Nginx配置知识点梳理
Nginx是现在最火的服务器web和反向代理服务器,反向代理是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。另外在高并发方面,有比较优异的表现。
Nginx是一款轻量级的Web服务器、反向代理服务器,基于 REST 架构风格,以统一资源描述符URI 或者统一资源定位符URL 作为沟通依据,通过 HTTP 协议提供各种网络服务。由于它的内存占用少,启动极快,高并发能力强,在互联网项目中广泛应用。
1 总体说明Nginx作为一个高性能的Http和反向代理web服务器,以下从概念、架构和特点三个方面整体介绍Nginx。
1.1 概述
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
1.2 反向代理
反向代理代理服务器,其实客户端对代理是无感知的,因为客户端不需要任何配置就可以访问,我们只需要将请求发送到反向代理服务器,由反向代理服务器去选择目标服务器获取数据后,在返回给客户端,此时反向代理服务器和目标服务器对外就是一个服务器,暴露的是代理服务器地址,隐藏了真实服务器IP地址。
1.3 Nginx特点
- 稳定性高:用于反向代理,宕机的概率微乎其微。
- 内存消耗小:在3万并发连接下,开启10个nginx进程仅消耗150M内存 (15M*10=150M)。
- 高并发:一个Nginx服务器在不做任何配置的情况下并发量可达1000左右。在硬件条件允许的前提下,Nginx可以支持高达5-10万的并发量。
- 支持热部署:Nginx支持热部署,它的自动特别容易,并且,几乎可以7天*24小时不间断的运行,即使,运行数个月也不需要重新启动,还能够在不间断服务的情况下,对软件版本进行升级。
2.1 前置条件
安装make:
yum -y install gcc automake autoconf libtool make |
安装g++:
yum install gcc gcc-c++ |
安装pcre和pcre-devel:
yum install -y pcre pcre-devel |
安装zlib zlib提供了很多压缩和解方式,nginx需要zlib对http进行gzip:
yum install -y zlib zlib-devel |
安装openssl openssl是一个安全套接字层密码库,nginx要支持https,需要使用openssl:
yum install -y openssl openssl-devel |
2.2 安装步骤
下载nginx:
wget -P /usr/local/ http://nginx.org/download/nginx-1.14.2.tar.gz |
进入文件夹:
cd /usr/local/ |
解压:
tar -zxvf nginx-1.14.2.tar.gz |
打开到文件路径:
cd nginx-1.14.2 |
编译文件:
./configure --prefix=/usr/local/nginx-1.14 --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_stub_status_module --with-http_realip_module --with-stream |
安装:
make && make install |
Nginx基本分为五个模块,分别为全局模块、events模块、http模块、server模块和location模块。
3.1 模块介绍
- 全局块:配置影响nginx全局的指令。一般有运行nginx服务器的用户组,nginx进程pid存放路径,日志存放路径,配置文件引入,允许生成worker process数等。
- events块:配置影响nginx服务器或与用户的网络连接。有每个进程的最大连接数,选取哪种事件驱动模型处理连接请求,是否允许同时接受多个网路连接,开启多个网络连接序列化等。
- http块:可以嵌套多个server,配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置。如文件引入,mime-type定义,日志自定义,是否使用sendfile传输文件,连接超时时间,单连接请求数等。
- server块:配置虚拟主机的相关参数,一个http中可以有多个server。
- location块:配置请求的路由,以及各种页面的处理情况。
3.2 Nginx常用全局变量
变量 | 说明 |
$args | 请求中的参数,例:baidu.com/?a=1&b=1中的a和b |
$content_length | HTTP请求信息里的"Content-Length" |
$conten_type | HTTP请求信息里的"Content-Type" |
$document_root | nginx虚拟主机配置文件中的root参数对应的值 |
$document_uri | 当前请求中不包含指令的URI |
$host | 主机头,也就是域名 |
$http_user_agent | 客户端的详细信息,也就是浏览器的标识 |
$http_cookie | 客户端的cookie信息 |
$limit_rate | 如果nginx服务器使用limit_rate配置了显示网络速率,则会显示,如果没有设置, 则显示0 |
$remote_addr | 客户端的公网ip |
$remote_user | 如果nginx有配置认证,该变量代表客户端认证的用户名 |
$request_body_file | 做反向代理时发给后端服务器的本地资源的名称 |
$request_method | 请求资源的方式,GET/PUT/DELETE等 |
$request_filename | 当前请求的资源文件的路径名称 |
$request_uri | 请求的链接,包括$document_uri和$args |
$scheme | 请求的协议,如ftp,http,https |
$server_addr | 服务器IP地址 |
$server_name | 服务器的主机名 |
$server_port | 服务器的端口号 |
3.3 Nginx常用配置
配置 | 位置 | 说明 |
worker_processes 8; | 开始 | 工作进程,通常等于CPU数量或者2倍于CPU |
include ***; | 任意 | 用于引入其他文件 |
worker_connections | events | 最大连接数 |
keepalive_timeout | http | 连接超时时间,默认为75s |
gzip on | http | 开启gzip压缩 |
client_header_buffer_size | http | 设定请求缓冲 |
client_max_body_size | http | 上传文件的大小限制,默认1m |
keepalive_requests | server | 单连接请求上限次数 |
listen 80 | server | 监听80端口 |
server_name | server | 监听地址 |
error_page | server | 定义错误提示界面 |
set | server | 定义变量 |
proxy_pass | location | 代理转发 |
rewrite | location | 重定向 |
流量限制可用作安全处理,可以减慢暴力密码破解的速率,流量限制主要配置两个指令,limit_req_zone和limit_req。
4.1 限制访问频率(正常)
语法:limit_req_zone key zone rate。
模块:http。
- Key:定义限流对象,$binary_remote_addr 针对客户端ip限流。
- Zone:定义共享内存区来存储访问信息,例:zone=ip_limit:10m 限流规则名称为ip_limit,允许使用10MB的内存空间来记录ip对应的限流状态。
- Rate:用于设置最大访问速率,rate=10r/s 表示每秒最多处理10个请求。
4.2 限制访问频率(突发)
语法:limit_req zone burst。
模块:server。
- Zone:上文定义的名称。
- Burst:解决突发流量,表示在超过设定的处理速率后能额外处理的请求数。
4.3 限制并发连接数
语法:limit_conn_zone key。
模块:http。
语法:limit_conn keyname 20。
模块:server。
- Key:定义限流对象,$binary_remote_addr 针对客户端ip限流,$server_name限制server连接数。
- Keyname:如果key为$binary_remote_addr表示限制单个ip同时最多能有几个连接,如果key为$server_name表示表示虚拟主机(server) 同时能处理并发连接的总数。
Nginx利用deny和allow指令用来实现黑白名单的配置,利用黑白名单可以进行安全配置。
语法:
allow address | CIDR | all; deny address | CIDR | all; |
模块:http/server/location
- allow:允许访问。
- deny:禁止访问。
- address:具体的ip地址。
- CIDR:ip加掩码形式地址。
- all:所有ip地址。
5.1 黑名单
配置策略:黑名单配置逻辑是配置禁止的ip访问,允许其他所有的地址访问。
deny 192.168.1.234; deny 192.168.1.235; deny 192.168.1.236; allow all; |
配置详解:在这个配置下,234、235和236的ip访问不了服务器,会显示403 Forbidden,而其他ip都可以访问。
5.2 白名单
配置策略:白名单配置逻辑是配置允许的ip访问,禁止其他所有的地址访问。
allow 192.168.1.234; allow 192.168.1.235; allow 192.168.1.236; deny all; |
配置详解:在这个配置下,234、235和236的ip可以访问服务器,而其他所有ip都不允许访问,显示403 Forbidden。
6 Nginx负载均衡nginx默认的负载均衡策略是轮询法,顾名思义,所有请求都按照时间顺序分配到不同的服务上。
upstream cluster_umc{ server 192.168.1.234:1010; server 192.168.1.235:1010; } |
6.1 加权轮询法
指定每个服务的权重比例,weight和访问比率成正比,通常用于后端服务机器性能不统一,将性能好的分配权重高来发挥服务器最大性能。
upstream cluster_umc{ server 192.168.1.234:1010 weight=1; server 192.168.1.235:1010 weight=2 } |
配置详解:如上配置235的访问频率为234的二倍。
6.2 最少连接
将请求分配到连接数最少的服务上。
upstream cluster_umc{ least_conn; server 192.168.1.234:1010; server 192.168.1.235:1010; } |
6.3 IP Hash
每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题。
upstream cluster_umc{ ip_hash; server 192.168.1.234:1010; server 192.168.1.235:1010; } |
灰度升级是指从黑到白之间,能够平滑过渡的一种发布方式,让大部分用户继续用A,少部分用户使用B,如果B不出现问题再将所有用户移植到B上。
7.1 来路Ip
根据$remote_addr变量进行灰度发布
set $idmIngressHttpPath "/A0101/Product/IDM/"; if ($remote_addr ~ "192.168.1.234") { set $idmIngressHttpPath "/A0101/Test/IDM/"; } |
配置详解:如果ip为234访问测试环境,如果不为234则访问生产环境。
7.2 Cookie
根据$http_cookie变量进行灰度发布。
set $idmIngressHttpPath "/A0101/Product/IDM/"; if ($http_cookie ~ "version=V1 ") { set $idmIngressHttpPath "/A0101/Test/IDM/"; } |
配置详解:如果cookie为version=V1访问测试环境,如果不为version=V1则访问生产环境。
7.3 浏览器UserAgent
根据$http_user_agent变量进行灰度发布。
set $idmIngressHttpPath "/A0101/Product/IDM/"; if ($http_user_agent ~ "Chrome/93.0.4577.63") { set $idmIngressHttpPath "/A0101/Test/IDM/"; } |
配置详解:如果浏览器为Chrome/93.0.4577.63访问测试环境,如果不为Chrome/93.0.4577.63则访问生产环境。
浏览器版本可在设置中查看:
