文章目录
一、Nginx概述
Nginx是一款高性能、轻量级Web服务软件。稳定性高,系统资源消耗低,对HTTP并发连接的处理能力高,单台物理服务器理论上可支持 30 000~50 000 个并发请求,实际约 2~3 万。
二、Nginx相对于Apache的优点
-
轻量化,Nginx 比 Apache占用更少的内存及资源;
-
静态处理,Nginx 静态处理性能比 Apache 高;
-
Nginx可以实现无缓存的反向代理加速,提高网站运行速度;
-
Nginx的性能和可伸缩性不依赖于硬件,Apache依赖于硬件;
-
Nginx支持热部署,启动速度迅速,可以在不间断服务的情况下,对软件版本或者配置进行升级;
-
nginx是异步非阻塞进程,多个连接可以对应一个进程;apache是同步多进程,一个连接对应一个进程;
-
Nginx高度模块化,编写模块相对简单,且组件比Apache少;
-
高并发下Nginx 能保持低资源低消耗高性能;
-
Nginx 配置简洁,Apache配置复杂;
三、配置Nginx网络服务
需要准备Nginx源码包nginx-1.12.0.tar.gz
1.编译安装和启用Nginx服务
(1)关闭防火墙和selinux
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
(2)安装依赖包
nginx的配置及运行需要pcre、zlib、openssl等软件包的支持,因此需要安装这些软件的开发包,以便提供相应的库和头文件。
yum -y install pcre-devel zlib-devel openssl-devel gcc gcc-c++ make
(3)创建运行用户、组(Nginx 服务程序默认以 nobody 身份运行,建议为其创建专门的用户账号,以便更准确地控制其访问权限)
useradd -M -s /sbin/nologin nginx
(4)编译安装Nginx源码包
#在opt目录下解压源码包
cd /opt
tar zxvf nginx-1.12.0.tar.gz -C /opt/
#到源码包中自定义编译安装
cd nginx-1.12.0/
./configure \
--prefix=/usr/local/nginx \ #指定nginx的安装路径
--user=nginx \ #指定用户名
--group=nginx \ #指定组名
--with-http_stub_status_module #启用 http_stub_status_module 模块以支持状态统计
#编译安装
make && make install
#让系统识别nginx的操作命令
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
(5)nginx服务的检查、启动、重启、停止、生成日志和升级
nginx -t #检查配置文件是否配置正确(语法)
#启动
nginx
#停止
cat /usr/local/nginx/logs/nginx.pid
kill -3 <PID号>
kill -s QUIT <PID号>
killall -3 nginx
killall -s QUIT nginx
#重载(不关闭进程重新读取服务)
kill -1 <PID号>
kill -s HUP <PID号>
killall -1 nginx
killall -s HUP nginx
#日志分割,重新打开日志文件
kill -USR1 <PID号>
#平滑升级
kill -USR2 <PID号> 升级方法1
新版本升级:
tar-zxvf nginx-1.xx.xx.tar.gz
cd nginx-1.xx.xx
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module \
--with-http_ssl_module
#ssl是一种安全认证模块
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_old
cp objs/nginx /usr/local/nginx/sbin/nginx
#kill -USR2 <PID号> 升级方法1
make upgrade 升级方法2
#或者先killall nginx,再/usr/local/nginx/sbin/nginx 升级方法3
启动过程中遇到报错
原因:因为httpd服务与nginx服务同用80号端口
解决方法:关闭或者卸载httpd服务或者修改httpd服务的端口
注意点(不影响升级):
make upgrade过程中报的错是由于nginx不是通过/usr/local/nginx/sbin/nginx启动的,而是通过$PATH中的软连接启动的。
解决办法:
要保证当前 nginx 进程是通过/usr/local/nginx/sbin/nginx 启动的;或者先 killall nginx ,再使用 /usr/local/nginx/sbin/nginx 。
(6)添加 nginx 系统服务(通过systemctl管理)
chkconfig:2345 20 90 代表服务在2345启动级别中,第20个进程自启,第90个进程关闭。
chkconfig:- 代表不开机自启
#编写服务配置文件
vim /etc/init.d/nginx
#!/bin/bash
#chkconfig: 2345 20 99
#description:Nginx Service Control Script
COM="/usr/local/nginx/sbin/nginx"
PID="/usr/local/nginx/logs/nginx.pid"
case "$1" in
start)
$COM
;;
stop)
kill -s QUIT $(cat $PID)
;;
restart)
$0 stop
$0 start
;;
reload)
kill -s HUP $(cat $PID)
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac
exit 0
#添加到系统服务
chmod +x /etc/init.d/nginx
chkconfig --add nginx
systemctl stop nginx
systemctl start nginx
第二种方法
通过system中创建服务
vim /lib/systemd/system/nginx.service
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
-----------------------------------------------------------
[Unit]:服务的说明
Description:描述服务
After:依赖,当依赖的服务启动之后再启动自定义的服务
[Service]服务运行参数的设置
Type=forking是后台运行的形式,使用此启动类型应同时指定PIDFile=,以便systemd能够跟踪服务的主进程。
ExecStart为服务的具体运行命令
ExecReload为重启命令
ExecStop为停止命令
Privatermp=True表示给服务分配独立的临时空间
注意:启动、重启、停止命令全部要求使用绝对路径
[Install]服务安装的相关设置,可设置为多用户
停止之后 进程就结束了表示成功
此时服务已经起来
默认文件位置在/usr/local/nginx/html/
2.修改Nginx主配置文件
nginx.conf
1、全局块:全局配置,对全局生效;
2、events块:配置影响Nginx服务器与用户的网络连接;
3、http块:配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置;
4、server块:配置虚拟主机的相关参数,一个http块中可以有多个server块;
5、location块:用于配置匹配的uri;
6、upstream:配置后端服务器具体地址,负载均衡配置不可或缺的部分。
vim/usr/local/nginx/conf/nginx.conf
3.1全局配置
#user nobody; #运行用户,若编译时未指定则默认为nobody
worker_processes 1; #工作进程数量,一般设置为和CPU核数一样
#error_log logs/error.log; #错误日志文件的位置
#pid logs/nginx.pid; #PID文件的位置
3.2 I/O事件配置
events{
use epol1; #使用epol1模型,2.6及以上版本的系统内核,建议使用epo11模型以提高性能,实现多路复用
worker_connections 4096; #每个进程处理4096个连接,默认值是1024
}
#修改nginx配置文件只是使得软件支持该并发量,如提高每个进程的连接数还需执行“ulimit -n 65535”命令临时修改本地每个进程可以同时打开的最大文件数,使得硬件支持该并发量
#在Linux平台上,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。
#可使用ulimit -a命令查看系统允许当前用户进程打开的文件数限制。
#epo11是Linux内核为处理大批句柄而作改进的po11,是Linux下多路复用ro接口select/po11的增强版本,它能显著的减少程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率。
要实现30000并发量,假设我是两核,worker_processes 2; worker_connections 15000;但一般而言,worker_connections设置为2的次方。
也就是说工作进程数量乘每个进程处理的链接数,就等于他的并发量,面试常问
* hard nofile 30000
#在最后一行添加如下内容
#第一列为用户和组
#第二列为磁盘限额,软硬限制
#第三列为项目
#第四列为相应项目的数量
上述设置的软硬并发量都是理论上的,真正并发量还得看CPU的性能,在投放到生产环境前,我们需要就行压测
3.3 HTTP配置
http{
##文件扩展名与文件类型映射表
include mime.types;
##默认文件类型
default_type application/octet-stream;
##日志格式设定
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
##访问日志位置
#access_log logs/access.log main;
##开启文件传输模式
sendfile on;
##减少网络报文段的数量
#tcp_nopush on;
##连接保持超时时间,单位是秒
#keepalive_timeout 0;
keepalive_timeout 65;
##gzip模设置,设置是否开启gzip压缩输出
#gzip on;
##Web服务的监听配置
server{
##监听地址及端口
listen 80;#没写IP地址默认所有地址
#站点域名,可以有多个,用空格隔开
server_name www.stevelu.com;
##网页的默认字符集
charset utf-8;
##根目录配置
location / {
root html; ##网站根目录的位置/usr/local/nginx/html
index index.html index.php; ##默认首页文件名
}
error_page 500 502 503 504 / 50x.html; ##内部错误的反馈页面
##错误页面配置
location = /50x.html{
root html;
}
}
}
-----------------------------------------------------------------------------------------------
日志格式设定:
$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;
$remote_user:用来记录客户端用户名称;
$time_local:用来记录访问时间与时区;
$request:用来记录请求的url与http协议;
$status:用来记录请求状态;成功是200,
$body_bytes_sent:记录发送给客户端文件主体内容大小;
$http_referer:用来记录从哪个页面链接访问过来的;
$http_user_agent:记录客户浏览器的相关信息;
通常web服务器放在反向代理的后面,这样就不能获取到客户的p地址了,通过$remote_add拿到的Ip地是反向代理服务器的ip地址。
反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。
location常见配置指令,root、alias、proxy_pass
root、alias不能同时配置
root(根路径配置):root /var/www/html 请求www.stevelu.com/test/1.html,会返回文件/var/www/html/test/1.html
alias(别名配置):alias /var/www/html 请求www.stevelu.com/test/1.html,会返回文件/var/www/html/1.html
proxy pass(反向代理配置)
关于访问的路径
location / {
root html;
index index.html index.htm;
}
location /test {
root data; #根路径的目录
index index.html index.htm;;
}
#如果在location /后面加上test,访问的目录是如下,root代表根,根还是html目录,不要被test迷惑
/usr/local/nginx/html/test/stevelu.html
location /test{
alias /var/www/html;
index index.html index.htm;
}
http://192.168.109.132/steve.html-->/usr/loca/nginx/html/stevelu.html 网页内容33333
http://192.168.109.132/test/stevelu.html -->/data/test/stevelu.html 网页内容11111
http://192.168.109.132/test/stevelu.html -->/var/www/html/test/stevelu.html 网页内容22222
四、访问状态统计配置
4.1 查看安装的模块
先使用命令/usr/local/nginx/sbin/nginx -V查看已安装的Nginx是否包含HTTP_STUB_STATUS模块
with是已经安装 without表示未安装
cat /opt/nginx-1.12.0/auto/options I grep YES
#可查看nginx已安装的所有模块
4.2 修改nginx.conf配置文件,指定访问位置并添加stub status配置
cd /usr/local/nginx/conf
cp nginx.conf nginx.conf.bak
#备份原配置文件
vim /usr/local/nginx/conf/nginx.conf
.......
http{
.......
server{
listen 80;
server_name www.stevelu.com;
charset utf-8;
location / {
root html;
index index.html index.php;
}
##添加stub status配置##
location /status {
#访问位置为/status,指定路径之后,我们就知道指定的路径去看状态统计
stub_status on; #打开状态统计功能
access_log off; #关闭此位置的日志记录
}
}
}
4.3 重启服务,访问测试
systemctl restart nginx
浏览器访问http://192.168.109.132/status
Active connections:表示当前的活动连接数;
server accepts handled requests:表示已经处理的连接信息,三个数字依次表示已处理的连接数、成功的TCP握手次数、已处理的请求数。
可curl -Ls http://192.168.109.132/status 结合awk与if语句进行性能监控。
CON=$(curl -Ls http://192.168.109.132/status | awk '/Active connections:/{print $3}')
if[ $CON -gt 25000 ];then
echo "警告!当前并发数量为$CON,超过预警值!"
五、基于授权的访问控制
设置只有指定用户才可以访问该网页,想要对哪个路径进行限制,就在location下添加路径,我直接在默认的目录下实验
5.1 生成用户密码认证文件
yum install -y httpd-tools
htpasswd -c /usr/local/nginx/userlist.txt zhangsan
密码自拟,就是访问网页时候的密码
#-c 创建文件,第二次加入用户不用加
chown nginx /usr/local/nginx/userlist.txt
chmod 400 /usr/local/nginx/userlist.txt
#修改权限,只有管理员可以查看
5.2 修改主配置文件相对应目录,添加认证配置项
vim /usr/local/nginx/conf/nginx.conf
......
server{
location / { ##添加认证配置##
......
auth_basic "secret"; #设置密码提示框文字信息
auth_basic_user_file /usr/local/nginx/userlist.txt;
}
5.3 重启服务,访问测试
nginx -t
systemctl restart nginx
浏览器访问http://192.168.109.132
六、基于客户端的访问控制
访问控制规则如下:
deny IP/IP段:拒绝某个IP或IP段的客户端访问。(黑名单)
allow IP/IP段:允许某个IP或IP段的客户端访问。(白名单)
规则从上往下执行,如匹配则停止,不再往下匹配。
vim /usr/local/nginx/conf/nginx.conf
......
server {
location / {
......
##添加控制规则##
allow 192.168.109.133;
#允许访问的客户端IP
deny all;
#拒绝其它IP客户端访问
}
}
systemctl restart nginx
七、基于域名的Nginx虚拟主机
首先在每个站点下指定网页的根目录,然后在nginx.conf文件中使用server块,指定不同的站点,location下指定不同的根目录的路径
7.1 为虚拟主机提供域名解析
echo "192.168.109.132 www.stevelu.com www.gyq.com" >> /etc/hosts
7.2 为虚拟主机准备网页文档
mkdir -p /var/www/html/stevelu
mkdir -p /var/www/html/gyq
echo "<hl>www.stevelu.com</h1>"> /var/www/html/stevelu/index.html
echo "<hl>www.gyq.com</hl>"> /var/www/html/gyq/index.html
7.3 修改Nginx的配置文件
vim /usr/local/nginx/conf/nginx.conf
......
http{
server{
listen 80;
server_name www.stevelu.com;#设置域名
charset utf-8;
access_log logs/www.stevelu.access.1og; #设置日志名
location / {
root /var/www/html/stevelu; #设置的工作目录
index index.html index.php;
}
error_page 500 502 503 504 /50x.html;
location = 50x.html{
root html;
}
}
server{
listen 80;
server_name www.gyq.com;#设置域名
charset utf-8;
access_log logs/www.gyq.access.log;
location / {
root /var/www/html/gyq;
index index.html index.php;
}
error_page 500 502 503 504 /50x.html;
location = 50x.html{
root html;
}
}
}
systemctl restart nginx
#重启并访问测试
八、基于IP的Nginx虚拟主机
设置监听地址即可,其他跟基于域名都一样
例如:
listen 192.168.109.30:80 www.stevelu.com
listen 192.168.109.40:80 www.gyq.com
#前提是保证IP地址存在,如果没有临时设置用ifconfig
systemctl restart nginx
#重启并访问测试
九、基于端口的Nginx虚拟主机
就是改IP地址后面的端口,这个就不演示了
总结
1.设置并发量nginx.conf文件中 worker_processes乘worker_connections
2.查看当前nginx的并发量:安装status模块,浏览器访问http://IP地址/status 即可看到