点击链接加入QQ群138269539(全国招聘信息、免费公开课、视频应有尽有):https://jq.qq.com/?_wv=1027&k=5q0IklJ 更多内容可以关注公众号:测试帮日记
Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。Nginx是一款轻量级的Web 服务器/反向代理服务器,其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。下面我们就来详细介绍下nginx的常用配置,该配置均为我们生产环境中检验过的,大家可放心使用。如在使用过程中遇到问题或者疑惑,可以在评论中回复,或者去到我的个人网站(www.ywadmin.com)下留言,我看到后会尽快回复。
一、主配置文件
user nobody nobody; #nginx用户、用户组
worker_processes 8; #开启8个工作进程
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000; #0001表示启用第一个CPU内核,0010表示启用第二个CPU内核,依此类推
error_log logs/error.log; #错误日志存放路径
#error_log logs/error.log notice;
#error_log logs/error.log info;
pid logs/nginx.pid; #pid文件存放路径
worker_rlimit_nofile 100000; #指定进程可以打开的最大描述符号,这个指令是指当一个nginx进程打开的最多文件描述符数量,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是很均匀,建议与ulimit -n的值保持一致。当然设置比ulimit -n大也可以,设置后你的操作系统和Nginx可以处理比ulimit -n更多的文件
google_perftools_profiles /tmp/tcmalloc;# google-perftools中TCMalloc库在内存分配效率和速度上要高很多,这在很大程度上提高了服务器在高并发情况下的性能,从而降低系统负载
events {
use epoll; #使用epoll的I/O 模型。linux建议epoll,FreeBSD建议采用kqueue
#accept_mutex off;
#multi_accept on;
worker_connections 100000; #每个工作进程的最大连接数量。根据硬件调整,和前面工作进程配合起来用,尽量大,但是别把cpu跑到100%就行。每个进程允许的最多连接数,理论上每台nginx服务器的最大连接数为。worker_processes*worker_connections
}
http { #nginx代理http协议,还可以代理ftp/mail等协议
include mime.types; #设定mime类型,类型由mime.type文件定义
default_type application/octet-stream;
log_formatmain'$http_x_forwarded_for - "$upstream_cache_status" $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" $remote_addr ';
#log_format log1 '$realip - "$upstream_cache_status" $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ''"$http_user_agent" $remote_addr';
#日志格式设置
$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;
$remote_user:用来记录客户端用户名称;
$time_local:用来记录访问时间与时区;
$request:用来记录请求的url与http协议;
$status:用来记录请求状态;成功是200,
$body_bytes_sent :记录发送给客户端文件主体内容大小;
$http_referer:用来记录从那个页面链接访问过来的;
$http_user_agent:记录客户浏览器的相关信息;
通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。
#access_log logs/access.log main;
sendfile on; #使用高效的文件传输,可以让sendfile()发挥作用。sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。Pre-sendfile是传送数据之前在用户空间申请数据缓冲区。之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络。sendfile()是立即将数据从磁盘读到OS缓存。因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效。
tcp_nopush on; #防止TCP阻塞, 告诉nginx在一个数据包里发送所有头文件,而不一个接一个的发送
tcp_nodelay on; #告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。 server_tokens off;#彻底隐藏nginx版本号,提高安全性
#charset utf-8;
keepalive_timeout 75; #保持连接超时时间
gzip on; #是否启用压缩功能,实时压缩输出数据流
gzip_min_length 1k; #允许压缩的页面的最小字节数,建议设置成大于 1K 的字节数(页面字节数从header 头的Content-Length 中获取的,默认值为 0 ,不管页面多大都进行压缩)
gzip_buffers 4 16k; # 申请4 个单位为 16K 的内存作为压缩数结果的缓存。(默认是申请与原始数据大小相同的内存空间来存储gzip的压缩结果)
gzip_http_version 1.0; #设置识别HTTP协议的版本,默认是1.1,大部分浏览器已经支持gzip解压
gzip_comp_level 3; #设置压缩比(1 压缩比最小,9 压缩比最大)
gzip_types text/plain application/x-javascript text/css text/javascript application/x-httpd-php image/jpeg image/gif image/png application/xml; #指定压缩的类型(无论是否指定, "text/html" 类型一定是会被压缩的)
#gzip_vary on; #可以让前端缓存服务器缓存经过 gzip 压缩的页面,如:Squid
server_names_hash_bucket_size 128; #保存服务器名字的hash表是由指令server_names_hash_max_size 和server_names_hash_bucket_size所控制的。参数hash bucket size总是等于hash表的大小,并且是一路处理器缓存大小的倍数。在减少了在内存中的存取次数后,使在处理器中加速查找hash表键值成为可能。如果hash bucket size等于一路处理器缓存的大小,那么在查找键的时候,最坏的情况下在内存中查找的次数为2。第一次是确定存储单元的地址,第二次是在存储单元中查找键 值。因此,如果Nginx给出需要增大hash max size 或 hash bucket size的提示,那么首要的是增大前一个参数的大小
fastcgi_intercept_errors on; #这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。
client_max_body_size 50m; #允许客户端请求的最大单文件字节数
client_body_buffer_size 512k; #指定用户请求体所使用的buffer的最大值
client_header_buffer_size 32k; #设置用户请求头所使用的buffer大小
large_client_header_buffers 4 32k; #注意:(1)对绝大多数请求来说,1k足以满足请求头所需的buffer;(2)对于携带有较大cookie或来自于wap用户的请求头来说,1k的buffer一般不够,这时可以使用指令large_client_header_buffers。
#proxy_ignore_client_abort on;
proxy_connect_timeout 10s; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_read_timeout 60s; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_send_timeout 60s; #后端服务器数据回传时间(代理发送超时)
proxy_buffer_size 16k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 64k; # proxy_buffers缓冲区,网页平均在64k以下的话,这样设置
proxy_busy_buffers_size 128k; #高负荷下缓冲大小
proxy_temp_file_write_size 128k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
proxy_temp_path /dev/shm/nginx_temp_mem; #代理缓存目录
open_file_cache max=204800 inactive=20s; #这个将为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。
open_file_cache_min_uses 1; # open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个文件在inactive时间内一次没被使用,它将被移除
open_file_cache_valid 30s; #这个是指多长时间检查一次缓存的有效信息。
#limit_req_zone $binary_remote_addr zone=allips:10m rate=5r/m; #速率限制
#limit_req_zone $http_x_forwarded_for zone=allips:100m rate=1r/m;
server {
server_name _; #default
return 403;
access_log off;
}#禁止IP直接访问80端口或者禁止非本站的域名绑定我们的IP
################# ywadminproject ####################
include nginx-ywadmin.conf; #虚拟主机配置,每个虚拟主机写个单独配置文件,便于管理
}
二、子配置文件
[user@www conf]$ cat nginx-ywadmin.conf
proxy_temp_path /dev/shm/nginx_temp_mem; # 指定存放的缓存目录
proxy_cache_path /dev/shm/nginx_cache_mem/www levels=2:2 keys_zone=cache_nginx_www:200m max_size=5000m inactive=3d;
proxy_cache_path /tmp/cache_dir1/www levels=1:2:2 keys_zone=danye_s:8000m max_size=2000G inactive=5d;
#指定缓存的路径;levels=1:2:2 代表第一级目录有16个目录;第二级有256个,第三级也是有256个;所有活动的key和元数据存储在共享的内存区域中,这个区域用keys_zone参数指定,内存占据8000m;最大的磁盘占用空间为2000G;inactive=5d 如果在 inactive参数指定的5天内缓存的数据没有被请求则被删除;
upstream www_ywadmin_com #代理被调用的名称为:www_ywadmin_com
{
server 192.168.1.100:8080 max_fails=3 fail_timeout=30s weight=2;
server 192.168.1.101:8080 max_fails=3 fail_timeout=30s weight=3;
#max_fails = NUMBER - 在一定时间内(这个时间在fail_timeout参数中设置)检查这个服务器是否可用时产生的最多失败请求数,默认为1,将其设置为0可以关闭检查;
weight = NUMBER - 设置服务器权重,默认为1;
fail_timeout = TIME - 在这个时间内产生了max_fails所设置大小的失败尝试连接请求后这个服务器可能不可用,同样它指定了服务器不可用的时间(在下一次尝试连接请求发起之前)
}
geo $whiteiplist { #白名单
default 1;
8.8.8.8 0;
127.0.0.1 0;
}
map $whiteiplist $limit {
1 $binary_remote_addr;
0 "";
}
limit_conn_zone $limit zone=wwwperip:10m; #连接数限制
limit_req_zone $limit zone=www:10m rate=50r/s; #访问速率限制
server
{
server_name ywadmin.com;
rewrite "^/(.*)$" http://www.ywadmin.com/$1 permanent;
access_log off;
}
server
{
listen 80;
server_name www.ywadmin.com; # 配置访问的主机名
proxy_set_header Host $host; #但是如果这个字段在客户端的请求头中不存在,那么不发送数据到被代理服务器。这种情况下最好使用$Host变量,它的值等于请求头中的"Host"字段或服务器名,$host, 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名
proxy_set_header X-Real-IP $remote_addr; #$remote_addr, 客户端地址
proxy_set_header X-Forwarded-For $remote_addr; #X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项
set $realip "";
if ($proxy_add_x_forwarded_for ~ "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") {
set $realip $1;
}
if ($proxy_add_x_forwarded_for = "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") {
set $realip $proxy_add_x_forwarded_for;
}
proxy_set_header ipip $realip;
#proxy_set_header X-Forwarded-For $realip;
proxy_set_header Accept-Encoding '';
proxy_ignore_headers "Set-Cookie" "Expires" "Cache-Control" "X-Accel-Redirect" "X-Accel-Expires"; #nginx缓存分成两部分,一部分是key,一部分是value;浏览器会有个cookie等会影响key的生成值。所以忽略掉这些cookie以及一些头部信息,使相同的页面生成的key值一样,促使命中率的提升。
limit_conn wwwperip 20;
limit_req zone=www burst=120;
limit_rate_after 500k;
limit_rate 300k;
#Nginx的http核心模块ngx_http_core_module中提供limit_rate这个指令可以用于控制速度,limit_rate_after用于设置http请求传输多少字节后开始限速。另外两个模块ngx_http_limit_conn_module和ngx_http_limit_req_module分别用于连接数和连接频率的控制。
location = /robots.txt {
root /var/www/html/www.ywadmin.com;
}
location ~ /purge_s(/.*)
{
proxy_cache_purge danye_s $host$1$is_args$args;
}
location ~ ^/(s|g|q)([0-9]*)\.html$
{
expires 1h; # 指定浏览器缓存时间为1小时,以减少不必要的请求;
proxy_cache danye_s; #指定使用哪个keys_zone;
proxy_cache_valid 200 304 7d; #配置nginx cache中的缓存文件的缓存时间;对于状态为200和304的缓存文件的缓存时间是7天,7天之后再访问该缓存文件时,文件会过期,从而去源服务器重新取数据;
proxy_cache_key $host$uri$is_args$args; #以域名、URI、参数组合成Web缓存的Key值,Nginx根据Key值哈希,存储缓存内容到二级缓存目录内;
proxy_hide_header Vary; #隐藏vary信息,这样,cache层就好处理多了,命中率也能有很大提升
proxy_pass http://www_ywadmin_com;
proxy_cache_min_uses 2; #多少次的查询后应答将被缓存
add_header Cache "$upstream_cache_status";
}
location ~ ^/wap/sendVerifyCode.shtml(.*) #访问速率限制
{
limit_req zone=allips_2 burst=1 nodelay;
proxy_pass http://www_ywadmin_com;
}
location ~ ^/wap/account!sendVerifyCode.do(.*) #拒绝指定地址访问
{
if ( $http_x_forwarded_for ~ 100.100.100.101|100.100.100.100 ){
return 403;
}
location ~ ^/plane/app {
rewrite "/plane/(.*)" /$1 break;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Cookie $http_cookie;
proxy_pass http://www_ywadmin_com;
}
location ~ ^/plane/ {
rewrite "/plane/(.*)" /$1 break;
proxy_set_header Referer $http_referer;
proxy_set_header Cookie $http_cookie;
proxy_pass http://www_ywadmin_com;
}
location ~ .*\.(png|gif|jpg|jpeg|bmp|ico|js|css|swf)$ #关闭图片日志记录,减少日志写入
{
expires 30m;
proxy_cache cache_nginx_www;
proxy_cache_valid 200 304 1h;
proxy_cache_valid any 1m;
proxy_cache_key $host$uri$is_args$args;
proxy_redirect off;
proxy_hide_header Vary;
proxy_pass http://www_ywadmin_com;
add_header Cache "$upstream_cache_status";
access_log off;
}
location ~* ^/nginx-status { #开启nginx状态模块
stub_status on;
allow 192.168.0.0/18;
deny all;
access_log off;
}
location ~ ^/(WEB-INF)/
{
deny all;
}
location ~ .*\.svn/(.*)
{
deny all;
}
location /
{
proxy_pass http://www_ywadmin_com;
}
error_page 404 500 502 /404.htm;
location = /404.htm {
proxy_pass http://www_ywadmin_com;
}
access_log logs/www.access.log main;
error_log logs/www.error.log;
}