好记性不如乱笔头,所以记录一下ngingx方面的知识点,温故而知新!!!
默认网站
当Nginx配置⽂件中有且只有⼀个Server的时候,该Server就被Nginx认为是默认⽹站,所有发给Nginx服务器80端⼝的数据都会默认给该Server.
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
访问控制
location /a {
allow 192.168.1.0/24;
deny all;
#return 404;
return http://www.jd.com;
}
登录验证
location /c {
auth_basic "登陆验证";
auth_basic_user_file /etc/nginx/htpasswd;
}
日志管理
Nginx访问日志主要有两个参数控制
log_format #用来定义记录日志的格式(可以定义多种日志格式,取不同名字即可)
access_log #用来指定日至文件的路径及使用的何种日志格式记录日志
access_log logs/access.log main;
log_format格式变量:
$remote_addr #记录访问网站的客户端地址
$remote_user #远程客户端用户名
$time_local #记录访问时间与时区
$request #用户的http请求起始行信息
$status #http状态码,记录请求返回的状态码,例如:200、301、404等
$body_bytes_sent #服务器发送给客户端的响应body字节数
$http_referer #记录此次请求是从哪个连接访问过来的,可以根据该参数进
行防盗链设置。
$http_user_agent #记录客户端访问信息,例如:浏览器、手机客户端等
$http_x_forwarded_for #当前端有代理服务器时,设置web节点记录客户端
地址的配置,此参数生效的前提是代理服务器也要进行相关的x_forwarded_for设 置
案例
自定义一个json格式的访问日志,取名叫做main_json
log_format main_json '{"@timestamp":"$time_local",'
'"client_ip": "$remote_addr",'
'"request": "$request",'
'"status": "$status",'
'"bytes": "$body_bytes_sent",'
'"x_forwarded": "$http_x_forwarded_for",'
'"referer": "$http_referer"'
'}';
access_log logs/access_json.log main_json;
防盗链
ps:只有授权和允许的用户才能访问此网站
location /images/ { #匹配image路径
alias /data/images/;
valid_referers none blocked *.ayitula.com; #设置条件
if ($invalid_referer) { #不满足referer
rewrite ^/ http://www.ayitula.com/daolian.gif;
#return 403;
}}
以百度为例,可以看到refer策略
通过这2个字段就可以查看到所有的盗链策略设置,原理就是根据请求头中的refer字段,来进行规则的匹配,如果规则匹配成功,就说明是盗链,则进行相应的拦截,例如禁止访问或者返回403
虚拟主机
就是把一台物理服务器划分成多个“虚拟”的服务器,每一个虚拟主机都可以有独
立的域名和独立的目录
同时发布两个网站:
DocumentRoot /usr/local/nginx/html/web1
DocumentRoot /usr/local/nginx/html/web2
1、基于IP的虚拟主机(不推荐)
实现条件
- 两个IP
2)DR 存在
3)索引页 index.html
每个网站都需要一个IP
缺点 需要多个IP 如果是公网IP 每个IP都需要付费
server {
listen 192.168.10.42:80;
location / {
root html/web1;
index index.html index.htm index.php;
} }
server {
listen 192.168.10.52:80;
location / {
root html/web2;
index index.html index.htm;
} }
2、基于端口的虚拟主机
只需要一个IP
缺点 端口你是无法告诉公网用户 无法适用于公网客户 适合内部用户
基于端口
server {
listen 80;
#server_name www.abc.com;
location / {
root html/web1;
index index.html index.htm index.php;
} }
server {
listen 8080;
#server_name www.abc.com;
location / {
root html/web2;
index index.html index.htm;
} }
3、基于域名的虚拟主机(灰常推荐)
一个网站必然有一个域名
基于域名
server {
listen 80;
server_name www.abc.com;
location / {
root html/web1;
index index.html index.htm index.php;
} }
server {
listen 80;
server_name www.cbd.com;
location / {
root html/web2;
index index.html index.htm;
} }
反向代理
代理服务器,客户机在发送请求时,不会直接发送给目的主机,而是先发送给代理
服务器,代理服务接受客户机请求之后,再向主机发出,并接收目的主机返回的数
据,存放在代理服务器的硬盘中,再发送给客户机。
client mac http://192.168.10.42
代用户上网访问是正向代理,代服务器访问是反向代理
反代 Nginx 42
业务机器 book.ayitula.com http://118.190.209.153:4000/
location / {
index index.php index.html index.htm; #定义首页索引文件的名称
proxy_pass http://mysvr ;#请求转向mysvr 定义的服务器列表
proxy_set_header Host $host;
#优化请求头,可以不加,提高性能的,记得去掉注释文字
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m; #允许客户端请求的最大单文件字节数
client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数,
proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffer_size 4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
}
来个简约版本的
location / {
proxy_pass http://192.168.1.2:4000;#代理服务器
}
限速
限流(rate limiting)是NGINX众多特性中最有用的,也是经常容易被误解和错误
配置的,特性之一。该特性可以限制某个用户在一个给定时间段内能够产生的HTTP
请求数。请求可以简单到就是一个对于主页的GET请求或者一个登陆表格的POST
请求。
Nginx官⽅版本限制IP的连接和并发分别有两个模块:
limit_req_zone ⽤来限制单位时间内的请求数,即速率限制。
limit_req_conn ⽤来限制同⼀时间连接数,即并发限制。
基于IP对下载速率做限制 限制每秒处理1次请求,对突发超过5个以后的请求放⼊缓存区
http {
limit_req_zone $binary_remote_addr zone=dongdong:10m rate=1r/s;
server {
location /search/ {
limit_req zone=dongdongburst=5 nodelay;
}
}
limit_req_zone binary_remote_addr 表示通过remote_addr这个标识来做限制,“binary_”的⽬的是缩写内存占⽤量,是限制同⼀客户端ip地址。
第⼆个参数:zone=dongdong:10m表示⽣成⼀个⼤⼩为10M,名字为one的内存区域,⽤来存储访问的频次信息。
第三个参数:rate=1r/s表示允许相同标识的客户端的访问频次,这⾥限制的是每秒1次,还可以有⽐如30r/m的。
limit_req zone=baism burst=5 nodelay;
第⼀个参数:zone=dongdong设置使⽤哪个配置区域来做限制,与上⾯limit_req_zone ⾥的name对应。
第⼆个参数:burst=5,重点说明⼀下这个配置,burst爆发的意思,这个配置的意思是设置⼀个⼤⼩为5的缓冲区当有⼤量请求(爆发)过来时,超过了访问频次限制的请
求可以先放到这个缓冲区内。
第三个参数:nodelay,如果设置,超过访问频次⽽且缓冲区也满了的时候就会直接返回503,如果没有设置,则所有请求会等待排队。
基于IP做连接限制 限制同⼀IP并发为1 下载速度为100K
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
location /abc {
limit_conn addr 1;
limit_rate 100k;
}
}
综合案例
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
#基于IP做连接限制 限制同⼀IP并发为1 下载速度为100K
limit_conn_zone $binary_remote_addr zone=addr:10m;
#基于IP对下载速率做限制 限制每秒处理1次请求,对突发超过5个以后的请求放⼊缓存区
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
location /abc {
limit_req zone=one burst=5 nodelay;
limit_conn addr 1;
limit_rate 100k;
}
}
URL重定向
应⽤场景
• 域名变更 (京东) • ⽤户跳转 (从某个连接跳到另⼀个连接) • 伪静态场景 (便于CDN缓存动态⻚⾯数据)
URL 模块语法
- set 设置变量
- if 负责语句中的判断
- return 返回返回值或URL
- break 终⽌后续的rewrite规则
- rewrite 重定向URL
将http://www.baidu.com 重写为 http://www.baidu.com/dong
location / {
set $name dong;
rewrite ^(.*)$ http://www.baidu.com/$name;
}
再来一个判断
location / {
root html;
index index.html index.htm;
if ($http_user_agent ~* 'Chrome') {
return 403;
#return http://www.jd.com;
#break
}
}
基本规则
rewrite <regex> <replacement> [flag];
关键字 正则 替代内容 flag标记
flag:
last #本条规则匹配完成后,继续向下匹配新的location URI规则
break #本条规则匹配完成即终⽌,不再匹配后⾯的任何规则
redirect #返回302临时重定向,浏览器地址会显示跳转后的URL地址
permanent #返回301永久重定向,浏览器地址栏会显示跳转后的URL地址
重定向就是将⽹⻚⾃动转向重定向
301永久性重定向:新⽹址完全继承旧⽹址,旧⽹址的排名等完全清零
301重定向是⽹⻚更改地址后对搜索引擎友好的最好⽅法,只要不是暂时搬移的情况,都建议使⽤301来做转址。
302临时性重定向:对旧⽹址没有影响,但新⽹址不会有排名
搜索引擎会抓取新的内容⽽保留旧的⽹址
域名跳转
www.ayitula.com 重写为 www.jd.com
server {
listen 80;
server_name www.ayitula.com;
location / {
rewrite ^/$ http://www.jd.com permanent ;
} }
url重写后,马上发起一个新的请求,再次进入server块,重试location匹配,超过
10次匹配不到报500错误,地址栏url不变
last 一般出现在server或if中
数据包走向 client-->nginx nginx告诉客户端让服务器的新地址(真实服务器),
客户端收到后再去找服务器 client--->server
最后来讲解一下如何优化吧!
优化
1、并发优化
worker_processes 1; ⼯作进程数量 按CPU的总核⼼调整
• worker_cpu_affinity 0010 0100 1000; CPU的亲和⼒
• worker_connections 1024; ⼀个⼯作进程的并发数
2、长连接
http协议属于TCP协议
优化⽬标:减少三次握⼿和四次断开的次数
keepalive_timeout 0; 0代表关闭
#keepalive_timeout 5; #⻓连接时间
#keepalive_requests 8192; #每个⻓连接接受最⼤请求数
3、压缩
gzip on; (启⽤ gzip 压缩功能)
gzip_proxied any; (nginx 做前端代理时启⽤该选项,表示⽆论后端服务器的headers头返回什么信息,都⽆条件启⽤压缩)
gzip_min_length 1024; (最⼩压缩的⻚⾯,如果⻚⾯过于⼩,可能会越压越⼤,这⾥规定⼤于1K的⻚⾯才启⽤压缩)
gzip_buffers 4 8k; (设置系统获取⼏个单位的缓存⽤于存储gzip的压缩结果数据流 按照原始数据⼤⼩以8K为单位申请4倍内存空间)
gzip_comp_level 3; (压缩级别,1压缩⽐最⼩处理速度最快,9压缩⽐最⼤但处理最慢,同时也最消耗CPU,⼀般设置为3就可以了)
gzip_types text/plain text/css application/x-javascript application/javascript application/xml; (什么类型的⻚⾯或⽂档启⽤压缩)
gzip on; # 开启gzip
gzip_proxied any; # nginx 做前端代理时启⽤该选项,表示⽆论后端服务器的headers头返回什么信息,都⽆条件启⽤压缩
gzip_min_length 1k;#最⼩压缩的⻚⾯,如果⻚⾯过于⼩,可能会越压越⼤,这⾥规定⼤于1K的⻚⾯才启⽤压缩
gzip_buffers 4 8k;#设置系统获取⼏个单位的缓存⽤于存储gzip的压缩结果数据流 按照原始数据⼤⼩以8K为单位申请4倍内存空间
gzip_comp_level 3;# gzip 压缩级别,1-9,数字越大压缩的越好,也越占用CPU时间,一般设为3
gzip_types text/plain;
# 是否在http header中添加Vary: Accept-Encoding,建议开启
gzip_vary on;
# 禁用IE 6 gzip
gzip_disable "MSIE [1-6]\.";
# 设置压缩所需要的缓冲区大小
gzip_buffers 32 4k;
# 设置gzip压缩针对的HTTP协议版本
gzip_http_version 1.0;
gzip_types有以下类型
text/plain application/javascript application/x-javascript
text/css application/xml text/javascript application/x-httpd-php
image/jpeg image/gif image/png application/vnd.ms-fontobject font/ttf
font/opentype font/x-woff image/svg+xml;
4、客户端缓存
语法: expires [time|epoch|max|off]
默认值: expires off
作⽤域: http, server, location
location ~.*\.(js|css)?$
{
expires 1h;
}
好了,大概就是这些啦,加油!!!!
