Nginx (engine x)
是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。
其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx
1.0.4发布。 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
Nginx的安装
解压安装包
tar zxf nginx-1.18.0.tar.gz
安装编译器和其他工具
yum install gcc pcre-devel openssl-devel -y
设置不打开debug
vim auto/cc/gcc
# debug
#CFLAGS="$CFLAGS -g"
编写nginx模块且安装
./configure --prefix=/usr/local/lnmp/nginx --with-http_ssl_module --with-http_stub_status_module --with-threads --with-file-aio
make
make install
创建软链接方便全局调用
ln -s /usr/local/lnmp/nginx/sbin/nginx /usr/local/bin/
查看服务是否启动
ps aux | grep 80
[root@vm1 sbin]# ps ax | grep nginx
13007 ? Ss 0:00 nginx: master process nginx
13037 ? S 0:00 nginx: worker process
13038 ? S 0:00 nginx: worker process
15762 pts/0 R+ 0:00 grep --color=auto nginx
用脚本启动nginx
我们可以安装一个httpd服务,在httpd服务的启动脚本加以修改,制作nginx的启动脚本
[root@vm1 ~]# yum install httpd -y
[root@vm1 ~]# cd /usr/lib/systemd/system
[root@vm1 system]# cp httpd.service /etc/systemd/system/nginx.service
修改启动脚本
[root@vm1 system]# cd /etc/systemd/system
[root@vm1 system]# vim nginx.service
[Unit]
Description=The Apache HTTP Server
After=network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
ExecStart=/usr/local/lnmp/nginx/sbin/nginx
ExecReload=/usr/local/nginx/lnmp/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/lnmp/nginx -s stop
PrivateTmp=true
[Install]
WantedBy=multi-user.target
重新载入systemd,扫描新的或有变动的单元
[root@vm1 system]# systemctl daemon-reload
如果出现不能开启的状况, 查看nginx.pid,并杀掉
[root@vm1 ~]# cat /usr/local/nginx/logs/nginx.pid
6101
[root@vm1 ~]# kill -9 6101
再启动服务即可
nginx的平滑升/降级
原理:Ngnix中的进程分为两类,一类是master进程(主进程),一类是worker进程(工作进程)。
原理就是首先我们先会替换master进程,同时我们替换的master是与老版本的worker兼容的。下一步,就是保持还有连接的worker进程,待其老去退休,进行替换。
刚才安装的nginx版本为1.18,这里我们使用1.17版本模拟nginx的升降级
解压新版本的nginx压缩包
tar zxf nginx-1.17.10.tar.gz
./configure --prefix=/usr/local/nginx/
make
备份原有的二进制程序
cd /usr/local/lnmp/nginx/sbin/
ls
nginx
cp nginx nginx.old
用新的二进制程序进行覆盖
cd nginx-1.17.10
cd objs/
cp -f nginx /usr/local/nginx/sbin/nginx
cp: overwrite ‘/usr/local/nginx/sbin/nginx’? y
##-f 强制,如果不加-f,原来的nginx仍在运行,就不会覆盖
| HUP | 平滑启动(相当于reload) |
|---|---|
| USR2 | 平滑升级可执行程序,主要用在版本升级 |
| WINCH | 从容关闭工作进程 |
| USR1 | 重新打开日志文件,主要用在日志切割(相当于reopen) |
1.kill -USR2 旧版本主进程号
执行新的主进程(新版本)和新的工作进程,依次启动新的主进程和新的工作进程,现在新,旧版本的nginx实例会同时运行,共同处理请求
2.kill -WINCH 旧版本主进程号
发送WINCH信号给旧版主进程,旧版主进程就开始从容关闭
3.再查看版本号, 就平滑升级成了新的版本
nginx -v
nginx的日志切割
nginx可以作为反向代理服务器,当为反向代理服务器时,需要处理的请求量也是非常大的,这就导致nginx的日志大小非常大。所以需要对nginx的日志进行切割。
如果不进行日志切割,那么一个日志文件大大小可能高达六七个G,当打开日志文件时,大小超过服务器内存大小就会造成服务器死机的情况,并且不方便查看。
可以看到,nginx的日志分为两种 ,access.log 和 error.log
正常的连接日志和错误日志。
一般按照企业要求对日志进行备份,这里我们将每天的日志进行备份:
将access.log改名为前一天的日期_access.log
并将此操作定时循环去执行就可实现对日志进行切割。
前一天的日期可通过变量的方式进行实现:
date +%F -d -1day
将备份的所有动作写进脚本,放进crotable每天定时定点执行。实现对日志的切割
#!/bin/bash
cd /usr/local/lnmp/nginx/logs && mv access.log access_$(date +%F -d -1day).log
/usr/local/nginx/lnmp/sbin/nginx -s reload
创建定时任务:
执行命令:crontab -e创建定时任务
00 00 * * * /opt/nginx_log.sh &> /dev/null
nginx的配置文件
Nginx 的配置文件主要分为4部分:
main (全局设置) -> 设置的指令将影响其它所有设置
server (主机设置) -> 主要用于指定 “主机” 和 “端口”
upstream (负载均衡设置) -> 用于负载均衡location (URL 匹配特定位置的设置)
location (URL 匹配特定位置的设置) -> 匹配网页文件的类型和位置
配置文件中典型参数
#Nginx的worker进程运行用户以及用户组
user nobody nobody;
#Nginx开启的进程数,建议为CPU的核数
worker_processes 1;
#worker_processes auto;
#以下参数指定了哪个cpu分配给哪个进程,一般来说不用特殊指定。如果一定要设的话,用0和1指定分配方式.
#这样设就是给1-4个进程分配单独的核来运行,出现第5个进程是就是随机分配了。eg:
worker_processes 4 #4核CPU
worker_cpu_affinity 0001 0010 0100 1000
#定义全局错误日志定义类型,[debug|info|notice|warn|crit]
error_log logs/error.log info;
#指定进程ID存储文件位置
#pid logs/nginx.pid;
#一个nginx进程打开的最多文件描述符数目,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是那么均匀,所以最好与ulimit -n的值保持一致。
#vim /etc/security/limits.conf
# * soft nproc 65535
# * hard nproc 65535
# * soft nofile 65535
# * hard nofile 65535
worker_rlimit_nofile 65535;
nginx的限流
限制并发连接
编辑配置文件
vim /usr/local/lnmp/nginx/conf/nginx.conf
34 limit_conn_zone $binary_remote_addr zone=addr:10m;
48 location /download/ { # download是客户端访问nginx的一个发布目录
49 limit_conn addr 1; # 并发量为1
50 }
在/usr/local/lnmp/nginx/html/下创建目录download/,并放入一个图片
cd /usr/local/lnmp/nginx/html/
mkdir download
cd download/
ls
vim.jpg
[root@server1 download]# du -h vim.jpg
444K vim.jpg
模拟客户端的请求,并发量为1
ab -c 1 -n 10 http://172.25.3.1/download/vim.jpg
Document Path: /download/vim.jpg
Document Length: 453575 bytes
Concurrency Level : 1
Time taken for tests: 0.002 seconds
Complete requests: 10
Failed requests: 0
Write errors: 0
没有错误
并发量为10时-c10
Document Path: /download/vim.jpg
Document Length: 453575 bytes
Concurrency Level : 1
Time taken for tests: 0.002 seconds
Complete requests: 10
Failed requests: 9
Write errors: 0
带宽的限制
限制客户端下载速率为50k
location /download/ {
limit_conn addr 1;
limit_rate 50k;
}
测试
ab -c 1 -n 10 http://172.25.3.1/download/vim.jpg
Document Path: /download/vim.jpg
Document Length: 453575 bytes
Concurrency Level : 1
Time taken for tests: 80.53seconds
Complete requests: 10
Failed requests: 0
Write errors: 0
大约80秒
限制在单位时间内的连接请求
#gzip on;
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
说明:区域名称为one(自定义),占用空间大小为10m,平均处理的请求频率不能超过每秒一次
location /download/ {
limit_conn addr 1;
#limit_rate 50k;
limit_req zone=one burst=5; #burst用于指定最大突发请求数。许多场景下,单一地限制rate并不能满足需求,设置burst,可以延迟处理超过rate限制的请求。
}
测试
ab -c 1 -n 10 http://172.25.3.1/download/vim.jpg
Document Path: /download/vim.jpg
Document Length: 453575 bytes
Concurrency Level : 1
Time taken for tests: 9.005seconds
Complete requests: 10
Failed requests: 0
Write errors: 0
9秒左右
重定向
防止域名恶意解析到服务器ip一般情况下,为了防止恶意的解析,消耗流量,不允许用户直接通过ip对服务器进行访问。
对首页进行如下设置:
server {
listen 80 ;
server_name _;
return 500 ;
}
如果直接使用ip进行访问,直接返回500错误状态码。
也可以对其重定向:
首先添加虚拟主机,别名为www.westos.org:
server {
listen 80;
server_name _;
return 500 ;
rewrite ^(.*) http://www.westos.org permanent;
if ($remote addr = 172.25.3.250) {
return 403 ;
}
reload nginx后,测试:
[root@foundation5 usr]# curl -I 172.25.3.1
HTTP/1.1 301 Moved Permanently ##状态码301:重定向
Server: nginx/
Date: Sun, 15 Aug 2020 01:37:00 GMT
Content-Type: text/html
Content-Length: 163
Connection: keep-alive
Location: http://www.westos.org
https重定向
配置文件
server {
listen443 ssl;
server_ name WWW . westos.org;
ssl certificatecert. pem ;
ssl_ certificate keycert. pem ;
ssl session cache
shared:SsL: 1m;
ssl session timeout5m;
ssl_ ciphers
HIGH: !aNULL: !MD5;
ssl_ _prefer_ server_ ciphers on;
location / {
root
html ;
index
index.html index. htm;
}
rewrite ^(.*) https://www.westos.org permanent;
测试
curl -I www.westos.org
HTTP/1.1 301 Moved Permanently
Server: nginx/
Date: Sun, 15 Aug 2020 02:25:42 GMT
Content-Type: text/html
Content-Length: 163
Connection: keep-alive
Location: https://www.westos.org/
防盗链
盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。
测试端添加解析
vim /etc/hosts
172.25.3.1 www.westos.org bbs.westos.org
172.25.3.2 daolian.westos.org ##添加此处
vm2添加解析,并创建/web目录,编写测试页
vim index.html
<html>
<body>
<br>盗链图片</br>
<img src="http://www.westos.org/vim.jpg"> ##盗取server1上的图片vim.jpg
</body>
</html>
盗链成功
防盗链
location ~* \.(gif|jpg|png|jpeg)$ {
root /web;
valid_ referers none blocked WwW.westos.org;
if ($invalid_ .referer) {
rewrite ^/ http://bbs.westos.org/daolian.jpg;
}
}
再次访问
917
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
