Nginx反向代理与系统参数配置conf

---

一、 nginx介绍

nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器；同时也是一个IMAP、POP3、SMTP代理服务器；nginx可以作为一个HTTP服务器进行网站的发布处理，另外nginx可以作为反向代理进行负载均衡的实现。

二、 nginx的安装和配置

使用nginx必备安装的库

1.PCRE库的安装和编译

wget https://sourceforge.net/projects/pcre/files/pcre/8.44/pcre-8.44.tar.gz 
tar -zxvf pcre-8.44.tar.gz 
cd pcre-8.44/ 
./configure 
make 
make install

2.zlib库的安装和编译

wget https://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.11/zlib- 1.2.11.
tar.gz tar -zxvf zlib-1.2.11.tar.gz 
cd zlib-1.2.11/ 
./configure 
make 
make install

3.OpenSSL开发库的安装和编译

wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz 
tar -zxvf openssl-1.1.1g.tar.gz 
cd openssl-1.1.1g/ 
./config 
make 
make install

nginx的编译安装和启动关闭

nginx编译安装

wget http://nginx.org/download/nginx-1.16.1.tar.gz 
tar -zxvf nginx-1.16.1.tar.gz nginx-1.16.1/ 
./configure --with-http_ssl_module 
make 
make install 
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with- http_ssl_module --with-http_realip_module --with-http_v2_module --with- openssl=../openssl-1.1.1g

nginx的启动关闭

#默认情况下，Nginx被安装在目录/usr/local/nginx中
cd usr/local/nginx
sudo ./sbin/nginx –c ./conf/nginx.conf

打开浏览器访问此机器的IP，如果出现下图：
表示成功安装并运行

三、nginx应用场景之一 ----->反向代理

反向代理

反向代理的概念

反向代理（Reverse Proxy）是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。
举个例子，比如我想访问 http://www.test.com/readme，但www.test.com上并不存在readme页面，于是他是偷偷从另外一台服务器上取回来，然后作为自己的内容返回用户，但用户并不知情。这里所提到的 www.test.com 这个域名对应的服务器就设置了反向代理功能。
反向代理服务器对于客户端而言它就像是原始服务器，并且客户端不需要进行任何特别的设置。客户端向反向代理的命名空间(name-space)中的内容发送普通请求，接着反向代理服务器将判断向何处(原始服务器)转交请求，并将获得的内容返回给客户端，就像这些内容原本就是它自己的一样。
原理见下图：

了解了什么是反向代理，下面我们来看下什么是正向代理

正向代理的概念

正向代理（Forward Proxy）通常都被简称为代理，就是在用户无法正常访问外部资源，比方说受到GFW的影响无法访问twitter的时候，我们可以通过代理的方式，让用户绕过防火墙，从而连接到目标网络或者服务。
正向代理的工作原理就像一个跳板，比如：我访问不了www.com，但是我能访问一个代理服务器A，A能访问www.com，于是我先连上代理服务器A，告诉他我需要www.com的内容，A就去取回来，然后返回给我。从网站的角度，只在代理服务器来取内容的时候有一次记录，有时候并不知道是用户的请求，也隐藏了用户的资料，这取决于代理告不告诉网站。
正向代理是一个位于客户端和原始服务器(origin server)之间的服务器。为了从原始服务器取得内容，客户端向代理发送一个请求并指定目标(原始服务器)，然后代理向原始服务器转交请求并将获得的内容返回给客户端。

我们清楚了nginx反向代理的概念，心里不仅产生疑问，反向代理服务器有啥好处呢
要理解这我们可以先看看什么是代理服务器，代理服务器有啥好处

代理服务器概念

代理服务器，客户机在发送请求时，不会直接发送给目的主机，而是先发送给代理服务器，代理服务器接受客户机请求之后，再向主机发出，并接收目的主机返回的数据，存放在代理服务器的硬盘中，再发送给客户机。

代理服务器的好处

https://blog.csdn.net/ad921012/article/details/50290901

看完代理服务器的好处，那独属反向代理服务器的好处有哪些啊？

反向代理服务器的好处

反向代理服务器通常有两种模型，它可以作为内容服务器的替身，也可以作为内容服务器集群的负载均衡器。

（1）内容服务器的替身：

如果您的内容服务器具有必须保持安全的敏感信息，如信用卡号数据库，可在防火墙外部设置一个代理服务器作为内容服务器的替身。当外部客户机尝试访问内容服务器时，会将其送到代理服务器。实际内容位于内容服务器上，在防火墙内部受到安全保护。代理服务器位于防火墙外部，在客户机看来就像是内容服务器。（保证信息安全）

当客户机向站点提出请求时，请求将转到代理服务器。然后，代理服务器通过防火墙中的特定通路，将客户机的请求发送到内容服务器。内容服务器再通过该通道将结果回传给代理服务器。代理服务器将检索到的信息发送给客户机，好像代理服务器就是实际的内容服务器。如果内容服务器返回错误消息，代理服务器会先行截取该消息并更改标头中列出的任何 URL，然后再将消息发送给客户机。如此可防止外部客户机获取内部内容服务器的重定向 URL。

这样，代理服务器就在安全数据库和可能的恶意攻击之间提供了又一道屏障。与有权访问整个数据库的情况相对比，就算是侥幸攻击成功，作恶者充其量也仅限于访问单个事务中所涉及的信息。未经授权的用户无法访问到真正的内容服务器，因为防火墙通路只允许代理服务器有权进行访问。

（可以配置防火墙路由器，使其只允许特定端口上的特定服务器有权通过防火墙进行访问，而不允许其他任何机器进出）

（2）作为内容服务器的负载均衡器：

可以在一个系统内使用多个代理服务器来平衡各 Web 服务器间的网络负载。在此模型中，可以利用代理服务器的高速缓存特性，创建一个用于负载均衡的服务器池。此时，代理服务器可以位于防火墙的任意一侧。如果 Web 服务器每天都会接收大量的请求，则可以使用代理服务器分担 Web 服务器的负载并提高网络访问效率。
对于客户机发往真正服务器的请求，代理服务器起着中间调停者的作用。代理服务器会将所请求的文档存入高速缓存。如果有不止一个代理服务器，DNS 可以采用“循环复用法”选择其 IP 地址，随机地为请求选择路由。客户机每次都使用同一个URL，但请求所采取的路由每次都可能经过不同的代理服务器。
可以使用多个代理服务器来处理对一个高用量内容服务器的请求，这样做的好处是内容服务器可以处理更高的负载，并且比其独自工作时更有效率。在初始启动期间，代理服务器首次从内容服务器检索文档，此后，对内容服务器的请求数会大大下降。比如Nginx就是典型的负载均衡服务器。

四、nginx配置文件conf详解

如下代码可见，conf文件配置主要分为三大块：
全局块 、 event块 、 http块

main                                # 全局配置
 
events {
    
                                # nginx工作模式配置
}
 
http {
    
                                    # http设置
    ....
    server {
    
                            # 服务器主机配置
        ....
        location {
    
                        # 路由配置
            ....
        }
        location path {
    
    
            ....
        }
        location otherpath {
    
    
            ....
        }
    }
 
    server {
    
    
        ....
        location {
    
    
            ....
        }
    }
    
    upstream name {
    
                        # 负载均衡配置
        ....
    }
}

再根据代码对这三大块具体划分：
全局块：
main：用于进行nginx全局信息的配置
event块：
events：用于nginx工作模式的配置
http块：
http：用于进行http协议信息的一些配置
server：用于进行服务器访问信息的配置
location：用于进行访问路由的配置
upstream：用于进行负载均衡的配置

接下来对里面存储的信息进行具体的详解

全局块：main

主要会设置一些影响Nginx服务器整体运行的配置指令，主要包括：配置运行Nginx服务器的用户（组）、允许生成的 worker process 数，进程PID存放路径、日志存放路径和类型以及配置文件的引入等。
看系统默认下conf的main具体的内容

在main全局配置模块中的配置项：

user用来指定nginx worker进程运行用户以及用户组，默认nobody账号运行
格式：user user gruop
user : 指定nginx 运行的用户
group： 指定nginx可运行的组
如果配置为user nobody nobody, 则所有用户都能启动nginx进程

worker_processes指定nginx要开启的子进程数量，运行过程中监控每个进程消耗内存(一般几M~几十M不等)根据实际情况进行调整，通常数量是CPU内核数量的整数倍
格式：worker_processer number
number: nginx 最多可以产生的work process 数量
如果设置auto, 则nginx将进行自动检测
我们通过命令来查看下

到这里我们了解到nginx是多进程模型，此时我们心里不仅疑问，这多进程模型比多线程模型有什么好处啊？为什么我在conf文件里设置启动一个进程，会出现两个进程啊？带着这些疑问，我们看下nginx的架构原理

nginx架构分析

单进程结构实际上不适用于生产环境，只适合我们做开发调试使用。因为在生产环境中我们必须保持 Nginx 足够健壮以及 Nginx 可以利用多核的一个特性，而单进程的 Nginx 是做不到这一点的，所以默认的配置中都是打开为多进程的 Nginx。
如图多进程的 Nginx 结构中的进程模型
其中，master 负责管理 worker 进程，还负责读取配置文件、判断配置文件语法的工作；worker 进程负责处理网络事件。整个框架被设计为一种依赖事件驱动、异步、非阻塞的模式。

nginx多进程模型比多线程模型有什么好处

因为 Nginx 最核心的一个目的是要保持高可用性、高可靠性，而当 Nginx 如果使用的是多线程结构的时候，因为线程之间是共享同一个地址空间的，所以当某一个第三方模块引发了一个地址空间导致的段错误时、在地址越界出现时，会导致整个 Nginx 进程全部挂掉。 而当采用多进程模型时，往往不会出现这样的问题。从上图可以看到 Nginx 在做进程设计时，同样遵循了实现高可用、高可靠这样的一个目的。比如说在 master 进程中，通常第三方模块是不会在 master 部分加入自己的功能代码的。虽然 Nginx 在设计时，允许第三方模块在 master 进程中添加自己独有的、自定义的一些方法，但是通常没有第三方模块这么做。master 进程被设计用来的目的是做 worker 进程的管理的，也就是所有的 worker 进程是处理真正的请求的，而 master 进程负责监控每个 worker 进程是不是在正常的工作、需不需要做重新载入配置文件、需不需要做热部署。 而 cache （缓存）是在多个 worker 进程间共享的，而且缓存不仅要被 worker 进程使用，还要被 cache manager 和 cache loader进程 使用。cache manager 和 cache loader 也是为反向代理时，后端发来的动态请求做缓存所使用的，cache loader 只是用来做缓存的载入、cache manager 用来做缓存的管理。实际上每个请求处理时，使用到缓存还是由 worker 进程来进行的。这些进程间的通讯，都是使用共享内存来解决的。可以看到cache manager 和 cache loader各有一个进程，master 进程因为是父进程，所以肯定只有一个。那么 worker 进程为什么会有很多呢？这是因为 Nginx 采用了事件驱动引擎以后，他希望每一个 worker 进程从头到尾占有一颗CPU，所以往往不止要把 worker 进程的数量配置与我们服务器上的 CPU核数一致以外，还需要把每一个worker进程与某一颗CPU核绑定在一起，这样可以更好的使用每颗CPU核上面的CPU缓存来减少因为cpu切换不同worker进程而带来的缓存失效

error_log定义错误日志文件的位置及输出级别【debug / info / notice / warn / error / crit】
格式： error_log file [日志级别]
file ： 指定输出到某个文件
日志级别：info、debug 、warn、error…

pid用来指定进程id的存储文件的位置

event块

events 块涉及的指令主要影响Nginx服务器与用户的网络连接，常用的设置包括：是否开启对多 work process下的网络连接进行序列化，是否允许同时接收多个网络连接，选取哪种事件驱动模型来处理连接请求，每个 work process 可以同时支持的最大连接数等

worker_connections 指定最大可以同时接收的连接数量，这里一定要注意，最大连接数量是和worker processes共同决定的。

http块

这部分是 Nginx 服务器配置中最频繁的部分，代理、缓存和日志定义等绝大多数功能和第三方模块的配置都在这里。需要注意的是：http 块也可以包括 http 全局块、server 块。

sendfile设置用户开启或者关闭使用sendfile() 系统调用来传输文件，默认off
在很多webserver 中，都引入了sendfile 机制，来实现高性能文件传输
其中，sendfile on：配置on让sendfile发挥作用，将文件的回写过程交给数据缓冲去去完成，而不是放在应用中完成，这样的话在性能提升上有好处；

tc_nopush on：让nginx在一个数据包中发送所有的头文件，而不是一个一个单独发。

keepalive_timeout 65：给客户端分配连接超时时间，服务器会在这个时间过后关闭连接。一般设置时间较短，可以让nginx工作持续性更好；
格式：keepalive_timeout timeout [header_timeout]
timeout : 表示server端对连接的保持时间
header_timeout： 表示在应答报文头部的Keep-Alive 域设置超时时间，为可选项

server块

srever模块配置是http模块中的一个子模块，用来定义一个虚拟访问主机，也就是一个虚拟服务器的配置信息，其中每个server块就相当于一个虚拟主机。对于server块的最常见的配置是本虚拟机主机的监听配置和本虚拟主机的名称或IP配置。

server_name：用于指定ip地址或者域名，多个配置之间用空格分隔；

location块

一个 server 块可以配置多个 location 块。这块的主要作用是：基于 Nginx 服务器接收到的请求字符串（例如 server_name/uri-string），对虚拟主机名称（也可以是 IP 别名）之外的字符串（例如 前面的 /uri-string）进行匹配，对特定的请求进行处理。地址定向、数据缓存和应答控制等功能，还有许多第三方模块的配置也在这里进行。

location /：表示匹配访问根目录
root：用于指定访问根目录时，访问虚拟主机的web目录
index：在不指定访问具体资源时，默认展示的资源文件列表

五、 如何添加黑白名单

方法1：tcp连接后：可以在建立连接（三次握手）之后，看它的ip地址，根据黑白名单，来看要不要执行后面的步骤
方法2：处理http头阶段：不对ip作限制，比如对pos或get请求作处理，在处理http头的阶段
方法3：对具体body 表单部分，进行处理，确定该部分是否要发送

推荐一个零声学院免费公开课程，个人觉得老师讲得不错，
分享给大家：[Linux，Nginx，ZeroMQ，MySQL，Redis，
fastdfs，MongoDB，ZK，流媒体，CDN，P2P，K8S，Docker，
TCP/IP，协程，DPDK等技术内容，点击立即学习:服务器课程