Nginx服务器安装部署
一、介绍
Nginx(“engine x”)是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。
二、Nginx部署
1.依赖安装
yum install zlib zlib-devel openssl openssl-devel pcre pcre-devel
2.创建用户
useradd -s /sbin/nologin -r www
3.Nginx安装
wget http://nginx.org/download/nginx-1.18.0.tar.gz
tar fx nginx-1.18.0.tar.gz
cd nginx-1.18.0/
./configure --prefix=/usr/local/nginx-1.18.0 \
--user=www \
--group=www \
--with-http_ssl_module \
--with-cc-opt=-O2 \
--with-cpu-opt=opteron \
--with-http_sub_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module \
--with-http_realip_module \
--with-http_flv_module \
--with-http_mp4_module \
--with-http_random_index_module \
--with-stream \
--with-debug
make && make install
ln -s /usr/local/nginx-1.18.0/ /usr/local/nginx
参数说明:
--prefix:指定安装路径--with-http_ssl_module:启用ssl模块--with-cc-opt=-O2: 设置 C 编译器参数--with-cpu-opt=opteron: 指定编译的 CPU--with-http_sub_module:过滤模块,用于修改网站响应内容的字符串--with-http_gunzip_module: 为那些不支持gzip模块的客户端解压缩--with-http_gzip_static_module:启用静态压缩--with-http_stub_status_module:启用状态模块--with-http_realip_module:在访问日志中去掉代理IP,记录真实IP--with-http_flv_module: 这个模块支持对FLV(flash)文件的拖动播放--with-http_mp4_module: 支持H.264/AAC文件为伪流媒体--with-http_random_index_module:随机展示当前目录下的文件作为首页--with-stream:启用4层代理--with-debug:启用debug日志--user:指定nginx运行的用户
4.启动服务
/usr/local/nginx/sbin/nginx #启动
/usr/local/nginx/sbin/nginx -s stop #停止
/usr/local/nginx/sbin/nginx -s reload #重载
/usr/local/nginx/sbin/nginx -t #测试
5.验证
http://localhost
三、配置文件详解
cat /usr/local/nginx/conf/nginx.conf
#nginx进程,一般设置为和cpu核数一样worker_processes 4; #错误日志存放目录 #错误日志级别:常见的错误日志级别有[debug | info | notice | warn | error | crit | alert | emerg],级别越高记录的信息越少error_log /data1/logs/error.log crit; #运行用户,默认即是nginx,可不设置user www #进程pid存放位置pid /application/nginx/nginx.pid;#最大文件打开数(连接),可设置为系统优化后的ulimit -HSn的结果worker_rlimit_nofile 51200;#cpu亲和力配置,让不同的进程使用不同的cpuworker_cpu_affinity 0001 0010 0100 1000;#工作模式及连接数上限events { use epoll; #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但是仅用于linux2.6以上内核,可以大大提高nginx的性能 worker_connections 1024; #;单个后台worker process进程的最大并发链接数}http {#当fastcgi状态码大于300时,将响应转发给error_page指令处理 fastcgi_intercept_errors on;#当被代理的后端状态码大于300时,返回给error_page处理proxy_intercept_errors on;#默认编码 charset utf-8;#服务器名字的hash表大小 server_names_hash_bucket_size 128;#指定客户端请求头buffer大小 client_header_buffer_size 4k;#指定客户端请求中较大的消息头的缓存最大数量和大小 large_client_header_buffers 4 32k;#允许用户最大上传数据大小 client_max_body_size 300m;#开启高效文件传输模式 sendfile on;#激活tcp_nopush参数可以允许把httpresponse header和文件的开始放在一个文件里发布,积极的作用是减少网络报文段的数量 tcp_nopush on;#设置客户端连接保持活动的超时时间 keepalive_timeout 300; #激活tcp_nodelay,内核会等待将更多的字节组成一个数据包,从而提高I/O性能 tcp_nodelay on;#缓冲区代理缓冲用户端请求的最大字节数 client_body_buffer_size 512k;#与upstream server的连接超时时间 proxy_connect_timeout 50;#nginx跟后端服务器连接超时时间(代理读超时) proxy_read_timeout 100;#发送请求给代理服务器的超时时间 proxy_send_timeout 50;#设置代理服务器(nginx)保存用户头信息的缓冲区大小 proxy_buffer_size 16k;#proxy_buffers缓冲区,网页平均在32k以下的话,这样设置 proxy_buffers 4 64k;#高负荷下缓冲大小(proxy_buffers*2) proxy_busy_buffers_size 128k;#设定缓存文件夹大小,大于这个值,将从upstream服务器传 proxy_temp_file_write_size 128k;#开启动态压缩 gzip on;#设置允许压缩的最小字节数 gzip_min_length 1k;#压缩缓冲区大小 gzip_buffers 4 16k;#压缩版本 gzip_http_version 1.1;#压缩比率。1最小处理最快,9压缩比最大传速速度快 gzip_comp_level 2;#指定压缩类型 gzip_types text/plain application/x-javascript text/css application/xml;#和http头有关,断送客户端浏览器是否支持压缩,确定是否压缩 gzip_vary on;#隐藏版本号 server_tokens off;#访问日志格式设置log_format main '$remote_addr - $remote_user [$time_local] "$host" "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for" $request_time';access_log logs/access.log main;#反向代理设置upstream backend_server { server 10.0.0.20:81 weight=1 max_fails=2 fail_timeout=30s;}状态值说明:weight:指定权重max_fails:最大失败次数fail_timeout: max_fails次失败后,暂停的时间down:不参与负载backup:非backup机器down或者忙的时候,请求backup机器max_conns:指定后端服务器的最大连接数server { listen 80; server_name www.blpwdev.com;#如果请求方法不是GET|POST返回444 if ($request_method !~* GET|POST) { return 444; }#禁止某些IP访问后端服务器 set $allow true; if ($remode_addr ~ “110.46.120.36”){ set $allow false; } if ($allow = false){ return 404; } location / { proxy_pass http://backend_server;#当某台返回错误时,继续分配给下一台机器处理 proxy_next_upstream http_500 http_502 http_503 error timeout invalid_header;#该参数作用是对发送给客户端的URL进行修改 proxy_redirect off;#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }#防盗链location ~ .*\.(jpg|gif|png)$ { valid_referers none blocked www.blpwdev.com; if ($invalid_referer) { return 403; } root /opt/app/code/images;} error_page 404 @proxy_error; location @proxy_error { rewrite ^ http://www.baidu.com; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; }}}
补充:
nginx的location配置详解
语法规则: location [=|~|~|^~] /uri/ { … }
=:表示精确匹配,只有完全匹配上才能生效。
^~:对URL路径进行前缀匹配,并且在正则之前。
~:表示区分大小写的正则匹配。
~:表示不区分大小写的正则匹配。
/uri:不带任何修饰符,也表示前缀匹配,但是在正则匹配之后。
/:通用匹配,任何未匹配到其它location的请求都会匹配到。
四、Nginx模块使用
1.rewrite模块
基本语法: rewrite regex replacement [flag];
上下文:server location if
rewrite配置语法中的flag参数:
last:停止rewrite检测【如果没有匹配到,会继续向下匹配】
break:停止rewrite检测【如果没有匹配到,则不再向下匹配,直接返回结果】
redirect :返回302临时重定向,地址栏会显示跳转后的地址
permanent:返回301永久重定向,地址栏会显示跳转后的地址
例子:
rewrite ^/(.*) http://www.baidu.com/$1 permanent;
2.对于连接限制limit_conn模块
limit_conn_zone
语法: limit_conn_zone $variable zone=name:size;
默认值: none
配置段: http
$variable定义键,zone=name定义区域名称,后面的limit_conn指令会用到的。size定义各个键共享内存空间大小。如:
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn_log_level
语法:limit_conn_log_level info | notice | warn | error
默认值:error
配置段:http, server, location
当达到最大限制连接数后,记录日志的等级
limit_conn
语法:limit_conn zone_name number
默认值:none
配置段:http, server, location
指定每个给定键值的最大同时连接数,当超过这个数字时被返回503错误
如:
limit_conn addr 1;
limit_conn_status
语法: limit_conn_status code;
默认值: limit_conn_status 503;
配置段: http, server, location
limit_rate
语法:limit_rate rate
默认值:0
配置段:http, server, location, if in location
对每个连接的速率限制。参数rate的单位是字节/秒,设置为0将关闭限速。 按连接限速而不是按IP限制,因此如果某个客户端同时开启了两个连接,那么客户端的整体速率是这条指令设置值的2倍。
例子:
http {limit_conn_zone $binary_remote_addr zone=limit:10m;limit_conn_log_level info;server { location ^~ /download/ { limit_conn limit 4;#设置用户下载文件前10m时不限速 limit_rate_after 10m; limit_rate 200k; alias /data/www/download/; }}}
3. 限制请求数limit_req模块
limit_req_zone
语法: limit_req_zone $variable zone=name:size rate=rate;
默认值: none
配置段: http
设置一块共享内存限制域用来保存键值的状态参数
如:
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
说明:区域名称为one,大小为10m,平均处理的请求频率不能超过每秒一次
limit_req_log_level
语法: limit_req_log_level info | notice | warn | error;
默认值: limit_req_log_level error;
配置段: http, server, location
设置你所希望的日志级别
limit_req_status
语法: limit_req_status code;
默认值: limit_req_status 503;
配置段: http, server, location
limit_req
语法: limit_req zone=name [burst=number] [nodelay];
默认值: —
配置段: http, server, location
设置对应的共享内存限制域和允许被处理的最大请求数阈值
如:
limit_req zone=one burst=5;
限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于5个。
如果不希望超过的请求被延迟,可以用nodelay参数,如:
limit_req zone=ttlsa_com burst=5 nodelay;
例子:
http { limit_req_zone $binary_remote_addr zone=one:10m rate=6r/m; server { location ^~ /download/ { limit_req zone=one burst=5 nodelay; alias /data/www/download/; } }}
4. ngx_http_realip_module模块
语法:set_real_ip_from address|cidr|unix;
默认值: —
配置段: http, server, location
例子:
#真实服务器上一级代理的IP地址或者IP段
set_real_ip_from 0.0.0.0/0;
#定义其值替换客户端地址的请求头
real_ip_header X-Forwarded-For;
#递归地排除直至得到用户ip
real_ip_recursive on;
5. ngx_http_sub_module模块
该ngx_http_sub_module模块是一个过滤器,通过将一个指定的字符串替换为另一个字符串来修改响应
sub_filter
作用:用于替换字符串
用法:sub_filter 要替换的字符串 替换后的字符串,不区分字符串的大小写
范围:http server location
默认:-
sub_filter_last_modified
作用:允许在替换期间保留来自原始响应的“Last-Modified”标题字段以促进响应缓存。默认情况下,在处理期间修改响应的内容时,标题字段被删除。
用法:sub_filter_last_modified on | off
范围:http server location
默认:sub_filter_last_modified on
sub_filter_once
作用:指示是否查找每个字符串以替换一次或重复替换。
用法:sub_filter_once on | off
范围:http server location
默认:http server location
sub_filter_types
作用:指定MIME类型的字符串替换,除了“ text/html” 之外,还可以在指定MIME类型的响应中启用字符串替换。特殊值“ *”匹配任何MIME类型
用法:sub_filter_types mime-type ...
范围:http server location
默认:sub_filter_types text / html;
例子:
location / {#把nginx.com替换成baidu.com sub_filter 'nginx.com' 'baidu.com';#把nginx.org替换成baidu.org sub_filter 'nginx.org' 'baidu.org'; sub_filter_types css/html; #替换的类型 sub_filter_once off; #全部替换 root html; index index.html index.htm; }
6. stub_status状态模块
nginx中的stub_status模块主要用于查看Nginx的一些状态信息. 本模块默认没有安装,需要编译安装
在nginx配置文件中的server段加上如下配置
location /nginx_status {
stub_status on;
access_log off;
}
返回各项数据说明:
Active connections: 当前nginx正在处理的活动连接数.
server 表示Nginx启动到现在共处理了 30 个连接
accepts 表示Nginx启动到现在共成功创建 30 次握手
handled requests 表示总共处理了 37 次请求
请求丢失数 = 握手数 - 连接数 ,可以看出目前为止没有丢失请求
Reading:Nginx 读取到客户端的 Header 信息数
Writing:Nginx 返回给客户端 Header 信息数
Waiting:Nginx 已经处理完正在等候下一次请求指令的驻留链接
7. ssl模块配置
自生成证书
cd /etc/pki/CA
touch index.txt
echo 01 > serial
#生成CA自签证书
(umask 077;openssl genrsa -out private/cakey.pem 2048)
openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
#生成证书
(umask 077;openssl genrsa -out /etc/nginx/ssl/nginx.key 2048)
openssl req -new -key /etc/nginx/ssl/nginx.key -days 365 -out /etc/nginx/ssl/nginx.csr
openssl ca -in /etc/nginx/ssl/nginx.csr -out /etc/nginx/ssl/nginx.crt -days 365
修改nginx配置文件
server { listen 443; #监听端口为443 server_name www.blpwdev.com ssl on; #开启ssl ssl_certificate /etc/nginx/ssl/nginx.crt; #证书位置 ssl_certificate_key /etc/nginx/ssl/nginx.key; #私钥位置 ssl_session_timeout 5m; #红色部分为可选项 ssl_protocols SSLv2 SSLv3 TLSv1; #指定密码为openssl支持的格式 ssl_ciphers HIGH:!aNULL:!MD5; #密码加密方式 ssl_prefer_server_ciphers on; #依赖SSLv3和TLSv1协议的服务器密码将优先于客户端密码 location / { root html; //根目录的相对位置 index index.html index.htm; } }server { listen 80; server_name www.localhost.com; send_timeout 1800; rewrite ^(.*)$ https://$host$1 permanent;}
8. auth basic认证模块
auth basic
语法: auth_basic string | off;
默认值: auth_basic off;
配置段: http, server, location, limit_except
默认表示不开启认证,后面如果跟上字符,这些字符会在弹窗中显示
auth_basic_user_file
语法: auth_basic_user_file file;
默认值: —
配置段: http, server, location, limit_except
指定用户密码文件,使用htpasswd命令生成
nginx认证配置
创建用户密码文件
#htpasswd命令在httpd-devel包中,第一次创建用户需要加-c选项
htpasswd -c /usr/local/nginx/conf/htpasswd test
#密码生成也可以使用openssl命令
printf “test:$(openssl passwd -crypt 123456)\n” >>/conf/htpasswd
在nginx配置文件中加入如下配置
server{ server_name www.blpwdev.com; index index.html index.htm; root html; location / { auth_basic "nginx basic http test for localhost.com"; auth_basic_user_file conf/htpasswd; #允许以列表格式显示文件 autoindex on; }}
9. proxy_cache模块
开启缓存配置
proxy_cache_path /data/proxy_cache_dir levels=1:2 keys_zone=cache_one:200m inactive=1d max_size=30g use_temp_path=off;server { listen 80; server_name www.localhost.com; access_log /var/log/nginx/student_access.log cache; error_log /var/log/nginx/student_error.log ; location ~ /purge(/.*) { allow 127.0.0.1; deny all; proxy_cache_purge cache_one $host$1$is_args$args; } location ~ .*\.(gif|jpg|jpeg|png|bmp|ico|js|css)$ { proxy_cache cache_one; proxy_cache_valid 200 304 12h; proxy_cache_key $host$uri$is_args$args; #expires 30d; add_header X-Cache $upstream_cache_status; include /usr/local/nginx/vhost/proxy.configure; proxy_pass http://student_server; } location / { include /usr/local/nginx/vhost/proxy.configure; proxy_pass http://student_server; }log_format cache '$remote_addr [$time_local] "$request" ''"$upstream_status" $body_bytes_sent "$http_referer" ' '"$http_user_agent" ''"$upstream_addr" "$upstream_response_time" $upstream_cache_status';
#$upstream_cache_status 定义浏览器中的缓存状态 HIT MISS EXPIRED
清除缓存
http://student.metasequoia.com/resource/images/login13.png #缓存
curl student.fcla***oom.com/purge/resource/images/login13.png #清除缓存
参数说明
/data/proxy_cache_dir:本地路径,定义缓存资源的存放路径
levels:定义缓存文件目录层次
keys_zone:设置缓存名字和共享内存大小
inactive:未被访问文件在缓存中保留时间
max_size:最大cache空间,不指定会用掉磁盘所有空间
use_temp_path:为off会直接把缓存写入cache文件中,不会使用temp_path
proxy_cache:启动缓存,off表示关闭缓存
proxy_cache其它相关指定
proxy_no_cache: 定义满足条件的响应不会被缓存,其值有一个不为空或0生效
proxy_cache_bypass: 定义哪些情况不从cache读取
proxy_cache_key: 给缓存数据定义一个键,在清除缓存用到
proxy_cache_methods: 定义缓存哪些http方法
proxy_cache_valid: 设置不同响应码的缓存时间
proxy_cache_min_uses: 设置缓存的最小使用次数
10.upstream_check_module模块
upstream配置
upstream xxxxxx{ server 10.0.0.100:8080; server 10.0.0.101:8080; check interval=2000 rise=2 fall=2 timeout=1000 type=http; check_http_send "HEAD /check.txt HTTP/1.0\r\n\r\n"; check_http_expect_alive http_2xx http_3xx http_4xx;}
其中参数的定义如下:
interval:检查的周期
fall:允许的检查失败次数,若失败次数超过该值,则后端被标记为"down"。
rise:检查的成功次数达到该值,则后端被标记为“up”。
timeout:检查的超时时间。
type:后端检查的协议类型(tcp|http)。
开启状态页面
location /status { check_status; access_log off; allow 127.0.0.1; deny all; }
©著作权归作者所有:来自51CTO博客作者hxgd2014的原创作品,如需转载,请注明出处,否则将追究法律责任
更多相关文章
- Docker快速搭建Clickhouse集群(3分片3副本)
- Linux下安装配置Cntlm代理
- SE75 采购申请创建抬头文本
- 系统发布用户通知以及相关增强
- HCDA 协议配置
- 我们怎么解决机械硬盘既慢又容易坏的问题?
- CentOS7配置IP和远程连接
- 官方博文 | 连老手也容易犯错的Zabbix SNMP该如何正确配置?
- Spring Cloud中Hystrix、Ribbon及Feign的熔断关系是什么?