nginx高级用法配置及讲解

一、高级功能

1、nginx跨域

在http { server { ...} } 中添加

#允许跨域请求的域,*代表所有
add_header 'Access-Control-Allow-Origin' *;
#允许带上cookie请求
add_header 'Access-Control-Allow-Credentials' 'true';
#允许请求的方法,比如 GET/POST/PUT/DELETE
add_header 'Access-Control-Allow-Methods' *;
#允许请求的header
add_header 'Access-Control-Allow-Headers' *;

2、nginx防盗链

在http { server { ...} } 中添加

#对源站点验证
valid_referers *.imooc.com; 
#非法引入会进入下方判断
if ($invalid_referer) {
    return 404;
} 

3、nginx压缩静态文件

在 http{...} 模块中添加

#开启gzip,减少我们发送的数据量
gzip on;
#大于1k后开始压缩
gzip_min_length 1k;

#4个单位为16k的内存作为压缩结果流缓存
gzip_buffers 4 16k;

#gzip压缩比,可在1~9中设置,1压缩比最小,速度最快,9压缩比最大,速度最慢,消耗CPU
gzip_comp_level 5;

#压缩的类型
gzip_types application/javascript text/plain text/css application/json application/xml    text/javascript; 

#给代理服务器用的,有的浏览器支持压缩,有的不支持,所以避免浪费不支持的也压缩,所以根据客户端的HTTP头来判断,是否需要压缩
gzip_vary on;

#禁用IE6以下的gzip压缩,IE某些版本对gzip的压缩支持很不好
gzip_disable "MSIE [1-6].";

4、配置https

  • 在对应的域名注册服务商(阿里云、腾讯云等)处获取ssl证书信息
  • 在下载到的ssl证书中获取nginx相关证书(包含两个文件:.key 和 .pom)
  • 将对应的nginx证书上传到nginx所在服务的特定位置(如:/usr/loca/nginx/cert)
  • 配置nginx(http默认端口为:80,https默认端口为:443)
server {
     listen       443;
     server_name www.test.com;
     
     # 开启ssl
     ssl on;
     
     # 配置ssl证书
     ssl_certificate   /usr/local/nginx/cert/214806751670884.pem;
     
     # 配置证书秘钥
     ssl_certificate_key  /usr/local/nginx/cert/214806751670884.key;
     
     # ssl会话cache
     ssl_session_cache    shared:SSL:1m;
     
     # ssl会话超时时间
     ssl_session_timeout 5m;
     
     # 配置加密套件,写法遵循 openssl 标准
     ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
     ssl_prefer_server_ciphers on;
     
     location ~* \.(txt)$ {
         root public;
     }
     location / {
         proxy_pass http://127.0.0.1:8011;
     }

}
  • 如果进行完上述操作之后,发现启动nginx说咩有ssl模块,是因为在安装nginx时,没有安装ssl模块,使用命令安装即可

进入到nginx安装包目录下,依次执行一下命令

./configure \
--prefix=/usr/local/nginx \
--pid-path=/var/run/nginx/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/temp/nginx/client \
--http-proxy-temp-path=/var/temp/nginx/proxy \
--http-fastcgi-temp-path=/var/temp/nginx/fastcgi \
--http-uwsgi-temp-path=/var/temp/nginx/uwsgi \
--http-scgi-temp-path=/var/temp/nginx/scgi  \
--with-http_ssl_module
make
make install

二、负载均衡

1、基本配置

  • upstream

nginx 主要用于七层负载均衡

在http { ... } 中添加

# worker进程设置1个,便于测试观察成功的连接数
worker_processes  1;

upstream tomcats {

    server 192.168.1.173:8080;
    
    server 192.168.1.174:8080;
    
    server 192.168.1.175:8080;
}

# 监听地址
server {
    listen  80;
    server_name  www.test.com;
    
    location / {
        # 指向上面配置的upstream
        proxy_pass http://tomcats;
    }
}

2、upstream下相关指令

  • weight

权重,设置用户访问时,每台服务器被请求的权重信息,默认为1,

upstream tomcats {

    server 192.168.1.173:8080 weight=2;
    
    server 192.168.1.174:8080 weight=4;
    
    server 192.168.1.175:8080 weight=5;
}
  • max_conns

限制每台server的连接数,防止过载,可起到限流作用

# worker进程设置1个,便于测试观察成功的连接数
worker_processes  1;

upstream tomcats {

    server 192.168.1.173:8080 max_conns=2;
    
    server 192.168.1.174:8080 max_conns=2;
    
    server 192.168.1.175:8080 max_conns=2;
}

  • slow_start
    • 只有商业版的可以使用
    • 必须是两台及以上服务器才可使用
    • 必须配置权重信息weight才可使用

设置服务器权重从0恢复到标准值的时间,默认为0,缓慢的恢复

upstream tomcats {

    server 192.168.1.173:8080 weight=2 slow_start = 60s;
    
    server 192.168.1.174:8080;
    
    server 192.168.1.175:8080 weight=5;
}
  • down

被标记的服务节点不可用

upstream tomcats {
    # 不可使用
    server 192.168.1.173:8080 down;
    
    server 192.168.1.174:8080 weight=1;
    
    server 192.168.1.175:8080 weight=1;
}
  • backup

表示该服务器节点为备用机,只有其他的服务器都不可用(如全部宕机)后,才可以被访问

upstream tomcats {
    # 备用机
    server 192.168.1.173:8080 backup;
    
    server 192.168.1.174:8080 weight=1;
    
    server 192.168.1.175:8080 weight=1;
}
  • max_fails 、fail_timeout

两个指令必须配合使用

max_fails 表示失败几次几次后,就将该服务器节点标记为宕机,剔除集群上游服务器

fail_timeout 表示被max_fails标记为宕机后,多长时间之后再去尝试请求该服务器节点,如果依然失败,则重复上述操作

upstream tomcats {
    
    server 192.168.1.173:8080 max_fails=2 fail_timeout=15s;
    
    server 192.168.1.174:8080 weight=1;
    
    server 192.168.1.175:8080 weight=1;
}

3、keepalive

  • keepalive

设置长连接处理的数量

  • proxy_http_version

设置长连接http的版本信息,proxy_http_version 1.1;

  • proxy_set_header

清楚connection header信息

upstream tomcats {
    server 192.168.1.190:8080;
    keepalive 32;
}

server {
    listen       80;
    server_name  www.tomcats.com;

    location / {
        proxy_pass  http://tomcats;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
    }
}

4、ip_hash

ip_hash 可以保证用户访问可以请求到上游服务中的固定的服务器,前提是用户ip没有发生更改

  • 注意:使用ip_hash后,如果想要停用某个服务器节点,不可直接移除后台服务器,必须使用down,否则hash算法将失效,进行重新计算(通过ip的前三位计算 192.0.1),影响用户使用

  • 官方文档:

http://nginx.org/en/docs/http/ngx_http_upstream_module.html#ip_hash

upstream tomcats {
    ip_hash;

    server 192.168.1.173:8080;
    server 192.168.1.174:8080 down;
    server 192.168.1.175:8080;
}

5、url_hash、least_conn

根据用户请求的url地址,进行hash后访问固定的服务器节点

upstream tomcats {
    # url hash
    hash $request_uri;
    # 最少连接数
    # least_conn

    server 192.168.1.173:8080;
    server 192.168.1.174:8080;
    server 192.168.1.175:8080;
}


server {
    listen 80;
    server_name www.tomcats.com;

    location / {
        proxy_pass  http://tomcats;
    }
}

三、nginx缓存控制

  • expires

expires 命令控制一下浏览器的缓存,主要是针对一些静态资源

1、浏览器缓存

  • 浏览器缓存是缓存在用户本地
  • 用于加速用户访问,提升单个用户体验(浏览器访问者)

2、nginx缓存

  • nginx缓存是缓存在nginx端
  • 提升所有访问到nginx端的用户体验
  • 提升上游upstream各个服务器节点的速度
  • 用户访问仍然会产生请求流量

3、nginx缓存控制

  • 控制浏览器缓存

在具体的 location 中配置

location /files {
    alias /home/imooc;
    
    # 允许浏览器缓存该资源10s
    # expires 10s;
    
    # @表示在指定时间点后缓存过期
    # expires @22h30m;
    
    # 在之前1h就已经过期了,既不进行缓存
    # expires -1h;
    
    # 有缓存,但不使用缓存
    # expires epoch;
    
    # 关闭缓存,默认为关闭
    # expires off;
    
    # 最大时间,永不过期
    expires max;
}
  • 控制上游服务器节点缓存

需先在http中配置配置缓存的基本信息
在到对应的location中进行配置

# proxy_cache_path 设置缓存目录
#   keys_zone 设置共享内存以及占用空间大小
#   max_size 设置缓存大小
#   inactive 超过此时间则被清理
#   use_temp_path 临时目录,使用后会影响nginx性能
proxy_cache_path /usr/local/nginx/upstream_cache keys_zone=mycache:5m max_size=1g inactive=1m use_temp_path=off;
location / {
    proxy_pass  http://tomcats;

    # 启用缓存,和keys_zone一致
    proxy_cache mycache;
    # 针对200和304状态码缓存时间为8小时
    proxy_cache_valid   200 304 8h;
}
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 158,425评论 4 361
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,058评论 1 291
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 108,186评论 0 243
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,848评论 0 204
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,249评论 3 286
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,554评论 1 216
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,830评论 2 312
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,536评论 0 197
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,239评论 1 241
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,505评论 2 244
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,004评论 1 258
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,346评论 2 253
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,999评论 3 235
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,060评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,821评论 0 194
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,574评论 2 271
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,480评论 2 267

推荐阅读更多精彩内容