nginx 2.基本配置

死磕nginx 2.基本配置

鉴于深入浅出的原理，我们先从一个简单的配置了解nginx的配置

---

1、一个典型配置

nginx的配置文件默认在nginx安装目录的conf二级目录下面，主配置文件为 nginx.conf

下面是一个完整的nginx配置文件示例。

daemon off;    #关闭守护，使用supervisor之类的守护进程需要关闭这个选项
user nick nick;    #用户和组
worker_processes 4;    #设置工作进程数（一般为CPU总核数或者总核数的两倍）
#全局错误日志定义类型，[ debug | info | notice | warn | error | crit ]
error_log /home/nick/nginx-proxy/logs/nginx_error.log debug;    #设置错误日志路径及错误日志等级
pid /home/nick/nginx-proxy/logs/nginx.pid;    #设置pid文件的路径
#一个nginx进程打开的最多文件描述符数目，理论值应该是最多打开文件数（系统的值ulimit -n）与nginx进程数相除，
#但是nginx分配请求并不均匀，所以建议与ulimit -n的值保持一致。如果系统默认的比较小的话，修改 /etc/security/limits.conf加上以下内容
#* soft nofile 65535
#* hard nofile 65535
#即可
worker_rlimit_nofile 51200;    #指定文件描述符数量

events
{
    use epoll;    #选择epoll作为网络IO模型，freebsd推荐使用kqueue
    worker_connections 51200;    #允许的连接数
}
 
http
{
    #这个暂时不用管都这么写就行了。
    include mime.types;    #文件扩展名与文件类型映射表
    default_type application/octet-stream;     #默认文件类型
    charset utf-8;    #设置使用的字符集（一般不写），如果一个网站有多个字符集，请不要随便设置，应该让程序员在html代码中通过Meta标签设置
    
    #日志格式约定，server模块中调用，根据名称，也可以直接写在下面，但是这样的话，所有虚拟主机的日志都会打印在同一个文件下面，建议调用使用。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
              '$status $body_bytes_sent "$http_referer" '
              '"$http_user_agent" "$http_x_forwarded_for" "$request_time"';
        log_format  wmwlog '$time_iso8601 $remote_addr $remote_user $connection "$request" $request_length '
              '$status $body_bytes_sent $bytes_sent $request_time $upstream_response_time '
              '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"';
    
    #设置日志
    #access_log  logs/access.log  main;
    
    server_names_hash_bucket_size 128;    #服务器名字的hash表大小
        client_header_buffer_size 32k;        #上传文件的大小限制，如果有上传的操作，建议按实际情况适当调大一点
        client_max_body_size 10m;        #设定请求缓存
        client_header_timeout 60s;        #客户端头请求超时时间
        client_body_timeout 60s;        #客户端内容请求超时时间
    sendfile on;                 #开启高效文件传输模式，sendfile指令指定nginx是否调用sendfile函数来输出文件，对于普通应用设为 on，如果用来进行下载等应用磁盘IO重负载应用，可设置为off，以平衡磁盘与网络I/O处理速度，降低系统的负载。注意：如果图片显示不正常把这个改成off。
    autoindex on;                 #开启目录列表访问，合适下载服务器，默认关闭。
    tcp_nopush on;                 #防止网络阻塞
    tcp_nodelay on;                #防止网络阻塞
    keepalive_timeout 120;             #长连接超时时间，单位是秒
    
    #FastCGI相关参数是为了改善网站的性能：减少资源占用，提高访问速度。下面参数看字面意思都能理解。
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 128k;
    
    #gzip模块设置
    gzip on; #开启gzip压缩输出
    gzip_min_length 1k; #最小压缩文件大小
    gzip_buffers 4 16k; #压缩缓冲区
    gzip_http_version 1.0; #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
    gzip_comp_level 2; #压缩等级
    gzip_types text/plain application/x-javascript text/css application/xml;
    #压缩类型，默认就已经包含text/html，所以下面就不用再写了，写上去也不会有问题，但是会有一个warn。
    gzip_vary on;
    #limit_zone crawler $binary_remote_addr 10m; #开启限制IP连接数的时候需要使用
    
    #upstream模块，用于反向代理,可以写多个，每个upstream 是一组
    upstream blog.ha97.com {
        #upstream的负载均衡，weight是权重，可以根据机器配置定义权重。weigth参数表示权值，权值越高被分配到的几率越大。
        server 192.168.80.121:80 weight=3 fail_timeout=30s;
        server 192.168.80.122:80 weight=2 fail_timeout=30s;
        server 192.168.80.123:80 weight=3 fail_timeout=30s;
    }


    #虚拟主机的配置 server模块
    server
    {
    #监听端口
    listen 443;

    #域名可以有多个，用空格隔开或者用逗号隔开，建议用逗号隔开
    server_name www.nick219.com nick219.com;

    index index.html index.htm index.php;

    root /home/nick/www/nick219;

    #定义本虚拟主机的访问日志
    access_log /home/nick/nginx-proxy/logs/nick219_access.log main;

    #https配置
    ssl on;
        ssl_certificate /home/nick/nginx-proxy/conf/ssl/chained.pem;
        ssl_certificate_key /home/nick/nginx-proxy/conf/ssl/domain.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
        ssl_session_cache shared:SSL:50m;
        ssl_prefer_server_ciphers on;


    location ~ .*.(php|php5)?$
    {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    include fastcgi.conf;
    }
    #图片缓存时间设置
    location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$
    {
    expires 10d;
    }
    #JS和CSS缓存时间设置
    location ~ .*.(js|css)?$
    {
    expires 1h;
    }

    #对 "/" 启用反向代理
    location / {
    proxy_pass http://127.0.0.1:88;
    proxy_redirect off;
    proxy_set_header X-Real-IP $remote_addr;
    #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    #以下是一些反向代理的配置，可选。
    proxy_set_header Host $host;
    client_max_body_size 10m; #允许客户端请求的最大单文件字节数
    client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数，
    proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
    proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
    proxy_read_timeout 90; #连接成功后，后端服务器响应时间(代理接收超时)
    proxy_buffer_size 4k; #设置代理服务器（nginx）保存用户头信息的缓冲区大小
    proxy_buffers 4 32k; #proxy_buffers缓冲区，网页平均在32k以下的设置
    proxy_busy_buffers_size 64k; #高负荷下缓冲大小（proxy_buffers*2）
    proxy_temp_file_write_size 64k;
    #设定缓存文件夹大小，大于这个值，将从upstream服务器传
    

    设定查看Nginx状态的地址
    location /NginxStatus {
    stub_status on;
    access_log on;
    auth_basic "NginxStatus";
    auth_basic_user_file conf/htpasswd;
    #htpasswd文件的内容可以用apache提供的htpasswd工具来产生。
    }
    
    }

    #本地动静分离反向代理配置
    #所有jsp的页面均交由tomcat或resin处理
    location ~ .(jsp|jspx|do)?$ {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://127.0.0.1:8080;
    }
    #所有静态文件由nginx直接读取不经过tomcat或resin
    location ~ .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$
    { expires 15d; }
    location ~ .*.(js|css)?$
    { expires 1h; }
}

#rewrite到其它地址
    server {
        listen 80;
        server_name  www.nick219.com, nick219.com;
    #把包含.well-know/acme-challenge的请求指向对应的目录
    location ^~ /.well-known/acme-challenge/ {
            alias /home/nick/www/challenges-com/;
            try_files $uri =404;

        }

        location / {
        #把/的请求都重定向到https:nick219.com
            rewrite ^/(.*)$ https://nick219.com/$1 permanent;
        }
}
    
}

2、配置分析

通过上面的nginx.conf配置文件示例，我们可以看出nginx.conf的配置结构主要由以下几部分构成

......
event
{
......
}
http
{
......
    server
    {
    ......
    }
    server
    {
    ......
    }
......
}

3、虚拟主机

虚拟主机使用的是特殊的硬件技术，把一台运行在网上的服务器分成一台一台虚拟的“主机”（这里虚拟主机不是我们通常理解的基于xen、vmware的虚拟机，而是虚拟的web主机，最初的时候一台web服务器就是一台真实的主机），每台虚拟主机都可以是一个独立的网站，可以有独立的域名，具有完整的Iternet服务器功能（www、ftp、email等），同一台主机上的虚拟主机是完全独立的，从访问网站的人来看，每一台虚拟主机和一台独立的主机完全一样。

利用虚机主机，不用为每个要运行的网站提供单独的nginx服务器或者单独运行一组nginx进程。虚拟主机提供了在同一台服务器上，同一组nginx进程上运行多个网站的功能

下面就是一个简单的虚机主机配置

http
{
    server
    {
        listen 80;
        server_name    nick219.com;
        access_log     logs/nick219_access.log main;
        location / {
            index index.html;
            root /home/nick/www/nick219;
        }
    }
}

跟apache一样，nginx也可以配置多种类型的虚拟主机：

• 基于IP的虚拟主机 这个因为要使用多IP IP是珍贵资源，所以基本不用。
• 基于域名的虚拟主机 通过域名来区分应用，多用于直接对外的
• 基于端口的虚拟主机 通过端口来区分应用，一般前面还有一层代理

直接用例子比较好理解，具体如下

基于IP的虚拟主机(基本不用)

server
{
    listen 192.168.20.20:80;
    server_name www.nick219.com;
    root /data/www;
}

server
{
    listen 192.168.20.21:80;
    server_name www.nick219.com;
    root /data/bbs;
}

基于域名的虚机主机

server {
  listen 80;
  server_name www.nick219.com;
  index index.html;
  root /data/www;
}

server {
  listen 80;
  server_name bbs.nick219.com;
  index index.html;
  root /data/bbs;
}

基于端口的虚拟主机

server
{ 
    listen 8000;
    server_name www.nick219.com;
    root /data/www;
}

server
{
    listen 8001;
    server_name www.nick219.com;
    root /data/bbs;
}

4、日志

nginx中日志相关的指令主要有两条

• log_format 用来设置日志格式
• access_log 用来指定日志存放路径、格式、魂村大小

两条指令在nginx中的位置可以在http{......}之间，也可以在虚机主机之间

log_format

格式如下

log_format name format [format...]

其中 name 表示定义格式的名称，format表示定义格式的样式。log_format有一个默认的、无须设置的combined(组合)日志格式设置，具体如下

log_format combined '$remote_addr - $remote_user [$time_local] '
                '"$request" $status $body_bytes_sent '
                '"$http_referer" "$http_user_agent"';

你也可以自定义一份日志的记录格式，不过要注意，name参数是不能重复的。

如果你前面使用了负载均衡设备，就不能获取到真实的IP了，原因是经过反向代理后，由于客户端和web服务器之间增加了中间层，因此web服务器无法直接拿到客户端的IP，通过$remote_addr变量拿到的将是代理服务器的IP地址，但是反向代理服务器请求的HTTP头信息中，可以增加X-Forwarded-For信息，用以记录原有的客户端IP地址和原有客户端请求的服务器地址，这是候就需要用log_format设置日志格式，让日志记录X-Forwarded-For信息中的IP地址，即客户真实IP。

如下面realserver日志格式：

log_format main ‘$http_x_forwarded_for – $remote_user [$time_local] 
“$request” ‘‘$status $body_bytes_sent “$http_referer” ‘
‘”$http_user_agent” $http_x_forwarded_for’;

反向代理配置

proxy_set_header X-Real-IP $remote_addr;

realserver端的nginx需要加上realIp的模块，这个模块是内置的，编译的时候加上如下参数即可

–with-http_realip_module

完整实施方法参考我的另一篇博客RealServer日志打印真实ip

access_log

格式如下

access_log path [format [buffer=size | off ]]

其中path表示存放日志的路径，format表示使用的log_format指令设置的日志格式名称，buffer=size 表示设置内存缓冲区的大小，例如可以设置

access_log /var/log/nick219_accesslog main buffer=32k;

如果不想记录日志

access_log off;

如果使用默认的日志格式记录

access_log /var/log/nick219_access.log;

或者

access_log /var/log/nick219_access.log combined;

当然生产环境中一般都是需要自定义的，可以参考我记录真实IP的那个格式。

现在nginx的日志路径可以包含变量如：

access_log /var/log/$server_name.log main 32;

假设server_name 指令设置的虚拟主机名称为nick219.com,那么access_log就会记录在

/var/log/nick219.com.log

中

如果日志路径中包含变量，将存在以下限制

1. nginx设置的用户组和用户必须对该路径有创建文件的权限
2. 缓冲将不被使用
3. 对于每一条日志记录，都将先打开文件再写入记录，然后马上关闭，所以为了日志路径包含变量的日志性能，须要使用 open_log_file_cache 指令设置经常被使用的日志文件描述符缓存

默认是禁止使用的，等同于

open_log_file_cache off;

参数说明

• max 缓存中的最大文件描述符
• inactive 设置一个时间，如果在设置的时间内没有使用文件描述符，则自动删除该文件描述符，可选参数 默认为10s
• min_users 在参数inactive指定的时间范围内，如果日志文件超过被使用的次数，则将该日志文件的描述符记入缓存，默认为1
• vaild 设置多长时间检查一次，看看变量指定的日志路径和文件是否存在，默认为60s

一个例子：

open_log_file_cache max=1000 inactive=20s min_users=2 valid=1m;

5、日志文件的切割

生产环境中日志往往非常大，所以需要定期切割日志以方便查看，在这里我们推荐使用logrotate

具体的使用方式可以参考我的另一篇博客logrotate简明教程

6、压缩输出配置

gzip(GNU-ZIP)是一种压缩技术，经过gzip压缩过的页面大小可以变成原来的30%甚至更小，这样用户浏览页面的速度会快很多。gzip的压缩需要服务器和浏览器双方都支持，实际上就是服务端压缩，传到浏览器后解压并解析。浏览器哪里不需要我们担心，基本所有的浏览器都支持解析结果gzip压缩过的页面。

nginx 压缩由一组指令组成 gzip的配置位于 http{...}之间：

gzip on;                     #开启gzip压缩输出
gzip_min_length 1k;          #最小压缩文件大小
gzip_buffers 4 16k;          #压缩缓冲区
gzip_http_version 1.0;       #压缩版本（默认1.1，前端如果是squid2.5请使用1.0）
gzip_comp_level 2;           #压缩等级
gzip_types text/plain application/x-javascript text/css application/xml;
                             #压缩类型，默认就已经包含text/html，所以下面就不用再写了，写上去也不会有问题，但是会有一个warn。
gzip_vary on;
#limit_zone crawler $binary_remote_addr 10m; #开启限制IP连接数的时候需要使用

7、自动列目录配置

我们经常看到一些开源软件的下载页面是能够自动列目录的，nginx也有这个功能，但是默认没有开启，想要开启的话，需要如下配置

location / {
    autoindex on;
}

另外还有两个相关指令

• autoindex_exact_size [ on|off ] 设定索引文件时的单位（B、KB、MB、GB）
• autoindex_localtime [ on|off ] 开启本地时间显示文件时间功能，默认为关

完整的如下

 autoindex  on;                        #开启文件目录索引
 autoindex_exact_size  off;            #改为off后，显示出文件的大概大小，单位是kB或者MB或者GB
 autoindex_localtime on;               #显示的文件时间为文件的服务器时间

8、浏览器本地缓存

浏览器本地缓存是为了加速浏览，浏览器在用户磁盘上对最近请求过的文档进行存储，当访问者再次请求这个页面时，浏览器可以从本地磁盘提取文件，这样就可以加速页面的阅览，缓存的方式节约了网络资源，提高了网络的效率。

浏览器缓存可以通过 expires 指令输入Header头来实现，expires指令的语法如下

expires [ time|epoch|max|off ]
默认：off
作用域： http,server,location
用途：使用本指令可以控制HTTP应答中的 "Expires" 和 "Cache-Control" 的Header头信息（起到控制页面缓存的作用）

可以在time值中使用正数或者负数，"Expires" 头标的值将通过当前系统时间加上你设定的time值来获得
epoch 指定 Expires 的值为 “Thu, 01 Jan 1970 00:00:01 GMT”
max 指定 Expires 的值为  “Thu, 31 Dec 2037 23:55:55 GMT”  
Cache-Control 头标的值由你设定的之间来决定
负数：Cache-Control:no-cache
正数或零:Cache-Control:max-age=#,# 为你指定时间的秒数
"off" 表示不修改“Expires”和"Cache-Control"的值

假设一个HTML页面中会引用一些JavaScript文件、图片文件，而这些格式很少会被修改，则可以通过expires来设置浏览器缓存

如下

#图片缓存30天
location ~ .*.(git|jpg|jpeg|png|bmp|swf)$
{
    expires 30d;
}

#js和css文件缓存一个小时
location ~ .*.(js|css)$
{
    expires 1h;
}

---

nginx的基本配置到此结束