳转到了百度
break
[root@nginx html]# vim /usr/local/nginx/conf/nginx.conf
location /imgs {
rewrite ^/imgs/(.*\.jpg)$ /images/$1 break;
}
location /images {
rewrite ^/images/(.*\.jpg)$ http://www.baidu.com last;
}
[root@nginx html]# nginx -s reload
匹配第一个之后就不会去匹配第二个了
if
语法:if (condition) {...}
应用场景:
- server段
- location段
常见的condition
- 变量名(变量值为空串,或者以“0”开始,则为false,其它的均为true)
- 以变量为操作数构成的比较表达式(可使用=,!=类似的比较操作符进行测试)
- 正则表达式的模式匹配操作测试指定路径为文件的可能性(-f,!-f)
- ~:区分大小写的模式匹配检查
- ~*:不区分大小写的模式匹配检查
- !~和!~*:对上面两种测试取反
- 测试指定路径为目录的可能性(-d,!-d)
- 测试文件的存在性(-e,!-e)
- 检查文件是否有执行权限(-x,!-x)
基于浏览器实现分离案例
if ($http_user_agent ~ Firefox) {
rewrite ^(.*)$ /firefox/$1 break;
}
if ($http_user_agent ~ MSIE) {
rewrite ^(.*)$ /msie/$1 break;
}
if ($http_user_agent ~ Chrome) {
rewrite ^(.*)$ /chrome/$1 break;
}
防盗链案例
location ~* \.(jpg|gif|jpeg|png)$ {
valid_referers none blocked www.idfsoft.com;
if ($invalid_referer) {
rewrite ^/ http://www.idfsoft.com/403.html;
}
}
反向代理与负载均衡
nginx
通常被用作后端服务器的反向代理,这样就可以很方便的实现动静分离以及负载均衡,从而大大提高服务器的处理能力。
nginx
实现动静分离,其实就是在反向代理的时候,如果是静态资源,就直接从nginx
发布的路径去读取,而不需要从后台服务器获取了。
但是要注意,这种情况下需要保证后端跟前端的程序保持一致,可以使用Rsync
做服务端自动同步或者使用NFS
、MFS
分布式共享存储。
Http Proxy
模块,功能很多,最常用的是proxy_pass
和proxy_cache
如果要使用proxy_cache
,需要集成第三方的ngx_cache_purge
模块,用来清除指定的URL缓存。这个集成需要在安装nginx
的时候去做,如:./configure --add-module=../ngx_cache_purge-1.0 ......
nginx
通过upstream
模块来实现简单的负载均衡,upstream
需要定义在http
段内
在upstream
段内,定义一个服务器列表,默认的方式是轮询,如果要确定同一个访问者发出的请求总是由同一个后端服务器来处理,可以设置ip_hash,如:
环境
系统/软件 | IP |
redhat8 /nginx | 192.168.100.145 |
redhat8 /httpd | 192.168.100.147 |
redhat8 /httpd | 192.168.100.148 |
准备工作:关闭防火墙selinux
# systemctl stop firewalld
# setenforce 0
//写一个测试文件到第一台机
[root@RedHat ~]# echo "test1" > /var/www/html/index.html
[root@RedHat ~]# systemctl start httpd
//写一个测试文件到第二台机
[root@RedHat ~]# echo "test2" > /var/www/html/index.html
[root@RedHat ~]# systemctl start httpd
[root@RedHat ~]# curl 192.168.100.147
test1
[root@RedHat ~]# curl 192.168.100.148
test2
准备工作已经做完,开始配置nginx
upstream index.html {
server 192.168.100.147;
server 192.168.100.148;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://index.html;
}
[root@nginx html]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@nginx html]# nginx -s reload
upstream index.html {
server 192.168.100.147 weight=2;
server 192.168.100.148;
}
[root@nginx html]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@nginx html]# nginx -s reload
前两次访问的是test1,后一次就是test2了
因为他们的端口号都是一致的,所以不用加端口号,不一样的话就需要加上端口号;不然就会触发nginx的健康检查机制
案例
第一台机修改配置监听端口80改成8080
# vim /etc/httpd/conf/httpd.conf
# systemctl restart httpd
# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 *:8080 *:*
LISTEN 0 128 [::]:22 [::]:*
nginx配置文件还是跟之前没加端口号,访问测试一下
他就一直访问的rs2,因为他访问不到rs1的80端口。
//将nginx配置文件中ip后加上端口号
upstream index.html {
server 192.168.100.147:8080 weight=2;
server 192.168.100.148:80;
}
# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
# nginx -s reload
ip_hash;一台主机分配一个请求
//加上ip_hash
upstream index.html {
ip_hash;
server 192.168.100.147:8080 weight=2;
server 192.168.100.148:80;
}
# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
# nginx -s reload
[root@nginx html]# curl 192.168.100.145
test1
[root@nginx html]# curl 192.168.100.145
test1
[root@nginx html]# curl 192.168.100.145
test1
[root@nginx html]# curl 192.168.100.145
test1
[root@nginx html]# curl 192.168.100.145
test1
一直访问的test1
注意:这个方法本质还是轮询,而且由于客户端的ip可能是不断变化的,比如动态ip,代理,FQ等,因此ip_hash并不能完全保证同一个客户端总是由同一个服务器来处理。
定义好upstream
后,需要在server
段内添加如下内容:
server {
location / {
proxy_pass http://index.html;
}
}