Nginx全家桶配置详解

1. 源码包安装NGINX A，搭建Web Server，任意HTML页面，其8080端口提供Web访问服务，截图成功访问http(s)：//[Server1]:8080并且回显Web页面。
2. 保留Server1，但是不允许直接访问Server 1，再部署1套NGINX B，利用其实现反向代理功能，要求有且仅有访问http://elite.chaitin.com 可以访问到Web Server1的8080服务。（截图并详细说明NGINX上配置/参数）
3. （加强提升题目）假设再加1套Web Server 2，其8080端口提供与Server 1相同服务，如何配置NGINX A实现访问http://elite.chaitin.com 的请求可以被负载分发到Server1或者Server2？
4. 在上文题目2基础之上，增加节点NGINX B，如何配置实现高可用？demo演示当NGINX A故障时，流量自动切换到NGINX B（客户端访问几乎无感知）。详细说明VRRP协议在本题所述场景下的应用。
5. （加强提升题目）在上文题目3基础之上，配置和验证NGINX支持哪些负载均衡算法及其效果？并结合NGINX配置参数详细说明不同负载均衡算法工作原理。
6. （加强提升题目）在上文题目3基础之上，配置和验证主动和被动两种健康检查方式及其效果？并结合NGINX配置参数详细说明不同健康检查方式区别和工作原理。

实验环境：

Ubuntu 20.04 64bit
实验前关闭防火墙和selinux

server1	8.140.24.100
server2	8.140.240.19

要求1 nginx的部署

要求1. 源码包安装NGINX A，搭建Web Server，任意HTML页面，其18080端口提供Web访问服务，截图成功访问http(s)：//[Server1]:18080并且回显Web页面。

注：因为服务器的8080端口没有开放到外网访问，只开放了18080-18086的端口到外网；所以我将题目中的8080端口改成了18080端口来做实验（端口的改变不会影响实验的效果）
获取nginx源码包

wget https://nginx.org/download/nginx-1.22.1.tar.gz

安装源码编译环境

yum install gcc gcc-c++ pcre pcre-devel openssl openssl-devel -y

将此目录设置为nginx源码存放目录

/usr/local/src

将源码包移动到该目录下

[root@centos ~]# mv nginx-1.22.1.tar.gz /usr/local/src/

将源码包文件解压缩

[root@centos ~]# cd /usr/local/src/
[root@centos src]# tar xf nginx-1.22.1.tar.gz 

编译参数详解

[root@centos nginx-1.22.1]# ./configure --help

--prefix= 指向安装目录
--sbin-path 指向(执行)程序文件(nginx)
--conf-path= 指向配置文件(nginx.conf)
--pid-path= 指向 pid 文件( nginx.pid )--lock-path= 指向 lock 文件( nginx.lock)(安装文件锁定，防止安装文件被别人利用
或自己误操作。)
--user= 指定程序运行时的非特权用户
--group= 指定程序运行时的非特权用户组
--builddir= 指向编译目录
--with-rtsig_module 启用rtsig 模块支持(实时信号)--with-select_module 启用 select 模块支持(一种轮询模式,不推荐在高载环境下使用)
禁用:--without-select _module
--with-poll _module 启用 poll 模块支持(功能与select相同，与select特性相同，为
种轮询模式,不推荐在高载环境下使用)
--with-file-aio 启用file aio 支持(一种 APL文件传输格式
--with-ipv6 启用ipv6 支持
--with-file-aio 启用file aio 支持(一种 APL文件传输格式--with-ipv6 启用ipv6支持
--with-http_ssl_module 启用 ngx http_ssl module 支持(使支持https 请求，需已安装
openssl)
--with-http realip_module 启用 ngx http_realip_module 支持 这个模块允许从请求标
头更改客户端的IP 地址值，默认为关 )
--with-http addition module 启用 ngx http addition module 支持(作为一个输出过滤器，支持不完全缓冲，分部分响应请求 )
--with-http xslt module 启用 ngx http_xslt _module 支持(过滤转换 XML请求)
--with-http image filter module 启用 ngx http image filter module 支持 ( 传输JPEG/GIF/PNG 图片的一个过滤器)(默认为不启用。gd 库要用到) --with-http_geoip_module 启用 ngx_http_geoip_module 支持(该模块创建基于与 MaxMind GeoIP 二进制文件相配的客户端 IP 地址的 ngx_http_geoip_module 变量) --with-http_sub_module 启用 ngx_http_sub_module 支持(允许用一些其他文本替换 nginx 响应中的一些文本)
--with-http_dav_module 启用ngx_http_dav_module支持(增加PUT,DELETE,MKCOL: 创建集合,COPY 和 MOVE 方法)默认情况下为关闭，需编译开启
--with-http_flv_module 启用 ngx_http_flv_module 支持(提供寻求内存使用基于时间的 偏移量文件)
--with-http_gzip_static_module 启用 ngx_http_gzip_static_module 支持(在线实时压 缩输出数据流)
--with-http_random_index_module 启用 ngx_http_random_index_module 支持(从 目录中随机挑选一个目录索引)
--with-http_secure_link_module 启用 ngx_http_secure_link_module 支持(计算和检 查要求所需的安全链接网址)
--with-http_degradation_module 启用 ngx_http_degradation_module 支持(允许在 内存不足的情况下返回 204 或 444 码)
--with-http_stub_status_module 启用ngx_http_stub_status_module支持(获取nginx 自上次启动以来的工作状态)
--without-http_auth_basic_module 禁用 ngx_http_auth_basic_module(该模块是可以 使用用户名和密码基于 http 基本认证方法来保护你的站点或其部分内容) --without-http_autoindex_module 禁用 disable ngx_http_autoindex_module 支持 (该模块用于自动生成目录列表，只在 ngx_http_index_module 模块未找到索引文件时发 出请求。)
--without-http_geo_module 禁用 ngx_http_geo_module 支持(创建一些变量，其值依 赖于客户端的 IP 地址)
--without-http_map_module 禁用 ngx_http_map_module 支持(使用任意的键/值对设 置配置变量)
--without-http_split_clients_module 禁用 ngx_http_split_clients_module 支持(该模 块用来基于某些条件划分用户。条件如:ip 地址、报头、cookies 等等) --without-http_referer_module 禁用 disable ngx_http_referer_module 支持(该模块 用来过滤请求，拒绝报头中 Referer 值不正确的请求)
--http-proxy-temp-path= 设定 http 代理临时文件路径
--http-fastcgi-temp-path= 设定 http fastcgi 临时文件路径 --http-uwsgi-temp-path= 设定 http uwsgi 临时文件路径
--http-scgi-temp-path= 设定 http scgi 临时文件路径
-without-http 禁用 http server 功能
--without-http-cache 禁用 http cache 功能
--with-mail 启用 POP3/IMAP4/SMTP 代理模块支持
--with-mail_ssl_module 启用 ngx_mail_ssl_module 支持

通用配置选项

--prefix=<path> 指定 Nginx 的安装路径，所有其他的路径都要依赖于该选项
--sbin-path=<path> 指定 Nginx 二进制文件的路径。如果没有指定，那么这 个路径将依赖于--prefix 选项
--conf-path=<path> 指定 Nginx 的配置文件的路径，如果在命令行没有指定 配置文件，那么将会通过这里指定路径。
--error-log-path=<path> 文件，除非有其它的配置。
--pid-path=<path> /var/run 下
--lock-path=<path> 	共享存储器互斥锁文件的路径
--user=<user> 	worker 进程运行的用户
--group=<group> 	worker 进程运行的组
--with-file-aio. 	为 FreeBSD4.3 +和 linux 2.6.22 +系统启用异步 I/O
--with-debug		这个选项用于启用调试日志，在生产环境的系统中不推荐使用

检查安装了nginx后是否有这个用户

[root@centos nginx-1.22.1]# id nginx
uid=997(nginx) gid=995(nginx) 组=995(nginx)

源码编译安装nginx

[root@centos nginx-1.22.1]# ./configure \
> --user=nginx \
> --group=nginx \
> --prefix=/usr/local/nginx \
> --with-http_stub_status_module \
> --with-http_ssl_module
[root@centos nginx-1.22.1]# make && make install

给nginx写启动脚本

[root@centos sbin]# pwd
/usr/local/nginx/sbin
[root@centos sbin]# vim /usr/lib/systemd/system/nginx.service

[Unit]
Description=nginx - high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop

[Install]
WantedBy=multi-user.target

启动报错及原因排查

在这个报错信息里面发现80端口被占用，所以我修改了nginx默认的配置文件，将监听端口设置为81

location匹配优先级

1.精确匹配 （=）
2.字符串匹配，不做正则匹配检查（^~）
3.正则匹配
4.字符串匹配，如果有正则优先正则
5.所有都匹配不到，默认匹配 /

加载并启动配置文件

[root@centos sbin]# systemctl daemon-reload	#加载配置文件
[root@centos sbin]# systemctl start nginx		#启动nginx

查看服务器IP：
根据题目一的要求，将配置文件改为监听18080端口，访问页面的路径改为/var/www/html

 server {
        listen  18080;	  #监听18080端口

        server_name  elite.chaitin.com;    #指定服务器的域名

        location / {		#/表示匹配任意请求路径
            root   /var/www/html;	#指定响应目录
            index  index.html index.htm;	#访问该目录下的 index.html 或 index.htm 文件
     		服务器会首先查找 index.html 文件，如果找不到则查找 index.htm 文件。
        }

写一个访问页面并重启nginx服务

root@iZ2zei3ltzorcuiiynrseqZ:~#  echo 'Welcome to Chaitin!' > /var/www/html/index.html
root@iZ2zei3ltzorcuiiynrseqZ:~# systemctl daemon-reload
root@iZ2zei3ltzorcuiiynrseqZ:~#  systemctl restart nginx

访问成功！

要求2 nginx反向代理

要求2. 保留Server1，但是不允许直接访问Server 1，再部署1套NGINX B，利用其实现反向代理功能，要求有且仅有访问http://elite.chaitin.com 可以访问到Web Server1的8080服务。（截图并详细说明NGINX上配置/参数）

步骤一：
另开一台server2 服务器 8.140.240.19，直接安装nginx

root@iZ2zei3ltzorcuiiynrsemZ~# apt-get install nginx

将原配置文件备份，避免错误修改配置后不能找回原有文件

root@iZ2zei3ltzorcuiiynrsemZ:cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak

因为我的服务器做了限制，两台服务器之间不能互通，所以我们使用两台服务器的内网地址

server2

server1

server2测试与server1的内网连通信

步骤二：
server2的nginx配置文件

 server {
          listen 80; #监听端口
          server_name _; #所有不匹配elite.chaitin.com的请求全都返回404

          location / {
          return 404;
        }
        }
#访问elite.chaitin.com的请求都会转发到http://172.28.253.102:18080 并将结果返回给客户端
        server{
        listen  80;
        server_name elite.chaitin.com;

        location / {
        proxy_pass http://172.28.253.102:18080;
        }
        }

写dns解析：

root@iZ2zei3ltzorcuiiynrsemZ:~# vim /etc/hosts
172.28.253.107  elite.chaitin.com

测试访问：
server2上访问

访问server2的IP只能看到server2的nginx默认页面，看不到server1的页面

要求3 nginx负载均衡

要求3.假设再加1套Web Server 2，其8080端口提供与Server 1相同服务，如何配置NGINX A实现访问http://elite.chaitin.com 的请求可以被负载分发到Server1或者Server2？
这里我用自己的本地虚拟机做实验

server1	192.168.15.133
server2	192.168.15.138
负载均衡调度器	192.168.15.140

所有服务器都关闭防火墙和selinux
步骤一：server1和server2基础配置
每台服务器上都安装nginx服务

server1和server2都做：
server1和server2的配置相同

 server {
        listen       8080;
        server_name  elite.chaitin.com;
        root         /chaitin/www; #自己定义的访问页面

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        error_page 404 /404.html;
        location = /404.html {
        }

        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }

加载启动配置文件，创建web页面，拷贝给server2

域名解析

测试访问页面

步骤二：负载均衡调度器配置：

    upstream server_pools {  #接收来自server中的请求
        server 192.168.15.138:8080 weight=1; #两个服务器的权重都一样，会把所有请求相对均匀的分配到两台服务器上
        server 192.168.15.133:8080 weight=1;

 }

    server{
        listen 8080;
        server_name _;	#所有不是请求elite.chaitin.com域名的8080服务都会被禁止并返回403的状态码
        location / {
                return 403;
         }
 }

    server{
        listen 8080;
        server_name elite.chaitin.com;
        location / {
        proxy_pass http://server_pools; #访问8080端口且以elite.chaitin.com为域名的请求，会把请求转发到server_pools的负载均衡池
                }
        }
}

域名解析

启动nginx并访问测试

请求能够被均匀的分配到两台服务器上

要求4 nginx高可用

要求4. 在上文题目2基础之上，增加节点NGINX B，如何配置实现高可用？demo演示当NGINX A故障时，流量自动切换到NGINX B（客户端访问几乎无感知）。详细说明VRRP协议在本题所述场景下的应用。
server1和server2安装keepalived

[root@server1 ~]# yum install keepalived

server1和server2写脚本文件

[root@server1 yum.repos.d]# vi /usr/local/src/nginx_check.sh

#!/bin/bash
# 检查是否开启nginx
A=`ps -C nginx --no-header |wc -l`
if [ $A -eq 0 ];then
        systemctl stop keepalived
fi

server1

[root@server1 ~]# vim /etc/keepalived/keepalived.conf

     acassen@firewall.loc
     failover@firewall.loc
     sysadmin@firewall.loc
   }
   notification_email_from Alexandre.Cassen@firewall.loc
   smtp_server 192.168.15.143  #当前keepalived所在的主机ip
   smtp_connect_timeout 30
   router_id 192.168.15.143  #当前keepalived所在的主机ip
   vrrp_skip_check_adv_addr
   vrrp_strict
   vrrp_garp_interval 0
   vrrp_gna_interval 0
}
vrrp_script chk_http_port{
   script "/usr/local/src/nginx_check.sh"
   interval 2 #每隔2s检测一次脚本
   weight -20 #权重减20
}

vrrp_instance VI_1 {
    state MASTER #将当前主机设置为master节点
    interface eth0 #主机使用的网卡
virtual_router_id 51
    priority 100 #优先级，主节点的优先级更大
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.15.66 #虚拟ip，必须和master、backup处于同一网段
    }
}

            

server2

[root@server2 ~]# vim /etc/keepalived/keepalived.conf 

   vrrp_gna_interval 0
}
vrrp_script chk_http_port{
   script "/usr/local/src/nginx_check.sh"
   interval 2 #每隔2s检测一次脚本
   weight -20 #权重减20
}

vrrp_instance VI_1 {
    state BACKUP#将当前主机设置为master节点
    interface eth0 #主机使用的网卡
    virtual_router_id 51
    priority 90 #优先级，主节点的优先级更大
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.15.66 #虚拟ip，必须和master、backup处于同一网段
    }
}

都启动keepalived服务

[root@server2 ~]# vim /etc/keepalived/keepalived.conf

测试：

将server1的服务关闭

systemctl stop nginx

要求5 负载均衡算法

要求5. （加强提升题目）在上文题目3基础之上，配置和验证NGINX支持哪些负载均衡算法及其效果？并结合NGINX配置参数详细说明不同负载均衡算法工作原理。

轮询算法
轮询（Round Robin）：这是默认的负载均衡算法。Nginx将每个新的客户端请求按照服务器列表的顺序分发，依次轮流选择下一个服务器。这是最简单的负载均衡算法，适用于后端服务器性能相近的情况。

加权轮询（Weighted Round Robin）：在这种算法中，每个后端服务器都分配了一个权重值，高权重的服务器会收到更多的请求。这对于在后端服务器之间分配不同的负载容量非常有用，以确保性能更好的服务器获得更多的请求。

 upstream server_pools {
        server 192.168.15.138:8080 weight=1; #两台服务器响应请求的方式为1:2
        server 192.168.15.133:8080 weight=2;

 }

    server{
        listen 8080;
        server_name _;
        location / {
                return 403;
         }
 }

    server{
        listen 8080;
        server_name elite.chaitin.com;
        location / {
        proxy_pass http://server_pools;
                }
        }
}

重启服务并测试

[root@lvs ~]# vim /etc/nginx/nginx.conf
[root@lvs ~]# systemctl daemon-reload
[root@lvs ~]# systemctl restart nginx

源地址哈希法
IP哈希（IP Hash）：Nginx使用客户端的IP地址来计算哈希值，并将请求分发到具有相同哈希值的后端服务器。这个算法确保相同IP的客户端始终访问相同的后端服务器，适用于需要会话保持的情况，如Web应用程序的会话管理。

在负载均衡服务器上配置

    upstream server_pools {
        hash $remote_addr consistent; #使用客户端的IP地址进行哈希计算，
        							   #并且使用consistent关键字确保负载均衡在后端服务器发生变化时尽量减少数据迁移。
        server 192.168.15.138:8080;
        server 192.168.15.133:8080;

 }

    server{
        listen 8080;
        server_name _;
        location / {
                return 403;
         }
 }

    server{
        listen 8080;
        server_name elite.chaitin.com;
        location / {
        proxy_pass http://server_pools;
                }
        }
}

重启nginx服务

[root@lvs ~]# systemctl daemon-reload
[root@lvs ~]# systemctl restart nginx

另开一台客户端主机
写域名解析文件

[root@localhost ~]# vi /etc/hosts
192.168.15.140  elite.chaitin.com	#访问的是负载均衡服务器

测试
可以发现客户端请求的一直都是同一个服务器

最小连接数算法
最少连接（Least Connections）：Nginx跟踪每个后端服务器的活动连接数，然后将请求发送到具有最少活动连接数的服务器。这有助于分配负载并确保请求发送到连接较少的服务器，从而实现负载均衡。

  upstream server_pools {
        least_conn; #使用最小连接数算法
        server 192.168.15.138:8080;
        server 192.168.15.133:8080;

 }

    server{
        listen 8080;
        server_name _;
        location / {
                return 403;
         }
 }

    server{
        listen 8080;
        server_name elite.chaitin.com;
        location / {
        proxy_pass http://server_pools;
                }
        }
}

重启nginx服务
因为测试需要用到多台客户端，但我的服务器没有那么多，所以就不测试啦！

要求6 健康检查

要求6. （加强提升题目）在上文题目3基础之上，配置和验证主动和被动两种健康检查方式及其效果？并结合NGINX配置参数详细说明不同健康检查方式区别和工作原理。
主动健康检查
原理：
主动健康检查是通过Keepalived自身执行的周期性检查来确定服务器的状态。Keepalived会定期发送请求（通常是ICMP ping或TCP连接请求）到服务器，并根据服务器的响应来确定其是否处于健康状态。

配置：
主动健康检查需要在Keepalived配置文件中定义一个或多个健康检查脚本，这些脚本将定期运行以检查服务器的健康状态。在配置文件中使用track_script部分来定义这些检查脚本

track_script {
    chk_script {
        script "/etc/keepalived/check_script.sh" # 健康检查脚本的路径
        interval 2 # 检查间隔时间，单位秒
        weight 2 # 权重
    }
}

脚本文件

[root@server1 ~]# vim /etc/check_script.sh

#!/bin/bash

# 定义要检查的目标URL
TARGET_URL="http://localhost:80"

# 发送HTTP请求并获取响应
HTTP_RESPONSE=$(curl -s -o /dev/null -w "%{http_code}" $TARGET_URL)

# 检查HTTP响应状态码是否为200（正常）
if [ "$HTTP_RESPONSE" = "200" ]; then
    # 返回0表示健康
    exit 0
else
    # 返回1表示不健康
    exit 1
fi

被动健康检查：
原理：
被动健康检查是通过监听服务器上的服务来确定服务器的状态。Keepalived将侦听服务器上的服务端口，如果无法连接到该端口，将认为服务器处于不健康状态。

配置：
被动健康检查不需要特别的配置，只需确保Keepalived配置文件中的虚拟IP与服务器上的服务端口一致即可。