Nginx网站服务

～407

已于 2022-05-23 10:49:51 修改

阅读量471

点赞数 1

文章标签： nginx 运维服务器

于 2022-05-22 16:32:42 首次发布

本文链接：https://blog.csdn.net/weixin_56270746/article/details/124881375

版权

引言：Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件( IMAP/POP3)代理服务器，单台物理服务器可支持30000~50000个并发请求。并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev 所开发，供俄国大型的入口网站及搜索引擎Rambler ( 俄文: Pam6xep) 使用。

一、Nginx服务基础

1、Nginx概述

Nginx是一个高性能的HTTP和反向代理服务器。
是一款轻量级的高性能的web服务器/反向代理服务器/电子邮件（IMAP/POP3）代理服务器
单台物理服务器可支持30000～50000个并发请求。

Nginx并发连接受2个因素影响

cpu个数
本地物理服务器系统的最大打开文件数

其特点是占有内存少，并发能力强，事实上Nginx的并发能，力确实在同类型的网页服务器中表现较好，中国大陆使用Nginx网站用户有：百度、BWS、新浪、网易、腾讯、阿里云（自己研发：二开）等。

Tengine

Tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础.上，针对大访问量网站的需求，添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网、天猫商城等得到了很好的检验。( 可以这样理解:淘宝网拿到了Nginx 源代码之后，进行了功能的填充、优化等等，然后提交给Nginx官方，但是由于Nginx 官方相应慢甚至不响应，加.上语言沟通的不顺畅，于是淘宝公司就自己打包，在遵循GPL的原则.上进行二次开发，于是就出了现在的Tengine 这个版本)

2、Nginx与Apache的区别

nginx相对于apache的优点∶

轻量级，同样起web服务,比apache占用更少的内存及资源
抗并发，nginx处理请求是异步非阻塞的，而apache是阻塞型的在高并发下，nginx能保持低资源低消耗高性能
高度模块化的设计，编写模块相对简

apache相对于nginx的优点∶

Rewrite比nginx的rewrite强大（rewrite的主要功能就是实现统一资源定位符URL的跳转）
模块多，基本想到的都可以找到
少bug， nginx的bug相对较多
超稳定

存在的理由：一般来说，需要性能的web服务，用nginx。若不需要性能只求稳定，就选用apache。

Nginx：是一个甚于事件的Web服务器， Apache是一个基于流程的服务器;
Nginx：所有请求都由一个线程处理， Apache单个线程处理单个请求;
Nginx：避免子进程的概念， Apache是基于子进程的;
Nginx：在内存消耗和连接方面更好， Apache在内存消耗和连接方面一般;
Nginx：的性能和可伸缩性不依赖于硬件， Apache依赖于CPU和内存等硬件;
Nginx：支持热部署， Apache不支持热部署;
Nginx：对于静态文件处理具有更高效率， Apache相对一般;
Nginx：在反向代理场景具有明显优势， Apache相对一般。

3、Nginx访问站点的数据流向

二、编译安装Nginx服务

1、关闭防火墙

systemctl stop firewalld
systemctl disable firewalld
setenforce 0

2、上传软件包并安装依赖包

[root@ly ~]# cd /opt/
[root@ly opt]# rz -E

[root@ly opt]# yum -y install pcre-devel zlib-devel gcc gcc-c++ make

3、创建用户、组

[root@ly opt]# useradd -M -s /sbin/nologin nginx
#Nginx 服务程序默认以 nobody 身份运行，建议为其创建专门的用户账号，
以便更准确地控制其访问权限

4、编译安装Nignx

[root@ly opt]# tar zxvf nginx-1.12.2.tar.gz -C /opt/	#这里也可以指定你想要的安装路径

cd nginx-1.12.0/
./configure \
--prefix=/usr/local/nginx \			#指定nginx的安装路径
--user=nginx \						#指定用户名
--group=nginx \						#指定组名
--with-http_stub_status_module		#启用 http_stub_status_module 模块以支持状态统计


[root@ly nginx-1.12.2]# make && make install             #编译与安装

[root@ly nginx-1.12.2]# ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
##创建软链接让系统识别nginx的操作命令

5、检查、启动、重启和停止服务

nginx -t								#检查配置文件是否配置正确
nginx									#启动		
cat /usr/local/nginx/logs/nginx.pid		#先查看nginx的PID号
kill -3 <PID号>
kill -s QUIT <PID号>					#停止
killall -3 nginx
killall -s QUIT nginx

kill -1 <PID号>							#重载
kill -s HUP <PID号>
killall -1 nginx
killall -s HUP nginx
#日志分隔，重新打开日志文件
kill -USR1 <PID号>
#平滑升级
kill -USR2 <PID号>

信号编号	信号名	含义
0	EXIT	程序退出时收到该信息
1	HUP	挂点电话线或终端链接的挂起信号，这个信号也会造成某些进程在没有终止的情况下重新初始化
2	INT	表示结束进程，但并不是强制性的，常用的“Ctrl+C”组合键发出的就是一个kill -2的信号
3	QIUT	退出/停止
9	KILL	杀死进程，即强制结束进程
11	SEGV	段错误
15	TERM	正常结束进程，时kill命令的默认信号

6、添加Nignx系统服务

方法一：编写脚本

vim /etc/init.d/nginx
#!/bin/bash
#chkconfig: - 99 20
#description:Nginx Service Control Script
COM="/usr/local/nginx/sbin/nginx"
PID="/usr/local/nginx/logs/nginx.pid"
case "$1" in
start)
  $COM
;;

stop)
  kill -s QUIT $(cat $PID)
;;

restart)
  $0 stop
  $0 start
;;

reload)
  kill -s HUP $(cat $PID)
;;

*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1

esac
exit 0

chmod +x /etc/init.d/nginx
chkconfig --add nginx							#添加为系统服务
systemctl stop nginx
systemctl start nginx

方法二：将nginx命令加入服务

vim /lib/systemd/system/nginx.service
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid		#PID
ExecStart=/usr/local/nginx/sbin/nginx		#启动
ExecrReload=/bin/kill -s HUP $MAINPID		#重载
ExecrStop=/bin/kill -s QUIT $MAINPID		#停止
PrivateTmp=true
[Install]
WantedBy=multi-user.target					#启用多用户字符界面

chmod 754 /lib/systemd/system/nginx.service         #赋权
systemctl start nginx.service
systemctl enable nginx.service

查看nginx的版本信息

页面访问测试

三、Nginx配置文件

1、nginx服务的主配置文件

#主配置文件
[root@ly ~]# vim /usr/local/nginx/conf/nginx.conf

2、全局配置

#user nobody; 					#运行用户，若编译时未指定则默认为 nobody
worker_processes 1; 			#工作进程数量，可配置成服务器内核数 * 2
#error_log logs/error.log; 		#错误日志文件的位置
#pid logs/nginx.pid; 			#PID 文件的位置

3、I/O事件配置

events {
    use epoll; 					#使用 epoll 模型，2.6及以上版本的系统内核，建议使用epoll模型以提高性能
    worker_connections 4096; 	#每个进程处理 4096 个连接
}
#如提高每个进程的连接数还需执行“ulimit -n 65535”命令临时修改本地每个进程可以同时打开的最大文件数。
#在Linux平台上，在进行高并发TCP连接处理时，
最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄，每个socket句柄同时也是一个文件句柄)。
#可使用ulimit -a命令查看系统允许当前用户进程打开的文件数限制.

epoll（socket描述符）是Linux内核为处理大批量文件描述符而作了改进的poll，是Linux下多路复用IO接口select/poll的增强版本，它能显著提高程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率

若工作进程数为 8，每个进程处理 4 096 个连接，则允许 Nginx 正常提供服务的连接数 已超过 3 万个（4 096×8=32 768），当然具体还要看服务器硬件、网络带宽等物理条件的性 能表现。

可以使用ulimit -a 命令查看系统允许当前用户进程打开的文件数限制

4、http配置

使用“http { }”界定标记，包括访问日志、HTTP 端口、网页目录、默认字符集、连接保持，以及后面要讲到的虚拟 Web 主机、PHP 解析等一系列设置，其中大部分配置语句都包含在子界定标记“server { }”内

http {
	##文件扩展名与文件类型映射表
    include       mime.types;

	##默认文件类型
    default_type  application/octet-stream;

	##日志格式设定
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

	##访问日志位置
    #access_log  logs/access.log  main;

	##支持文件发送(下载)
    sendfile        on;
 	##此选项允许或禁止使用socke的TCP_CORK的选项（发送数据包前先缓存数据），此选项仅在使用sendfile的时候使用
    #tcp_nopush     on;

	##连接保持超时时间，单位是秒
    #keepalive_timeout  0;
    keepalive_timeout  65;

	##gzip模块设置，设置是否开启gzip压缩输出
    #gzip  on;

##Web 服务的监听配置
server {
	##监听地址及端口
	listen 80; 
	##站点域名，可以有多个，用空格隔开
	server_name www.liy.com;

	##网页的默认字符集
	charset utf-8;

	##根目录配置
	location / {
	
		##网站根目录的位置/usr/local/nginx/html
		root html;
	
		##默认首页文件名
		index index.html index.htm;
	}

	##内部错误的反馈页面
	error_page 500 502 503 504 /50x.html;
	##错误页面配置
	location = /50x.html {
		root html;
	}
}
}
systemctl daemon-reload
##修改完成后重启nginx服务
systemctl restart nginx.service

也可以通过自行设定的域名进行访问

5、日志格式配置

$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址；
$remote_user：用来记录客户端用户名称；
$time_local： 用来记录访问时间与时区；
$request： 用来记录请求的url与http协议；
$status： 用来记录请求状态；成功是200，
$body_bytes_sent ：记录发送给客户端文件主体内容大小；
$http_referer：用来记录从那个页面链接访问过来的；
$http_user_agent：记录客户浏览器的相关信息；

通常web服务器放在反向代理的后面，这样就不能获取到客户的IP地址了，通过$remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中，可以增加x_forwarded_for信息，用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。


location常见配置指令，root、alias、proxy_pass

root（根路径配置）：请求www.liy.com/test，会返回文件/usr/local/nginx/html/test/index.html

alias（别名配置）：请求www.liy.com/test，会返回文件/usr/local/nginx/html/index.html

四、Nginx版本升级

（不影响业务的情况下）

1、升级前版本

2、关闭Nginx服务，暂停正在使用的Nginx进程

3、上传需要升级的软件包并解压

4、配置文件（这里需要安装opensssl软件包）

5、下载openssl依赖包（不需要的话可以不添加）

6、编译（注意不要make install安装，否则数据将会全部覆盖）

7、备份旧版本

8、启动Nginx服务并检查版本

五、访问状态统计配置

1、判断Nginx版本是否包含http_stub_status模块

nginx 内置了 HTTP_STUB_STATUS 状态统计模块，用来反馈当前的 Web 访问情况，配置编译参数时可添加--with-http_stub_status_module 来启用此模块支持，可以使用命令

可以使用命令/usr/local/nginx/sbin/nginx –v 查看已安装的 Nginx 是否包含 HTTP_STUB_STATUS 模块。

2、修改配置文件

cd /usr/local/nginx/conf
cp nginx.conf nginx.conf.bak				#复制备份
vim /usr/local/nginx/conf/nginx.conf		#编辑主配置文件
......
http {
......
	server {
		listen 80;
		server_name www.liy.com;
		charset utf-8;
		location / {
			root html;
			index index.html index.htm;
		}
		##添加 stub_status 配置##
		location /status { 					#访问位置为/status
			stub_status on; 				#打开状态统计功能
			access_log off; 				#关闭此位置的日志记录
		}

Active connections: 2            #当前活动链接数
server accepts handled requests  #已处理的连接信息
 2  2  5                        #三个数字分别为 已处理连接数、成功的TCP握手次数、已处理的请求数
Reading: 0 Writing: 1 Waiting: 1

使用脚本监控Nginx访问链接数

#！/bin/bash
 con=`curl -s 192.168.58.19/status |awk '/Active/{print $3}'`
 if [ $con -ge 1000 ];then
   echo "链接数超过警戒值" |mail -s warring 邮箱地址
   else
   echo "Nginx运行正常"
 fi

六、基于授权的访问控制

数据流向图

1、生成用户密码认证文件

yum install -y httpd-tools            #安装密码认证工具
htpasswd -c /usr/local/nginx/passwd.db liyong      #用户名为访问http的用户名，而不是系统用户

创建用户liyong，-c创建一个/usr/local/nginx/passwd.db用于存储用户信息

修改属主和权限，这一样除了root和nginx用户可读，其他用户和组都不可读，nginx用户登录后不可登录

[root@localhost nginx]# chmod 400 passwd.db 
[root@localhost nginx]# chown nginx passwd.db

2、修改主配置文件相对应的目录，添加认证配置

location / {
            root   html;
            index  index.html index.htm;
            auth_basic "secret";     #开启密码锁定
            auth_basic_user_file /usr/local/nginx/passwd.db; #指定存放密码文件路径
        }

重启服务：
使用nginx -t 可以检查配置文件是否有错误

测试

七、基于客户端的访问控制

访问控制规则如下：
deny IP/IP段：拒绝某个IP或IP段的客户端访问
allow IP/IP段：允许某个IP或IP段的客户端访问
规则从上往下执行，匹配即停止，不再往下匹配

 location / {
            allow 192.168.58.100;  #允许该IP地址访问
            deny all;             #拒绝其它主机IP访问
            root   html;
            index  index.html index.htm;
        }

192.168.58.100

192.168.58.19

其他主机IP禁止访问

八、基于域名的Nginx虚拟主机

数据流向图

Nginx可以配置多种类型的虚拟主机，分别是基于 IP 的虚拟主机、基于域名的虚拟主机、基于端口的虚拟主机。使用Nginx搭建虚拟主机服务器时，每个虚拟 Web 站点拥有独立的“server{}”配置段，各自监听的IP地址、端口号可以单独指定，当然网站名称也是不同的。

1、为主机提供域名解析

[root@localhost conf]# echo "192.168.58.19 www.liy.com www.yong.com" >> /etc/hosts
#添加域名解析

2、为虚拟主机网页准备文档

[root@localhost html]# mkdir -p liy
[root@localhost html]# mkdir -p yong
[root@localhost html]# echo "www.liy.com" > /usr/local/nginx/html/liy/index.html
[root@localhost html]# echo "www.yong.com" > /usr/local/nginx/html/yong/index.html

3、修改配置文件

server {                                      #第一个web站点配置信息
        listen       80;                         #监听端口80 
        server_name  www.liy.com;                  #站点域名
        charset utf-8;
        access_log logs/www.liy.access.log;

        location / {
            root   /usr/local/nginx/html/liy;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}
    server {                                      #第二个web站点配置信息
        listen       80;                              #监听端口80 
        server_name  www.yong.com;                    #站点域名
        charset utf-8;
        access_log logs/www.yong.access.log;

        location / {
            root   /usr/local/nginx/html/yong;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}

重启服务

需要更改windows系统的域名映射，否则无法访问

在虚拟机上更改/也可以在真机上更改

注意：如果更改windows的hosts文件时没有权限，需要右键更改文件权限

九、基于IP地址的Nginx虚拟主机

数据流向图

基于IP地址的虚拟主机，需要将监听地址由端口，改为IP加端口

添加虚拟网络接口

[root@localhost conf]# ifconfig ens33:1 192.168.58.29 netmask 255.255.255.0

修改配置文件

    server {
        listen       192.168.58.19:80;
        server_name  www.liy.com;
        charset utf-8;
        access_log logs/www.liy.access.log;

        location / {
            root   /usr/local/nginx/html/liy;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}
    server {
        listen      192.168.58.29:80;
        server_name  www.yong.com;
        charset utf-8;
        access_log logs/www.yong.access.log;

        location / {
            root   /usr/local/nginx/html/yong;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}

重启服务

指定域名对应IP地址

vim /etc/hosts 更改主机域名映射

测试

十、基于端口的访问控制

1、修改配置文件

    server {
        listen       192.168.58.19:80;
        server_name  www.liy.com;
        charset utf-8;
        access_log logs/www.liy.access.log;

        location / {
            root   /usr/local/nginx/html/liy;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}
    server {
        listen      192.168.58.19:8080;
        server_name  www.yong.com;
        charset utf-8;
        access_log logs/www.yong.access.log;

        location / {
            root   /usr/local/nginx/html/yong;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}