nginx详细配置

好记性不如乱笔头，所以记录一下ngingx方面的知识点，温故而知新！！！
###默认网站
当Nginx配置⽂件中有且只有⼀个Server的时候，该Server就被Nginx认为是默认⽹站，所有发给Nginx服务器80端⼝的数据都会默认给该Server.

server {
    listen 80;
    server_name localhost;
    location / {
        root html;
        index index.html index.htm;
    }
    error_page 500 502 503 504 /50x.html;
    location = /50x.html {
      root html;
    }
 }

####访问控制

location /a {
    allow 192.168.1.0/24;
    deny all;
    #return 404;
    return http://www.jd.com;
}

####登录验证

location /c {
    auth_basic "登陆验证";
    auth_basic_user_file /etc/nginx/htpasswd;
}

###日志管理
Nginx访问日志主要有两个参数控制
log_format #用来定义记录日志的格式（可以定义多种日志格式，取不同名字即可）
access_log #用来指定日至文件的路径及使用的何种日志格式记录日志
access_log logs/access.log main;

log_format格式变量：
 $remote_addr #记录访问网站的客户端地址
 $remote_user #远程客户端用户名
 $time_local #记录访问时间与时区
 $request #用户的http请求起始行信息
 $status #http状态码，记录请求返回的状态码，例如：200、301、404等
 $body_bytes_sent #服务器发送给客户端的响应body字节数
 $http_referer #记录此次请求是从哪个连接访问过来的，可以根据该参数进
行防盗链设置。
 $http_user_agent #记录客户端访问信息，例如：浏览器、手机客户端等
 $http_x_forwarded_for #当前端有代理服务器时，设置web节点记录客户端
地址的配置，此参数生效的前提是代理服务器也要进行相关的x_forwarded_for设 置

######案例
自定义一个json格式的访问日志,取名叫做main_json

log_format main_json '{"@timestamp":"$time_local",'
'"client_ip": "$remote_addr",'
'"request": "$request",'
'"status": "$status",'
'"bytes": "$body_bytes_sent",'
'"x_forwarded": "$http_x_forwarded_for",'
'"referer": "$http_referer"'
'}';
access_log logs/access_json.log  main_json;

####防盗链
ps：只有授权和允许的用户才能访问此网站

location /images/ {    #匹配image路径
   alias /data/images/;
   valid_referers none blocked *.ayitula.com;   #设置条件 
   if ($invalid_referer) {   #不满足referer
      rewrite ^/ http://www.ayitula.com/daolian.gif;
      #return 403;
  }}

以百度为例，可以看到refer策略


通过这2个字段就可以查看到所有的盗链策略设置，原理就是根据请求头中的refer字段，来进行规则的匹配，如果规则匹配成功，就说明是盗链，则进行相应的拦截，例如禁止访问或者返回403

###虚拟主机
就是把一台物理服务器划分成多个“虚拟”的服务器，每一个虚拟主机都可以有独
立的域名和独立的目录
同时发布两个网站：
DocumentRoot /usr/local/nginx/html/web1
DocumentRoot /usr/local/nginx/html/web2
1、基于IP的虚拟主机(不推荐)
实现条件

1. 两个IP
   2）DR 存在
   3）索引页 index.html
   每个网站都需要一个IP
   缺点 需要多个IP 如果是公网IP 每个IP都需要付费

server {
    listen 192.168.10.42:80;
    location / {
       root html/web1;
       index index.html index.htm index.php;
 } }
server {
     listen 192.168.10.52:80;
     location / {
       root html/web2;
       index index.html index.htm;
 } }

2、基于端口的虚拟主机
只需要一个IP
缺点 端口你是无法告诉公网用户 无法适用于公网客户 适合内部用户
基于端口

server {
     listen 80;
     #server_name www.abc.com;
     location / {
        root html/web1;
        index index.html index.htm index.php;
   } }
server {
    listen 8080;
    #server_name www.abc.com;
    location / {
         root html/web2;
         index index.html index.htm;
 } }

3、基于域名的虚拟主机(灰常推荐)
一个网站必然有一个域名
基于域名

server {
     listen 80;
     server_name www.abc.com;
     location / {
        root html/web1;
        index index.html index.htm index.php;
 } }
server {
    listen 80;
    server_name www.cbd.com;
    location / {
        root html/web2;
        index index.html index.htm;
 } }

###反向代理

代理服务器，客户机在发送请求时，不会直接发送给目的主机，而是先发送给代理
服务器，代理服务接受客户机请求之后，再向主机发出，并接收目的主机返回的数
据，存放在代理服务器的硬盘中，再发送给客户机。
client mac http://192.168.10.42
######代用户上网访问是正向代理，代服务器访问是反向代理
反代 Nginx 42
业务机器 book.ayitula.com http://118.190.209.153:4000/

location / {
    index index.php index.html index.htm; #定义首页索引文件的名称
    proxy_pass http://mysvr ;#请求转向mysvr 定义的服务器列表
    proxy_set_header Host $host;
   #优化请求头，可以不加，提高性能的，记得去掉注释文字
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    client_max_body_size 10m; #允许客户端请求的最大单文件字节数
    client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数，
    proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
    proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
    proxy_read_timeout 90; #连接成功后，后端服务器响应时间(代理接收超时)
    proxy_buffer_size 4k; #设置代理服务器（nginx）保存用户头信息的缓冲区大小
    proxy_buffers 4 32k; #proxy_buffers缓冲区，网页平均在32k以下的话，这样设置
    proxy_busy_buffers_size 64k; #高负荷下缓冲大小（proxy_buffers*2）
    proxy_temp_file_write_size 64k; #设定缓存文件夹大小，大于这个值，将从upstream服务器传
}

来个简约版本的

location / {
    proxy_pass http://192.168.1.2:4000;#代理服务器
}

###限速
限流（rate limiting）是NGINX众多特性中最有用的，也是经常容易被误解和错误
配置的，特性之一。该特性可以限制某个用户在一个给定时间段内能够产生的HTTP
请求数。请求可以简单到就是一个对于主页的GET请求或者一个登陆表格的POST
请求。
Nginx官⽅版本限制IP的连接和并发分别有两个模块：
######limit_req_zone ⽤来限制单位时间内的请求数，即速率限制。
######limit_req_conn ⽤来限制同⼀时间连接数，即并发限制。
####基于IP对下载速率做限制 限制每秒处理1次请求，对突发超过5个以后的请求放⼊缓存区

http {
     limit_req_zone $binary_remote_addr zone=dongdong:10m rate=1r/s;
     server {
             location /search/ {
             limit_req zone=dongdongburst=5 nodelay;
    }
}

limit_req_zone $binar{y}_{r}emot{e}_{a}ddrzone=baism:10mrate=1r/s;第⼀个参数：$binary_remote_addr 表示通过remote_addr这个标识来做限制，“binary_”的⽬的是缩写内存占⽤量，是限制同⼀客户端ip地址。
第⼆个参数：zone=dongdong:10m表示⽣成⼀个⼤⼩为10M，名字为one的内存区域，⽤来存储访问的频次信息。
第三个参数：rate=1r/s表示允许相同标识的客户端的访问频次，这⾥限制的是每秒1次，还可以有⽐如30r/m的。
limit_req zone=baism burst=5 nodelay;
第⼀个参数：zone=dongdong设置使⽤哪个配置区域来做限制，与上⾯limit_req_zone ⾥的name对应。
第⼆个参数：burst=5，重点说明⼀下这个配置，burst爆发的意思，这个配置的意思是设置⼀个⼤⼩为5的缓冲区当有⼤量请求（爆发）过来时，超过了访问频次限制的请
求可以先放到这个缓冲区内。
第三个参数：nodelay，如果设置，超过访问频次⽽且缓冲区也满了的时候就会直接返回503，如果没有设置，则所有请求会等待排队。

####基于IP做连接限制 限制同⼀IP并发为1 下载速度为100K

limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
    listen 80;
    server_name localhost;
       location / {
       root html;
       index index.html index.htm;
   }
 location /abc {
        limit_conn addr 1;
        limit_rate 100k;
  }
}

综合案例

http {
   include mime.types;
   default_type application/octet-stream;
   sendfile on;
   keepalive_timeout 65;
   #基于IP做连接限制 限制同⼀IP并发为1 下载速度为100K
   limit_conn_zone $binary_remote_addr zone=addr:10m;
  #基于IP对下载速率做限制 限制每秒处理1次请求，对突发超过5个以后的请求放⼊缓存区
  limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
  server {
       listen 80;
       server_name localhost;
       location / {
             root html;
             index index.html index.htm;
       }
       location /abc {
           limit_req zone=one burst=5 nodelay;
           limit_conn addr 1;
           limit_rate 100k;
   }
 }

###URL重定向
应⽤场景
• 域名变更 （京东） • ⽤户跳转 （从某个连接跳到另⼀个连接） • 伪静态场景 （便于CDN缓存动态⻚⾯数据）
URL 模块语法

1. set 设置变量
2. if 负责语句中的判断
3. return 返回返回值或URL
4. break 终⽌后续的rewrite规则
5. rewrite 重定向URL

将http://www.baidu.com 重写为 http://www.baidu.com/dong

location / {
   set $name dong;
   rewrite ^(.*)$ http://www.baidu.com/$name;
 }

再来一个判断

location / {
     root html;
     index index.html index.htm;
     if ($http_user_agent ~* 'Chrome') {
         return 403;
         #return http://www.jd.com;
         #break
   }
 }

基本规则

 rewrite <regex> <replacement> [flag];
 关键字    正则     替代内容     flag标记

flag:

last #本条规则匹配完成后，继续向下匹配新的location URI规则
break #本条规则匹配完成即终⽌，不再匹配后⾯的任何规则
redirect #返回302临时重定向，浏览器地址会显示跳转后的URL地址
permanent #返回301永久重定向，浏览器地址栏会显示跳转后的URL地址

重定向就是将⽹⻚⾃动转向重定向
301永久性重定向：新⽹址完全继承旧⽹址，旧⽹址的排名等完全清零
301重定向是⽹⻚更改地址后对搜索引擎友好的最好⽅法，只要不是暂时搬移的情况，都建议使⽤301来做转址。
302临时性重定向：对旧⽹址没有影响，但新⽹址不会有排名
搜索引擎会抓取新的内容⽽保留旧的⽹址

域名跳转
www.ayitula.com 重写为 www.jd.com

server {
   listen 80;
   server_name www.ayitula.com;
   location / {
       rewrite ^/$ http://www.jd.com permanent ;
 } }

url重写后，马上发起一个新的请求，再次进入server块，重试location匹配，超过
10次匹配不到报500错误，地址栏url不变
last 一般出现在server或if中
数据包走向 client–>nginx nginx告诉客户端让服务器的新地址（真实服务器），
客户端收到后再去找服务器 client—>server

最后来讲解一下如何优化吧！
###优化
1、并发优化

worker_processes 1； ⼯作进程数量 按CPU的总核⼼调整
• worker_cpu_affinity 0010 0100 1000; CPU的亲和⼒
• worker_connections 1024； ⼀个⼯作进程的并发数

2、长连接
http协议属于TCP协议
优化⽬标:减少三次握⼿和四次断开的次数

keepalive_timeout 0; 0代表关闭
#keepalive_timeout 5;  #⻓连接时间
#keepalive_requests 8192;  #每个⻓连接接受最⼤请求数

3、压缩
gzip on; （启⽤ gzip 压缩功能）
gzip_proxied any; （nginx 做前端代理时启⽤该选项，表示⽆论后端服务器的headers头返回什么信息，都⽆条件启⽤压缩）
gzip_min_length 1024; （最⼩压缩的⻚⾯，如果⻚⾯过于⼩，可能会越压越⼤，这⾥规定⼤于1K的⻚⾯才启⽤压缩）
gzip_buffers 4 8k; （设置系统获取⼏个单位的缓存⽤于存储gzip的压缩结果数据流 按照原始数据⼤⼩以8K为单位申请4倍内存空间）
gzip_comp_level 3; （压缩级别，1压缩⽐最⼩处理速度最快，9压缩⽐最⼤但处理最慢，同时也最消耗CPU,⼀般设置为3就可以了）
gzip_types text/plain text/css application/x-javascript application/javascript application/xml; （什么类型的⻚⾯或⽂档启⽤压缩）

gzip on;   # 开启gzip
gzip_proxied any; # nginx 做前端代理时启⽤该选项，表示⽆论后端服务器的headers头返回什么信息，都⽆条件启⽤压缩
gzip_min_length 1k;#最⼩压缩的⻚⾯，如果⻚⾯过于⼩，可能会越压越⼤，这⾥规定⼤于1K的⻚⾯才启⽤压缩
gzip_buffers 4 8k;#设置系统获取⼏个单位的缓存⽤于存储gzip的压缩结果数据流 按照原始数据⼤⼩以8K为单位申请4倍内存空间
gzip_comp_level 3;# gzip 压缩级别，1-9，数字越大压缩的越好，也越占用CPU时间,一般设为3
gzip_types text/plain;
 # 是否在http header中添加Vary: Accept-Encoding，建议开启
gzip_vary on;
 # 禁用IE 6 gzip
gzip_disable "MSIE [1-6]\.";
 # 设置压缩所需要的缓冲区大小 
gzip_buffers 32 4k;
 # 设置gzip压缩针对的HTTP协议版本
gzip_http_version 1.0;

gzip_types有以下类型
text/plain application/javascript application/x-javascript
text/css application/xml text/javascript application/x-httpd-php
image/jpeg image/gif image/png application/vnd.ms-fontobject font/ttf
font/opentype font/x-woff image/svg+xml;

4、客户端缓存
语法： expires [time|epoch|max|off]
默认值： expires off
作⽤域： http, server, location

location ~.*\.(js|css)?$
   {
    expires 1h;
 }

好了，大概就是这些啦，加油！！！！