安装nginx之前,首先需要安装"Development Tools"和 "Development Libraries"两个基本组包。yum groupinstall "Development Tools" "Development Libraries"。另外还需要安装pcre-devel包。
安装pcre-devel:
yum install pcre-devel
安装nginx:
添加nginx账号groupadd -g 4000 nginx;useradd -g 4000 -u 4000 nginx -s /sbin/nologin
./configure \
--prefix=/usr/local/nginx \
--sbin-path=/usr/local/nginx/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_flv_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/tmp/nginx/client/ \
--http-proxy-temp-path=/var/tmp/nginx/proxy/ \
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
--with-pcre
make
make install
这下可以启动nginx了。执行/usr/local/ngin/sbin/nginx会报错,因为我们需要事先创建上面编译的时候需要的目录。
mkdir -p /var/tmp/nginx/client/再次执行上述命令后,执行netstat -tunpl | grep 80发现nginx已经监听在tcp的80端口上了。
mkdir -p /var/tmp/nginx/proxy/
mkdir -p /var/tmp/nginx/fcgi/
二.为nginx提供SysV init脚本:
新建文件/etc/rc.d/init.d/nginx,内容如下:
#!/bin/bash
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig: - 85 15
# description: Nginx is an HTTP(S) server, HTTP(S) reverse \
# proxy and IMAP/POP3 proxy server
# processname: nginx
# config: /etc/nginx/nginx.conf
# config: /etc/sysconfig/nginx
# pidfile: /var/run/nginx.pid
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0
nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)
NGINX_CONF_FILE="/etc/nginx/nginx.conf"
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
lockfile=/var/lock/subsys/nginx
make_dirs() {
# make required directories
user=`nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
options=`$nginx -V 2>&1 | grep 'configure arguments:'`
for opt in $options; do
if [ `echo $opt | grep '.*-temp-path'` ]; then
value=`echo $opt | cut -d "=" -f 2`
if [ ! -d "$value" ]; then
# echo "creating" $value
mkdir -p $value && chown -R $user $value
fi
fi
done
}
start() {
[ -x $nginx ] || exit 5
[ -f $NGINX_CONF_FILE ] || exit 6
make_dirs
echo -n $"Starting $prog: "
daemon $nginx -c $NGINX_CONF_FILE
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
return $retval
}
stop() {
echo -n $"Stopping $prog: "
killproc $prog -QUIT
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}
restart() {
configtest || return $?
stop
sleep 1
start
}
reload() {
configtest || return $?
echo -n $"Reloading $prog: "
killproc $nginx -HUP
RETVAL=$?
echo
}
force_reload() {
restart
}
configtest() {
$nginx -t -c $NGINX_CONF_FILE
}
rh_status() {
status $prog
}
rh_status_q() {
rh_status >/dev/null 2>&1
}
case "$1" in
start)
rh_status_q && exit 0
$1
;;
stop)
rh_status_q || exit 0
$1
;;
restart|configtest)
$1
;;
reload)
rh_status_q || exit 7
$1
;;
force-reload)
force_reload
;;
status)
rh_status
;;
condrestart|try-restart)
rh_status_q || exit 0
;;
*)
echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
exit 2
esac
而后为此脚本赋予执行权限:chmod +x /etc/rc.d/init.d/nginx
添加至服务管理列表,并让其开机自动启动:chkconfig --add nginx
chkconfig nginx on
service nginx reload重新加载nginx
三.nginx基本配置文件介绍
#user nobody; //定义Nginx运行的用户和用户组
worker_processes 1; //Nginx运行时的工作进程数
#error_log logs/error.log; //错误日志,nginx的日志可以直接发给远程服务器
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events { //用来设置影响nginx工作属性和连接数上线的总配置
use epoll;//使用基于epoll的事件驱动模型
worker_connections 1024; //每一个work进程连接数的限制,根据服务器的带宽和脚本的大小来评估
worker_cpu_affinity 0001 0100; //将wock进程绑定在第一颗和第四颗cpu上,这是以掩码的方式来计算的
worker_rlimit_nofile 51200;//限定nginx最多能够打开的文件数,也可以在limits.conf文件中配置
worker_priority_number -10; //定义work进程的优先级,取值为-20到20,默认为0。给进程一样,值越低优先级越高
}
http {
include mime.types;
default_type application/octet-stream; //默认的mime类型
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"'; //日志格式
#access_log logs/access.log main; //访问日志的位置,access_log off可以关闭访问日志
sendfile on; //服务器应该开启的功能,可以避免将数据转到应用程序进程做转换
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65; #长连接的超时时间,应该设置的小点(例如5)
#gzip on; //开启gzip压缩功能
server { //虚拟主机的设置
listen 80; //监听的端口
server_name localhost; //主机的名称
#charset koi8-r; //设置字符集
#access_log logs/host.access.log main; //设置访问日志
location / {
root html; //定义网页文件目录,可以使用绝对路径,不使用绝对路径的时候--prefix的选项作为相对路径
index index.html index.htm; //该url下的默认访问文件
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html; //自定义错误指令,并且定义到对应的错误文件
location = /50x.html {
root html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}
# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
# listen 8000;
# listen somename:8080;
# server_name somename alias another.alias;
# location / {
# root html;
# index index.html index.htm;
# }
#}
# HTTPS server
#
#server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
}
四.nginx虚拟主机配置
server {
listen 127.0.0.1:80;
server_name www.qiguo1.com;
location / {
root /web/htmlone
index index.html
}
}
server{
listen 127.0.0.1:80;
server_name www.qiguo2.com;
location / {
root /web/htmltwo
index index.html
}
}
127.0.0.1 www.qiguo1.com
127.0.0.1 www.qiguo2.com
在/web/htmlone和/web/htmltwo中分别建立2个index.html文件:
echo "this is htmlone" > /web/htmlone/index.html
echo "this is htmltwo" > /web/htmltwo/index.html
然后在shell命令行测试nginx虚拟主机:
elinks -dump www.qiguo1.com 显示:this is htmlone
elinks -dump www.qiguo2.com 显示:this is htmltwo
五.nginx访问控制授权
nginx的访问控制需要通过模块来设定,默认提供了2个模块Access和Auth Basic。Access是基于地址来做限制的,而Auth Basic是基于http页面来做限制的。
基于Access模块认证的时候官方给出的例子是:
location / {
deny 192.168.1.1;}
allow 192.168.1.0/24;
allow 10.1.0.0/16;
deny all;
基于Auth Basic模块认证的时候官方给出的例子是:
location / {
auth_basic"closed site" #表示启动了auth认证,auth_name的值为closed site}
auth_basic_user_fileconf/htpasswd #用户认证的文件所在的地方
下面测试Auth Basic模块基于http认证的方式:
需要首先创建一个密码文件,这里需要借助apache提供的htpasswd命令,执行htpasswd后输入密码即可
htpasswd -c -m /etc/nginx/nginx.passwd qiguo
编辑/etc/nginx/nginx.conf文件,加入下面代码
location = /test.html {
roothtml;}
auth_basic "限制登陆,需要账号和密码";
auth_basic_user_file /etc/nginx/nginx.passwd;ed
index index.html index.htm;
重新启动nginx,在浏览器中输入localhost/test.html会弹出让你输入用户和密码的信息,证明nginx访问控制授权成功
六.nginx页面索引文件的指定
apache在配置主机的时候可以使用Options Indexes对当访问的目录页面不存在时,可以以索引的列表方式显示,nginx也提供了同样的功能,需要通过Auto_Index模块来实现。实现的方法比较简单,官网给出的例子是:
location / {
autoindex on;}
autoindex_exact_size; #这个选项指定以列表的方式显示的时候精确的匹配文件的大小,否则会做文件大小转换
autoindex_localtime; #显示的文件的时间是以运行nginx的服务器的时间为标准来显示的
七.nginx自定义响应报文
nginx自定义响应报文需要通过Headers这个模块来实现.而且最好添加http协议所支持的响应报文首部。使用的方法很简单,官方给出的简单示例如下:
add_header Cache_Control private; //自定义Cache_Control的值为private
例如我们可以自己为一个页面自定义一个响应报文,配置如下:
location = /test.html {
roothtml;}
index index.html;
add_header HTTP_X_FORWARD_FOR 192.168.1.250;
保存后,重新启动nginx后,打开test.html这个文件会看到响应头中多出来了一个HTTP_X_FORWARD_FOR的信息,并且其值为192.168.1.250
八.nginx的URL重写功能
nginx的URL重写功能是依靠ngx_http_rewrite_module这个模块来实现的,nginx常用的rewrite语法用5个:
set:主要是用来设置变量用的,没什么特别的
if:if主要用来判断一些在rewrite语句中无法直接匹配的条件,比如检测文件存在与否,http header,cookie等
return:return可用来直接设置HTTP返回状态,比如403,404等
break:立即停止rewrite检测
rewrite:设置url重写时最重要的功能,其语法使用格式为:rewrite 正则 替换 标志位
rewrite的重写功能和apache基本上是一样,但是这里主要说明下rewrite标志位的使用,默认的标志位有4个:
break:停止rewrite检测,也就是说当含有break flag的rewrite语句被执行时,该语句就是rewrite的最终结果if语句中的判断条件:
last:停止rewrite检测,但是跟break有本质的不同,last的语句不一定是最终结果
redirect:返回302临时重定向,一般用于重定向到完整的URL(包含http:部分)
permanent:返回301永久重定向,一般用于重定向到完整的URL(包含http:部分)
正则表达式匹配:文件及目录匹配匹配:
~ 为区分大小写匹配
~* 为不区分大小写匹配
!~和!~*分别为区分大小写不匹配及不区分大小写不匹配
-f和!-f用来判断是否存在文件nginx常用的全局变量:
-d和!-d用来判断是否存在目录
-e和!-e用来判断是否存在文件或目录
-x和!-x用来判断文件是否可执行
$args这里给出官方的一些URL重写示例:
$content_length
$content_type
$document_root
$document_uri
$host
$http_user_agent
$http_cookie
$limit_rate
$request_body_file
$request_method
$remote_addr
$remote_port
$remote_user
$request_filename
$request_uri
$query_string
$scheme
$server_protocol
$server_addr
$server_name
$server_port
$uri
if ($http_user_agent ~ MSIE) {
rewrite ^(.*)$ /msie/$1 break;}
rewrite ^/users/(.*)$ /show?user=$1? last;
rewrite ^(/download/.*)/media/(.*)\..*$ $1/mp3/$2.mp3 break;
九.nginx的status功能
nginx与apache一样,Apache有一个mod_status的模块可以查看服务器的运行状况,nginx提供了类似的功能,并且是通过http_stub_status_module这个模块来完成的。nginx启动status也比较简单,但是前提是在编译的时候要安装http_stub_status_module这个模块。要启动nginx的status模块,只需要做下面的简单配置即可:
location /status {
stub_status on;}
access_log off;
重新启动nginx,访问localhots/status,可以得到下面的内容:
Active connections: 1
server accepts handled requests
2 2 35
Reading: 0 Writing: 1 Waiting: 0
官网介绍如下:
active connections -- number of all open connections #打开的活动连接数
server accepts handled requests -- nginx accepted 16630948 connections, handled 16630948 connections (no one was closed just it was accepted), and handles 31070465 requests (1.8 requests per connection) #服务器已经接受的连接数,accepted 16630948表示已经处理过的连接数,handled 16630948表示已经处理的连接数,handles 31070465表示处理的请求数。在启用了keepalive的情况下,连接数一般应该大于请求数
reading -- nginx reads request header #nginx正在读取的请求报文数
writing -- nginx reads request body, processes request, or writes response to a client #nginx正在发送的请求报文数
waiting -- keep-alive connections, actually it is active - (reading + writing) #长连接的活动连接数
十.nginx的压缩功能
nginx的gzio模块可以启动压缩功能,在访问量高,带宽不大的情况下,可以显著提高服务器的性能。gzip是通过with-http_gzip_static_module这个模块来完成工作的。给status模块一样,也需要在编译的时候编译http_gzip_static_module这个模块。gzip的常用命令如下:
gzip on; //开启或者关闭gzip模块
gzip_buffers: 4 4k; //设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流.例如4 4k 代表以4k为单位,按照原始数据大小以4k为单位的4倍申请内存。4 8k 代表以8k为单位,按照原始数据大小以8k为单位的4倍申请内存。如果没有设置,默认值是申请跟原始数据相同大小的内存空间去存储gzip压缩结果。
gzip_comp_level:4; //gzip压缩比,1压缩比最小处理速度最快,9 压缩比最大但处理最慢(传输快但比较消耗cpu)。
gzip_min_length:1024; //设置允许压缩的页面最小字节数,页面字节数从header头中的Content-Length中进行获取。默认值是0,不管页面多大都压缩。建议设置成大于1k的字节数,小于1k可能会越压越大。
gzip_proxied off; //Nginx作为反向代理的时候启用,开启或者关闭后端服务器返回的结果,匹配的前提是后端服务器必须要返回包含"Via"的header头。
默认的取值有off|expired|no-cache|no-store|private|no_last_modified|no_etag|auth|any;具体解释如下:
off - 关闭所有的代理结果数据的压缩下面是常规的gzip配置压缩:
expired - 启用压缩,如果header头中包含"Expires" 头信息
no-cache - 启用压缩,如果header头中包含"Cache-Control:no-cache" 头信息
no-store - 启用压缩,如果header头中包含"Cache-Control:no-store" 头信息
private - 启用压缩,如果header头中包含"Cache-Control:private" 头信息
no_last_modified - 启用压缩,如果header头中不包含"Last-Modified" 头信息
no_etag - 启用压缩,如果header头中不包含"ETag" 头信息
auth - 启用压缩, 如果header头中包含"Authorization" 头信息
any - 无条件启用压缩
gzip_types:匹配MIME类型进行压缩,(无论是否指定)"text/html"类型总是会被压缩的。
http{
include conf/mime.types;}
gzip on;
gzip_min_length 1000;
gzip_buffers 4 8k;
gzip_http_version 1.1;
gzip_types text/plain application/x-javascript text/css text/html application/xml;
这里借鉴地址:http://wenku.baidu.com/link?url=6hkmzQjgGsNqYsHSaa9MceJQ_JPjtSLpBKowi2XnRHvjGRMWzJbBIIEhMSGIx2NGTChFkDhBo6YHonOn2hGbXy0XrgtDuVK5HvP_Uq5EXq3
十一.nginx的SSL功能
nginx要支持SSL功能需要编译的时候指定--with-http_ssl_module选项。nginx的SSL功能就是依靠ngx_http_ssl_module来完成的。要完成对SSL的支持,需要生成证书,这里我们使用linux默认的CA来生成自签证书,并且为我们的nginx颁发一个证书。CA证书的生成这里不再说明,这里以本台服务器为例来生成证书。这里不再演示CA的基本配置情况,只是给出简单的生成证书的过程。
进入/etc/pki/CA目录下,创建3个文件certs crl newcerts3个目录,创建index.txt serial 2个文件,往serial文件中写入01
openssl genrsa -out private/cakey.pem 1024
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
然后创建自己的信息,注意这里的信息要和等下给我们nginx服务器颁发证书的时候的信息一样,输入完成以后就可以为nginx颁发证书。
进入/etc/nginx目录后:
openssl genrsa -out nginx.key 1024
openssl req -new -key nginx.key -out nginx.csr -days 3650 (输入后填写信息)
openssl ca -in nginx.csr -out nginx.crt
输入全部完成以后,我们的证书就已经生成完毕,nginx.crt这个文件就是我们的证书文件,颁证机构就为我们的CA,即前面的cacert.pem。下面开始配置nginx让其支持https:
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/nginx/nginx.crt;
ssl_certificate_key /etc/nginx/nginx.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;index index.html index.htm;
}}
配置完成以后在浏览器中输入https://127.0.0.1中可以看到https协议已经可以使用了,但是需要认证,因为我们的当前客户端上没有安装我们自己CA服务器的证书。只需要把cacert.pem服务器到一台客户端的机器改成以crt的后缀安装,我们的https协议就可以正常使用了。