Nginx

Nginx

1、Nginx 的配置文件

配置文件分三部分组成

①全局块

从配置文件开始到 events 块之间，主要是设置一些影响 Nginx 服务器整体运行的配置指令。

并发处理服务的配置，值越大，可以支持的并发处理量越多，但是会受到硬件、软件等设备的制约。

worker processes 1;

②events 块

影响 Nginx 服务器与用户的网络连接，常用的设置包括是否开启对多 workprocess 下的网络连接进行序列化，是否允许同时接收多个网络连接等等。

支持的最大连接数：

events {
	worker_connections 1024
}

③HTTP 块

诸如反向代理和负载均衡都在此配置。

location[ = | ~ | ~* | ^~] url{

}

location 指令说明，该语法用来匹配 url，语法如上：

• =：用于不含正则表达式的 url 前，要求字符串与 url 严格匹配，匹配成功就停止向下搜索并处理请求。
• ~：用于表示 url 包含正则表达式，并且区分大小写。
• ~*：用于表示 url 包含正则表达式，并且不区分大小写。
• ^~：用于不含正则表达式的 url 前，要求 Nginx 服务器找到表示 url 和字符串匹配度最高的 location 后，立即使用此 location 处理请求，而不再匹配。
• 如果有 url 包含正则表达式，不需要有 ~ 开头标识。

反向代理实战

①配置反向代理

目的：在浏览器地址栏输入地址 www.123.com 跳转 Linux 系统 Tomcat 主页面。

②具体实现

先配置 Tomcat，因为比较简单，此处不再赘叙，并在 Windows 访问：

server {
	listen 80;
	server_name 192.168.25.132;
	location / {
		root	html;
		proxy_pass http://127.0.0.1:8080;
		index index.html index.html;
	}
}

③反向代理 2

目标：

• 访问 http://192.168.25.132:9001/edu/ 直接跳转到 192.168.25.132:8080
• 访问 http://192.168.25.132:9001/vod/ 直接跳转到 192.168.25.132:8081

准备：配置两个 Tomcat，端口分别为 8080 和 8081，都可以访问，端口修改配置文件即可。

反向代理小结

第一个例子：浏览器访问 www.123.com，由 host 文件解析出服务器 ip 地址
192.168.25.132 www.123.com。

然后默认访问 80 端口，而通过 Nginx 监听 80 端口代理到本地的 8080 端口上，从而实现了访问 www.123.com，最终转发到 tomcat 8080 上去。

第二个例子：
访问 http://192.168.25.132:9001/edu/ 直接跳转到 192.168.25.132:8080
访问 http://192.168.25.132:9001/vod/ 直接跳转到 192.168.25.132:8081

实际上就是通过 Nginx 监听 9001 端口，然后通过正则表达式选择转发到 8080 还是 8081 的 Tomcat 上去。

负载均衡实战

http {
	...
	upstream myserver{
		server 192.168.132:8080;
		server 192.168.132:8081;
	}
	server {
		listen 80;
		server_name 192.168.25.132;
		location / {
			root	html;
			proxy_pass http://myserver;
			index index.html index.html;
		}
	}
}

②重启 Nginx：

./nginx -s reload

③在 8081 的 Tomcat 的 webapps 文件夹下新建 edu 文件夹和 a.html 文件，填写内容为 8081！！！！

④在地址栏回车，就会分发到不同的 Tomcat 服务器上

负载均衡方式如下：

• 轮询（默认）。
• weight，代表权，权越高优先级越高。
• fair，按后端服务器的响应时间来分配请求，相应时间短的优先分配。
• ip_hash，每个请求按照访问 ip 的 hash 结果分配，这样每一个访客固定的访问一个后端服务器，可以解决 Session 的问题。

动静分离实战

什么是动静分离？把动态请求和静态请求分开，不是讲动态页面和静态页面物理分离，可以理解为 Nginx 处理静态页面，Tomcat 处理动态页面。

动静分离大致分为两种：

• 纯粹将静态文件独立成单独域名放在独立的服务器上，也是目前主流方案。
• 将动态跟静态文件混合在一起发布，通过 Nginx 分开。

配置nginx

	server {
		listen 80;
		server_name 192.168.25.132;
		location /www/ {
			root	/data/;
			index index.html index.html;
		}
		location /image/ {
			root	/data/;
			autoindex on;
		}
	}

前期准备：

• 两台 Nginx 服务器
• 安装 Keepalived
• 虚拟 ip

#安装 Keepalived：
[root@192 usr]# yum install keepalived -y
[root@192 usr]# rpm -q -a keepalived
keepalived-1.3.5-16.el7.x86_64

#修改配置文件：
[root@192 keepalived]# cd /etc/keepalived
[root@192 keepalived]# vi keepalived.conf

分别将如下配置文件复制粘贴，覆盖掉 keepalived.conf，虚拟 ip 为 192.168.25.50。

对应主机 ip 需要修改的是：

• smtp_server 192.168.25.147（主）
• smtp_server 192.168.25.147（备）
• state MASTER（主） state BACKUP（备）

global_defs {
   notification_email {
     acassen@firewall.loc
     failover@firewall.loc
     sysadmin@firewall.loc
   }
   notification_email_from Alexandre.Cassen@firewall.loc
   smtp_server 192.168.25.147
   smtp_connect_timeout 30
   router_id LVS_DEVEL # 访问的主机地址
}

vrrp_script chk_nginx {
  script "/usr/local/src/nginx_check.sh"  # 检测文件的地址
  interval 2   # 检测脚本执行的间隔
  weight 2   # 权重
}

vrrp_instance VI_1 {
    state BACKUP # 主机MASTER、备机BACKUP
    interface ens33 # 网卡
    virtual_router_id 51 # 同一组需一致
    priority 90  # 访问优先级，主机值较大，备机较小
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.25.50  # 虚拟ip
    }
}

启动命令如下：

[root@192 sbin]# systemctl start keepalived.service

2、静态WEB资源服务器

使用gzip压缩来减少网络传输

当访问的资源很大时，往往会消耗大量的宽带，也增加加载时间。nginx可以设置静态资源的压缩功能。

gzip on
#表示打开gzip功能开关
gzip_min_length 1
#表示gzip最小压缩字节大小，如果一个文件很小，在一个tcp报文就能发送出来，这时再进行压缩效果不太，却又消耗cpu。（我这是为了演示才设置为1）
gzip_comp_level 2
#表示压缩级别
gzip_types
#表示只对列出来的类型进行压缩

使用autoindex

使用autoindex可以将一个目录信息分享给用户，用户根据自己需求打开对应目录。

location / {
	autoindex on;
}

这里需要提出一点的是，会有一些情况：开启了autoindex后，还是不会返回目录结构。可能是因为配置index指令，index指令优先级会大于autoindex指令。具体如下：

index：当访问/时会返回index指令的文件内容。index file，默认值是index.html，可以出现在http、server和location指令块中。

autoindex：当url以/结尾时，尝试以html/xml/json等格式返回root/alias中指向目录的目录结构

限制访问速度

因为公网带宽是有限的，当有许多用户同时访问时，他们是一个增强关系。这时可能需要用户访问一些大文件时限制访问速度，以确保能有足够的带宽使得其他用户能够访问一些例如css，js等基础文件。这时可以设置set的命令配合一些内置变量来实现这一个功能。比如说

set $limit_rate 1k;

限制服务器向浏览器发送响应的速度。$limit_rate这个变量可以在官网的ngx_http_core_module模块中的Embedded Variables中

用法就是变量后面加上一个以空间为单位的数字，表示每秒传输多少字节。加上限制之后，会发现访问速度有变化。

记录access日志

log_format main '$remote_ addr - $remote_user [$time_ local] "$request" '
				'$status $body_byte_sent "$http_referer"'
				'"$http_user_agent" "$http_x_forwarded_for"';

$remote_addr:表示远端的ip地址，也就是浏览器的ip地址
$remote_user：表示用户名提供基本身份验证
$time_local：表示访问时间
$request：完整的原始请求行
$status：表示响应状态
$body_bytes_sent：发送给客户端的body字节数
$http_referer：表示从哪跳转过来
$http_user_agent：用户浏览器的类别，版本以及操作系统的一些信息
$http_x_forwarded_for：客户端请求头中的"X-Forwarded-For"

设置完log_format之后，就要去设置日志记录的地方。使用access_log指令。

access_log所在哪个server块中，就表示这类请求的日志都记录在access_log设置的地方；

server {
    ...
    access_log logs/access.log main;
} 

表示将这个server的请求记录在logs的access.log文件中，采用main的记录格式

通过 Lua + Redis 实现动态封禁 IP

为了封禁某些爬虫或者恶意用户对服务器的请求，我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ，拒绝提供服务。

实现 IP 黑名单的功能有很多途径：

1、在操作系统层面，配置 iptables，拒绝指定 IP 的网络请求；

2、在 Web Server 层面，通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单；

3、在应用层面，在请求服务之前检查一遍客户端 IP 是否在黑名单。

为了方便管理和共享，我们选择通过 Nginx+Lua+Redis 的架构实现 IP 黑名单的功能，架构图如下：

1、安装 Nginx+Lua模块，推荐使用 OpenResty，这是一个集成了各种 Lua 模块的 Nginx 服务器：

2、安装并启动 Redis 服务器

3、配置 Nginx 示例：

http {
	lua_ shared dict ip_ blacklist 1m;
	server {
		listen	80;
		server_ name localhost;
		location = /ipblacklist {
			access_ by_ lua file lua/ip blacklist.lua;
			default type text/html;
			content by_ lua 'ngx.say("<p>hello, lua</p>")';
}

Nginx 配置，其中

lua_shared_dict ip_blacklist 1m

由 Nginx 进程分配一块 1M 大小的共享内存空间，用来缓存 IP 黑名单。

access_by_lua_file lua/ip_blacklist.lua;

指定 lua 脚本位置。

4、配置 lua 脚本，定期从 Redis 获取最新的 IP 黑名单。

local redis_host	= "your.redis.server.here"
local redis_port	= 6379
-- connection timeout for redis in ms。don't set this too high!
local redis_ connection_ timeout = 100
-- check a set with this key for blacklist entries
1ocal redis_ key	= “ip_blacklist"
-- cache lookups for this many seconds
local cache_ ttl	= 60
- end configuration
local ip	=”ngx.var .remote_ addr
local ip_blacklist	=ngx.shared.ip.blacklist
local last_update_time	=ip_blacklist:get("last_update_time");
-- only update 1p. blacklist from Redis once every cache_ .ttl seconds:
if last_update_time	=nil or 1ast_update_time < ( ngx.now() - cache. _ttl ) then
1oca1 redis =requlre "resty.redis";
local red	=redis:new();
red:set_timeout(redis_connect_timeout);
1ocal ok，err =red:connect(redis_host,redis_port);

if not ok then
ngx.1og(ngx.DEBUG，"Redis connection error while retrieving ip. blacklist: ”.. err);
else
local new_ip_blacklist, err = red:smenbers(redis_key);
if err then
ngx.1og(ngx.DEBUG，"Redis read error while retrieving ip. blacklist: ”.. err);
else

5、在 Redis 服务器上新建 Set 类型的数据 ip_blacklist，并加入最新的 IP 黑名单。

完成以上步骤后，重新加载 nginx，配置便开始生效了。这时访问服务器，如果你的 IP 地址在黑名单内的话，将出现拒绝访问，如下图：

Nginx 常用配置清单

Nginx 是一个高性能的 HTTP 和反向代理 web 服务器，同时也提供了 IMAP/POP3/SMTP 服务，其因丰富的功能集、稳定性、示例配置文件和低系统资源的消耗受到了开发者的欢迎。

本文，我们总结了一些常用的 Nginx 配置代码，希望对大家有所帮助。

侦听端口

server {
# Standard HTTP Protocol
listen 80;
# Standard HTTPS Protocol
listen 443 ssl;
# For http2
listen 443 ssl http2;
# Listen on 80 using IPv6
listen [::]:80;
# Listen only on using IPv6
listen [::]:80 ipv6only=on;
}

访问日志

server {
# Relative or full path to log file
access_log /path/to/file.log;
# Turn 'on' or 'off'  
access_log on;
}

域名

server {
# Listen to yourdomain.com
server_name yourdomain.com;
# Listen to multiple domains server_name yourdomain.com www.yourdomain.com;
# Listen to all domains
server_name *.yourdomain.com;
# Listen to all top-level domains
server_name yourdomain.*;
# Listen to unspecified Hostnames (Listens to IP address itself)
server_name "";
}

静态资产

server {
listen 80;
server_name yourdomain.com;
location / {
root /path/to/website;
}
}

重定向

server {
listen 80;
server_name www.yourdomain.com;
return 301 http://yourdomain.com$request_uri;
}
server {
listen 80;
server_name www.yourdomain.com;
location /redirect-url {
return 301 http://otherdomain.com;
}
}

反向代理

server {
listen 80;
server_name yourdomain.com;
location / {
proxy_pass http://0.0.0.0:3000;
# where 0.0.0.0:3000 is your application server (Ex: node.js) bound on 0.0.0.0 listening on port 3000
}
}

负载均衡

upstream node_js {
server 0.0.0.0:3000;
server 0.0.0.0:4000;
server 123.131.121.122;
}
server {
listen 80;
server_name yourdomain.com;
location / {
proxy_pass http://node_js;
}
}

SSL 协议

server {
listen 443 ssl;
server_name yourdomain.com;
ssl on;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/privatekey.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/fullchain.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_session_timeout 1h;
ssl_session_cache shared:SSL:50m;
add_header Strict-Transport-Security max-age=15768000;
}
# Permanent Redirect for HTTP to HTTPS
server 
{
listen 80;
server_name yourdomain.com;
return 301 https://$host$request_uri;
}

其实可以采用可视化的方式对 Nginx 进行配置，我在 GitHub 上发现了一款可以一键生成 Nginx 配置的神器，相当给力。

先来看看它都支持什么功能的配置：反向代理、HTTPS、HTTP/2、IPv6, 缓存、WordPress、CDN、Node.js 支持、 Python (Django) 服务器等等。

如果你想在线进行配置，只需要打开网站：https://nginxconfig.io/，按照自己的需求进行操作就行了

择你的场景，填写好参数，系统就会自动生成配置文件。

开源地址：github.com/digitalocean/nginxconfig.io

网站：digitalocean.com/community/tools/nginx