一.nginx的入门学习
1.1.概念
正向代理:知道目标服务器地址,但是要借助代理来转发
反向代理:用户只知道nginx的暴露的网址,不知道nginx背后的服务器地址(例如tomcat),也不能直接访问
负债均衡:可以扩展服务器,减少单台服务的请求压力
动静分离:html和css,js等放在一个静态资源和 jsp servlet等分开项目
1.2安装
方式1:yum源安装(官方推荐)
步骤1 打开网址https://nginx.org/en/linux_packages.html#RHEL-CentOS
nstall the prerequisites: sudo yum install yum-utils -- 安装工具 To set up the yum repository, create the file named /etc/yum.repos.d/nginx.repo with the following contents: [nginx-stable] name=nginx stable repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=1 enabled=1 gpgkey=https://nginx.org/keys/nginx_signing.key module_hotfixes=true [nginx-mainline] name=nginx mainline repo baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/ gpgcheck=1 enabled=0 gpgkey=https://nginx.org/keys/nginx_signing.key module_hotfixes=true By default, the repository for stable nginx packages is used. If you would like to use mainline nginx packages, run the following command: sudo yum-config-manager --enable nginx-mainline To install nginx, run the following command: sudo yum install nginx 安装完成 When prompted to accept the GPG key, verify that the fingerprint matches 573B FD6B 3D8F BC64 1079 A6AB ABF5 BD82 7BD9 BF62, and if so, accept it.
步骤2,对应的路径如下
2.手动编译安装
wget 下载包XXX.tar.gz->解压 tar zxvf XXX ->下载C环境 -> 编译并安装make && make install
1.3 启动方式
1.4退出方式
kill -quit pid -- 从容的停止
kill -trem pid -- 立即停止
kill -9 pid -- 干掉主进程不会干掉其他子进程
nginx自带的退出
sbin/nginx -s quit --从容退出
sbin/nginx -s stop--强制退出
1.5 重启
sbin/nginx -s reload
重启之前可以做一个测试 sbin/nginx -t
1.6核心配置模块
main块下面的woker_process数量建议为cpu数*核数 例如 4个cpu 双核的 那就为 8
http模块下面有server,每个server就是一个虚拟主机
1.7虚拟主机配置
1.8 location的配置
1.普通匹配 只匹配前缀
2.精确匹配 全匹配
3.正则匹配
遵循最长匹配规则 /demo 和/都匹配了,就找/demo
普通规则和精准规则,以精准的为主
二.实战
2.1 反向代理
proxy_pass 反向代理服务器的路径
proxy_method 可以改变method
下面可以获取源请求的数据
2.2 负债均衡
配置
负债均衡的语法
负债均衡的策略
轮询
缺点:会话不一致
ip_hash
权重
2.3动静分离
动静分离、缓存处理、压缩处理
2.4原理分析
master:主进程,负责管理调度,类似于springmvc的dispatchServlet
worker:工作进程,真正的工作进程
reload的原理:修改nginx. conf之后发送reload命令给master->进行语法检查 通过就尝试配置->成功后就使用新的worker->新的worker会通知旧的worker把当下的任务完成后关闭了,具体如下
2.5优化配置文件
user root root; |
默认用户是nobody,如果nginx需要访问某些比如root类权限的文件,会提示403错误,修改这个可以通过root去访问 |
worker_processes 2;worker_cpu_affinity 01 10 |
nginx默认是没有开启利用多核cpu的配置的。需要通过增加worker_cpu_affinity配置参数来充分利用多核cpu,cpu是任务处理,当计算最费时的资源的时候,cpu核使用上的越多,性能就越好。解释:01表示启用第一个CPU内核,10表示启用第二个CPU内核worker_cpu_affinity 01 10;表示开启两个进程,第一个进程对应着第一个CPU内核,第二个进程对应着第二个CPU内核。 |
error_log /var/log/nginx/error.log warn; |
错误日志级别 |
worker_rlimit_nofile 20480; |
更改worker进程的最大打开文件数限制, 如果没设置的话,这个值为操作系统的限制, 所以把这个值设高,这样nginx就不会有“too many open files”问题了。设置了这个后,修改worker_connections值时,是不能超过worker_rlimit_nofile的这个值(其实核心原因就是程序打开的文件/socket链接数量超过系统设定值) |
use epoll; |
使用epoll的I/O模型,这个不用说了吧。{select/pool/kqueue/epool ; select、poll是标准工作模式、kquque、epoll是高效工作模式,epoll是用在linux系统。kqueue是用在bsd系统(unix的衍生系统) |
worker_connections 20480; |
nginx默认的并发连接数是1024,如果网站访问量过大,就需要调整这个值,值越大能够支撑的并发数也就越大。但是最终的天花板是CPU; 理论上每台nginx服务器的最大连接数为worker_processes*worker_connections |
accept_mutex off; |
当一个新连接到达时,如果激活了accept_mutex,那么多个Worker将以串行方式来处理,其中有一个Worker会被唤醒,其他的Worker继续保持休眠状态;如果没有激活accept_mutex,那么所有的Worker都会被唤醒,不过只有一个Worker能获取新连接,其它的Worker会重新进入休眠状态,这就是「惊群问题」。假设你养了一百只小鸡,现在你有一粒粮食,那么有两种喂食方法:你把这粒粮食直接扔到小鸡中间,一百只小鸡一起上来抢,最终只有一只小鸡能得手,其它九十九只小鸡只能铩羽而归。这就相当于关闭了accept_mutex。你主动抓一只小鸡过来,把这粒粮食塞到它嘴里,其它九十九只小鸡对此浑然不知,该睡觉睡觉。这就相当于激活了accept_mutex。可以看到此场景下,激活accept_mutex相对更好一些,让我们修改一下问题的场景,我不再只有一粒粮食,而是一盆粮食,怎么办?此时如果仍然采用主动抓小鸡过来塞粮食的做法就太低效了,一盆粮食不知何年何月才能喂完,大家可以设想一下几十只小鸡排队等着喂食时那种翘首以盼的情景。此时更好的方法是把这盆粮食直接撒到小鸡中间,让它们自己去抢,虽然这可能会造成一定程度的混乱,但是整体的效率无疑大大增强了。 |
include /etc/nginx/mime.types; |
这里我们使用它来加载文件扩展名与文件类型映射表。nginx根据映射关系,设置http请求响应头的Content-Type值。当在映射表找不到时,使用nginx.conf中default-type指定的默认值。 |
default_type application/octet-stream; |
指定默认类型为二进制流,也就是当文件类型未 定义时使用这种方式 |
sendfile on; |
开启高效传输模式 |
keepalive_timeout 60; |
http连接的超时时间 |
include extra/*.conf; |
通过不同配置文件进行管理 |
2.6跨域访问
同协议 同域名 同端口都相同才算同源策略
http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹 允许 http://www.a.com:8000/a.js http://www.a.com/b.js 同一域名,不同端口 不允许 http://www.a.com/a.js https://www.a.com/b.js 同一域名,不同协议 不允许 http://www.a.com/a.js http://70.32.92.74/b.js 域名和域名对应ip 不允许 http://www.a.com/a.js http://script.a.com/b.js 主域相同,子域不同 不允许 http://www.a.com/a.js http://a.com/b.js 同一域名,不同二级域名(同上) 不允许(cookie这种情况下也不允许访问) http://www.cnblogs.com/a.js http://www.a.com/b.js 不同域名 不允许
解决跨域三种方式:
jsonp
服务器配置跨域
@CrossOrigin
nginx做代理
location / { add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS'; add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization'; if ($request_method = 'OPTIONS') { return 204; } proxy_pass http://192.168.12.1:8081; }
2.7 防盗链
location ~* .*.(gif|jpg|ico|png|css|svg|js)$ { root /usr/local/nginx/static; valid_referers none blocked *.gupao.com ; if ($invalid_referer) { #rewrite ^/ http://www.youdomain.com/404.jpg; return 403; break; } access_log off; }
2.8实现高可用
keepalive+nginx实现高可用
配置文件 global_defs { notification_email { acassen@firewall.loc failover@firewall.loc sysadmin@firewall.loc } notification_email_from Alexandre.Cassen@firewall.loc smtp_server 192.168.17.129 smtp_connect_timeout 30 router_id LVS_DEVEL } vrrp_script chk_http_port { script "/usr/local/src/nginx_check.sh" interval 2 #(检测脚本执行的间隔) weight 2 } vrrp_instance VI_1 { state BACKUP # 备份服务器上将 MASTER 改为 BACKUP interface ens33 //网卡 virtual_router_id 51 # 主、备机的 virtual_router_id 必须相同 priority 90 # 主、备机取不同的优先级,主机值较大,备份机值较小 advert_int 1 authentication { auth_type PASS auth_pass 1111 } track_script { chk_http_port } virtual_ipaddress { 192.168.12.150 // VRRP H 虚拟地址 } }