Web服务之Nginx浅析
一、Nginx
简介:
nginx [engine x]是Igor Sysoev编写的一个高性能的HTTP和反向代理服务器,另外它也可以作为邮件代理服务器。
在大多数情况下都是用来做静态web服务器和反向代理服务器,在作为反向代理服务器的时候,Nginx可以对后端的real server做负载均衡,基于应用层的负载均衡,但是他仅支持一些常见的协议,如:http、mysql、ftp、smtp。
特性:
Nginx是一款面向性能设计的HTTP服务器,相较于Apache、lighttpd具有占有内存少,稳定性高等优势。与旧版本(<=2.2)的Apache不同,nginx不采用每客户机一线程的设计模型,而是充分使用异步逻辑,削减了上下文调度开销,所以并发服务能力更强。整体采用模块化设计,有丰富的模块库和第三方模块库,配置灵活。 在Linux操作系统下,nginx使用epoll事件模型,得益于此,nginx在Linux操作系统下效率相当高。同时Nginx在OpenBSD或FreeBSD操作系统上采用类似于epoll的高效事件模型kqueue。
相较apache来说,Nginx在静态web,反向代理,性能,高并发等功能上比apache要强大,但是apache在稳定性,动态网站的方面比Nginx优秀.随着互联网的规模越来越大,apache已经解决不了C10k(并发访问量超过10k)的问题了,所以出现了新的应用程序,就如Nginx,目前Nginx的稳定版是1.4.x系列.
Nginx在官方测试的结果中,能够支持五万个平行连接,而在实际的运作中,是可以支持二万至四万个平行链接。
整体采用模块化设计是nginx的一个重大特点,甚至http服务器核心功能也是一个模块。要注意的是:nginx的模块是静态的,添加和删除模块都要对nginx进行重新编译,这一点与Apache的动态模块完全不同。
自PHP-5.3.3起,PHP-FPM加入到了PHP核心,编译时加上--enable-fpm即可提供支持。 PHP-FPM以守护进程在后台运行,Nginx响应请求后,自行处理静态请求,PHP请求则经过fastcgi_pass交由PHP-FPM处理,处理完毕后返回。 Nginx和PHP-FPM的组合,是一种稳定、高效的PHP运行方式,效率要比传统的Apache和mod_php高出不少。
二、Nginx的HTTP特性
基本的HTTP服务器特性:
静态资源的web服务器,能缓存打开的文件描述符
可以做反向代理服务器,缓存加速反向代理,简单的负载均衡以及容错
支持FastCGI,uwsgi,SCGI,和memcached服务的缓存加速支持
静态模块化架构,非DSO机制,支持多种过滤器,如gzip,SSI和图像大小调整等
支持SSL
扩展的HTTP服务器特性:
支持基于名称和IP做虚拟主机
支持keepalive
支持平滑的升级,平滑的配置文件更新
支持定制访问日志,支持日志缓存以提高性能,快速的日志轮转
3xx-5xx错误代码重定向
支持url rewrite
根据客户端地址执行不同的功能支持路径别名
支持基于IP和用户认证
支持速率限制,并发限制
三、Nginx的基本架构
Nginx会启动一个master进程和多个worker线程/进程,每个worker进程可以响应多个请求,启动的worker数量可以自行设置。worker进程以非特权用户(ngnix)运行。
一般而言,设置的worker数量应该比cpu的核心数少一到两个,如24个核心的cpu,应该设置22-23个worker进程数。
Nginx是基于事件驱动:kqueue,epoll(Linux),/dev/poll;支持消息通知机制:select,pool,rt signals;支持sendfile:服务器响应请求时,由内核直接响应,而不用经过用户空间。支持文件AIO,异步IO,支持mmap,内存映射。
四、Ngnix配置文件解析
1.配置文件层次
main { //全局配置 } http{ server{ //虚拟主机 location ** { //URI访问属性 } } }
2.main段
基础设置
# user username [groupname]; //指定运行worker进程的用户和组 # worker_processes 1; //启动的worker的数量,性能优化关键点 #error_log logs/error.log; //错误日志文件及其级别;默认为error级别;调试时可以使用debug级别,但要求在编译时必须使用--with-debug启用debug功能; #error_log logs/error.log notice; //同上,但是级别为notice #error_log logs/error.log info; //同上,但是级别为 info #pid logs/nginx.pid; //指定Nginx的pid文件 #events { # worker_connections 1024; //worker进程的个数;通常其数值应该为CPU的物理核心数减1或减2;Nginx的最大并发数为worker_processes*worker_connections # }
扩展设置:与性能优化相关
# worker_rlimit_nofile 9999; //指定一个worker进程所能够打开的最大文件句柄数,可以使用ulimit -n查看单个文件可以打开的最大句柄数,(socket连接也算在里面)。系统默认值1024,此值需大于等于worker_connections,但是如果是代理服务器,此值应大于等于worker_connections的两倍 # worker_rlimit_sigpending 12; //设定每个用户能够发往worker进程的信号的数量 # worker_cpu_affinity cpumask; //与上面的worker_processes有关,让worker运行在指定的cpu上,如有4颗cpu,4个process,那就分别是0001,0010,0100,1000,表示第0,1,2,3颗cpu,性能优化关键点 # ssl_engine ssldevice; //在存在ssl硬件加速器的服务器上,指定所使用的ssl硬件加速设备; # timer_resolution t; //每次内核事件调用返回时,都会使用gettimeofday()来更新nginx缓存时钟;timer_resolution用于定义每隔多久才会由gettimeofday()更新一次缓存时钟;x86-64系统上,gettimeofday()代价已经很小,可以忽略此配置; # worker_priority number; //worker的优先级,值越小,优先级越高,对于性能的增强也是很关键的(-20,20),默认是0,对系统的性能增强很关键
扩展设置:与事件相关
//需要定义在 events { } 里面 # accept_mutex [on|off]; //是否打开Ningx的负载均衡锁;此锁能够让多个worker进轮流地、序列化地与新的客户端建立连接;而通常当一个worker进程的负载达到其上限的7/8,master就尽可能不再将请求调度此worker;默认为on # lock_file /path/to/lock_file; //这是accept_mutex的锁文件,如果accept_mutex为off,这项就没用了 # accept_mutex_delay #ms; //在accept锁模式中,一个worker进程为取得accept锁的等待时长;如果某worker进程在某次试图取得锁时失败了,至少要等待#ms才能再一次请求锁;默认是500毫秒 # multi_accept on|off; //是否允许worker一次性地响应多个用户请求;默认为Off,一个连接一个连接的建立; # use [epoll|rtsig|select|poll]; //定义使用的事件模型,建议让nginx自动选择;在Linux中一般(默认)都选择epoll
扩展设置:用于调试、定位问题
// 只在调试时使用 # daemon on|off; //是否让ningx运行后台;默认为on,调试时可以设置为off,使得所有信息去接输出控制台; # master_process on|off; //是否以master/worker模式运行nginx;默认为on;调试时可设置off以方便追踪;
3.http段
# http { # include mime.types; # default_type application/octet-stream; # # #log_format main ‘$remote_addr - $remote_user [$time_local] "$request" ‘ # # ‘$status $body_bytes_sent "$http_referer" ‘ # # ‘"$http_user_agent" "$http_x_forwarded_for"‘; # #access_log logs/access.log main; # sendfile on; # #tcp_nopush on; # #keepalive_timeout 0; # keepalive_timeout 65; # #gzip on; # server { //定义虚拟主机 # listen 80; //监听的端口listen address[:port];listen port # server_name localhost; //定义基于主机名或IP的虚拟主机,可跟多个主机名 # server_name_hash_bucket_size //快速主机名查找使用hash主机名 # #charset koi8-r; # #access_log logs/host.access.log main; # location / { # root html; //设置web资源的路径,可以放在http,server和location中 # index index.html index.htm; #定义默认主页,自左向右匹配 # } # # #error_page 404 [=200] /404.html; #错误页面重定向,[=200表示请求状态码也编程200] # # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; # location = /50x.html { # root html; # } # }
server段:
# listen address[:port]; 或 # listen port; #default_server //定义此server为http中默认的server;如果所有的server中没有任何一个listen使用此参数,那么第一个server即为默认server; # rcvbuf=SIZE //接收缓冲大小; # sndbuf=SIZE //发送缓冲大小; # ssl: https server; # server_name [...]; //server_name可以跟多个主机名,名称中可以使用通配符和正则表达式(通常以~开头);当nginx收到一个请求时,会取出其首部的server的值,而后跟众server_name进行比较;比较方式: //(1) 先做精确匹配;www.magedu.com //(2) 左侧通配符匹配;*.magedu.com //(3) 右侧通配符匹配;www.abc.com, www.* //(4) 正则表达式匹配: ~^.*\.magedu\.com$ # server_name_hash_bucket_size 32|64|128; //为了实现快速主机查找,nginx使用hash表来保存主机名;系统默认没有此项,也不是太重要
location段
# location [ = | ~ | ~* | ^~ ] uri { ... } //只能在server和location中,一个server中可以有多个location // =:精确匹配;优先级最高 // ~:正则表达式模式匹配,匹配时区分字符大小写 //~*:正则表达式模式匹配,匹配时忽略字符大小写 //^~: URI前半部分匹配,不检查正则表达式 # location @name { ... } //功能:允许根据用户请求的URI来匹配指定的各location以进行访问配置;匹配到时,将被location块中的配置所处理; # location /i/ { # alias /data/w3/images/; //路径别名,访问/i/top.gif时将由/data/w3/images/top.gif文件来响应 # } # location ~* ^/documents/(.*)$ { # root /www/htdocs; # try_files $uri /docu/$1 /temp.html; //try_files path1 [path2 ...] uri;自左至右尝试读取由path所指定路径,在第一次找到即停止并返回;如果所有path均不存在,则返回最后一个uri; # }
其他参数设置:网络连接相关
# keepalive_timeout time; //保持连接的超时时长;默认为75秒;可以定义在http, server, location中 # keepalive_requests n; //在一次长连接上允许承载的最大请求数;上下文:http,server,location # keepalive_disable [msie6 | safari | none ]; //对指定的浏览器禁止使用长连接;有些浏览器不支持长连接 # tcp_nodelay on|off; //对keepalive连接是否使用TCP_NODELAY选项;默认on;把多个确认报文合成一个响应,确认延迟 # client_header_timeout time; //读取http请求首部的超时时长; # client_body_timeout time; //读取http请求包体的超时时长; # send_timeout time; //发送响应的超时时长;
其他参数设置:对客户端请求限制
# limit_except method ... { ... } //指定对范围之外的其它方法的访问控制;指定method为GET方法的同时,nginx会自动添加HEAD方法。上下文:location 如: limit_except GET { allow 192.168.1.0/32; deny all; } 请留意上面的例子将对除GET和HEAD方法以外的所有HTTP方法的请求进行访问限制。 # client_max_body_size SIZE; //http请求包体的最大值;常用于限定客户所能够请求的最大包体;根据请求首部中的Content-Length来检测,以避免无用的传输;上下文:http, server, location # limit_rate speed; //限制客户端每秒钟传输的字节数;默认为0,表示没有限制;上下文:http, server, location, # limit_rate_after time; //nginx向客户发送响应报文时,如果时长超出了此处指定的时长,则后续的发送过程开始限速;如:下载站上下文:http, server, location,
其他参数设置:对客户端请求的特殊处理
# ignore_invalid_headers on|off //是否忽略不合法的http首部;默认为on; off意味着请求首部中出现不合规的首部将拒绝响应;只能用于server和http; # log_not_found on|off; //是否将文件找不到的信息也记录进错误日志中;默认为on;上下文:http, server, location # resolver address; //指定nginx使用的dns服务器地址;上下文: http, server, location # resover_timeout time; //指定DNS解析超时时长,默认为30s,建议5秒; 上下文:http, server, location # server_tokens on|off; //是否在错误页面中显示nginx的版本号;默认on,上下文:http, server, location
其他参数设置:文件操作的优化
# sendfile on|off //是否启用sendfile功能;由内核直接响应用户请求,默认off上下文:http, server, location, if in location # aio on|off //是否启用aio功能;完全异步 # open_file_cache max=N [inactive=time]|off //是否打开文件缓存功能;上下文: http, server, location max: 缓存条目的最大值;当满了以后将根据LRU(最近最少使用)算法进行置换; inactive: 某缓存条目在指定时长时没有被访问过时,将自动被删除;默认为60s; 缓存的信息包括: 文件句柄、文件大小和上次修改时间;已经打开的目录结构;没有找到或没有访问权限的信息; # open_file_cache_errors on|off //是否缓存文件找不到或没有权限访问等相关信息;默认off;上下文:http, server, location # open_file_cache_valid time; //多长时间检查一次缓存中的条目是否超出非活动时长,默认为60s; 上下文:http, server, location # open_file_cache_min_use #; //在inactive指定的时长内被访问超此处指定的次数地,才不会被删除;默认1分钟;上下文:http, server, location
http核心模块的内置变量
# $uri: #当前请求的uri,不带参数;参数 ?=12等之类的 # $request_uri: #请求的uri,带完整参数; # $host: #http请求报文中host首部;如果请求中没有host首部,则以处理此请求的虚拟主机的主机名代替; # $hostname: #nginx服务运行在的主机的主机名; # $remote_addr: #客户端IP # $remote_port: #客户端Port # $remote_user: #使用用户认证时客户端用户输入的用户名; # $request_filename: #用户请求中的URI经过本地root或alias转换后映射的本地的文件路径;用的很多 # $request_method: #请求方法 # $server_addr: #服务器地址 # $server_name: #服务器名称 # $server_port: #服务器端口 # $server_protocol: #服务器向客户端发送响应时的协议,如http/1.1, http/1.0 # $scheme: #在请求中使用scheme, 如https://www.magedu.com/中的https; # $http_HEADER: #匹配请求报文中指定的HEADER,$http_host匹配请求报文中的host首部 # $sent_http_HEADER: #匹配响应报文中指定的HEADER,例如$http_content_type匹配响应报文中的content-type首部; # $document_root: #当前请求映射到的root配置;
五、Nginx编译安装
1)部署开发环境 # yum -y install "Development tools" "Server Platform Development" 2)解决依赖 pcre-devel openssl-devel # yum -y install pcre-devel openssl-devel 3) 设置用户 # groupadd -r nginx # useradd -r -g nginx nginx 4)编译安装nginx-1.4.7 # tar xf nginx-1.4.7.tar.gz # cd nginx-1.4.7 # ./configure --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=\ /var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock \--user=nginx --group=nginx --with-http_ssl_module --with-http_flv_module --with-http_stub_status_module --with-http_gzip_static_module --http-client-body-temp-path=\ /var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ \ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi --http-scgi-temp-path=/var/tmp/nginx/scgi --with-pcre # make && make install 5)检测配置文件语法 # /usr/sbin/nginx -t 6) 提供启动脚本 # vim /etc/rc.d/init.d/nginx 内容如下 # nginx - this script starts and stops the nginx daemon # # chkconfig: - 85 15 # description: Nginx is an HTTP(S) server, HTTP(S) reverse # proxy and IMAP/POP3 proxy server # processname: nginx # config: /etc/nginx/nginx.conf # config: /etc/sysconfig/nginx # pidfile: /var/run/nginx.pid # Source function library. . /etc/rc.d/init.d/functions # Source networking configuration. . /etc/sysconfig/network # Check that networking is up. [ "$NETWORKING" = "no" ] && exit 0 nginx="/usr/sbin/nginx" prog=$(basename $nginx) NGINX_CONF_FILE="/etc/nginx/nginx.conf" [ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx lockfile=/var/lock/subsys/nginx make_dirs() { # make required directories user=`nginx -V 2>&1 | grep "configure arguments:" | sed ‘s/[^*]*--user=\([^ ]*\).*/\1/g‘ -` options=`$nginx -V 2>&1 | grep ‘configure arguments:‘` for opt in $options; do if [ `echo $opt | grep ‘.*-temp-path‘` ]; then value=`echo $opt | cut -d "=" -f 2` if [ ! -d "$value" ]; then # echo "creating" $value mkdir -p $value && chown -R $user $value fi fi done } start() { [ -x $nginx ] || exit 5 [ -f $NGINX_CONF_FILE ] || exit 6 make_dirs echo -n $"Starting $prog: " daemon $nginx -c $NGINX_CONF_FILE retval=$? echo [ $retval -eq 0 ] && touch $lockfile return $retval } stop() { echo -n $"Stopping $prog: " killproc $prog -QUIT retval=$? echo [ $retval -eq 0 ] && rm -f $lockfile return $retval } restart() { configtest || return $? stop sleep 1 start } reload() { configtest || return $? echo -n $"Reloading $prog: " killproc $nginx -HUP RETVAL=$? echo } force_reload() { restart } configtest() { $nginx -t -c $NGINX_CONF_FILE } rh_status() { status $prog } rh_status_q() { rh_status >/dev/null 2>&1 } case "$1" in start) rh_status_q && exit 0 $1 ;; stop) rh_status_q || exit 0 $1 ;; restart|configtest) $1 ;; reload) rh_status_q || exit 7 $1 ;; force-reload) force_reload ;; status) rh_status ;; condrestart|try-restart) rh_status_q || exit 0 ;; *) echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}" exit 2 esac 7)添加到系统服务并开机启动 # chkconfig --add nginx # chkconfig nginx on # chkconfig --list nigx 8) 设置nginx配置文件的语法高亮 # mkdir ./vim/syntax -pv # cd .vim/syntax # wget http://www.vim.org/scripts/download_script.php?src_id=19394 # cd .vim # vim filetype.vim 内容如下 au BufRead,BufNewFile /etc/nginx/*,/usr/local/nginx/conf/* if &ft == ‘‘ | setfiletype nginx | endif 9)启动服务 # service nginx start # pa aux | grep nginx
六、配置使用Nginx
1.配置虚拟主机
server { listen 80; server_name www.a.com; root /web/a }
2.设置访问控制access模块,只有两个选项:allow和deny
server { listen 80; server_name www.a.com; root /web/a; allow 192.168.0.0/16; deny all; }
3.用户认证
location /admin/ { auth_basic "admin"; auth_basic_user_file /etc/nginx/.htpasswd; root /web/a/; } # 使用htpasswd -c -m /path/to/somefile username 创建密码文件
4.下载点设置
#建立下载站点autoindex,只需autoindex为on就行了,在/web/a/down目录下的不可识别的文件都会被以列表的形式列出来 location /down/ { autoindex on; root /web/b/; }
5.SSL示例
server { listen 443; server_name localhost; ssl on; #开启ssl引擎 ssl_certificate cert.pem; #证书 ssl_certificate_key cert.key; #私钥文件 ssl_session_timeout 5m; #ssl的超时时间,ssl会话的建立还释放比保持连接更消耗时间,所以如果内存够大并且你网站的粘性比较大,建议时间调长一点 ssl_protocols SSLv2 SSLv3 TLSv1; #支持的协议 ssl_ciphers HIGH:!aNULL:!MD5; #加密算法 ssl_prefer_server_ciphers on; #服务端选择倾向的算法 }
6.stub_status状态页
location /server-status { stub_status on; }
7.gzip压缩
http { gzip on; #开启压缩功能,可以放在http,server gzip_http_version 1.0; #压缩后使用那种http协议构建响应报文 gzip_comp_level 2; #压缩级别 gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript application/json; #仅对这些格式的内容进行压缩 gzip_disable msie6; #对IE6不使用压缩机制 }
8.URL rewrite, 地址重写
# rewrite regex replacement [flag]; //上下文 server,location,if flag参数: last:停止执行当前这一轮的ngx_http_rewrite_module指令集,然后查找匹配改变后URI的新location; break:停止执行当前这一轮的ngx_http_rewrite_module指令集; redirect:在replacement字符串未以“http://”或“https://”开头时,使用返回状态码为302的临时重定向; permanent:返回状态码为301的永久重定向。 # rewrite_log on|off //开启或者关闭将ngx_http_rewrite_module模块指令的处理日志以notice级别记录到错误日志中。默认为off; # return code //用于结束rewrite规则,并且为客户返回状态码;可以使用的状态码有204, 400, 402-406, 500-504等; location /down/ { #可以没有down1文件夹 root /web/b; rewrite ^/down1/(.*\.(jpg|gif|png))$ /image/$1 last; #访问网址是www.a.com/down1,实际目录是www.a.com/image }
9.防盗链
#ngx_http_referer_module //此模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的, 因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意,即使正常浏览器发送的合法请求,也可能没有“Referer”请求头。 定义: # location /photos/ { # valid_referers none blocked server_names # *.example.com example.* www.example.org/galleries/ # ~\.google\.; # if ($invalid_referer) { //如果是以上指定范围外的,则返回 403错误 # return 403; # } # } 该指令的参数: none # 缺少“Referer”请求头; blocked # “Referer” 请求头存在,但是它的值被防火墙或者代理服务器删除; 这些值都不以“http://” 或者 “https://”字符串作为开头; server_names # “Referer” 请求头包含某个虚拟主机名;
本文出自 “潇洒哥是先知” 博客,请务必保留此出处http://hoolee.blog.51cto.com/7934938/1413195
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。