nginx

1 Nginx的用武之地

Nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器；同时也是一个IMAP、POP3、SMTP代理服务器；Nginx可以作为一个HTTP服务器进行网站的发布处理，另外nginx可以作为反向代理进行负载均衡的实现。

关于代理

说到代理，首先我们要明确一个概念，所谓代理就是一个代表、一个渠道；

此时就设计到两个角色，一个是被代理角色，一个是目标角色，被代理角色通过这个代理访问目标角色完成一些任务的过程称为代理操作过程；如同生活中的专卖店~客人到adidas专卖店买了一双鞋，这个专卖店就是代理，被代理角色就是adidas厂家，目标角色就是用户。

正向代理

说反向代理之前，我们先看看正向代理，正向代理也是大家最常接触的到的代理模式，我们会从两个方面来说关于正向代理的处理模式，分别从软件方面和生活方面来解释一下什么叫正向代理。

在如今的网络环境下，我们如果由于技术需要要去访问国外的某些网站，此时你会发现位于国外的某网站我们通过浏览器是没有办法访问的，此时大家可能都会用一个操作FQ进行访问，FQ的方式主要是找到一个可以访问国外网站的代理服务器，我们将请求发送给代理服务器，代理服务器去访问国外的网站，然后将访问到的数据传递给我们！

上述这样的代理模式称为正向代理，正向代理最大的特点是客户端非常明确要访问的服务器地址；服务器只清楚请求来自哪个代理服务器，而不清楚来自哪个具体的客户端；正向代理模式屏蔽或者隐藏了真实客户端信息。来看个示意图（我把客户端和正向代理框在一块，同属于一个环境，后面我有介绍）：

客户端必须设置正向代理服务器，当然前提是要知道正向代理服务器的IP地址，还有代理程序的端口。如图。

总结来说：正向代理，"它代理的是客户端"，是一个位于客户端和原始服务器(origin server)之间的服务器，为了从原始服务器取得内容，客户端向代理发送一个请求并指定目标(原始服务器)，然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。

正向代理的用途：
（1）访问原来无法访问的资源，如Google
（2） 可以做缓存，加速访问资源
（3）对客户端访问授权，上网进行认证
（4）代理可以记录用户访问记录（上网行为管理），对外隐藏用户信息

反向代理

明白了什么是正向代理，我们继续看关于反向代理的处理方式，举例如我大天朝的某宝网站，每天同时连接到网站的访问人数已经爆表，单个服务器远远不能满足人民日益增长的购买欲望了，此时就出现了一个大家耳熟能详的名词：分布式部署；也就是通过部署多台服务器来解决访问人数限制的问题；某宝网站中大部分功能也是直接使用nginx进行反向代理实现的，并且通过封装Nginx和其他的组件之后起了个高大上的名字：Tengine，有兴趣的童鞋可以访问Tengine的官网查看具体的信息：http://tengine.taobao.org/。那么反向代理具体是通过什么样的方式实现的分布式的集群操作呢，我们先看一个示意图（我把服务器和反向代理框在一块，同属于一个环境，后面我有介绍）：

通过上述的图解大家就可以看清楚了，多个客户端给服务器发送的请求，Nginx服务器接收到之后，按照一定的规则分发给了后端的业务处理服务器进行处理了。此时~请求的来源也就是客户端是明确的，但是请求具体由哪台服务器处理的并不明确了，Nginx扮演的就是一个反向代理角色。

客户端是无感知代理的存在的，反向代理对外都是透明的，访问者并不知道自己访问的是一个代理。因为客户端不需要任何配置就可以访问。

反向代理，主要用于服务器集群分布式部署的情况下，反向代理隐藏了服务器的信息。"它代理的是服务端"。

反向代理的作用：
（1）保证内网的安全，通常将反向代理作为公网访问地址，Web服务器是内网
（2）负载均衡，通过反向代理服务器来优化网站的负载

项目场景

通常情况下，我们在实际项目操作时，正向代理和反向代理很有可能会存在在一个应用场景中，正向代理代理客户端的请求去访问目标服务器，目标服务器是一个反向单利服务器，反向代理了多台真实的业务处理服务器。具体的拓扑图如下：

二者区别

截了一张图来说明正向代理和反向代理二者之间的区别，如图。

图解：

在正向代理中，Proxy和Client同属于一个LAN（图中方框内），隐藏了客户端信息；

在反向代理中，Proxy和Server同属于一个LAN（图中方框内），隐藏了服务端信息；

实际上，Proxy在两种代理中做的事情都是替服务器代为收发请求和响应，不过从结构上看正好左右互换了一下，所以把后出现的那种代理方式称为反向代理了。

负载均衡

我们已经明确了所谓代理服务器的概念，那么接下来，Nginx扮演了反向代理服务器的角色，它是以依据什么样的规则进行请求分发的呢？不用的项目应用场景，分发的规则是否可以控制呢？

这里提到的客户端发送的、Nginx反向代理服务器接收到的请求数量，就是我们说的负载量。

请求数量按照一定的规则进行分发到不同的服务器处理的规则，就是一种均衡规则。

所以~将服务器接收到的请求按照规则分发的过程，称为负载均衡。

负载均衡在实际项目操作过程中，有硬件负载均衡和软件负载均衡两种，硬件负载均衡也称为硬负载，如F5负载均衡，相对造价昂贵成本较高，但是数据的稳定性安全性等等有非常好的保障，如中国移动中国联通这样的公司才会选择硬负载进行操作；更多的公司考虑到成本原因，会选择使用软件负载均衡，软件负载均衡是利用现有的技术结合主机硬件实现的一种消息队列分发机制。

Nginx支持的负载均衡调度算法方式如下：

1. weight轮询（默认）：接收到的请求按照顺序逐一分配到不同的后端服务器，即使在使用过程中，某一台后端服务器宕机，Nginx会自动将该服务器剔除出队列，请求受理情况不会受到任何影响。 这种方式下，可以给不同的后端服务器设置一个权重值（weight），用于调整不同的服务器上请求的分配率；权重数据越大，被分配到请求的几率越大；该权重值，主要是针对实际工作环境中不同的后端服务器硬件配置进行调整的。
2. ip_hash：每个请求按照发起客户端的ip的hash结果进行匹配，这样的算法下一个固定ip地址的客户端总会访问到同一个后端服务器，这也在一定程度上解决了集群部署环境下session共享的问题。
3. fair：智能调整调度算法，动态的根据后端服务器的请求处理到响应的时间进行均衡分配，响应时间短处理效率高的服务器分配到请求的概率高，响应时间长处理效率低的服务器分配到的请求少；结合了前两者的优点的一种调度算法。但是需要注意的是Nginx默认不支持fair算法，如果要使用这种调度算法，请安装upstream_fair模块。
4. url_hash：按照访问的url的hash结果分配请求，每个请求的url会指向后端固定的某个服务器，可以在nginx作为静态服务器的情况下提高缓存效率。同样要注意Nginx默认不支持这种调度算法，要使用的话需要安装nginx的hash软件包。

几种常用web服务器对比

 

以上内容转自 https://www.cnblogs.com/wcwnina/p/8728391.html；

2 nginx 安装与命令

使用 lnpm 安装nginx ，比较简单

安装目录为：/usr/local/nginx

 nginx 命令：

nginx -c /usr/local/server/nginx/conf/nginx.conf  启动nginx ,以某个配置文件

nginx -s quit 停止

nginx -s reload 重新启动(当配置文件修改时)

nginx -v 查看版本

nginx -t 查看配置文件的目录

nginx -h 帮助

3 配置

 

3.1 全局配置介绍：

daemon on | off   默认on

是否以守护进程的方式运行nginx，守护进程是指脱离终端并且在后头运行的进程，关闭守护进程执行的方式可以让我们方便调试nginx

master_process on | of 默认on

是否以master/worker方式进行工作，在实际的环境中 nginx是以一个master进程管理多个worker进程的方式运行的，关闭后 nginx就不会fork出worker子进程来处理请求，

而是用master进程自身来处理请求

worker_processes number; 默认1

在master/worker运行方式下 worker进程的数目，一般情况下用户要配置与CPU内核数相等的worker进程

worker_cpu_affinity cpumask[cpumask…]

示例：worker_cpu_affinity 1000 0100 0010 0001;

绑定worker进程到指定的cpu内核,每一个worker进程都独享一个CPU，可以在内核的调度策略上实现完全的并发

worker_limit_nofile，默认为操作系统的限制

该值为worker进程可以打开的最大文件描述符的数量

error_log定义错误日志文件的位置及输出级别【debug / info / notice / warn / error / crit】

pid用来指定进程id的存储文件的位置

 

3.2 event 模块 ：

event {
    worker_connections 1024;
    multi_accept on;
    use epoll;
}

上述配置是针对nginx服务器的工作模式的一些操作配置

• worker_connections 指定最大可以同时接收的连接数量，这里一定要注意，最大连接数量是和worker processes共同决定的。
• multi_accept 配置指定nginx在收到一个新连接通知后尽可能多的接受更多的连接

use epoll 配置指定了线程轮询的方法，如果是linux2.6+，使用epoll，如果是BSD如Mac请使用Kqueue

 

3.3 http模块

作为web服务器，http模块是nginx最核心的一个模块，配置项也是比较多的，项目中会设置到很多的实际业务场景，需要根据硬件信息进行适当的配置，常规情况下，使用默认配置即可！

1) 基础配置

 

http
    {
        include       mime.types;
        default_type  application/octet-stream;

        server_names_hash_bucket_size 128;
        client_header_buffer_size 32k;
        large_client_header_buffers 4 32k;
        client_max_body_size 50m;

        sendfile   on;
        tcp_nopush on;

        keepalive_timeout 60;

        tcp_nodelay on;

        fastcgi_connect_timeout 300;
        fastcgi_send_timeout 300;
        fastcgi_read_timeout 300;
        fastcgi_buffer_size 64k;
        fastcgi_buffers 4 64k;
        fastcgi_busy_buffers_size 128k;
        fastcgi_temp_file_write_size 256k;

        gzip on;
        gzip_min_length  1k;
        gzip_buffers     4 16k;
        gzip_http_version 1.1;
        gzip_comp_level 2;
        gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
        gzip_vary on;
        gzip_proxied   expired no-cache no-store private auth;
        gzip_disable   "MSIE [1-6]\.";

        #limit_conn_zone $binary_remote_addr zone=perip:10m;
        ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.

        server_tokens off;
        access_log off;
}

sendfile on：配置on让sendfile发挥作用，将文件的回写过程交给数据缓冲去去完成，而不是放在应用中完成，这样的话在性能提升有有好处

tc_nopush on：让nginx在一个数据包中发送所有的头文件，而不是一个一个单独发
tcp_nodelay on：让nginx不要缓存数据，而是一段一段发送，如果数据的传输有实时性的要求的话可以配置它，发送完一小段数据就立刻能得到返回值，但是不要滥用哦

keepalive_timeout 10：给客户端分配连接超时时间，服务器会在这个时间过后关闭连接。一般设置时间较短，可以让nginx工作持续性更好
client_header_timeout 10：设置请求头的超时时间
client_body_timeout 10:设置请求体的超时时间
send_timeout 10：指定客户端响应超时时间，如果客户端两次操作间隔超过这个时间，服务器就会关闭这个链接

limit_conn_zone $binary_remote_addr zone=addr:5m ：设置用于保存各种key的共享内存的参数，
limit_conn addr 100: 给定的key设置最大连接数

server_tokens：虽然不会让nginx执行速度更快，但是可以在错误页面关闭nginx版本提示，对于网站安全性的提升有好处哦
5/etc/nginx/mime.types：指定在当前文件中包含另一个文件的指令
default_type application/octet-stream：指定默认处理的文件类型可以是二进制
type_hash_max_size 2048：混淆数据，影响三列冲突率，值越大消耗内存越多，散列key冲突率会降低，检索速度更快；值越小key，占用内存较少，冲突率越高，检索速度变慢

2) 日志配置

access_log logs/access.log：设置存储访问记录的日志
error_log logs/error.log：设置存储记录错误发生的日志

3) SSL证书加密

ssl_protocols：指令用于启动特定的加密协议，nginx在1.1.13和1.0.12版本后默认是ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2，TLSv1.1与TLSv1.2要确保OpenSSL >= 1.0.1 ，SSLv3 现在还有很多地方在用但有不少被攻击的漏洞。
ssl prefer server ciphers：设置协商加密算法时，优先使用我们服务端的加密套件，而不是客户端浏览器的加密套件

4) 压缩配置

 

gzip 是告诉nginx采用gzip压缩的形式发送数据。这将会减少我们发送的数据量。

gzip_disable 为指定的客户端禁用gzip功能。我们设置成IE6或者更低版本以使我们的方案能够广泛兼容。

gzip_static 告诉nginx在压缩资源之前，先查找是否有预先gzip处理过的资源。这要求你预先压缩你的文件（在这个例子中被注释掉了），从而允许你使用最高压缩比，这样nginx就不用再压缩这些文件了（想要更详尽的gzip_static的信息，请点击这里）。 gzip_proxied 允许或者禁止压缩基于请求和响应的响应流。我们设置为any，意味着将会压缩所有的请求。

gzip_min_length 设置对数据启用压缩的最少字节数。如果一个请求小于1000字节，我们最好不要压缩它，因为压缩这些小的数据会降低处理此请求的所有进程的速度。

gzip_comp_level 设置数据的压缩等级。这个等级可以是1-9之间的任意数值，9是最慢但是压缩比最大的。我们设置为4，这是一个比较折中的设置。

gzip_type 设置需要压缩的数据格式。上面例子中已经有一些了，你也可以再添加更多的格式。

 

 

5) 文件缓存配置

open_file_cache 打开缓存的同时也指定了缓存最大数目，以及缓存的时间。我们可以设置一个相对高的最大时间，这样我们可以在它们不活动超过20秒后清除掉。

open_file_cache_valid 在open_file_cache中指定检测正确信息的间隔时间。

open_file_cache_min_uses 定义了open_file_cache中指令参数不活动时间期间里最小的文件数。

open_file_cache_errors 指定了当搜索一个文件时是否缓存错误信息，也包括再次给配置中添加文件。我们也包括了服务器模块，这些是在不同文件中定义的。如果你的服务器模块不在这些位置，你就得修改这一行来指定正确的位置。

 

 

 

3.4 server模块

srever模块配置是http模块中的一个子模块，用来定义一个虚拟访问主机，也就是一个虚拟服务器的配置信息

 

 

server {
        listen 7777;                               # 不指定IP表示监听在本机所有IP的7777端口
        server_name www.7777.com;
        root /var/www/7777;
        index index.html
    }

server {
        listen 8888;
        server_name www.8888.com;
        root /var/www/8888;
    }


## 然后建立相应的index.html，然后进行访问

# http://192.168.111.100:7777/

核心配置信息如下：

• server：一个虚拟主机的配置，一个http中可以配置多个server

• server_name：用于指定ip地址或者域名，多个配置之间用空格分隔, 如果本机有多个虚拟ip，可以指定不同的虚拟ip

• root：表示整个server虚拟主机内的根目录，所有当前主机中web项目的根目录

• index：用户访问web网站时的全局首页

• charset：用于设置www/路径中配置的网页的默认编码格式

• access_log：用于指定该虚拟主机服务器中的访问记录日志存放路径

• error_log：用于指定该虚拟主机服务器中访问错误日志的存放路径

location模块

location模块是service 的子模块，nginx配置中出现最多的一个配置，主要用于配置路由访问信息

在路由访问信息配置中关联到反向代理、负载均衡等等各项功能，所以location模块也是一个非常重要的配置模块

基本配置

location / {
    root    /nginx/www;
    index    index.php index.html index.htm;
}

location /：表示匹配访问根目录

root：用于指定访问根目录时，访问虚拟主机的web目录

index：在不指定访问具体资源时，默认展示的资源文件列表

deny： 禁止访问的IP

allow：允许访问的IP

deny all 

allow all 

 

  path 规则：

方式	意义
=PATH	精确匹配路径
^~PATH	使用正则表达式匹配URI的前半段
~PATH	使用正则表达式匹配URI，区分大小写
~*PATH	使用正则表达式匹配URI，不区分大小写
PATH	直接使用PATH匹配，表示在PATH路径下的资源

 

官方文档的示例：

location = / {                                  # 仅当URI为"/"时，使用A配置
    [ configuration A ]
}

location / {                                    # URI为"/"下包含的路径时，使用B配置
    [ configuration B ]
}

location /documents/ {                          # URI为"/documents/"下包含的路径时，使用C配置
    [ configuration C ]
}

location ^~ /images/ {                         # URI靠前部分为"/images/"，使用D配置
    [ configuration D ]
}

location ~* \.(gif|jpg|jpeg)$ {                   # URI结尾是gif、jpg或jpeg时，使用E配置
    [ configuration E ]
}

按上述定义，和优先级规则。比如：

“www.test.com/”匹配A配置； 
“www.test.com/test”、”www.test.com/example”匹配B配置，因为URI都在”/”下； 
“www.test.com/documents/test.html”匹配C配置，虽然它也符合B配置，但能匹配到的越长优先级越高； 
“www.test.com/images/test.html”匹配D配置，虽然它也符合B配置，但正则表达式匹配前端字符优先级高； 
“www.test.com/documents/test.jpg”匹配E配置，虽然它也符合C配置，但正则表达式匹配高于普通字符串。

示例：

server {
        listen 7777;                             
        server_name  www.7777.com;
        root   /var/www/7777;
        access_log  logs/host.access.log;

location ^~ /images/ {
    root /var/www/7777/static/;
    }
}

# 新建目录 ： /var/www/7777/static/images 
访问：http:localhost:7777/imates/1.jpg 可以访问

  注意： 配置完的location的root后，最后服务器寻找路径位 path + "/" + "root" ,比如：location为  /images, root 设置为static,那么服务器的寻找路径为 static /images , 而不是 /images ,切记。且root 一般设置为绝对路径，不要设置为相对路径。

 反向代理配置方式

通过反向代理代理服务器访问模式，通过proxy_set配置让客户端访问透明化

location / {
    proxy_pass http://localhost:8888;
    proxy_set_header X-real-ip $remote_addr;
    proxy_set_header Host $http_host;
}

uwsgi配置

wsgi模式下的服务器配置访问方式

location / {
    include uwsgi_params;
    uwsgi_pass localhost:8888
}

upstream模块

upstream模块主要负责负载均衡的配置，通过默认的轮询调度方式来分发请求到后端服务器

简单的配置方式如下

 

 

upstream name {
    ip_hash;
    server 192.168.1.100:8000 weight= 5;
    server 192.168.1.100:8001 down;
    server 192.168.1.100:8002 max_fails=3;
    server 192.168.1.100:8003 fail_timeout=20s;
    server 192.168.1.100:8004 max_fails=3 fail_timeout=20s;
}

 

 

核心配置信息如下

• ip_hash：指定请求调度算法，默认是weight权重轮询调度，可以指定，Ip hash的调度算法一般不用，对于同一个IP不会进行调度。

• server host:port：分发服务器的列表配置

• -- down：表示该主机暂停服务

• -- max_fails：表示失败最大次数，超过失败最大次数暂停服务

• -- fail_timeout：表示如果请求受理失败，暂停指定的时间之后重新发起请求

• --weight 表示权重

负载均衡最终配置文件：

## 设置负载均衡模块
upstream temp{

    server localhost:8888;
    server localhost:6666;
}

## 添加server节点
server {
        listen 8888;
        server_name www.8888.com;
        root /var/www/8888;
    }
server {
        listen 6666;
        server_name www.6666.com;
        root /var/www/6666;
    }

## 配置要负载均衡的server
server {
        listen 7777;                               # 不指定IP表示监听在本机所有IP的6666端口
        server_name  www.7777.com;
        root   /var/www/7777;
        access_log  logs/host.access.log;

        location ^~ /images/ {
                root /var/www/7777/static/;
        }
        location / {
                proxy_pass http://temp;  ##  http://后跟负载均衡模块名
        }

    }

进行页面的刷新，可以看到index页在6666端口和8888端口进行来回切换。

 

4 keepalived

具体流程可以参考 https://blog.csdn.net/l1028386804/article/details/72801492

注意：

1. 可以使用yum -y keepalived 来安装keepalived

2. 如果发现nginx 除了80端口可以访问，其他的不可以访问，应该是防火墙的问题，使用 service iptables stop先暂时关闭防火墙。

3. 如果想要查看kekpalived 启动日志来排错，日志存放在 /var/logs/message文件中

5 性能

nginx 的性能大约在5w /qps

使用硬件做负载均衡，LVS 是十万级的，据说可达到80w/s

F5 是百万级的，200w - 800w