电商项目记录高可用集群(2)之nginx

nginx的使用

• 解决跨域

#允许跨域请求的域，*代表所有
add_header 'Access-Control-Allow-Origin' *;
#允许带上cookie请求
add_header 'Access-Control-Allow-Credentials' 'true';
#允许请求的方法，比如 GET/POST/PUT/DELETE
add_header 'Access-Control-Allow-Methods' *;
#允许请求的header
add_header 'Access-Control-Allow-Headers' *;

• 静态资源防盗链

#对源站点验证
valid_referers *.shop.com;
#非法引入会进入下方判断
if ($invalid_referer) {
return 404;
}

• 七层负载均衡

1. 轮训负载（默认）

2. 权重负载（weight=times）

3. ip_hash负载( hash(ip)%node_count )

ip_hash 可以保证用户访问可以请求到上游服务中的固定的服务器，前提是用户ip没有发生更改。
使用ip_hash的注意点：
不能把后台服务器直接移除，只能标记 down .直接移除会导致hash算法失常进而缓存失常
If one of the servers needs to be temporarily removed, it should be marked with the down parameter in order to preserve the current hashing of client IP add

upstream tomcats {
ip_hash;
server 192.168.1.173:8080;
server 192.168.1.174:8080 down;
server 192.168.1.175:8080;
}
参考：
http://nginx.org/en/docs/http/ngx_http_upstream_module.html#ip_hash

   4. 一致性hash （只影响少部分的节点，不像ip_hash重新计算）

   5. URL_hash( hash(url)%node_count )

upstream tomcats {
 hash $request_uri;
server 192.168.1.173:8080;
server 192.168.1.174:8080 down;
server 192.168.1.175:8080;
}

 

• upstream 常用参数

1. max_conns

限制每台server的连接数，用于保护避免过载，可起到限流作用。
测试参考配置如下：
# worker进程设置1个，便于测试观察成功的连接数
worker_processes 1;
upstream tomcats {
server 192.168.1.173:8080 max_conns=2;
server 192.168.1.174:8080 max_conns=2;
server 192.168.1.175:8080 max_conns=2;
}

  2. slow_start

商业版，需要付费
配置参考如下：
upstream tomcats {
server 192.168.1.173:8080 weight=6 slow_start=60s;
# server 192.168.1.190:8080;
server 192.168.1.174:8080 weight=2;
server 192.168.1.175:8080 weight=2;
}
注意
该参数不能使用在 hash 和 random load balancing 中。
如果在 upstream 中只有一台 server，则该参数失效。

3. down、backup

down 用于标记服务节点不可用：
upstream tomcats {
server 192.168.1.173:8080 down;
# server 192.168.1.190:8080;
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=1;
}
backup 表示当前服务器节点是备用机，只有在其他的服务器都宕机以后，自己才会加入到集群中，被用户访问到：
upstream tomcats {
server 192.168.1.173:8080 backup;
# server 192.168.1.190:8080;
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=1;
}
注意
backup 参数不能使用在 hash 和 random load balancing 中。

4. max_fails、fail_timeout

max_fails ：表示失败几次，则标记server已宕机，剔出上游服务。
fail_timeout ：表示失败的重试时间。
假设目前设置如下：
max_fails=2 fail_timeout=15s
则代表在15秒内请求某一server失败达到2次后，则认为该server已经挂了或者宕机了，随后再过15秒，这15秒内不会有新的请求到达刚刚挂掉的节点上，15秒后会再有新请求尝试连接挂掉的server，如果还是失败，重复上一过程，直到恢复。

• keeplived

keepalived ： 设置长连接处理的数量
proxy_http_version ：设置长连接http版本为1.1
proxy_set_header ：清除connection header 信息
upstream tomcats {
# server 192.168.1.173:8080 max_fails=2 fail_timeout=1s;
server 192.168.1.190:8080;
# server 192.168.1.174:8080 weight=1;
# server 192.168.1.175:8080 weight=1;
keepalive 32;
}


server {
listen 80;
server_name www.tomcats.com;
    location / {
    proxy_pass http://tomcats;
    proxy_http_version 1.1;
    proxy_set_header Connection "";
    }
}

• 缓存

1. 浏览器缓存：

   加速用户访问，提升单个用户（浏览器访问者）体验，缓存在本地
   
   location /files {
       alias /home/shop;
       # expires 10s;     10秒过期
       # expires @22h30m; 晚上10点半过期
       # expires -1h;     提前过期
       # expires epoch;   不设置缓存
       # expires off;     关闭Nginx对浏览器设置的缓存header
       #expires max;      永不过期
   }

    

2. Nginx的反向代理缓存

# proxy_cache_path 设置缓存目录
# keys_zone 设置共享内存以及占用空间大小
# max_size 设置缓存大小
# inactive 超过此时间缓存则被清理
# use_temp_path 临时目录，使用后会影响nginx性能
proxy_cache_path /usr/local/nginx/upstream_cache keys_zone=mycache:5m max_size=1g inactive=1m use_temp_path=off

location / {
    proxy_pass http://tomcats;
    # 启用缓存，和keys_zone一致
    proxy_cache mycache;
    # 针对200和304状态码缓存时间为8小时
    proxy_cache_valid 200 304 8h;
}

• nginx配置https域名证书

1. 安装SSL模块
要在nginx中配置https，就必须安装ssl模块，也就是: http_ssl_module 。
进入到nginx的解压目录： /home/software/nginx-1.16.1
新增ssl模块(原来的那些模块需要保留)
./configure \
--prefix=/usr/local/nginx \
--pid-path=/var/run/nginx/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/temp/nginx/client \
--http-proxy-temp-path=/var/temp/nginx/proxy \
--http-fastcgi-temp-path=/var/temp/nginx/fastcgi \
--http-uwsgi-temp-path=/var/temp/nginx/uwsgi \
--http-scgi-temp-path=/var/temp/nginx/scgi \
--with-http_ssl_module
编译和安装
make
make install
2. 配置HTTPS
把ssl证书 *.crt 和 私钥 *.key 拷贝到 /usr/local/nginx/conf 目录中。
新增 server 监听 443 端口：
server {
    listen 443;
    server_name www.imoocdsp.com;
    # 开启ssl
    ssl on;
    # 配置ssl证书
    ssl_certificate 1_www.imoocdsp.com_bundle.crt;
    # 配置证书秘钥
    ssl_certificate_key 2_www.imoocdsp.com.key;
    # ssl会话cache
    ssl_session_cache shared:SSL:1m;
    # ssl会话超时时间
    ssl_session_timeout 5m;
    # 配置加密套件，写法遵循 openssl 标准
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_pass http://tomcats/;
    }