Nginx 介绍
Nginx 简介与特性
-
Nginx 全称:engine X
-
国内流行的 Nginx 分支:
淘宝:Tengine---支持模块化动态装卸载
Registry---陌陌在使用 -
Nginx 使用时调用以下库:
libevent:高性能的网络库
Nginx 架构
Nginx 是 Master/Worker 架构
-
Master:主控进程;实现装载配置、平滑升级、管理 worker 进程
-
Worker:通过模块以流水线式方式完成各项功能处理
-
通过 epoll 机制实现单个 worker 进程并发响应多个客户请求
-
磁盘 IO:基于内核直接构建响应报文
AIO:异步 IO
mmap etc:内存映射 -
网络 IO:第一节段实现异步 IO(非阻塞),第二阶段还是阻塞
Nginx 的特性
1、模块化设计、较好的扩展性 2、高可靠 Nginx的组成: 一个主控进程:master(主进程负责生成多个子进程worker) 主控进程负责分析解析配置文件并启动子进程 主要完成以下工作:读取并验证配置,绑定或创建套接字,以及启动终结维护子进程的个数,无需重启重载配置文件,平滑升级 多个子进程:worker 负责响应用户请求 3、低内存消耗 一个线程响应多个请求 4、热部署 不停机更新配置文件、日志文件滚动、升级程序版本 5、支持事件驱动机制、支持异步AIO、支持内存映射机制(mmap)
Nginx 的基本功能
1、静态资源web服务器,能够缓存打开的文件描述符 2、http、smtp、pop3支持这三种协议的反向代理服务器 反向代理服务器:建立在80端口上,但是不提供内容,代理进程解析判断客户端是否可以访问后端web服务器,如果可以访问,代理服务器将用户请求改为封装为另一个样子提交给web服务器;如果不允许则拒绝 3、缓存加速(在反向代理时实现)、负载均衡 4、支持FastCGI(fpm,LNMP);uWSGI协议(Pyhton)等 5、支持模块化(非DSO机制)、过滤器zip、SSI及图像的大小调整 6、支持SSL,从而实现https服务
Nginx 扩展功能
基于名称和 IP 的虚拟主机
支持 keepalived
支持平滑升级
定制访问日志、支持使用日志缓存区提供日志存储性能
支持路径别名
支持 url rewrite
支持基于 IP 及用户的访问控制
支持速度限制,支持并发数限制
Nginx 基本架构特性
一个 master 进程生成一个或多个 worker 进程
支持事件驱动:Linux 调用 epoll(边缘触发)、bs 调用 kqueue、server 调用/dev/poll
复用器:select,poll,rt signal
支持 sendfile,sedfile64
支持 AIO
支持 mmap
Nginx 工作模式
非阻塞、事件驱动、由一个 master 进程生成多个 worker 进程,每个 worker 响应 n 个请求
Nginx 模块类型
1、核心模块 2、标准的http协议模块 3、可选的http协议模块 4、邮件模块 5、第三发模块(编译Nginx时指定模块在何处,手动指定模块文件)
Nginx 安装方法
Nginx 没有收录到系统,但是收录到 epel 源中了
-
方式 1、yum 安装
-
方式 2、源码安装:编译安装
编译安装: [root@localhost ~]# yum groupinstall "Development Tools" "Server Platform Development" [root@localhost ~]# yum install pcre-devel openssl-devel zlib-devel [root@localhost ~]# useradd -r nginx //-r指定为系统用户 [root@localhost ~]# ./configure --prefix=/usr/local/nginx --conf-path=/usr/local/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=nginx --group=nginx --with-http_ssl_module --with-http_v2_module --with-http_dav_module --with-http_stub_status_module --with-threads --with-file-aio [root@localhost ~]# make && make install
- 方式 3、制作好的程序包:rpm 包
Nginx 配置文件结构
- main block:主配置段,也即全局配置段;主要配置 Nginx 进程的特性
events { >>>事件驱动相关的配置 ... worker_connections 1024; } http { >>>http/https协议的相关的配置段;web在此段配置 ... } stream { >>>四层反向代理配置段 ... }
- http 协议相关的配置结构
http { ... >>>各server段中要使用到的公共配置 server { >>>单个server段,即为一个虚拟主机 listen 80; >>>监听的地址和端口,可监听端口\地址\主机名 server_name 域名; root 代码存放路径; location / URL { >>>定义对某一个URL的访问特性 index index.php index.html index.htm; } } }
Nginx 配置文件以及模块使用
主配值段的指令
- 正常运行的必备配置:
1、user USERNAME [GROUPNAME] >>>指定运行worker进程的用户和组 2、pid /path/to/pid_file >>>指定Nginx守护进程的pid文件 3、worker_rlimit_nofile >>>指定一个worker进程所能打开的最大文件句柄数(文件数量)
- 性能优化相关的配置:放在主配置段下
worker_processes 数字; 所能够打开worker进程的个数;通常少于cpu物理核心数 worker_cpu_affinity auto [cpumask]; 优点:能够提升cpu的缓存命中率 cpumask:cpu掩码(每一颗CPU用8位二进制表示) 0000 0000 0000 0001 第一颗CPU 0000 0010 第二颗CPU 0000 0100 第三颗CPU 注意:1在哪个位就代表第几颗cpu 0011表示第一颗和第二颗 context switch:会产生cpu不必要的消耗 timer_resolution; 计时器解析度:降低此值,可减少gettimeofday()系统调用的次数 worker_priority number; 指明worker进程的nice值设定worker进程优先级,优先调度使用CPU; nice值范围:-20到19 默认值为0对应120 -20对应100 19对应139 worker_rlimit_nofile number; 单个worker进程可以打开的文件数量上限;一个文件打开就需要维持1个套接字文件;注意:该值的设置必须大于等于worker_processes和worker_connections的乘级
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
worker_connections 值; 设定单个worker进程所能够处理的最大并发连接数量worker_connections 乘以 worker_processes
- 用户用于调试、定位问题:
deamon {on | off} 是否以守护进程方式运行Nginx master_process {on | off} 是否以master/worker模型来运行nginx;默认为on;调试时设置为off;适用于二次开发 error_log_file [level] 指明日志文件,并指明level 事件相关的配置:放在events段 accept_mutex {off | on}; master调用用户请求至各worker进程时使用的负载均衡锁; on表示能让多个worker轮流地、序列化地去响应新请求;【起点公平】 off表示每个新请求的到达都会通知所有worker进程,谁抢到谁处理【结果公平】 lock_file file; accept_mutex用到的锁文件路径 use [epoll | rtsig | select | poll] 指明使用的事件模型;建议让Nginx自行选择 worker_connections 值; 设定单个worker进程所能够处理的最大并发连接数量worker_connections 乘以 worker_processes
- 核心模块 ngx_http_core_module
http{ }:由 ngx_http_core_module 模块所引入,像 httpd 一样静态 web 服务器
配置框架: http { upstream { >>>负载均衡;反向代理 } server { location URL { root "本地文件系统路径" } //类似于httpd中的<Location>,用于定义URL与本地文件系统的映射关系,一个server中可以有多个location location URL { if ... { >>>条件判断功能 .... } } } //每个server段类似于httpd中的虚拟主机<VirtualHost>; } #注意:与http相关的指令仅能够放置于httpd、server、location、upstream、if上下文,但有些指令仅应用于这5种上下文中的某些种 一个http段中可以有多个server段,每个server段中可以有多个location段 2个server不能使用同一个套接字 #注意:在http段下可以引用外部的配置文件,操作如下
配置参数: 1、定义一个虚拟主机: //在http段下添加一个server段 server { listem 端口号; server_name 网站名称; root web网页存放路径; location / { index index.html index.htm; } } 2、listen:指定监听的地址和端口 设置IP的地址和端口,或服务器将在其上接受请求的unix域套接字的路径。地址和端口都可以指定,或者只能指定地址或端口。例如,地址也可以是主机名 listen 网址[:端口号];或者listen 端口号; 示例: listen 127.0.0.1:8000; listen 127.0.0.1; listen 8000; listen *:8000; listen localhost:8000; 3、server_name 主机名称 ...; 指明虚拟主机的主机名称;后可跟多个由空白字符分隔的字符串 支持通配符*匹配任意长度的任意字符,例如: server_name *.baidu.com www.baidu.* 支持~起始的字符做正则表达式模式匹配,例如: server_name ~^www\d+\.baidu\.com$ \d+:相当于数字0-9或[0-9]; +号表示至少匹配一个字符 \. :匹配点本身的,点表示匹配任意单个字符 $:表示以此符号前的字符结尾的 匹配机制优先级: (1)字符串精确匹配 (2)左侧*号通配符匹配 (3)右侧*号通配符匹配 (4)正则表达式匹配 4、tcp_nodelay {on | off}; //添加在http段中 仅对保持连接的http有效 5、tcp_nopush {on | off}; 只有当sendfile为on时有用(上图中的sendfile) 作用: 在Linux和FreeBSD 4上,在一个数据包中发送响应头和文件的开头*; 以完整数据包发送文件 6、keepalive_timeout 65; 保持连接的超时时间 7、keepalive_requests number; 在保持连接的超时时间内(keepalive_timeout)可以访问多少个资源;如果超过该设置的值,即便没有超过保持连接设置的超时时间也会断开连接 8、types_hash_max_size 值; 设定保存类型的哈希表的最大值;默认值为1024 types_hash_max_size影响散列表的冲突率。 types_hash_max_size越大,就会消耗更多的内存,但散列key的冲突率会降低,检索速度就更快。 types_hash_max_size越小,消耗的内存就越小,但散列key的冲突率可能上升。
- 定义路径的相关配置
1、root 网站路径; 默认值: root html; 设置web资源路径映射,用于指明用户请求的url所对应的本地文件系统上的文档所在目录路径 可定义的段: http段, server段, location段, if in location 2、location [ = | ~ | ~* | ^~ ] uri { ... } location @name { ... } 根据请求的uri做请求响应的访问限制 =:对URI做精确匹配; 例如:www.baidu.com/ www.baidu.com/index.html location = / { >>>那么上面的2地址则会匹配到第一个 ... } ~:对URI做正则表达式模式匹配,区分字符大小写 ~*:对URI做正则表达式模式匹配,不区分字符大小写 ^~:对URI的左半部分做匹配检查,不区分字符大小写 不带符号:默认只有 / 匹配起始于此URI的所有URI 匹配优先级: =, ^~, ~与~*, 不带符号 可定义的上下文范围: server段, location段
- 定义客户端请求的相关配置
以下参数可以定义的上下文段为: http, server, location keepalive_timeout 75; 设定保持连接的超时时间;0表示禁止长连接,默认值为75s keepalive_disable none | browser ...; 对哪种浏览器禁用长连接 keepalive_requests 数值; 在长连接超时时间内所允许请求资源的最大数量,默认值为100 send_timeout time; 向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长 client_body_buffer_size size; 用于接收客户端请求报文的body部分的缓存区大小;默认为16k;超出此大小时,其将被暂存到磁盘上的由client_body_temp_path指令指定的位置; 只有允许客户端上传大文件时就需要进行调整该值;如果是一个电商平台只是简单的交易操作和登入操作,那么此值默认即可 client_body_temp_path path [一级 [二级 [三级]]]; 设定用与存储客户端请求报文的body部分的临时存储路径以及子目录结构和数量 加速文件查找 对URI进行hash计算 示例:对地址做md5sum校验 [dqz@localhost ~]$ echo www.baidu.com | md5sum ed6322bc931d5aba9cc72b63f0f03a82 - 16进制的数字: 示例:client_body_temp_path /var/tmp/client_body 2 1 1 1:表示用一位16进制的数字表示一级子目录;0-f 256个一级目录 2:表示用2位16进制的数字表示二级子目录;00-ff 256x16=4096 二级目录 2:表示用2位16进制的数字表示三级子目录;00-ff 256x16x16=65536三级
- 对客户端进行限制的配置
limit_rate rate; 限制响应客户端的传输速率,单位为bytes/second,默认值0表示无限制; 可以定义的上下文段为:http, server, location, if in location limit_except method ... { ... } 限制对指定的请求方法之外,使用其他方法的客户端 示例 limit_except GET { allow 192.168.1.0/32; deny all; } 可以定义的上下文段为:location
- 文件操作优化的配置
以下参数可以定义的上下文段为:http, server, location aio on | off | threads[=pool]; 是否开启aio功能;极大优化系统访问时被阻塞在IO directio size | off; 在Linux主机启动O_DIRECT标记,此处意味文件大于等于给定的大小时使用,例如dlrectio 4m; open_file_cache off; open_filecache max=N [inactive=time]; nginx可以缓存以下三种信息: (1)文件的描述符、文件大小和最近一次的修改时间 (2)打开的目录结构 (3)没有找到或者没有权限访问的文件相关信息 max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现缓存管理 inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中或命中的次数少于open_file_cache_min_uses命令指定的次数的缓存项即为非活动项 open_file_cache_valid time; 缓存项有效性的检查频率;默认为60s open_file_cache_min_uses number; 在open_file_cache指令的inactive参数指定的时长内,至少应该被命中多少次方可被归类为活动项 open_file_cache_error on | off; 是否缓存查找时发生错误的文件等一类信息
访问控制模块
(1)基于 IP 访问限制 ngx_http_access_module
location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32; deny all; } 按顺序检查规则,直到找到第一个匹配项。在此示例中,仅允许IPv4网络访问 10.1.1.0/16并且192.168.1.0/24 不包括地址192.168.1.1,以及IPv6网络2001:0db8::/32。如果有很多规则, 最好使用 ngx_http_geo_module模块变量。 可定义的上文段位:http,server,location,limit_except 允许访问指定的网络或地址。如果unix:指定了特殊值(1.5.1),则允许访问所有UNIX域套接字 句法: allow address | CIDR | unix: | all; 拒绝访问指定的网络或地址。如果unix:指定了特殊值(1.5.1),则拒绝所有UNIX域套接字的访问 句法:deny address | CIDR | unix: | all;
(2)基于用户的访问控制 ngx_http_auth_basic_module
示例: location / { auth_basic "提示信息"; //弹出提示信息 auth_basic_user_file 密码文件路径; //账号密码文件 } 账号密码文件创建: 使用命令htpasswd;该命令由httpd-tools提供 语法:htpasswd [-cmdpsD] 密码文件名 用户名 [root@localhost ~]# yum -y install httpd-tools [root@localhost ~]# htpasswd -c -m /usr/local/nginx/ngxpasswd dqz New password: //设置密码 Re-type new password: //再次确认密码 Adding password for user dqz 参数详解: -c:创建密码文件 -m:使用md5加密(默认) #nginx配置文件更改 [root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf [root@localhost ~]# nginx -t [root@localhost ~]# nginx -s reload [root@localhost ~]# mkdir /web/vhost1/admin/ [root@localhost ~]# vim /web/vhost1/admin/index.html 浏览器进行访问测试:
输入账号密码
状态页模块 ngx_http_stub_status_module
用于输出 nginx 的基本状态信息
进行源码编译安装时需要带上该模块,如下所示 ]# ./configure --prefix=/usr/local/nginx --with-http_stub_status_module 配置示例: location = /basic_status { stub_status; }
浏览器访问:
Active connections: 活动状态的连接数 accepts:已经接受的客户端请求的总数 handled:已经处理完成的客户端请求的总数 requests:客户端发来的总的请求数; Reading:处于读取客户端请求报文首部的连接的连接数 Writing:处于向客户端发送响应报文过程中的连接数; Waiting:处于等待客户端发出请求的空闲连接数; #通过awk取指定值 [root@localhost ~]# curl --silent 192.168.66.51/ngxstatus | awk '/^Active/{print $3}'
日志管理模块 ngx_http_log_module
定义日志格式 log_format name string.. access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]]; 访问日志文件路径,格式及相关的缓冲的配置; buffer=size flush=time access_log off; //关闭 可配置的段: http, server, location, if in location, limit_except open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time]; open_log_file_cache off; 缓存各日志文件相关的元数据信息; max:缓存的最大文件描述符数量; min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项; inactive:非活动时长; valid:验正缓存中各缓存项是否为活动项的时间间隔; 压缩传输模块 ngx_http_gzip_module gzip on | off; 开启/关闭 默认值为off 可配置的段: http, server, location, if in location gzip_comp_level level; 压缩节点 默认值1;范围1-9 可配置的段:http, server, location gzip_disable regex ...; 禁止压缩功能 可配置的段: http, server, location gzip_buffers number size; 支持实现压缩功能时为其配置的缓冲区数量及每个缓存区的大小; 默认值:gzip_buffers 32 4k|16 8k; 可配置的段:http, server, location gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...; nginx作为代理服务器接收到从被代理服务器发送的响应报文后,在何种条件下启用压缩功能的; off:对代理的请求不启用 no-cache, no-store,private:表示从被代理服务器收到的响应报文首部的Cache-Control的值为此三者中任何一个,则启用压缩功能; gzip_types mime-type ...; 压缩过滤器,仅对此处设定的MIME类型的内容启用压缩功能; 默认值: gzip_types text/html; 可配置的段: http, server, location #示例: gzip on; gzip_comp_level 6; gzip_min_length 64; gzip_proxied any; gzip_types text/xml text/css application/javascript;
Nginx 作为 https 服务器
ngx_http_ssl_module
默认情况下不构建此模块,应使用--with-http_ssl_module 配置参数启用它
ssl on | off; 定义ssl引擎,开启 ssl_certificate file; 当前虚拟主机使用PEM格式的证书文件; ssl_certificate_key file; 当前虚拟主机上与其证书匹配的私钥文件; ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 支持ssl协议版本,默认为后三个; ssl_session_cache off | none | [builtin[:size]] [shared:name:size]; builtin[:size]:使用OpenSSL内建的缓存,此缓存为每worker进程私有; [shared:name:size]:在各worker之间使用一个共享的缓存; ssl_session_timeout time; 客户端一侧的连接可以复用ssl session cache中缓存 的ssl参数的有效时长; #配置示例: server { listen 443 ssl; server_name www.geekdqz.com; root /vhosts/ssl/htdocs; ssl on; ssl_certificate /etc/nginx/ssl/nginx.crt; ssl_certificate_key /etc/nginx/ssl/nginx.key; ssl_session_cache shared:sslcache:20m; } #操作步骤: 1、先建立一个CA服务器【node1服务器做CA服务器】 [root@localhost ~]# cd /etc/pki/CA/ [root@localhost CA]# ls certs crl newcerts private #创建私钥 [root@localhost CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048) [root@localhost CA]# ll private/ #建立自签证书 [root@localhost CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN //国家 State or Province Name (full name) []:shenzhen //省份 Locality Name (eg, city) [Default City]:shenzhen //城市 Organization Name (eg, company) [Default Company Ltd]:geekdqz //公司 Organizational Unit Name (eg, section) []:devops //部门 Common Name (eg, your name or your server's hostname) []:web.geekdqz.com //服务器主机名 Email Address []: [root@localhost CA]# touch index.txt [root@localhost CA]# echo 01 > serial 2、nginx服务器创建私钥 [root@nginx-web ~]# mkdir /etc/nginx/ssl [root@nginx-web ~]# cd /etc/nginx/ssl/ [root@nginx-web ssl]# (umask 077;openssl genrsa -out nginx.key 2048) #制作CA请求文件 [root@nginx-web ssl]# openssl req -new -key nginx.key -out nginx.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:shengzhen Locality Name (eg, city) [Default City]:shengzhen Organization Name (eg, company) [Default Company Ltd]:geekdqz Organizational Unit Name (eg, section) []:devops Common Name (eg, your name or your server's hostname) []:www.geekdqz.com //注意需要跟CA服务器的域名一样,不然无法访问 Email Address []:dqzboy@163.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: #拷贝证书请求文件至CA服务器 [root@nginx-web ssl]# scp nginx.csr root@192.168.66.50:/etc/pki/CA/ 3、CA服务器进行签署 [root@localhost CA]# openssl ca -in nginx.csr -out /etc/pki/CA/certs/nginx.crt -days 365 Certificate is to be certified until May 11 07:19:27 2020 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated #拷贝签署的CSR文件到nginx服务器 [root@localhost CA]# scp certs/nginx.crt root@192.168.66.51:/etc/nginx/ssl [root@nginx-web ]# vim /etc/nginx/nginx.conf listen 443 ssl; server_name www.geekdqz.com; ssl on; ssl_certificate /etc/nginx/ssl/nginx.crt; ssl_certificate_key /etc/nginx/ssl/nginx.key; ssl_protocols sslv3 tlsv1 tlsv1.1 tlsv1.2; ssl_session_cache shared:SSL:10m; [root@nginx-web ]# nginx -t [root@nginx-web ]# nginx -s reload #浏览器访问: https://www.geekdqz.com
域名重定向模块 ngx_http_rewrite_module
将源网站重定向至新的网站域名
可定义的段:server,location,if 语法格式: rewrite 匹配规则 重定向的位置; //匹配规则正则支持正则,重定向不支持正则的写法 配置示例: server { listen 80; server_name www.geekdqz.com; rewrite /(.*)\.png$ /$1.jpg; //所有匹配到.png结尾的都重定向至.jpg(重定向的域名或文件必须存在不然返回404); $1表示前面(.*)所匹配到的内容改为 .jpg结尾的 #charset koi8-r; #access_log logs/host.access.log main; root /web/vhost1; location / { index index.html index.htm; } location ~* \.(jpg|png)$ { allow all; }
浏览器访问测试:
四个 rewrite 标志位
rewrite 匹配规则 重定向至 last; 多个规则会以上向下进行匹配;当用户请求URI后,如果该配置段中有多个rewrite,第一次URI匹配到某一条rewrite那么重写为新的URI,如果重写后的URI可以被该段中其他rewrite匹配到那么重新再次匹配所有的rewrite nginx内部有一个机制,如果URI连续改了10次还在写,那么Nginx则返回内部错误,避免发生死循环
-
rewrite 匹配规则 重定向至 break;
多个 rewrite 中匹配到某一条规则后就直接执行下面的操作 -
rewrite 匹配规则 重定向至 redirect;
redirect 为临时重定向,给客户端发送 302 状态码,然后告诉客户端新的 URI 再次进行访问=
- rewrite 匹配规则 重定向至 permanent;
永久重定向
Nginx 反向代理
ngx_http_proxy_module模块: server { listen 端口; location / { proxy_pass http://192.168.x.x:80; } } 面向服务:实现反代 1、http 2、FastCGI 3、memcache 4、每个协议都有专用的协议客户端 Nginx的优势在于反向代理 httpd既能做正向也能做反向
代理模块 ngx_http_proxy_module
1、proxy_pass uri;
设置代理服务器的协议和地址,以及应将位置映射到其上的可选URI。作为协议,可以指定http或https。地址可以指定为域名或IP地址,以及一个可选端口。 可定义的段: location, if in location, limit_except 示例: location / { proxy_pass http://localhost:8000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } 注意1: 如果proxy_pass后面的路径没有带URI的话,访问时就会将location的URI传递给后端服务器 server { listen 80; server_name HOSTNAME; location /uri/ { proxy_pass http://hos[:port]; } } 访问http://HOSTNAME/uri --> http://host/uri #示例:192.168.66.50为nginx反向代理服务器;192.168.66.51为httpd服务器; #修改配置文件location添加URI #后端httpd服务器添加此处指定的URI路径[web] [root@nginx-web conf]# cd /var/www/html //注意此处为httpd默认网页存储路径 [root@nginx-web html]# mkdir web [root@nginx-web html]# cd web/ [root@nginx-web web]# vim index.html [root@nginx-web web]# cat index.html this is http server
浏览器进行访问:http://www.ilinux.com/web
注意2: proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的uri; server { ... server_name HOSTNAME; location /uri/ { proxy_pass http://host/new_uri/; } ... } http://HOSTNAME/uri/ --> http://host/new_uri/ #示例:修改反代服务器Nginx配置文件 #浏览器进行访问:http://www.ilinux.com/web 注意3:如果location定义其uri时使用了正则表达式的模式,或在if语句或limt_execept中使用proxy_pass指令,则proxy_pass之后必须不能使用uri; 用户请求时传递的uri将直接附加代理到的服务的之后; server { ... server_name HOSTNAME; location ~|~* /uri/ { proxy_pass http://host; } ... } 访问http://HOSTNAME/uri/ --> http://host/uri/;
2、proxy_set_header field value;
设定发往后端主机的请求报文的请求首部的值; 客户端向服务端发送的请求报文 可设定的段: http, server, location #示例: 修改代理服务器Nginx的配置文件 [root@nginx-proxy ~]# vim /usr/local/nginx/conf.d/web.conf 添加proxy_set_header模块,定义首部记录格式名称 X-Real-IP: 为自定义的首部定义名称 $remote_addr: 此为nginx内建变量,该变量记录的为客户端地址 [root@nginx-proxy ~]# nginx -t [root@nginx-proxy ~]# nginx -s reload #修改后端服务器httpd配置文件 [root@httpd-web ~]# vim /etc/httpd/conf/httpd.conf 将默认的LogFormat记录格式注释掉,然后复制一行将默认首部记录格式 %h 改为代理服务器nginx配置文件中(上图)所定义的X-Real-IP的名称 [root@httpd-web ~]# httpd -t //检查配置文件 [root@httpd-web ~]# systemctl restart httpd #查看后端服务器httpd的访问日志 记录的是真正访问的服务端的客户端的IP地址,而不再记录的是代理服务器的地址
3、ngx_http_headers_module 模块
向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的值;
服务端向客户端发送自己的响应报文 (1)add_header name value [always]; 添加自定义首部; add_header X-Via $server_addr; //X-Via可自定义名称 add_header X-Accel $server_name; #示例: 配置代理服务器Nginx配置文件 [root@nginx-proxy ~]# vim /usr/local/nginx/conf.d/web.conf [root@nginx-proxy ~]# nginx -t [root@nginx-proxy ~]# nginx -s reload
浏览器访问网站并 F12 打开调试页面查看
(2) expires [modified] time; expires epoch | max | off; 用于定义Expire或Cache-Control首部的值;
4、缓存模块 proxy_cache_path
代理服务器可实现在本地启用缓存功能;由后端服务器取得的内容缓存下来,基于本地磁盘响应给客户端请求
架构
访问请求多的时候,网络I/O比磁盘I/O更慢 缓存的存储方式: 1、放在内存的哈希表 2、磁盘的目录结构 开启缓存 注意: 缓存空间需要先定义,再在location中调用 proxy_cache zone | off; 可定义的配置段: http, server, location 浏览器可使用shift+f5强制刷新,不加shift,请求则可以从缓存中获取内容响应客户端,加shift则不能使用缓存中获取内容响应给客户端 注意:nginxh将缓存都缓存在了磁盘中,基于hash方式;Nginx在用户访问连接上更加高效 定义缓存 在http段中进行定义;默认10分钟清理缓存(非活动时间) 官方配置: Syntax: proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time]; [root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf http { .... proxy_cache_path /usr/local/nginx/cache levels=1:1:1 keys_zone=pcache:10m m ax_size=2g; ... server { ... location { ... } } } 参数解释: proxy_cache_path //定义缓存文件路径,需要保证缓存目录存在 levels=1:1:1 //levels指明子目录,并指明每级子目录多少字符;1表示每级子目录16个字符; keys_zone=名称:大小 //定义缓存名称以及内存分配多少空间保存hash表 max_size=大小; //磁盘空间最大使用容量 [root@localhost ~]# mkdir /usr/local/nginx/cache //创建缓存目录 [root@localhost ~]# nginx -t [root@localhost ~]# nginx -s reload [root@localhost ~]# ls /usr/local/nginx/cache/ #使用缓存 如果某个站点使用了代理,那么该站点下就可以使用缓存 [root@nginx-proxy ~]# vim /usr/local/nginx/conf.d/web.conf server{ ... proxy_cache 缓存名称; //此处缓存名称为keys_zone定义的名称 proxycache_key $requesst_uri; //定义键 proxy_cache_valid 200 302 10m; //定义各类响应码可缓存的时间 proxy_cache_use_stale http_502; //根据后端服务器状态进行响应 localtion { ... } } [root@nginx-proxy ~]# nginx -t [root@nginx-proxy ~]# nginx -s reload #浏览器访问 http://www.ilinux.com/web/ #查看缓存目录 [root@nginx-proxy cache]# tree . └── 1 //一级子目录 └── 8 //二级子目录 └── 2 //三级子目录 └── 50d3e5509ac52e81e4ecbc30ed112281 此处标黄:1表示一级子目录 8表示二级字母 2表示三级子目录 #查看缓存文件内容
Nginx 负载均衡
Nginx 实现 7 层负载均衡
ngx_http_upstream_module模块 可定义的段: http上下文段中 upstream name { ... } 定义后端服务器组,会引入一个新的上下文;Context: http hhtp { .... upstream uri { server ... erver ... ... } server { listem 80; server_name www.ilinux.com; location / { proxy_pass http://uri } } } #计算通信的方式:单播、组播、广播 组播:向一个组播域内的主机进行通信 #负载均衡集群: 硬件: F5 BigIP,A10.NetScaler 软件: 四层调度:lvs, Nginx(伪四层,使用stream模块nginx在1.9.0增加了stream 模块), haporxy(需工作在tcp模式下) 七层调度:nginx(http_upstream_module), haporxy(需工作在http模式下), httpd #session sticky(粘性): 会话绑定;Nginx工作在http层可通过cookie进行绑定 #session 会话集群 通过组播(多播)的方式传给集群中与之该session服务器在同一组播域中的其他session服务器 #存储集群 用户---获取会话---检查存储集群---获取数据---返回给用户 存储集群解决方案:redis、Memcached;都是内存级存储,每秒事务(tps)数量50-100万个,普通X86服务器就可以实现 1、memcached:缓存系统,不支持持久化,宕机后所有会话都会丢失 2、redis:支持持久化、主从集群
负载调度算法
-
RR 轮询(默认,权重默认为 1) 一次一个的来(理论上的,实际实验可能会有间隔)
-
weight 权重(加权轮询) 权重高多分发一些 服务器硬件更好的设置权重更高一些
upstream URI { server ip[:port] weight=nember; server ip[:port] weight=nember; ... } 可在命令进行检测: [root@localhost~ ]# for i in {1..10};do curl www.xxx.com;done 示例:
- ip_hash 等价于 hash $remote_addr;同一个 IP,所有的访问都分发到同一个 web
服务器;只要第一次请求被绑定在后端的某台服务器,则IP地址则一直访问为同一服务器 注意:此方法不推荐;使用此方法后 同一组中的backup不可用
- hash
hash $remote_addr; //同一ip请求全部分发到同一个后端服务器 hash $request_uri; //把同一URI请求绑定在同一个后端服务器上 * 相关参数设置 * max_conns 最大并发连接数(最大调度给后端服务器多少的请求) * max_fails=number 健康状态检测;定义失败多少次后将该服务定义为超时,默认1次;0表示不做健康状态机制 * fail_timeout=time 每隔多长时间检测一次,默认超时周期时间10s * backup 当所有服务器都挂了之后,定义backup的服务才会上线 #官方示例: upstream backend { server backend1.example.com weight=5; server 127.0.0.1:8080 max_fails=3 fail_timeout=30s; server unix:/tmp/backend3; server backup1.example.com backup; }
Nginx 实现 4 层负载均衡
ngx_stream_core_module 模块
注意:如果不提供http服务,则不需要定义在http上下文中,直接定义为stream上下文中 官方示例: worker_processes auto; error_log /var/log/nginx/error.log info; events { worker_connections 1024; } stream { upstream backend { hash $remote_addr consistent; server backend1.example.com:12345 weight=5; server 127.0.0.1:12345 max_fails=3 fail_timeout=30s; server unix:/tmp/backend3; } upstream dns { server 192.168.0.1:53535; server dns.example.com:53; } server { listen 12345; proxy_connect_timeout 1s; proxy_timeout 3s; proxy_pass backend; } server { listen 127.0.0.1:53 udp reuseport; proxy_timeout 20s; proxy_pass dns; } server { listen [::1]:12345; proxy_pass unix:/tmp/stream.socket; } } 实现Nginx 4层反代 ngx_stream_proxy_module 实现Nginx4层负载均衡 ngx_stream_upstream_module
Nginx 装载模块方式
1、编译安装:
前提:开发环境,包括 nginx 编译要启用的功能依赖到的开发库;
[root @nginx-proxy~]# yum groupinstall "Development Tools" "Server Platform Development" [root @nginx-proxy~]# yum -y pcre-devel openssl-devel 编译过程: [root @nginx-proxy~]# useradd -r nginx [root @nginx-proxy~]# cd nginx-1.15.9 [root @nginx-proxy~]#./configure --prefix=/usr/local/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --user=nginx --group=nginx --with-http_ssl_module --with-http_stub_status_module --with- http_flv_module --with-http_mp4_module --with-threads --with-file-aio [root @nginx-proxy~]# make && make install
2、添加模块:
使用—add-module 进行重新编译,注意编译完后千万不要进行 make install,不然会被覆盖掉
[root @nginx-proxy~]# cd nginx-1.15.9
[root @nginx-proxy~]# ./configure --prefix = / usr / local / nginx --with-http_ssl_module --with-http_sub_module --with-http_gzip_static_module --with-http_stub_status_module --add-module=/data/software/ngx_http_substitutions_filter_module --add-module=/数据/软件/ngx_http_google_filter_module
[root @nginx-proxy~]# make
3、替换二进制文件:
# cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak # cp /root/nginx-1.15.9/objs/nginx /usr/local/nginx/sbin/ 默认配置文件详解 #user nobody; worker_processes auto; >>>所能够打开worker进程的个数;通常少于cpu物理核心数;auto表示自动 events { >>>配置事件驱动模型;可实现单进程响应多个进程 worker_connections 1024; >>>单进程响应1024个进程;修改此参数可以增加访问并发数;当前主机一共可以并发响应的进程数为worker_processes数乘以worker_connections的乘级 } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; >>>可以提升性能 #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; >>>保持连接启用,超时时间65s #gzip on; server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root html; index index.html index.htm; } #以下为自定义错误页 #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } }
标题少个字母哟
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于