Nginx的简介
"Nginx是一款轻量级的HTTP服务器,采用事件驱动的异步非阻塞处理方式框架,这让其具有极好的IO性能,时常用于服务端的反向代理和负载均衡。"-----官方介绍
Nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器;同时也是一个IMAP/POP3/SMTP代理服务器;nginx可作为一个HTTP服务器进行网站的发布处理,另外nginx可以作为反向代理进行负载均衡的实现。
优点
-
支持海量高并发:采用IO多路复用epoll。官方测试Nginx能够支持5万并发链接,实际生产环境中可以支撑2-4万并发连接数。
-
内存消耗少:在主流的服务器中Nginx目前是内存消耗最小的了,比如我们用Nginx+PHP,在3万并发链接下,开启10个Nginx进程消耗150M内存。
-
免费使用可以商业化:Nginx为开源软件,采用的是2-clause BSD-like协议,可以免费使用,并且可以用于商业。
-
配置文件简单:网络和程序配置通俗易懂,即使非专业运维也能看懂。
在Ubuntu 18.04 上安装Nginx
安装
sudo apt-get update
sudo apt-get install nginx
调整防火墙
Nginx在安装时将自己注册为ufw服务,这使得Nginx可以直接访问Nginx。
在测试Nginx之前,需要调整防火墙软件以允许访问该服务。
列出应用配置文件:
sudo ufw app list
[外链图片转存失败(img-xTXfL8bW-1569412724095)(.\img\ufw_app_list.JPG)]
如上图,Nginx有三种配置文件可用:
- Nginx Full :此配置文件打开端口80(正常,未加密的网络流量)和端口443(TLS / SSL加密流量)
- Nginx HTTP :此配置文件仅打开端口80(正常,未加密的网络流量)
- Nginx HTTPS :此配置文件仅打开端口443(TLS / SSL加密流量)
建议您启用最严格的配置文件,该配置文件仍将允许您配置的流量。 由于我们尚未在本指南中为我们的服务器配置SSL,因此我们只需要允许端口80上的流量。
启用:
sudo ufw allow 'Nginx HTTP'
验证更改:
sudo ufw status
正常情况下会输出如下:
但是,也有可能出现以下情况:
解决方法:
sudo ufw enable
检查你的Web服务器
systemctl status nginx
正如上面所见,服务已经成功启动。
在浏览器测试
在浏览器地址栏输入你的服务器IP地址。如果在本地安装,可输入 localhost,你的浏览器会显示nginx的欢迎页面。
Nginx配置文件解读
进入/etc/nginx目录,打开nginx.conf文件
#运行用户
user www-data;
#worker_processes定义了nginx对外提供web服务时的worder进程数。最优值取决于许多因素,包括(但不限于)CPU核的数量、存储数据#的硬盘数量及负载模式。
#不能确定的时候,将其设置为可用的CPU内核数将是一个好的开始(设置为“auto”将尝试自动检测它)。
worker_processes auto;
#进程pid存放位置
pid /run/nginx.pid;
#包含的子配置项位置和文件
include /etc/nginx/modules-enabled/*.conf;
# 事件模块
events {
# worker_connections设置可由一个worker进程同时打开的最大连接数
worker_connections 768;
# multi_accept 告诉nginx收到一个新连接通知后接受尽可能多的连接。
# multi_accept on;
}
# http核心模块
http {
##
# Basic Settings
##
# sendfile 是否启动高效传输文件模式
#sendfile可以让Nginx在传输文件时直接在磁盘和tcp socket之间传输数据.
# 如果这个参数不开启, 会先在用户空间(Nginx进程空间)申请一个buffer, 用read函数把数据从磁盘读到 #cache,
# 再从cache读取到用户空间的buffer, 再用write函数把数据从用户空间的buffer写入到内核的buffer,
# 最后到tcp socket. 开启这个参数后可以让数据不用经过用户buffer, 默认off.
sendfile on;
# tcp_nopush必须在sendfile开启模式才有效, 告诉Nginx在一个数据包里发送所有头文件, 而不一个接一个
# 发送, 默认off.
tcp_nopush on;
# tcp_nodelay 告诉Nginx不要缓存数据, 而是一段一段的发送, 当需要及时发送数据时, 就应该开启这个功 能, 这样发送一小块数据信息时就能够立即得到返回值, 默认on.
tcp_nodelay on;
# keepalive_timeout 给客户端分配keep-alive链接超时时间。服务器将在这个超时时间过后关闭链接。
# 我们将它设置低些可以让ngnix持续工作的时间更长。
keepalive_timeout 65;
# 影响散列表的冲突率, types_hash_max_size越大, 就会消耗更多的内存, 但散列key的冲突率会降低,
# 检索速度就更快. types_hash_max_size越小, 消耗的内存就越小, 但散列key的冲突率可能上升
types_hash_max_size 2048;
# 是否显示版本号, 若不显示, 浏览器访问时抓包, 查看HTTP响应的Server头没有版本号, 默认on
# server_tokens off;
# 保存服务器名字的hash表是由指令server_names_hash_max_size和server_names_hash_bucket_size # 所控制, 若Nginx给出需要增大hash max size或hash bucket size的提示, 那么首要的是增大前一个参数 # 的大小.
# server_names_hash_bucket_size 64;
# server_names_hash_max_size 512;
# 若为off, 则会以当前服务器的IP地址进行拼接URL. 若为on, 则会首先查找server_name,
# 若没有找到, 则会查找请求头的HOST字段, 若还是没有, 则以当前服务器的IP进行拼接, 默认on.
# server_name_in_redirect off;
# 设定MIME类型, 类型由mime.type文件定义.
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
##
# Logging Settings
##
# 每一个访问请求的记录位置
access_log /var/log/nginx/access.log;
# Nginx错误信息的记录位置
error_log /var/log/nginx/error.log;
##
# Gzip Settings
##
# 是否启动Gzip
gzip on;
# 和HTTP头有关系, 加个vary头, 给代理服务器用的, 有的浏览器支持压缩, 有的不支持,
# 为了避免浪费不支持的也压缩, 根据客户端的HTTP头来判断, 是否需要压缩.
# gzip_vary on;
# Nginx作为反向代理的时候该参数起作用, 根据某些请求和应答来决定是否在对代理请求的应答启用Gzip压缩,
# 是否压缩取决于请求头中的"Via"字段, 指令中可以同时指定多个不同的参数, 可选值值为:
# off - 关闭所有的代理结果数据的压缩
# expired - 启用压缩,如果header头中包含 "Expires" 头信息
# no-cache - 启用压缩,如果header头中包含 "Cache-Control:no-cache" 头信息
# no-store - 启用压缩,如果header头中包含 "Cache-Control:no-store" 头信息
# private - 启用压缩,如果header头中包含 "Cache-Control:private" 头信息
# no_last_modified - 启用压缩,如果header头中不包含 "Last-Modified" 头信息
# no_etag - 启用压缩 ,如果header头中不包含 "ETag" 头信息
# auth - 启用压缩 , 如果header头中包含 "Authorization" 头信息
# any - 无条件启用压缩
# 默认为off.
# gzip_proxied any;
# Gzip压缩比, 值为1~9, 1的压缩比最小处理速度最快, 9的压缩比最大但处理最慢(传输快但比较消耗CPU)
# gzip_comp_level 6;
# 设置系统获取几个单位的缓存用于存储Gzip的压缩结果数据流, 4 8k代表: 按照原始数据大小以8k为单位的4倍 # 申请内存.
# gzip_buffers 16 8k;
# 识别HTTP的协议版本, 99.99%的浏览器都支持1.1, 所以可以不用设这个值, 保持系统默认即可, 默认1.1.
# gzip_http_version 1.1;
# 匹配MIME类型进行压缩
# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
## 虚拟主机设置
# Virtual Host Configs
##
# Nginx的配置很灵活, 支持include配置文件, 如果我们的域名都配置到nginx.conf, 那么这个文件就会比较 # 乱,也影响管理和阅读, 所以直接拆分出来, 分成不同的配置文件.
include /etc/nginx/conf.d/*.conf;
# 加载一个外部的配置文件, sites-enabled文件夹下只有一个default文件,
# 这个外部的配置文件就是负责我们Nginx的默认代理, 也就是server块的配置.
include /etc/nginx/sites-enabled/*;
}
#配置邮件服务器
#mail {
# # See sample authentication script at:
# # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
# # 指定Nginx提供邮件服务时, 用于HTTP认证的服务地址
# # auth_http localhost/auth.php;
# # 指定现有客户端上的POP3协议的扩展
# # pop3_capabilities "TOP" "USER";
# # 指定现有客户端上的IMAP协议的扩展
# # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
# server {
# # 指定邮件服务器监听的IP地址和端口
# listen localhost:110;
# # 指定虚拟机支持的加密协议
# protocol pop3;
# # 是否开启邮件代理
# proxy on;
# }
#
# server {
# # 指定邮件服务器监听的IP地址和端口
# listen localhost:143;
# # 指定虚拟机支持的加密协议
# protocol imap;
# # 是否开启邮件代理
# proxy on;
# }
#}
进入 /etc/nginx/sites-available 目录,打开default文件
##
# You should look at the following URL's in order to grasp a solid understanding
# of Nginx configuration files in order to fully unleash the power of Nginx.
# https://www.nginx.com/resources/wiki/start/
# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/
# https://wiki.debian.org/Nginx/DirectoryStructure
#
# In most cases, administrators will remove this file from sites-enabled/ and
# leave it as reference inside of sites-available where it will continue to be
# updated by the nginx packaging team.
#
# This file will automatically load configuration files provided by other
# applications, such as Drupal or Wordpress. These applications will be made
# available underneath a path with that package name, such as /drupal8.
#
# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.
##
# Default server configuration
#
server {
# Nginx监听的IP及端口号, 可以监听多个
listen 80 default_server;
# Nginx监听的IPv6的IP及端口号
listen [::]:80 default_server;
# SSL configuration
# SSL协议配置
# listen 443 ssl default_server;
# listen [::]:443 ssl default_server;
#
# Note: You should disable gzip for SSL traffic.
# See: https://bugs.debian.org/773332
#
# Read up on ssl_ciphers to ensure a secure configuration.
# See: https://bugs.debian.org/765782
#
# Self signed certs generated by the ssl-cert package
# Don't use them in a production server!
# 加载配置片段
# include snippets/snakeoil.conf;
# 指定哪个目录作为根目录, 用于文件的检索
root /var/www/html;
# Add index.php to the list if you are using PHP
# 在上面指定的根目录下, 找到如下页面, 作为Nginx的默认主页
index index.html index.htm index.nginx-debian.html;
# 配置server的多域名, 域名可以通过以下方式:
# 1. 完整的域名, 如: www.example.com
# 2. 带*号开头的域名, 如: *.example.com
# 3. 带*号末尾的域名, 如: mail.*
# 4. 可匹配的正则表达式
server_name _;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
# 原请求不存在时, 重定向到指定的URI, 并返回结果(此处设定为404)
try_files $uri $uri/ =404;
}
# pass PHP scripts to FastCGI server
#location ~ \.php$ {
# include snippets/fastcgi-php.conf;
#
# # With php-fpm (or other unix sockets):
# fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
# # With php-cgi (or other tcp sockets):
# fastcgi_pass 127.0.0.1:9000;
#}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}
# Virtual Host configuration for example.com
#
# You can move that to a different file under sites-available/ and symlink that
# to sites-enabled/ to enable it.
#
#server {
# listen 80;
# listen [::]:80;
#
# server_name example.com;
#
# root /var/www/example.com;
# index index.html;
#
# location / {
# try_files $uri $uri/ =404;
# }
#}
重要的Nginx文件和目录
内容
/var/www/html:默认情况下,实际的网页内容仅包含您之前看到的默认Nginx页面,它将在/var/www/html目录中提供。 这可以通过改变Nginx配置文件来改变。
服务器配置
/etc/nginx:Nginx配置目录。 所有的Nginx配置文件都驻留在这里。/etc/nginx/nginx.conf:主要的Nginx配置文件。 这可以修改,以更改Nginx全局配置。/etc/nginx/sites-available/:可存储每个站点服务器块的目录。 除非将Nginx链接到sites-enabled了sites-enabled目录,否则Nginx不会使用此目录中的配置文件。 通常,所有服务器块配置都在此目录中完成,然后通过链接到其他目录启用。/etc/nginx/sites-enabled/:存储启用的每个站点服务器块的目录。 通常,这些是通过链接到sites-available目录中的配置文件创建的。/etc/nginx/snippets:这个目录包含可以包含在Nginx配置其他地方的配置片段。 可重复配置的片段可以重构为片段。
服务日志
/var/log/nginx/access.log:除非Nginx配置为其他方式,否则每个对您的Web服务器的请求都会记录在此日志文件中。/var/log/nginx/error.log:任何Nginx错误都会记录在这个日志中。
管理Nginx进程
停止Nginx 服务
$ sudo systemctl stop nginx
启动Nginx服务
$ sudo systemctl start nginx
重新启动Nginx服务
$ sudo systemctl restart nginx
若对配置文件进行了更改,Nginx可以重新载入配置文件
$ sudo systemctl reload nginx
取消随系统启动
$ sudo systemctl disable nginx
设置为随系统启动
$ sudo systemctl enable nginx
自定义错误页和访问设置
单独为错误置顶处理方式
编辑 /etc/nginx/conf.d/default.conf
sudo vim /etc/nginx/conf.d/default.conf
添加如下语句:
error_page 404 /404_error.html;
然后到网站目录下新建一个404_error.html 文件,并写入一些信息。
<html>
<meta charset="UTF-8">
<body>
<h1>404页面没有找到!</h1>
</body>
</html
然后重启我们的服务,再进行访问,你会发现404页页面变成下面的样子:
[外链图片转存失败(img-DPrrJtGV-1569412724100)(.\img\404_page.png)]
把错误码换成一个地址
处理错误的时候,不仅可以只使用本服务器的资源,还可以使用外部的资源。比如我们将配置文件设置成这样。
error_page 404 外部资源地址;
多错误指向一个页面
error_page 500 502 503 504 /50x.html;
error_page指令用于自定义错误页面,500,502,503,504 这些就是HTTP中最常见的错误代码,/50.html 用于表示当发生上述指定的任意一个错误的时候,都是用网站根目录下的/50.html文件进行处理.
简单实现访问控制
有时候我们的服务器只允许特定主机访问,比如内部OA系统,或者应用的管理后台系统,更或者是某些应用接口,这时候我们就需要控制一些IP访问,我们可以直接在location里进行配置。
location / {
deny 禁止访问的IP;
allow 允许访问的IP;
}
配置完成后,重启一下服务器就可以实现限制和允许访问了。
Nginx访问权限
指令优先级
location / {
allow 123.123.123.123;
deny all;
}
上面的配置表示只允许123.123.123.123进行访问,其他的IP是禁止访问的。
但是如果我们把deny all指令,移动到 allow 123.123.123.123之前,会发生什么那?会发现所有的IP都不允许访问了。
这说明了一个问题:就是在同一个块下的两个权限指令,先出现的设置会覆盖后出现的设置(也就是谁先触发,谁起作用)
复杂访问控制权限匹配
在工作中,访问权限的控制需求更加复杂,例如,对于网站下的img(图片目录)是运行所有用户访问,但对于网站下的admin目录则只允许公司内部固定IP访问。这时候仅靠deny和allow这两个指令,是无法实现的。我们需要location块来完成相关的需求匹配。
上面的需求,配置代码如下:
location =/img{
allow all;
}
location =/admin{
deny all;
}
注意:=号代表精确匹配,使用了=后是根据其后的模式进行精确匹配。这个直接关系到我们网站的安全,一定要学会。
使用正则表达式设置访问权限
只有精确匹配有时是完不成我们的工作任务的,比如现在我们要禁止访问所有php的页面,php的页面大多是后台的管理或者接口代码,所以为了安全我们经常要禁止所有用户访问,而只开放公司内部访问的。
location ~\.php$ {
deny all;
}
这样我们再访问的时候就不能访问以php结尾的文件了。
Nginx设置虚拟主机
虚拟主机是指在一台物理主机服务器上划分出多个磁盘空间,每个磁盘空间都是一个虚拟主机,每台虚拟主机都可以对外提供Web服务,并且互不干扰。在外界看来,虚拟主机就是一台独立的服务器主机,这意味着用户能够利用虚拟主机把多个不同域名的网站部署在同一台服务器上,而不必再为简历一个网站单独购买一台服务器,既解决了维护服务器技术的难题,同时又极大地节省了服务器硬件成本和相关的维护费用。
配置虚拟主机可以基于端口号、基于IP和基于域名。
基于端口号配置虚拟主机
基于端口号来配置虚拟主机,算是Nginx中最简单的一种方式了。原理就是Nginx监听多个端口,根据不同的端口号,来区分不同的网站。
可以直接配置在主文件里etc/nginx/nginx.conf文件里, 也可以配置在子配置文件里/etc/nginx/sites-available/defaul。这里新建一个8001.conf文件,放在/etc/nginx/conf.d里面。
编辑配置文件/etc/nginx/conf.d/8001.conf,添加server选项。
server{
listen 8001;
server_name localhost;
root /usr/share/nginx/html/html8001;
index index.html;
}
最后在浏览器中分别访问地址和带端口的地址:
基于IP的虚拟主机
基于IP和基于端口的配置几乎一样,只是把server_name选项,配置成IP就可以了。
比如上面的配置,我们可以修改为:
server{
listen 80;
server_name 123.123.123.123;
root /usr/share/nginx/html/html8001;
index index.html;
}
配置以域名为划分的虚拟主机
先对域名进行解析,这样域名才能正确定位到你需要的IP上。 我这里以自己博客域名为例新建了两个解析,分别是:
-
nginx.matrixchan.com 这个域名映射到默认的Nginx首页位置。
-
nginx2.matrixchan.com 这个域名映射到原来的8001端口的位置。
修改
/etc/nginx/sites-available/defaul目录下的default文件,把原来的80端口虚拟主机改为以域名划分的虚拟主机。代码如下:
server {
listen 80;
server_name nginx.matrixchan.com;
我们再把同目录下的/etc/nginx/conf.d/8001.conf/8001.conf文件进行修改,改成如下:
server{
listen 80;
server_name nginx2.matrixchan.com;
location / {
root /usr/share/nginx/html/html8001;
index index.html index.htm;
}
}
然后我们用平滑重启的方式,进行重启,这时候我们在浏览器中访问这两个网页。
Nginx反向代理的设置
现在的web模式基本的都是标准的CS结构,即Client端到Server端。那代理就是在Client端和Server端之间增加一个提供特定功能的服务器,这个服务器就是我们说的代理服务器。
正向代理
正向代理是把我们不让访问的服务器的网页请求,代理到一个可以访问该网站的代理服务器上来,一般叫做proxy服务器,再转发给客户。
反向代理
反向代理跟代理正好相反(需要说明的是,现在基本所有的大型网站的页面都是用了反向代理),客户端发送的请求,想要访问server服务器上的内容。发送的内容被发送到代理服务器上,这个代理服务器再把请求发送到自己设置好的内部服务器上,而用户真实想获得的内容就在这些设置好的服务器上。
通过图片的对比,应该看出一些区别,这里proxy服务器代理的并不是客户端,而是服务器,即向外部客户端提供了一个统一的代理入口,客户端的请求都要先经过这个proxy服务器。具体访问那个服务器server是由Nginx来控制的。再简单点来讲,一般代理指代理的客户端,反向代理是代理的服务器。
反向代理的用途和好处
- 安全性:正向代理的客户端能够在隐藏自身信息的同时访问任意网站,这个给网络安全代理了极大的威胁。因此,我们必须把服务器保护起来,使用反向代理客户端用户只能通过外来网来访问代理服务器,并且用户并不知道自己访问的真实服务器是那一台,可以很好的提供安全保护。
- 功能性:反向代理的主要用途是为多个服务器提供负债均衡、缓存等功能。负载均衡就是一个网站的内容被部署在若干服务器上,可以把这些机子看成一个集群,那Nginx可以将接收到的客户端请求“均匀地”分配到这个集群中所有的服务器上,从而实现服务器压力的平均分配,也叫负载均衡。
最简单的反向代理
现在我们要访问http://nginx2.matrixchan.com然后反向代理到matrixchan.com这个网站。我们直接到etc/nginx/con.d/8001.conf进行修改。
修改后的配置文件如下:
server{
listen 80;
server_name nginx2.matrixchan.com;
location / {
proxy_pass http://matrixchan.com;
}
}
一般我们反向代理的都是一个IP,但是我这里代理了一个域名也是可以的。
其它反向代理指令
反向代理还有些常用的指令,我在这里给大家列出:
- proxy_set_header :在将客户端请求发送给后端服务器之前,更改来自客户端的请求头信息。
- proxy_connect_timeout:配置Nginx与后端代理服务器尝试建立连接的超时时间。
- proxy_read_timeout : 配置Nginx向后端服务器组发出read请求后,等待相应的超时时间。
- proxy_send_timeout:配置Nginx向后端服务器组发出write请求后,等待相应的超时时间。
- proxy_redirect :用于修改后端服务器返回的响应头中的Location和Refresh。
Nginx的Gzip压缩配置
Gzip是网页的一种网页压缩技术,经过gzip压缩后,页面大小可以变为原来的30%甚至更小。
更小的网页会让用户浏览的体验更好,速度更快。
gzip网页压缩的实现需要浏览器和服务器的支持。
gzip是需要服务器和浏览器同事支持的。当浏览器支持gzip压缩时,会在请求消息中包含Accept-Encoding:gzip,这样Nginx就会向浏览器发送听过gzip后的内容,同时在相应信息头中加入Content-Encoding:gzip,声明这是gzip后的内容,告知浏览器要先解压后才能解析输出。
gzip的配置项Nginx提供了专门的gzip模块,并且模块中的指令非常丰富。
- gzip : 该指令用于开启或 关闭gzip模块。
- gzip_buffers : 设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流。
- gzip_comp_level : gzip压缩比,压缩级别是1-9,1的压缩级别最低,9的压缩级别最高。压缩级别越高压缩率越大,压缩时间越长。
- gzip_disable : 可以通过该指令对一些特定的User-Agent不使用压缩功能。
- gzip_min_length:设置允许压缩的页面最小字节数,页面字节数从相应消息头的Content-length中进行获取。
- gzip_http_version:识别HTTP协议版本,其值可以是1.1.或1.0.
- gzip_proxied : 用于设置启用或禁用从代理服务器上收到相应内容gzip压缩。
- gzip_vary : 用于在响应消息头中添加Vary:Accept-Encoding,使代理服务器根据请求头中的Accept-Encoding识别是否启用gzip压缩。
gzip最简单的配置
http {
.....
gzip on;
gzip_types text/plain application/javascript text/css;
.....
}
gzip on是启用gizp模块,下面的一行是用于在客户端访问网页时,对文本、JavaScript 和CSS文件进行压缩输出。
配置好后,我们就可以重启Nginx服务,让我们的gizp生效了。
4628
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
