- 官网:https://nginx.org/
- 官方文档:
- Building nginx from Sources - http://nginx.org/en/docs/configure.html
- 视频:
- https://www.bilibili.com/video/av58516750
- https://www.bilibili.com/video/BV1ov41187bq?p=2
- 其他
- traefix 了解一下 https://github.com/traefik/traefik
文章目录
- 常用模块、核心祖成
- 安装、编译
- 线程模型
- 启停
- 升级(不停机/不停nginx服务)
- 目录结构
- 配置:nginx.conf ⭐️
- # 全局块: 用户 user
- # 全局块: 线程数 master_process、worker_processes
- # 全局块: daemon
- # 全局块: pid
- # 全局块: 错误日志 error_log
- # 全局块: 引入配置 include
- # events块: 事件配置
- # events块: 接收锁 accept_mutex
- # events块: 接收多个 multi_accept
- # events块: worker_connections
- # events块: 事件驱动方式 use
- # http块: 默认响应类型 default_type、mime.type
- # http块: 自定义服务日志:access.log、error.log
- # http块: sendfile (静态文件传输优化)
- # http块: keepalive_timeout
- # http块: keepalive_requests
- # server块和location块 ⭐️
- # server块: 监听端口 listen ⭐️
- # server块:server_name ⭐️⭐️
- # server块: 变量设置 set ⭐️
- # location 块 ⭐️
- # loaction块: 资源目录 root(拼接)、alias(替换)
- # location块: 首页 index
- # location块: 错误页 error_page
- # location块: 逻辑判断 ⭐️
- # location块: 返回 return
- # location块: 地址重写 rewrite ⭐️⭐️⭐️
- # 代理配置 ⭐️⭐️⭐️
- 案例
- 可能遇到的问题
常用模块、核心祖成
Nginx常用模块
- 静态资源部署
- Rewrite地址重写
正则表达式 - 反向代理
- 负载均衡
轮询、加权轮询、ip_hash、url_hash、fair - web缓存
- 环境部署
高可用 - 用户认证模块…
Nginx核心组成
- nginx 二进制可执行文件
- nginx.conf 配置文件
- error.log 错误日志记录
- access.log 访问日志记录
安装、编译
确保linux内核2.6以上,因为linux2.6以上内核才支持epool。Ngnix需要用到epoll解决高并发压力问题。
uname -a # 确定内核版本
停用selinux
# 方法1:工具安装nginx
https://nginx.org/en/linux_packages.html
# 方法2:centos源码安装nginx
# centos
yum install -y gcc pcre-devel zlib zlib-devel openssl openssl-devel
# ubuntu
# https://www.cnblogs.com/schips/p/12309201.html
sudo apt-get install gcc build-essential libtool libpcre3 libpcre3-dev zlib1g-dev openssl libssl-dev libxslt1-dev libxml2-dev libgd2-xpm-dev libgeoip-dev libgoogle-perftools-dev libperl-dev libpcrecpp0v5 -y
- gcc
c语言编译器- pcre http://www.pcre.org/
PCRE库(perl Compatible Regular Expression 兼容正则表达式库)。
nginx在Rewrite模块和http核心模块都会使用- zlib
zlib库提供了压缩算法,在nginx的各个模块中需要使用gzip压缩- OpenSSL
SSL:Secure Sockets Layer 安全套接协议
# 包管理
mkdir -p nginx/core
cd nginx/core
# 下源码
wget http://nginx.org/download/nginx-1.12.2.tar.gz
# 解压缩
tar -xzf nginx-1.12.2.tar.gz
cd nginx-1.12.2/
# 配置1
./configure
# Configuration summary
# + using system PCRE library
# + OpenSSL library is not used
# + using system zlib library
#
# nginx path prefix: "/usr/local/nginx"
# nginx binary file: "/usr/local/nginx/sbin/nginx"
# nginx modules path: "/usr/local/nginx/modules"
# nginx configuration prefix: "/usr/local/nginx/conf"
# nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
# nginx pid file: "/usr/local/nginx/logs/nginx.pid"
# nginx error log file: "/usr/local/nginx/logs/error.log"
# nginx http access log file: "/usr/local/nginx/logs/access.log"
# nginx http client request body temporary files: "client_body_temp"
# nginx http proxy temporary files: "proxy_temp"
# nginx http fastcgi temporary files: "fastcgi_temp"
# nginx http uwsgi temporary files: "uwsgi_temp"
# nginx http scgi temporary files: "scgi_temp"
# 配置2
./configure --prefix=/usr/local/nginx
# Configuration summary
# + using system PCRE library
# + OpenSSL library is not used
# + using system zlib library
#
# nginx path prefix: "/usr/local/nginx"
# nginx binary file: "/usr/local/nginx/sbin/nginx"
# nginx modules path: "/usr/local/nginx/modules"
# nginx configuration prefix: "/usr/local/nginx/conf"
# nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
# nginx pid file: "/usr/local/nginx/logs/nginx.pid"
# nginx error log file: "/usr/local/nginx/logs/error.log"
# nginx http access log file: "/usr/local/nginx/logs/access.log"
# nginx http client request body temporary files: "client_body_temp"
# nginx http proxy temporary files: "proxy_temp"
# nginx http fastcgi temporary files: "fastcgi_temp"
# nginx http uwsgi temporary files: "uwsgi_temp"
# nginx http scgi temporary files: "scgi_temp"
#
# 配置3:对于centos似乎要下面这样指定了,安装后才会有配置
./configure --prefix=/usr/local/nginx \
--sbin-path=/usr/local/nginx/sbin/nginx \
--modules-path=/usr/local/nginx/modules \
--conf-path=/usr/local/nginx/conf/nginx.conf \
--error-log-path=/usr/local/nginx/logs/error.log \
--http-log-path=/usr/local/nginx/logs/access.log \
--pid-path=/usr/local/nginx/logs/nginx.pid \
--lock-path=/usr/local/nginx/logs/nginx.lock
#Configuration summary
# + using system PCRE library
# + OpenSSL library is not used
# + using system zlib library
#
# nginx path prefix: "/usr/local/nginx"
# nginx binary file: "/usr/local/nginx/sbin/nginx"
# nginx modules path: "/usr/local/nginx/modules"
# nginx configuration prefix: "/usr/local/nginx/conf"
# nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
# nginx pid file: "/usr/local/nginx/logs/nginx.pid"
# nginx error log file: "/usr/local/nginx/logs/error.log"
# nginx http access log file: "/usr/local/nginx/logs/access.log"
# nginx http client request body temporary files: "client_body_temp"
# nginx http proxy temporary files: "proxy_temp"
# nginx http fastcgi temporary files: "fastcgi_temp"
# nginx http uwsgi temporary files: "uwsgi_temp"
# nginx http scgi temporary files: "scgi_temp"
#
# 编译
make
# 安装
make install
# make -f objs/Makefile install
# make[1]: Entering directory '/home/lawsssscat/Downloads/nginx/core/nginx-1.12.2'
# test -d '/usr/local/nginx' || mkdir -p '/usr/local/nginx'
# test -d '/usr/local/nginx/sbin' \
# || mkdir -p '/usr/local/nginx/sbin'
# test ! -f '/usr/local/nginx/sbin/nginx' \
# || mv '/usr/local/nginx/sbin/nginx' \
# '/usr/local/nginx/sbin/nginx.old'
# cp objs/nginx '/usr/local/nginx/sbin/nginx'
# test -d '/usr/local/nginx/conf' \
# || mkdir -p '/usr/local/nginx/conf'
# cp conf/koi-win '/usr/local/nginx/conf'
# cp conf/koi-utf '/usr/local/nginx/conf'
# cp conf/win-utf '/usr/local/nginx/conf'
# test -f '/usr/local/nginx/conf/mime.types' \
# || cp conf/mime.types '/usr/local/nginx/conf'
# cp conf/mime.types '/usr/local/nginx/conf/mime.types.default'
# test -f '/usr/local/nginx/conf/fastcgi_params' \
# || cp conf/fastcgi_params '/usr/local/nginx/conf'
# cp conf/fastcgi_params \
# '/usr/local/nginx/conf/fastcgi_params.default'
# test -f '/usr/local/nginx/conf/fastcgi.conf' \
# || cp conf/fastcgi.conf '/usr/local/nginx/conf'
# cp conf/fastcgi.conf '/usr/local/nginx/conf/fastcgi.conf.default'
# test -f '/usr/local/nginx/conf/uwsgi_params' \
# || cp conf/uwsgi_params '/usr/local/nginx/conf'
# cp conf/uwsgi_params \
# '/usr/local/nginx/conf/uwsgi_params.default'
# test -f '/usr/local/nginx/conf/scgi_params' \
# || cp conf/scgi_params '/usr/local/nginx/conf'
# cp conf/scgi_params \
# '/usr/local/nginx/conf/scgi_params.default'
# test -f '/usr/local/nginx/conf/nginx.conf' \
# || cp conf/nginx.conf '/usr/local/nginx/conf/nginx.conf'
# cp conf/nginx.conf '/usr/local/nginx/conf/nginx.conf.default'
# test -d '/usr/local/nginx/logs' \
# || mkdir -p '/usr/local/nginx/logs'
# test -d '/usr/local/nginx/logs' \
# || mkdir -p '/usr/local/nginx/logs'
# test -d '/usr/local/nginx/html' \
# || cp -R html '/usr/local/nginx'
# test -d '/usr/local/nginx/logs' \
# || mkdir -p '/usr/local/nginx/logs'
# make[1]: Leaving directory '/home/lawsssscat/Downloads/nginx/core/nginx-1.12.2'
坑: 编译错误 cd.current_salt[0] = ~salt[0]
解决方法:https://blog.csdn.net/wuekun/article/details/106842216
- 删除 objs/Makefile 里
CFLAGS = -pipe -O -W -Wall -Wpointer-arith -Wno-unused -Werror -g
后面的后面的 -Werror -g
- vi src/os/unix/ngx_user.c
编译包里有什么?
- auto
编译相关脚本文件- CHANGES
变更记录- conf
配置文件
绝大多数功能在 conf/nginx.con 配置- configure
c语言检测环境、生成makefile- contrb
介绍 contribute- html
相关html页面- LICENSE
许可证- man
nginx帮助文档- objs、Makefile
./configure生成的内容- README
- src
源代码
问题: 工具安装和源码安装的差异
工具安装和源码安装的差异:主要差异在于缺少了配置记录
- 源码编译安装(centos)
源码编译安装(ubuntu)
- 工具安装(centos)
工具安装(ubuntu)
# 方法2:ubuntu源码安装nginx ⭐️
《Ubuntu下编译安装Nginx及相关设置》 - https://www.linuxidc.com/Linux/2017-09/147157.htm
- 安装依赖项
sudo apt-get update sudo apt-get install build-essential zlib1g-dev libpcre3 libpcre3-dev libssl-dev libxslt1-dev libxml2-dev libgd2-xpm-dev libgeoip-dev libgoogle-perftools-dev libperl-dev libtool sudo apt-get install openssl
- 下载新版本,到官网复制下载链接
wget http://nginx.org/download/nginx-1.13.5.tar.gz
- 解压
tar -zxvf nginx-1.13.5.tar.gz
- 编译安装
# 进入解压目录: cd nginx-1.13.5 # 配置:这里额外安装几个模块 ./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-stream --with-mail=dynamic # 编辑nginx: sudo make # 安装nginx: sudo make install # 启动nginx: sudo /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf #注意:-c 指定配置文件的路径,不加的话,nginx会自动加载默认路径的配置文件,可以通过 -h查看帮助命令。 # 查看nginx进程: ps -ef|grep nginx
💡 提示
编译选项说明:
–prefix=path 如果在编译的不指定安装位置,那么默认的位置/usr/local/nginx目录
–sbin-path=path 设置nginx执行脚本的位置,这里如果设置在path变量里面,就可以在bash环境下,任意使用nginx命令,默认位置prefix/sbin/nginx 注意这里的prefix是在配置文件里面配置的路径
–conf-path=path 配置nginx配置文件的路径,如果不指定这个选项,那么配置文件的默认路径就会是 prefix/conf/nginx.conf
–pid-path =path 配置nginx.pid file的路径,一般来说,进程在运行的时候的时候有一个进程id,这个id会保存在pid file里面,默认的pid file的放置位置是prefix/logs/nginx.pid
–error-log-path=path 设置错误日志的存放路径,如果不指定,就默认 prefix/logs/error.log
–http-log-path= path 设置http访问日志的路径,如果不指定,就默认 prefix/logs/access.log
–user=name 设置默认启动进程的用户,如果不指定,就默认 nobody
–group=name 设置这个用户所在的用户组,如果不指定,依然是nobody
–with-http_ssl_module 开启HTTP SSL模块,使NGINX可以支持HTTPS请求。需要安装了OPENSSL
–with-http_flv_module
–with-http_stub_status_module 启用 “server status” 页
–without-http_gzip_module 禁用 ngx_http_gzip_module. 如果启用,需要 zlib
–without-http_ssi_module 禁用 ngx_http_ssi_module
–without-http_referer_module 禁用 ngx_http_referer_module
–without-http_rewrite_module 禁用 ngx_http_rewrite_module. 如果启用需要 PCRE 。
–without-http_proxy_module 禁用 ngx_http_proxy_module
–without-http_fastcgi_module 禁用 ngx_http_fastcgi_module
–without-http_memcached_module 禁用 ngx_http_memcached_module
–without-http_browser_module 禁用 ngx_http_browser_module
–http-proxy-temp-path=PATH 设置路径到the http proxy temporary files
–http-fastcgi-temp-path=PATH 设置路径到Set path to the http fastcgi temporary files
–without-http 禁用 HTTP server
–with-mail 启用 IMAP4/POP3/SMTP 代理模块
–with-mail_ssl_module 启用ngx_mail_ssl_module
–with-openssl=DIR 设置路径到OpenSSL library sources
–with-stream 用来实现四层协议的转发、代理或者负载均衡等
# 移除nginx安装
在使用上述命令之前,需要将之前服务器已经安装的nginx进行卸载,卸载的步骤分为三步骤:
步骤一:需要将nginx的进程关闭
./nginx -s stop
步骤二:将安装的nginx进行删除
rm -rf /usr/local/nginx
步骤三:将安装包之前编译的环境清除掉
make clean
# 配置文件 configure 解释
configure 配置大体分为三大类
- PATH:是和路径相关的配置信息
- with:是启动模块,默认是关闭的
- without:是关闭模块,默认是开启的
我们先来认识一些简单的路径配置已经通过这些配置来完成一个简单的编译:
–prefix=PATH
指向Nginx的安装目录,默认值为/usr/local/nginx
–sbin-path=PATH
指向(执行)程序文件(nginx)的路径,默认值为<prefix>/sbin/nginx
–modules-path=PATH
指向Nginx动态模块安装目录,默认值为<prefix>/modules
–conf-path=PATH(nginx核心配置文件)
指向配置文件(nginx.conf)的路径,默认值为<prefix>/conf/nginx.conf
–error-log-path=PATH
指向错误日志文件的路径,默认值为<prefix>/logs/error.log
–http-log-path=PATH
指向访问日志文件的路径,默认值为<prefix>/logs/access.log
–pid-path=PATH
指向Nginx启动后进行ID的文件路径,默认值为<prefix>/logs/nginx.pid
–lock-path=PATH
指向Nginx锁文件的存放路径,默认值为<prefix>/logs/nginx.lock
# 配置成系统服务 systemctl enable ⭐️
编译安装需要自己进行设置方可自动启动
# 设置nginx自启动,在/lib/systemd/system/ 目录下创建一个服务文件
vim /lib/systemd/system/nginx.service
内容1:
[Unit]
Description=nginx - high performance web server
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop
[Install]
WantedBy=multi-user.target
内容2:
[Unit]
Description=nginx web service
Documentation=http://nginx.org/en/docs/
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStartPre=/usr/local/nginx/sbin/nginx -t -c /usr/local/nginx/conf/nginx.conf
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop
PrivateTmp=true
[Install]
WantedBy=default.target
文件说明
[Unit]部分
Description:描述服务
After:依赖,当依赖的服务启动之后再启动自定义的服务
[Service]部分
Type=forking是后台运行的形式
ExecStart为服务的具体运行命令(需要根据路径适配)
ExecReload为重启命令(需要根据路径适配)
ExecStop为停止命令(需要根据路径适配)
PrivateTmp=True表示给服务分配独立的临时空间
注意:启动、重启、停止命令全部要求使用绝对路径
[Install]部分
服务安装的相关设置,可设置为多用户
# 设置了自启动后,任意目录下执行
systemctl enable nginx.service
# 启动nginx服务
systemctl start nginx.service
# 设置开机自动启动
systemctl enable nginx.service
# 停止开机自动启动
systemctl disable nginx.service
# 查看状态
systemctl status nginx.service
# 重启服务
systemctl restart nginx.service
# 查看所有服务
systemctl list-units --type=service
# 配置 软链接 ln or PATH ⭐️
修改/etc/profile
文件
vim /etc/profile
在最后一行添加
export PATH=$PATH:/usr/local/nginx/sbin
使之立即生效
source /etc/profile
或者 建立软链接(由于/usr/local/bin包含于$PATH
当中,这样就不需要额外的设置环境变量了,这意味着可以在其他路径下直接运行nginx命令)
ln -s /usr/local/nginx/sbin/nginx /usr/local/bin
线程模型
当将Nginx启动后,我们通过ps -ef | grep nginx
命令可以查看到如下内容:
从上图中可以看到,Nginx后台进程中包含一个master进程和多个worker进程。
-
master进程
主要用来管理worker进程,包含接收外界的信息,并将接收到的信号发送给各个worker进程,监控worker进程的状态,当worker进程出现异常退出后,会自动重新启动新的worker进程。 -
worker进程
专门用来处理用户请求的,各个worker进程之间是平等的并且相互独立,处理请求的机会也是一样的。
nginx的进程模型,我们可以通过下图来说明下:
启停
#启动 Nginx
/usr/local/nginx/sbin/nginx
./sbin/nginx
#停止 Nginx
./sbin/nginx -s stop
./sbin/nginx -s quit
# -s都是采用向 Nginx 发送信号的方式。
#Nginx重新加载配置
./sbin/nginx -s reload
#指定配置文件
# -c表示configuration,指定配置文件
./sbin/nginx -c /usr/local/nginx/conf/nginx.conf
#查看 Nginx 版本
./sbin/nginx -v
./sbin/nginx -V
#帮助
./sbin/nginx -h
./sbin/nginx -?
./sbin/nginx -t # 测试配置语法是否有问题
./sbin/nginx -T
# 进程管理/信号SIGNAL
在了解线程模型的前提下
我们现在作为管理员,只需要通过给master进程发送信号就可以来控制Nginx,这个时候我们需要有两个前提条件,一个是要操作的master进程,一个是信号。
-
要想操作Nginx的master进程,就需要获取到master进程的进程号ID。获取方式简单介绍两个,
方式一:通过
ps -ef | grep nginx
;方式二:在讲解nginx的
./configure
的配置参数的时候,有一个参数是--pid-path=PATH
默认是/usr/local/nginx/logs/nginx.pid
,所以可以通过查看该文件来获取nginx的master进程ID. -
信号
调用命令为kill -signal PID
signal:即为信号;PID即为获取到的master线程ID
信号 作用 TERM/INT 立即关闭整个服务 QUIT "优雅"地关闭整个服务(关闭worker和master) HUP 重读配置文件并使用服务对新配置项生效 USR1 重新打开日志文件,可以用来进行日志切割,e.g. kill -USR1 `more /usr/local/nginx/logs/nginx.pid` USR2 不用重启nginx,升级到最新版的nginx WINCH 所有子进程不在接收处理新连接,相当于给work进程发送QUIT指令(自关闭worker、不关闭master) USR2后创建的进程
升级(不停机/不停nginx服务)
视频:https://www.bilibili.com/video/BV1ov41187bq?p=21
需求:不停nginx升级
升级nginx重要性的:下面实验中,经常需要添加module,因此经常需要升级nginx
为了应对上述的需求,这里我们给大家提供两种解决方案:
方案一:使用Nginx服务信号完成Nginx的升级
方案二:使用Nginx安装目录的make命令完成升级
# 环境准备
-
先准备两个版本的Nginx分别是 1.14.2和1.16.1
-
使用Nginx源码安装的方式将1.14.2版本安装成功并正确访问
进入安装目录 ./configure make && make install
-
将Nginx1.16.1进行参数配置和编译,不需要进行安装。
进入安装目录 ./configure make
# 方案一: 使用Nginx服务信号进行升级
-
将1.14.2版本的sbin目录下的nginx进行备份
cd /usr/local/nginx/sbin mv nginx nginxold
-
将Nginx1.16.1安装目录编译后的objs目录下的nginx文件,拷贝到原来
/usr/local/nginx/sbin
目录下cd ~/nginx/core/nginx-1.16.1/objs cp nginx /usr/local/nginx/sbin
-
发送信号USR2给Nginx的1.14.2版本对应的master进程
-
发送信号QUIT给Nginx的1.14.2版本对应的master进程
kill -QUIT `more /usr/local/logs/nginx.pid.oldbin`
# 方案二: 使用Nginx安装目录的make命令完成升级
-
将1.14.2版本的sbin目录下的nginx进行备份
cd /usr/local/nginx/sbin mv nginx nginxold
-
将Nginx1.16.1安装目录编译后的objs目录下的nginx文件,拷贝到原来
/usr/local/nginx/sbin
目录下cd ~/nginx/core/nginx-1.16.1/objs cp nginx /usr/local/nginx/sbin
-
进入到安装目录,执行
make upgrade
-
查看是否更新成功
./nginx -v
在整个过程中,其实Nginx是一直对外提供服务的。并且当Nginx的服务器启动成功后,我们是可以通过浏览器进行直接访问的,同时我们可以通过更改html目录下的页面来修改我们在页面上所看到的内容,那么问题来了,为什么我们要修改html目录下的文件,能不能多添加一些页面是Nginx的功能更加丰富,还有前面聊到Nginx的前端功能又是如何来实现的,这就需要我们对Nginx的核心配置文件进行一个详细的学习。
目录结构
lawsssscat@lawsssscat-virtual-machine:/usr/local/nginx$ tree
.
├── client_body_temp [error opening dir]
├── conf
│ ├── fastcgi.conf
│ ├── fastcgi.conf.default
│ ├── fastcgi_params
│ ├── fastcgi_params.default
│ ├── scgi_params
│ ├── scgi_params.default
CGI(Common Gateway Interface)通用网关【接口】,主要解决的问题是从客户端发送一个请求和数据,服务端获取到请求和数据后可以调用调用CGI【程序】处理及相应结果给客户端的一种标准规范。
fastcgi、scgi 是不同的cgi实现协议
│ ├── uwsgi_params
│ ├── uwsgi_params.default
│ ├── koi-utf
│ ├── koi-win
│ ├── win-utf
koi-utf、koi-win、win-utf这三个文件都是与编码转换映射相关的配置文件,用来将一种编码转换成另一种编码
│ ├── mime.types
│ ├── mime.types.default
mime.types:记录的是HTTP协议中的Content-Type的值和文件后缀名的对应关系
mime.types.default:mime.types的备份文件
│ ├── nginx.conf
│ └── nginx.conf.default
nginx.conf:这个是Nginx的核心配置文件,这个文件非常重要,也是我们即将要学习的重点
nginx.conf.default:nginx.conf的备份文件
├── fastcgi_temp [error opening dir]
├── html
│ ├── 50x.html
│ └── index.html
静态页面
├── logs
│ ├── access.log 访问日志
│ ├── error.log 错误日志
│ └── nginx.pid nginx进程的PID
logs:记录入门的文件,当nginx服务器启动后,这里面会有 access.log error.log 和nginx.pid三个文件出现
├── proxy_temp [error opening dir]
├── sbin
│ └── nginx
├── scgi_temp [error opening dir]
└── uwsgi_temp [error opening dir]
配置:nginx.conf ⭐️
默认位置:/usr/local/nginx/conf/nginx.conf
nginx.conf配置文件中默认有三大块:
- 全局块
- events块
- http块
http块中可以配置多个server块,每个server块又可以配置多个location块。
worker_processes 1;
#events块,主要设置,Nginx服务器与用户的网络连接,这一部分对Nginx服务器的性能影响较大
events {
worker_connections 1024;
}
#http块,是Nginx服务器配置中的重要部分,代理、缓存、日志记录、第三方模块配置...
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
#server块,是Nginx配置和虚拟主机相关的内容
server {
listen 80;
server_name localhost;
#location块,基于Nginx服务器接收请求字符串与location后面的值进行匹配,对特定请求进行处理
location / {
root html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
}
# 全局块: 用户 user
-
user:用于配置运行Nginx服务器的worker进程的用户和用户组。
语法 user user [group] 默认值 nobody 位置 全局块 该属性也可以在编译的时候指定,语法如下
./configure --user=user --group=group
,如果两个地方都进行了设置,最终生效的是配置文件中的配置。设置一个用户信息"www" root@lawsssscat-virtual-machine:/usr/local/nginx# vim conf/nginx.conf user www; :wq 测试配置是否正确 root@lawsssscat-virtual-machine:/usr/local/nginx# ./sbin/nginx -t nginx: [emerg] getpwnam("www") failed in /usr/local/nginx/conf/nginx.conf:3 nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed 如果没有www,创建www root@lawsssscat-virtual-machine:/usr/local/nginx# useradd www root@lawsssscat-virtual-machine:/usr/local/nginx# ./sbin/nginx -t nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful 重启nginx,发现worker是由www启动的 root@lawsssscat-virtual-machine:/usr/local/nginx# ./sbin/nginx -s reload root@lawsssscat-virtual-machine:/usr/local/nginx# ps -ef | grep nginx root 8215 1856 0 08:25 ? 00:00:00 nginx: master process ./nginx www 8421 8215 0 10:01 ? 00:00:00 nginx: worker process root 8423 8366 0 10:01 pts/0 00:00:00 grep --color=auto nginx root@lawsssscat-virtual-machine:/usr/local/nginx# 测试权限管理 更改index.html权限 root@lawsssscat-virtual-machine:/usr/local/nginx# ll html/ total 8 drwxr-xr-x 2 root root 40 3月 17 00:32 ./ drwxr-xr-x 11 root root 151 3月 17 00:33 ../ -rw-r--r-- 1 root root 537 3月 17 00:32 50x.html -rw-r--r-- 1 root root 612 3月 17 00:32 index.html root@lawsssscat-virtual-machine:/usr/local/nginx# chmod 640 html/index.html root@lawsssscat-virtual-machine:/usr/local/nginx# ll html/ total 8 drwxr-xr-x 2 root root 40 3月 17 00:32 ./ drwxr-xr-x 11 root root 151 3月 17 00:33 ../ -rw-r--r-- 1 root root 537 3月 17 00:32 50x.html -rw-r----- 1 root root 612 3月 17 00:32 index.html 再次访问nginx的index页面显示 403 Forbidden nginx/1.12.2 说明权限管理成功
综上所述,使用user指令可以指定启动运行工作进程的用户及用户组,这样对于系统的权限访问控制的更加精细,也更加安全。
# 全局块: 线程数 master_process、worker_processes
-
master_process:用来指定是否开启工作进程。
语法 master_process on|off; 默认值 master_process on; 位置 全局块 -
worker_processes:用于配置Nginx生成工作进程的数量,这个是Nginx服务器实现并发处理服务的关键所在。
理论上来说workder process的值越大,可以支持的并发处理量也越多,但事实上这个值的设定是需要受到来自服务器自身的限制,建议将该值和服务器CPU的内核数保存一致。
语法 worker_processes num/auto; 默认值 1 位置 全局块 如果将worker_processes设置成2,则会看到如下内容:
# 全局块: daemon
-
daemon:设定Nginx是否以守护进程的方式启动。
守护式进程是linux后台执行的一种服务进程,特点是独立于控制终端,不会随着终端关闭而停止。
语法 daemon on|off; 默认值 daemon on; 位置 全局块
# 全局块: pid
-
pid:用来配置Nginx当前master进程的进程号ID存储的文件路径。
语法 pid file; 默认值 默认为:/usr/local/nginx/logs/nginx.pid 位置 全局块 该属性可以通过
./configure --pid-path=PATH
来指定
# 全局块: 错误日志 error_log
-
error_log:用来配置Nginx的错误日志存放路径
语法 error_log file [日志级别]; 默认值 error_log ${prefix}/logs/error.log error; 位置 http、server、location 该属性可以通过
./configure --error-log-path=PATH
来指定其中日志级别的值有:debug|info|notice|warn|error|crit|alert|emerg
调试|信息|通知|警告|错误|临界|警报|紧急这块建议大家设置的时候不要设置成info以下的等级,因为会带来大量的磁盘I/O消耗,影响Nginx的性能。
坑: 关闭日志
需要注意的是,不要认为设置为error_log off 就能够关闭日志记录功能,相反这样会将日志文件写人到一个文件名为off的文件中。如果想关闭错误日志记录功能,就可以使用以下配置:
error_log /dev/null crit;
# 全局块: 引入配置 include
-
include:用来引入其他配置文件,使Nginx的配置更加灵活
语法 include file; 默认值 无 位置 any
# events块: 事件配置
events指令配置实例
打开Nginx的配置文件 nginx.conf,添加如下配置
events{
accept_mutex on;
multi_accept on;
worker_commections 1024;
use epoll;
}
启动测试
./nginx -t
./nginx -s reload
# events块: 接收锁 accept_mutex
-
accept_mutex:用来设置Nginx网络连接序列化
语法 accept_mutex on|off; 默认值 accept_mutex on; 位置 events 这个配置主要可以用来解决常说的"惊群"问题。
大致意思是在某一个时刻,客户端发来一个请求连接,Nginx后台是以多进程的工作模式,也就是说有多个worker进程会被同时唤醒,但是最终只会有一个进程可以获取到连接,如果每次唤醒的进程数目太多,就会影响Nginx的整体性能。
如果将上述值设置为on(开启状态),将会对多个Nginx进程接收连接进行序列号,一个个来唤醒接收,就防止了多个进程对连接的争抢。
# events块: 接收多个 multi_accept
-
multi_accept: 定义是否让一个工作线程(worker)处理尽量多的任务
语法 multi_accept on|off; 默认值 multi_accept off; 位置 events 如果multi_accept被禁止了,nginx一个worker工作进程只能同时接受一个新的连接。否则,一个工作进程可以同时接受所有的新连接
# events块: worker_connections
-
worker_connections:用来配置单个worker进程最大的连接数
语法 worker_connections number; 默认值 worker_commections 512; 位置 events 这里的连接数不仅仅包括和前端用户建立的连接数,而是包括所有可能的连接数。
另外,number值不能大于操作系统支持打开的最大文件句柄数量。
# events块: 事件驱动方式 use
-
use:用来设置Nginx服务器选择哪种事件驱动来处理网络消息。
语法 use method; 默认值 根据操作系统定 位置 events 注意:
此处所选择事件处理模型是Nginx优化部分的一个重要内容,method的可选值有select/poll/epoll/kqueue等,之前在准备centos环境的时候,我们强调过要使用linux内核在2.6以上,就是为了能使用epoll函数来优化Nginx。
另外这些值的选择,我们也可以在编译的时候使用
--with-select_module
、--without-select_module
、
--with-poll_module
、--without-poll_module
来设置是否需要将对应的事件驱动模块编译到Nginx的内核。
# http块: 默认响应类型 default_type、mime.type
我们都知道浏览器中可以显示的内容有HTML、XML、GIF等种类繁多的文件、媒体等资源,浏览器为了区分这些资源,就需要使用MIME Type。所以说MIME Type是网络资源的媒体类型。Nginx作为web服务器,也需要能够识别前端请求的资源类型。
在Nginx的配置文件中,默认有两行配置
include mime.types;
default_type application/octet-stream;
-
在default_type之前还有一句
include mime.types
,include之前我们已经介绍过,相当于把mime.types文件中MIMT类型与相关类型文件的文件后缀名的对应关系加入到当前的配置文件中。 -
default_type:用来配置Nginx响应前端请求默认的MIME类型。
语法 default_type mime-type; 默认值 default_type text/plain; 位置 http、server、location 举例来说明:
有些时候请求某些接口的时候需要返回指定的文本字符串或者json字符串,如果逻辑非常简单或者干脆是固定的字符串,那么可以使用nginx快速实现,这样就不用编写程序响应请求了,可以减少服务器资源占用并且响应性能非常快。location /get_text { #这里也可以设置成text/plain default_type text/html; return 200 "This is nginx's text"; } location /get_json{ default_type application/json; return 200 '{"name":"TOM","age":18}'; }
# http块: 自定义服务日志:access.log、error.log
Nginx中日志的类型分access.log、error.log。
- access.log:用来记录用户所有的访问请求。
- error.log:记录nginx本身运行时的错误信息,不会记录用户的访问请求。
Nginx服务器支持对服务日志的格式、大小、输出等进行设置,需要使用到两个指令,分别是access_log和log_format指令。
-
access_log:用来设置用户访问日志的相关属性。
语法 access_log path[format[buffer=size]] 默认值 access_log logs/access.log combined; 位置 http
,server
,location
-
log_format:用来指定日志的输出格式。
语法 log_format name [escape=default|json|none] string…; 默认值 log_format combined “…”; 位置 http
# http块: sendfile (静态文件传输优化)
-
sendfile:用来设置Nginx服务器是否使用sendfile()传输文件,该属性可以大大提高Nginx处理静态资源的性能
语法 sendfile on|off; 默认值 sendfile off; 位置 http、server、location
# http块: keepalive_timeout
-
keepalive_timeout:用来设置长连接的超时时间。
语法 keepalive_timeout time; 默认值 keepalive_timeout 75s; 位置 http、server、location 为什么要使用keepalive?
我们都知道HTTP是一种无状态协议,客户端向服务端发送一个TCP请求,服务端响应完毕后断开连接。
如何客户端向服务端发送多个请求,每个请求都需要重新创建一次连接,效率相对来说比较多,使用keepalive模式,可以告诉服务器端在处理完一个请求后保持这个TCP连接的打开状态,若接收到来自这个客户端的其他请求,服务端就会利用这个未被关闭的连接,而不需要重新创建一个新连接,提升效率,但是这个连接也不能一直保持,这样的话,连接如果过多,也会是服务端的性能下降,这个时候就需要我们进行设置其的超时时间。
# http块: keepalive_requests
-
keepalive_requests:用来设置一个keep-alive连接使用的次数。
语法 keepalive_requests number; 默认值 keepalive_requests 100; 位置 http、server、location
# server块和location块 ⭐️
重点内容,配置nginx基本就是配置这两个块:
- 上面讲的是“性能”方面(比较“虚”,需要体会的东西)
- 下面讲的是“服务”方面(实实在在,配置好了就能访问,否则就报错的东西)
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
error_page 500 502 503 504 404 /50x.html;
location = /50x.html {
root html;
}
}
# server块: 监听端口 listen ⭐️
listen:用来配置监听端口。
语法 | listen address[:port] [default_server]…; listen port [default_server]…; |
---|---|
默认值 | listen *:80 | *:8000 |
位置 | server |
listen的设置比较灵活,我们通过几个例子来把常用的设置方式熟悉下: | |
listen的设置比较灵活,我们通过几个例子来把常用的设置方式熟悉下: |
listen 127.0.0.1:8000; // listen localhost:8000 监听指定的IP和端口
listen 127.0.0.1; 监听指定IP的所有端口
listen 8000; 监听指定端口上的连接
listen *:8000; 监听指定端口上的连接
标识符:default_server
default_server属性是标识符,用来将此虚拟主机设置成默认主机。所谓的默认主机指的是如果没有匹配到对应的address:port,则会默认执行的。如果不指定默认使用的是第一个server。
server{
listen 8080;
server_name 127.0.0.1;
location /{
root html;
index index.html;
}
}
server{
listen 8080 default_server;
server_name localhost;
default_type text/plain;
return 444 'This is a error request';
}
# server块:server_name ⭐️⭐️
server_name:用来设置虚拟主机服务名称。
127.0.0.1 、 localhost 、域名[www.baidu.com | www.jd.com]
语法 | server_name name …; name可以提供多个中间用空格分隔 |
---|---|
默认值 | server_name “”; |
位置 | server |
关于server_name的配置方式有三种,分别是:
- 精确匹配
- 通配符匹配
- 正则表达式匹配
💡 提示
nginx 配置的server_name参数 - https://www.cnblogs.com/bulh/articles/16712568.html
配置方式一:精确匹配
如:
server {
listen 80;
server_name www.itcast.cn www.itheima.cn;
...
}
配置方式二:通配符 *
server_name中支持通配符"*
",只能出现在首段或尾段,如:
server {
listen 80;
server_name *.itcast.cn www.itheima.*;
# www.itcast.cn abc.itcast.cn www.itheima.cn www.itheima.com
...
}
坑:通配符不能出现在域名的中间 ❗
下面的配置就会报错
server {
listen 80;
server_name www.*.cn www.itheima.c*
...
}
配置方式三:正则表达式 ~
server_name中可以使用正则表达式,并且使用~
作为正则表达式字符串的开始标记。
常见的正则表达式
代码 | 说明 |
---|---|
^ | 匹配搜索字符串开始位置 |
$ | 匹配搜索字符串结束位置 |
. | 匹配除换行符\n之外的任何单个字符 |
\ | 转义字符,将下一个字符标记为特殊字符 |
[xyz] | 字符集,与任意一个指定字符匹配 |
[a-z] | 字符范围,匹配指定范围内的任何字符 |
\w | 与以下任意字符匹配 A-Z a-z 0-9 和下划线,等效于 [A-Za-z0-9_] |
\d | 数字字符匹配,等效于 [0-9] |
{n} | 正好匹配n次 |
{n,} | 至少匹配n次 |
{n,m} | 匹配至少n次至多m次 |
* | 零次或多次,等效于 {0,} |
+ | 一次或多次,等效于 {1,} |
? | 零次或一次,等效于 {0,1} |
配置如下:
server{
listen 80;
server_name ~^www\.(\w+)\.com$;
default_type text/plain;
return 200 $1 $2 ..;
}
注意 ~后面不能加空格,括号可以取值
注意: 命名的正则表达式捕获组在后面可以作为变量使用
server {
server_name ~^(www\.)?(?<domain>.+)$;
location / {
root /sites/$domain;
}
}
PCRE使用下面语法支持命名捕获组:
表达式 | 解释 |
---|---|
?<name> | 从PCRE-7.0开始支持,兼容Perl 5.10语法 |
?'name' | 从PCRE-7.0开始支持,兼容Perl 5.10语法 |
?P<name> | 从PCRE-4.0开始支持,兼容Python语法 |
💡 提示
如果表达式写错/版本不支持,nginx不能启动,并显示错误信息:
pcre_compile() failed: unrecognized character after (?< in ...
说明PCRE版本太旧,应该尝试使用
?P<name>
。捕获组也可以以数字方式引用:
正则表达式捕获组创建了变量,普通的正则表达式捕获组可以创建 $0、$1、…、$9这10个变量。
💡 提示
$0表示原串,$1-$9表示第一到第九个匹配组的内容。
问题: 匹配执行顺序
由于server_name指令支持通配符和正则表达式,因此在包含多个虚拟主机的配置文件中,可能会出现一个名称被多个虚拟主机的server_name匹配成功,当遇到这种情况,当前的请求交给谁来处理呢?
server{
listen 80;
server_name ~^www\.\w+\.com$;
default_type text/plain;
return 200 'regex_success';
}
server{
listen 80;
server_name www.itheima.*;
default_type text/plain;
return 200 'wildcard_after_success';
}
server{
listen 80;
server_name *.itheima.com;
default_type text/plain;
return 200 'wildcard_before_success';
}
server{
listen 80;
server_name www.itheima.com;
default_type text/plain;
return 200 'exact_success';
}
server{
listen 80 default_server;
server_name _;
default_type text/plain;
return 444 'default_server not found server';
}
结论:
exact_success
wildcard_before_success
wildcard_after_success
regex_success
default_server not found server!!
No1:准确匹配server_name
No2:通配符在开始时匹配server_name成功
No3:通配符在结束时匹配server_name成功
No4:正则表达式匹配server_name成功
No5:被默认的default_server处理,如果没有指定默认找第一个server
# server块: 变量设置 set ⭐️
该指令用来设置一个新的变量。
语法 | set $variable value; |
---|---|
默认值 | — |
位置 | server、location、if |
variable:变量的名称,该变量名称要用"$
"作为变量的第一个字符,且不能与Nginx服务器预设的全局变量同名。
value:变量的值,可以是字符串、其他变量或者变量的组合等。
# location 块 ⭐️
server{
listen 80;
server_name localhost;
location / {
}
location /abc{
}
...
}
location:用来设置请求的URI
语法 | location [ = | ~ | ~* | ^~ |@ ] uri{…} |
---|---|
默认值 | — |
位置 | server,location |
uri变量是待匹配的请求字符串,可以不包含正则表达式,也可以包含正则表达式,那么nginx服务器在搜索匹配location的时候,是先使用不包含正则表达式进行匹配,找到一个匹配度最高的一个,然后在通过包含正则表达式的进行匹配,如果能匹配到直接访问,匹配不到,就使用刚才匹配度最高的那个location来处理请求。
属性介绍:
-
不带符号:要求必须以指定模式开始
server { listen 80; server_name 127.0.0.1; location /abc{ default_type text/plain; return 200 "access success"; } } 以下访问都是正确的 http://192.168.200.133/abc http://192.168.200.133/abc?p1=TOM http://192.168.200.133/abc/ http://192.168.200.133/abcdef
-
=
: 用于不包含正则表达式的uri前,必须与指定的模式精确匹配server { listen 80; server_name 127.0.0.1; location =/abc{ default_type text/plain; return 200 "access success"; } } 可以匹配到 http://192.168.200.133/abc http://192.168.200.133/abc?p1=TOM 匹配不到 http://192.168.200.133/abc/ http://192.168.200.133/abcdef
-
~
: 用于表示当前uri中包含了正则表达式,并且区分大小写
~*
: 用于表示当前uri中包含了正则表达式,并且不区分大小写
换句话说,如果uri包含了正则表达式,需要用上述两个符合来标识server { listen 80; server_name 127.0.0.1; location ~^/abc\w${ default_type text/plain; return 200 "access success"; } } server { listen 80; server_name 127.0.0.1; location ~*^/abc\w${ default_type text/plain; return 200 "access success"; } }
-
^~
: 用于不包含正则表达式的uri前,功能和不加符号的一致,唯一不同的是,如果模式匹配,那么就停止搜索其他模式了。server { listen 80; server_name 127.0.0.1; location ^~/abc{ default_type text/plain; return 200 "access success"; } }
# loaction块: 资源目录 root(拼接)、alias(替换)
root:设置请求的根目录
语法 | root path; |
---|---|
默认值 | root html; |
位置 | http、server、location |
path为Nginx服务器接收到请求以后查找资源的根目录路径。
alias:用来更改location的URI
语法 | alias path; |
---|---|
默认值 | — |
位置 | location |
path为修改后的根路径。
以上两个指令都可以来指定访问资源的路径,那么这两者之间的区别是什么?
举例说明:
-
在
/usr/local/nginx/html
目录下创建一个 images目录,并在目录下放入一张图片mv.png
图片location /images { root /usr/local/nginx/html; }
访问图片的路径为:
http://192.168.200.133/images/mv.png
-
如果把root改为alias
location /images { alias /usr/local/nginx/html; }
再次访问上述地址,页面会出现404的错误,查看错误日志会发现是因为地址不对,所以验证了:
root的处理结果是: root路径+location路径 /usr/local/nginx/html/images/mv.png alias的处理结果是:使用alias路径替换location路径 /usr/local/nginx/html/images
需要在alias后面路径改为
location /images { alias /usr/local/nginx/html/images; }
-
如果location路径是以/结尾,则alias也必须是以/结尾,root没有要求
将上述配置修改为
location /images/ { alias /usr/local/nginx/html/images; }
访问就会出问题,查看错误日志还是路径不对,所以需要把alias后面加上 /
小结:
root的处理结果是: root路径+location路径
alias的处理结果是:使用alias路径替换location路径
alias是一个目录别名的定义,root则是最上层目录的含义。
如果location路径是以/结尾,则alias也必须是以/结尾,root没有要求
# location块: 首页 index
index:设置网站的默认首页
语法 | index file …; |
---|---|
默认值 | index index.html; |
位置 | http、server、location |
index后面可以跟多个设置,如果访问的时候没有指定具体访问的资源,则会依次进行查找,找到第一个为止。
举例说明:
location / {
root /usr/local/nginx/html;
index index.html index.htm;
}
访问该location的时候,可以通过 http://ip:port/,地址后面如果不添加任何内容,则默认依次访问index.html和index.htm,找到第一个来进行返回
# location块: 错误页 error_page
error_page:设置网站的错误页面
语法 | error_page code … [=[response]] uri; |
---|---|
默认值 | — |
位置 | http、server、location… |
当出现对应的响应code后,如何来处理。
举例说明:
-
可以指定具体跳转的地址
server { error_page 404 http://www.itcast.cn; }
-
可以指定重定向地址
server{ error_page 404 /50x.html; error_page 500 502 503 504 /50x.html; location =/50x.html{ root html; } }
-
使用location的@符合完成错误信息展示
server{ error_page 404 @jump_to_error; location @jump_to_error { default_type text/plain; return 404 'Not Found Page...'; } }
可选项=[response]
的作用是用来将相应代码更改为另外一个
server{
error_page 404 =200 /50x.html;
location =/50x.html{
root html;
}
}
这样的话,当返回404找不到对应的资源的时候,在浏览器上可以看到,最终返回的状态码是200,这块需要注意下,编写error_page后面的内容,404后面需要加空格,200前面不能加空格
# location块: 逻辑判断 ⭐️
if (condition) {…}
该指令用来支持条件判断,并根据条件判断结果选择不同的Nginx配置。
语法 | if (condition){…} |
---|---|
默认值 | — |
位置 | server、location |
condition为判定条件,可以支持以下写法:
-
变量名。如果变量名对应的值为空或者是0,if都判断为false,其他条件为true。
if ($param){ }
-
使用"=“和”!="比较变量和字符串是否相等,满足条件为true,不满足为false
if ($request_method = POST){ return 405; }
注意:此处和Java不太一样的地方是字符串不需要添加引号。
-
使用正则表达式对变量进行匹配,匹配成功返回true,否则返回false。变量与正则表达式之间使用"
~
“、”~*
“、”,
“、”!~
“、”,
“、”!~\*
"来连接。"
~
"代表匹配正则表达式过程中区分大小写,"
~\*
"代表匹配正则表达式过程中不区分大小写"
!~
“和”!~\*
"刚好和上面取相反值,如果匹配上返回false,匹配不上返回trueif ($http_user_agent ~ MSIE){ #$http_user_agent的值中是否包含MSIE字符串,如果包含返回true }
注意:正则表达式字符串一般不需要加引号,但是如果字符串中包含"}“或者是”;"等字符时,就需要把引号加上。
-
判断请求的文件是否存在使用"
-f
"和"!-f
",当使用"
-f
"时,如果请求的文件存在返回true,不存在返回false。当使用"
!-f
"时,如果请求文件不存在,但该文件所在目录存在返回true,文件和目录都不存在返回false,如果文件存在返回falseif (-f $request_filename){ #判断请求的文件是否存在 } if (!-f $request_filename){ #判断请求的文件是否不存在 }
-
判断请求的目录是否存在使用"
-d
"和"!-d
",当使用"
-d
"时,如果请求的目录存在,if返回true,如果目录不存在则返回false当使用"
!-d
"时,如果请求的目录不存在但该目录的上级目录存在则返回true,该目录和它上级目录都不存在则返回false,如果请求目录存在也返回false. -
判断请求的目录或者文件是否存在使用"
-e
"和"!-e
"当使用"
-e
",如果请求的目录或者文件存在时,if返回true,否则返回false.当使用"
!-e
",如果请求的文件和文件所在路径上的目录都不存在返回true,否则返回false -
判断请求的文件是否可执行使用"
-x
"和"!-x
"当使用"
-x
",如果请求的文件可执行,if返回true,否则返回false当使用"
!-x
",如果请求文件不可执行,返回true,否则返回false
break
该指令用于中断当前相同作用域中的其他Nginx配置。与该指令处于同一作用域的Nginx配置中,位于它前面的指令配置生效,位于后面的指令配置无效。
语法 | break; |
---|---|
默认值 | — |
位置 | server、location、if |
例子:
location /{
if ($param){
set $id $1;
break;
limit_rate 10k;
}
}
常用全局变量 ⭐️⭐️⭐️
变量 | 说明 |
---|---|
$args | 变量中存放了请求URL中的请求指令。比如http://192.168.200.133:8080?arg1=value1&args2=value2中的"arg1=value1&arg2=value2",功能和$query_string 一样 |
$http_user_agent | 变量存储的是用户访问服务的代理信息(如果通过浏览器访问,记录的是浏览器的相关版本信息) |
$host | 变量存储的是访问服务器的server_name值 |
$document_uri | 变量存储的是当前访问地址的URI。比如http://192.168.200.133/server?id=10&name=zhangsan中的"/server",功能和$uri 一样 |
$document_root | 变量存储的是当前请求对应location的root值,如果未设置,默认指向Nginx自带html目录所在位置 |
$content_length | 变量存储的是请求头中的Content-Length的值 |
$content_type | 变量存储的是请求头中的Content-Type的值 |
$http_cookie | 变量存储的是客户端的cookie信息,可以通过add_header Set-Cookie 'cookieName=cookieValue’来添加cookie数据 |
$limit_rate | 变量中存储的是Nginx服务器对网络连接速率的限制,也就是Nginx配置中对limit_rate指令设置的值,默认是0,不限制。 |
$remote_addr | 变量中存储的是客户端的IP地址 |
$remote_port | 变量中存储了客户端与服务端建立连接的端口号 |
$remote_user | 变量中存储了客户端的用户名,需要有认证模块才能获取 |
$scheme | 变量中存储了访问协议 |
$server_addr | 变量中存储了服务端的地址 |
$server_name | 变量中存储了客户端请求到达的服务器的名称 |
$server_port | 变量中存储了客户端请求到达服务器的端口号(一般就是监听命中的端口号) |
$server_protocol | 变量中存储了客户端请求协议的版本,比如"HTTP/1.1" |
$request_body_file | 变量中存储了发给后端服务器的本地文件资源的名称 |
$request_method | 变量中存储了客户端的请求方式,比如"GET","POST"等 |
$request_filename | 变量中存储了当前请求的资源文件的路径名 |
$request_uri | 变量中存储了当前请求的URI,并且携带请求参数,比如http://192.168.200.133/server?id=10&name=zhangsan中的"/server?id=10&name=zhangsan" |
# location块: 返回 return
该指令用于完成对请求的处理,直接向客户端返回响应状态代码。在return后的所有Nginx配置都是无效的。
语法 | return code [text]; return code URL; return URL; |
---|---|
默认值 | — |
位置 | server、location、if |
-
code:为返回给客户端的HTTP状态代理。可以返回的状态代码为0~999的任意HTTP状态代理
-
text:为返回给客户端的响应体内容,支持变量的使用
-
URL:为返回给客户端的URL地址
# location块: 地址重写 rewrite ⭐️⭐️⭐️
地址重写是为了实现地址的标准化
⚠️ 重写可以简单理解为重定向,但是因为指定 flag 参数,因此,重写又不能简单理解为 重定向
💡 提示
比如: 我们可以在地址栏中中输入 www.baidu.cn.
最后都会被重写(重定向)到 www.baidu.com 上。浏览器的地址栏也会显示www.baidu.com。
💡 提示
地址重写 与 地址转发 是两个不同的概念
地址转发:是服务器内部完成的,客户端没有感知(浏览器地址不会变化)
地址重写和地址转发不同点:
重定向 转发 浏览器地址 发生改变(变为重写后的地址) 不变 请求次数 2 1 处理终端 浏览器 服务器
⚠️ 注意
注意:Nginx服务器的Rewrite功能的实现依赖于PCRE的支持,因此在编译安装Nginx服务器之前,需要安装PCRE库。Nginx使用的是
ngx_http_rewrite_module
模块来解析和处理Rewrite功能的相关配置。
语法 | rewrite regex replacement [flag]; |
---|---|
默认值 | — |
位置 | server、location、if |
-
regex:用来匹配URI的正则表达式
-
replacement:匹配成功后,用于替换URI中被截取内容的字符串。如果该字符串是以"
http://
"或者"https://
"开头的,则不会继续向下对URI进行其他处理,而是直接返回重写后的URI给客户端。 -
flag:用来设置rewrite对URI的处理行为,可选值有如下:
- last:本条重写规则匹配完成后,终止匹配后续重写规则,并重新发起请求继续匹配新的location URI规则;浏览器地址栏URL地址不变
(转发到路由表)
(默认值) - break:本条重写规则匹配完成后,终止匹配后续重写规则; 浏览器地址栏URL地址不变
(转发到资源目录) - redirect:返回302临时重定向,浏览器地址会显示重写后的URL地址
(302重定向) - permanent:返回301永久重定向,浏览器地址会显示重写后的URL地址
(301重定向)
临时重定向和永久重定向的区别:
https://zhuanlan.zhihu.com/p/93031392
对于客户端没啥区别
区别在于搜索引擎会记录永久重定向的权重、不记录临时重定向的权重 - last:本条重写规则匹配完成后,终止匹配后续重写规则,并重新发起请求继续匹配新的location URI规则;浏览器地址栏URL地址不变
为了演示四种重写类型的不同,在nginx的配置中添加/last、/break、/redirect、/permanent、/rewrite五个路由地址,完整配置如下:
server {
listen 80;
server_name localhost;
#charset koi8-r;
#access_log /var/log/nginx/host.access.log main;
root /usr/share/www/site1;
location / {
index index.html index.htm;
}
# 请求重定向测试
location /rewrite {
add_header Content-Type 'text/html; charset=utf-8';
return 200 'message in rewrite';
}
# last
location /last {
add_header Content-Type 'text/html; charset=utf-8';
rewrite ^/last /rewrite last;
}
# break
location /break {
add_header Content-Type 'text/html; charset=utf-8';
rewrite ^/break /rewrite break;
# rewrite ^/break http://www.crane.run break;
}
# 临时重定向
location /redirect {
add_header Content-Type 'text/html; charset=utf-8';
rewrite ^ http://www.crane.run redirect;
}
# 永久重定向
location /permanent {
add_header Content-Type 'text/html; charset=utf-8';
rewrite ^ http://www.crane.run permanent;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
- last
访问 http://localhost:8880/last,如上一步中的配置,请求重写到/rewrite路由,如下图:
实际上重写规则匹配成功之后,nginx又根据重写路由发起了一个新的请求,并返回新请求的返回结果当做初始请求的结果 - break
访问 http://localhost:8880/break,如上一步中的配置,请求重写到/rewrite路由,如下图。
💡 提示
实际上重写规则匹配成功之后,不再发起新的请求,也就不存在重新匹配location的过程,所以重写的/rewrite路由对于当前请求来讲是个不存在的资源;假如重写的资源存在,例如替换为可访问的网络地址,则请求是成功的
- redirect
访问 http://localhost:8880/redirect,如上一步中的配置,Nginx返回302临时重定向状态码重定向到指定地址。浏览器地址变成重定向后的新地址。如下图:
- permanent
访问 http://localhost:8880/permanent,如上一步中的配置,Nginx返回301永久重定向状态码重定向到指定地址。浏览器地址变成重定向后的新地址。如下图:
总结: last、break、redirect、permanent区别
- last(终止、并服务端发出请求):本条重写规则匹配完成后,终止匹配后续重写规则,并重新发起请求继续匹配新的location URI规则;浏览器地址栏URL地址不变
- break(终止、并直接访问):本条重写规则匹配完成后,终止匹配后续重写规则; 浏览器地址栏URL地址不变
- redirect(客户端重新发出请求):返回302临时重定向,浏览器地址会显示重写后的URL地址
- permanent(客户端重新发出请求):返回301永久重定向,浏览器地址会显示重写后的URL地址
重写日志 rewrite_log
该指令配置是否开启URL重写日志的输出功能。
语法 | rewrite_log on|off; |
---|---|
默认值 | rewrite_log off; |
位置 | http、server、location、if |
开启后,URL重写的相关日志将以notice级别输出到error_log指令配置的日志文件汇总。
例子: 域名重写
需求:www.360buy.com
重定向到www.jd.com
-
准备两个域名 www.360buy.com | www.jd.com
vim /etc/hosts
192.168.200.133 www.360buy.com 192.168.200.133 www.jd.com
-
在/usr/local/nginx/html/hm目录下创建一个访问页面
<html> <title></title> <body> <h1>欢迎来到我们的网站</h1> </body> </html>
-
通过Nginx实现当访问www.访问到系统的首页
server { listen 80; server_name www.hm.com; location /{ root /usr/local/nginx/html/hm; index index.html; } }
-
通过Rewrite完成将www.360buy.com的请求跳转到www.jd.com
server { listen 80; server_name www.360buy.com; rewrite ^/ http://www.jd.com permanent; }
例子: 重写时,携带请求URI
修改配置信息
server {
listen 80;
server_name www.itheima.com;
rewrite ^(.*) http://www.hm.com$1 permanent;
}
例子: 多域名重写为一个
问题描述:我们除了上述说的www.jd.com 、www.360buy.com其实还有我们也可以通过www.jingdong.com来访问,那么如何通过Rewrite来实现多个域名的跳转?
添加域名
vim /etc/hosts
192.168.200.133 www.jingdong.com
修改配置信息
server{
listen 80;
server_name www.360buy.com www.jingdong.com;
rewrite ^(.*) http://www.jd.com$1 permanent;
}
例子: 一个域名重写为多个
上述案例中,将www.360buy.com 和 www.jingdong.com都能跳转到www.jd.com,那么www.jd.com我们就可以把它起名叫主域名,其他两个就是我们所说的镜像域名,当然如果我们不想把整个网站做镜像,只想为其中某一个子目录下的资源做镜像,我们可以在location块中配置rewrite功能,比如:
server {
listen 80;
server_name rewrite.myweb.com;
location ^~ /source1{
rewrite ^/resource1(.*) http://rewrite.myweb.com/web$1 last; # last=转发
}
location ^~ /source2{
rewrite ^/resource2(.*) http://rewrite.myweb.com/web$1 last;
}
}
例子: 独立域名 ⭐️
一个完整的项目包含多个模块,比如购物网站有商品商品搜索模块、商品详情模块已经购物车模块等,那么我们如何为每一个模块设置独立的域名。
需求:
http://search.hm.com 访问商品搜索模块
http://item.hm.com 访问商品详情模块
http://cart.hm.com 访问商品购物车模块
server{
listen 80;
server_name search.hm.com;
rewrite ^(.*) http://www.hm.com/bbs$1 last;# last=转发
}
server{
listen 81;
server_name item.hm.com;
rewrite ^(.*) http://www.hm.com/item$1 last;
}
server{
listen 82;
server_name cart.hm.com;
rewrite ^(.*) http://www.hm.com/cart$1 last;
}
例子: 对外接口统一加上前缀(rewrite+proxy_pass) ⭐️
公司的接口服务分对外和对内,对外的统一在URL前面加上 /xx-api/
server {
listen 80;
server_name localhost;
location /xxx-api/ {
rewrite ^/xxx-api/(.*)$ /$1 break; # 相当于访问没有前缀的地址
proxy_pass http://xxx-yy-core:9102; # rewrite后,再配对代理域名
proxy_next_upstream off;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Remote-Addr $remote_addr;
proxy_set_header Remote-Port $remote_port;
proxy_pass_header Server;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
}
...
}
💡 提示
proxy_pass 反向代理转发
proxy_pass http://xxx-yy-core:9102;
, 这里没有/,表示相对路径,把匹配的路径部分也给代理走
如
- 外网访问 http://localhost:80/xxx-api/zzzType/add
- 重写后 http://localhost:80/zzzType/add (匹配部分 zzzType/add)
- 代理后 http://xxx-yy-core:9102/zzzType/add,中间的 zzzType不会被去掉
相对路径请求的处理 absolute_redirect 、server_name_in_redirect、port_in_redirect
https://www.jianshu.com/p/3adcb8b931a3
语法 | absolute_redirect on/off; |
---|---|
默认值 | absolute_redirect on; |
上下文 | http, server, location |
解释 | 如果关闭(指定为off),nginx发起的重定向是相对的(响应头Location中的URL)。 这个指令出现在版本 1.11.8. |
语法 | port_in_redirect on/off; |
---|---|
默认值 | port_in_redirect on; |
上下文 | http, server, location |
解释 | absolute_redirect on 的情况下,如果port_in_redirect 为off 时,location时不带端口号;如果该指令打开,那么将会返回当前正在监听的端口。 |
特例:
当端口号是80时,即使指定port_in_redirect on,响应头Location的URL中也不含有端口号,实际上HTTP默认端口就是80,对请求无影响。
语法 | server_name_in_redirect on/off; |
---|---|
默认值 | 0.8.48 版本之前默认都是on ,之后改成了off |
上下文 | http, server, location |
解释 | absolute_redirect on 的情况下,如果server_name_in_redirect 为off 时,nginx将使用“Host”请求头中的名字,如果没有此请求头,nginx将使用虚拟主机所在的IP地址;如果该指令打开,则响应头Location的URL的域名使用server_name指令指定的首要虚拟主机名 |
如果该指令为on
重定向的地址为: http://server_name/目录名/;
如果该指令为off
重定向的地址为: http://原URL中的域名/目录名/;
注意
server_name_in_redirect
指令在Nginx的0.8.48
版本之前默认都是on
,之后改成了off
如果是0.8.48以前的版本并且server_name_in_redirect设置为on
注意
如果rewrite后的URL以“http://”或“https://”开头,则不受这三个指令影响
测试:
本地
↓
127.0.0.1:8080 (代理服务器)
↓
rewrite
server {
listen 8080;
server_name www.mytest.com;
location /default/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
rewrite ^(.*)$ /prefix$1 redirect;
}
location /port_off/ {
absolute_redirect on;
port_in_redirect off;
server_name_in_redirect off;
rewrite ^(.*)$ /prefix$1 redirect;
}
location /server_name_on/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect on;
rewrite ^(.*)$ /prefix$1 redirect;
}
location /absolute_off/ {
absolute_redirect off;
port_in_redirect on;
server_name_in_redirect on;
rewrite ^(.*)$ /prefix$1 redirect;
}
location /default_return/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
return 302 /prefix$uri;
}
location /absolute/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
rewrite ^(.*)$ http://test.test.com$1;
}
}
server {
listen 80;
server_name www.mytest.com;
location /default/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
rewrite ^(.*)$ /prefix$1 redirect;
}
}
注:为避免浏览器或命令行程序发请求时自动携带Host请求头,文中示例用nc发起HTTP请求。
listen 8080;
server_name www.mytest.com
location /default/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
rewrite ^(.*)$ /prefix$1 redirect;
}
# echo -ne "GET /default/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://127.0.0.1:8080/prefix/default/index.html
💡默认配置下,如果请求💡没有Host头,则响应头Location的URL,包含IP和端口号(如果端口是80则不显示,见第10条)
# echo -ne "GET /default/index.html HTTP/1.0\r\nHost: www.myexample.com\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://www.myexample.com:8080/prefix/default/index.html
💡默认配置下,如果请求中💡含有Host头,则响应头Location的URL使用Host的域名
# echo -ne "GET /default/index.html HTTP/1.0\r\nHost: www.myexample.com:9000\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://www.myexample.com:8080/prefix/default/index.html
💡默认配置下,如果请求中含有Host头且Host头中包含端口,但响应头Location的URL⚠️依然使用请求时采用的端口号,而不是Host头中指定的端口号
location /port_off/ {
absolute_redirect on;
port_in_redirect off;
server_name_in_redirect off;
rewrite ^(.*)$ /prefix$1 redirect;
}
# echo -ne "GET /port_off/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://127.0.0.1/prefix/port_off/index.html
💡如果指定port_in_redirect off,则响应头Location的URL中💡没有端口号
location /server_name_on/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect on;
rewrite ^(.*)$ /prefix$1 redirect;
}
# echo -ne "GET /server_name_on/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://www.mytest.com:8080/prefix/server_name_on/index.html
💡如果指定server_name_in_redirect on,则响应头Location的URL的域名使用server_name指令指定的首要虚拟主机名
# echo -ne "GET /server_name_on/index.html HTTP/1.0\r\nHost: www.myexample.com\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://www.mytest.com:8080/prefix/server_name_on/index.html
💡如果指定server_name_in_redirect on,💡即使请求中含有Host,响应头Location的URL的域名依然使用server_name指令指定的首要虚拟主机名
location /absolute_off/ {
absolute_redirect off;
port_in_redirect on;
server_name_in_redirect on;
rewrite ^(.*)$ /prefix$1 redirect;
}
# echo -ne "GET /absolute_off/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: /prefix/absolute_off/index.html
💡如果指定absolute_redirect off,则响应头Location的URL没有域名(IP)和端口号
location /default_return/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
return 302 /prefix$uri;
}
# echo -ne "GET /default_return/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://127.0.0.1:8080/prefix/default_return/index.html
类似第一条,return和rewrite的结果是一样的
location /absolute/ {
absolute_redirect on;
port_in_redirect on;
server_name_in_redirect off;
rewrite ^(.*)$ http://test.test.com$1;
}
# echo -ne "GET /absolute/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 8080 | grep Location
Location: http://test.test.com/absolute/index.html
如果rewrite后的URL以“http://”或“https://”开头,则不受这三个指令影响
# echo -ne "GET /default/index.html HTTP/1.0\r\n\r\n" | nc 127.0.0.1 80 | grep Location
Location: http://127.0.0.1/prefix/default/index.html
即使指定port_in_redirect on,当端口号是80时,响应头Location的URL中也不含有端口号,实际上HTTP默认端口就是80,对请求无影响。
坑: 自动添加"/
"并301重定向
192.168.200.133 (本地)
↓
192.168.200.133 (代理服务器)
↓
问题描述:
通过一个例子来演示下问题:
server {
listen 80;
server_name localhost; # ⚠️ 服务器名;旧版本,默认server_name_in_redirect为off时,使用这个变量
location / {
root html;
index index.html;
}
}
要想访问上述资源,很简单,只需要通过http://192.168.200.133(代理服务器地址)直接就能访问,地址后面不需要加 /,但是如果将上述的配置修改为如下内容:
server {
listen 80;
server_name localhost;
location /hm {
root html;
index index.html;
}
}
这个时候,可以通过 http://192.168.200.133/hm/ 来访问 (⚠️ 路径末尾有 /
)
但是如果地址后面不加斜杠,页面就会出问题。Nginx服务器内部会自动做一个301的重定向
重定向的地址会有一个指令叫server_name_in_redirect on|off;来决定重定向的地址:
如果该指令为on
重定向的地址为: http://server_name/目录名/;
如果该指令为off
重定向的地址为: http://原URL中的域名/目录名/;
所以就拿刚才的地址来说,http://192.168.200.133/hm如果不加斜杠,那么按照上述规则
- 如果指令server_name_in_redirect为on,则301重定向地址变为 ❌http://localhost/hm/
- 如果为off,则301重定向地址变为✔️http://192.168.200.133/ht/
后面这个是正常的,前面地址就有问题。
⚠️注意
注意server_name_in_redirect指令在Nginx的0.8.48版本之前默认都是on,之后改成了off,所以现在我们这个版本不需要考虑这个问题,但是如果是0.8.48以前的版本并且server_name_in_redirect设置为on,我们如何通过rewrite来解决这个问题?
解决方案
我们可以使用rewrite功能为末尾没有斜杠的URL自动添加一个斜杠
server {
listen 80;
server_name localhost;
server_name_in_redirect on; # 模拟0.8.48版本之前
location /hm {
if (-d $request_filename) { # 判断资源是否存在
rewrite ^/(.*)([^/])$ http://$host/$1$2/ permanent;
}
}
}
例子: 合并目录(SEO优化)
💡 提示
搜索引擎优化(SEO)是一种利用搜索引擎的搜索规则来提供目的网站的有关搜索引擎内排名的方式。
我们在创建自己的站点时,可以通过很多中方式来有效的提供搜索引擎优化的程度。其中有一项就包含URL的目录层级一般不要超过三层,否则的话不利于搜索引擎的搜索也给客户端的输入带来了负担,但是将所有的文件放在一个目录下又会导致文件资源管理混乱并且访问文件的速度也会随着文件增多而慢下来,这两个问题是相互矛盾的,那么使用rewrite如何解决上述问题?
举例:
网站中有一个资源文件的访问路径时 /server/11/22/33/44/20.html,也就是说20.html存在于第5级目录下,如果想要访问该资源文件,客户端的URL地址就要写成 http://www.web.name/server/11/22/33/44/20.html
,
server {
listen 80;
server_name www.web.name;
location /server{
root html;
}
}
但是这个是非常不利于SEO搜索引擎优化的,同时客户端也不好记.使用rewrite我们可以进行如下配置:
server {
listen 80;
server_name www.web.name;
location /server{
rewrite ^/server-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)\.html$ /server/$1/$2/$3/$4/$5.html last;
}
}
这样的花,客户端只需要输入http://www.web.name/server-11-22-33-44-20.html就可以访问到20.html页面了。这里也充分利用了rewrite指令支持正则表达式的特性。
例子: 防盗链
静态资源盗链指的是此内容不在自己服务器上,而是通过技术手段,绕过别人的限制将别人的内容放到自己页面上最终展示给用户。以此来盗取大网站的空间和流量。简而言之就是用别人的东西成就自己的网站。
效果演示
京东:https://img14.360buyimg.com/n7/jfs/t1/101062/37/2153/254169/5dcbd410E6d10ba22/4ddbd212be225fcd.jpg
百度:https://pics7.baidu.com/feed/cf1b9d16fdfaaf516f7e2011a7cda1e8f11f7a1a.jpeg?token=551979a23a0995e5e5279b8fa1a48b34&s=BD385394D2E963072FD48543030030BB
我们自己准备一个页面,在页面上引入这两个图片查看效果
从上面的效果,可以看出来,下面的图片地址添加了防止盗链的功能,京东这边我们可以直接使用其图片。
实现一: Referer 头信息 valid_referers (简陋)
我们知道,当浏览器向web服务器发送请求的时候,一般HTTP的头信息都会带上Referer,来告诉浏览器该网页是从哪个页面链接过来的。
后台服务器可以根据获取到的这个Referer信息来判断是否为自己信任的网站地址,如果是则放行继续访问,如果不是则可以返回403(服务端拒绝访问)的状态信息。
在本地模拟上述的服务器效果:
valid_referers
valid_referers:nginx
会通就过查看referer自动和valid_referers
后面的内容进行匹配,如果匹配到了就将$invalid_referer
变量置0,如果没有匹配到,则将\$invalid_referer
变量置为1,匹配的过程中不区分大小写。
语法 | valid_referers none|blocked|server_names|string… |
---|---|
默认值 | — |
位置 | server、location |
none
: 如果Header中的Referer为空,允许访问blocked
:在Header中的Referer不为空,但是该值被防火墙或代理进行伪装过,如不带"http://" 、"https://"等协议头的资源允许访问。server_names
:指定具体的域名或者IPstring
: 可以支持正则表达式和*的字符串。如果是正则表达式,需要以~
开头表示,例如location ~*\.(png|jpg|gif){ valid_referers none blocked www.baidu.com 192.168.200.222 *.example.com example.* www.example.org ~\.google\.; if ($invalid_referer){ return 403; } root /usr/local/nginx/html; }
遇到的问题:图片有很多,该如何批量进行防盗链?针对目录进行防盗链
配置如下:
location /images {
valid_referers none blocked www.baidu.com 192.168.200.222 *.example.com example.* www.example.org ~\.google\.;
if ($invalid_referer){
return 403;
}
root /usr/local/nginx/html;
}
这样我们可以对一个目录下的所有资源进行翻到了操作。
存在的问题:
来自请求头的信息可以在客户端随意更改的,通过referer防止盗链,只能做到“防君子不防小人”
实现一(优化): rewrite 优化显示
防盗链之前我们已经介绍过了相关的知识,在rewrite中的防盗链和之前将的原理其实都是一样的,只不过通过rewrite可以将防盗链的功能进行完善下,当出现防盗链的情况,我们可以使用rewrite将请求转发到自定义的一张图片和页面,给用户比较好的提示信息。下面我们就通过根据文件类型实现防盗链的一个配置实例:
server{
listen 80;
server_name www.web.com;
locatin ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)${
valid_referers none blocked server_names *.web.com;
if ($invalid_referer){
rewrite ^/ http://www.web.com/images/forbidden.png;
}
}
}
根据目录实现防盗链配置:
server{
listen 80;
server_name www.web.com;
location /file/{
root /server/file/;
valid_referers none blocked server_names *.web.com;
if ($invalid_referer){
rewrite ^/ http://www.web.com/images/forbidden.png;
}
}
}
实现二: ngx_http_accesskey_module
遇到的问题:Referer的限制比较粗,比如随意加一个Referer,上面的方式是无法进行限制的。那么这个问题改如何解决?
此处我们需要用到Nginx的第三方模块ngx_http_accesskey_module
,第三方模块如何实现盗链,如果在Nginx中使用第三方模块的功能,这些我们在后面的Nginx的模块篇再进行详细的讲解。
# 代理配置 ⭐️⭐️⭐️
官方文档 ngx_http_proxy_module
:https://nginx.org/en/docs/http/ngx_http_proxy_module.html
Nginx代理模块的指令是由ngx_http_proxy_module
模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来我们把代理中的常用指令一一介绍下:
proxy_pass
proxy_set_header
proxy_redirect
代理目的地 proxy_pass
该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。
语法 | proxy_pass URL; |
---|---|
默认值 | — |
位置 | location |
URL:为要设置的被代理服务器地址,包含传输协议(http
,https://
)、主机名称或IP地址加端口号、URI等要素。
坑: 是否加 / ⚠️⚠️⚠️
在nginx中配置proxy_pass代理转发时
- 如果在proxy_pass后面的url加/,表示绝对根路径;
- 如果没有/,表示相对路径,目的地址会加上匹配的路径;
举例:
假设下面四种情况分别用 http://192.168.1.1/proxy
/test.html 进行访问。
第一种:
location /proxy/ {
proxy_pass http://127.0.0.1/; # 绝对根路径
}
代理到URL:http://127.0.0.1/test.html
第二种(相对于第一种,最后少一个 / )
location /proxy/ {
proxy_pass http://127.0.0.1; # 相对路径
}
代理到URL:http://127.0.0.1/proxy
/test.html(把匹配的路径部分也给代理走)
第三种:
location /proxy/ {
proxy_pass http://127.0.0.1/aaa/; # 绝对根路径
}
代理到URL:http://127.0.0.1/aaa/test.html
第四种(相对于第三种,最后少一个 / )
location /proxy/ {
proxy_pass http://127.0.0.1/aaa; # 相对路径
}
代理到URL:http://127.0.0.1/aaatest.html
例子: 正向代理
例子
192.168.200.133 服务端的设置:
http {
log_format main 'client send request=>clientIp=$remote_addr serverIp=>$host';
server{
listen 80;
server_name localhost;
access_log logs/access.log main;
location {
root html;
index index.html index.htm;
}
}
}
使用客户端192.168.200.1访问服务端,打开日志查看结果
192.168.200.146代理服务器设置:
server {
listen 82;
resolver 8.8.8.8;
location /{
proxy_pass http://$host$request_uri;
}
}
在客户端192.168.200.1配置代理服务器
设置完成后,再次通过浏览器访问服务端
通过对比,上下两次的日志记录,会发现虽然我们是客户端访问服务端,但是如何使用了代理,那么服务端能看到的只是代理发送过去的请求,这样的化,就使用Nginx实现了正向代理的设置。
例子: 反向代理
服务器1,2,3存在两种情况
第一种情况: 三台服务器的内容不一样。
第二种情况: 三台服务器的内容是一样。
-
如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。
代理服务器 server { listen 8082; server_name localhost; location /server1 { proxy_pass http://192.168.200.146:9001/; } location /server2 { proxy_pass http://192.168.200.146:9002/; } location /server3 { proxy_pass http://192.168.200.146:9003/; } } 服务端 server1 server { listen 9001; server_name localhost; default_type text/html; return 200 '<h1>192.168.200.146:9001</h1>' } server2 server { listen 9002; server_name localhost; default_type text/html; return 200 '<h1>192.168.200.146:9002</h1>' } server3 server { listen 9003; server_name localhost; default_type text/html; return 200 '<h1>192.168.200.146:9003</h1>' }
-
如果服务器1、服务器2和服务器3的内容是一样的,该如何处理?
负载均衡
proxy_set_header
测试: https://lawsssscat.blog.csdn.net/article/details/104089576
proxy_set_header 用来设定被代理服务器接收到的 header 信息
语法 | proxy_set_header field value; |
---|---|
默认值 | proxy_set_header Host $proxy_host; proxy_set_header Connection close; |
位置 | http、server、location |
field: 为要更改的项目,也可以理解为变量的名字,比如 host
默认值: 如果不设置 proxy_set_header,则默认 host 的值为 proxy_pass 后面跟的那个域名或者 IP(一般写IP)
proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
测试:https://www.jianshu.com/p/cc5167032525
客户端192.168.220.177
-> 代理服务器192.168.220.123
-> 服务器
-
代理服务器不设置 proxy_set_header
upstream test { server 192.168.220.123:9099; server 192.168.220.123:58080; } server { listen 5800; server_name 192.168.220.123; root /usr/share/nginx/html; include /etc/nginx/default.d/*.conf; location / { proxy_pass http://test; } }
服务器测试jsp:想获取客户端IP、客户端port、代理服务器IP、代理服务器port
<%@page contentType="text/html; charset=UTF-8" trimDirectiveWhitespaces="true"%> <% String scheme = request.getScheme(); // String serverName = request.getServerName(); // String remoteName = request.getRemoteAddr(); String realIP = request.getHeader("X-Forwarded-For"); String realIP2 = request.getHeader("X-Real-IP"); String Host = request.getHeader("Host"); int port = request.getServerPort(); int portR = request.getRemotePort(); String requestURIC1 = scheme+"://"+realIP+":"+portR; String requestURIC2 = scheme+"://"+realIP2+":"+portR; String requestURIC3 = scheme+"://"+RemoteAddr+":"+portR; String requestURI = scheme+"://"+serverName+":"+port; %> 客户端地址1:<%=requestURIC1 %> <!--scheme://header(X-Forwarded-For):RemotePort--> <br> 客户端地址2:<%=requestURIC2 %> <!--scheme://header(X-Real-IP):RemotePort--> <br> 客户端地址3:<%=requestURIC3%> <!--scheme://remoteName:RemotePort--> <br> 服务器地址1:<%=requestURI%> <!--scheme://serverName:ServerPort--> <br> 服务器地址2:<%=Host%> <!--header(Host)--> <br>
测试结果
客户端地址1:http://null:58828 客户端地址2:http://null:58828 客户端地址3:http://192.168.220.123:58828 服务器地址1:http://test:80 服务器地址2:test
Nginx日志
192.168.220.177 -20508---5800 [25/Aug/2016:16:34:13 +0800] "GET /docs/test.jsp HTTP/1.1" 200 223 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36" "-"
分析:
- 服务器
X-Forwarded-For:null
没传,服务器自然没收到值
X-Real-IP:null
没传,服务器自然没收到值
X-Real-Port:没测,应该也是null 因为没传
RemoteAddr:192.168.220.123
代理服务器ip。服务器认为是客户端,所以是代理服务器ip
RemotePort:58828
代理服务器随机端口。理由同上
Host:test
代理服务器配置没有指定,代理服务器默认写最终代理的host
serverName:test
从host中获取 - nginx
客户端的IP:192.168.220.177
客户端port:20508
- 服务器
-
测试 设置proxy_set_header
Nginx 配置upstream test { server 192.168.220.123:9099; server 192.168.220.123:58080; } server { listen 5800; server_name 192.168.220.123; root /usr/share/nginx/html; include /etc/nginx/default.d/*.conf; location / { proxy_pass http://test; proxy_set_header Host $host:$server_port; # nginx的host:nginx监听端口 proxy_set_header X-Real-IP $remote_addr; # 客户端地址 proxy_set_header X-Real-PORT $remote_port; # 客户端端口 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 客户端地址 }
jsp
<%@page contentType="text/html; charset=UTF-8" trimDirectiveWhitespaces="true"%> <% String scheme = request.getScheme(); String serverName = request.getServerName(); String remoteName = request.getRemoteAddr(); String realIP = request.getHeader("X-Forwarded-For"); String realIP2 = request.getHeader("X-Real-IP"); String Host = request.getHeader("Host"); int port = request.getServerPort(); int portR = request.getRemotePort(); String requestURIC1 = scheme+"://"+realIP+":"+portR; String requestURIC2 = scheme+"://"+realIP2+":"+portR; String requestURIC3 = scheme+"://"+remoteName+":"+portR; String requestURI = scheme+"://"+serverName+":"+port; String portR2 = request.getHeader("X-Real-Port"); %> 客户端地址1:<%=requestURIC1 %> <!--scheme://header(X-Forwarded-For):RemotePort--> <br> 客户端地址2:<%=requestURIC2 %> <!--scheme://header(X-Real-IP):RemotePort--> <br> 客户端地址3:<%=requestURIC3%> <!--scheme://remoteName:RemotePort--> <br> 服务器地址1:<%=requestURI%> <!--scheme://serverName:ServerPort--> <br> 服务器地址2:<%=Host%> <!--header(Host)--> <br> 客户端port2:<%=portR2%> <!--header(X-Real-Port)--> <br>
测试结果:
客户端地址1:http://192.168.220.177:21548 客户端地址2:http://192.168.220.177:21548 客户端地址3:http://192.168.220.123:21548 服务器地址1:http://192.168.220.123:5800 服务器地址2:192.168.220.123:5800 客户端port2:20604
Nging日志:
192.168.220.177 -20604---5800 [25/Aug/2016:16:38:42 +0800] "GET /docs/test.jsp HTTP/1.1" 200 275 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36" "-"
分析:
- 服务器
X-Forwarded-For:192.168.220.17
对应nginx上写的$proxy_add_x_forwarded_for
客户端地址
X-Real-IP:192.168.220.177
对应nginx上写的$remote_addr
客户端地址
X-Real-Port:20604
对应nginx上写的$remote_port
客户端随机端口
RemoteAddr:192.168.220.123
没变,代理服务器ip。服务器认为是客户端,所以是代理服务器ip
RemotePort:58828
没变,代理服务器随机端口。理由同上
Host:192.168.220.123:5800
对应nginx上写的$host:$server_port
serverName:192.168.220.123
从host中获取 - nginx
客户端的IP:192.168.220.177
客户端port:20604
客户端随机端口号(可以看到,和服务器的X-Real-Port一样,即和代理服务器的$remote_port
一样)
- 服务器
proxy_redirect
语法 | proxy_redirect redirect replacement; proxy_redirect default; proxy_redirect off; |
---|---|
默认值 | proxy_redirect default; |
位置 | http、server、location |
如果需要修改从被代理服务器传来的应答头中的"Location"和"Refresh"字段,可以用这个指令设置。
假设被代理服务器返回Location字段为: http://localhost:8000/two/some/uri/
-
redirect replacement:
redirect:目标,Location的值
replacement:要替换的值proxy_redirect http://localhost:8000/two/ http://frontend/one/;
将Location字段重写为http://frontend/one/some/uri/。
在代替的字段中可以不写服务器名:proxy_redirect http://localhost:8000/two/ /;
这样就使用服务器的基本名称和端口,即使它来自非80端口。
在指令中可以使用一些变量:proxy_redirect http://localhost:8000/ http://$host:$server_port/;
这个指令有时可以重复:
proxy_redirect default; proxy_redirect http://localhost:8000/ /; proxy_redirect http://www.example.com/ /;
-
default:
如果使用“default”参数,将根据location和proxy_pass参数的设置来决定。
例如下列两个配置等效:location /one/ { proxy_pass http://upstream:port/two/; proxy_redirect default; } location /one/ { proxy_pass http://upstream:port/two/; proxy_redirect http://upstream:port/two/ /one/; }
-
off:
参数off将在这个字段中禁止所有的proxy_redirect指令:proxy_redirect off; proxy_redirect default; proxy_redirect http://localhost:8000/ /; proxy_redirect http://www.example.com/ /;
反向代理系统调优
反向代理值Buffer和Cache
Buffer翻译过来是"缓冲",Cache翻译过来是"缓存"。
总结下:
相同点:
两种方式都是用来提供IO吞吐效率,都是用来提升Nginx代理的性能。
不同点:
缓冲主要用来解决不同设备之间数据传递速度不一致导致的性能低的问题,缓冲中的数据一旦此次操作完成后,就可以删除。
缓存主要是备份,将被代理服务器的数据缓存一份到代理服务器,这样的话,客户端再次获取相同数据的时候,就只需要从代理服务器上获取,效率较高,缓存中的数据可以重复使用,只有满足特定条件才会删除.
反向代理系统调优:proxy_buffering
proxy_buffering :该指令用来开启或者关闭代理服务器的缓冲区;
语法 | proxy_buffering on|off; |
---|---|
默认值 | proxy_buffering on; |
位置 | http、server、location |
反向代理系统调优:proxy_buffers
该指令用来指定单个连接从代理服务器读取响应的缓存区的个数和大小。
语法 | proxy_buffers number size; |
---|---|
默认值 | proxy_buffers 8 4k | 8K;(与系统平台有关) |
位置 | http、server、location |
number:缓冲区的个数
size:每个缓冲区的大小,缓冲区的总大小就是number*size
反向代理系统调优:proxy_buffer_size
该指令用来设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可,当然也可以更小。
语法 | proxy_buffer_size size; |
---|---|
默认值 | proxy_buffer_size 4k | 8k;(与系统平台有关) |
位置 | http、server、location |
反向代理系统调优:proxy_busy_buffers_size
该指令用来限制同时处于BUSY状态的缓冲总大小。
语法 | proxy_busy_buffers_size size; |
---|---|
默认值 | proxy_busy_buffers_size 8k|16K; |
位置 | http、server、location |
反向代理系统调优:proxy_temp_path
当缓冲区存满后,仍未被Nginx服务器完全接受,响应数据就会被临时存放在磁盘文件上,该指令设置文件路径
语法 | proxy_temp_path path; |
---|---|
默认值 | proxy_temp_path proxy_temp; |
位置 | http、server、location |
注意path最多设置三层。
反向代理系统调优:proxy_temp_file_write_size
该指令用来设置磁盘上缓冲文件的大小。
语法 | proxy_temp_file_write_size size; |
---|---|
默认值 | proxy_temp_file_write_size 8K|16K; |
位置 | http、server、location |
通用网站的配置
proxy_buffering on;
proxy_buffer_size 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
根据项目的具体内容进行相应的调节。
案例
# 静态资源传输优化
Nginx对静态资源如何进行优化配置。这里从三个属性配置进行优化:
sendfile on;
tcp_nopush on;
tcp_nodeplay on;
sendfile(开启高效的文件传输模式)
语法 | sendfile on |off; |
---|---|
默认值 | sendfile off; |
位置 | http、server、location… |
如上图所示,未启用sendfile需要拷贝4次和用户态与内核态的交互,启用sendfile后少了两次拷贝和少了用户态与内核态多余的交互
tcp_nopush(提升网络包的传输’效率’)
tcp_nopush:该指令必须在sendfile打开的状态下才会生效,主要是用来提升网络包的传输’效率’
语法 | tcp_nopush on|off; |
---|---|
默认值 | tcp_nopush off; |
位置 | http、server、location |
tcp_nodelay(提高网络包传输的’实时性’)
tcp_nodelay:该指令必须在keep-alive连接开启的情况下才生效,来提高网络包传输的’实时性’
语法 | tcp_nodelay on|off; |
---|---|
默认值 | tcp_nodelay on; |
位置 | http、server、location |
经过刚才的分析,“tcp_nopush"和”tcp_nodelay“看起来是"互斥的”,那么为什么要将这两个值都打开,这个大家需要知道的是在linux2.5.9以后的版本中两者是可以兼容的,三个指令都开启的好处是,sendfile可以开启高效的文件传输模式,tcp_nopush开启可以确保在发送到客户端之前数据包已经充分“填满”, 这大大减少了网络开销,并加快了文件发送的速度。 然后,当它到达最后一个可能因为没有“填满”而暂停的数据包时,Nginx会忽略tcp_nopush参数, 然后,tcp_nodelay强制套接字发送数据。由此可知,TCP_NOPUSH可以与TCP_NODELAY一起设置,它比单独配置TCP_NODELAY具有更强的性能。所以我们可以使用如下配置来优化Nginx静态资源的处理
sendfile on;
tcp_nopush on;
tcp_nodelay on;
# 静态资源压优化
数据压缩后再传输,传输速度会提高。在Nginx的配置文件中可以通过配置gzip来对静态资源进行压缩,相关的指令可以配置在http块、server块和location块中,Nginx可以通过
ngx_http_gzip_module模块(默认编译包含)
ngx_http_gzip_static_module模块
ngx_http_gunzip_module模块
Gzip模块配置:gzip
接下来所学习的指令都来自ngx_http_gzip_module模块,该模块会在nginx安装的时候内置到nginx的安装环境中,也就是说我们可以直接使用这些指令。
gzip指令:该指令用于开启或者关闭gzip功能
语法 | gzip on|off; |
---|---|
默认值 | gzip off; |
位置 | http、server、location… |
注意只有该指令为打开状态,下面的指令才有效果
http{
gzip on;
}
Gzip模块配置:gzip_types
gzip_types指令:该指令可以根据响应页的MIME类型选择性地开启Gzip压缩功能
语法 | gzip_types mime-type …; |
---|---|
默认值 | gzip_types text/html; |
位置 | http、server、location |
所选择的值可以从mime.types文件中进行查找,也可以使用"*"代表所有。
http{
gzip_types application/javascript;
}
Gzip模块配置:gzip_comp_level
gzip_comp_level指令:该指令用于设置Gzip压缩程度,级别从1-9,1表示要是程度最低,要是效率最高,9刚好相反,压缩程度最高,但是效率最低最费时间。
语法 | gzip_comp_level level; |
---|---|
默认值 | gzip_comp_level 1; |
位置 | http、server、location |
http{
gzip_comp_level 6;
}
Gzip模块配置:gzip_vary
gzip_vary指令:该指令用于设置使用Gzip进行压缩发送是否携带“Vary:Accept-Encoding”头域的响应头部。主要是告诉接收方,所发送的数据经过了Gzip压缩处理
语法 | gzip_vary on|off; |
---|---|
默认值 | gzip_vary off; |
位置 | http、server、location |
Gzip模块配置:gzip_buffers
gzip_buffers指令:该指令用于处理请求压缩的缓冲区数量和大小。
语法 | gzip_buffers number size; |
---|---|
默认值 | gzip_buffers 32 4k|16 8k; |
位置 | http、server、location |
其中number:指定Nginx服务器向系统申请缓存空间个数,size指的是每个缓存空间的大小。主要实现的是申请number个每个大小为size的内存空间。这个值的设定一般会和服务器的操作系统有关,所以建议此项不设置,使用默认值即可。
gzip_buffers 4 16K; #缓存空间大小
Gzip模块配置:gzip_disable
gzip_disable指令:针对不同种类客户端发起的请求,可以选择性地开启和关闭Gzip功能。
语法 | gzip_disable regex …; |
---|---|
默认值 | — |
位置 | http、server、location |
regex:根据客户端的浏览器标志(user-agent)来设置,支持使用正则表达式。指定的浏览器标志不使用Gzip.该指令一般是用来排除一些明显不支持Gzip的浏览器。
gzip_disable "MSIE [1-6]\.";
Gzip模块配置:gzip_http_version
gzip_http_version指令:针对不同的HTTP协议版本,可以选择性地开启和关闭Gzip功能。
语法 | gzip_http_version 1.0|1.1; |
---|---|
默认值 | gzip_http_version 1.1; |
位置 | http、server、location |
该指令是指定使用Gzip的HTTP最低版本,该指令一般采用默认值即可。
Gzip模块配置:gzip_min_length
gzip_min_length指令:该指令针对传输数据的大小,可以选择性地开启和关闭Gzip功能
语法 | gzip_min_length length; |
---|---|
默认值 | gzip_min_length 20; |
位置 | http、server、location |
nignx计量大小的单位:bytes[字节] / kb[千字节] / M[兆]
例如: 1024 / 10k|K / 10m|M
Gzip压缩功能对大数据的压缩效果明显,但是如果要压缩的数据比较小的化,可能出现越压缩数据量越大的情况,因此我们需要根据响应内容的大小来决定是否使用Gzip功能,响应页面的大小可以通过头信息中的Content-Length
来获取。但是如何使用了Chunk编码动态压缩,该指令将被忽略。建议设置为1K或以上。
Gzip模块配置:gzip_proxied
gzip_proxied指令:该指令设置是否对服务端返回的结果进行Gzip压缩。
语法 | gzip_proxied off|expired|no-cache| no-store|private|no_last_modified|no_etag|auth|any; |
---|---|
默认值 | gzip_proxied off; |
位置 | http、server、location |
off - 关闭Nginx服务器对后台服务器返回结果的Gzip压缩
expired - 启用压缩,如果header头中包含 “Expires” 头信息
no-cache - 启用压缩,如果header头中包含 “Cache-Control:no-cache” 头信息
no-store - 启用压缩,如果header头中包含 “Cache-Control:no-store” 头信息
private - 启用压缩,如果header头中包含 “Cache-Control:private” 头信息
no_last_modified - 启用压缩,如果header头中不包含 “Last-Modified” 头信息
no_etag - 启用压缩 ,如果header头中不包含 “ETag” 头信息
auth - 启用压缩 , 如果header头中包含 “Authorization” 头信息
any - 无条件启用压缩
Gzip压缩功能的实例配置
gzip on; #开启gzip功能
gzip_types *; #压缩源文件类型,根据具体的访问资源类型设定
gzip_comp_level 6; #gzip压缩级别
gzip_min_length 1024; #进行压缩响应页面的最小长度,content-length
gzip_buffers 4 16K; #缓存空间大小
gzip_http_version 1.1; #指定压缩响应所需要的最低HTTP请求版本
gzip_vary on; #往头信息中添加压缩标识
gzip_disable "MSIE [1-6]\."; #对IE6以下的版本都不进行压缩
gzip_proxied off; #nginx作为反向代理压缩服务端返回数据的条件
这些配置在很多地方可能都会用到,所以我们可以将这些内容抽取到一个配置文件中,然后通过include指令把配置文件再次加载到nginx.conf配置文件中,方法使用。
nginx_gzip.conf
gzip on;
gzip_types *;
gzip_comp_level 6;
gzip_min_length 1024;
gzip_buffers 4 16K;
gzip_http_version 1.1;
gzip_vary on;
gzip_disable "MSIE [1-6]\.";
gzip_proxied off;
nginx.conf
include nginx_gzip.conf
Gzip和sendfile共存问题
前面在讲解sendfile的时候,提到过,开启sendfile以后,在读取磁盘上的静态资源文件的时候,可以减少拷贝的次数,可以不经过用户进程将静态文件通过网络设备发送出去,但是Gzip要想对资源压缩,是需要经过用户进程进行操作的。所以如何解决两个设置的共存问题。
可以使用ngx_http_gzip_static_module模块的gzip_static指令来解决。
gzip_static模块配置
gzip_static: 检查与访问资源同名的.gz文件时,response中以gzip相关的header返回.gz文件的内容。
语法 | gzip_static on | off | always; |
---|---|
默认值 | gzip_static off; |
位置 | http、server、location |
添加上述命令后,会报一个错误,unknown directive "gzip_static"
主要的原因是Nginx默认是没有添加ngx_http_gzip_static_module模块。如何来添加?
添加模块到Nginx的实现步骤:
# 查询当前Nginx的配置参数
nginx -V
# 将nginx安装目录下sbin目录中的nginx二进制文件进行更名
cd /usr/local/nginx/sbin
mv nginx nginxold
# 进入Nginx的安装目录
cd /root/nginx/core/nginx-1.16.1
# 执行make clean清空之前编译的内容
make clean
# 使用configure来配置参数
./configure --with-http_gzip_static_module
# 使用make命令进行编译
make
# 将objs目录下的nginx二进制执行文件移动到nginx安装目录下的sbin目录中
mv objs/nginx /usr/local/nginx/sbin
# 执行更新命令
make upgrade
gzip_static测试使用
-
直接访问
http://192.168.200.133/jquery.js
-
用gzip命令进行压缩
cd /usr/local/nginx/html gzip jquery.js
-
再次访问
http://192.168.200.133/jquery.js
# 静态资源的缓存
web缓存的种类
客户端缓存
浏览器缓存
服务端缓存
Nginx / Redis / Memcached等
- 用户首次通过浏览器发送请求到服务端获取数据,客户端是没有对应的缓存,所以需要发送request请求来获取数据;
- 服务端接收到请求后,获取服务端的数据及服务端缓存的允许后,返回200的成功状态码并且在响应头上附上对应资源以及缓存信息;
- 当用户再次访问相同资源的时候,客户端会在浏览器的缓存目录中查找是否存在响应的缓存文件
- 如果没有找到对应的缓存文件,则走(2)步
- 如果有缓存文件,接下来对缓存文件是否过期进行判断,过期的判断标准是(Expires),
- 如果没有过期,则直接从本地缓存中返回数据进行展示
- 如果Expires过期,接下来需要判断缓存文件是否发生过变化
判断的标准有两个,一个是ETag(Entity Tag),一个是Last-Modified- 判断结果是未发生变化,则服务端返回304,直接从缓存文件中获取数据
- 如果判断是发生了变化,重新从服务端获取数据,并根据缓存协商(服务端所设置的是否需要进行缓存数据的设置)来进行数据缓存。
HTTP协议中和页面缓存相关的字段,我们先来认识下:
header | 说明 |
---|---|
Expires | 缓存过期的日期和时间 |
Cache-Control | 设置和缓存相关的配置信息 |
Last-Modified | 请求资源最后修改时间 |
ETag | 请求变量的实体标签的当前值,比如文件的MD5值 |
浏览器缓存相关指令:expires
expires:该指令用来控制页面缓存的作用。可以通过该指令控制HTTP应答中的“Expires"和”Cache-Control"
语法 | expires [modified] time expires epoch|max|off; |
---|---|
默认值 | expires off; |
位置 | http、server、location |
time:可以整数也可以是负数,指定过期时间,如果是负数,Cache-Control则为no-cache,如果为整数或0,则Cache-Control的值为max-age=time;
epoch: 指定Expires的值为’1 January,1970,00:00:01 GMT’(1970-01-01 00:00:00),Cache-Control的值no-cache
max:指定Expires的值为’31 December2037 23:59:59GMT’ (2037-12-31 23:59:59) ,Cache-Control的值为10年
off:默认不缓存。
浏览器缓存相关指令:add_header
add_header指令是用来添加指定的响应头和响应值。
语法 | add_header name value [always]; |
---|---|
默认值 | — |
位置 | http、server、location… |
Cache-Control作为响应头信息,可以设置如下值:
缓存响应指令:
Cache-control: must-revalidate
Cache-control: no-cache
Cache-control: no-store
Cache-control: no-transform
Cache-control: public
Cache-control: private
Cache-control: proxy-revalidate
Cache-Control: max-age=<seconds>
Cache-control: s-maxage=<seconds>
指令 | 说明 |
---|---|
must-revalidate | 可缓存但必须再向源服务器进行确认 |
no-cache | 缓存前必须确认其有效性 |
no-store | 不缓存请求或响应的任何内容 |
no-transform | 代理不可更改媒体类型 |
public | 可向任意方提供响应的缓存 |
private | 仅向特定用户返回响应 |
proxy-revalidate | 要求中间缓存服务器对缓存的响应有效性再进行确认 |
max-age=<秒> | 响应最大Age值 |
s-maxage=<秒> | 公共缓存服务器响应的最大Age值 |
max-age=[秒]:
# 跨域问题:add_header
跨域问题 简单描述下:
有两台服务器分别为A,B,如果从服务器A的页面发送异步请求到服务器B获取数据属于跨域。
如果服务器A和服务器B不满足同源策略,则就会出现跨域问题。
跨域问题的案例演示
出现跨域问题会有什么效果?,接下来通过一个需求来给大家演示下:
-
nginx的html目录下新建一个a.html
<html> <head> <meta charset="utf-8"> <title>跨域问题演示</title> <script src="jquery.js"></script> <script> $(function(){ $("#btn").click(function(){ $.get('http://192.168.200.133:8080/getUser',function(data){ alert(JSON.stringify(data)); }); }); }); </script> </head> <body> <input type="button" value="获取数据" id="btn"/> </body> </html>
-
在nginx.conf配置如下内容
server{ listen 8080; server_name localhost; location /getUser{ default_type application/json; return 200 '{"id":1,"name":"TOM","age":18}'; } } server{ listen 80; server_name localhost; location /{ root html; index index.html; } }
-
通过浏览器访问测试
解决方案
使用add_header指令,该指令可以用来添加一些头信息
语法 | add_header name value… |
---|---|
默认值 | — |
位置 | http、server、location |
此处用来解决跨域问题,需要添加两个头信息,一个是Access-Control-Allow-Origin
,Access-Control-Allow-Methods
-
Access-Control-Allow-Origin: 直译过来是允许跨域访问的源地址信息,可以配置多个(多个用逗号分隔),也可以使用
*
代表所有源 -
Access-Control-Allow-Methods:直译过来是允许跨域访问的请求方式,值可以为 GET POST PUT DELETE…,可以全部设置,也可以根据需要设置,多个用逗号分隔
具体配置方式
location /getUser{
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE;
default_type application/json;
return 200 '{"id":1,"name":"TOM","age":18}';
}
# Nginx的安全控制 ⭐️
通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。
ngx_http_ssl_module
HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信,利用SSL(Secure Sockets Layer 安全套接层)/TLS(Transport Layer Security 传输层安全)建立全通信,加密数据包,确保数据的安全性。
需求:将http请求转变成https请求
Nginx要想使用SSL,需要满足一个条件即需要添加一个模块
ngx_http_ssl_module
,而该模块在编译的过程中又需要OpenSSL的支持,这个我们之前已经准备好了。
Nginx添加SSL的支持
完成 --with-http_ssl_module
模块的增量添加
》将原有/usr/local/nginx/sbin/nginx进行备份
》拷贝nginx之前的配置信息
》在nginx的安装源码进行配置指定对应模块 ./configure --with-http_ssl_module
》通过make模板进行编译
》将objs下面的nginx移动到/usr/local/nginx/sbin下
》在源码目录下执行 make upgrade进行升级,这个可以实现不停机添加新模块的功能
ssl、ssl_certificate、ssl_certificate_key
-
ssl指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。
语法 ssl on | off; 默认值 ssl off; 位置 http、server server{ listen 443 ssl; }
配置了ssl,还要配置ssl_certificate,否则再error.log日志会看到以下错误
2022/03/19 11:17:39 [error] 393872#0: *62 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 192.168.1.10, server: 0.0.0.0:9901
-
ssl_certificate为当前这个虚拟主机指定一个带有PEM格式证书的证书。
语法 ssl_certificate file; 默认值 — 位置 http、server 如:
ssl_certificate /etc/ssl/certs/testcert.crt;
(证书的申请会在下面介绍)
-
ssl_ceritificate_key指令用来指定PEM secret key文件的路径
语法 ssl_ceritificate_key file; 默认值 — 位置 http、server 如:
ssl_certificate_key /etc/ssl/certs/testcert.key;
申请证书:openssl
使用openssl生成证书
(仅作测试或加密数据用,不被主流浏览器支持,如下图)
先要确认当前系统是否有安装openssl
openssl version
安装下面的命令进行生成
# 找个地方管理证书
mkdir /root/cert
cd /root/cert
# 建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥
openssl genrsa -des3 -out sslserver.key 2048
# 长度改为1024的坑 https://blog.csdn.net/lyndon_li/article/details/114667122
# 需要依次输入国家,地区,组织,email。
# 最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请(不使用自己生成的证书,向CA申请),这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书
openssl req -new -key sslserver.key -out sslserver.csr
# 生成不需要密码的key
cp sslserver.key sslserver.key.org
openssl rsa -in sslserver.key.org -out sslserver.key
# 生成crt文件
openssl x509 -req -days 365 -in sslserver.csr -signkey sslserver.key -out sslserver.crt
为nginx.conf添加证书位置:
ssl_certificate /etc/ssl/certs/testcert.crt;
ssl_certificate_key /etc/ssl/certs/testcert.key;
申请证书:免费ssl证书供应商
免费的ssl证书供应商
- freessl.cn(1年)
- letsencrypt.org(3个月)
(如果是国外域名,推荐用上面两个。如果是国内域名,购买平台通常是阿里、百度、腾讯云,那么就推荐用购买平台自带的免费ssl服务,省心)
通常来说,将CSR文件
(生成方式同上,或者按照CA的要求)就是你需要提交给 SSL 认证机构的。
当你的域名或组织通过验证后,认证机构就会颁发给你两个文件:test_com.crt
和test_com.ca-bundle
而test_com.key
是需要用在 Nginx 配置里和test_com.crt
、test_com.ca-bundle
配合使用的,需要好好保管。
生成csr文件方法上面提及了。
# 找个地方管理证书
mkdir /root/cert
cd /root/cert
# 建立服务器私钥(过程需要输入密码,请记住这个密码)生成RSA密钥
openssl genrsa -des3 -out sslserver.key 2048
# 长度改为1024的坑 https://blog.csdn.net/lyndon_li/article/details/114667122
# 需要依次输入国家,地区,组织,email。
# 最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请(不使用自己生成的证书,向CA申请),这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书
openssl req -new -key sslserver.key -out sslserver.csr
# 生成不需要密码的key
cp sslserver.key sslserver.key.org
openssl rsa -in sslserver.key.org -out sslserver.key
# 生成crt文件
openssl x509 -req -days 365 -in sslserver.csr -signkey sslserver.key -out sslserver.crt
下面介绍拿到test_com.crt
和test_com.ca-bundle
后的配置
#使用cat命令生成
cat test_com.crt test_com.ca-bundle > test_com.pem
最终得到两个文件:test_com.key和test_com.pem,为了统一位置,可以把这二个文件都移动到 /etc/ssl/private 目录或者 /etc/ssl/cert 目录。
然后可以修改nginx.conf文件,如下:
server {
#...
ssl on;
ssl_certificate /etc/ssl/private/test_com.pem;
ssl_certificate_key /etc/ssl/private/test_com.key;
#...
}
同使用自生成证书基本一样,只是重新替换为认证机构颁发的证书而已。
ssl_session_cache
该指令用来配置用于SSL会话的缓存
语法 | ssl_sesion_cache off|none|[builtin[:size]] [shared:name:size] |
---|---|
默认值 | ssl_session_cache none; |
位置 | http、server |
off:禁用会话缓存,客户端不得重复使用会话
none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数
builtin:内置OpenSSL缓存,仅在一个工作进程中使用。
shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定
ssl_session_timeout
开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间。
语法 | ssl_session_timeout time; |
---|---|
默认值 | ssl_session_timeout 5m; |
位置 | http、server |
ssl_ciphers
指出允许的密码,密码指定为OpenSSL支持的格式
语法 | ssl_ciphers ciphers; |
---|---|
默认值 | ssl_ciphers HIGH:!aNULL:!MD5; |
位置 | http、server |
可以使用openssl ciphers
查看openssl支持的格式。
ssl_prefer_server_ciphers
该指令指定是否服务器密码优先客户端密码
语法 | ssl_perfer_server_ciphers on|off; |
---|---|
默认值 | ssl_perfer_server_ciphers off; |
位置 | http、server |
开启SSL实例
server {
listen 443 ssl;
server_name localhost;
ssl_certificate server.cert;
ssl_certificate_key server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
可能遇到的问题
-
nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/etc/ssl/certs/testcert.key”) failed (SSL: error:0906406D:PEM routines:…
nginx启动的时候需要输入证书密码,解决办法是可以使用私钥来生成解密后的key来代替,效果是一样的(就跟ssh连接差不多),达到免密码重启的效果:
openssl rsa -in testcert.key -out untestcert.key
接下来你只需要在nginx里面使用新的untestcert.key即可使用https连接了。 -
nginx: [emerg] zero size shared memory zone “oneip”
出现此错误都是因为在未指定limit_req_zone指定就使用了limit_req指令的原因(或者limit_req中的name值和limit_req_zone中定义的name值不一致)。 -
Nginx 403 forbidden的解决办法 http://www.linuxidc.com/Linux/2017-08/146084.htm
CentOS 7下Nginx服务器的安装配置 http://www.linuxidc.com/Linux/2017-04/142986.htm
CentOS上安装Nginx服务器实现虚拟主机和域名重定向 http://www.linuxidc.com/Linux/2017-04/142642.htm
CentOS 6.8 安装LNMP环境(Linux+Nginx+MySQL+PHP) http://www.linuxidc.com/Linux/2017-04/142880.htm
Linux下安装PHP环境并配置Nginx支持php-fpm模块 http://www.linuxidc.com/Linux/2017-05/144333.htm
Nginx服务的SSL认证和htpasswd认证 http://www.linuxidc.com/Linux/2017-04/142478.htm
Ubuntu 16.04上启用加密安全的Nginx Web服务器 http://www.linuxidc.com/Linux/2017-07/145522.htm
Linux中安装配置Nginx及参数详解 http://www.linuxidc.com/Linux/2017-05/143853.htm
Nginx日志过滤 使用ngx_log_if不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm
CentOS 7.2下Nginx+PHP+MySQL+Memcache缓存服务器安装配置 http://www.linuxidc.com/Linux/2017-03/142168.htm
CentOS6.9编译安装Nginx1.4.7 http://www.linuxidc.com/Linux/2017-06/144473.htm