你的微笑像茉莉

linux学习54-高性能WEB服务NGINX

高性能WEB服务NGINX

1. 性能影响

用户速度体验的1-3-10原则
1. 概念
  互联网存在用户速度体验的1-3-10原则，即0_{1秒最优，1}3秒较优，3~10秒比较慢，10秒以上用户无法接受。用户放弃一个产品的代价很低，只是换一个URL而已
2. 参考数据
  全球最大搜索引擎 Google：慢500ms = 20% 将放弃访问。
  全球最大的网上中文书店亚马逊：慢100ms = 1% 将放弃交易
性能对用户的行为的影响
1. 79%的用户表示不太可能再次打开一个缓慢的网站
2. 47%的用户期望网页能在2秒钟以内加载
3. 40%的用户表示如果加载时间超过三秒钟，就会放弃这个网站
4. 页面加载时间延迟一秒可能导致转换损失7%，页面浏览量减少11%
5. 8秒定律：用户访问一个网站时，如果等待网页打开的时间超过8秒，会有超过30%的用户放弃等待
I/O介绍
NGINX比Apache性能优秀，与I/O模型密切相关
1. 相关概念
  PIO：应用程序输入输出，磁盘读写数据–>经过CPU转发–>内存
  DMA：直接内存访问，cpu收到用户请求，将指令发送给DMAC（直接内存访问控制器），由DMAC执行磁盘数据读入到内存中，cpu不参与I/O过程，提高cpu利用率
2. 常见I/O
  1. 网络IO
    从网卡上接收或发送数据，在linux中一切皆文件，所以会打开一个socket文件来读取
  2. 磁盘IO
    每次read，都要经由两个阶段：
    1. 第一步：将数据从磁盘文件先加载至内核内存空间（缓冲区），等待数据准备完成，时间较长
    2. 第二步：将数据从内核缓冲区复制到用户空间的进程的内存中，时间较短

2. I/O模型

I/O模型常用概念
1. 同步/异步：关注的是消息通信机制
  1. 同步：synchronous，调用者等待被调用者返回消息，才能继续执行，调用者主动问被调用者执行结果
  2. 异步：asynchronous，被调用者通过状态、通知或回调机制主动通知调用者被调用者的运行状态
2. 阻塞/非阻塞：关注调用者在等待结果返回之前所处的状态
  1. 阻塞：blocking，指IO操作需要彻底完成后才返回到用户空间，调用结果返回之前，调用者被挂起不能执行其他操作
  2. 非阻塞：nonblocking，指IO操作被调用后立即返回给用户一个状态值，无需等到IO操作彻底完成，最终的调用结果返回之前，调用者不会被挂起
I/O模型分类
阻塞型、非阻塞型、复用型、信号驱动型、异步
1. 同步阻塞IO模型
  1. 同步阻塞IO模型是最简单的IO模型，用户线程在内核进行IO操作时被阻塞
  2. 用户线程通过系统调用read发起IO读操作，由用户空间转到内核空间。内核等到数据包到达后，然后将接收的数据拷贝到用户空间，完成read操作
  3. 用户需要等待read将数据读取到buffer后，才继续处理接收的数据。整个IO请求的过程中，用户线程是被阻塞的，这导致用户在发起IO请求时，不能做任何事情，对CPU的资源利用率不够
2. 同步非阻塞IO模型
  1. 用户线程发起IO请求时立即返回。但并未读取到任何数据，用户线程需要不断地发起IO请求，直到数据到达后，才真正读取到数据，继续执行。即 “轮询”机制，轮询只发生在磁盘I/O第一阶段，第二阶段仍然处于阻塞状态
  2. 整个IO请求的过程中，虽然用户线程每次发起IO请求后可以立即返回，但是为了等到数据，仍需要不断地轮询、重复请求，消耗了大量的CPU的资源
  3. 是比较浪费CPU的方式，一般很少直接使用这种模型，而是在其他IO模型中使用非阻塞IO这一特性
3. .I/O多路复用模型
  1. IO多路复用是指内核一旦发现进程指定的一个或者多个IO条件准备读取，就通知该进程
  2. 多个连接共用一个等待机制，本模型会阻塞进程，但是进程是阻塞在select或者poll这两个系统调用上，而不是阻塞在真正的IO操作上
  3. 用户首先将需要进行IO操作添加到select中，继续执行做其他的工作（异步），同时等待select系统调用返回。当数据到达时，IO被激活，select函数返回。用户线程正式发起read请求，读取数据并继续执行
  4. 从流程上来看，使用select函数进行IO请求和同步阻塞模型没有太大的区别，甚至还多了添加监视IO，以及调用select函数的额外操作，效率更差。并且阻塞了两次，但是第一次阻塞在select上时，select可以监控多个IO上是否已有IO操作准备就绪，即可达到在同一个线程内同时处理多个IO请求的目的。而不像阻塞IO那种，一次只能监控一个IO
  5. 虽然上述方式允许单线程内处理多个IO请求，但是每个IO请求的过程还是阻塞的（在select函数上阻塞），平均时间甚至比同步阻塞IO模型还要长。如果用户线程只是注册自己需要的IO请求，然后去做自己的事情，等到数据到来时再进行处理，则可以提高CPU的利用率
  6. IO多路复用是最常使用的IO模型，但是其异步程度还不够“彻底”，因它使用了会阻塞线程的select系统调用。因此IO多路复用只能称为异步阻塞IO模型，而非真正的异步IO
4. 信号驱动IO模型
  1. 信号驱动IO：signal-driven I/O
  2. 用户进程可以通过sigaction系统调用注册一个信号处理程序，然后主程序可以继续向下执行，当有IO操作准备就绪时，由内核通知触发一个SIGIO信号处理程序执行，然后将用户进程所需要的数据从内核空间拷贝到用户空间
  3. 此模型的优势在于等待数据报到达期间进程不被阻塞。用户主程序可以继续执行，只要等待来自信号处理函数的通知
5. 异步IO模型
  1. 异步IO与信号驱动IO最主要的区别是信号驱动IO是由内核通知何时可以进行IO操作，而异步IO则是由内核告诉用户线程IO操作何时完成。信号驱动IO当内核通知触发信号处理程序时，信号处理程序还需要阻塞在从内核空间缓冲区拷贝数据到用户空间缓冲区这个阶段，而异步IO直接是在第二个阶段完成后，内核直接通知用户线程可以进行后续操作了
  2. 相比于IO多路复用模型，异步IO并不十分常用，不少高性能并发服务程序使用IO多路复用模型+多线程任务处理的架构基本可以满足需求。目前操作系统对异步IO的支持并非特别完善，更多的是采用IO多路复用模型模拟异步IO的方式（IO事件触发时不直接通知用户线程，而是将数据读写完毕后放到用户指定的缓冲区中）
I/O模型的具体实现
1. Select
  Linux实现，对应I/O复用模型，BSD4.2最早实现，POSIX标准，一般操作系统
  1. 优点
    POSIX所规定，目前几乎在所有的平台上支持，其良好跨平台支持也是它的一个优点，本质上是通过设置或者检查存放fd标志位的数据结构来进行下一步处理
  2. 缺点
    1. 单个进程能够监视的文件描述符的数量存在最大限制，在Linux上一般为1024，可以通过修改宏定义FD_SETSIZE，再重新编译内核实现，但是这样也会造成效率的降低
    2. 单个进程可监视的fd数量被限制，默认是1024，修改此值需要重新编译内核
    3. 对socket是线性扫描，即采用轮询的方法，效率较低
    4. select 采取了内存拷贝方法来实现内核将 FD 消息通知给用户空间，这样一个用来存放大量fd的数据结构，这样会使得用户空间和内核空间在传递该结构时复制开销大
2. poll
  Linux实现，对应I/O复用模型，System V unix最早实现，本质上和select没有区别，它将用户传入的数组拷贝到内核空间，然后查询每个fd对应的设备状态
  1. 优点
    1. 其没有最大连接数的限制，原因是它是基于链表来存储的
    2. 大量的fd的数组被整体复制于用户态和内核地址空间之间，而不管这样的复制是不是有意义
    3. poll特点是“水平触发”，如果报告了fd后，没有被处理，那么下次poll时会再次报告该fd
3. epoll
  在Linux 2.6内核中提出的select和poll的增强版本，Linux特有，对应I/O复用模型，具有信号驱动I/O模型的某些特性
  支持水平触发LT和边缘触发ET，最大的特点在于边缘触发，它只告诉进程哪些fd刚刚变为就需态，并且只会通知一次
  使用“事件”的就绪通知方式，通过epoll_ctl注册fd，一旦该fd就绪，内核就会采用类似callback的回调机制来激活该fd，epoll_wait便可以收到通知
  1. 优点:
    1. 没有最大并发连接的限制：能打开的FD的上限远大于1024(1G的内存能监听约10万个端口)，具体查看/proc/sys/fs/file-max，此值和系统内存大小相关
    2. 效率提升：非轮询的方式，不会随着FD数目的增加而效率下降；只有活跃可用的FD才会调用callback函数，即epoll最大的优点就在于它只管理“活跃”的连接，而跟连接总数无关
    3. 内存拷贝，利用mmap(Memory Mapping)加速与内核空间的消息传递；即epoll使用mmap减少复制开销
4. Kqueue
  FreeBSD实现，对应I/O复用模型，具有信号驱动I/O模型某些特性
5. /dev/poll
  SUN的Solaris实现，对应I/O复用模型，具有信号驱动I/O模型的某些特性
6. Iocp
  Windows实现，对应第5种（异步I/O）模型

3. Nginx介绍

NGINX是免费，开源，高性能的HTTP和反向代理服务器，邮件代理服务器，通用TCP/UDP代理服务器

官方网站
http://nginx.org
二次开发版
Tengine
OpenResty（章亦春）
特性
1. 高并发，解决C10K问题（10K Connections）
2. 模块化设计，较好的扩展性
3. 高可靠性
4. 支持热部署：不停机更新配置文件，升级版本，更换日志文件
5. 低内存消耗：10000个keep-alive连接模式下的非活动连接，仅需2.5M内存
基本功能：
1. 静态资源的web服务器
  html，图片，js，css，txt等静态资源
2. http协议反向代理服务器
3. pop3/imap4协议反向代理服务器
4. FastCGI(LNMP),uWSGI(python)等协议
5. 模块化（非DSO），如zip，SSL模块
nginx的程序架构：master/worker结构
1. 一个master进程：
  负载加载和分析配置文件、管理worker进程、平滑升级
2. 一个或多个worker进程，
  进程数量一般与cpu数有关联，每个进程可以处理多个用户请求
  处理并响应用户请求
缓存相关的进程：
1. cache loader：载入缓存对象
2. cache manager：管理缓存对象

4. nginx模块

nginx高度模块化，1.9.11版本支持DSO机制

DSO：动态支持模块的加载或卸载

模块分类：
1. 核心模块：core module
  是 Nginx 服务器正常运行必不可少的模块，提供错误日志记录、配置文件解析、事件驱动机制、进程管理等核心功能
2. 标准模块
  提供 HTTP 协议解析相关的功能，比如：端口配置、网页编码设置、 HTTP响应头设置等等
  1. HTTP 模块： ngx_http_*
    HTTP Core modules 默认功能
    HTTP Optional modules 需编译时指定
  2. Stream 模块：ngx_stream_*
3. 可选HTTP模块
  主要用于扩展标准的 HTTP 功能，让 Nginx 能处理一些特殊的服务，比如： Flash 多媒体传输、解析 GeoIP 请求、网络传输压缩、安全协议 SSL 支持等
4. Mail 模块：ngx_mail_*
  主要用于支持 Nginx 的邮件服务，包括对 POP3 协议、 IMAP 协议和 SMTP协议的支持
5. 第三方模块
  是为了扩展 Nginx 服务器应用，完成开发者自定义功能，比如： Json 支持、 Lua 支持等

5. nginx的安装

编译安装

获取源码包，解压

[root@hai7-2 sbin]$wget http://nginx.org/download/nginx-1.14.1.tar.gz
[root@hai7-2 sbin]$tar xvf nginx-1.14.1.tar.gz

安装编译工具

[root@hai7-2 sbin]$yum groupinstall "development tools"

安装依赖包

[root@hai7-2 sbin]$yum install pcre-devel openssl-devel zlib-devel

编译安装不会自动创建系统账号，需要手动创建
```
[root@hai7-2 sbin]$useradd -r -s /sbin/nologin nginx
```

修改源码文件，隐藏必要信息

1. '进入解压目录'
[root@hai7-2 ~]$cd nginx-1.14.1/
2. '编辑如下文件，找到所示行'
[root@hai7-2 nginx-1.14.1]$vim src/core/nginx.h
版本信息
#define NGINX_VERSION      "9.8.6"   
服务名称               
#define NGINX_VER          "moli/" NGINX_VERSION
3. '修改禁用服务信息后，头部信息'
[root@hai7-2 nginx-1.14.1]$vim src/http/ngx_http_header_filter_module.c 
配置文件中修改禁止显示版本信息后，头部显示的Server内容
static u_char ngx_http_server_string[] = "Server: moli" CRLF;

编译以及安装，配置文件、程序文件，日志如果不指定会放在安装路径中，方便删除

[root@hai7-2 nginx-1.14.1]$/configure --prefix=/usr/local/nginx / <==安装路径
--conf-path=/etc/nginx/nginx.conf / 			<==主配置文件安装位置
--sbin-path=/usr/sbin/nginx   					<==指明nginx程序文件安装路径
--error-log-path=/var/log/nginx/error.log /     <==错误日志文件安装位置
--http-log-path=/var/log/nginx/access.log /     <==访问日志文件安装位置
--pid-path=/var/run/nginx.pid /     			<==指明pid文件安装位置
--lock-path=/var/run/nginx.lock /     			<==锁文件安装位置
--http-client-body-temp-path=/var/cache/nginx/client_temp     <==客户端body部分的临时文件存放路径，服务器允许客户端使用put方法提交大数据时，临时存放的磁盘路径
--http-proxy-temp-path=/var/cache/nginx/proxy_temp     		  <==作为代理服务器，服务器响应报文的临时文件存放路径
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp     	  <==作为fastcgi代理服务器，服务器响应报文的临时文件存放路径
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp     		  <==作为uwsgi代理服务器，服务器响应报文的临时文件存放路径
--http-scgi-temp-path=/var/cache/nginx/scgi_temp     		  <==作为scgi反代服务器，服务器响应报文的临时文件存放路径
--user=nginx /     			<==指明以那个身份运行worker进程，主控master进程一般由root运行
--group=nginx /     		<==指明组运行身份
--with-http_ssl_module /    <==加密相关模块
--with-http_v2_module /     <==是否支持http2.0版本
--with-http_dav_module /    <==是否支持dav
--with-http_stub_status_module /    
--with-threads /     	    <==是否启用线程
--with-file-aio     		<==是否启用异步IO
[root@hai7-2 nginx-1.14.1]$make && make install

rpm包安装

获取地址
官方：http://nginx.org/packages/centos/7/x86_64/RPMS
Fedora-EPEL：https://mirrors.aliyun.com/epel/7/x86_64/
epel源安装，使用yum安装解决依赖问题，会自动创建系统账号nginx
```
[root@hai7-1 ~]$yum -y install nginx
```

查看创建的系统账号

[root@hai7-1 ~]$getent passwd
nginx:x:988:982:Nginx web server:/var/lib/nginx:/sbin/nologin

参看是否安装时运行了脚本

[root@hai7-1 ~]$ rpm -q --scripts nginx

启动nginx

1. 'nginx可以直接输入服务名来启动，以此方式启动，不受systemctl控制，不能以systemctl关闭，需要以选项-s控制载入或关闭等'
[root@hai7-1 ~]$nginx
[root@hai7-1 ~]$nginx  -s  stop 
2. '传统方式启动'
[root@hai7-1 ~]$systemctl start nginx

文件说明
1. 多用途邮件扩展
  /etc/nginx/mime.types
2. SCGI支持配置文件
  /etc/nginx/scgi_params
3. py支持配置文件
  /etc/nginx/uwsgi_params
4. fastcgi支持配置文件
  /etc/nginx/fastcgi.conf
5. 服务文件
  /usr/lib/systemd/system/nginx.service
6. 主程序
  /usr/sbin/nginx
7. 服务页面文件
  /usr/share/nginx/html/index.html
nginx命令说明
1. 语法格式
```
nginx [-?hvVtTq] [-s signal] [-c filename] [-p prefix] [-g directives]
```
  默认不加任何选项为启动nginx
2. 选项说明
  1. -h：查看帮助选项
  2. -v：只显示版本信息
  3. -V：查看版本和编译选项
  4. -t测试nginx语法错误
  5. -T：检测并显示配置文件信息
  6. -q：在检测语法时，压缩掉非错误信息
  7. -c filename：指定配置文件(default: /etc/nginx/nginx.conf)
  8. -s signal ：发送信号给master进程，signal：stop, quit, reopen, reload
    示例： nginx -s stop 停止nginx（systemctl stop nginx）
    nginx -s reload 加载配置文件
  9. -g directives ：在命令行中指明全局指令

6. nginx配置

配置文件
1. 主配置文件：
  /etc/nginx/nginx.conf
2. 子配置文件
  include conf.d/*.conf
3. 主配置文件的配置指令格式
  directive value [value2 …];
4. 注意
  1. 指令必须以分号结尾
  2. 支持使用配置变量
    1. 内建变量：由Nginx模块引入，可直接引用
    2. 自定义变量：由用户使用set命令定义
      set variable_name value;
    3. 引用变量：$variable_name
官方有指令和模块的索引
http://nginx.org/en/docs/

主配置文件结构：分为4个语句块

include /usr/share/nginx/modules/*.conf;  <==此目录下的配置内容，可以生效
1. '主语句块'
main block：        <==主配置段，即全局配置段，对http,mail都有效
			event {
							...
				}   <==事件驱动相关的配置
2. 'http语句块'
http {
			...
	} http/https 协议相关配置段
	include /etc/nginx/conf.d/*.conf;  <==关于http的配置文件，放在此目录也可以生效
3. '邮件语句块'
mail {
			...
	} mail 协议相关配置段，默认没有
4. 'stream语句块'
stream {
			...
	} stream 服务器相关配置段，默认没有

http协议相关的配置结构

http {
	...
	... 各server的公共配置
	server { 每个server用于定义一个虚拟主机
			...
			}
	server {
			...
			server_name 虚拟主机名
			root 主目录
			alias 路径别名
			location [OPERATOR] URL { 指定URL的特性
					  ...
					  if CONDITION {
					  ...
					  }
			}
	}
}

6.1 Main 全局配置段常见的配置指令分类

正常运行必备的配置：例如nginx以什么身份运行
优化性能相关的配置：例如并发连接数设置
用于调试及定位问题相关的配置：日志文件
事件驱动相关的配置：例如设置I/O模型
帮助文档
http://nginx.org/en/docs/

正常运行必备的配置，必须放在主语句块中
1. user username [group];
  指定worker进程的运行身份，如组不指定，默认和用户名同名，修改的用户要保证有访问页面文件的权限，如果不指定用户，默认为nobody
```
user nginx;
```
2. pid /PATH/TO/PID_FILE;
  指定存储nginx主进程PID的文件路径， PID文件随服务停止删除
```
pid /run/nginx.pid;
```
3. include file | mask;
  指明包含进来的其它配置文件片断
```
include mime.types;
include vhosts/*.conf;
```
4. load_module file ;
  加载动态模块
  模块加载配置文件： /usr/share/nginx/modules/*.conf
  指明要装载的动态模块路径： /usr/lib64/nginx/modules
```
load_module modules/ngx_mail_module.so;
```

性能优化相关的配置

worker_processes number | auto;
worker进程的数量；通常应该为当前主机的cpu的物理核心数，auto表示自动匹配cpu核心数
支持环境： main
```
worker_processes auto;
```

worker_cpu_affinity auto [cpumask] ;
cpu亲源性设置，绑定cpu有利于使用cpu缓存
[cpumask] ： 00000001（0号CPU）
支持环境： main

1. '8个cpu，分别绑定写法如下'
[root@hai7-1 ~]$vim /etc/nginx/nginx.conf
worker_cpu_affinity 0001 0010 0100 1000 10000 100000 1000000 10000000;
2. '查看绑定效果'
[root@hai7-1 ~]$watch -n1 'ps  axo pid,cmd,psr |grep nginx'
3. '利用其它主机测试'
[root@hai7-2 ~]$ab -c 100 -n 2000 http://192.168.50.101

worker_priority number;
指定worker进程的nice值，设定worker进程优先级：[-20,19]
支持环境： main

1. '将nice值设置为-10'
[root@hai7-1 ~]$vim /etc/nginx/nginx.conf
worker_priority -10;
2. '查询优先级ni参数'
[root@hai7-1 ~]$watch -n1 'ps  axo pid,cmd,psr,ni |grep nginx'
21518  nginx: worker process     0   -10

worker_rlimit_nofile number;
worker进程所能够打开的文件数量上限,如65535
支持环境： main
```
[root@hai7-1 ~]$vim /etc/nginx/nginx.conf
worker_rlimit_nofile number 51200;
```

事件驱动相关的配置，在events语句块中可以设置很多性能相关设置
1. worker_connections number;
  每个worker进程所能够打开的最大并发连接数数量（默认值为512），太小发挥不了服务器性能，影响并发，太大超出服务器性能，超出极限后会宕机
  总最大并发数：worker_processes * worker_connections
  支持环境：events
```
[root@hai7-1 ~]$vim /etc/nginx/nginx.conf
events {
    worker_connections 1024;
}
```
2. use method;
  指明并发连接请求的处理方法 ,默认自动选择最优方法
  支持环境：events
```
use epoll;
```
3. accept_mutex on | off;
  处理新的连接请求的方法；on指由各个worker轮流处理新请求，Off指每个新请求的到达都会通知(唤醒)所有的worker进程，但只有一个进程可获得连接，造成“惊群”，影响性能
调试和定位问题
1. daemon on|off;
  是否以守护进程方式运行nignx，默认是守护进程方式，修改后启动nignx会在前台运行
  支持环境: main
2. master_process on|off;
  是否以master/worker模型运行nginx；默认为on，off 将不启动worker
  支持环境: main
```
1. '默认状态下开启进程状态'
[root@hai7-1 ~]$pstree -p |grep nginx
           |-nginx(18721)-+-nginx(21518   <==18721为master进程
2. '设置为off'
[root@hai7-1 conf.d]$vim /etc/nginx/nginx.conf
master_process off
3. '修改后开启进程状态'
[root@hai7-1 ~]$pstree -p |grep nginx
           |-nginx(27054)                 <==只有一层master，没有workter
```
3. error_log file [level] ;
  错误日志文件及其级别；出于调试需要，可设定为debug；但debug仅在编译时使用了--with-debug选项时才有效
  支持环境: main, http, mail, stream, server, location
  1. file定义存储日志路径
    /path/logfile：记录到文件中
    stderr：发送到标准错误
    syslog：server-address[,parameter=values] 发送到syslog
    memory:size：存到循环存储器中，可以通过size指定大小
  2. level日志级别
    debug|info|notice|warn|error|crit|alter|emerg

6.2 http协议的相关配置

6.2.1 ngx_http_core_module模块

与套接字相关的配置
1. server { … }
  设置虚拟服务器的配置
  Context: http
```
1. '设置虚拟机web页面'
[root@hai7-1 data]$mkdir websiter{1,2}
[root@hai7-1 data]$echo /data/website2/index.html > websiter2/index.html
[root@hai7-1 data]$echo /data/websiter/index.html > websiter1/index.html
2. '配置一个虚拟主机，在http块的子配置文件中设置，格式如下，不需要加http{，服务会自动匹配'
[root@hai7-1 ~]$vim /etc/nginx/conf.d/vhosts.conf
server {
        listen 80;
        server_name www.a.com www.b.com;
        root /data/websiter1;
}
server {
        listen 80  default_server;    <==将主配置文件中默认页面删掉，在自定义虚拟机加上default_server，就会成为新的默认页，没有指定默认页将以配置文件顺序显示
        server_name www.c.com ;
        root /data/websiter2;
}
3. '在另外一台主机上测试'
'修改hosts文件，模拟DNS解析,DNS解析过程会带主机头，虽然最后都解析为同一个IP地址，但会根据主机头判断需要返回的页面结果'
[root@hai7-2 ~]$vim /etc/hosts
192.168.50.101 www.a.com  www.b.com www.c.com
'测试'
[root@hai7-2 ~]$curl www.a.com
/data/websiter/index.html
[root@hai7-2 ~]$curl www.c.com
/data/websiter2/index.html
```
2. listen PORT|address[:port]|unix:/PATH/TO/SOCKET_FILE
  虚拟机监听端口，可以直接写端口，也可以指定服务器IP：端口，还可以监听本地套接字
  支持环境: server
  1. 语法
    listen address[:port] [default_server] [ssl] [http2 | spdy] [backlog=number] [rcvbuf=size] [sndbuf=size];
  2. 参数
    default_server：设定为默认虚拟主机
    ssl：限制仅能够通过ssl连接提供服务
    backlog=number：超过并发连接数后，新请求进入后援队列的长度
    rcvbuf=size：接收缓冲区大小
    sndbuf=size：发送缓冲区大小
3. server_name name …;
  虚拟主机的主机名称后可跟多个由空白字符分隔的字符串
  支持环境：server
  1. 语法
    支持*通配任意长度的任意字符
```
server_name  *.c.com   www.c.* ;
```
    支持~起始的字符做正则表达式模式匹配，性能原因慎用
```
server_name ~^b.*\.a\.com$;
```
  2. 匹配优先级机制从高到低
    1. 首先是字符串精确匹配如：www.a.com
    2. 左侧*通配符如：*.a.com
    3. 右侧*通配符如：www.a.*
    4. 正则表达式如： ~^.*\.magedu\.com$
    5. default_server
4. tcp_nodelay on | off;
  在keepalived模式下的连接是否启用同步写入，当为off时，延迟发送，合并多个请求后再发送，默认On时，不延迟发送
  支持环境：http, server, location
5. sendfile on | off;
  是否启用sendfile功能，在内核中封装报文直接发送，默认Off（回应报文时不需要送到用户空间来封装，减少I/O次数，提高性能）
6. server_tokens on | off | build | string
  build|string商业版支持，可以修改nginx信息，或者社区版源码编译自定义
  是否在响应报文的Server首部显示nginx版本
  支持环境：http、server、location

定义路径相关的配置

root
设置web资源的路径映射；用于指明请求的URL所对应的文档的目录路径
支持环境：http, server, location, if in location

1. '指定虚拟机web页面路径'
[root@hai7-1 ~]$vim /etc/nginx/conf.d/vhosts.conf
server {
...
root /data/website1;
}
2. '在目录下建立一个新的目录，并创建web页面，测试如下'
[root@hai7-1 ~]$mkdir /data/website1/news
[root@hai7-1 ~]$echo news > /data/website1/news/index.html
[root@hai7-2 ~]$curl www.a.com/news/
news
3. '在目录下建立一个软连接'
[root@hai7-1 websiter1]$ln -s /nginx/test  bbs
4. '在另一台主机上测试，可以返回结果，支持软连接'
[root@hai7-2 ~]$curl www.a.com/bbs/

location [ = | ~ | ~* | ^~ ] uri { ... }
在一个server中location配置段可存在多个，用于实现从uri到文件系统的路径映射；ngnix会根据用户请求的URI来检查定义的所有location，并找出一个最佳匹配，而后应用其配置
支持环境：server, location

示例

1. '定义配置文件'
server {
		server_name www.a.com;
		location /news {   <==定义Uri为news
					root /data2/newsdir;   <==定义Uri的根目录
		}  
}
2. '建立测试页'
[root@hai7-1 ~]$mkdir -pv /data2/newsdir/news
[root@hai7-1 ~]$echo testnews > /data2/newsdir/news/index.html
3. '测试，访问news，实际访问地址为/data2/newsdir/news，也就是说可以单独定义每个url的根目录'
[root@hai7-2 ~]$curl www.a.com/news/
testnews

uri前符号说明

=对URI做精确匹配；

server {
		server_name www.a.com;
		location = /news {     <==使用等号定义Uri为news
					root /data2/newsdir;   <==定义Uri的根目录
		}  
}
测试访问news目录下2018目录，会报错，精确匹配不会显示uri下的目录，只能
[root@hai7-2 ~]$curl www.a.com/news/2018

^~对URI的最左边部分做匹配检查，不区分字符大小写
~对URI做正则表达式模式匹配，区分字符大小写

~*对URI做正则表达式模式匹配，不区分字符大小写

location ~* \.(gif|jpg|jpeg)$ {   <==以gif|jpg|jpeg结尾的资源
		root /data2/newsdir ;

不带符号匹配起始于此uri的所有的uri

匹配优先级从高到低：
=、 ^~、～、～*、不带符号

alias path;
路径别名，文档映射的另一种机制；仅能用于location上下文
1. 示例：/bbs 后建议不要加 /，如果加/，那么alias后的路径也要以/结尾
```
设置示例，访问www.a.com/bbs相当于查看www.a.com/web/forum/
location /bbs {
		alias /web/forum/;
} 			
```
2. 注意：location中使用root指令和alias指令的意义不同
  1. root：给定的路径对应于location中的/uri 左侧的/
  2. alias：给定的路径对应于location中的/uri 的完整路径
index file ...;
指定默认网页文件，此指令由ngx_http_index_module模块提供
支持环境：server, location

error_page code ... [=[response]] uri;
定义错误页，以指定的响应状态码进行响应，此指令由ngx_http_index_module模块提供
支持环境：http, server, location, if in location

1. '定义配置'
[root@hai7-1 conf.d]$vim /etc/nginx/conf.d/vhosts.conf
server {
        listen 80;
        server_name www.a.com ;
        root /data/websiter1;
        error_page 404 =302 /error_404.html;    <==定义返回的错误页面，修改错误码为200
2. '创建错误页面内容'
[root@hai7-1 ~]$echo 404 error > /data/websiter1/error_404.html
3. '测试'
[root@hai7-2 ~]$curl -i http://www.a.com/xxx.html
HTTP/1.1 302 OK     <==返回的错误码显示为302
404 error           <==错误页面

try_files file ... uri;
按顺序检查文件是否存在，返回第一个找到的文件或文件夹（结尾加斜线表示为文件夹），如果所有文件或文件夹都找不到，会进行一个内部重定向到最后一个参数。只有最后一个参数可以引起一个内部重定向，之前的参数只设置内部URI的指向。最后一个参数是回退URI且必须存在，否则会出现内部500错误
支持环境：server, location
```
访问/images时，搜索$uri路径，如果不存在则回退/images/fish.jpg，回退URI必须为uri路径
[root@hai7-1 ~]$vim /etc/nginx/conf.d/vhosts.conf
 server {       
        server_name www.a.com www.b.com;
        root /data/websiter1;        
        location /images {      
                try_files $uri  /images/fish.jpg ;
        }
}        
```

定义客户端请求的相关配置
1. keepalive_timeout ;
  定义客户端保持连接超时时长，0表示禁止长连接，默认为75s
  在ngx_http_upstream_module中也有此项设置是定义反向代理的转发给后端服务器时的超时
  支持环境：http，server，location
```
keepalive_timeout 0;
```
2. keepalive_requests number;
  在一次长连接上所允许请求的资源的最大数量，默认为100
  支持环境：http, server, location
3. keepalive_disable none | browser ...;
  对哪种浏览器禁用长连接
  支持环境：http, server, location
4. send_timeout time;
  向客户端发送响应报文的超时时长，此处是指两次写操作之间的间隔时长，而非整个响应过程的传输时长
  支持环境：http, server, location
5. client_body_buffer_size size;
  用于接收每个客户端请求报文的body部分的缓冲区大小；默认为16k；超出此大小时，其将被暂存到磁盘上的由下面client_body_temp_path指令所定义的位置
  支持环境：http, server, location
6. client_body_temp_path path [level1 [level2 [level3]]];
  设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量
  支持环境：http, server, location
```
1. '配置文件设置格式，表示设置三级目录， 1 2 2表示三级目录每级所占位数'
client_body_temp_path   /var/tmp/client_body  1 2 2
2. '假设缓存数据为index.html，其哈希结果如下所示'
[root@hai7-1 websiter1]$md5sum  index.html 
0d6a914877e53e2957172f5e46bb5755  index.html
3. '存放目录为3级目录，共有16*256*256=1048576个目录'
一级目录取最后一位
5（一级目录占一个16位数，范围在0-f）
二级目录取倒数2-3位
75（二级目录占两个16位数，范围在00-ff）
三级目录取倒数4-5位
b5（三级目录占两个16位数，范围在00-ff）
```
7. limit_rate rate;
  限制响应给客户端的传输速率，单位是bytes/second，默认值0表示无限制
  支持环境：http, server, location, if in location
```
limit_rate 10240
```
8. limit_except method ... { ... }，仅用于location
  限制客户端使用除了指定的请求方法之外的其它方法
  支持环境：location
  1. method描述
    GET, HEAD, POST, PUT, DELETE，MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH
  2. 示例：除了GET 之外其它方法仅允许192.168.1.0/24网段主机使用
```
location / {
	limit_except GET {
	allow 192.168.1.0/24;
	deny all;
	}
}
```
文件操作优化的配置
1. aio on | off | threads[=pool];
  是否启用异步文件I/O功能
  支持环境：http, server, location
2. directio size | off;
  当文件大于等于给定大小时，例如directio 4m，同步（直接）写磁盘，而非写缓存
  支持环境：http, server, location
3. open_file_cache off; open_file_cache max=N [inactive=time];
  是否开启缓存功能
  支持环境：http, server, location
  1. nginx可以缓存以下三种信息：
    1. 文件元数据：文件的描述符、文件大小和最近一次的修改时间
    2. 打开的目录结构
    3. 没有找到的或者没有权限访问的文件的相关信息
  2. 参数描述
    1. max=N
      可缓存的缓存项上限；达到上限后会使用LRU算法实现管理
    2. inactive=time
      缓存项的非活动时长，在此处指定的时长内未被命中的或命中的次数少于open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项，将被删除
    3. off：表示禁用
  3. 示例
```
open_file_cache          max=1000 inactive=20s;
open_file_cache_valid    30s;
open_file_cache_min_uses 2;
open_file_cache_errors   on;
```
4. open_file_cache_errors on | off;
  是否缓存查找时发生错误的文件一类的信息，默认值为off
  支持环境：http, server, location
5. open_file_cache_min_uses number;
  open_file_cache指令的inactive参数指定的时长内，至少被命中此处指定的次数方可被归类为活动项，默认值为1
  支持环境：http, server, location
6. open_file_cache_valid time;
  缓存项有效性的检查频率，默认值为60s
  支持环境：http, server, location

6.2.2 ngx_http_access_module模块

可实现基于ip的访问控制功能

allow address | CIDR | unix: | all;
允许访问指定的网络或地址，如果指定unix：,表示运行UNIX-domain所有套接字
支持环境：http, server, location, limit_except
deny address | CIDR | unix: | all;
允许访问指定的网络或地址
支持环境：http, server, location, limit_except

示例：自上而下检查，一旦匹配，将生效，所以条件严格的置前

location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}

6.2.3 ngx_http_auth_basic_module模块

实现基于用户的访问控制，使用basic机制进行用户认证

auth_basic string | off;
启用使用“HTTP基本身份验证”协议验证用户名和密码，默认为off
支持环境：http, server, location, limit_except
auth_basic_user_file file;
指定以下列格式保存用户名和密码的文件进行验证
支持环境：http, server, location, limit_except

用户口令文件格式：

明文文本：格式name:password:comment

# comment
name1:password1
name2:password2:comment
name3:password3

加密文本：由htpasswd命令实现，命令由httpd-tools所提供

1. '工具来源'
[root@hai7-1 websiter1]$rpm -qf /usr/bin/htpasswd 
httpd-tools-2.4.6-80.el7.centos.x86_64
2. '生成第一个用户口令文件，需要加-c选项'
[root@hai7-1 websiter1]$htpasswd -cm  /etc/nginx/conf.d/.httpuser  user1
3. '查看生成的用户口令'
[root@hai7-1 websiter1]$cat /etc/nginx/conf.d/.httpuser 
user1:$apr1$DwtBgJYJ$KW3UEzDSOtsC5jnHji6Yb.
4. '生成第二个用户口令，不能加-c，会覆盖前面的用户信息'
[root@hai7-1 websiter1]$htpasswd -m  /etc/nginx/conf.d/.httpuser  user2

示例

location /admin/ {
auth_basic "Admin Area";    <==验证提示语句
auth_basic_user_file /etc/nginx/.ngxpasswd;    <==提供用户口令文件
}

6.2.3 ngx_http_stub_status_module模块

用于输出nginx的基本状态信息，默认情况下不生成此模块，应使用--with-http_stub_status_module配置参数

启用配置
语法：stub_status;
支持环境：server, location

配置示例

location test_status {            <==test_status可以自定义，查看信息的uri
		stub_status;              <==状态信息设置
		allow 192.168.50.102/24;  <==权限设置
		deny all;
}

访问页面，192.168.50.101为测试机IP地址

http://192.168.50.101/test_status

输出信息示例：
```
Active connections: 291          
server  accepts  handled  requests  
		16630948 16630948 31070465
Reading: 6 Writing: 179 Waiting: 106
```
1. Active connections
  当前状态，活动状态的连接数
2. accepts
  统计总值，已经接受的客户端请求的总数
3. handled
  统计总值，已经处理完成的客户端请求的总数
4. requests
  统计总值，客户端发来的总的请求数
5. Reading
  当前状态，正在读取客户端请求报文首部的连接的连接数
6. Writing
  当前状态，正在向客户端发送响应报文过程中的连接数
7. Waiting
  当前状态，正在等待客户端发出请求的空闲连接数

6.2.3 ngx_http_log_module模块

指定日志格式记录请求
1. 配置日志格式
  语法：log_format name string ...;string可以使用nginx核心模块及其它模块内嵌的变量
  环境：http
2. 示例
```
log_format combined '$remote_addr - $remote_user [$time_local] '
		  | 日志名 |   客户端地址  -  远程用户  【当前系统时间】  
                    '"$request" $status $body_bytes_sent '
                    	uri      状态码     回应报文body大小
                    '"$http_referer" "$http_user_agent" "$gzip_ratio"';
                    从哪个页面跳转来的      浏览器类型         压缩比
```
3. 其他string
  1. $time_iso8601：本地时间(ISO 8601标准格式)
  2. $request_time：请求处理时间(以秒为单位)，分辨率为毫秒；从客户端读取第一个字节与发送最后一个字节后的日志写入之间的时间
  3. $request_length：请求长度(包括请求行、标头和请求正文)
  4. $msec：以毫秒表示写入时间
  5. $connection_requests：通过一个连接提出的当前请求数(1.1.18)
  6. $connection：连接序列号
  7. $bytes_sent：发送给客户端的字节数
调用日志
访问日志文件路径，格式及相关的缓冲的配置，服务器跑多个虚拟机时，建议日志分开存放
1. 配置格式
```
`access_log` path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
`access_log off`   
```
  环境：http、server、location、if in location、limit_except
2. 参数说明
  1. path：日志文件路径
  2. format：日志格式名称
  3. buffer=size ：启用后日志文件中当时可能看不到，过一会写入后才可以显示
  4. flush=time：buffer多久写入一次
  5. gizip：压缩，要使gzip压缩工作，必须使用zlib库构建nginx
3. 示例：在主配置文件中定义日志格式，命名为testlog
```
log_format testlog '$remote_addr - $remote_user [$time_local] '
```
  调用格式放在http子配置文件中
```
access_log   /var/log/nginx/a.com.log   testlog;
```
日志缓存
定义一个缓存，该缓存存储经常使用的日志的文件描述符
1. 配置格式
```
`open_log_file_cache` max=N [inactive=time] [min_uses=N] [valid=time];
`open_log_file_cache off;`
```
  环境：http, server, location
2. 参数
  1. max：缓存的最大文件描述符数量，超出后关闭最小最近使用(LRU)描述符
  2. min_uses：在inactive指定的时长内访问大于等于此值方可被当作活动项
  3. inactive：非活动时长
  4. valid：验证缓存中各缓存项是否为活动项的时间间隔
  5. off：禁用缓存
3. 示例
```
open_log_file_cache max=1000 inactive=20s valid=1m min_uses=2;
```

6.2.3 ngx_http_gzip_module

用gzip方法压缩响应数据，节约带宽

启用或禁用gzip压缩
1. 配置格式：gzip on | off;
2. 支持环境：http，server，location，if in location
压缩比由低到高：1 到 9，默认为1
1. 配置格式： gzip_comp_level level;
2. 支持环境：http，server，location
如果请求的”User-Agent”头信息能被指定的正则表达式匹配，则对响应禁用gzip压缩功能。主要是为了兼容不支持gzip压缩的浏览器，比如IE6，不过IE6早就废弃了
1. 配置格式：gzip_disable regex …;
2. 支持环境：http，server，location
响应报文想要激活压缩功能的下限大小，报文太小的没有压缩意义，压缩后反而变大，默认为20个字节
1. 配置格式：gzip_min_length length;
2. 支持环境：http，server，location
设置压缩响应所需的请求的最低HTTP版本，默认为1.1
1. 配置格式：gzip_http_version 1.0 | 1.1;
2. 支持环境：http，server，location
设置支持压缩功能时缓冲区数量及每个缓存区的大小，默认大小为一个内存页（64位为8k）
1. 配置格式：gzip_buffers number size;
2. 支持环境：http，server，location
指明仅对哪些类型的资源执行压缩操作，多个用空格分隔。通配符[ * ]可以匹配任意类型。不管是否指定”text/html”类型，该类型的响应总是启用压缩
1. 配置格式：gzip_types mime-type …;
2. 支持环境：http，server，location
3. 示例
```
gzip_types      text/plain application/xml;
```
如果启用压缩，是否在响应报文首部插入“Vary: Accept-Encoding”
1. 配置格式：gzip_vary on | off;
2. 支持环境：http，server，location
nginx充当代理服务器时，对于后端服务器的响应报文，在何种条件下启用压缩功能
1. 配置格式：
  gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;
2. 支持环境：http，server，location
3. 参数说明
  1. off：禁用所有代理请求的压缩，忽略其他参数；
  2. expired：如果响应头“Cache-Control”字段包含" expired"，则启用压缩；
  3. no-cache：如果响应头“Cache-Control”字段包含" no-cache"，则启用压缩；
  4. no-store：如果响应头“Cache-Control”字段包含" no-store"，则启用压缩；
  5. private：如果响应头“Cache-Control”字段包含"private"，则启用压缩；
  6. no_last_modified：如果响应头部不包含"Last-Modified"字段，则启用压缩
  7. no_etag：如果响应头部不包含"Etag"字段，则启用压缩
  8. auth：如果响应头包含"Authorization"，则启用压缩；
  9. any：为所有代理请求启用压缩

示例

gzip on;
gzip_comp_level 6;
gzip_min_length 64;
gzip_proxied any;
gzip_types text/xml text/css  application/javascript  <==系统根据后缀识别类型

6.2.4 ngx_http_ssl_module 模块

为指定虚拟机启用HTTPS protocol，建议用listen指令代替
1. 配置格式：ssl on | off;
2. 支持环境：http, server

当前虚拟主机使用PEM格式的证书文件

配置格式：ssl_certificate file;
支持环境：http, server

示例
如果除主证书外还需要指定中间证书的话，安装顺序指定，先指定主证书，然后指定中间证书，要求版本OpenSSL 1.0.2及以上

server {
listen              443 ssl;
server_name         example.com;
ssl_certificate     example.com.rsa.crt;        <==主证书
ssl_certificate_key example.com.rsa.key;

ssl_certificate     example.com.ecdsa.crt;      <==中间证书
ssl_certificate_key example.com.ecdsa.key;
}

当前虚拟主机上与其证书匹配的私钥文件
1. 配置格式：ssl_certificate_key file;
2. 支持环境：http, server
支持ssl协议版本，默认为后三个，TLSv1.1和TLSv1.2只有在使用OpenSSL 1.0.1或更高版本时才能工作。
1. 配置格式：ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
2. 默认配置：ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
3. 支持环境：http, server
设置存储会话参数的缓存的类型和大小
1. 配置格式：ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
2. 默认配置：ssl_session_cache none
3. 支持环境：http, server
4. 参数说明
  1. off：严格禁止使用会话缓存，Nginx显式地告诉客户端会话不可重用
  2. none：通知客户端支持ssl session cache，但实际不支持
  3. builtin[:size]：使用OpenSSL内建缓存，为每worker进程私有，默认大小为20480次会话
  4. [shared:name:size]：在各worker之间使用一个共享的缓存，大小以字节为单位，1兆字节可以储存4000个会话
客户端连接可以复用ssl session cache中缓存的有效时长，默认5m
1. 配置格式：ssl_session_timeout time;
2. 支持环境：http, server

示例

示例1：综合设置

server {
	listen 443 ssl;
	server_name www.magedu.com;
	root /vhosts/ssl/htdocs;
	ssl on;
	ssl_certificate /etc/nginx/ssl/nginx.crt;
	ssl_certificate_key /etc/nginx/ssl/nginx.key;
	ssl_session_cache shared:sslcache:20m;
	ssl_session_timeout 10m;
}

示例2:：http与https同时支持设置
生成自签名证书，Apache不支持在同一个物理服务器上多个虚拟主机用同一个IP的情况来实现多个加密站点；NGINX支持，因为有SNI（Server Name Indication），中文名为服务器名称指示，允许在单个IP地址上承载多个SSL证书

为了试验方便，修改生成证书文件，取消密码验证

[root@hai7-1 ~]$vim /etc/pki/tls/certs/Makefile
%.key:    <==找到此项
umask 77 ; \
    /usr/bin/openssl genrsa -aes128 $(KEYLEN) > $@  <==修改前
    /usr/bin/openssl genrsa   $(KEYLEN) > $@        <==修改后

生成自签名证书及秘钥

[root@hai7-1 certs]$make a.com.crt
Common Name (eg, your name or your server's hostname) []:www.a.com  <==网站名要匹配nginx

将证书及秘钥移动至nginx目录下，方便管理
```
[root@hai7-1 certs]$mv a.com.* /etc/nginx/conf.d/
```

配置http文件，在子配置文件中独立设置

[root@hai7-1 ~]$vim /etc/nginx/conf.d/vhosts.conf 
server {
        listen 80 default_server  ; 
        listen 443 ssl;            <==启用HTTPS protocol
        server_name www.a.com ;    <==服务名
        root /data/websiter1;
        ssl_certificate /etc/nginx/conf.d/a.com.crt;       <==自签证书路径
        ssl_certificate_key /etc/nginx/conf.d/a.com.key;   <==私钥路径
}

测试

1. 不加密访问
[root@hai7-2 ~]$curl http://www.a.com/
/data/websiter/index.html
2. 加密访问
[root@hai7-2 ~]$curl -k  https://www.a.com
/data/websiter/index.html

6.2.4 ngx_http_rewrite_module模块

将用户请求的URI基于regex（正则表达式）所描述的模式进行检查，匹配到时将其替换为
replacement指定的新的URI

指令rewrite用法
1. 语法：rewrite regex replacement [flag]
2. 支持环境：server location
3. 匹配机制
  1. 如果在同一级配置块中存在多个rewrite规则，那么会自上而下逐个
    检查；被某条件规则替换完成后，会重新一轮的替换检查
  2. 隐含有循环机制
    如果重写的URI不断循环匹配, 这个循环的次数不超过10次，超出后提示500响应码，[flag]所表示
  3. 永久重定向301
    如果replacement是以http://或https://开头，则替换结果会直接以重向返
    回给客户端, 即永久重定向301
4. [flag]
  1. last
    重写完成后停止对当前URI在当前location中后续的其它重写操作，而后对新的URI启动新一轮重写检查；提前重启新一轮循环，响应码为200
  2. break
    重写完成后停止对当前URI在当前location中后续的其它重写操作，而后直接跳转至重写规则配置块之后的其它配置；结束循环
  3. redirect
    临时重定向，重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端，由客户端重新发起请求；使用相对路径，或者http://或https://开头，状态码：302
  4. permanent
    重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端，由客户端重新发起请求，状态码：301
5. 示例
  将用户所有URI为/bbs的请求替换为/forum
```
location /bbs {
                rewrite  ^/bbs/(.*)$  /forum/$1 last; <==$1表示后项引用，引用/bbs后的所有内容
        }
```
  测试，访问bbs，配置last或break后，bbs目录可以不存在，一样可以调度到地址，访问路径不会变；如果使用redirect或permanent，访问路径会改变，告诉用户重新发新RUI的请求
```
[root@hai7-2 ~]$curl   http://www.a.com/bbs/
/data/websiter1/forum/index.html   <==返回forum目录下的文件
```
  更换域名时重定向设置，例如访问www.a.com域名将要淘汰，使用新域名www.b.com
```
location / {   <==设置为访问/时跳转
         rewrite  /  http://www.b.com  permanent ; 
        }
```
  如果只跳转特定后缀路径，写法如下
```
location ~ \.txt$ {  
         rewrite (.*)\.txt$  $1.html; 
        }
```
  官方示例，将media或audio替换为mp3，保留$1和$2，后缀替换为mp3或ra
```
server {
    ...
    rewrite ^(/download/.*)/media/(.*)\..*$ $1/mp3/$2.mp3 last;
    rewrite ^(/download/.*)/audio/(.*)\..*$ $1/mp3/$2.ra  last;
    return  403;
    ...
}
```
  有http跳转到https
  方法一，建立两个虚拟服务
```
第一个虚拟服务器，http服务监听80端口
server {
        listen 80 default_server  ;
        server_name www.a.com ;
        root /data/websiter1;
        location /  {          <==location中指定访问根时，跳转到https
                rewrite / https://www.a.com;
        }
}
第二个虚拟服务器，https监听端口443
server {
        listen 443 ssl;
        server_name www.a.com ;
        root /data2/newsdir;
        ssl_certificate /etc/nginx/conf.d/a.com.crt;
        ssl_certificate_key /etc/nginx/conf.d/a.com.key;
        }
```
  方法二，将http与https放在同一个虚拟服务上，通过if判断协议来打破循环出错，如果不指定if条件判断（$scheme为控制协议的nginx系统变量），会跳转https后继续访问 / ，一次次匹配，直到报错
```
server {
        listen 80 default_server  ;
        listen 443 ssl;
        server_name www.a.com ;
        root /data/websiter1;
        ssl_certificate /etc/nginx/conf.d/a.com.crt;
        ssl_certificate_key /etc/nginx/conf.d/a.com.key;
        location /  {
                if ( $scheme = http ){         <==通过if判断，协议为http时跳转至https
                rewrite / https://www.a.com  ;
                }
        }
}
```
指令return用法
停止处理，并返回给客户端指定的响应码，对 301, 302, 303, 307, 308跳转到URL
1. 语法
  return code [text];
  return code URL;
  return URL;
2. 支持环境：server, location, if
3. 示例
  1. 停止处理，返回407，并显示自定义的提示信息
```
location /admin {
            return 403 "just do it!!!" ;
}
```
  2. 停止处理，返回307，跳转至百度上
```
location /admin {
        return 307  http://www.baidu.com ;
}
```
指令rewrite_log 用法，默认为off状态
是否开启重写日志, 发送至error_log（notice level）
1. 语法
  rewrite_log on | off;
2. 支持环境：http, server, location, if
指令set用法
为变量赋值，value 可包含：文本，变量，或文本和变量的组合
1. 语法
  set $variable value;
2. 支持环境： server, location, if
  用户自定义变量
  注意：变量定义和调用都要以$开头
指令if用法
指定判断条件condition，如果为真则执行{…}中指定的模块指令，并且将括号内的配置应用到 HTTP 请求上
1. 语法
  if (condition) { ... }
2. 支持环境： server, location
3. 判断条件condition
  1. 一个变量名; 如果这个变量为空字符串或者”0”,则为false
  2. 比较操作符
    1. =：相同
    2. !=：不同
    3. ~：模式匹配，区分字符大小写
    4. ~*：模式匹配，不区分字符大小写
    5. !~：模式不匹配，区分字符大小写
    6. !~*：模式不匹配，不区分字符大小写
  3. 文件及目录存在性判断：
    1. -e，!-e：存在与否（包括文件，目录，软链接）
    2. -f，!-f：文件
    3. -d，!-d：目录
    4. -x，!-x：执行
4. 示例
```
if ( $scheme = http ){         <==通过if判断，协议为http时跳转至https
                rewrite / https://www.a.com  ;
}
```

6.2.5 ngx_http_referer_module模块

用来阻止Referer首部无有效值的请求访问，可防止盗链

valid_referers
定义referer首部的合法可用值，不能匹配的将是非法值
1. 语法：valid_referers none|blocked|server_names|string ...;
2. 支持环境： server, location
3. 参数说明
  1. none：请求报文首部没有referer首部
  2. blocked：请求报文有referer首部，但没有有效值
  3. server_names：referer首部中包含本主机名
  4. arbitrary_string：任意字符串，但可使用*作通配符
  5. regular expression：被指定的正则表达式模式匹配到的字符串,要使用~开头，
4. 判断变量
  $invalid_referer：nginx变量，表示无效的首部
5. 示例
  例如：定义有效的b.com，拒绝无效的
```
valid_referers none block server_names *.b.com  b.*  ~\.baidu\.  ~\.google\.;
        if ($invalid_referer) {
                return 301 http://www.b.com;
        }
```

6.2.5 ngx_http_proxy_module模块

反向代理，转发请求至另一台主机

方向代理分类
1. 同构
  用户访问请求时http协议，代理到后端服务器也是http协议
2. 异构
  用户请求时所用协议与代理服务器联络后端服务器所用的协议不同，例如后端服务器为php服务器，客户端请求动态资源时使用http协议，代理服务器需要通过fastcgi协议联络php服务器
proxy_pass 用法
设置代理服务器的协议和地址以及应将位置映射到的可选URI；作为协议，可以指定“ http”或“ https”；该地址可以指定为域名或IP地址，以及可选端口
1. 配置语法：proxy_pass URL;
2. 支持环境：location, if in location, limit_except
3. 示例
  将用户请求转发至192.168.50.104，使用nginx做代理服务器不需要开启ip_forword转发，后端服务器接收到的请求报文ip为代理服务器Ip
```
 location / {
                proxy_pass  http://192.168.50.104/ ;
        }
```
4. 只转发部分目录，转发地址末尾不加/，表示将/bbs追加到转发地址后，效果为www.a.com/bbs=192.168.50.104/bbs；如果后端服务器停掉会返回错误码502，表示上游服务器无响应
  如果在转发地址加上/，表示将location定义的路径替代为转发地址，效果为www.a.com/bbs=192.168.50.104，返回的仍然是后端服务器默认目录
```
1. 'location只转发部分固定类型文件写法，使用正则表达时，转发地址结尾不能带/，否则属于语法错误'
location ~ \.txt$ {
        proxy_pass  http://192.168.50.104 ;
}
2, 'location只转发部分目录写法'
location /bbs {
       	标准端口写法
        proxy_pass  http://192.168.50.104 ;  <==结尾没有/
        非标准端口写法
        proxy_pass  http://192.168.50.104：8080;  <==支持端口映射
}
```
proxy_set_header使用方法
重新定义或将字段追加到发往后端主机的请求报文的请求首部的值，解决数据反向代理时信息丢失的问题
1. 语法：proxy_set_header field value;
2. 支持环境：http, server, location
3. 在后端服务器日志中显示真实访问客户端IP地址
  1. 修改后端服务器日志记录格式，增加客户端ip地址项%{clientip}i
```
[root@hai7-2 ~]$vim /etc/httpd/conf/httpd.conf
LogFormat "... \"%{clientip}i\"" combined
```
  2. 默认情况下，X-Forwarded-For请求头不会自动添加到请求头中，即Nginx Backend的$http_x_forwarded_for输出为空，所以需要通过proxy_set_header X-Real-IP $remote_addr;把真实客户端IP写入到X-Real-IP中
    在代理服务器上修改配置，将remote_addr追加至clientip中，此时remote_addr为客户端IP，所以clientip显示的值为客户端IP
    
    remote_addr：代表客户端的IP，但它的值不是由客户端提供的，而是服务端根据客户端的ip指定的，当你的浏览器访问某个网站时，假设中间没有任何代理，那么网站的web服务器（Nginx，Apache等）就会把remote_addr设为你的机器IP，如果你用了某个代理，那么你的浏览器会先访问这个代理，然后再由这个代理转发到网站，这样web服务器就会把remote_addr设为这台代理机器的IP
```
location / {
        proxy_pass  http://192.168.50.104 ;
        proxy_set_header  clientip    $remote_addr;  <==clientip为日志变量，将真实IP写入其中
}
```
  3. 使用客户端访问代理服务器，查看后端服务器日志记录，会生成，访问客户端的IP地址记录，示例中的192.168.50.102
```
[root@hai7-2 ~]$tail -f /var/log/httpd/access_log 
192.168.50.101 - - [14/Nov/2018:07:56:58 +0800] "GET / HTTP/1.0" 200 14 "-" "curl/7.29.0" "192.168.50.102"
```
4. 根据用户请求分别调度到对应后台服务器上
  1. 在后端服务器上基于FQDN设置3台虚拟机，分别为www.a.com，mobi.a.com，app.a.com
  2. 在代理服务器上配置策略，将不同的请求发送到响应虚拟机上，默认情况代理服务器转发用户请求时，只会保留下目标IP地址，后端服务器就会认为访问的是IP地址，返回默认地址；
    需要在代理服务器上增加新的头部信息让后端服务器识别FQDN，使用系统内建变量$host，可以在每个虚拟机中设置，也可以在http语句块中统一设置
```
server {
        listen 80 default_server  ;
        server_name www.a.com ;
        root /data/websiter1;
    location / {
                proxy_pass  http://192.168.50.104 ;
                proxy_set_header  host  $host;    <==追加主机名头部信息
        }
}
server {
        listen 80   ;
        server_name mobi.a.com ;
        location / {
                proxy_pass  http://192.168.50.104 ;
                proxy_set_header  host $host;
        }
}
server {
        listen 80   ;
        server_name app.a.com ;
        location / {
                proxy_pass  http://192.168.50.104 ;
                proxy_set_header  host  $host;   
        }
}
```
5. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  1. 说明
    把请求头中的X-Forwarded-For与$remote_addr用逗号合起来，如果请求头中没有X-Forwarded-For则$proxy_add_x_forwarded_for为$remote_addr
  2. 请求报文的标准格式如下：
    X-Forwarded-For: client1, proxy1, proxy2
    逗号+空格把多个IP地址区分开，最左边(client1)是最原始客户端的IP地址, 代理服务器每成功收到一个请求，就把请求来源IP地址添加到右边。
  3. 示例
    
    X-Forwarded-For：192.168.50.102, 192.168.50.101, 192.168.50.101
6. 同构代理动静分离设置
```
location ~ \.php$ {    <==访问php结尾的页面，代理发送至105
        proxy_pass  http://192.168.50.105 ;
        proxy_set_header  host $host;
}
location / {           <==其他没有指定的内容代理发送至104
        proxy_pass  http://192.168.50.104 ;
        proxy_set_header  clientip     $remote_addr;
        proxy_set_header  host $host;
}
```

proxy_cache_path;
定义可用于proxy功能的缓存；nginx接受到被代理服务器的数据后，通过proxybuffer机制将数据传递给客户端，通过proxycache将数据缓存到本地硬盘

配置语法

proxy_cache_path  path  [levels=levels] [use_temp_path=on|off] keys_zone=name:size 
				[inactive=time] [max_size=size] [manager_files=number] 
				[manager_sleep=time] [manager_threshold=time] [loader_files=number] 
				[loader_sleep=time] [loader_threshold=time] [purger=on|off] 
				[purger_files=number] [purger_sleep=time] [purger_threshold=time];

支持环境：http
参数说明
1. [levels=levels]：表示存放缓存的级别，缓存数据经过哈希运算，取多少级作为目录名，示例为三级，每级占1个16位字节
2. keys_zone=name:size：表示被调用时所使用的名字，同时设定大小（将用户请求的URI做哈希运算作为key放在内存中，对应的请求数据作为value放在磁盘中）
3. [inactive=time]：非活动时长

示例
在http配置定义缓存信息，levels表示生成3级目录，每一级占1个16位数可以生成16个目录；keys_zone表示起名为v9并将请求URI哈希值放在缓存中最大为20M；max_size=1g指磁盘存入文件内容的缓存空间最大值；inactive表示缓存有效期

1. '在主配置文件中http语句块中定义缓存'
[root@hai7-1 ~]$vim /etc/nginx/nginx.conf
	 proxy_cache_path  /var/cache/nginx/cache   levels=1:1:1  keys_zone=v9:20m  inactive=120s  max_size=1g;
2. '在子配置文件中修改虚拟主机设置，启用缓存功能'
[root@hai7-1 ~]$vim /etc/nginx/conf.d/vhosts.conf
proxy_cache v9      		     <==在主配置中定义的缓存名，表示启用缓存
proxy_cache_key $request_uri 		    <==在主配置中定义的缓存名
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;

proxy_cache zone | off; 默认off
指明调用的缓存，或关闭缓存机制；
支持环境：http, server, location
proxy_cache_key
设置nginx服务器在内存中为缓存数据建立索引时使用的关键字
1. 格式：proxy_cache_key string;
2. 默认值：proxy_cache_key $scheme $proxy_host $request_uri;
3. 支持环境：http, server, location
proxy_cache_valid ;
定义对特定响应码的响应内容的缓存时长
1. 配置格式：proxy_cache_valid [code …] time;
2. 支持环境：http, server, location
3. 示例
  为代码200和302的响应设置10分钟的缓存，为代码404的响应设置1分钟的缓存
```
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
```
proxy_cache_use_stale;
在被代理的后端服务器出现哪种情况下，可直接使用过期的缓存响应客户端
1. 配置格式
```
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...
```
2. 默认值
  proxy_cache_use_stale off;
3. 支持环境：http, server, location
proxy_cache_methods
对哪些客户端请求方法对应的响应进行缓存，GET和HEAD方法总是被缓存
1. 配置语法
  proxy_cache_methods GET | HEAD | POST ...;
2. 默认值
  proxy_cache_methods GET HEAD;
3. 支持环境：http, server, location
  ngx_http_proxy_module
proxy_hide_header field;
用于隐藏后端服务器特定的响应首部
1. 配置语法：proxy_hide_header field;
2. 支持环境：http, server, location
3. 示例：
  以默认客户端可以看到的首部字段ETag为例
```
[root@hai7-2 ~]$curl -i http://app.a.com
ETag: "e-57a8bc4ef60a2"   
Accept-Ranges: bytes
```
  在反向代理服务器上设置，再次产看，ETag会被隐藏
```
location / {
		proxy_hide_header  ETag;  
        }
```
proxy_connect_timeout
定义与后端服务器建立连接的超时时长，如超时会出现502错误，默认为60s，一般不建议超出75s
1. 配置语法：proxy_connect_timeout time;
2. 支持环境：http, server, location
proxy_send_timeout
将请求发送给后端服务器的超时时长；默认为60s
1. 配置语法：proxy_send_timeout time;
2. 支持环境：http, server, location
proxy_read_timeout
等待后端服务器发送响应报文的超时时长，默认为60s
1. 配置语法：proxy_read_timeout time;
2. 支持环境：http, server, location

6.2.6 ngx_http_headers_module模块

向由代理服务器响应给客户端的响应报文添加自定义首部，或修改指定首部的值

add_header
添加一个指定的字段到响应头部中，当响应码为200, 201 (1.3.10), 204, 206, 301, 302, 303, 304, 307 (1.1.16, 1.0.13), or 308 (1.13.0)，此添加头部为自定义项，字段名和值都由自己自定，值可以为变量；如果指定参数always，则不管响应码如何，都添加指定字段
1. 配置格式
  add_header name value [always];
2. 支持环境
  http, server, location, if in location
3. 示例
```
1. '在代理服务器上修改配置文件'
	add_header X-Via $server_addr;
	add_header X-Cache $upstream_cache_status（ nginx内部变量，用来显示缓存状态）;  
	add_header X-Accel $server_name;
2. '客户端测试'
[root@hai7-2 ~]$curl -i  www.a.com
X-Via: 192.168.50.101     <==头部信息新添加的部分
X-Cache: HIT
X-Accel: www.a.com
```
add_trailer（版本为1.13.2.之后支持）
将指定的字段添加到响应的末尾，条件是响应代码等于200、201、206、301、302、303、307或308，该值可以包含变量，如果指定参数always，则不管响应码如何，都添加指定字段
1. 配置语法：add_trailer name value [always];
2. 支持环境：http, server, location, if in location

6.2.7 ngx_http_fastcgi_module模块

转发请求到FastCGI服务器，nginx不支持php模块方式

fastcgi_pass
设置FastCGI服务器的地址，域名或IP地址和端口
1. 配置语法
  address：后端的fastcgi server的地址
  fastcgi_pass address;
2. 支持环境
  location, if in location
fastcgi_index
fastcgi默认的主页资源，URI的资源路径
1. 配置语法
  fastcgi_index name;
2. 支持环境
  http, server, location
3. 示例
  fastcgi_index index.php;

fastcgi_param
设置传递给FastCGI服务器的参数值，可以是文本，变量或组合，将 Nginx 中的变量翻译成 PHP 中能够理解的变量。
nginx支持http协议，要将用户的请求发送给后端的FastCGI，后端FastCGI使用的协议与http不同，需要与其协商达到互相通讯的目的，要传递给 FastCGI服务器的参数值，可以是文本，变量或组合，安装nginx后在有写好的参数文件（/etc/nginx/fastcgi_params.default ），直接调用即可，缺少一个参数用于告诉前端nginx服务器，php程序所在路径，SCRIPT_FILENAME /app/php$fastcgi_script_name，需要人为指定

配置语法
fastcgi_param parameter value [if_not_empty];
支持环境
http, server, location
对于PHP最少需要设置的变量，$fastcgi_script_name表示脚本文件请求的路径，也就是说当访问www.a.com/index.php的时候，需要读取网站根目录下面的index.php文件，如果没有配置这一配置项时，nginx不会去网站根目录下访问.php文件，所以返回空白
```
fastcgi_param SCRIPT_FILENAME /home/www/scripts/php$fastcgi_script_name;
fastcgi_param QUERY_STRING    $query_string;
```

示例：搭建fastcgi
方法一：独立设置php服务器
• 配置php服务器

安装php服务器，这里测试，不安装数据库

[root@hai7-2 ~]$yum install php-fpm

修改php服务器配置，使其可以对外提供服务器

[root@hai7-2 ~]$vim /etc/php-fpm.d/www.conf
listen = 0.0.0.0:9000      <==修改为监听本地所有地址的9000端口
#listen.allowed_clients = 127.0.0.1    <==注释掉此项，默认为允许所有人访问
pm.status_path = /status   <==启用此项，可以通过/status了解php工作情况
ping.path = /ping          <==测试此php服务器是否是活跃的
ping.response = pong       <==如果活跃，回应pong

建立php服务器测试页面，启动服务

[root@hai7-2 ~]$mkdir /data/php -pv
[root@hai7-2 ~]$vim  /data/php/test.php
<?php
    phpinfo();
?>
[root@hai7-2 ~]$systemctl start php-fpm.service

• 配置代理服务器nginx
设置fastcgi专用模块

[root@hai7-1 ~]$vim /etc/nginx/conf.d/php.conf 
server {
        listen 80 default_server  ;
        server_name www.a.com ;
        root /data/website1;
        index index.php;      <==定义默认主站点为php
        location ~ \.php$ {
                fastcgi_pass 192.168.50.105:9000;    <==指定fastcgi服务器地址及端口
                fastcgi_index text.php;   <==指定fastcgi默认的主页资源
                fastcgi_param SCRIPT_FILENAME /data/php$fastcgi_script_name; <==指定fastcgi服务器php程序存放路径
                include fastcgi_params;  <==调用协调参数文件		
        }
'通过/status和/ping来获取fpm server状态信息'
        location ~* ^/(status|ping)$ {    
                include fastcgi_params;
                fastcgi_pass 192.168.50.105:9000;
                fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
        }
        location / {
                proxy_pass  http://192.168.50.104 ;
        }
}

测试，获取fpm server状态信息

[root@hai7-2 ~]$curl  http://www.a.com/ping
pong
[root@hai7-2 ~]$curl  http://www.a.com/status  <==查看详细信息可以写成status?full

方法二：将fastcgi和nginx放在同一台服务器中
不需要监听9000端口了，可修改为监听socket文件，在nginx服务器上安装php-fpm，修改配置文件

[root@hai7-2 ~]$vim /etc/php-fpm.d/www.conf
listen=/run/php-fcgi.sock

修改nginx配置文件

 location ~ \.php$ {
                fastcgi_pass unix:/run/php-fcgi.sock;    <==将地址修改为监听套接字
                fastcgi_index text.php;   
                fastcgi_param SCRIPT_FILENAME /data/php$fastcgi_script_name; 
                include fastcgi_params;  	
        }

fastcgi_cache_path

配置格式

fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size
					[inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] 
					[manager_threshold=time] [loader_files=number] [loader_sleep=time] 
					[loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] 
					[purger_threshold=time];

支持环境：http
参数
1. path ：缓存位置为磁盘上的文件系统
2. max_size=size：磁盘path路径中用于缓存数据的缓存空间上限
3. levels=levels：缓存目录的层级数量，以及每一级的目录数量
4. inactive=time：非活动时长

fastcgi_cache
调用指定的缓存空间来缓存数据
1. 配置格式：fastcgi_cache zone | off;
2. 支持环境：http, server, location
fastcgi_cache_key
设置nginx服务器在内存中为缓存数据建立索引时使用的关键字
1. 配置格式：fastcgi_cache_key string;
2. 支持环境： http, server, location
3. 示例：fastcgi_cache_key $request_rui;
fastcgi_cache_methods
为哪些请求方法使用缓存
1. 配置格式：fastcgi_cache_methods GET | HEAD | POST ...;
2. 支持环境：http, server, location
3. 默认值： fastcgi_cache_methods GET HEAD;
fastcgi_cache_min_uses
缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方
可被认作活动项
1. 配置格式：fastcgi_cache_min_uses number;
2. 支持环境：http, server, location
3. 默认值：fastcgi_cache_min_uses 1;
fastcgi_keep_conn
收到后端服务器响应后，fastcgi服务器是否关闭连接，建议启用长连接，高于1.1.4版本支持
1. 配置格式：fastcgi_keep_conn on | off;
2. 支持环境：http, server, location
3. 默认设置：fastcgi_keep_conn off;
fastcgi_cache_valid
不同的响应码各自的缓存时长
1. 配置格式：fastcgi_cache_valid [code …] time;
2. 支持环境：http, server, location

示例

http {
fastcgi_cache_path /var/cache/nginx/fcgi_cache levels=1:2:1 
keys_zone=fcgicache:20m inactive=120s;
	server {
	location ~* \.php$ {
	...
	fastcgi_cache fcgicache;
	fastcgi_cache_key $request_uri;
	fastcgi_cache_valid 200 302 10m;
	fastcgi_cache_valid 301 1h;
	fastcgi_cache_valid any 1m;
	...
	}
}

6.2.8 ngx_http_upstream_module模块

用于将多个服务器定义成服务器组，而由proxy_pass, fastcgi_pass等指令进行引用，常用于配置反向代理调度器

upstream
定义后端服务器组，会引入一个新的上下文，默认调度算法是wrr，服务器可以监听不同的端口，监听TCP和UNIX域套接字的服务器可以混合使用
1. 配置语法：upstream name { ... }
2. 配置环境：http

server
在upstream上下文中server成员，以及相关的参数；

配置语法：server address [parameters]
配置环境：upstream

address的表示格式

unix:/PATH/TO/SOME_SOCK_FILE
IP[:PORT]
HOSTNAME[:PORT]

parameters
1. weight=number：权重，默认为1
```
server 192.168.50.104 weight=3;   
```
2. max_conns：连接后端报务器最大并发活动连接数，1.11.5后支持
3. max_fails=number：失败尝试最大次数；超出此处指定的次数时，server将被标记为不可用,默认为1
4. fail_timeout=time：后端服务器标记为不可用状态的连接超时时长，默认10s
5. backup：将服务器标记为“备用”，即所有服务器均不可用时才启用
6. down：标记为“不可用”，调度服务器就不会将请求发送至标记的后端服务器，可以用来实现灰度发布
```
server 192.168.50.104 down;
```

配置示例
在主配置文件http语句块中定义后端服务器组

[root@hai7-1 ~]$vim /etc/nginx/nginx.conf
http {      							<==主配置文件中的http语句块中
      upstream httpserver {       		<==自定义组名，本次实验命名为httpserver
        server 192.168.50.104;    		<==后端服务器地址，server为固定格式
        server 192.168.50.105;
        server 127.0.0.1:8080 backup;   <==定义备用服务器，当后端服务器都宕机时，备用服务器登场，端口需要独立指定，不能与后端服务器相同
      }

在http子配置文件中设置虚拟机

[root@hai7-1 ~]$vim /etc/nginx/conf.d/vhosts.conf
server {      					  <==设置备用虚拟服务器
        listen 8080;       		  <==端口设置，与主配置文件中定义的端口项匹配
        root /data/websiter1;
}
server {
        listen 80 default_server  ;
        server_name www.a.com ;
        root /data/websiter1;
        location / {
        proxy_pass  http://httpserver ;    <==代理调度地址为后端服务器组（在主配置中自定义的组名）
        }
}

ip_hash
源地址hash调度方法，将用户ip进行hash运算记录在调度服务器中，始终将记录的ip调度到同一个服务器中，实现会话绑定，与backup不兼容，二者只能设置一个；缺陷在于局域网中使用同一个公网IP，导致调度不合理，支持的语句块Context: upstream
1. 配置语法：ip_hash
2. 配置环境：upstream
3. 示例
```
  upstream httpserver { 	 <==在定义的upstream语句块中
  ip_hash;  				 <==在upstream中添加即可启用
  }
```
least_conn
最少连接调度算法，当server拥有不同的权重时其为wlc，当所有后端主机连接数相同时，则使用wrr，适用于长连接，Context: upstream
1. 配置语法： least_conn
2. 配置环境： upstream
3. 示例
```
upstream httpserver { 
      least_conn; 
```
hash
指定的key的hash表来实现对请求的调度，key可以直接文本、变量或二者组合，使用consistent参数，将使用ketama一致性hash算法，适用于后端是Cache服务器（如varnish）时使用
1. 配置语法：hash key [consistent]
2. 配置环境：upstream
3. 示例
  将$request_uri（nginx系统变量，表示请求URI）进行哈希运算取模，调度到响应缓存服务器
```
upstream httpserver { 
      hash $request_uri;   			<==权重hash算法
      hash $uri;   					<==使用变量$uri也可以
      hash $request_uri consistent  <==一致性hash算法
```
  如果指定为ip地址，功能与ip_hash相同
```
upstream httpserver {
		hash $remote_addr;
```
keepalive
为每个worker进程保留的空闲的长连接数量，可节约nginx端口，并减少连接管理的消耗，当超过此数字时，最近使用最少的连接将被关闭
1. 配置格式：keepalive connections;
2. 配置环境：upstream
3. 示例：keepalive 32;
health_check（仅付费版支持）
健康状态检测机制
1. 配置格式：health_check [parameters];
2. 配置环境：location
3. 常用参数：
  1. interval=time：检测的频率，默认为5秒
  2. fails=number：判定服务器不可用的失败检测次数；默认为1次
  3. passes=number：判定服务器可用的失败检测次数；默认为1次
  4. uri=uri：做健康状态检测测试的目标uri；默认为/
  5. match=NAME：健康状态检测的结果评估调用此处指定的match配置块
match（仅付费版支持）
对backend server做健康状态检测时，定义其结果判断机制；
1. 配置语法：match name { … }
2. 配置环境：http
3. 常用参数：
  1. status code[ code …]：期望的响应状态码
  2. header HEADER[operator value]：期望存在响应首部，也可对期望的响应首部的值基于比较操作符和值进行比较
  3. body：期望响应报文的主体部分应该有的内容
权重hash算法调度原理
假设三台缓存服务器的权重分别为1/2/3
1. 将用户IP，通过hash运算对6取模，得到0-5之间的一个数，将其调度到对应服务器
2. 如果服务器A宕机，则哈希运算需要对5取值，导致所有缓存服务器的缓存数据失效，同一时间大量缓存失效，导致所有请求之间发送到web服务器，服务器复制巨增，如果超出承受能力，则可能造成服务器宕机
一致性hash算法
1. 一致性hash算法将圆环上分布2^32个点，缓存服务器IP地址哈希运算后对2^32进行取模当做node，将需要放在缓存服务器的文件名进行哈希运算对2^32进行取模作为键
2. 例如键1、2会在环上沿顺时针方向前进，直到找到服务器A；键3、4存放到服务器B上
3. 如果A服务器宕机，则只有键1、2被重新调度到B，其他键不受影响
4. 当业务扩展需要增加服务器时，例如增加服务器D，哈希取模后位置在键5、6中间，只用服务器D和B之间的数据（键5）受影响，需要重新散列
5. 以上分布式理想分布情况，在实际应用中很可能出现 hash环的偏斜，如下图所示，所有的数据都缓存在服务器A中，所以A节点的负载会变高，容易也宕机，这样依次下去，这样造成整个集群都挂了
6. 基于上述问题，一致性hash算法引入了“虚拟节点”节点技术，将哈希的结果能够尽可能的分布到所有的缓冲中，使所有缓冲空间得到利用
  虚拟节点生成原理：假设ABC三台缓存服务器的权重分别为10/20/30，权重为10，就做9次(后端服务器IP哈希值+随机数)/2^32，得到9个虚拟节点，一次类推；理论上节点越多
  
  key的hash值在节点中的映射关系如下所示

6.2.9 ngx_stream_core_module模块

模拟反代基于tcp或udp的服务连接，即工作于传输层的反代或调度器

nginx的其它的二次发行版
1. Tengine：由淘宝网发起的Web服务器项目。它在Nginx的基础上，针对大
  访问量网站的需求，添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网，天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、易用的Web平台。从2011年12月开始，Tengine成为一个开源项目，官网 http://tengine.taobao.org/
2. OpenResty：基于 Nginx 与 Lua 语言的高性能 Web 平台

stream

配置格式：stream { … }
配置环境：main

示例

stream {
	upstream mysqlsrvs {
	server 192.168.22.2:3306; 
	server 192.168.22.3:3306; 
	least_conn;
	}
server {
	listen 10.1.0.6:3306;
	proxy_pass mysqlsrvs;
	}
}

listen
设置address和port用于服务器将接受连接的套接字。可以只指定端口。地址也可以是主机名

配置语法：

listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] 
					[ipv6only=on|off] [reuseport] 
					[so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

配置环境：server

6.2.10 ngx_stream_proxy_module模块

可实现代理基于TCP，UDP (1.9.13), UNIX-domain sockets的数据流

proxy_pass
指定后端服务器地址
1. 配置格式：proxy_pass address;
2. 配置环境：server
proxy_timeout
无数据传输时，保持连接状态的超时时长，默认为10m
1. 配置格式：proxy_timeout timeout;
2. 配置环境：stream, server
proxy_connect_timeout
设置nginx与被代理的服务器尝试建立连接的超时时长，默认为60s
1. 配置格式：proxy_connect_timeout time;
2. 配置环境：stream, server

示例

stream {
	upstream mysqlsrvs {
		server 192.168.0.10:3306;
		server 192.168.0.11:3306;
		hash $remote_addr consistent;
		}
	server {
		listen 172.16.100.100:3306;
		proxy_pass mysqlsrvs; 
		proxy_timeout 60s;
		proxy_connect_timeout 10s;
	}
}

7. 实现Nginx高并发Linux内核优化

由于默认的Linux内核参数考虑的是最通用场景，这明显不符合用于支持高并发访问的Web服务器的定义，所以需要修改Linux内核参数，是的Nginx可以拥有更高的性能,根据业务特点来进行调整，当Nginx作为静态web内容服务器、反向代理或者提供压缩服务器的服务器时，期内核参数的调整都是不同的，这里针对最通用的、使Nginx支持更多并发请求的TCP网络参数做简单的配置,修改/etc/sysctl.conf来更改内核参数

表示单个进程较大可以打开的句柄数
fs.file-max = 999999
参数设置为 1 ，表示允许将TIME_WAIT状态的socket重新用于新的TCP链接，这对于
服务器来说意义重大，因为总有大量TIME_WAIT状态的链接存在
net.ipv4.tcp_tw_reuse = 1
当keepalive启动时，TCP发送keepalive消息的频度；默认是2小时，将其设置为10分钟，可更快的清理无效链接
net.ipv4.tcp_keepalive_time = 600
当服务器主动关闭链接时，socket保持在FIN_WAIT_2状态的较大时间
net.ipv4.tcp_fin_timeout = 30
这个参数表示操作系统允许TIME_WAIT套接字数量的较大值，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000，过多的TIME_WAIT套接字会使Web服务器变慢
net.ipv4.tcp_max_tw_buckets = 5000
定义UDP和TCP链接的本地端口的取值范围
net.ipv4.ip_local_port_range = 1024 65000
定义了TCP接受缓存的最小值、默认值、较大值
net.ipv4.tcp_rmem = 10240 87380 12582912
定义TCP发送缓存的最小值、默认值、较大值
net.ipv4.tcp_wmem = 10240 87380 12582912
当网卡接收数据包的速度大于内核处理速度时，会有一个列队保存这些数据包。这个参数表示该列队的较大值
net.core.netdev_max_backlog = 8096
内核套接字，以下的四个参数，需要根据业务逻辑和实际的硬件成本来综合考虑
1. 表示内核套接字接受缓存区默认大小
  net.core.rmem_default = 6291456
2. 表示内核套接字发送缓存区默认大小
  net.core.wmem_default = 6291456
3. 表示内核套接字接受缓存区较大大小
  net.core.rmem_max = 12582912
4. 表示内核套接字发送缓存区较大大小
  net.core.wmem_max = 12582912
与性能无关。用于解决TCP的SYN攻击
net.ipv4.tcp_syncookies = 1
这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度，默认1024，将其
设置的大一些可使出现Nginx繁忙来不及accept新连接时，Linux不至于丢失客户端发起的链接请求
net.ipv4.tcp_max_syn_backlog = 8192
这个参数用于设置启用timewait快速回收
net.ipv4.tcp_tw_recycle = 1
选项默认值是128，这个参数用于调节系统同时发起的TCP连接数，在高并发的请求中，默认的值可能会导致链接超时或者重传，因此需要结合高并发请求数来调节此值。
net.core.somaxconn=262114
选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS攻击，不用过分依靠这个限制甚至认为的减小这个值，更多的情况是增加这个值
net.ipv4.tcp_max_orphans=262114
与性能无关。用于解决TCP的SYN攻击
net.ipv4.tcp_syncookies = 1
这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度，默认1024，将其
设置的大一些可使出现Nginx繁忙来不及accept新连接时，Linux不至于丢失客户端发起的链接请求
net.ipv4.tcp_max_syn_backlog = 8192
这个参数用于设置启用timewait快速回收
net.ipv4.tcp_tw_recycle = 1
选项默认值是128，这个参数用于调节系统同时发起的TCP连接数，在高并发的请求中，默认的值可能会导致链接超时或者重传，因此需要结合高并发请求数来调节此值。
net.core.somaxconn=262114
选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS攻击，不用过分依靠这个限制甚至认为的减小这个值，更多的情况是增加这个
net.ipv4.tcp_max_orphans=262114