Nginx服务基本概念、配置详解和反向代理
-----------------------------------------------------------------------------------------------------------------------------------------
(1)prefork:进程模型,两级结构,root用户开启主进程master负责生成子进程apache,每个子进程负责响应一个请求,兼容性相对于其它两种模式是最好的
(2)worker:线程模型,三级结构,主进程master负责生成子进程,每个子进程负责生成多个线程,每个线程响应一个请求
(3)event:线程模型,三级结构,主进程master负责生成子进程,每个子进程响应多个请求
PIO:应用程序的输入输出,file-->cpu-->ram,每次文件输入输出都要经过cpu,造成cpu很忙
DMA:直接内存访问,当cpu收到请求需要读取一个文件,cpu只需要发送一个指令就完了,不参与IO的过程,剩下的工作是DMAC(直接内存访问控制器)工作,将磁盘上的文件读入内存中
第一步:将数据从磁盘文件先加载至内核内存空间(缓冲区),等待数据准备完成,时间较长
第二步:将数据从内核缓冲区复制到用户空间的进程的内存中,时间较短
同步:synchronous,调用者等待被调用者返回消息,才能继续执行
异步:asynchronous,被调用者通过状态、通知或回调机制主动通知调用者被调用者的运行状态
阻塞:blocking,指IO操作需要彻底完成后才返回到用户空间,调用结果返回之前,调用者被挂起
非阻塞:nonblocking,指IO操作被调用后立即返回给用户一个状态值,无需等到IO操作彻底完成,最终的调用结果返回之前,调用者不会被挂起
同步阻塞:调用者等待被调用者返回消息,调用结果返回之前,调用者被挂起
(1)同步阻塞IO模型是最简单的IO模型,用户线程在内核进行IO操作时被阻塞
(2)用户线程通过系统调用read发起IO读操作,由用户空间转到内核空间。内核等到数据包到达后,然后将接收的数据拷贝到用户空间,完成read操作
(3)用户需要等待read将数据读取到buffer后,才继续处理接收的数据。整个IO请求的过程中,用户线程是被阻塞的,这导致用户在发起IO请求时,不能做任何事情,对CPU的资源利用率不够
(1)用户线程发起IO请求时立即返回。但并未读取到任何数据,用户线程需要不断地发起IO请求,直到数据到达后,才真正读取到数据,继续执行。即 “轮询”机制
(2)整个IO请求的过程中,虽然用户线程每次发起IO请求后可以立即返回,但是为了等到数据,仍需要不断地轮询、重复请求,消耗了大量的CPU的资源
(3)是比较浪费CPU的方式,一般很少直接使用这种模型,而是在其他IO模型中使用非阻塞IO这一特性
(1)多个连接(用户请求,图中的select处)共用一个等待机制,本模型会阻塞进程,但是进程是阻塞在select或者poll这两个系统调用上,而不是阻塞在真正的IO操作上
(2)用户首先将需要进行IO操作添加到select中,继续执行做其他的工作(异步),同时等待select系统调用返回。当数据到达时,IO被激活,select函数返回。用户线程正式发起read请求,读取数据并继续执行
(3)从流程上来看,使用select函数进行IO请求和同步阻塞模型没有太大的区别,甚至还多了添加监视IO,以及调用select函数的额外操作,效率更差。并且阻塞了两次,但是第一次阻塞在select上时,select可以监控多个IO上是否已有IO操作准备就绪,即可达到在同一个线程内同时处理多个IO请求的目的。而不像阻塞IO那种,一次只能监控一个IO
(4)虽然上述方式允许单线程内处理多个IO请求,但是每个IO请求的过程还是阻塞的(在select函数上阻塞),平均时间甚至比同步阻塞IO模型还要长。如果用户线程只是注册自己需要的IO请求,然后去做自己的事情,等到数据到来时再进行处理,则可以提高CPU的利用率
(5)IO多路复用是最常使用的IO模型,但是其异步程度还不够“彻底”,因它使用了会阻塞线程的select系统调用。因此IO多路复用只能称为异步阻塞IO模型,而非真正的异步IO
(6)IO多路复用是指内核一旦发现进程指定的一个或者多个IO条件准备读取,就通知该进程
当客户端处理多个描述符时(一般是交互式输入和网络套接口),必须使用I/O复用
当一个TCP服务器既要处理监听套接字,又要处理已连接套接字,一般也要用到I/O复用
当一个服务器即要处理TCP,又要处理UDP,一般要使用I/O复用
(2)用户进程可以通过sigaction系统调用注册一个信号处理程序,然后主程序可以继续向下执行,当有IO操作准备就绪时,由内核通知触发一个SIGIO信号处理程序执行,然后将用户进程所需要的数据从内核空间拷贝到用户空间
(3)此模型的优势在于等待数据报到达期间进程不被阻塞。用户主程序可以继续执行,只要等待来自信号处理函数的通知
(1)异步IO与信号驱动IO最主要的区别是信号驱动IO是由内核通知何时可以进行IO操作,而异步IO则是由内核告诉用户线程IO操作何时完成。信号驱动IO当内核通知触发信号处理程序时,信号处理程序还需要阻塞在从内核空间缓冲区拷贝数据到用户空间缓冲区这个阶段,而异步IO直接是在第二个阶段完成后,内核直接通知用户线程可以进行后续操作了
(2)相比于IO多路复用模型,异步IO并不十分常用,不少高性能并发服务程序使用IO多路复用模型+多线程任务处理的架构基本可以满足需求。目前操作系统对异步IO的支持并非特别完善,更多的是采用IO多路复用模型模拟异步IO的方式(IO事件触发时不直接通知用户线程,而是将数据读写完毕后放到用户指定的缓冲区中)
Select:Linux实现对应,I/O复用模型,BSD4.2最早实现
Poll:Linux实现,对应I/O复用模型,System V unix最早实现
Epoll:Linux实现,对应I/O复用模型,具有信号驱动I/O模型的某些特性
Kqueue:FreeBSD实现,对应I/O复用模型,具有信号驱动I/O模型某些特性
/dev/poll:SUN的Solaris实现,对应I/O复用模型,具有信号驱动I/O模型的某些特性
(1)Select:POSIX所规定,目前几乎在所有的平台上支持,其良好跨平台支持也是它的一个优点,本质上是通过设置或者检查存放fd标志位的数据结构来进行下一步处理,apache用的此机制
单个进程可监视的fd数量被限制,即能监听端口的数量有限,cat /proc/sys/fs/file-max
select 采取了内存拷贝方法来实现内核将 FD 消息通知给用户空间,这样一个用来存放大量fd的数据结构,这样会使得用户空间和内核空间在传递该结构时复制开销大
(2)poll:本质上和select没有区别,它将用户传入的数组拷贝到内核空间,然后查询每个fd对应的设备状态
大量的fd的数组被整体复制于用户态和内核地址空间之间,而不管这样的复制是不是有意义
poll特点是“水平触发”,如果报告了fd后,没有被处理,那么下次poll时会再次报告该fd
(3)epoll:在Linux 2.6内核中提出的select和poll的增强版本,nginx使用此机制
支持水平触发LT和边缘触发ET,最大的特点在于边缘触发,它只告诉进程哪些fd刚刚变为就需态,并且只会通知一次
使用“事件”的就绪通知方式,通过epoll_ctl注册fd,一旦该fd就绪,内核就会采用类似callback的回调机制来激活该fd,epoll_wait便可以收到通知
没有最大并发连接的限制:能打开的FD的上限远大于1024(1G的内存能监听约10万个端口)
效率提升:非轮询的方式,不会随着FD数目的增加而效率下降;只有活跃可用的FD才会调用callback函数,即epoll最大的优点就在于它只管理“活跃”的连接,而跟连接总数无关
内存拷贝,利用mmap(Memory Mapping)加速与内核空间的消息传递;即epoll使用mmap减少复制开销
1、Nginx:engine X ,2002年,开源,商业版
2、NGINX是免费,开源,高性能的HTTP和反向代理服务器,邮件代理服务器,通用TCP/UDP代理服务器
低内存消耗:10000个keep-alive连接模式下的非活动连接,仅需2.5M内存
event-driven,aio,mmap,sendfile
FastCGI(LNMP),uWSGI(python)等协议
四、nginx高度模块化,但其模块早期不支持DSO机制;1.9.11版本支持动态装载和卸载
1、核心模块:是 Nginx 服务器正常运行 必不可少 的模块,提供 错误日志记录 、 配置文件解析 、 事件驱动机制 、 进程管理 等核心功能
2、标准HTTP模块:提供 HTTP 协议解析相关的功能,比如: 端口配置 、 网页编码设置 、 HTTP响应头设置 等等
3、可选HTTP模块:主要用于扩展标准的 HTTP 功能,让 Nginx 能处理一些特殊的服务,比如: Flash 多媒体传输 、解析 GeoIP 请求、 网络传输压缩 、 安全协议 SSL 支持等
4、邮件服务模块:主要用于支持 Nginx 的 邮件服务 ,包括对 POP3 协议、 IMAP 协议和 SMTP协议的支持
5、第三方模块:是为了扩展 Nginx 服务器应用,完成开发者自定义功能,比如: Json 支持、 Lua 支持等
1、静态的web资源服务器,比如说html,图片,js,css,txt等静态资源
2、结合FastCGI/uWSGI/SCGI等协议反向代理动态资源请求
http://nginx.org/packages/centos/7/x86_64/RPMS
https://mirrors.aliyun.com/epel/7/x86_64/,阿里现在提供的版本为1.12版
useradd -r -s /sbin/nologin nginx
./configure --prefix=/usr/local/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx.pid \
--lock-path=/var/run/nginx.lock \
--with-http_stub_status_module \
--with-threads --with-file-aio
src/http/ngx_http_header_filter_module.c
--sbin-path=/usr/sbin/nginx 指明nginx程序文件安装路径
--conf-path=/etc/nginx/nginx.conf 主配置文件安装位置
--error-log-path=/var/log/nginx/error.log 错误日志文件安装位置
--http-log-path=/var/log/nginx/access.log 访问日志文件安装位置
--pid-path=/var/run/nginx.pid 指明pid文件安装位置
--lock-path=/var/run/nginx.lock 锁文件安装位置
--http-client-body-temp-path=/var/cache/nginx/client_temp 客户端body部分的临时文件存放路径,服务器允许客户端使用put方法提交大数据时,临时存放的磁盘路径
--http-proxy-temp-path=/var/cache/nginx/proxy_temp 作为代理服务器,服务器响应报文的临时文件存放路径
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp 作为fastcgi代理服务器,服务器响应报文的临时文件存放路径
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp 作为uwsgi代理服务器,服务器响应报文的临时文件存放路径
--http-scgi-temp-path=/var/cache/nginx/scgi_temp 作为scgi反代服务器,服务器响应报文的临时文件存放路径
--user=nginx 指明以那个身份运行worker进程,主控master进程一般由root运行
--with-http_ssl_module 表示把指定模块编译进来
4、systemctl start nginx.service,若用此命令开启,管理用systemctl命令
命令:nginx,启动nginx,若用此命令启动,管理用nginx -s命令
-s,发送信号,nginx -s stop quit reopen reload
子配置文件 :/etc/nginx/conf.d/*.conf
(2)fastcgi, uwsgi,scgi等协议相关的配置文件
main block:主配置段,即全局配置段,对http,mail都有效
帮助文档:http://nginx.org/en/docs/
指定以谁的身份运行worker进程,如组不指定,默认和用户名同名
模块加载配置文件: /usr/share/nginx/modules/*.conf
指明要装载的动态模块路径: /usr/lib64/nginx/modules
(1)worker_processes number | auto;
worker进程的数量;通常应该为当前主机的cpu的物理核心数
(2)worker_cpu_affinity cpumask ...;,worker_cpu的亲缘性,worker进程绑定在哪颗cpu上工作
worker_cpu_affinity auto [cpumask] 提高缓存命中率
CPU上有缓存,而进程经常会切换CPU,切换CPU后原来CPU上的缓存就没法利用了,这样会影响当前效率
worker_cpu_affinity 0001 0010 0100 1000;
worker_cpu_affinity 0101 1010;
指定worker进程的nice值,设定worker进程优先级:[-20,20],值越小优先级越高
(4)worker_rlimit_nofile number;
worker进程所能够打开的文件数量上限,如65535,表现形式为一个socket文件
每个worker进程所能够打开的最大并发连接数数量,如10240
总最大并发数:worker_processes * worker_connections
(3)accept_mutex on | off;,on由各个worker接收新的进程,off每个新来的请求都会通知worker进程但最后只会有一个worker进程得到处理
处理新的连接请求的方法;on指由各个worker轮流处理新请求,Off指每个新请求的到达都会通知(唤醒)所有的worker进程,但只有一个进程可获得连接,造成“惊群”,影响性能
是否以master/worker模型运行nginx;默认为on,off 将不启动worker
错误日志文件及其级别;出于调试需要,可设定为debug;但debug仅在编译时使用了“--with-debug”选项时才有效
syslog:server-address[,parameter=values] 发送到syslog
level:debug|info|notice|warn|error|crit|alter|emerg 日志级别
server { -------->该语句块一定嵌套在http语句里
在访问机的hosts文件添加解析,分别对www.a.com www.b.com wwwc.com进行curl
(2)listen PORT|address[:port]|unix:/PATH/TO/SOCKET_FILE
listen address[:port] [default_server] [ssl] [http2 | spdy] [backlog=number] [rcvbuf=size] [sndbuf=size];
backlog=number 超过并发连接数后,新请求进入后援队列的长度
<1>基于port;listen PORT; 指令监听在不同的端口
<2> 基于ip的虚拟主机,listen IP:PORT; IP 地址不同
<3>基于hostnameserver_name fqdn; 指令指向不同的主机名
支持*通配任意长度的任意字符,server_name *.magedu.com www.magedu.*
server_name ~^www\d+\.magedu\.com$
<1>首先是字符串精确匹配 如:www.magedu.com
<4>正则表达式 如: ~^.*\.magedu\.com$
(4)tcp_nodelay on | off;,对于用户端而要on,对于客户端要Off
在keepalived模式下的连接是否启用TCP_NODELAY选项
(5)sendfile on | off;,为优化性能,此项最好是ON
是否启用sendfile功能,在内核中封装报文直接发送,默认Off
(6)server_tokens on | off | build | string
设置web资源的路径映射;用于指明请求的URL所对应的文档的目录路径,可用于http, server, location, if in location
root /data/www/vhost1; ------>指定家目录的工作路径
当在nginx网站目录下创建软链接指向一个其它位置的文件,访问该软链接可以直接获得该文件,比如说
(8)location [ = | ~ | ~* | ^~ ] uri { ... },用来定义访问资源的路径,路径是uri路径
在一个server中location配置段可存在多个,用于实现从uri到文件系统的路径映射;ngnix会根据用户请求的URI来检查定义的所有location,并找出一个最佳匹配,而后应用其配置
http://www.a.com/images/logo.jpg
--> /data/imgs/images/logo.jpg
http://www.a.com/index.html 不匹配
^~ 对URI做匹配检查,不区分字符大小写,匹配符合以后,停止往下搜索
(location =) > (location 完整路径) > (location ^~ 路径) > (location ~,~* 正则顺序) > (location 部分起始路径) > (/)
root /vhosts/www/htdocs/ ;虽然根目录是在 /vhosts/www/htdocs/
location /admin/ {但location的定义是随着它语句下的root目录变化的
http://www.chenux.com/admin/index.html当访问网址的www.chenux.com/admin/index.html
--> /apps/app1/data/admin/index.html实质访问的是/apps/app1/data//admin/index.html
---------------------------------------------------------------------------------------------------------------------
location = / {http://www.chenux.com/
---------------------------------------------------------------------------------------------------------------------
location / {http://www.chenux.com/index.html
---------------------------------------------------------------------------------------------------------------------
location /documents/ {http://www.chenux.com/documents/logo.jpg
---------------------------------------------------------------------------------------------------------------------
location ^~ /images/ {http://www.chenux.com/images/linux.txt
---------------------------------------------------------------------------------------------------------------------
location ~* \.(gif|jpg|jpeg)$ {http://www.chenux.com/images/logo.jpeg
路径别名,文档映射的另一种机制;仅能用于location上下文,放到alias里
http://www.magedu.com/bbs/index.html
--> /web/forum/index.html 注意: /bbs 后建议不要加 /
---------------------------------------------------------------------------------------------------------------------
注意:location中使用root指令和alias指令的意义不同
(a) root,给定的路径对应于location中的/uri 左侧的/
(b) alias,给定的路径对应于location中的/uri 的完整路径,之后alias内目录内容将完整替换location中的目录
指定默认网页文件,此指令由ngx_http_index_module模块提供
(11)error_page code ... [=[response]] uri;,实用的一项
可用位置:http, server, location, if in location
error_page 404 /404.html,当页面报404的时候返回404.html
error_page 404 =200 /404.html,当页面报404的时候返回错误码200,此时指向页面404.html
200:成功,请求数据通过响应报文的entity-body部分发送;OK
301:请求的URL指向的资源已经被删除;但在响应报文中通过首部Location指明了资源现在所处的新位置;Moved Permanently,永久重定向,该域名将被淘汰
302:响应报文Location指明资源临时新位置Moved Temporarily,临时重定向,域名保留
304:客户端发出了条件式请求,但服务器上的资源未曾发生改变,则通过响应此响应状态码通知客户端;Not Modified,利用浏览器自身的缓存进行响应
401:需要输入账号和密码认证方能访问资源;Unauthorized
500:服务器内部错误;Internal Server Error
502:代理服务器从后端服务器收到了一条伪响应,如无法连接到网关;Bad Gateway
503:服务不可用,临时服务器维护或过载,服务器无法处理请求
(12)try_files file ... uri;,找不到连接了,给用户返回个文件
按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示为文件夹),如果所有文件或文件夹都找不到,会进行一个内部重定向到最后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误
try_files $uri /images/default.gif;
说明:/images/default.gif是URI,当访问images下不存在的图片时候,将自动返回默认的页面default.gif
---------------------------------------------------------------------------------------------------------------------
try_files $uri $uri/index.html $uri.html =404;
---->尝试寻找链接,找不到就找链接下index.html,再找不到就找链接.html,再找不到则返回404码
<1>keepalive_timeout timeout [header_timeout];,非游戏网站调稍微短些
<3>keepalive_disable none | browser ...;
向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长,而非整个响应过程的传输时长
<5>client_body_buffer_size size;
用于接收每个客户端请求报文的body部分的缓冲区大小;默认为16k;超出此大小时,其将被暂存到磁盘上的由下面client_body_temp_path指令所定义的位置
<6>client_body_temp_path path [level1 [level2 [level3]]];
设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量
client_body_temp_path /var/tmp/client_body 1 2 2
2 2级目录占2位16进制,即2^8=256个目录 00-ff
2 3级目录占2位16进制,即2^8=256个目录 00-ff
<2>imit_except method ... { ... },仅用于location之内
method:GET, HEAD, POST, PUT, DELETE,MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH
除了GET和HEAD 之外其它方法仅允许192.168.1.0/24网段主机使用
<1>aio on | off | threads[=pool];
当文件大于等于给定大小时,例如directio 4m,同步(直接)写磁盘,而非写缓存
<3>open_file_cache off;,是否支持缓存
open_file_cache max=N [inactive=time];
[1]文件元数据:文件的描述符、文件大小和最近一次的修改时间
max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现管理,最近最少实用算法,到达上限后,最早的没使用的一项将被淘汰掉,从而保留最近的
inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次数少于open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项,将被删除
(16)open_file_cache_errors on | off;
(17)open_file_cache_min_uses number;
open_file_cache指令的inactive参数指定的时长内,至少被命中此处指定的次数方可被归类为活动项
(18)open_file_cache_valid time;
ngx_http_access_module模块,可实现基于ip的访问控制功能
(1)allow address | CIDR | unix: | all;
(2)deny address | CIDR | unix: | all;
http, server, location, limit_except
3、ngx_http_auth_basic_module,验证模块
(1)ngx_http_auth_basic_module模块
auth_basic_user_file /etc/nginx/.ngxpasswd;
<1>明文文本:格式name:password:comment
4、ngx_http_stub_status_module模块
server accepts handled requests
上面三个数字分别对应accepts,handled,requests三个值
Reading: 6 Writing: 179 Waiting: 106
Active connections:当前状态,活动状态的连接数
Reading:当前状态,正在读取客户端请求报文首部的连接的连接数
Writing:当前状态,正在向客户端发送响应报文过程中的连接数
Waiting:当前状态,正在等待客户端发出请求的空闲连接数
ngx_http_log_module模块,指定日志格式记录请求
(1)log_format name string ...;
(2)access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
buffer=size
flush=time
(3)open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];
min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项
(5)gzip_http_version 1.0 | 1.1;
如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”
(9)gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;
nginx充当代理服务器时,对于后端服务器的响应报文,在何种条件下启用压缩功能
expired,no-cache, no-store,private:对后端服务器的响应报文首部Cache-Control值任何一个,启用压缩功能
gzip_types text/xml text/css application/javascript;
为指定虚拟机启用HTTPS protocol, 建议用listen指令代替
(4)ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 支持ssl协议版本,默认为后三个
(5)ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
none: 通知客户端支持ssl session cache,但实际不支持
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存
客户端连接可以复用ssl session cache中缓存的有效时长,默认5m
注:一个装有nginx的物理主机可以实现多主机的https,apache实现不了此功能
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key; ---->基本的两项
ssl_session_cache shared:sslcache:20m;
vim Makefile,注释此项可以在生成密钥时候不用输入密码
一台nginx服务器带两个含有ssl的https服务器,apache做不到
将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换
http://www.magedu.com/hn --> http://www.magedu.com/henan
http://www.magedu.com --> https://www.magedu.com/
(1)rewrite regex replacement [flag],rewrite 正则表达式 替代 flag
将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI
注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查
隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示的标志位用于控制此循环机制
如果replacement是以http://或https://开头,则替换结果会直接以重向返回给客户端, 即永久重定向301
last:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环,不建议在location中使用,默认
break:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使用
redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;使用相对路径,或者http://或https://开头,状态码:302
permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求,状态码:301
此可以说明可以将/bbs目录删除也不会受影响,访问/bbs时候自动跳转到/forum
return code URL; 返回到指定的响应码并跳转到链接
停止处理,并返回给客户端指定的响应码,对 301, 302, 303, 307, 308跳转到URL
是否开启重写日志, 发送至error_log(notice level)
条件满足时,执行配置块中的配置指令;server, location
9、ngx_http_referer_module模块,防盗链,先定义有效的,再条件判断无效的将做怎样的处理
(1)valid_referers none|blocked|server_names|string ...;
arbitrary_string:任意字符串,但可使用*作通配符
regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头,例如: ~.*\.chenux\.com
valid_referers none block server_names *.b *.b.com b.*b.* ~\.baidu\. ~\.google\. ;
<1>Context:location, if in location, limit_except
注意:proxy_pass后面路径不带uri时,会将location的uri传递(附加)给后端主机
proxy_pass http://host[:port]; 最后没有/
上面示例:http://HOSTNAME/uri --> http://host/uri
如果上面示例中有 /,即:http://host[:port]/
意味着:http://HOSTNAME/uri --> http://host/ 即置换
<2>proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的uri
proxy_pass http://host/new_uri/;
http://HOSTNAME/uri/ --> http://host/new_uri/
<3>如果location定义其uri时使用了正则表达式的模式,则proxy_pass之后必须不能使用uri; 用户请求时传递的uri将直接附加至后端服务器之后
http://HOSTNAME/uri/ --> http://host/uri/
<4>proxy_set_header field value;,反向代理后请求报文头部会丢失,此选项可做添加
Context: http, server, location
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
X-Forwarded-For: client1, proxy1, proxy2
定义可用于proxy功能的缓存;Context:http,内容只能在http里写
proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];
<6>proxy_cache zone | off; 默认off
指明调用的缓存,或关闭缓存机制;Context:http, server, location
默认值:proxy_cache_key $scheme$proxy_host$request_uri;
<8>proxy_cache_valid [code ...] time;
proxy_cache_valid 200 302 10m;
proxy_cache_path /var/cache/nginx/proxy_cache
levels=1:1:1 keys_zone=proxycache:20m
说明:proxycache:20m 指内存中缓存的大小,主要用于存放key和metadata(如:使用次数)
调用缓存功能,需要定义在相应的配置段,如server{...};
proxy_cache_valid 200 302 301 1h;
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...
在被代理的后端服务器出现哪种情况下,可直接使用过期的缓存响应客户端
<10>proxy_cache_methods GET | HEAD | POST ...;
默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad, X-Accel-等,用于隐藏后端服务器特定的响应首部
<12>proxy_connect_timeout time;
定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为60s,一般不建议超出75s
向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的值
(1)add_header name value [always];
add_header X-Via $server_addr;
add_header X-Cache $upstream_cache_status;
add_header X-Accel $server_name;
$upstream_cache_status:查看后端服务器得到的缓存状态,命中、未命中、过期等等
(2)add_trailer name value [always];
附:动静分离关键代码(一台httpd,另一台http+php)
ngx_http_fastcgi_module模块,转发请求到FastCGI服务器,不支持php模块方式
(1)fastcgi_pass address;,后端服务器为fastcgi,反向代理必须用此选项
(3)fastcgi_param parameter value [if_not_empty];
设置传递给 FastCGI服务器的参数值,可以是文本,变量或组合
参数在/etc/nginx/fastcgi_params.default文件中
[1]在后端服务器先配置fpm server和mariadb-server
fastcgi_param SCRIPT_FILENAME /app/php$fastcgi_script_name;
示例2:通过/pm_status和/ping来获取fpm server状态信息
location ~* ^/(pm_status|ping)$ {
fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
(4)fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];
levels=levels:缓存目录的层级数量,以及每一级的目录数量
示例:fastcgi_cache_key $request_rui;
(7)fastcgi_cache_methods GET | HEAD | POST ...;
(8)fastcgi_cache_min_uses number;
缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方可被认作活动项
(9)fastcgi_keep_conn on | off;
收到后端服务器响应后,fastcgi服务器是否关闭连接,建议启用长连接
(10)fastcgi_cache_valid [code ...] time;
fastcgi_cache_path /var/cache/nginx/fcgi_cache levels=1:2:1 keys_zone=fcgicache:20m inactive=120s;
fastcgi_cache_key $request_uri;
fastcgi_cache_valid 200 302 10m;
实验:异构fastcgi转发
mkdir /data/php -pv,cp test.php /data/php
2、vim /etc/nginx/conf.d/*.conf
yum -y install php-mysql mariadb-server
grant all privileges on wpdb.* to 'wpuser'@'localhost' identified by 'wpps'
5、因为动静分离,nginx网站目录也需要放一个wordpress
13、ngx_http_upstream_module模块,后台调度模块,自备健康性检查功能
用于将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令进行引用
(2)server address [parameters];
在upstream上下文中server成员,以及相关的参数;Context:upstream
max_conns 连接后端报务器最大并发活动连接数,1.11.5后支持
max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标记为不可用,默认为1
fail_timeout=time 后端服务器标记为不可用状态的连接超时时长,默认10s
backup 将服务器标记为“备用”,即所有服务器均不可用时才启用,用于sorry server
或者此处在在/etc/nginx/conf.d/*.conf中加这段,一样效果
(3)ip_hash 源地址hash调度方法,基于ip地址哈希值调度到后端服务器
(4)least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc,当所有后端主机连接数相同时,则使用wrr,适用于长连接
(5)hash key [consistent] 基于指定的key的hash表来实现对请求的调度,此处的key可以直接文本、变量或二者组合
作用:将请求分类,同一类请求将发往同一个upstream server,使用consistent参数,将使用ketama一致性hash算法,适用于后端是Cache服务器(如varnish)时使用
hash $request_uri consistent;,目标地址哈希,当用户访问同一uri时都会调度到同一台主机
hash $remote_addr;,变向的和ip_hash算法类似,根据客户端地址分配后台服务器
为每个worker进程保留的空闲的长连接数量,可节约nginx端口,并减少连接管理的消耗
(7)health_check [parameters];,注意:仅对nginx plus有效,收费版
fails=number:判定服务器不可用的失败检测次数;默认为1次
passes=number:判定服务器可用的失败检测次数;默认为1次
match=NAME:健康状态检测的结果评估调用此处指定的match配置块
(8)match name { ... },注意:仅对nginx plus有效,收费版
对backend server做健康状态检测时,定义其结果判断机制;只能用于http上下文
status code[ code ...]: 期望的响应状态码
header HEADER[operator value]:期望存在响应首部,也可对期望的响应首部的值基于比较操作符和值进行比较
Tengine:由淘宝网发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网,天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、易用的Web平台。从2011年12月开始,Tengine成为一个开源项目,官网 http://tengine.taobao.org/
OpenResty:基于 Nginx 与 Lua 语言的高性能 Web 平台
模拟反代基于tcp或udp的服务连接,即工作于传输层的反代或调度器
可实现代理基于TCP,UDP (1.9.13), UNIX-domain sockets的数据流
(3)proxy_connect_timeout time;
实现结果是telnet IP时候telnet的后台服务器在轮询
由于默认的Linux内核参数考虑的是最通用场景,这明显不符合用于支持高并发访问的Web服务器的定义,所以需要修改Linux内核参数,是的Nginx可以拥有更高的性能,根据业务特点来进行调整,当Nginx作为静态web内容服务器、反向代理或者提供压缩服务器的服务器时,期内核参数的调整都是不同的,这里针对最通用的、使Nginx支持更多并发请求的TCP网络参数做简单的配置,修改/etc/sysctl.conf来更改内核参数
参数设置为 1 ,表示允许将TIME_WAIT状态的socket重新用于新的TCP链接,这对于服务器来说意义重大,因为总有大量TIME_WAIT状态的链接存在
net.ipv4.tcp_keepalive_time = 600
当keepalive启动时,TCP发送keepalive消息的频度;默认是2小时,将其设置为10分钟,可更快的清理无效链接
当服务器主动关闭链接时,socket保持在FIN_WAIT_2状态的较大时间
net.ipv4.tcp_max_tw_buckets = 5000
这个参数表示操作系统允许TIME_WAIT套接字数量的较大值,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000,过多的TIME_WAIT套接字会使Web服务器变慢
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.netdev_max_backlog = 8096
当网卡接收数据包的速度大于内核处理速度时,会有一个列队保存这些数据包。这个参数表示该列队的较大值
net.core.rmem_default = 6291456
net.core.wmem_default = 6291456
注意:这四个参数,需要根据业务逻辑和实际的硬件成本来综合考虑
net.ipv4.tcp_max_syn_backlog = 8192
这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度,默认1024,将其设置的大一些可使出现Nginx繁忙来不及accept新连接时,Linux不至于丢失客户端发起的链接请求
选项默认值是128,这个参数用于调节系统同时发起的TCP连接数,在高并发的请求中,默认的值可能会导致链接超时或者重传,因此需要结合高并发请求数来调节此值。
net.ipv4.tcp_max_orphans=262114
选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS***,不用过分依靠这个限制甚至认为的减小这个值,更多的情况是增加这个值