Nginx
1、Nginx 的配置文件
配置文件分三部分组成
①全局块
从配置文件开始到 events 块之间,主要是设置一些影响 Nginx 服务器整体运行的配置指令。
并发处理服务的配置,值越大,可以支持的并发处理量越多,但是会受到硬件、软件等设备的制约。
worker processes 1;
②events 块
影响 Nginx 服务器与用户的网络连接,常用的设置包括是否开启对多 workprocess 下的网络连接进行序列化,是否允许同时接收多个网络连接等等。
支持的最大连接数:
events {
worker_connections 1024
}
③HTTP 块
诸如反向代理和负载均衡都在此配置。
location[ = | ~ | ~* | ^~] url{
}
location 指令说明,该语法用来匹配 url,语法如上:
- =:用于不含正则表达式的 url 前,要求字符串与 url 严格匹配,匹配成功就停止向下搜索并处理请求。
- ~:用于表示 url 包含正则表达式,并且区分大小写。
- ~*:用于表示 url 包含正则表达式,并且不区分大小写。
- ^~:用于不含正则表达式的 url 前,要求 Nginx 服务器找到表示 url 和字符串匹配度最高的 location 后,立即使用此 location 处理请求,而不再匹配。
- 如果有 url 包含正则表达式,不需要有 ~ 开头标识。
反向代理实战
①配置反向代理
目的:在浏览器地址栏输入地址 www.123.com 跳转 Linux 系统 Tomcat 主页面。
②具体实现
先配置 Tomcat,因为比较简单,此处不再赘叙,并在 Windows 访问:
server {
listen 80;
server_name 192.168.25.132;
location / {
root html;
proxy_pass http://127.0.0.1:8080;
index index.html index.html;
}
}
③反向代理 2
目标:
- 访问 http://192.168.25.132:9001/edu/ 直接跳转到 192.168.25.132:8080
- 访问 http://192.168.25.132:9001/vod/ 直接跳转到 192.168.25.132:8081
准备:配置两个 Tomcat,端口分别为 8080 和 8081,都可以访问,端口修改配置文件即可。
反向代理小结
第一个例子:浏览器访问 www.123.com,由 host 文件解析出服务器 ip 地址
192.168.25.132 www.123.com。
然后默认访问 80 端口,而通过 Nginx 监听 80 端口代理到本地的 8080 端口上,从而实现了访问 www.123.com,最终转发到 tomcat 8080 上去。
第二个例子:
访问 http://192.168.25.132:9001/edu/ 直接跳转到 192.168.25.132:8080
访问 http://192.168.25.132:9001/vod/ 直接跳转到 192.168.25.132:8081
实际上就是通过 Nginx 监听 9001 端口,然后通过正则表达式选择转发到 8080 还是 8081 的 Tomcat 上去。
负载均衡实战
http {
...
upstream myserver{
server 192.168.132:8080;
server 192.168.132:8081;
}
server {
listen 80;
server_name 192.168.25.132;
location / {
root html;
proxy_pass http://myserver;
index index.html index.html;
}
}
}
②重启 Nginx:
./nginx -s reload
③在 8081 的 Tomcat 的 webapps 文件夹下新建 edu 文件夹和 a.html 文件,填写内容为 8081!!!!
④在地址栏回车,就会分发到不同的 Tomcat 服务器上
负载均衡方式如下:
- 轮询(默认)。
- weight,代表权,权越高优先级越高。
- fair,按后端服务器的响应时间来分配请求,相应时间短的优先分配。
- ip_hash,每个请求按照访问 ip 的 hash 结果分配,这样每一个访客固定的访问一个后端服务器,可以解决 Session 的问题。
动静分离实战
什么是动静分离?把动态请求和静态请求分开,不是讲动态页面和静态页面物理分离,可以理解为 Nginx 处理静态页面,Tomcat 处理动态页面。
动静分离大致分为两种:
- 纯粹将静态文件独立成单独域名放在独立的服务器上,也是目前主流方案。
- 将动态跟静态文件混合在一起发布,通过 Nginx 分开。
配置nginx
server {
listen 80;
server_name 192.168.25.132;
location /www/ {
root /data/;
index index.html index.html;
}
location /image/ {
root /data/;
autoindex on;
}
}
前期准备:
- 两台 Nginx 服务器
- 安装 Keepalived
- 虚拟 ip
#安装 Keepalived:
[root@192 usr]# yum install keepalived -y
[root@192 usr]# rpm -q -a keepalived
keepalived-1.3.5-16.el7.x86_64
#修改配置文件:
[root@192 keepalived]# cd /etc/keepalived
[root@192 keepalived]# vi keepalived.conf
分别将如下配置文件复制粘贴,覆盖掉 keepalived.conf,虚拟 ip 为 192.168.25.50。
对应主机 ip 需要修改的是:
- smtp_server 192.168.25.147(主)
- smtp_server 192.168.25.147(备)
- state MASTER(主) state BACKUP(备)
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.25.147
smtp_connect_timeout 30
router_id LVS_DEVEL # 访问的主机地址
}
vrrp_script chk_nginx {
script "/usr/local/src/nginx_check.sh" # 检测文件的地址
interval 2 # 检测脚本执行的间隔
weight 2 # 权重
}
vrrp_instance VI_1 {
state BACKUP # 主机MASTER、备机BACKUP
interface ens33 # 网卡
virtual_router_id 51 # 同一组需一致
priority 90 # 访问优先级,主机值较大,备机较小
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.25.50 # 虚拟ip
}
}
启动命令如下:
[root@192 sbin]# systemctl start keepalived.service
2、静态WEB资源服务器
使用gzip压缩来减少网络传输
当访问的资源很大时,往往会消耗大量的宽带,也增加加载时间。nginx可以设置静态资源的压缩功能。
gzip on
#表示打开gzip功能开关
gzip_min_length 1
#表示gzip最小压缩字节大小,如果一个文件很小,在一个tcp报文就能发送出来,这时再进行压缩效果不太,却又消耗cpu。(我这是为了演示才设置为1)
gzip_comp_level 2
#表示压缩级别
gzip_types
#表示只对列出来的类型进行压缩
使用autoindex
使用autoindex
可以将一个目录信息分享给用户,用户根据自己需求打开对应目录。
location / {
autoindex on;
}
这里需要提出一点的是,会有一些情况:开启了autoindex后,还是不会返回目录结构。可能是因为配置index指令,index指令优先级会大于autoindex指令。具体如下:
index:当访问/时会返回index指令的文件内容。index file,默认值是index.html,可以出现在http、server和location指令块中。
autoindex:当url以/结尾时,尝试以html/xml/json等格式返回root/alias中指向目录的目录结构
限制访问速度
因为公网带宽是有限的,当有许多用户同时访问时,他们是一个增强关系。这时可能需要用户访问一些大文件时限制访问速度,以确保能有足够的带宽使得其他用户能够访问一些例如css,js等基础文件。这时可以设置set的命令配合一些内置变量来实现这一个功能。比如说
set $limit_rate 1k;
限制服务器向浏览器发送响应的速度。$limit_rate这个变量可以在官网的ngx_http_core_module模块中的Embedded Variables中
用法就是变量后面加上一个以空间为单位的数字,表示每秒传输多少字节。加上限制之后,会发现访问速度有变化。
记录access日志
log_format main '$remote_ addr - $remote_user [$time_ local] "$request" '
'$status $body_byte_sent "$http_referer"'
'"$http_user_agent" "$http_x_forwarded_for"';
$remote_addr:表示远端的ip地址,也就是浏览器的ip地址
$remote_user:表示用户名提供基本身份验证
$time_local:表示访问时间
$request:完整的原始请求行
$status:表示响应状态
$body_bytes_sent:发送给客户端的body字节数
$http_referer:表示从哪跳转过来
$http_user_agent:用户浏览器的类别,版本以及操作系统的一些信息
$http_x_forwarded_for:客户端请求头中的"X-Forwarded-For"
设置完log_format之后,就要去设置日志记录的地方。使用access_log指令。
access_log所在哪个server块中,就表示这类请求的日志都记录在access_log设置的地方;
server {
...
access_log logs/access.log main;
}
表示将这个server的请求记录在logs的access.log文件中,采用main的记录格式
通过 Lua + Redis 实现动态封禁 IP
为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。
实现 IP 黑名单的功能有很多途径:
1、在操作系统层面,配置 iptables,拒绝指定 IP 的网络请求;
2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单;
3、在应用层面,在请求服务之前检查一遍客户端 IP 是否在黑名单。
为了方便管理和共享,我们选择通过 Nginx+Lua+Redis 的架构实现 IP 黑名单的功能,架构图如下:
1、安装 Nginx+Lua模块,推荐使用 OpenResty,这是一个集成了各种 Lua 模块的 Nginx 服务器:
2、安装并启动 Redis 服务器
3、配置 Nginx 示例:
http {
lua_ shared dict ip_ blacklist 1m;
server {
listen 80;
server_ name localhost;
location = /ipblacklist {
access_ by_ lua file lua/ip blacklist.lua;
default type text/html;
content by_ lua 'ngx.say("<p>hello, lua</p>")';
}
Nginx 配置,其中
lua_shared_dict ip_blacklist 1m
由 Nginx 进程分配一块 1M 大小的共享内存空间,用来缓存 IP 黑名单。
access_by_lua_file lua/ip_blacklist.lua;
指定 lua 脚本位置。
4、配置 lua 脚本,定期从 Redis 获取最新的 IP 黑名单。
local redis_host = "your.redis.server.here"
local redis_port = 6379
-- connection timeout for redis in ms。don't set this too high!
local redis_ connection_ timeout = 100
-- check a set with this key for blacklist entries
1ocal redis_ key = “ip_blacklist"
-- cache lookups for this many seconds
local cache_ ttl = 60
- end configuration
local ip =”ngx.var .remote_ addr
local ip_blacklist =ngx.shared.ip.blacklist
local last_update_time =ip_blacklist:get("last_update_time");
-- only update 1p. blacklist from Redis once every cache_ .ttl seconds:
if last_update_time =nil or 1ast_update_time < ( ngx.now() - cache. _ttl ) then
1oca1 redis =requlre "resty.redis";
local red =redis:new();
red:set_timeout(redis_connect_timeout);
1ocal ok,err =red:connect(redis_host,redis_port);
if not ok then
ngx.1og(ngx.DEBUG,"Redis connection error while retrieving ip. blacklist: ”.. err);
else
local new_ip_blacklist, err = red:smenbers(redis_key);
if err then
ngx.1og(ngx.DEBUG,"Redis read error while retrieving ip. blacklist: ”.. err);
else
5、在 Redis 服务器上新建 Set 类型的数据 ip_blacklist,并加入最新的 IP 黑名单。
完成以上步骤后,重新加载 nginx,配置便开始生效了。这时访问服务器,如果你的 IP 地址在黑名单内的话,将出现拒绝访问,如下图:
Nginx 常用配置清单
Nginx 是一个高性能的 HTTP 和反向代理 web 服务器,同时也提供了 IMAP/POP3/SMTP 服务,其因丰富的功能集、稳定性、示例配置文件和低系统资源的消耗受到了开发者的欢迎。
本文,我们总结了一些常用的 Nginx 配置代码,希望对大家有所帮助。
侦听端口
server {
# Standard HTTP Protocol
listen 80;
# Standard HTTPS Protocol
listen 443 ssl;
# For http2
listen 443 ssl http2;
# Listen on 80 using IPv6
listen [::]:80;
# Listen only on using IPv6
listen [::]:80 ipv6only=on;
}
访问日志
server {
# Relative or full path to log file
access_log /path/to/file.log;
# Turn 'on' or 'off'
access_log on;
}
域名
server {
# Listen to yourdomain.com
server_name yourdomain.com;
# Listen to multiple domains server_name yourdomain.com www.yourdomain.com;
# Listen to all domains
server_name *.yourdomain.com;
# Listen to all top-level domains
server_name yourdomain.*;
# Listen to unspecified Hostnames (Listens to IP address itself)
server_name "";
}
静态资产
server {
listen 80;
server_name yourdomain.com;
location / {
root /path/to/website;
}
}
重定向
server {
listen 80;
server_name www.yourdomain.com;
return 301 http://yourdomain.com$request_uri;
}
server {
listen 80;
server_name www.yourdomain.com;
location /redirect-url {
return 301 http://otherdomain.com;
}
}
反向代理
server {
listen 80;
server_name yourdomain.com;
location / {
proxy_pass http://0.0.0.0:3000;
# where 0.0.0.0:3000 is your application server (Ex: node.js) bound on 0.0.0.0 listening on port 3000
}
}
负载均衡
upstream node_js {
server 0.0.0.0:3000;
server 0.0.0.0:4000;
server 123.131.121.122;
}
server {
listen 80;
server_name yourdomain.com;
location / {
proxy_pass http://node_js;
}
}
SSL 协议
server {
listen 443 ssl;
server_name yourdomain.com;
ssl on;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/privatekey.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/fullchain.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_timeout 1h;
ssl_session_cache shared:SSL:50m;
add_header Strict-Transport-Security max-age=15768000;
}
# Permanent Redirect for HTTP to HTTPS
server
{
listen 80;
server_name yourdomain.com;
return 301 https://$host$request_uri;
}
其实可以采用可视化的方式对 Nginx 进行配置,我在 GitHub 上发现了一款可以一键生成 Nginx 配置的神器,相当给力。
先来看看它都支持什么功能的配置:反向代理、HTTPS、HTTP/2、IPv6, 缓存、WordPress、CDN、Node.js 支持、 Python (Django) 服务器等等。
如果你想在线进行配置,只需要打开网站:https://nginxconfig.io/,按照自己的需求进行操作就行了
择你的场景,填写好参数,系统就会自动生成配置文件。
开源地址:github.com/digitalocean/nginxconfig.io
网站:digitalocean.com/community/tools/nginx