阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Nginx 服务器配置详解

208次阅读
没有评论

共计 18222 个字符,预计需要花费 46 分钟才能阅读完成。

Nginx 的代码是由一个核心和一系列的模块组成, 核心主要用于提供 Web Server 的基本功能,以及 Web 和 Mail 反向代理的功能;还用于启用网络协议,创建必要的运行时环境以及确保不同的模块之间平滑地进行交互。不过,大多跟协议相关的功能和某应用特有的功能都是由 nginx 的模块实现的。这些功能模块大致可以分为事件模块、阶段性处理器、输出过滤器、变量处理器、协议、upstream 和负载均衡几个类别,这些共同组成了 nginx 的 http 功能。事件模块主要用于提供 OS 独立的 (不同操作系统的事件机制有所不同) 事件通知机制如 kqueue 或 epoll 等。协议模块则负责实现 nginx 通过 http、tls/ssl、smtp、pop3 以及 imap 与对应的客户端建立会话。

Nginx 的核心模块为 Main 和 Events,此外还包括标准 HTTP 模块、可选 HTTP 模块和邮件模块,其还可以支持诸多第三方模块。Main 用于配置错误日志、进程及权限等相关的参数,Events 用于配置 IO 模型,如 epoll、kqueue、select 或 poll 等,它们是必备模块。

更多 Nginx 相关教程见以下内容

CentOS 6.2 实战部署 Nginx+MySQL+PHP http://www.linuxidc.com/Linux/2013-09/90020.htm

使用 Nginx 搭建 WEB 服务器 http://www.linuxidc.com/Linux/2013-09/89768.htm

搭建基于 Linux6.3+Nginx1.2+PHP5+MySQL5.5 的 Web 服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htm

CentOS 6.3 下 Nginx 性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htm

CentOS 6.3 下配置 Nginx 加载 ngx_pagespeed 模块 http://www.linuxidc.com/Linux/2013-09/89657.htm

CentOS 6.4 安装配置 Nginx+Pcre+php-fpm http://www.linuxidc.com/Linux/2013-08/88984.htm

Nginx 安装配置使用详细笔记 http://www.linuxidc.com/Linux/2014-07/104499.htm

Nginx 日志过滤 使用 ngx_log_if 不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm

Nginx 的主配置文件由几个段组成,这个段通常也被称为 nginx 的上下文,每个段的定义格式如下所示。需要注意的是,其每一个指令都必须使用分号 (;) 结束,否则为语法错误。

  1. <section> {
  2. <directive><parameters>;
  3. }

一,全局块的配置

  1. user username [groupname];指定运行 worker 进程的用户和组
  2.  
  3. worker_processes 4; worker进程的个数;通常其数值应该为 CPU 的物理核心数减1,默认为4
  4.  
  5. error_log /path/to/error_log level [ debug | info | notice | warn | error | crit | alert | emerg ];错误日志文件及其级别,默认为 error 级别,错误日志在全局级别,访问日志在虚拟主机级别,调试时可以使用 debug 级别,但要求在编译时必须使用–withdebug启用 debug 功能;
  6.  
  7. pid /path/to/pidfile_name;指定 nginxpid文件

nginx 安装完成后,全局块默认只有这几个配置。

二,events 块的配置

  1. events {
  2. use epoll定义使用的事件驱动模型,建议让 nginx 自动选择,默认使用epoll
  3. worker_connections 1024;每个 worker 能够并发响应最大请求数,默认为1024
  4. }

nginx 在 events 只配置此两个选项;

下面介绍 http 块的配置,http 块的配置比较多,用法也比较灵活,以下是比较常用的配置。

  1. http {
  2. …..
  3. server {
  4. ……
  5. location {
  6. ……
  7. }
  8.  
  9. }
  10. server {
  11. ……
  12. location {
  13. ……
  14. }
  15. }
  16. }

三,nginx 虚拟主机使用

nginx 和 httpd 虚拟主机使用的实现一样,都有基于端口,IP,域名的虚拟机主机。要为 nginx 配置虚拟主机,只需在 http 块中额外定义一个 server 块。

1,配置基于端口的虚拟主机时,只需修改 listen 中的端口号。

  1. http{
  2. server {
  3. listen 80
  4. server_name a.com
  5. 。。。。。。
  6. }
  7. server {
  8. listen 8080
  9. server_name b.org
  10. 。。。。。。
  11. }
  12. }

2,配置基于域名的虚拟主机

  1. http{
  2. server {
  3. listen 80
  4. server_name a.com
  5. 。。。。。。
  6. }
  7. server {
  8. listen 80
  9. server_name b.org
  10. 。。。。。。
  11. }
  12. }

3,配置基于 IP 的虚拟主机

  1. http{
  2. server {
  3. listen 192.168.1.11080
  4. server_name a.com
  5. 。。。。。。
  6. }
  7. server {
  8. listen 192.168.1.11180
  9. server_name b.org
  10. 。。。。。。
  11. }
  12. }

四、访问控制 access 模块(基于 IP)

自上而下进行检查,可以在 http, server, location, limit_except 中配置,与 httpd 中的配置类似。

  1. 语法: allow|deny address | CIDR | unix:| all;
  2.  
  3. location /{
  4. root /usr/html ;
  5. index index.html index.htm;
  6. allow 172.16.100.8
  7. allow 192.168.0.0/16;
  8. allow 10.1.1.0/16;
  9. deny all
  10. }

五,用户认证示例

此配置是为了禁止外人访问特定页面时进行的限制,需要借助于 httpd 的 htpasswd 创建密码文件。

  1. 语法: auth_basic string| off;
  2. auth_basic_user_file file;
  1. 例:
  2.  
  3. location /server {
  4. root /usr/html ;
  5. access_log off;# 访问日志
  6. auth_basic “amdin area”;# 认证时的说明
  7. auth_basic_user_file /etc/nginx/.htpasswd;# 密码文件所在位置
  8.  
  9. }

六、建立下载站点 autoindex 模块

此模块为了便于用户下载站的文件等,类似于 ftp 的功能,本站的 ftp 依是如此。

  1. location /{
  2. root html/ftp;
  3. allow all;
  4. autoindex on;# 激活 / 关闭自动索引
  5. autoindex_exact_size on;# 设定索引时文件大小的单位(B,KB, MB 或 GB)
  6. autoindex_localtime on;# 开启以本地时间来显示文件时间的功能。默认为关(GMT 时间)
  7. }

七、防盗链

防盗链是为了防止别的网站盗用自己网站的图片视频等资源,并给自己网站的服务器造成额外的负担。nginx 使用 valid_referers 指令进行配置防盗链规则。

(1) 定义合规的引用

valid_referers none | blocked | server_names | string …;

 

none : 检测 referer 头域不存在的情况

blocked:检测 referer 头域的值被防火墙或者代理服务器删除或者伪装的情况。这种情况下该头域的值不以 http 或者 https 开头。

server_names:设置一个或多个 URL,可以使用统配符 *。

(2) 拒绝不合规的引用

 

  1. if($invalid_referer){
  2. rewrite ^/.*$ http://www.b.org/403.html
  3. }

示例:

  1. location ~* \.(gif|jpg|png|swf|flv|rar|zip)$
  2. {
  3. root /usr/html/htdocs;
  4. valid_referers none blocked server_names *.tianfeiyu.com;
  5. if($invalid_referer){
  6. rewrite ^/ http://www.tianfeiyu.com/wpcontent/uploads/2016/01/QQ图片20160131111643.png;
  7. }
  8. }

八、URL rewrite

rewrite 用于实现 URI 的重写,需要 pcre 的支持。

rewrite 指令执行顺序:

 

1. 执行 server 块的 rewrite 指令 (这里的块指的是 server 关键字后{} 包围的区域,其它 xx 块类似)

2. 执行 location 匹配

3. 执行选定的 location 中的 rewrite 指令

如果其中某步 URI 被重写,则重新循环执行 1 -3,直到找到真实存在的文件

如果循环超过 10 次,则返回 500 Internal Server Error 错误.

 

  1. rewrite regex replacement [flag];
  1. location /{
  2. root /www/b.org;# 每次被 rewrite 匹配并结束后,都要重新发送请求并再次到 location 中进行匹配,若有 break 则直接响应,不再发送新请求
  3. rewrite ^/images/(.*)$ /imgs/$1 last;
  4. }

请求顺序:http://www.b.org/images/a.jpg –> http://www.b.org/imgs/a.jpg

last: 一旦被当前规则匹配并重写后立即停止检查后续的其它 rewrite 的规则,而后通过重写后的规则重新发起请求;

break: 一旦被当前规则匹配并重写后立即停止后续的其它 rewrite 的规则,而后继续由 nginx 进行后续操作;

redirect: 返回 302 临时重定向;

permanent: 返回 301 永久重定向;

location /download/ {

    rewrite ^(/download/.*)/media/(.*)\..*$ $1/media/$2.mp3 break;

}

此处若为 last,则 nginx 最多循环 10 次,超出之后会返回 500 错误;

注意:一般将 rewrite 写在 location 中时都使用 break 标志,或者将 rewrite 写在 if 上下文中;

rewrite_log on|off;是否把重写过程记录在错误日志中;默认为 notice 级别;默认为 off;

return code;用于结束 rewrite 规则,并且为客户返回状态码;可以使用的状态码有 204, 400, 402-406, 500-504 等;

更多详情见请继续阅读下一页的精彩内容:http://www.linuxidc.com/Linux/2016-07/133045p2.htm

九,启用 server_status

server_status 是 nginx 内建的一个状态页,用以了解 nginx 的状态。

  1. location /status {
  2. stub_status on;
  3. access_log off;
  4. auth_basic “amdin area”;
  5. auth_basic_user_file /etc/nginx/.htpasswd;
  6. allow 192.168.0.0/16;
  7. deny all;
  8. }

 

Active connections: 2

server accepts handled requests

237811 172308 244762

Reading: 0 Writing: 1 Waiting: 1

其意义分别为:

active connections – 活跃的连接数量

accepts:接受连接数;handled:已经建立的连接数;requests:通过建立的连接处理的请求的总数;

Reading:正在接受的新连接数;Writing:响应数据到客户端的数量;Waiting:长连接中处于活动状态的个数

十,压缩功能

nginx 将响应报文发送至客户端之前可以启用压缩功能,这能够有效地节约带宽,并提高响应至客户端的速度。通常编译 nginx 默认会附带 gzip 压缩的功能,因此,可以直接启用之。

  1. http {
  2. gzip on;
  3. gzip_min_length 1024;# 响应也数据上限
  4. gzip_buffers 416k;# 缓存空间大小
  5. gzip_comp_level 2;# 定义压缩等级,默认为 6,压缩比越大,效率越低
  6. gzip_types text/plain application/xJavascript application/xml text/css;# 压缩文件类型
  7. gzip_vary on;# 启用压缩标识
  8. gzip_static on;# 静态压缩
  9.  
  10. }

gzip_proxied 指令可以定义对客户端请求哪类对象启用压缩功能,如“expired”表示对由于使用了 expire 首部定义而无法缓存的对象启用压缩功能,其它可接受的值还有“no-cache”、“no-store”、“private”、“no_last_modified”、“no_etag”和“auth”等,而“off”则表示关闭压缩功能。

十一,配置反向代理

Nginx 通过 proxy 模块实现反向代理功能。在作为 web 反向代理服务器时,nginx 负责接收客户请求,并能够根据 URI、客户端参数或其它的处理逻辑将用户请求调度至上游服务器上 (upstream server)。nginx 在实现反向代理功能时的最重要指令为 proxy_pass,它能够将 location 定义的某 URI 代理至指定的上游服务器(组) 上。如下面的示例中,location 的 /uri 将被替换为上游服务器上的 /newuri。

  1. location /uri {
  2. proxy_pass http://www.feiyu.com:8080/newuri;
  3. }

不过,这种处理机制中有两个例外。一个是如果 location 的 URI 是通过模式匹配定义的,其 URI 将直接被传递至上游服务器,而不能为其指定转换的另一个 URI。例如下面示例中的 /forum 将被代理为 http://www.feiyu.com/forum。

  1. location ~^/forum {
  2. proxy_pass http://www.feiyu.com;
  3. proxy_set_header XRealIP $remote_addr;
  4. }

将 URI 传递给后端服务器后,后端服务器日志中记录的访问 IP 为代理服务器的 IP,要在后端服务器中记录真实 IP,需要修改日志记录格式,将 %h 改为 %{X-Real-IP}i,i 表示引用某个参数的值

  1. #LogFormat “%h %l %u %t \”%r\” %>s %b \”%{Referer}i\” \”%{User-Agent}i\”” combined
  2. LogFormat“%{X-Real-IP}i %l %u %t \”%r\” %>s %b \”%{Referer}i\” \”%{User-Agent}i\”” combined
  3.  

第二个例外是,如果在 loation 中使用的 URL 重定向,那么 nginx 将使用重定向后的 URI 处理请求,而不再考虑上游服务器上定义的 URI。如下面所示的例子中,传送给上游服务器的 URI 为 /index.php?page=,而不是 /index。

  1. location /{
  2. rewrite /(.*)$ /index.php?page=$1 break;
  3. proxy_pass http://localhost:8080/index;
  4. }

proxy 模块的指令

 

proxy 模块的可用配置指令非常多,它们分别用于定义 proxy 模块工作时的诸多属性,如连接超时时长、代理时使用 http 协议版本等。下面对常用的指令做一个简单说明。

proxy_connect_timeout:nginx 将一个请求发送至 upstream server 之前等待的最大时长;

proxy_cookie_domain:将 upstream server 通过 Set-Cookie 首部设定的 domain 属性修改为指定的值,其值可以为一个字符串、正则表达式的模式或一个引用的变量;

proxy_cookie_path: 将 upstream server 通过 Set-Cookie 首部设定的 path 属性修改为指定的值,其值可以为一个字符串、正则表达式的模式或一个引用的变量;

proxy_hide_header:设定发送给客户端的报文中需要隐藏的首部;

proxy_pass:指定将请求代理至 upstream server 的 URL 路径;

proxy_set_header:将发送至 upsream server 的报文的某首部进行重写;

proxy_redirect:重写 location 并刷新从 upstream server 收到的报文的首部;

proxy_send_timeout:在连接断开之前两次发送至 upstream server 的写操作的最大间隔时长;

proxy_read_timeout:在连接断开之前两次从接收 upstream server 接收读操作的最大间隔时长;

 

实例 1:

  1. server{
  2. ……
  3. location /server/{
  4. …….
  5. proxy_pass http://192.168.1.111;
  6. }
  7. }
  1. server{
  2. ……
  3. location /server/{
  4. …….
  5. proxy_pass http://192.168.1.111/loc/;
  6. }
  7. }

对于这两个配置,当客户端请求 http://www.feiyu.com/server/ 时,第一个由于 proxy_pass 的 URL 中不包含 uri,所以请求被转发到 http://192.168.1.111/server/;但是第二个 proxy_pass 的 URL 中包含了 uri“/loc/”,所以请求会被转发到 http://192.168.1.111/loc/。所以,在使用 proxy_pass 指令时,如果不想改变原地址中的 URI,就不要再 URL 中配置 URI。

实例 2:

  1. server{
  2. ……
  3. location /server/{
  4. …….
  5. # 配置 1 proxy_pass http://192.168.1.111;
  6. # 配置 2 proxy_pass http://192.168.1.111/;
  7. }
  8. }

当客户端清求 URL 为 http://www.feiyu.com/server/ 时,由于配置的 URL 未包含 URI,nginx 服务器不会改变原地址 URI;当使用配置 2 时,由于配置的 URL 包含 URI“/”,nginx 服务器会将原地址的 URI 替换为“/”。

十二,upstream 模块

与 proxy 模块结合使用的模块中,最常用的当属 upstream 模块。upstream 模块可定义一个新的上下文,它包含了一组 upstream 服务器,这些服务器可能被赋予了不同的权重、不同的类型甚至可以基于维护等原因被标记为 down。

upstream 模块的负载均衡算法主要有三种,轮调 (round-robin)、ip 哈希(ip_hash) 和最少连接 (least_conn) 三种。

 

ip_hash:基于客户端 IP 地址完成请求的分发,它可以保证来自于同一个客户端的请求始终被转发至同一个 upstream 服务器;

keepalive:每个 worker 进程为发送到 upstream 服务器的连接所缓存的个数;

least_conn:最少连接调度算法;

server:定义一个 upstream 服务器的地址,还可包括一系列可选参数,如:

    weight:权重;

    max_fails:最大失败连接次数,失败连接的超时时长由 fail_timeout 指定;

    fail_timeout:等待请求的目标服务器发送响应的时长;

    backup:用于 fallback 的目的,所有服务均故障时才启动此服务器;

    down:手动标记其不再处理任何请求;

例,使用 upstream 并定义 error 页面,当 upstream 中的后端服务器都 fail 时,则返回到 127.0.0.1:8080 下。

 

  1. upstream webservs{
  2. server 192.168.1.116 weight=1 max_fails=2 fail_timeout=2;
  3. server 192.168.1.109 weight=1 max_fails=2 fail_timeout=2;
  4. server 127.0.0.1:8080 backup;
  5. }
  6. server {
  7. listen 8080;
  8. server_name localhost;
  9. location /{
  10. root /web/errorpage;
  11. index index.html;
  12. }
  13. }

为了保持 session 信息让同一客户端定向到同一服务器,使用 ip_hash 算法,在 ip_hash 情况下不让使用 backup,也不能定义 weight。但是使用 ip_hash 会破坏负载均衡的效果。

  1. upstream webservs{
  2. ip_hash;
  3. server 192.168.1.116 max_fails=2 fail_timeout=2;
  4. server 192.168.1.109 max_fails=2 fail_timeout=2;
  5. #server 127.0.0.1:8080 backup;
  6. }

此外,upstream 模块也能为非 http 类的应用实现负载均衡,如下面的示例定义了 nginx 为 memcached 服务实现负载均衡之目的。

  1. upstream memcachesrvs {
  2. server 172.16.100.6:11211;
  3. server 172.16.100.7:11211;
  4. }
  5. server {
  6. location /{
  7. set $memcached_key “$uri?$args”;
  8. memcached_pass memcachesrvs;
  9. error_page 404=@fallback;
  10. }
  11. location @fallback{
  12. proxy_pass http://127.0.0.1:8080;
  13. }
  14. }

十三,if 判断语句

在 location 中使用 if 语句可以实现条件判断,其通常有一个 return 语句,且一般与有着 last 或 break 标记的 rewrite 规则一同使用。但其也可以按需要使用在多种场景下,需要注意的是,不当的使用可能会导致不可预料的后果。

  1. location /{
  2. if($request_method ==PUT”){
  3. proxy_pass http://upload.feiyu.com:8080;
  4. }
  5.  
  6. if($request_uri ~“\.(jpg|gif|jpeg|png)$”){
  7. proxy_pass http://imageservers;
  8. break;
  9. }
  10. }
  11. upstream imageservers {
  12. server 172.16.100.8:80 weight 2;
  13. server 172.16.100.9:80 weight 3;
  14. }
if 语句中的判断条件

 

正则表达式匹配:

    ==: 等值比较;

    ~:与指定正则表达式模式匹配时返回“真”,判断匹配与否时区分字符大小写;

    ~*:与指定正则表达式模式匹配时返回“真”,判断匹配与否时不区分字符大小写;

    !~:与指定正则表达式模式不匹配时返回“真”,判断匹配与否时区分字符大小写;

    !~*:与指定正则表达式模式不匹配时返回“真”,判断匹配与否时不区分字符大小写;

文件及目录匹配判断:

    -f, !-f:判断指定的路径是否为存在且为文件;

    -d, !-d:判断指定的路径是否为存在且为目录;

    -e, !-e:判断指定的路径是否存在,文件或目录均可;

    -x, !-x:判断指定路径的文件是否存在且可执行;

十四,启用缓存

1,缓冲区设定

nginx 在默认情况下在将其响应给客户端之前会尽可能地接收来 upstream 服务器的响应报文,它会将这些响应报文存暂存于本地并尽量一次性地响应给客户端。然而,在来自于客户端的请求或来自 upsteam 服务器的响应过多时,nginx 会试图将之存储于本地磁盘中,这将大大降低 nginx 的性能。因此,在有着更多可用内存的场景中,应该将用于暂存这些报文的缓冲区调大至一个合理的值。

 

proxy_buffer_size size:设定用于暂存来自于 upsteam 服务器的第一个响应报文的缓冲区大小;

proxy_buffering on|off:启用缓冲 upstream 服务器的响应报文,否则,如果 proxy_max_temp_file_size 指令的值为 0,来自 upstream 服务器的响应报文在接收到的那一刻将同步发送至客户端;一般情况下,启用 proxy_buffering 并将 proxy_max_temp_file_size 设定为 0 能够启用缓存响应报文的功能,并能够避免将其缓存至磁盘中;

proxy_buffers 8 4k|8k:用于缓冲来自 upstream 服务器的响应报文的缓冲区大小;

 

2,缓存

nginx 做为反向代理时,能够将来自 upstream 的响应缓存至本地,并在后续的客户端请求同样内容时直接从本地构造响应报文。

 

proxy_cache zone|off:定义一个用于缓存的共享内存区域,其可被多个地方调用;缓存将遵从 upstream 服务器的响应报文首部中关于缓存的设定,如“Expires”、”Cache-Control: no-cache”、“Cache-Control: max-age=XXX”、”private”和”no-store”等,但 nginx 在缓存时不会考虑响应报文的”Vary”首部。为了确保私有信息不被缓存,所有关于用户的私有信息可以 upstream 上通过”no-cache”or“max-age=0″来实现,也可在 nginx 设定

proxy_cache_key:设定在存储及检索缓存时用于“键”的字符串,可以使用变量为其值,但使用不当时有可能会为同一个内容缓存多次;另外,将用户私有信息用于键可以避免将用户的私有信息返回给其它用户;

proxy_cache_lock:启用此项,可在缓存未命令中阻止多个相同的请求同时发往 upstream,其生效范围为 worker 级别;

proxy_cache_lock_timeout:proxy_cache_lock 功能的锁定时长;

proxy_cache_min_uses:某响应报文被缓存之前至少应该被请求的次数;

proxy_cache_path:定义一个用于保存缓存响应报文的目录,及一个保存缓存对象的键及响应元数据的共享内存区域(keys_zone=name:size),其可选参数有:

      levels:每级子目录名称的长度,有效值为 1 或 2,每级之间使用冒号分隔,最多为 3 级;

      inactive:非活动缓存项从缓存中剔除之前的最大缓存时长;

      max_size:缓存空间大小的上限,当需要缓存的对象超出此空间限定时,缓存管理器将基于 LRU 算法对其进行清理;

      loader_files:缓存加载器 (cache_loader) 的每次工作过程最多为多少个文件加载元数据;

      loader_sleep:缓存加载器的每次迭代工作之后的睡眠时长;

      loader_threashold:缓存加载器的最大睡眠时长;

          例如:proxy_cache_path /data/nginx/cache/one levels=1 keys_zone=one:10m;

proxy_cache_use_stale:在无法联系到 upstream 服务器时的哪种情形下 (如 error、timeout 或 http_500 等) 让 nginx 使用本地缓存的过期的缓存对象直接响应客户端请求;其格式为:

      proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_404 | off

proxy_cache_valid [code …] time:用于为不同的响应设定不同时长的有效缓存时长,例如:proxy_cache_valid 200 302 10m;

proxy_cache_methods [GET HEAD POST]:为哪些请求方法启用缓存功能;

proxy_cache_bypass string:设定在哪种情形下,nginx 将不从缓存中取数据;例如:

      proxy_cache_bypass $cookie_nocache $arg_nocache $arg_comment;

      proxy_cache_bypass $http_pragma $http_authorization;

例:

 

  1. http{
  2. 。。。。。。
  3.  
  4. upstream websrvs {
  5. server 172.16.100.11 weight=1;
  6. server 172.16.100.12 weight=1;
  7. server 127.0.0.1:8080 backup;
  8. }
  9.  
  10. proxy_cache_path /nginx/cache/first levels=1:2 keys_zone=first:20m max_size=1G;
  11. add_header XCache“$upstream_cache_status from $server_addr”;# 显示缓存从哪个服务器命中
  12. location /{
  13. proxy_pass http://webservs;
  14. proxy_set_header XRealIP $remote_addr;
  15. proxy_cache first;
  16. proxy_cache_valid 20010m;
  17. proxy_cache_valid any 1m;
  18. }
  19. }

十五,nginx 限速配置

nginx 的限速功能通过 limit_zone、limit_conn 和 limit_rate 指令进行配置。首先需要在 http 上下文配置一个 limit_zone,然后在需要的地方使用 limit_conn 和 limit_rate 进行限速设置。下面是一个简单的例子。

  1. http {
  2.  
  3. limit_conn_zone $binary_remote_addr zone=perip:10m;
  4.  
  5. server {
  6. location /downloads/{
  7. limit_conn perip 1;
  8. limit_rate 50k;
  9. }
  10. }
  11. }

说明:

 

limit_zone:语法格式“limit_req_zone $variable zone=name:size rate=rate;”,实现针对每个 IP 定义一个存储 session 状态的容器。这个示例中定义了一个名叫 first 的 10m 大小的容器,这个名字会在后面的 limit_conn 中使用。

limit_conn first 1; 限制在 first 中记录状态的每个 IP 只能发起一个并发连接。

limit_rate 50k; 对每个连接限速 50k. 注意,这里是对连接限速,而不是对 IP 限速。如果一个 IP 允许三个并发连接,那么这个 IP 就是限速为 limit_rate×3,在设置的时候要根据自己的需要做设置调整,要不然会达不到自己希望的目的。

 

限制连接数的配置如下所示。

  1. limit_conn_zone $binary_remote_addr zone=perip:10m;
  2. limit_conn_zone $server_name zone=perserver:10m;
  3.  
  4. server {
  5. limit_conn perip 10;
  6. limit_conn perserver 100;
  7. }

十六,nginx 实现读写分离

使用 nginx 实现读写分离时,nginx 作为代理服务器,将文件上传至 upstream 中特定的服务器,upstream 端的服务器使用 httpd,并且需要启用 dav 功能。

配置 nginx 端:

  1. http{
  2. ……
  3. location /{
  4. proxy_pass http://webservs;
  5. if($request_method =“PUT”){
  6. proxy_pass http://192.168.1.109;
  7. }
  8. }
  9. }

在允许上传的服务器的 Directory 中启用上传功能:

  1. LoadModule dav_module modules/mod_dav.so
  2.  
  3. LoadModule dav_fs_module modules/mod_dav_fs.so # 这两个模块需要启用,默认为启用
  4.  
  5. <Directory“/var/www/html”>
  6. Dav on # 启用上传
  7. ……
  8. </Directory>
  1. [root@localhost html]# service httpd reload
  2. [root@localhost html]# chown -R apache.apache /var/www/html/
  3. [root@localhost html]# curl -T /etc/issue 192.168.1.117 #上传文件
  4. %Total%Received%XferdAverageSpeedTimeTimeTimeCurrent
  5. DloadUploadTotalSpentLeftSpeed
  6. 047000000–:–:––:–:––:–:–0<!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”>
  7. <html><head>
  8. <title>201Created</title>
  9. </head><body>
  10. <h1>Created</h1>
  11. <p>Resource /issue has been created.</p>
  12. <hr />
  13. <address>Apache/2.2.15(CentOS)Server at webservs Port80</address>
  14. </body></html>
  15. 1003011272540474527837–:–:––:–:––:–:–4618

然后使用 rsync+inotify 或者 sersync+inotify 同步 upstream 中的其他服务器。

Nginx 的详细介绍:请点这里
Nginx 的下载地址:请点这里

本文永久更新链接地址:http://www.linuxidc.com/Linux/2016-07/133045.htm

Nginx 的代码是由一个核心和一系列的模块组成, 核心主要用于提供 Web Server 的基本功能,以及 Web 和 Mail 反向代理的功能;还用于启用网络协议,创建必要的运行时环境以及确保不同的模块之间平滑地进行交互。不过,大多跟协议相关的功能和某应用特有的功能都是由 nginx 的模块实现的。这些功能模块大致可以分为事件模块、阶段性处理器、输出过滤器、变量处理器、协议、upstream 和负载均衡几个类别,这些共同组成了 nginx 的 http 功能。事件模块主要用于提供 OS 独立的 (不同操作系统的事件机制有所不同) 事件通知机制如 kqueue 或 epoll 等。协议模块则负责实现 nginx 通过 http、tls/ssl、smtp、pop3 以及 imap 与对应的客户端建立会话。

Nginx 的核心模块为 Main 和 Events,此外还包括标准 HTTP 模块、可选 HTTP 模块和邮件模块,其还可以支持诸多第三方模块。Main 用于配置错误日志、进程及权限等相关的参数,Events 用于配置 IO 模型,如 epoll、kqueue、select 或 poll 等,它们是必备模块。

更多 Nginx 相关教程见以下内容

CentOS 6.2 实战部署 Nginx+MySQL+PHP http://www.linuxidc.com/Linux/2013-09/90020.htm

使用 Nginx 搭建 WEB 服务器 http://www.linuxidc.com/Linux/2013-09/89768.htm

搭建基于 Linux6.3+Nginx1.2+PHP5+MySQL5.5 的 Web 服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htm

CentOS 6.3 下 Nginx 性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htm

CentOS 6.3 下配置 Nginx 加载 ngx_pagespeed 模块 http://www.linuxidc.com/Linux/2013-09/89657.htm

CentOS 6.4 安装配置 Nginx+Pcre+php-fpm http://www.linuxidc.com/Linux/2013-08/88984.htm

Nginx 安装配置使用详细笔记 http://www.linuxidc.com/Linux/2014-07/104499.htm

Nginx 日志过滤 使用 ngx_log_if 不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm

Nginx 的主配置文件由几个段组成,这个段通常也被称为 nginx 的上下文,每个段的定义格式如下所示。需要注意的是,其每一个指令都必须使用分号 (;) 结束,否则为语法错误。

  1. <section> {
  2. <directive><parameters>;
  3. }

一,全局块的配置

  1. user username [groupname];指定运行 worker 进程的用户和组
  2.  
  3. worker_processes 4; worker进程的个数;通常其数值应该为 CPU 的物理核心数减1,默认为4
  4.  
  5. error_log /path/to/error_log level [ debug | info | notice | warn | error | crit | alert | emerg ];错误日志文件及其级别,默认为 error 级别,错误日志在全局级别,访问日志在虚拟主机级别,调试时可以使用 debug 级别,但要求在编译时必须使用–withdebug启用 debug 功能;
  6.  
  7. pid /path/to/pidfile_name;指定 nginxpid文件

nginx 安装完成后,全局块默认只有这几个配置。

二,events 块的配置

  1. events {
  2. use epoll定义使用的事件驱动模型,建议让 nginx 自动选择,默认使用epoll
  3. worker_connections 1024;每个 worker 能够并发响应最大请求数,默认为1024
  4. }

nginx 在 events 只配置此两个选项;

下面介绍 http 块的配置,http 块的配置比较多,用法也比较灵活,以下是比较常用的配置。

  1. http {
  2. …..
  3. server {
  4. ……
  5. location {
  6. ……
  7. }
  8.  
  9. }
  10. server {
  11. ……
  12. location {
  13. ……
  14. }
  15. }
  16. }

三,nginx 虚拟主机使用

nginx 和 httpd 虚拟主机使用的实现一样,都有基于端口,IP,域名的虚拟机主机。要为 nginx 配置虚拟主机,只需在 http 块中额外定义一个 server 块。

1,配置基于端口的虚拟主机时,只需修改 listen 中的端口号。

  1. http{
  2. server {
  3. listen 80
  4. server_name a.com
  5. 。。。。。。
  6. }
  7. server {
  8. listen 8080
  9. server_name b.org
  10. 。。。。。。
  11. }
  12. }

2,配置基于域名的虚拟主机

  1. http{
  2. server {
  3. listen 80
  4. server_name a.com
  5. 。。。。。。
  6. }
  7. server {
  8. listen 80
  9. server_name b.org
  10. 。。。。。。
  11. }
  12. }

3,配置基于 IP 的虚拟主机

  1. http{
  2. server {
  3. listen 192.168.1.11080
  4. server_name a.com
  5. 。。。。。。
  6. }
  7. server {
  8. listen 192.168.1.11180
  9. server_name b.org
  10. 。。。。。。
  11. }
  12. }

四、访问控制 access 模块(基于 IP)

自上而下进行检查,可以在 http, server, location, limit_except 中配置,与 httpd 中的配置类似。

  1. 语法: allow|deny address | CIDR | unix:| all;
  2.  
  3. location /{
  4. root /usr/html ;
  5. index index.html index.htm;
  6. allow 172.16.100.8
  7. allow 192.168.0.0/16;
  8. allow 10.1.1.0/16;
  9. deny all
  10. }

五,用户认证示例

此配置是为了禁止外人访问特定页面时进行的限制,需要借助于 httpd 的 htpasswd 创建密码文件。

  1. 语法: auth_basic string| off;
  2. auth_basic_user_file file;
  1. 例:
  2.  
  3. location /server {
  4. root /usr/html ;
  5. access_log off;# 访问日志
  6. auth_basic “amdin area”;# 认证时的说明
  7. auth_basic_user_file /etc/nginx/.htpasswd;# 密码文件所在位置
  8.  
  9. }

六、建立下载站点 autoindex 模块

此模块为了便于用户下载站的文件等,类似于 ftp 的功能,本站的 ftp 依是如此。

  1. location /{
  2. root html/ftp;
  3. allow all;
  4. autoindex on;# 激活 / 关闭自动索引
  5. autoindex_exact_size on;# 设定索引时文件大小的单位(B,KB, MB 或 GB)
  6. autoindex_localtime on;# 开启以本地时间来显示文件时间的功能。默认为关(GMT 时间)
  7. }

七、防盗链

防盗链是为了防止别的网站盗用自己网站的图片视频等资源,并给自己网站的服务器造成额外的负担。nginx 使用 valid_referers 指令进行配置防盗链规则。

(1) 定义合规的引用

valid_referers none | blocked | server_names | string …;

 

none : 检测 referer 头域不存在的情况

blocked:检测 referer 头域的值被防火墙或者代理服务器删除或者伪装的情况。这种情况下该头域的值不以 http 或者 https 开头。

server_names:设置一个或多个 URL,可以使用统配符 *。

(2) 拒绝不合规的引用

 

  1. if($invalid_referer){
  2. rewrite ^/.*$ http://www.b.org/403.html
  3. }

示例:

  1. location ~* \.(gif|jpg|png|swf|flv|rar|zip)$
  2. {
  3. root /usr/html/htdocs;
  4. valid_referers none blocked server_names *.tianfeiyu.com;
  5. if($invalid_referer){
  6. rewrite ^/ http://www.tianfeiyu.com/wpcontent/uploads/2016/01/QQ图片20160131111643.png;
  7. }
  8. }

八、URL rewrite

rewrite 用于实现 URI 的重写,需要 pcre 的支持。

rewrite 指令执行顺序:

 

1. 执行 server 块的 rewrite 指令 (这里的块指的是 server 关键字后{} 包围的区域,其它 xx 块类似)

2. 执行 location 匹配

3. 执行选定的 location 中的 rewrite 指令

如果其中某步 URI 被重写,则重新循环执行 1 -3,直到找到真实存在的文件

如果循环超过 10 次,则返回 500 Internal Server Error 错误.

 

  1. rewrite regex replacement [flag];
  1. location /{
  2. root /www/b.org;# 每次被 rewrite 匹配并结束后,都要重新发送请求并再次到 location 中进行匹配,若有 break 则直接响应,不再发送新请求
  3. rewrite ^/images/(.*)$ /imgs/$1 last;
  4. }

请求顺序:http://www.b.org/images/a.jpg –> http://www.b.org/imgs/a.jpg

last: 一旦被当前规则匹配并重写后立即停止检查后续的其它 rewrite 的规则,而后通过重写后的规则重新发起请求;

break: 一旦被当前规则匹配并重写后立即停止后续的其它 rewrite 的规则,而后继续由 nginx 进行后续操作;

redirect: 返回 302 临时重定向;

permanent: 返回 301 永久重定向;

location /download/ {

    rewrite ^(/download/.*)/media/(.*)\..*$ $1/media/$2.mp3 break;

}

此处若为 last,则 nginx 最多循环 10 次,超出之后会返回 500 错误;

注意:一般将 rewrite 写在 location 中时都使用 break 标志,或者将 rewrite 写在 if 上下文中;

rewrite_log on|off;是否把重写过程记录在错误日志中;默认为 notice 级别;默认为 off;

return code;用于结束 rewrite 规则,并且为客户返回状态码;可以使用的状态码有 204, 400, 402-406, 500-504 等;

更多详情见请继续阅读下一页的精彩内容:http://www.linuxidc.com/Linux/2016-07/133045p2.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-21发表,共计18222字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中