• web服务器-nginx


    一、nginx之前

    同步与异步:

    同步与异步的重点在消息通知的方式上,也就是调用结果的通知方式不同。

    同步:当一个同步调用发出去后,调用者要一直等待调用的结果通知后,才能进行后续的操作。

    异步:当一个异步调用发出去后,调用者不必一直等待调用结果的返回,异步调用,要想获得结果,一般有两种方式:

    1. 主动轮询异步调用的结果;

    2. 被调用方通过 callback (回调通知)来通知调用方调用结果。

    实例解释:

    同步取快递:小明收到快递将送达的短信,在楼下一直等到快递送达。

    异步取快递:小明收到快递将送达的短信,快递到楼下后,小明再下楼去取。

    异步取快递:小明知道快递到达楼下有两种方式:

    1. 不停的打电话询问快递到了没有,即主动轮询;

    2. 快递到楼下后,电话通知小明,然后小明下楼取快递,即回调通知。

    阻塞与非阻塞:

    阻塞与非阻塞的重点在于进程/线程等待消息时候的行为,也就是等待消息的时候,当前进程/线程是挂起状态,还是非挂起状态。

    阻塞:调用发出去后,在消息返回之前,当前进程/线程会被挂起,直到消息返回,当前进程/线程才会被激活。

    非阻塞:调用在发出去后,不会阻塞当前进程/线程,而会立即返回。

    实例解释:

    阻塞取快递:小明收到快递将送达的消息后,什么事都不做,一直专门等快递。

    非阻塞取快递:小明收到快递即将送达的消息后,等快递的时候,还一边敲代码,一边聊微信。

    同步与异步,重点在于消息通知的方式;阻塞与非阻塞,重点在于等消息时候的行为。

    故,有了以下4中组合方式:

    同步阻塞:小明收到消息后,什么都不做,等快递;

    同步非阻塞:小明收到消息后,边刷微博,边等快递;

    异步阻塞:小明收到消息后,什么都不做,一直等着快递员通知他取快递;

    异步非阻塞:小明收到消息后,边刷微博,边等着快递员通知他取快递。

    大部分程序的I/O模型都是同步阻塞的,单个进程每次只在一个文件描述符上执行I/O操作,每次I/O系统调用都会阻塞,知道数据传输完成。传统的服务器采用的就是同步阻塞的多进程模型。一个server采用一个进程负责一个request的方式,一个进程负责一个request,直到会话结束。进程数就是并发数,而操作系统支持的进程数是有限的,且进程数越多,调度的开销也越大,因此无法面对高并发。

    nginx采用了异步非阻塞的方式工作。了解一下I/O多路复用中的epoll模型。

    epoll模型:

    当连接I/O事件产生的时候,epoll就会去告诉进程哪个连接有I/O事件产生,然后进程就去处理这个事件。

    例如:小明家楼下有一个收发室,每次快递到了,门卫就先代收并做标记;然后通知小明去取送给小明的快递。

    为什么Nginx 比其他web 服务器并发高(nginx工作原理)

    nginx配置 use epoll 后,以异步非阻塞方式工作,能够轻松处理百万级的并发连接。

    处理过程:每进来一个request,会有一个worker 进程去处理。但不是全程的处理,处理到可能发生阻塞的地方。比如向后端服务器转发request,并等待请求返回。那么,这个处理的 worker 进程不会一直傻等,他会在发送请求后,注册一个事件:"如果后端服务器返回了,告诉我一声,我再接着干"。于是他就休息去了。此时,如果再有新的 request 进来,他就可以很快再按这种方式处理。而一旦后端服务器返回了,就会触发这个事件,worker 才会来接手,这个request才会接着往下走。通过这种快速处理,快速释放请求的方式,达到同样的配置可以处理更大并发量的目的。

    二、nginx详解

    1. 概述

      nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点开发的,第一个公开版本0.1.0发布于2004年10月4日。

      nginx是一款轻量级的web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下运行。特点是占用内存少,并发能力强。

    2. 工作模式

    nginx有两种工作模式:master-worker 模式和单进程模式。在master-worker 模式下,有一个master进程和至少一个worker进程,单进程模式顾名思义只有一个进程。这两种模式有各自的特点和适用场景。

    master-worker:

    该模式下,nginx启动成功后,会有一个master进程和至少一个的worker进程。master进程负责处理系统信号,加载配置,管理worker进程(启动,杀死,监控,发送信息/信号等)。worker进程负责处理具体的业务逻辑,也就是说,对外部来说,真正提供服务的是worker进程。生产环境一般使用这种模式,因为这种模式有以下优点:

    a. 稳定性高,只要还有worker 进程存活,就能够提供服务,并且一个worker进程挂掉,master进程就会立即启动一个新的worker 进程,保证worker 进程数量不变,降低服务中断的几率。

    b. 配合linux 的cpu 亲和性配置,可以充分利用多核cpu 的优势,提升性能。

    c. 处理信号/配置重新加载/升级时可以做到尽可能少或者不中断服务(热重启)

    单进程模式:

    单进程模式下,nginx启动后只有一个进程,nginx的所有工作都由这个进程负责。由于只有一个进程,因此可以很方便地利用gdb等工具进行调试。该模式不支持nginx的平滑升级功能,任何的信号处理都可能造成服务中断,并且由于是单进程,进程挂掉后,在没有外部监控的情况下,无法重启服务。故,该模式一般只在开发阶段和调试时使用,生产环境下不使用。

    3. 配置文件结构

    user    www www;
    #程序运行用户和组
    worker_processes auto;
    #启动进程,指定nginx启动的工作进程数量,建议按照cpu数目来指定,一般等于cpu核心数目
    error_log    /home/wwwlogs/nginx_error.log    crit;
    #全局错误日志
    pid    /usr/local/nginx/logs/nginx.pid;
    #主进程PID保存文件
    worker_rlimit_nofile 51200;
    #文件描述符数量
    events {
        use epoll;
        #使用epoll模型,对于2.6以上的内核,建议使用epoll模型以提高性能
        worker_connections 51200;
        #工作进程的最大连接数量
        }
    http {
        #网站优化参数
        server {                          #具体的某一网站的配置信息
            listen 80;                    #监听端口
            root html;                    #网页根目录(/usr/local/nginx/html)
            server_name www.learn.com;    #服务器域名
            index index.html;             #默认加载页面
            access_log logs/access.log;   #访问日志保存位置
            ......;
            location (.*).php$ {
                用正则匹配具体的访问对象;
            }
            location {
                跳转等规则;
            }
        }
        server {
            虚拟主机;
        }
    }

    4. nginx实验

    注:

    1. 配置文件中的结尾有 ; 作为结束。

    2. 每次修改完配置文件后需重启nginx才会生效。

    4.1 nginx的状态统计

    a. 安装nginx时将 --with-http_stub_status_module 模块开启

    b. 修改nginx配置文件(写入要访问的server 标签中)

    location /nginx_status {
        stub_status on;
        access_log off;
    }

    c. 客户端访问网址:http://ip/nginx_status

      "Active connections"表示当前的活动连接数;

      "server accepts handled requests"表示已经处理的连接信息

      三个数字依次表示已处理的连接数、成功的TCP握手次数、已处理的请求数

    4.2 目录保护

    a. 原理和apache 的目录保护原理一样(利用上一个实验接着完成)

    b. 在状态统计的location 中添加:

    auth_basic "welcome to nginx_status!";
    auth_basic_user_file /usr/local/nginx/html/htpasswd.nginx;

    c. 使用http 的命令htpasswd 进行用户密码文件的创建(生成在上面指定的位置)

    htpasswd -c /usr/local/nginx/html/htpasswd.nginx user

    d. 重启nginx 服务并再次访问统计页面

    4.3 基于IP的身份验证(访问控制)

    a. 接着上一个实验完成操作

    b. 在状态统计的location 中添加:

    allow 192.168.80.130;
    deny 192.168.80.0/24;
    仅允许 192.168.80.130 访问服务器

    4.4 nginx 的虚拟主机(基于域名)

    a. 提前准备好两个网站的域名,并且规划好两个网站网页存放目录

    b. 在nginx 主配置文件中并列编写两个 server 标签,并分别写好各自信息

        server {
            listen 80;
            server_name blog.learn.com;
            index index.html;
            root html/blog;
            access_log logs/blog-access.log main;
        }
        server {
            listen 80;
            server_name bbs.learn.com;
            index index.html;
            root html/bbs;
            access_log logs/bbs-access.log main;
        }

    c. 分别访问两个不同的域名验证结果(注意修改hosts文件)

    4.5 nginx 反向代理

    代理和反向代理

    代理:找别人代替你去完成一件你完成不了的事(代购),代理的对象是客户端。

    反向代理:替厂家卖东西的人就叫反向代理(烟酒代理),代理的对象是服务端。

    a. 在另外一台机器上安装apache,并启动填写测试页面

    b. 在nginx 服务器的配置文件中添加(写在某个网站的 server 标签中)

        server {
            listen 80;
            server_name blog.learn.com;
            index index.html;
            root html/blog;
            access_log logs/blog-access.log main;
            location / {
                proxy_pass http://192.168.80.131:80;
            }
        }

    c. 重启nginx,并使用客户端访问测试

    4.6 负载均衡

    负载均衡(Load Balance)其意思就是将任务分摊到多个操作单元上进行执行,例如web服务器、ftp服务器、企业关联应用服务器和其他关键任务服务器等,从而共同完成工作任务。

    a. 使用默认的rr 轮询算法,修改nginx 配置文件

        upstream blog {                      #此标签加在server 标签之前
            server 192.168.80.132:80;
            server 192.168.80.131:80;
        }
        server {
            listen 80;
            server_name blog.learn.com;
            index index.html;
            root html/blog;
            access_log logs/blog-access.log main;
            #修改自带的location / 标签,将原内容删除,添加以下两项
            location / {
                proxy_pass http://blog;  #添加反向代理,代理地址填写 upstream 声明的名字
                proxy_set_header Host $host; #重写请求头部,保证网站所有的页面都可以访问成功
            }
        }

    b. 开启并设置两台 80.131 & 80.132 两台主机

        安装apache 并设置不同的 index.html 页面内容

    c. 重启nginx,并使用客户端访问测试

    扩展:rr 算法实现加权轮询

    upstream blog {
        server 192.168.80.132:80 weight=1;
        server 192.168.80.131:80 weight=2;
    }

    4.7 nginx 实现 https {证书+rewrite}

    a. 安装nginx时,需要将--with-http_ssl_module 模块开启

    b. 在对应要进行加密的 server 标签中添加以下内容开启SSL

        server {
            listen 443 ssl;
            server_name bbs.learn.com;
            index index.html;
            root html/bbs;
            access_log logs/bbs-access.log main;
            #ssl on;
            ssl_certificate /usr/local/nginx/conf/certs/nginx.crt;
            ssl_certificate_key /usr/local/nginx/conf/certs/nginx.key;
            ssl_session_timeout 5m;
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            ssl_prefer_server_ciphers on;
            ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
        }

    c. 生成证书和秘钥文件

    注:实验环境中可以使用命令生成测试,生成环境中必须要在 https 证书厂商注册

    [root@centos2 /usr/local/nginx/conf/certs]# openssl genrsa -out nginx.key 1024
    [root@centos2 /usr/local/nginx/conf/certs]# openssl req -new -key nginx.key -out nginx.csr
    [root@centos2 /usr/local/nginx/conf/certs]# openssl x509 -req -days 365 -sha256 -in nginx.csr -signkey nginx.key -out nginx.crt

    d. 新增以下server 标签(利用虚拟主机+rewrite 的功能)

        server {
            listen 80;
            server_name bbs.learn.com;
            rewrite ^(.*)$ https://bbs.learn.com permanent;
            root html/bbs;
            index index.html index.htm;
        }

    e. 重启nginx,测试。

  • 相关阅读:
    Helm3 安装 ElasticSearch & Kibana 7.x 版本
    tomcat内存溢出
    MySQL数据库连接重试功能和连接超时功能的DB连接Python实现
    tomcat的catalina.out日志按自定义时间格式进行分割
    使用调度器apscheduler实现py文件不停连接MySQL数据库
    Kubernetes 中部署 NFSSubdirExternalProvisioner 为 NFS 提供动态分配卷
    安装MySQL8 工具集
    安装 Helm3 管理 Kubernetes 应用
    tcmalloc 动态库替换(CentOS 操作系统)
    讲讲 tcp_tw_recycle,tcp_tw_reuse
  • 原文地址:https://www.cnblogs.com/sswind/p/12050197.html
Copyright © 2020-2023  润新知