优质广告供应商

广告是为了更好地支持作者创作

Nginx

1.简介:

 Nginx:engine X ,2002年,开源,商业版
 http协议:web服务器(类似于httpd)、http reverse
proxy(类似于httpd)、imap/pop3 reverse proxy,tcp
 NGINX is a free, open-source, high-performance an
HTTP and reverse proxy server, a mail proxy server,
and a generic TCP/UDP proxy server
 C10K(10K Connections)
 二次开发版:Tengine, OpenResty
 官网:http://nginx.org

正向代理和反向代理
Paste_Image.png
(1)特性:

 模块化设计,较好的扩展性
 高可靠性
 支持热部署:不停机更新配置文件,升级版本,更换日志文件
 低内存消耗:10000个keep-alive连接模式下的非活动连接,仅需要2.5M内存
 event-driven,aio,mmap,sendfile

(2)基本功能:

 静态资源的web服务器
 http协议反向代理服务器
 pop3/imap4协议反向代理服务器
 FastCGI(lnmp),uWSGI(python)等协议
 模块化(非DSO),如zip,SSL模块

2.nginx的程序架构

(1) web服务相关的功能:

虚拟主机(server)
支持 keep-alive 和管道连接
访问日志(支持基于日志缓冲提高其性能)
url rewirte
路径别名
基于IP及用户的访问控制
支持速率限制及并发数限制
重新配置和在线升级而无须中断客户的工作进程
Memcached 的 GET 接口
nginx架构


Paste_Image.png
(2) master/worker结构

 一个master进程:
负载加载和分析配置文件、管理worker进程、平滑升级
 一个或多个worker进程
处理并响应用户请求
 缓存相关的进程:
cache loader:载入缓存对象
cache manager:管理缓存对象

3.nginx模块

 nginx高度模块化,但其模块早期不支持DSO机制;1.9.11版
本支持动态装载和卸载
 模块分类:
 核心模块:core module
 标准模块:
• HTTP 模块: ngx_http_*
HTTP Core modules 默认功能
HTTP Optional modules 需编译时指定
• Mail 模块 ngx_mail_*
• Stream 模块 ngx_stream_*
 第三方模块

4.nginx的功用

 静态的web资源服务器
html,图片,js,css,txt等静态资源
 结合FastCGI/uWSGI/SCGI等协议反向代理动态资源请求
 http/https协议的反向代理
 imap4/pop3协议的反向代理
 tcp/udp协议的请求转发(反向代理)

5.nginx的安装

 官方:
http://nginx.org/packages/centos/7/x86_64/RPMS
 Fedora-EPEL:
https://mirrors.aliyun.com/epel/7/x86_64/
 编译安装:
• yum install pcre-devel openssl-devel zlib-devel
• useradd -r nginx
• ./configure --prefix=/usr/local/nginx --confpath=/etc/nginx/nginx.conf
--error-logpath=/var/log/nginx/error.log
--http-logpath=/var/log/nginx/access.log
--pid-path=/var/run/nginx.pid --
lock-path=/var/run/nginx.lock --user=nginx --group=nginx --
with-http_ssl_module --with-http_v2_module --withhttp_dav_module
--with-http_stub_status_module --withthreads
--with-file-aio
• make && make install
编译安装nginx选项
 编译安装nginx选项:
 --prefix=/etc/nginx 安装路径
 --sbin-path=/usr/sbin/nginx 指明nginx程序文件安装路径
 --conf-path=/etc/nginx/nginx.conf 主配置文件安装位置
 --error-log-path=/var/log/nginx/error.log 错误日志文件安装位置
 --http-log-path=/var/log/nginx/access.log 访问日志文件安装位置
 --pid-path=/var/run/nginx.pid 指明pid文件安装位置
 --lock-path=/var/run/nginx.lock 锁文件安装位置
 --http-client-body-temppath=/var/cache/nginx/client_temp 客户端body部分的临时文件存放路径,如果服务器允许客户端使用put方法提交大数据时,临时存放的磁盘路径
 --http-proxy-temp-path=/var/cache/nginx/proxy_temp
作为代理服务器,服务器响应报文的临时文件存放路径
 --http-fastcgi-temppath=/var/cache/nginx/fastcgi_temp
作为fastcgi代理服务器,服务器响应报文的临时文件存放路径
 --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
作为uwsgi代理服务器,服务器响应报文的临时文件存放路径
 --http-scgi-temp-path=/var/cache/nginx/scgi_temp 作为
scgi反代服务器,服务器响应报文的临时文件存放路径
 --user=nginx 指明以那个身份运行worker进程,主控master进程一般由root运行
 --group=nginx
 --with-http_ssl_module 表示把指定模块编译进来

6.nginx目录结构和命令

 ls /usr/local/nginx/
html是测试页,sbin是主程序
 ls /usr/local/nginx/sbin/
nginx 只有一个程序文件
 ls /usr/local/nginx/html/
50x.html index.html 测试网页
 Nginx:默认为启动nginx
-h 查看帮助选项
-t 测试nginx语法错误
-c filename 指定配置文件(default: /etc/nginx/nginx.conf)
-s signal 发送信号给master进程,signal可为:stop, quit,
reopen, reload
示例:-s stop 停止nginx -s reload 加载配置文件
-g directives 在命令行中指明全局指令

7.nginx配置

 配置文件的组成部分:
 主配置文件:nginx.conf
子配置文件 include conf.d/*.conf
 fastcgi, uwsgi,scgi等协议相关的配置文件
 mime.types:支持的mime类型
 主配置文件的配置指令:
 directive value [value2 ...];
 注意:
(1) 指令必须以分号结尾
(2) 支持使用配置变量
内建变量:由Nginx模块引入,可直接引用
自定义变量:由用户使用set命令定义
set variable_name value;
引用变量:$variable_name

 main block:主配置段,即全局配置段,对http,mail都有效
event {
...
} 事件驱动相关的配置
 http {
...
} http/https 协议相关配置段
 mail {
...
} mail 协议相关配置段
 stream {
...
} stream 服务器相关配置段

http协议相关的配置结构
http {
...
... 各server的公共配置
server { 每个server用于定义一个虚拟主机
...
}
server {
...
server_name 虚拟主机名
root 主目录
alias 路径别名
location [OPERATOR] URL { 指定URL的特性
...
if CONDITION {
...
}
}
}
}

 Main 全局配置段常见的配置指令分类
 正常运行必备的配置
 优化性能相关的配置
 用于调试及定位问题相关的配置
 事件驱动相关的配置
 帮助文档
http://nginx.org/en/docs/

8.正常运行必备的配置:

 帮助文档:http://nginx.org/en/docs/ngx_core_module.html

1、user

Syntax: user user [group];
Default: user nobody nobody;
Context: main
指定worker进程的运行身份,如组不指定,默认和用户名同名

2、pid /PATH/TO/PID_FILE

指定存储nginx主进程PID的文件路径

3、include file | mask

指明包含进来的其它配置文件片断

4、load_module file

模块加载配置文件:/usr/share/nginx/modules/*.conf
指明要装载的动态模块路径: /usr/lib64/nginx/modules

9. 性能优化相关的配置:

1、worker_processes number | auto

worker进程的数量;通常应该为当前主机的cpu的物理核心数

2、worker_cpu_affinity cpumask ...

worker_cpu_affinity auto [cpumask] 提高缓存命中率
CPU MASK: 00000001:0号CPU
00000010:1号CPU
10000000:8号CPU
worker_cpu_affinity 0001 0010 0100 1000;
worker_cpu_affinity 0101 1010;

3、worker_priority number

指定worker进程的nice值,设定worker进程优先级:[-20,20]

4、worker_rlimit_nofile number

worker进程所能够打开的文件数量上限,如65535

10.事件驱动相关的配置:

 events {
...
}

1、worker_connections number

每个worker进程所能够打开的最大并发连接数数量,如10240
总最大并发数:worker_processes * worker_connections

2、use method

指明并发连接请求的处理方法,默认自动选择最优方法
use epoll;

3、accept_mutex on | off 互斥

处理新的连接请求的方法;on指由各个worker轮流处理新请求,Off指每个新请求的到达都会通知(唤醒)所有的worker进程,但只有一个进程可获得连接,造成“惊群”,影响性能,默认on

11.调试和定位问题:

1、daemon on|off

是否以守护进程方式运行nignx,默认是守护进程方式

2、master_process on|off

是否以master/worker模型运行nginx;默认为on
off 将不启动worker

3、error_log file [level]

错误日志文件及其级别;出于调试需要,可设定为debug;但debug仅在编译时使用了“--with-debug”选项时才有效
方式:file /path/logfile;
stderr:发送到标准错误
syslog:server-address[,parameter=values]:发送到syslog
memory:size 内存
level:debug|info|notice|warn|error|crit|alter|emerg

12. http协议的相关配置:

http {
... ...
server {
...
server_name
root
location [OPERATOR] /uri/ {
...
}
}
server {
...
}
}
ngx_http_core_module
 ngx_http_core_module

13.ngx_http_core_module模块

与套接字相关的配置:

1、server { ... }

配置一个虚拟主机
server {
listen address[:PORT]|PORT;
server_name SERVER_NAME;
root /PATH/TO/DOCUMENT_ROOT;
}

ngx_http_core_module

2、listen PORT|address[:port]|unix:/PATH/TO/SOCKET_FILE

listen address[:port] [default_server] [ssl] [http2 | spdy]
[backlog=number] [rcvbuf=size] [sndbuf=size]
default_server 设定为默认虚拟主机
ssl 限制仅能够通过ssl连接提供服务
backlog=number 超过并发连接数后,新请求进入后援队列的长度
rcvbuf=size 接收缓冲区大小
sndbuf=size 发送缓冲区大小
 注意:
(1) 基于port;
listen PORT; 指令监听在不同的端口
(2) 基于ip的虚拟主机
listen IP:PORT; IP 地址不同
(3) 基于hostname
server_name fqdn; 指令指向不同的主机名
ngx_http_core_module

3、server_name name ...;

 虚拟主机的主机名称后可跟多个由空白字符分隔的字符串
 支持通配任意长度的任意字符
server_name .magedu.com www.magedu.
 支持~起始的字符做正则表达式模式匹配,性能原因慎用
server_name ~^www\d+.magedu.com$
\d 表示 [0-9]
 匹配优先级机制从高到低:
(1) 首先是字符串精确匹配 如:www.magedu.com
(2) 左侧
通配符 如:.magedu.com
(3) 右侧
通配符 如:www.magedu.*
(4) 正则表达式 如: ~^.*.magedu.com$
(5) default_server
ngx_http_core_module

4、tcp_nodelay on | off;

在keepalived模式下的连接是否启用TCP_NODELAY选项
当为off时,延迟发送,合并多个请求后再发送
默认On时,不延迟发送
可用于:http, server, location

5、sendfile on | off;

是否启用sendfile功能,在内核中封装报文直接发送
默认Off

6、server_tokens on | off | build | string

是否在响应报文的Server首部显示nginx版本
ngx_http_core_module
 定义路径相关的配置

7、root

 设置web资源的路径映射;用于指明请求的URL所对应的文档的目录路径,可用于http, server, location, if in location
server {
...
root /data/www/vhost1;
}
 示例
http://www.magedu.com/images/logo.jpg
--> /data/www/vhosts/images/logo.jpg
ngx_http_core_module

8、location [ = | ~ | ~* | ^~ ] uri { ... } location @name { ... }

在一个server中location配置段可存在多个,用于实现从uri到
文件系统的路径映射;ngnix会根据用户请求的URI来检查定义的所有
location,并找出一个最佳匹配,而后应用其配置
 示例:
server {...
server_name www.magedu.com;
location /images/ {
root /data/imgs/;
}
}
http://www.magedu.com/images/logo.jpg
--> /data/imgs/images/logo.jpg
ngx_http_core_module
 =:对URI做精确匹配;
location = / {
...
}
http://www.magedu.com/ 匹配
http://www.magedu.com/index.html 不匹配

 ^~:对URI的最左边部分做匹配检查,不区分字符大小写
 ~:对URI做正则表达式模式匹配,区分字符大小写
 ~:对URI做正则表达式模式匹配,不区分字符大小写
 不带符号:匹配起始于此uri的所有的uri
 匹配优先级从高到低:
=, ^~, ~/~
, 不带符号

示例:
 root /vhosts/www/htdocs/
http://www.magedu.com/index.html
--> /vhosts/www/htdocs/index.html
 server {
root /vhosts/www/htdocs/
location /admin/ {
root /webapps/app1/data/
}
}
http://www.magedu.com/admin/index.html
--> /webapps/app1/data/admin/index.html
location示例
location = / {
[ configuration A ]
}
location / {
[ configuration B ]
}
location /documents/ {
[ configuration C ]
}
location ^~ /images/ {
[ configuration D ]
}
location ~* \.(gif|jpg|jpeg)$ {
[ configuration E ]
}
http://www.mgadu.com
http://www.magedu.com/index.html
http://www.magedu.com/documents/log.jpg
http://www.magedu.com/documents/linux.txt
lhttp://www.magedu.com/images/log.jpeg
9、alias path;

路径别名,文档映射的另一种机制;仅能用于location上下文

 示例:
http://www.magedu.com/bbs/index.php
location /bbs/ {
alias /web/forum/;
} --> /web/forum/index.html
location /bbs/ {
root /web/forum/;
} --> /web/forum/bbs/index.html

 注意:location中使用root指令和alias指令的意义不同
(a) root,给定的路径对应于location中的/uri/左侧的/
(b) alias,给定的路径对应于location中的/uri/右侧的/

10、index file ...;

指定默认网页资源,注意:ngx_http_index_module模块

11、error_page code ... [=[response]] uri;

模块:ngx_http_core_module
定义错误页,以指定的响应状态码进行响应
可用位置:http, server, location, if in location
error_page 404 /404.html
error_page 404 =200 /404.html

12、try_files file ... uri; try_files file ... =code;

按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示为文件夹),如果所有的文件或文件夹都找不到,会进行一个内部重定向到最后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误
location /images/ { try_files $uri /images/default.gif; }
location / { try_files $uri $uri/index.html $uri.html =404; }
 定义客户端请求的相关配置

13、keepalive_timeout timeout [header_timeout];

设定保持连接超时时长,0表示禁止长连接,默认为75s

14、keepalive_requests number;

在一次长连接上所允许请求的资源的最大数量
默认为100

15、keepalive_disable none | browser ...

对哪种浏览器禁用长连接

16、send_timeout time;

向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长,而非整个响应过程的传输时长

17、client_body_buffer_size size;

用于接收每个客户端请求报文的body部分的缓冲区大小;默认为16k;超出此大小时,其将被暂存到磁盘上的由
client_body_temp_path指令所定义的位置

18、client_body_temp_path path [level1 [level2 [level3]]];

设定用于存储客户端请求报文的body部分的临时存储路径及子目录结构和数量
目录名为16进制的数字;
client_body_temp_path /var/tmp/client_body 1 2 2
1 1级目录占1位16进制,即2^4=16个目录 0-f
2 2级目录占2位16进制,即2^8=256个目录 00-ff
2 3级目录占2位16进制,即2^8=256个目录 00-ff
 对客户端进行限制的相关配置

19、limit_rate rate;

限制响应给客户端的传输速率,单位是bytes/second
默认值0表示无限制

20、limit_except method ... { ... },仅用于location

限制客户端使用除了指定的请求方法之外的其它方法
method:GET, HEAD, POST, PUT, DELETE
MKCOL, COPY, MOVE, OPTIONS, PROPFIND,
PROPPATCH, LOCK, UNLOCK, PATCH
limit_except GET {
allow 192.168.1.0/24;
deny all;
} 除了GET和HEAD 之外其它方法仅允许192.168.1.0/24网
段主机使用

文件操作优化的配置

21、aio on | off | threads[=pool];

是否启用aio功能

22、directio size | off;

是否同步(直接)写磁盘,而非写缓存,在Linux主机启用
O_DIRECT标记,则文件大于等于给定大小时使用,例如directio 4m

23、open_file_cache off;

open_file_cache max=N [inactive=time];
nginx可以缓存以下三种信息:
(1) 文件元数据:文件的描述符、文件大小和最近一次的修改时间
(2) 打开的目录结构
(3) 没有找到的或者没有权限访问的文件的相关信息
max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现管理
inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次数少于open_file_cache_min_uses指令所指定的次数的缓存项
即为非活动项,将被删除

24、open_file_cache_errors on | off;

是否缓存查找时发生错误的文件一类的信息
默认值为off

25、open_file_cache_min_uses number;

open_file_cache指令的inactive参数指定的时长内,至少被命中此处指定的次数方可被归类为活动项
默认值为1

26、open_file_cache_valid time;

缓存项有效性的检查频率
默认值为60s
ngx_http_access_module
 ngx_http_access_module模块
实现基于ip的访问控制功能
 1、allow address | CIDR | unix: | all;
 2、deny address | CIDR | unix: | all;
http, server, location, limit_except
自上而下检查,一旦匹配,将生效,条件严格的置前
 示例:
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}

14.ngx_http_auth_basic_module模块

实现基于用户的访问控制,使用basic机制进行用户认证

1、auth_basic string | off;
2、auth_basic_user_file file;

location /admin/ {
auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.ngxpasswd;
}
 用户口令:
1、明文文本:格式name:password:comment
2、加密文本:由htpasswd命令实现
httpd-tools所提供

15.ngx_http_stub_status_module模块

用于输出nginx的基本状态信息
输出信息示例:
Active connections: 291
server accepts handled requests
16630948 16630948 31070465
对应上面accepts,handled,requests三个值
Reading: 6 Writing: 179 Waiting: 106
Active connections:当前状态,活动状态的连接数
accepts:统计总值,已经接受的客户端请求的总数
handled:统计总值,已经处理完成的客户端请求的总数
requests:统计总值,客户端发来的总的请求数
Reading:当前状态,正在读取客户端请求报文首部的连接的连接数
Writing:当前状态,正在向客户端发送响应报文过程中的连接数
Waiting:当前状态,正在等待客户端发出请求的空闲连接数

1、stub_status;
示例:
location /status {
stub_status;
allow 172.16.0.0/16;
deny all;
}

16. ngx_http_log_module模块: 指定日志格式记录请求

1、log_format name string ...;

string可以使用nginx核心模块及其它模块内嵌的变量

2、access_log path [format [buffer=size] [gzip[=level]]

[flush=time] [if=condition]];
access_log off;
访问日志文件路径,格式及相关的缓冲的配置
buffer=size
flush=time

 示例
log_format compression '$remote_addr-$remote_user [$time_local] '
'"$request" $status $bytes_sent '
'"$http_referer" "$http_user_agent" "$gzip_ratio"';
access_log /spool/logs/nginx-access.log compression buffer=32k;
3、open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];

open_log_file_cache off;
缓存各日志文件相关的元数据信息
max:缓存的最大文件描述符数量
min_uses:在inactive指定的时长内访问大于等于此值方
可被当作活动项
inactive:非活动时长
valid:验正缓存中各缓存项是否为活动项的时间间隔

17. ngx_http_gzip_module模块:用gzip方法压缩响应数据,节约带宽

1、gzip on | off;

启用或禁用gzip压缩

2、gzip_comp_level level;

压缩比由低到高:1 到 9
默认:1

3、gzip_disable regex ...;

匹配到客户端浏览器不执行压缩

4、gzip_min_length length;

启用压缩功能的响应报文大小阈值

5、gzip_http_version 1.0 | 1.1;

设定启用压缩功能时,协议的最小版本
默认:1.1

6、gzip_buffers number size;

支持实现压缩功能时缓冲区数量及每个缓存区的大小
默认:32 4k 或 16 8k

7、gzip_types mime-type ...;

指明仅对哪些类型的资源执行压缩操作;即压缩过滤器
默认包含有text/html,不用显示指定,否则出错

8、gzip_vary on | off;

如果启用压缩,是否在响应报文首部插入“Vary: AcceptEncoding”

9、gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;

nginx对于代理服务器请求的响应报文,在何种条件下启用压缩功能
off:对被代理的请求不启用压缩
expired,no-cache, no-store,private:对代理服务器
请求的响应报文首部Cache-Control值任何一个,启用压缩功能

 示例:
gzip on;
gzip_comp_level 6;
gzip_min_length 64;
gzip_proxied any;
gzip_types text/xml text/css application/javascript;

18. ngx_http_ssl_module模块:

1、ssl on | off;

为指定虚拟机启用HTTPS protocol, 建议用listen指令代替

2、ssl_certificate file;

当前虚拟主机使用PEM格式的证书文件

3、ssl_certificate_key file;

当前虚拟主机上与其证书匹配的私钥文件

4、ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];

支持ssl协议版本,默认为后三个

5、ssl_session_cache off | none | [builtin[:size]] [shared:name:size];

builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存

6、ssl_session_timeout time;

客户端连接可以复用ssl session cache中缓存的ssl参数的有效时长,默认5m

 示例:
server {
listen 443 ssl;
server_name www.magedu.com;
root /vhosts/ssl/htdocs;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
}

19.ngx_http_rewrite_module模块:

The ngx_http_rewrite_module module is used to change request URI using PCRE regular expressions, return redirects, and conditionally select configurations.
将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换

 示例:
http://www.magedu.com/hn
--> http://www.magedu.com/henan
http://www.magedu.com
--> https://www.magedu.com/
1、rewrite regex replacement [flag]

将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI
注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查
隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示的标志位用于控制此循环机制如果replacement是以http://或https://开头,则替换结果会直接以重向返回给客户端
301:永久重定向
 [flag]:
last:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的 URI启动新一轮重写检查;提前重启新一轮循环
break:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使用
redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;不能以http://或https://开头,使用相对路径,状态码:302
permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求,状态码:301

2、return

return code [text];
return code URL;
return URL;
停止处理,并返回给客户端指定的响应码

3、rewrite_log on | off;

是否开启重写日志, 发送至error_log(notice level)

4、set $variable value;

用户自定义变量
注意:变量定义和调用都要以$开头

5、if (condition) { ... }

引入新的上下文,条件满足时,执行配置块中的配置指令;server, location condition:
比较操作符:
== 相同
!= 不同
~:模式匹配,区分字符大小写
~*:模式匹配,不区分字符大小写
!~:模式不匹配,区分字符大小写
!~*:模式不匹配,不区分字符大小写
文件及目录存在性判断:
-e, !-e 存在(包括文件,目录,软链接)
-f, !-f 文件
-d, !-d 目录
-x, !-x 执行

20.ngx_http_referer_module模块:

The ngx_http_referer_module module is used to block access to a site for requests with invalid values in the
“Referer” header field. 可防止盗链

1、valid_referers none|blocked|server_names|string ...;

定义referer首部的合法可用值,不能匹配的将是非法值
none:请求报文首部没有referer首部
blocked:请求报文有referer首部,但无有效值
server_names:参数,其可以有值作为主机名或主机名模式
arbitrary_string:任意字符串,但可使用作通配符
regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头,例如: ~.
.magedu.com

 示例:
valid_referers none block server_names *.magedu.com
*.mageedu.com magedu.* mageedu.* ~\.magedu\.;
if ($invalid_referer) {
return 403;
}

21. ngx_http_proxy_module模块:

 The ngx_http_proxy_module module allows passing requests to another
server.

1、proxy_pass URL;

Context:location, if in location, limit_except
注意:proxy_pass后面的路径不带uri时,其会将location的uri传递给后端主机

server {
...
server_name HOSTNAME;
location /uri/ {
proxy_pass http://host[:port]; 最后没有/
}
...
}
上面示例:http://HOSTNAME/uri --> http://host/uri
http://host[:port]/ 意味着:http://HOSTNAME/uri --> http://host/

 proxy_pass后面的路径是一个uri时,其会将location的uri替
换为proxy_pass的uri

server {
...
server_name HOSTNAME;
location /uri/ {
proxy_pass http://host/new_uri/;
}
...
}
http://HOSTNAME/uri/ --> http://host/new_uri/

 如果location定义其uri时使用了正则表达式的模式,则
proxy_pass之后必须不能使用uri; 用户请求时传递的uri将直
接附加代理到的服务的之后

server {
...
server_name HOSTNAME;
location ~|~* /uri/ {
proxy_pass http://host; 不能加/
}
...
}
http://HOSTNAME/uri/ --> http://host/uri/
2、proxy_set_header field value;

设定发往后端主机的请求报文的请求首部的值
Context: http, server, location
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
标准格式如下:
X-Forwarded-For: client1, proxy1, proxy2

3、proxy_cache_path;

定义可用于proxy功能的缓存;Context:http
proxy_cache_path path [levels=levels] [use_temp_path=on|off]
keys_zone=name:size [inactive=time] [max_size=size]
[manager_files=number] [manager_sleep=time]
[manager_threshold=time] [loader_files=number] [loader_sleep=time]
[loader_threshold=time] [purger=on|off] [purger_files=number]
[purger_sleep=time] [purger_threshold=time];

4、proxy_cache zone | off; 默认off

指明调用的缓存,或关闭缓存机制;Context:http,server, location

5、proxy_cache_key string;

缓存中用于“键”的内容
默认值:proxy_cache_key $scheme$proxy_host$request_uri;

6、proxy_cache_valid [code ...] time;

定义对特定响应码的响应内容的缓存时长
定义在http{...}中

示例:
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
 示例:
在http配置定义缓存信
proxy_cache_path /var/cache/nginx/proxy_cache
levels=1:1:1 keys_zone=proxycache:20m
inactive=120s max_size=1g;
调用缓存功能,需要定义在相应的配置段,如server{...};
proxy_cache proxycache;
proxy_cache_key $request_uri;
proxy_cache_valid 200 302 301 1h;
proxy_cache_valid any 1m;
7、proxy_cache_use_stale;

proxy_cache_use_stale error | timeout |
invalid_header | updating | http_500 | http_502 |
http_503 | http_504 | http_403 | http_404 | off ...
在被代理的后端服务器出现哪种情况下,可以真接使用过期的缓存响应客户端

8、proxy_cache_methods GET | HEAD | POST ...;

对哪些客户端请求方法对应的响应进行缓存,GET和
HEAD方法总是被缓存

9、proxy_hide_header field;

By default, nginx does not pass the header fields
“Date”, “Server”, “X-Pad”, and “X-Accel-...” from the
response of a proxied server to a client. 用于隐藏后端服务器特定的响应首部

10、proxy_connect_timeout time;

定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为60s,一般不建议超出75s,

11、 proxy_send_timeout time;

把请求发送给后端服务器的超时时长;默认为60s

12、proxy_read_timeout time;

等待后端服务器发送响应报文的超时时长,默认为60s

22.ngx_http_headers_module模块

向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的值

1、add_header name value [always];

添加自定义首部
add_header X-Via $server_addr;
add_header X-Cache $upstream_cache_status;
add_header X-Accel $server_name;

2、 add_trailer name value [always];

添加自定义响应信息的尾部

23.ngx_http_fastcgi_module模块

转发请求到FastCGI服务器,不支持php模块方式

1、fastcgi_pass address;

address为后端的fastcgi server的地址
可用位置:location, if in location

2、fastcgi_index name;

fastcgi默认的主页资源
示例:fastcgi_index index.php;

3、fastcgi_param parameter value [if_not_empty];

设置传递给 FastCGI服务器的参数值,可以是文本,变量或组合

 示例1:
 1)在后端服务器先配置fpm server和mariadb-server
 2)在前端nginx服务上做以下配置:
location ~* \.php$ {
fastcgi_pass 后端fpm服务器IP:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME
/usr/share/nginx/html$fastcgi_script_name;
include fastcgi_params;
…
}
 示例2:通过/pm_status和/ping来获取fpm server状态信息
location ~* ^/(pm_status|ping)$ {
include fastcgi_params;
fastcgi_pass 后端fpm服务器IP:9000;
fastcgi_param SCRIPT_FILENAME
$fastcgi_script_name;
}
4、fastcgi_cache_path path [levels=levels] [use_temp_path=on|off]

keys_zone=name:size [inactive=time] [max_size=size]
[manager_files=number] [manager_sleep=time] [manager_threshold=time]
[loader_files=number] [loader_sleep=time] [loader_threshold=time]
[purger=on|off] [purger_files=number] [purger_sleep=time]
[purger_threshold=time];
 定义fastcgi的缓存;
path 缓存位置为磁盘上的文件系统
max_size=size
磁盘path路径中用于缓存数据的缓存空间上限
levels=levels:缓存目录的层级数量,以及每一级的目录数量
levels=ONE:TWO:THREE
示例:leves=1:2:2
keys_zone=name:size
k/v映射的内存空间的名称及大小
inactive=time
非活动时长

5、fastcgi_cache zone | off;

调用指定的缓存空间来缓存数据
可用位置:http, server, location

6、fastcgi_cache_key string;

定义用作缓存项的key的字符串

示例:fastcgi_cache_key $request_rui;

7、fastcgi_cache_methods GET | HEAD | POST ...;

为哪些请求方法使用缓存

8、fastcgi_cache_min_uses number;

缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方可被认作活动项

9、fastcgi_keep_conn on | off;

收到后端服务器响应后,fastcgi服务器是否关闭连接,建议启用长连接

10、fastcgi_cache_valid [code ...] time;

不同的响应码各自的缓存时长

 示例:
http {
fastcgi_cache_path /var/cache/nginx/fcgi_cache
levels=1:2:1 keys_zone=fcgicache:20m inactive=120s;
...
server {
location ~* \.php$ {
...
fastcgi_cache fcgicache;
fastcgi_cache_key $request_uri;
fastcgi_cache_valid 200 302 10m;
fastcgi_cache_valid 301 1h;
fastcgi_cache_valid any 1m;
...
}
}

24.ngx_http_upstream_module模块

用于将多个服务器定义成服务器组,而由proxy_pass,
fastcgi_pass等指令进行引用

1、upstream name { ... }

定义后端服务器组,会引入一个新的上下文
默认调度算法是wrr
Context: http
upstream httpdsrvs {
server ...
server...
...
}

2、server address [parameters];

在upstream上下文中server成员,以及相关的参数;Context:upstream
address的表示格式:
unix:/PATH/TO/SOME_SOCK_FILE
IP[:PORT]
HOSTNAME[:PORT]
parameters:
weight=number 权重,默认为1
max_conns 连接后端报务器最大并发活动连接数,1.11.5后支持
max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标记为不可用,默认为1
fail_timeout=time 后端服务器标记为不可用状态的连接超时时长,默认10s
backup 将服务器标记为“备用”,即所有服务器均不可用时才启用
down 标记为“不可用”,配合ip_hash使用,实现灰度发布

3、ip_hash 源地址hash调度方法
4、least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc,当所有后端主机连接数相同时,则使用wrr,适用于长连接
5、hash key [consistent] 基于指定的key的hash表来实现对请求的调度,此处key可以直接文本、变量或二者组合

作用:将请求分类,同一类请求将发往同一个upstream
server,使用consistent参数,将使用ketama一致性hash算法,
适用于后端是Cache服务器(如varnish)时使用
hash $request_uri consistent;
hash $remote_addr;

6、keepalive 连接数N;

为每个worker进程保留的空闲的长连接数量,可节约nginx端口,并减少连接管理的消耗

7、health_check [parameters];

健康状态检测机制;只能用于location上下文
常用参数:
interval=time检测的频率,默认为5秒
fails=number:判定服务器不可用的失败检测次数;默认为1次
passes=number:判定服务器可用的失败检测次数;默认为1次
uri=uri:做健康状态检测测试的目标uri;默认为/
match=NAME:健康状态检测的结果评估调用此处指定的match配置块
注意:仅对nginx plus有效

8、 match name { ... }

对backend server做健康状态检测时,定义其结果判断机制;
只能用于http上下文
 常用的参数:
status code[ code ...]: 期望的响应状态码
header HEADER[operator value]:期望存在响应首
部,也可对期望的响应首部的值基于比较操作符和值进行比较
body:期望响应报文的主体部分应该有的内容
注意:仅对nginx plus有效

25.ngx_stream_core_module模块

 nginx的其它的二次发行版:
Tengine:由淘宝网发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网,天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、易用的Web平台。从2011年12月开始,Tengine成为一个开源项目,官网 http://tengine.taobao.org/
OpenResty:基于 Nginx 与 Lua 语言的高性能 Web平台
 ngx_stream_core_module模块
模拟反代基于tcp或udp的服务连接,即工作于传输层的反代或调度器

1、stream { ... }

定义stream相关的服务;Context:main
stream {
upstream telnetsrvs {
server 192.168.22.2:23;
server 192.168.22.3:23;
least_conn;
}
server {
listen 10.1.0.6:23;
proxy_pass telnetsrvs;
}
}

2、listen

listen address:port [ssl] [udp] [proxy_protocol]
[backlog=number] [bind] [ipv6only=on|off] [reuseport]
[so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

26. ngx_stream_proxy_module模块

可实现代理基于TCP,UDP (1.9.13), UNIX-domain
sockets的数据流

1 proxy_pass address;

指定后端服务器地址

2 proxy_timeout timeout;

无数据传输时,保持连接状态的超时时长
默认为10m

3 proxy_connect_timeout time;

设置nginx与被代理的服务器尝试建立连接的超时时长
默认为60s

示例
stream {
upstream telnetsrvs {
server 192.168.10.130:23;
server 192.168.10.131:23;
hash $remote_addr consistent;
}
server {
listen 172.16.100.10:2323;
proxy_pass telnetsrvs;
proxy_timeout 60s;
proxy_connect_timeout 10s;
}
}

优质广告供应商

广告是为了更好地支持作者创作

推荐阅读更多精彩内容

  • Nginx简介 解决基于进程模型产生的C10K问题,请求时即使无状态连接如web服务都无法达到并发响应量级一万的现...
    魏镇坪阅读 1,715评论 0 9
  • I/O模型Nginx介绍Nginx的安装和目录结构Nginx的配置Nginx的编译安装 一、I/O模型 (一)I/...
    哈喽别样阅读 657评论 0 4
  • 优质广告供应商

    广告是为了更好地支持作者创作

  • 第一章 Nginx简介 Nginx是什么 没有听过Nginx?那么一定听过它的“同行”Apache吧!Ngi...
    JokerW阅读 31,871评论 24 1,001
  • 《老男孩Linux运维》笔记 隐藏Nginx软件版本号 一般来说,软件的漏洞都和版本有关。因此要尽量隐藏对访问用户...
    Zhang21阅读 3,282评论 0 28
  • 基于IP地址的访问控制模块 ngx_http_access_module模块可以限制某些客户端IP地址的访问,针对...
    geekdeedy阅读 322评论 0 0
  • 拿起这本《创意姚言》,突然让我想到了一件事。前天与单位的同事做一个游戏:想想自己十年后的光景,如果我们已经取得了巨...
    金鱼爸爸阅读 440评论 0 1
  • 优质广告供应商

    广告是为了更好地支持作者创作

  • 昨晚又把《胜者为王》这部电影翻出来看了一遍,时隔两年,虽然我既没有女一号在等待爱情还是选择婚姻的两难境地,也没有女...
    嘻嘻姐_YY阅读 285评论 0 0
  • 语文是打开知识的大门,是爱上读书的捷径,是对汉字的一往情深。手捧一本语文书,就应该升腾起对民族母语的...
    一路修行做老师阅读 276评论 0 2