Nginx安装文档
看 这里
基础配置详解
nginx.conf 配置结构
... #全局块
events { #events块
...
}
http #http块
{
... #http全局块
server #server块
{
... #server全局块
location [PATTERN] #location块
{
...
}
location [PATTERN]
{
...
}
}
server
{
...
}
... #http全局块
}
- main全局块:配置影响nginx全局的指令。一般有运行nginx服务器的用户组,nginx进程pid存放路径,日志存放路径,配置文件引入,允许生成worker process数等。
- events块:配置影响nginx服务器或与用户的网络连接。有每个进程的最大连接数,选取哪种事件驱动模型处理连接请求,是否允许同时接受多个网路连接,开启多个网络连接序列化等。
- http块:可以嵌套多个server,配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置。如文件引入,mime-type定义,日志自定义,是否使用sendfile传输文件,连接超时时间,单连接请求数等。
- server块:配置虚拟主机的相关参数,一个http中可以有多个server。
- location块:配置请求的路由,以及各种页面的处理情况。
不同模块指令关系:server继承main;location继承server;upstream既不会继承指令也不会被继承,它有自己的特殊指令,不需要在其他地方的应用
nginx内置全局变量
| 变量名 | 功能 |
|---|---|
$host | 请求信息中的 Host,如果请求中没有Host行,则等于设置的服务器名 |
$request_method | 客户端请求类型,如 GET、 POST |
$remote_addr | 客户端的 IP地址 |
$args | 请求中的参数 |
$content_length | 请求头中的 Content-length字段 |
$http_user_agent | 客户端agent信息 |
$http_cookie | 客户端cookie信息 |
$remote_addr | 客户端的IP地址 |
$remote_port | 客户端的端口 |
$server_protocol | 请求使用的协议,如HTTP/1.0、·HTTP/1.1 |
$server_addr | 服务器地址 |
$server_name | 服务器名称 |
$server_port | 服务器的端口号 |
nginx.conf 基本配置模板
每个指令必须有分号结束
########### 每个指令必须有分号结束。#################
#配置用户或者组,默认为nobody nobody。
user www www;
#工作的进程数,系统会根据服务器自动生成
worker_processes 2;
#指定nginx进程运行文件存放地址
pid /nginx/pid/nginx.pid;
#制定错误日志路径,级别。这个设置可以放入全局块,http块,server块,级别依次为:debug|info|notice|warn|error|crit|alert|emerg
error_log log/error.log debug;
#工作模式及连接数上限
events {
#设置网路连接序列化,防止惊群现象发生,默认为on
accept_mutex on;
#设置一个进程是否同时接受多个网络连接,默认为off
multi_accept on;
#事件驱动模型,select|poll|kqueue|epoll|resig|/dev/poll|eventport
use epoll;
#单个work进程允许的最大连接数,默认为512
worker_connections 1024;
}
#http服务器
http {
#文件扩展名与文件类型映射表。设定mime类型(邮件支持类型),类型由mime.types文件定义
include mime.types;
#默认文件类型,默认为text/plain
default_type application/octet-stream;
#取消服务访问日志
#access_log off;
#自定义日志格式
log_format myFormat '$remote_addr–$remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for';
#设置访问日志路径和格式。"log/"该路径为nginx日志的相对路径,mac下是/usr/local/var/log/。combined为日志格式的默认值
access_log log/access.log myFormat;
rewrite_log on;
#允许sendfile方式传输文件,默认为off,可以在http块,server块,location块。(sendfile系统调用不需要将数据拷贝或者映射到应用程序地址空间中去)
sendfile on;
#每个进程每次调用传输数量不能大于设定的值,默认为0,即不设上限。
sendfile_max_chunk 100k;
#连接超时时间,默认为75s,可以在http,server,location块。
keepalive_timeout 65;
#gzip压缩开关
gzip on;
tcp_nodelay on;
#设定实际的服务器列表
upstream mysvr1 {
server 127.0.0.1:7878;
server 192.168.10.121:3333 backup; #热备(其它所有的非backup机器down或者忙的时候,请求backup机器))
}
#weigth参数表示权值,权值越高被分配到的几率越大
upstream mysvr2 {
server 192.168.1.11:80 weight=5;
server 192.168.1.12:80 weight=1;
server 192.168.1.13:80 weight=6;
}
#每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题
upstream https-svr {
ip_hash;
server 192.168.1.11:90;
server 192.168.1.12:90;
}
error_page 404 https://www.baidu.com; #错误页
#HTTP服务器
# 静态资源一般放在nginx所在主机
server {
listen 80; #监听HTTP端口
server_name 127.0.0.1; #监听地址
keepalive_requests 120; #单连接请求上限次数
set $doc_root_dir "/Users/doing/IdeaProjects/edu-front-2.0"; #设置server里全局变量
index index.php index.html; #定义首页索引文件的名称
location ~*^.+$ { #请求的url过滤,正则匹配,~为区分大小写,~*为不区分大小写。
root $doc_root_dir; #静态资源根目录
proxy_pass http://mysvr1; #请求转向“mysvr1”定义的服务器列表
deny 127.0.0.1; #拒绝的ip
allow 172.18.5.54; #允许的ip
}
}
#http
server {
listen 80;
server_name www.helloworld.com; #监听基于域名的虚拟主机。可有多个,可以使用正则表达式和通配符
charset utf-8; #编码格式
set $static_root_dir "/Users/doing/static";
location /app1 { #反向代理的路径(和upstream绑定),location后面设置映射的路径
proxy_pass http://zp_server1;
}
location /app2 {
proxy_pass http://zp_server2;
}
location ~ ^/(images|javascript|js|css|flash|media|static)/ { #静态文件,nginx自己处理
root $static_root_dir;
expires 30d; #静态资源过时间30天
}
location ~ /\.ht { #禁止访问 .htxxx 文件
deny all;
}
location = /do_not_delete.html { #直接简单粗暴的返回状态码及内容文本
return 200 "hello.";
}
# 指定某些路径使用https访问(使用正则表达式匹配路径+重写uri路径)
location ~* /http* { #路径匹配规则:如localhost/http、localhost/httpsss等等
#rewrite只能对域名后边的除去传递的参数外的字符串起作用,例如www.c.com/proxy/html/api/msg?method=1¶=2只能对/proxy/html/api/msg重写。
#rewrite 规则 定向路径 重写类型;
#rewrite后面的参数是一个简单的正则。$1代表正则中的第一个()。
#$host是nginx内置全局变量,代表请求的主机名
#重写规则permanent表示返回301永久重定向
rewrite ^/(.*)$ https://$host/$1 permanent;
}
#错误处理页面(可选择性配置)
#error_page 404 /404.html;
#error_page 500 502 503 504 /50x.html;
#以下是一些反向代理的配置(可选择性配置)
#proxy_redirect off;
#proxy_set_header Host $host; #proxy_set_header用于设置发送到后端服务器的request的请求头
#proxy_set_header X-Real-IP $remote_addr;
#proxy_set_header X-Forwarded-For $remote_addr; #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
#proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
#proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
#proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)
#proxy_buffer_size 4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
#proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置
#proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
#proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
#client_max_body_size 10m; #允许客户端请求的最大单文件字节数
#client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数
}
#https
#(1)HTTPS的固定端口号是443,不同于HTTP的80端口;
#(2)SSL标准需要引入安全证书,所以在 nginx.conf 中你需要指定证书和它对应的 key
server {
listen 443;
server_name www.hellohttps1.com www.hellohttps2.com;
set $geek_web_root "/Users/doing/IdeaProjects/backend-geek-web";
ssl_certificate /usr/local/etc/nginx/ssl-key/ssl.crt; #ssl证书文件位置(常见证书文件格式为:crt/pem)
ssl_certificate_key /usr/local/etc/nginx/ssl-key/ssl.key; #ssl证书key位置
location /passport {
send_timeout 90;
proxy_connect_timeout 50;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_pass http://https-svr;
}
location ~ ^/(res|lib)/ {
root $geek_web_root;
expires 7d;
#add_header用于为后端服务器返回的response添加请求头,这里通过add_header实现CROS跨域请求服务器
add_header Access-Control-Allow-Origin *;
}
#ssl配置参数(选择性配置)
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
}
#配置访问控制:每个IP一秒钟只处理一个请求,超出的请求会被delayed
#语法:limit_req_zone $session_variable zone=name:size rate=rate (为session会话状态分配一个大小为size的内存存储区,限制了每秒(分、小时)只接受rate个IP的频率)
limit_req_zone $binary_remote_addr zone=req_one:10m rate=1r/s nodelay;
location /pay {
proxy_set_header Host $http_host;
proxy_set_header X-Real_IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#访问控制:limit_req zone=name [burst=number] [nodelay];
limit_req zone=req_one burst=5; #burst=5表示超出的请求(被delayed)如果超过5个,那些请求会被终止(默认返回503)
proxy_pass http://mysvr1;
}
#可以把子配置文件放到/usr/local/etc/nginx/servers/路径下,通过include引入
include /usr/local/etc/nginx/servers/*.conf;
}
常用功能
php文件解析
# fastcgi方式php文件解析
server{
listen 81;
location / {
root /server/www/htdocs/p5;
index index.php index.html;
allow all;
}
location ~ \.php$ {
error_log logs/test.logss;
root /server/www/htdocs/p5;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
#fastcgi_param SCRIPT_FILENAME /server/www/htdocs/p5/$fastcgi_script_name;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
另一种方式解析
# 在linux中 php-fpm支持以套接字的形式绑定,在高并发的时候性能更好
# 1. 修改php-fpm.conf文件
listen = 127.0.0.1:9000
# 修改为
listen = /dev/shm/phpfpm.sock
# 这里的路径可以随便写,注意,需要给予nginx用户的读写权限
# /dev/shm这个目录比较特殊 不在硬盘中,在内存中,读取速度更快
# 重启php-fpm服务
# 修改nginx.php
fastcgi_pass 127.0.0.1:9000;
# 修改为
fastcgi_pass unix:/dev/shm/phpfpm.sock;
# 重启nginx 即可防盗链设置
location ~* \.(gif|jpg|png|jpeg)$ {
expires 30d; #设置资源有效期
valid_referers a.com *.net; # 有效的域名 这种方式图片也无法被直接访问 必须在域名下才能访问
# valid_referers none blocked a.com *.net;
# 加上 none blocked 图片可以被直接访问
if ($invalid_referer) {
rewrite ^/ http://xxx.xx;
#return 404;
}
}允许跨域
# location 作用域
add_header Access-Control-Allow-Origin *;访问控制
location / {
allow xx.xx.xx.xx;
# allow all;
deny all;
deny xx.xx.xx.xx;
}请求过滤
根据状态码过滤
error_page 500 501 502 503 504 506 /50x.html;
location = /50x.html
{
#将跟路径改编为存放html的路径。
root /root/static/html;
}根据URL名称过滤,精准匹配URL,不匹配的URL全部重定向到主页。
location / {
rewrite ^.*$ /index.html redirect;
}根据请求类型过滤。
if ( $request_method !~ ^(GET|POST|HEAD)$ ) {
return 403;
}gzip配置
GZIP是规定的三种标准HTTP压缩格式之一。目前绝大多数的网站都在使用 GZIP传输 HTML、 CSS、 JavaScript 等资源文件。
对于文本文件, GZip的效果非常明显,开启后传输所需流量大约会降至 1/4~1/3。
并不是每个浏览器都支持 gzip的,如何知道客户端是否支持 gzip呢,请求头中的 Accept-Encoding来标识对压缩的支持。
启用 gzip同时需要客户端和服务端的支持,如果客户端支持 gzip的解析,那么只要服务端能够返回 gzip的文件就可以启用 gzip了,我们可以通过 gzip的配置来让服务端支持 gzip。下面的 respone中 content-encoding:gzip,指服务端开启了 gzip的压缩方式。
gzip on;
gzip_http_version 1.1;
gzip_comp_level 5;
gzip_min_length 1000;
gzip_types text/csv text/xml text/css text/plain text/javascript application/javascript application/x-javascript application/json application/xml;
gzip
- 开启或者关闭 gzip模块
- 默认值为 off
- 可配置为 on/off
gziphttpversion
- 启用 GZip 所需的 HTTP 最低版本
- 默认值为 HTTP/1.1
这里为什么默认版本不是 1.0呢?
HTTP 运行在 TCP 连接之上,自然也有着跟 TCP 一样的三次握手、慢启动等特性。
启用持久连接情况下,服务器发出响应后让
TCP连接继续打开着。同一对客户/服务器之间的后续请求和响应可以通过这个连接发送。为了尽可能的提高
HTTP性能,使用持久连接就显得尤为重要了。
HTTP/1.1默认支持TCP持久连接,HTTP/1.0也可以通过显式指定Connection:keep-alive
来启用持久连接。对于TCP持久连接上的HTTP报文,客户端需要一种机制来准确判断结束位置,而在HTTP/1.0中,这种机制只有Content-Length。而在HTTP/1.1中新增的Transfer-Encoding:chunked所对应的分块传输机制可以完美解决这类问题。nginx同样有着配置 chunked的属性
chunked_transfer_encoding,这个属性是默认开启的。Nginx在启用了
GZip的情况下,不会等文件GZip完成再返回响应,而是边压缩边响应,这样可以显著提高 TTFB(
TimeToFirstByte,首字节时间,WEB 性能优化重要指标)。这样唯一的问题是, Nginx
开始返回响应时,它无法知道将要传输的文件最终有多大,也就是无法给出Content-Length这个响应头部。所以,在
HTTP1.0中如果利用 Nginx启用了GZip,是无法获得Content-Length的,这导致HTTP1.0中开启持久链接和使用GZip只能二选一,所以在这里gzip_http_version默认设置为 1.1。
gzipcomplevel
- 压缩级别,级别越高压缩率越大,当然压缩时间也就越长(传输快但比较消耗cpu)。
- 默认值为 1
- 压缩级别取值为 1-9
gzipminlength
- 设置允许压缩的页面最小字节数,
Content-Length小于该值的请求将不会被压缩- 默认值: 0
- 当设置的值较小时,压缩后的长度可能比原文件大,建议设置 1000以上
gzip_types
- 要采用gzip压缩的文件类型( MIME类型)
- 默认值: text/html(默认不压缩 js/ css)
负载均衡设置
Upstream指定后端服务器地址列表
upstream balanceServer {
server 10.1.22.33:12345;
server 10.1.22.34:12345;
server 10.1.22.35:12345;
}在server中拦截响应请求,并将请求转发到Upstream中配置的服务器列表。
server {
server_name fe.server.com;
listen 80;
location /api {
proxy_pass http://balanceServer;
}
}
上面的配置只是指定了nginx需要转发的服务端列表,并没有指定分配策略。
nginx实现负载均衡的策略
轮询策略
默认情况下采用的策略,将所有客户端请求轮询分配给服务端。这种策略是可以正常工作的,但是如果其中某一台服务器压力太大,出现延迟,会影响所有分配在这台服务器下的用户。
upstream balanceServer {
server 10.1.22.33:12345;
server 10.1.22.34:12345;
server 10.1.22.35:12345;
}
最小连接数策略
将请求优先分配给压力较小的服务器,它可以平衡每个队列的长度,并避免向压力大的服务器添加更多的请求。
upstream balanceServer {
least_conn;
server 10.1.22.33:12345;
server 10.1.22.34:12345;
server 10.1.22.35:12345;
}
最快响应时间策略
依赖于NGINX Plus,优先分配给响应时间最短的服务器。
upstream balanceServer {
fair;
server 10.1.22.33:12345;
server 10.1.22.34:12345;
server 10.1.22.35:12345;
}客户端ip绑定
来自同一个ip的请求永远只分配一台服务器,有效解决了动态网页存在的session共享问题。
upstream balanceServer {
ip_hash;
server 10.1.22.33:12345;
server 10.1.22.34:12345;
server 10.1.22.35:12345;
}反向代理
location /
{
proxy_pass http://127.0.0.1:9000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE-HOST $remote_addr;
# 持久化连接相关配置
proxy_connect_timeout 30s;
proxy_read_timeout 86400s;
proxy_send_timeout 30s;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
add_header X-Cache $upstream_cache_status;
#expires 12h;
}静态资源服务器
location ~* \.(png|gif|jpg|jpeg)$ {
root /root/static/; # 设置静态资源路径
autoindex on; # 显示目录结构
access_log off; # 关闭访问日志
expires 10h;# 设置过期时间为10小时
}匹配以 png|gif|jpg|jpeg为结尾的请求,并将请求转发到本地路径, root中指定的路径即nginx本地路径。同时也可以进行一些缓存的设置。