LAMP之Nginx优化

最新推荐文章于 2024-08-23 08:57:21 发布

时常因为不够自卑而感到沙雕

最新推荐文章于 2024-08-23 08:57:21 发布

阅读量154

点赞数

分类专栏：企业实战文章标签： linux nginx

本文链接：https://blog.csdn.net/qq_45764533/article/details/115585901

版权

企业实战专栏收录该内容

6 篇文章 0 订阅

订阅专栏

把nginx命令添加到系统服务

vim /usr/lib/systemd/systemnginx.service

[Unit]
Description=The NGINX HTTP and reverse proxy server
After=syslog.target network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStartPre=/usr/local/nginx/sbin/nginx -t
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true

[Install]
WantedBy=multi-user.target

systemctl daemon-reload
nginx -s stop
systemctl start nginx

并发优化

vim /usr/local/nginx/conf/nginx.conf

user nginx nginx;
worker_processes  2;
worker_cpu_affinity 01 10;	##4个cpu时：0001 0010 0100 1000

events {
        use epoll  ##使用linux内核epoll的IO模型，epoll是五种内核IO模型之一
    worker_connections  65535;
}

vim /etc/security/limits.conf 修改pam热插拔模块中nginx的限制

nginx - nofile 65535 #写入其中

在这里插入图片描述 ________________________________________________________

反向代理(两台主句)+负载均衡

nginx服务器编写配置文件
vim /usr/local/nginx/conf/nginx.conf

/usr/local/nginx/sbin/nginx -t 查看配置文件语法是否正确
nginx -s reload
配置两个apache服务器，并写简单的网页
测试

负载均衡设置权重

在这里插入图片描述
nginx有健康检测功能，一台服务器宕机后，不会影响服务，因为会有另一台服务器完全接管

负载均衡算法

在这里插入图片描述

sticky需要nginx plus版，也可安装nginx-goodies-nginx-sticky-module-ng-08a395c66e42

平滑升级与回退

让nginx升级，但是服务不中断，也称热升级
进入新版nginx文件中
./configure --prefix=/usr/local/nginx --with-http_ssl_module 使用相同的参数生成makefile
make 编译不要安装
在这里插入图片描述

此时已平滑升级，接下来我们回滚到原版本

指定发布目录和默认发布页面

编辑主配置文件nginx.conf后nginx -t检测语法是否正确，用nginx -s reload重载配置

server {
        listen 80;
        server_name www.linux.org;

        location / {
        root /web;
        index test.html;
        }
}

做本地域名解析vim /etc/hosts 要在那台主机访问在那台主机做本地域名解析

172.25.253.1    www.linux.org

在这里插入图片描述
和前面做的负载均衡互不影响

https

开启nginx的https

vim nginx.conf
在这里插入图片描述

生成自签名证书

[root@node1 certs]# cd /etc/pki/tls/certs/
[root@node1 certs]# make cert.pem
umask 77 ; \
PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
/usr/bin/openssl req -utf8 -newkey rsa:2048 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2  ; \
cat $PEM1 >  cert.pem ; \
echo ""    >> cert.pem ; \
cat $PEM2 >> cert.pem ; \
rm -f $PEM1 $PEM2
Generating a 2048 bit RSA private key
..........+++
.................................................................+++
writing new private key to '/tmp/openssl.KhCNe4'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:shaanxi
Locality Name (eg, city) [Default City]:xian
Organization Name (eg, company) [Default Company Ltd]:test
Organizational Unit Name (eg, section) []:linux
Common Name (eg, your name or your server's hostname) []:server
Email Address []:root@linux.org
[root@node1 certs]# mv cert.pem /usr/local/nginx/conf/
[root@node1 certs]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@node1 certs]# nginx -s reload

测试

在这里插入图片描述

限流

vim nginx.conf

limit_conn_zone $binary_remote_addr zone=addr:10m;	##通过remote_addr这个标识做限制；后面的addr：10m表示生成一个大小10M，名字为addr的内存区域
location /download/ {		##在http下的server下写
                limit_conn addr 1;
        }

在nginx/html下创建download，并放一张图片进去进行压力测试
ab -c10 -n10 http://172.25.253.1/download/A.jpg 图片尽量在1M左右，注意在用其他同网段主机测试

注：其他限流配置详见官方文档http://docs.nginx.com/nginx/admin-guide/security-controls/controlling-access-proxied-http/

重定向

重定向作用场景

网站调整(如改变网页目录结构)
网页被移到一个新地址
网页扩展名改变(如应用需要把.php改成.html)
这种情况下，如果不做重定向，则用户收藏夹或搜索引擎数据库中旧地址只能让访问客户得到一个404页面错误信息，访问流白白丧失；再者某些注册了多个域名的网站，也需要通过重定向让访问这些域名的用户自动跳转到主站点等。

310和302

301 redirect: 301代表永久性转移(PermanentlyMoved)
302 redirect: 302代表暂时性转移(TemporarilyMoved )

共同点：
301和302状态码都表示重定向，就是说浏览器在到服务器返回的这个状态码后会自动跳转到一个新的URL地址，这个地址可以从响应的Location首部中获取(用户看到的效果就是他输入的地址A瞬间变成了另一个地址B)

不同点：
301表示旧地址A的资源已经被永久地移除了(这个资源不可访问了) ，搜索引擎在抓取新内容的同时也将旧的网址交换为重定向之后的网址；302表示旧地址A的资源还在(仍然可以访问)，这个重定向只是临时地从旧地址A跳转到地址B，搜索引擎会抓取新的内容而保存旧的网址

重定向的实现

多数情况下重定向用于将http重定向到https

server {
        listen       443 ssl;
        server_name  www.linux.com;

        ssl_certificate      cert.pem;
        ssl_certificate_key  cert.pem;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }
server {
        listen 80;
        server_name www.linux.org;
        rewrite ^/(.*)$ https://www.linux.com/$1;
        #rewrite ^/(.*)$ https://www.linux.com/$1 permanent;	#加permanent表示永久重定向
        #.^/(.*)$为匹配所有，即匹配www.linux.org #$1表示用户输入的路径保留，只改变$1前面的内容
}

在这里插入图片描述

在测试时，记得在测试机做本地解析

重定向也可用于将www.linux.org重定向到www.linux.com

server {
        listen 80;
        server_name www.linux.org;
        rewrite ^/(.*)$ http://www.linux.com/$1;	#没有加permanent为临时重定向
}
server {
        listen 80;
        server_name www.linux.com

        location / {
                root html;
                index index.html;
        }
}

在这里插入图片描述
$1作用演示

防盗链

盗链

在node2中做盗链
在这里插入图片描述
此时可通过访问node2访问到nginx服务器的图片

防盗链

server {
        listen       80;
        server_name  www.test.com;
        location /download/ {
                limit_conn addr 1;
                autoindex on;
        }
        location ~*\.(gif|jpg|png|jpeg)$ {
                root html;
                valid_referers none blocked www.test.com;
                if ($invalid_referer) {
                        return 403;
                        #rewrite ^/ http://www.yxy.oops/222.jpg;	#注释掉上面的403后，可在被盗链时做重定向
                }
        }

在这里插入图片描述
如果不做防盗链本站资源会被窃取，而且还会消耗服务器带宽和系统资源

配置管理

以下配置方法均来自nginx官方文档，配置文件的修改记得检测语法和重载服务。以下配置在测试时如若未生效，可清理浏览器缓存

增加索引

在这里插入图片描述
检测语法：nginx -t；重载服务：nginx -s reload

测试在这里插入图片描述

exprie缓存

一般是用于缓存静态数据，可降低带宽，加速访问

location ~.*\.(gif|jpg|png)$ {
                expries 365d;
                root html;
                access_log off； #访问图片成功是不计入日志，可减少磁盘IO消耗
        }

在这里插入图片描述
缓存在访问方，在后续访问时，可减小服务器压力。

日志轮询

mv accsee.log `date +%F -d -1day`_access.log
#备份前一天日志，因为是凌晨12点备份，所以建议减一天
../sbin/nginx -s reopen
#重新打开一个access.log记录新日志

可用上面命令写一个shell脚本放到crontab中，就会在午夜12点备份前一天的日志，并生成新的日志。
并且为了安全期间，日志目录不要给nginx用户访问权限。

站点目录和文件的限制

通常是为了限制用户在该目录运行脚本

location /download/ {
                limit_conn addr 1;
                autoindex on;
                #allow 172.25.253.250； ##限制IP：或者deny 172.25.253.0/24
                deny all;  ##禁止所有人访问download目录
        }

解决中文乱码

charset utf-8	##放在http语句块中而且是server的外层，可对所有的语句块生效

goaccess 日志可视化

安装gaccess
[root@node1 mnt]# tar zxf goaccess-1.4.tar.gz
[root@node1 mnt]# yum install -y GeoIP-devel-1.5.0-13.el7.x86_64.rpm
[root@node1 mnt]# cd goaccess-1.4/
[root@node1 goaccess-1.4]# ./configure --enable-utf8 --enable-geoip=legac
[root@node1 goaccess-1.4]# make && make install
[root@node1 goaccess-1.4]# cd /usr/local/nginx/logs/
[root@node1 logs]# goaccess access.log -o /usr/local/nginx/html/report.html --log-format=COMBINED --real-time-html

测试
在这里插入图片描述
这是实时监控界面

时常因为不够自卑而感到沙雕

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
LAMP之Nginx优化

文章目录把nginx命令添加到系统服务并发优化反向代理(两台主句)+负载均衡负载均衡设置权重负载均衡算法平滑升级与回退指定发布目录和默认发布页面https开启nginx的https生成自签名证书测试限流重定向重定向作用场景310和302重定向的实现防盗链盗链防盗链配置管理增加索引exprie缓存日志轮询站点目录和文件的限制解决中文乱码goaccess 日志可视化把nginx命令添加到系统服务vim /usr/lib/systemd/systemnginx.service[Unit]Descripti
复制链接

扫一扫