• CENTOS7 源码安装NGINX


    一 什么是nginx

    Nginx是一款轻量级Web 服务器,反向代理服务器及电子邮件(IMAP/POP3)代理服务器,其特点是占有内存少,并发能力强,能够支持高达 50,000 个并发连接数的响应。事实上nginx的并发能力确实在同类型的网页服务器中表现较好,使用nginx网站用户有:百度、京东新浪网易腾讯淘宝

    二 环境准备

    1 准备一台干净的centos7服务器,或者虚拟机或者购买的VPS。Nginx是C开发的,建议在 Linux上运行,当然,也可以安装Windows 版本。

    2 安装依赖,安装需要gcc环境,所以需要安装gcc;zlib是用来对http包的内容进行gzip压缩的;openssl则是支持https的SSL协议;pcre库是用来匹配正则的,rewrite规则需要它

    3.下载最新稳定版的nginx,目前稳定版是1.14.2。官网下载地址:http://nginx.org/en/download.html,下载后将安装包上传到CentOS中。

    当然也可以使用wget命令直接下载到CentOS系统中:

    wget -c http://nginx.org/download/nginx-1.14.2.tar.gz

    groupadd www

    useradd -s /sbin/nologin -g www www

    4 编译安装

    进入下载的安装包目录,解压nginx,进入nginx解压后的目录,配置安装参数:

    tar -zxvf nginx -1.14.2.tar.gz

    cd nginx -1.14.2

    ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module  --with-http_sub_module

    http_stub_status_module 作用:监控nginx运行状态

    http_sub_module  作用:用于替换字符串

    http_ssl_module 作用:支持https访问

    http_gzip_static_module 作用:实现静态压缩功能,节约带宽

    进行编译安装

    make && make install

    5 管理nginx

    编辑nginx 启动脚本

    # chkconfig: 2345 99 20
    #description: nginx-server
    nginx=/usr/local/nginx/sbin/nginx
    case $1 in
     
            start)
                  netstat -anptu | grep nginx
                  if [ $? -eq 0 ]
                     then
                        echo "nginx-server is already running"
                      else
                         echo "nginx-server begin start"
                        $nginx
                     fi
             ;;
     
            stop)
     
                    $nginx -s stop
                     if [ $? -eq 0 ]
                     then
                        echo "nginx-server is stoped"
                     else
                        echo "nginx-server stop fail,try again"
                     fi
    ;;
     
            status)
                 netstat -anlpt | grep nginx
                     if [ $? -eq 0 ]
                     then
                        echo "nginx-server is running"
                     else
                        echo "nginx-server is stoped"
    fi
     
    ;;
     
            restart)
                     $nginx -s reload
                     if [ $? -eq 0 ]
                     then
                         echo "nginx-server is begin restart"
                     else
                         echo "nginx-server restart fail"
                     fi
    ;;
     
     
             *)
             echo "please enter {start restart status stop}"
    ;;<br>esac
    

      

     

     vi /etc/init.d/nginx
     chkconfig --add nginx  将nginx 添加为系统服务
     chkconfig --list|grep nginx
     chmod  +x /etc/init.d/nginx

    .停止和重新载入nginx配置。

    /usr/local/nginx/sbin/nginx –s stop # 停止

    /usr/local/nginx/sbin/nginx -s reload # 重载nginx使配置生效

    测试配置文件是否正常。

    /usr/local/nginx/sbin/nginx –t

    二 nginx优化

    1 关于系统连接数的优化

    linux 默认值 open files 和 max user processes 为 1024

    说明 server 只允许同时打开 1024 个文件,处理 1024 个用户进程

    #ulimit -n

    1024

    使用ulimit -a 可以查看当前系统的所有限制值,使用ulimit -n 可以查看当前的最大打开文件数。

    新装的linux 默认只有1024 ,当作负载较大的服务器时,很容易遇到error: too many open files 。因此,需要将其改大。

    解决方法:

    使用 ulimit Cn 65535 可即时修改,但重启后就无效了。(注ulimit -SHn 65535 等效 ulimit -n 65535 ,-S 指soft ,-H 指hard)

    有如下三种修改方式:

    1. 在/etc/rc.local 中增加一行 ulimit -SHn 65535
    2. 在/etc/profile 中增加一行 ulimit -SHn 65535
    3. 在/etc/security/limits.conf 最后增加:

    * soft nofile 65535
    * hard nofile 65535
    * soft nproc 65535
    * hard nproc 65535

    具体使用哪种,在 CentOS 中使用第1 种方式无效果,使用第3 种方式有效果

    备注:ulimit 命令本身就有分软硬设置,加-H 就是硬,加-S 就是软默认显示的是软限制

    soft 限制指的是当前系统生效的设置值。 hard 限制值可以被普通用户降低。但是不能增加。

    soft 限制不能设置的比 hard 限制更高。 只有 root 用户才能够增加 hard 限制值。

    2 全局配置优化:

    nginx初始初始进程数量

     worker_processes  8;

    单进程处理最大请求连接数

     worker_connections  65535;

    绑定CPU

    四核cpu配置

    worker_processes    4; #工作进程数量

    worker_cpu_affinity 0001 0010 0100 1000; #开启多核

    IO模型

           events {

            worker_connections  65535; #每个工作进程允许的最大连接数

            use epoll; #使用高性能的 epoll 事件驱动,处理效率高

      #什么是epoll 名词解释 http://www.mamicode.com/info-detail-2283798.html

    }

    http模块优化:

    长连接超时时长

    keepalive_timeout  65;

    压缩

    gzip  on;

    静态数据缓存过期时长

    允许客户端缓存所有图片数据360天

    location ~ .(jpg|gif|png|jpeg)$ {

             expires 360d;

    }

    关于安全:

    修改nginx运行的用户

     user  www

    隐藏版本号

    再http模块中添加

    server_tokens  off;

    拒绝访问敏感目录

    拒绝访问 admin和config目录

    location ~ ^/(admin|config)/ {

            deny all;

    }

    三 Nginx 的工作原理

    Nginx为什么高效?一文搞明白Nginx核心原理

    Nginx 服务器,正常运行过程中:

    • 多进程:一个 Master 进程、多个 Worker 进程
    • Master 进程:管理 Worker 进程
    • 对外接口:接收外部的操作(信号)
    • 对内转发:根据外部的操作的不同,通过信号管理 Worker
    • 监控:监控 worker 进程的运行状态,worker 进程异常终止后,自动重启 worker 进程
    • Worker 进程:所有 Worker 进程都是平等的
    • 实际处理:网络请求,由 Worker 进程处理;
    • Worker 进程数量:在 nginx.conf 中配置,一般设置为核心数,充分利用 CPU 资源,同时,避免进程数量过多,避免进程竞争 CPU 资源,增加上下文切换的损耗。

    HTTP 连接建立和请求处理过程:

    1. Nginx 启动时,Master 进程,加载配置文件
    2. Master 进程,初始化监听的 socket
    3. Master 进程,fork 出多个 Worker 进程
    4. Worker 进程,竞争新的连接,获胜方通过三次握手,建立 Socket 连接,并处理请求

    Nginx 高性能、高并发:

    1. Nginx 采用:多进程 + 异步非阻塞方式(IO 多路复用 epoll)
    2. 请求的完整过程:
      1.   建立连接
      2.   读取请求:解析请求
      3.   处理请求
      4.   响应请求
    3. 请求的完整过程,对应到底层,就是:读写 socket 事件
       
      四  匹配模式及顺序

    location = /uri    =开头表示精确匹配,只有完全匹配上才能生效。
    location ^~ /uri   ^~ 开头对URL路径进行前缀匹配,并且在正则之前。
    location ~ pattern  ~开头表示区分大小写的正则匹配。
    location ~* pattern  ~*开头表示不区分大小写的正则匹配。
    location /uri     不带任何修饰符,也表示前缀匹配,但是在正则匹配之后。
    location /      通用匹配,任何未匹配到其它location的请求都会匹配到,相当于switch中的default。

    匹配的顺序是先匹配普通字符串,然后再匹配正则表达式。另外普通字符串匹配顺序是根据配置中字符长度从长到短,也就是说使用普通字符串配置的location顺序是无关紧要的,反正最后nginx会根据配置的长短来进行匹配,但是需要注意的是正则表达式按照配置文件里的顺序测试。找到第一个比配的正则表达式将停止搜索。

    location ^~ /admin {
                deny all;
        }
         
        location = /50x.html {
            #root   html;
                return 600;
        }
        location  ~ /helloword {
                return 601;
        }
        location ~* /Helloword {
                return 602;
        }
    

      

    五: nginx 防DDos配置防御

    DDOS是一个系统工程,攻击花样多,防御的成本高瓶颈多,防御起来即被动又无奈。DDOS的特点是分布式,针对带宽和服务攻击,也就是四层流量攻击和七层应用攻击,相应的防御瓶颈四层在带宽,七层的多在架构的吞吐量。对于七层的应用攻击,我们还是可以做一些配置来防御的,例如前端是Nginx,主要使用nginx的http_limit_conn和http_limit_req模块来防御。ngx_http_limit_conn_module 可以限制单个IP的连接数,ngx_http_limit_req_module 可以限制单个IP每秒请求数,通过限制连接数和请求数能相对有效的防御CC攻击。

    下面是配置方法:

    一. 限制每秒请求数
    ngx_http_limit_req_module模块通过漏桶原理来限制单位时间内的请求数,一旦单位时间内请求数超过限制,就会报错误。配置需要在两个地方设置:
    nginx.conf的http段内定义触发条件,可以有多个条件
    在location内定义达到触发条件时nginx所要执行的动作
    http {
        limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; //触发条件,所有访问ip 限制每秒10个请求
        …
        server {
            …
            location  ~ .php$ {
                limit_req zone=one burst=5 nodelay;   //执行的动作,通过zone名字对应
                   }
               }
         }
    

      

    参数说明:
    $binary_remote_addr  二进制远程地址
    zone=one:10m    定义zone名字叫one,并为这个zone分配10M内存,用来存储会话(二进制远程地址),1m内存可以保存16000会话
    rate=10r/s;     限制频率为每秒10个请求
    burst=5         允许超过频率限制的请求数不多于5个,假设1、2、3、4秒请求为每秒9个,那么第5秒内请求15个是允许的,反之,如果第一秒内请求15个,会将5个请求放到第二秒,第二秒内超过10的请求直接503,类似多秒内平均速率限制。

    nodelay         超过的请求不被延迟处理

    二.限制IP连接数

    http {
        limit_conn_zone $binary_remote_addr zone=addr:10m; //触发条件
        …
        server {
            …
            location /download/ {
                limit_conn addr 1;    // 限制同一时间内1个连接,超出的连接返回503
                    }
               }
         }
    

      

    使用ab命令进行测试

    yum -y install httpd-tools

     测试:ab -n 请求数 -c 并发数 http://10.11.15.174/i.php

  • 相关阅读:
    数组按行访问和按列访问的区别
    解决github中图片无法显示问题的策略
    C#验证帮助类(手机号、身份证等)
    WPF圆角按钮样式
    弗洛伊德的本我、自我与超我概念
    KEPServerEX OPCUA服务器地址配置
    C#List的一些操作
    梦、清醒梦、梦魇
    类说明head部格式
    阅读笔记20222
  • 原文地址:https://www.cnblogs.com/liushuqing/p/11646651.html
Copyright © 2020-2023  润新知