Nginx 从入坑到入土

一.简介

Nginx (engine x) 是一个高性能的HTTP和反向代理服务,也是一个IMAP/POP3/SMTP服务。
所谓的反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。

二.为什么选择Nginx

  • I/O多路复用
    I/O多路复用就是多个描述符的I/O操作,可以在一个线程内并发,交替地顺序完成,这就叫I/O多路复用,IO多路复用实现方式select,poll,epoll。epoll效率更高。
  • 轻量级
    功能模块少 代码模块化
  • CPU亲和
    Cpu亲和是一种把Cpu亲和和Nginx工作进程绑定方式,把每个worker进程固定在一个cpu上执行,减少切换cpu的cache miss,以此获得更好的性能。
  • Sendfile
    Sendfile 函数让两个文件描写叙述符之间直接传递数据(全在内核中操作,传送),从而避免了内核缓冲区数据和用户缓冲区数据之间的拷贝,操作效率非常高,被称之为零拷贝。
    轻量级 功能模块少 代码模块化

三.安装Nginx

环境:Centos7

  1. 安装必要环境
    yum -y install gcc gcc-c++ autoconf pcre pcre-devel make automake
    yum -y install wget httpd-tools vim
  2. 关闭iptable,防火墙
    iptables -F
    iptables -t nat -F
    setenforce 0
  3. /etc/yum.repos.d/nginx.repo添加仓库。
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/mainline/centos/7/$basearch/
gpgcheck=0
enabled=1
  1. 安装
    yum install nginx
  2. 查看配置参数以及模块
    nginx -V
  3. 查看配置文件
    nginx -t

7.Location匹配(优先级由上至下)
= :进行普通字符精确匹配,也就是完全匹配
^~: 表示普通字符匹配,使用前缀匹配
~(区分大小写) ~*(不区分大小写):表示执行一个正则匹配
访问Nginx官方网站http://nginx.org/en/linux_packages.html#stable 查看Nginx的安装方法
各类配置参数可以参考官方文档http://nginx.org/en/docs/

四.常见Nginx中间架构

静态资源WEB服务

  1. 设置浏览器缓存
  2. 防盗链
  3. 跨域控制
#以下配置代表允许来自于百度请求
add_header Access-Control-Allow-Origin http://www.baidu.com
add_header Access-Allow-Method GET,POST,PUT,DELETE,OPTIONS

代理服务

实现
使用的都是proxy_pass语法,正向代理访问外网,反向代理访问内部服务器
PS:访问域名的时候还需要配置DNS解析:resolver 8.8.8.8

正向代理与反向代理的区别
位置不同
正向代理,架设在客户机和目标主机之间;
反向代理,架设在服务器端;
代理对象不同
正向代理,代理客户端,服务端不知道实际发起请求的客户端;
反向代理,代理服务端,客户端不知道实际提供服务的服务端;

负载均衡调度器SLB

1.GSLB
2.SLB
四层负载均衡,七层负载均衡

基本语法:
使用的都是upstream param语法

upstream test{
 server 192.168.15.129:8080;
 server 192.168.15.129:8081;
 server 192.168.15.129:8082;
}

其他参数:
weight:权重参数
down:当天服务不参与负载均衡
backup:预留的备份服务器
max_fails:允许请求失败的次数
fail_timeout:经过最大失败后,服务暂停的时间
max_conns:限制最大的接受的连接数

调度算法:
轮询:按时间顺序逐一分配
加权轮询:按设置的weight分配
ip_hash:按请求的IP的HASH结果分配,这样同一个IP固定访问到同一台后端服务器,开启在upstream中加入ip_hash即可。
url_hash:按URL的HASH结果分配,同一个URL定向到同一台后台服务器,开启在upstream中加入hash $request_uri即可。
least_conn:最少链接数,那个机器连接数少就分发
hash关键值:hash自定义的key

  • 动态缓存

try_files

语法
try_files $uri $uri/ /index.php
作用
依次匹配文件是否存在

Alias和Root的区别

location /request_path/image/{
  alias /local_path/image/;
}

http:/localhost/request_path/image/cat.png - > /local_path/image/cat.png

location /request_path/image/{
  root /local_path/image/;
}

http:/localhost/request_path/image/cat.png - > /local_path/image/request_path/cat.png

Rewrite

语法
rewrite regex replacement flag
作用
1.Url访问跳转
2.SEO优化,优化路径
3.维护
4.安全(伪静态页面)

flag
last:停止rewrite检测,新建请求。
break:停止rewrite检测,到root下查找。
redirect:返回302临时重定向,地址栏会显示跳转后的地址
permanent:返回301永久重定向,地址栏会显示跳转后的地址,即使源站服务停止了,也会继续重定向。
示例
以下的作用是把nginx.org改写为www.nginx.org;

server{
listen 80;
server_name nginx.org;
rewrite ^ http://www.nginx.org$request_uri?;
}

server{
listen 80;
server_name www.nginx.org;
}

动静分离

动静分离就是把动态资源和静态资源分开请求。静态资源直接请求,动态资源访问tomcat。

upstream java_api{
  server 127.0.0.1:8080;
}
location ~ \.jsp$ {
 proxy_pass http://java_api;
 index index.html index.htm
}
location ~ \.(jpg|png|gif)$  {
  expires 1h;
  gzip on;
}

Geoip模块

所谓GeoIP,就是通过来访者的IP,定位他的经纬度,国家/地区,省市,甚至街道等位置信息。

  • 安装模块
    yum install nginx-module-genip
  • 下载数据库
    wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
    wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
  • 修改nginx.conf添加模块加载
    load_module "modules/ngx_http_geoip_module.so";
    load_module "modules/ngx_stream_geoip_module.so";
  • conf添加应用
geoip_country /opt/work/GeoIP.dat;
geoip_city /opt/work/GeoLiteCity.dat;
upstream bz.coder.com{
   server localhost;
}
server {
    listen       80;
    server_name  localhost;

    location /myip {
        default_type text/plain;
        return 200 "$remote_addr $geoip_country_name $geoip_country_code $geoip_city";
    }

配置Https服务

1.生成密钥和CA证书

  1. 生成key密钥
    确认安装openssl,输入openssl genrsa -idea -out ssl.key 1024,生成过程中还会让你输入一个密码,生成完毕后会生成ssl.key文件。
  2. 生成证书签名请求文件(csr文件)
    输入openssl req -new -key ssl.key -out sslkey.csr生成csr文件,按照提示输入相关信息之后会生成csr证书签名请求文件。
  3. 生成证书签名文件(CA文件)
    对于公司,将生成的key文件以及csr文件发送给相应的签名机构生成CA文件。
    对于个人,openssl x509 -req -days 3650 -in sslkey.csr -signkey ssl.key -out sslkey.crt即可打包生成CA文件,期间要输入之前key所对应的密码。

2.Nginx端配置

  • 添加以下三行:
    listen 443 ssl
    ssl_certificate +证书路径
    ssl_certificate _key + Key文件路径
  • 添加后重新运行,输入netstat -luntp|grep 443查看443端口是否在始终中。
  • 如果没有netstat工具,先安装yum install net-tools
  • 接下来就可以通过HTTPS访问我们的页面

3.优化HTTPS服务

  1. 激活keepalive长连接,添加keepalive_timeout 100;
  2. 设置ssl session缓存,添加ssl_session_cache shared:SSL:10m;, ssl_session_timeout 10;

4.配置苹果要求的后台HTTPS服务
作为苹果后台,需要满足以下要求

  • openssl版本大于1.0.2
  • HTTPS证书必须使用SHA256以上哈希签名算法
  • HTTPS证书必须使用RSA 2048位或ECC 256位以上的公钥算法
  • 使用前向加密技术
    openssl x509 -noout -text -in /etc/nginx/ssl_key/sslkey.crt 查看加密类型信息

Nginx性能优化

worker_processes 设置使用CPU数目,一般设置和CPU数目一致即可。
worker_cpu_affinity auto 自动分配CPU

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,233评论 6 495
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,357评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,831评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,313评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,417评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,470评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,482评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,265评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,708评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,997评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,176评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,827评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,503评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,150评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,391评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,034评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,063评论 2 352