web服务器-nginx

一、nginx之前

同步与异步：

同步与异步的重点在消息通知的方式上，也就是调用结果的通知方式不同。

同步：当一个同步调用发出去后，调用者要一直等待调用的结果通知后，才能进行后续的操作。

异步：当一个异步调用发出去后，调用者不必一直等待调用结果的返回，异步调用，要想获得结果，一般有两种方式：

1. 主动轮询异步调用的结果；

2. 被调用方通过 callback （回调通知）来通知调用方调用结果。

实例解释：

同步取快递：小明收到快递将送达的短信，在楼下一直等到快递送达。

异步取快递：小明收到快递将送达的短信，快递到楼下后，小明再下楼去取。

异步取快递：小明知道快递到达楼下有两种方式：

1. 不停的打电话询问快递到了没有，即主动轮询；

2. 快递到楼下后，电话通知小明，然后小明下楼取快递，即回调通知。

阻塞与非阻塞：

阻塞与非阻塞的重点在于进程/线程等待消息时候的行为，也就是等待消息的时候，当前进程/线程是挂起状态，还是非挂起状态。

阻塞：调用发出去后，在消息返回之前，当前进程/线程会被挂起，直到消息返回，当前进程/线程才会被激活。

非阻塞：调用在发出去后，不会阻塞当前进程/线程，而会立即返回。

实例解释：

阻塞取快递：小明收到快递将送达的消息后，什么事都不做，一直专门等快递。

非阻塞取快递：小明收到快递即将送达的消息后，等快递的时候，还一边敲代码，一边聊微信。

同步与异步，重点在于消息通知的方式；阻塞与非阻塞，重点在于等消息时候的行为。

故，有了以下4中组合方式：

同步阻塞：小明收到消息后，什么都不做，等快递；

同步非阻塞：小明收到消息后，边刷微博，边等快递；

异步阻塞：小明收到消息后，什么都不做，一直等着快递员通知他取快递；

异步非阻塞：小明收到消息后，边刷微博，边等着快递员通知他取快递。

大部分程序的I/O模型都是同步阻塞的，单个进程每次只在一个文件描述符上执行I/O操作，每次I/O系统调用都会阻塞，知道数据传输完成。传统的服务器采用的就是同步阻塞的多进程模型。一个server采用一个进程负责一个request的方式，一个进程负责一个request，直到会话结束。进程数就是并发数，而操作系统支持的进程数是有限的，且进程数越多，调度的开销也越大，因此无法面对高并发。

nginx采用了异步非阻塞的方式工作。了解一下I/O多路复用中的epoll模型。

epoll模型：

当连接I/O事件产生的时候，epoll就会去告诉进程哪个连接有I/O事件产生，然后进程就去处理这个事件。

例如：小明家楼下有一个收发室，每次快递到了，门卫就先代收并做标记；然后通知小明去取送给小明的快递。

为什么Nginx 比其他web 服务器并发高（nginx工作原理）

nginx配置 use epoll 后，以异步非阻塞方式工作，能够轻松处理百万级的并发连接。

处理过程：每进来一个request，会有一个worker 进程去处理。但不是全程的处理，处理到可能发生阻塞的地方。比如向后端服务器转发request，并等待请求返回。那么，这个处理的 worker 进程不会一直傻等，他会在发送请求后，注册一个事件："如果后端服务器返回了，告诉我一声，我再接着干"。于是他就休息去了。此时，如果再有新的 request 进来，他就可以很快再按这种方式处理。而一旦后端服务器返回了，就会触发这个事件，worker 才会来接手，这个request才会接着往下走。通过这种快速处理，快速释放请求的方式，达到同样的配置可以处理更大并发量的目的。

二、nginx详解

1. 概述

　　nginx（engine x）是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAP/POP3/SMTP服务。nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点开发的，第一个公开版本0.1.0发布于2004年10月4日。

　　nginx是一款轻量级的web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like 协议下运行。特点是占用内存少，并发能力强。

2. 工作模式

nginx有两种工作模式：master-worker 模式和单进程模式。在master-worker 模式下，有一个master进程和至少一个worker进程，单进程模式顾名思义只有一个进程。这两种模式有各自的特点和适用场景。

master-worker：

该模式下，nginx启动成功后，会有一个master进程和至少一个的worker进程。master进程负责处理系统信号，加载配置，管理worker进程（启动，杀死，监控，发送信息/信号等）。worker进程负责处理具体的业务逻辑，也就是说，对外部来说，真正提供服务的是worker进程。生产环境一般使用这种模式，因为这种模式有以下优点：

a. 稳定性高，只要还有worker 进程存活，就能够提供服务，并且一个worker进程挂掉，master进程就会立即启动一个新的worker 进程，保证worker 进程数量不变，降低服务中断的几率。

b. 配合linux 的cpu 亲和性配置，可以充分利用多核cpu 的优势，提升性能。

c. 处理信号/配置重新加载/升级时可以做到尽可能少或者不中断服务（热重启）

单进程模式：

单进程模式下，nginx启动后只有一个进程，nginx的所有工作都由这个进程负责。由于只有一个进程，因此可以很方便地利用gdb等工具进行调试。该模式不支持nginx的平滑升级功能，任何的信号处理都可能造成服务中断，并且由于是单进程，进程挂掉后，在没有外部监控的情况下，无法重启服务。故，该模式一般只在开发阶段和调试时使用，生产环境下不使用。

3. 配置文件结构

user    www www；
#程序运行用户和组
worker_processes auto;
#启动进程，指定nginx启动的工作进程数量，建议按照cpu数目来指定，一般等于cpu核心数目
error_log    /home/wwwlogs/nginx_error.log    crit;
#全局错误日志
pid    /usr/local/nginx/logs/nginx.pid;
#主进程PID保存文件
worker_rlimit_nofile 51200;
#文件描述符数量
events {
    use epoll;
    #使用epoll模型，对于2.6以上的内核，建议使用epoll模型以提高性能
    worker_connections 51200;
    #工作进程的最大连接数量
    }
http {
    #网站优化参数
    server {                          #具体的某一网站的配置信息
        listen 80;                    #监听端口
        root html;                    #网页根目录(/usr/local/nginx/html)
        server_name www.learn.com;    #服务器域名
        index index.html;             #默认加载页面
        access_log logs/access.log;   #访问日志保存位置
        ......;
        location (.*).php$ {
            用正则匹配具体的访问对象；
        }
        location {
            跳转等规则；
        }
    }
    server {
        虚拟主机；
    }
}

4. nginx实验

注：

1. 配置文件中的结尾有 ; 作为结束。

2. 每次修改完配置文件后需重启nginx才会生效。

4.1 nginx的状态统计

a. 安装nginx时将 --with-http_stub_status_module 模块开启

b. 修改nginx配置文件（写入要访问的server 标签中）

location /nginx_status {
    stub_status on;
    access_log off;
}

c. 客户端访问网址：http://ip/nginx_status

　　"Active connections"表示当前的活动连接数；

　　"server accepts handled requests"表示已经处理的连接信息

　　三个数字依次表示已处理的连接数、成功的TCP握手次数、已处理的请求数

4.2 目录保护

a. 原理和apache 的目录保护原理一样（利用上一个实验接着完成）

b. 在状态统计的location 中添加：

auth_basic "welcome to nginx_status!";
auth_basic_user_file /usr/local/nginx/html/htpasswd.nginx;

c. 使用http 的命令htpasswd 进行用户密码文件的创建（生成在上面指定的位置）

htpasswd -c /usr/local/nginx/html/htpasswd.nginx user

d. 重启nginx 服务并再次访问统计页面

4.3 基于IP的身份验证（访问控制）

a. 接着上一个实验完成操作

b. 在状态统计的location 中添加：

allow 192.168.80.130;
deny 192.168.80.0/24;
仅允许 192.168.80.130 访问服务器

4.4 nginx 的虚拟主机（基于域名）

a. 提前准备好两个网站的域名，并且规划好两个网站网页存放目录

b. 在nginx 主配置文件中并列编写两个 server 标签，并分别写好各自信息

    server {
        listen 80;
        server_name blog.learn.com;
        index index.html;
        root html/blog;
        access_log logs/blog-access.log main;
    }
    server {
        listen 80;
        server_name bbs.learn.com;
        index index.html;
        root html/bbs;
        access_log logs/bbs-access.log main;
    }

c. 分别访问两个不同的域名验证结果（注意修改hosts文件）

4.5 nginx 反向代理

代理和反向代理

代理：找别人代替你去完成一件你完成不了的事（代购），代理的对象是客户端。

反向代理：替厂家卖东西的人就叫反向代理（烟酒代理），代理的对象是服务端。

a. 在另外一台机器上安装apache，并启动填写测试页面

b. 在nginx 服务器的配置文件中添加（写在某个网站的 server 标签中）

    server {
        listen 80;
        server_name blog.learn.com;
        index index.html;
        root html/blog;
        access_log logs/blog-access.log main;
        location / {
            proxy_pass http://192.168.80.131:80;
        }
    }

c. 重启nginx，并使用客户端访问测试

4.6 负载均衡

负载均衡（Load Balance）其意思就是将任务分摊到多个操作单元上进行执行，例如web服务器、ftp服务器、企业关联应用服务器和其他关键任务服务器等，从而共同完成工作任务。

a. 使用默认的rr 轮询算法，修改nginx 配置文件

    upstream blog {                      #此标签加在server 标签之前
        server 192.168.80.132:80;
        server 192.168.80.131:80;
    }
    server {
        listen 80;
        server_name blog.learn.com;
        index index.html;
        root html/blog;
        access_log logs/blog-access.log main;
        #修改自带的location / 标签，将原内容删除，添加以下两项
        location / {
            proxy_pass http://blog;  #添加反向代理，代理地址填写 upstream 声明的名字
            proxy_set_header Host $host; #重写请求头部，保证网站所有的页面都可以访问成功
        }
    }

b. 开启并设置两台 80.131 & 80.132 两台主机

    安装apache 并设置不同的 index.html 页面内容

c. 重启nginx，并使用客户端访问测试

扩展：rr 算法实现加权轮询

upstream blog {
    server 192.168.80.132:80 weight=1;
    server 192.168.80.131:80 weight=2;
}

4.7 nginx 实现 https {证书+rewrite}

a. 安装nginx时，需要将--with-http_ssl_module 模块开启

b. 在对应要进行加密的 server 标签中添加以下内容开启SSL

    server {
        listen 443 ssl;
        server_name bbs.learn.com;
        index index.html;
        root html/bbs;
        access_log logs/bbs-access.log main;
        #ssl on;
        ssl_certificate /usr/local/nginx/conf/certs/nginx.crt;
        ssl_certificate_key /usr/local/nginx/conf/certs/nginx.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
    }

c. 生成证书和秘钥文件

注：实验环境中可以使用命令生成测试，生成环境中必须要在 https 证书厂商注册

[root@centos2 /usr/local/nginx/conf/certs]# openssl genrsa -out nginx.key 1024
[root@centos2 /usr/local/nginx/conf/certs]# openssl req -new -key nginx.key -out nginx.csr
[root@centos2 /usr/local/nginx/conf/certs]# openssl x509 -req -days 365 -sha256 -in nginx.csr -signkey nginx.key -out nginx.crt

d. 新增以下server 标签（利用虚拟主机+rewrite 的功能）

    server {
        listen 80;
        server_name bbs.learn.com;
        rewrite ^(.*)$ https://bbs.learn.com permanent;
        root html/bbs;
        index index.html index.htm;
    }

e. 重启nginx，测试。