• 03.Nginx常用基础模块


    1.Nginx目录索引

    ngx_http_autoindex_module模块处理以斜杠字符('/')结尾的请求,并生成目录列表。
    当ngx_http_index_module模块找不到索引文件时,通常会将请求传递给模块。

    1.指令

    #启用或禁用目录列表输出,on开启,off关闭。
    Syntax: autoindex on | off;
    Default:    autoindex off;
    Context:    http, server, location
    
    #指定是否应在目录列表中输出确切的文件大小,on显示字节,off显示大概单位。
    Syntax: autoindex_exact_size on | off;
    Default: autoindex_exact_size on;
    Context:    http, server, location
    
    #指定目录列表中的时间是应以本地时区还是UTC输出。on本地时区,off UTC时间。
    Syntax: autoindex_localtime on | off;
    Default: autoindex_localtime off;
    Context: http, server, location
    

    2.示例配置

    [root@web ~]# cat /etc/nginx/conf.d/module.conf 
    server {
        listen 80;
        server_name module.bgx.com;
        charset utf-8,gbk;  #设定字符集,防止中文字符乱码显示。
        
        location /download {
            root /code/;
            autoindex on;
            autoindex_exact_size off;
        }
    }
    

    2.Nginx状态监控

    ngx_http_stub_status_module模块提供对基本状态信息的访问。
    默认情况下不构建此模块,应使用--with-http_stub_status_module 配置参数启用它 。

    1.指令

    Syntax: stub_status;
    Default: —
    Context: server, location
    

    2.示例配置

    [root@web ~]# cat /etc/nginx/conf.d/module.conf
    server {
        listen 80;
        server_name module.bgx.com;
        access_log off;
        
        location /nginx_status {
            stub_status;
        }
    }
    

    3.此配置创建一个简单的网页,其基本状态数据可能如下所示:

    4.提供以下状态信息

    Active connections  # 当前活动客户端连接数,包括Waiting等待连接数。
    accepts             # 已接受总的TCP连接数。
    handled             # 已处理总的TCP连接数。
    requests            # 客户端总的http请求数。
    
    Reading             # 当前nginx读取请求头的连接数。
    Writing             # 当前nginx将响应写回客户端的连接数。
    Waiting             # 当前等待请求的空闲客户端连接数。
    
    # 注意, 一次TCP的连接,可以发起多次http的请求, 如下参数可配置进行验证
    keepalive_timeout  0;   # 类似于关闭长连接
    keepalive_timeout  65;  # 65s没有活动则断开连接
    

    3.Nginx访问控制

    ngx_http_access_module模块允许限制对某些客户端地址的访问。

    1.指令

    #允许配置语法
    Syntax: allow address | CIDR | unix: | all;
    Default:    —
    Context:    http, server, location, limit_except
    
    #拒绝配置语法
    Syntax: deny address | CIDR | unix: | all;
    Default:    —
    Context:    http, server, location, limit_except
    

    2.示例配置,拒绝指定的IP访问该网站的/nginx_status, 其他IP全部允许访问

    location /nginx_status {

    stub_status;

    #deny 192.168.5.4/32; #拒绝某个ip访问其他的都可以访问

    #allow all;

     

    allow 127.0.0.1; #监控nginx状态时,仅允许该服务器的回环地址访问

    deny all;

    }

    3.示例配置,只允许指定的来源IP能访问/nginx_status, 其它网段全部拒绝

    [root@web ~]# cat /etc/nginx/conf.d/module.conf
    server {
        listen 80;
        server_name module.bgx.com;
            
        location /nginx_status {
            stub_status;
            allow 127.0.0.1;  #监控nginx状态时使用
            allow 10.0.0.1/32;  #允许地址或地址段
            deny all;              #拒绝所有人
        }
    }
    

    注意:deny和allow的顺序是有影响的
    默认情况下,从第一条规则进行匹配
    如果匹配成功,则不继续匹配下面的内容。
    如果匹配不成功,则继续往下寻找能匹配成功的内容。

    4.Nginx资源限制

    ngx_http_auth_basic_module模块允许使用HTTP基本身份验证,验证用户名和密码来限制对资源的访问。

    1.指令

    #使用HTTP基本身份验证协议启用用户名和密码验证。
    Syntax: auth_basic string| off;
    Default: auth_basic off;
    Context: http, server, location, limit_except
    
    #指定保存用户名和密码的文件
    Syntax: auth_basic_user_file file;
    Default: -
    Context: http, server, location, limit_except
    

    2.指定保存用户名和密码的文件,格式如下:

    #可以使用htpasswd程序或"openssl passwd"命令生成对应的密码;
    name1:passwd1
    name2:passwd2
    
    #使用htpaaswd创建新的密码文件, -c创建新文件 -b允许命令行输入密码
    [root@xuliangwei ~]# yum install httpd-tools
    [root@xuliangwei ~]# htpasswd -b -c /etc/nginx/auth_conf xuliangwei 123456
    

    3.示例配置,基于用户名和密码认证实践

    1.生成一个密码文件,密码文件的格式name:password(加密)(建议使用htpassword)

    yum install httpd-tools -y 

     [root@db01 ~]# htpasswd -c -b /etc/nginx/auth_conf yin 123

     [root@db01 ~]# cat /etc/nginx/auth_conf

     yin:$apr1$H72OaMDg$z87.5/OEEkJ8XEmYWaQmm1

     

     

    2.配置nginx 限制某个限制

    4.Nginx访问限制

    经常会遇到这种情况,服务器流量异常,负载过大等等。对于大流量恶意的攻击访问,会带来带宽的浪费,服务器压力,从而影响业务,针对这种情况我们可以考虑对同一个ip的连接数,请求数、进行限制。

    ngx_http_limit_conn_module模块用于限制定义key的连接数,特别是来自单个IP地址的连接数。
    但并非所有连接都被计算在内,仅当连接已经读取了整个请求头时才计算连接。

    1.指令

    Syntax:  limit_conn_zone key zone=name:size;
    Default: —
    Context: http
    
    Syntax: limit_conn zone number;
    Default: —
    Context: http, server, location
    

    2.设置共享内存区域和给定键值的最大允许连接数。超过此限制时,服务器将返回错误以回复请求

    # http标签段定义连接限制
    http{
        limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
    }
    server {
        # 同一时刻只允许一个客户端连接
        limit_conn conn_zone 1; 
    
        location / {
            root /code;
            index index.html;
        }

    3).使用ab工具进行压力测试

    [root@xuliangwei ~]# yum install -y httpd-tools
    [root@xuliangwei ~]# ab -n 20 -c 2  http://127.0.0.1/index.html
    

    4).nginx日志结果

    2018/10/24 18:04:49 [error] 28656#28656: *1148 limiting connections by zone "conn_zone", client: 123.66.146.123, server: www.xuliangwei.com, request: "GET / HTTP/1.0", host: "www.xuliangwei.com"
    2018/10/24 18:04:49 [error] 28656#28656: *1155 limiting connections by zone "conn_zone", client: 123.66.146.123, server: www.xuliangwei.com, request: "GET / HTTP/1.0", host: "www.xuliangwei.com"
    

    ngx_http_limit_req_module模块用于限制定义key请求的处理速率,特别单一的IP地址的请求的处理速率。

    1.指令

    #模块名ngx_http_limit_req_module
    Syntax:  limit_req_zone key zone=name:size rate=rate;
    Default: —
    Context: http
    
    Syntax: limit_conn zone number [burst=number] [nodelay];
    Default: —
    Context: http, server, location
    

    2.设置共享内存区域和请求的最大突发大小。过多的请求被延迟,直到它们的数量超过最大的限制,在这种情况下请求以错误终止。

    # http标签段定义请求限制, rate限制速率,限制一秒钟最多一个IP请求
    http {
        limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
    }
    server {
        listen 80;
        server_name module.bgx.com;
        # 1r/s只接收一个请求,其余请求拒绝处理并返回错误码给客户端
        #limit_req zone=req_zone;
        
        # 请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量, 多余的请求返回503
        limit_req zone=req_zone burst=3 nodelay;
        location / {
            root /code;
            index index.html;
        }
    }
    

    3).使用ab工具进行压力测试

    [root@xuliangwei ~]# yum install -y httpd-tools
    [root@xuliangwei ~]# ab -n 500 -c 2  http://127.0.0.1/index.html
    

    4).nginx日志结果

    2018/10/24 07:38:53 [error] 81020#0: *8 limiting requests, excess: 3.998 by zone "req_zone", client: 10.0.0.10, server: module.bgx.com, request: "GET /index.html HTTP/1.0", host: "10.0.0.10"
    2018/10/24 07:38:53 [error] 81020#0: *9 limiting requests, excess: 3.998 by zone "req_zone", client: 10.0.0.10, server: module.bgx.com, request: "GET /index.html HTTP/1.0", host: "10.0.0.10"
    

    Nginx连接限制没有请求限制有效?

    我们先来回顾一下http协议的连接与请求,首先HTTP是建立在TCP基础之上, 在完成HTTP请求需要先建立TCP三次握手(称为TCP连接),在连接的基础上在完成HTTP的请求。

    所以多个HTTP请求可以建立在一次TCP连接之上, 那么我们对请求的精度限制,当然比对一个连接的限制会更加的有效,因为同一时刻只允许一个TCP连接进入, 但是同一时刻多个HTTP请求可以通过一个TCP连接进入。所以针对HTTP的请求限制才是比较优的解决方案。

    6.Nginx Location

    使用Nginx Location可以控制访问网站的路径, 但一个server允许出现多个location配置, 那多个location出现冲突谁的优先级会更高呢

    1.Location语法示例

    location [=|^~|~|~*|!~|!~*|/] /uri/ { ...
    }
    

    2.Location语法优先级排列

    匹配符匹配规则优先级
    = 精确匹配 1
    ^~ 以某个字符串开头 2
    ~ 区分大小写的正则匹配 3
    ~* 不区分大小写的正则匹配 4
    !~ 区分大小写不匹配的正则 5
    !~* 不区分大小写不匹配的正则 6
    / 通用匹配,任何请求都会匹配到 7

    3.配置网站验证Location优先级

    [root@Nginx conf.d]# cat testserver.conf 
    server {
        listen 80;
        server_name module.oldboy.com;
        location / {
            default_type text/html;
            return 200 "location /";
        }
    
        location =/ {
            default_type text/html;
            return 200 "location =/";
        }
    
        location ~ / {
            default_type text/html;
            return 200 "location ~/";
        }
    
        # location ^~ / {
        #   default_type text/html;
        #   return 200 "location ^~";
        # }
    }
    

    4.测试Location优先级

    # 优先级最高符号=
    [root@Nginx conf.d]# curl module.oldboy.com
    location =/
    
    # 注释掉精确匹配=, 重启Nginx
    [root@Nginx ~]# curl module.oldboy.com
    location ~/
    
    # 注释掉~, 重启Nginx
    [root@Nginx ~]# curl module.oldboy.com
    location /
    

    5.Locaiton规则配置应用场景

    # 通用匹配,任何请求都会匹配到
    location / {
        ...
    }
    
    # 严格区分大小写,匹配以.php结尾的都走这个location    
    location ~ .php$ {
        ...
    }
    
    # 严格区分大小写,匹配以.jsp结尾的都走这个location 
    location ~ .jsp$ {
        ...
    }
    
    # 不区分大小写匹配,只要用户访问.jpg,gif,png,js,css 都走这条location
    location ~* .*.(jpg|gif|png|js|css)$ {
        ...
    }
    
    # 不区分大小写匹配
    location ~* ".(sql|bak|tgz|tar.gz|.git)$" {
        ...
    }
    

     

  • 相关阅读:
    案例53-crm练习修改客户功能实现
    测开之路一百二十五:flask之urlencode参数传递和解析
    测开之路一百二十四:flask之MVC响应过程
    测开之路一百二十三:快速搭建python虚拟环境
    测开之路一百二十二:高级组件之警告框
    测开之路一百二十一:常用组件之助手类
    测开之路一百一二十:常用组件之进度条
    测开之路一百一十九:常用组件之标签和徽章
    测开之路一百一十八:常用组件之面包屑导航和分页导航
    测开之路一百一十七:常用组件之导航栏
  • 原文地址:https://www.cnblogs.com/sseban/p/11536619.html
Copyright © 2020-2023  润新知