Nginx服务基本概念、配置详解和反向代理

-----------------------------------------------------------------------------------------------------------------------------------------

一、httpd MPM(多路处理模块):

(1)prefork:进程模型,两级结构,root用户开启主进程master负责生成子进程apache,每个子进程负责响应一个请求,兼容性相对于其它两种模式是最好的

(2)worker:线程模型,三级结构,主进程master负责生成子进程,每个子进程负责生成多个线程,每个线程响应一个请求

(3)event:线程模型,三级结构,主进程master负责生成子进程,每个子进程响应多个请求

二、I/O介绍:

PIO:应用程序的输入输出,file-->cpu-->ram,每次文件输入输出都要经过cpu,造成cpu很忙

DMA:直接内存访问,当cpu收到请求需要读取一个文件,cpu只需要发送一个指令就完了,不参与IO的过程,剩下的工作是DMAC(直接内存访问控制器)工作,将磁盘上的文件读入内存中

1、I/O分类:

网络IO:本质是socket读取

磁盘IO:

2、、每次IO,都要经由两个阶段:

第一步:将数据从磁盘文件先加载至内核内存空间(缓冲区),等待数据准备完成,时间较长

第二步:将数据从内核缓冲区复制到用户空间的进程的内存中,时间较短

3、同步/异步:关注的是消息通信机制

同步:synchronous,调用者等待被调用者返回消息,才能继续执行

异步:asynchronous,被调用者通过状态、通知或回调机制主动通知调用者被调用者的运行状态

4、阻塞/非阻塞:关注调用者在等待结果返回之前所处的状态

阻塞:blocking,指IO操作需要彻底完成后才返回到用户空间,调用结果返回之前,调用者被挂起

非阻塞:nonblocking,指IO操作被调用后立即返回给用户一个状态值,无需等到IO操作彻底完成,最终的调用结果返回之前,调用者不会被挂起

同步阻塞:调用者等待被调用者返回消息,调用结果返回之前,调用者被挂起

同步非阻塞

异步阻塞

异步非阻塞:最佳选择

5、I/O模型:

阻塞型、非阻塞型、复用型、信号驱动型、异步

6、同步阻塞IO模型

(1)同步阻塞IO模型是最简单的IO模型,用户线程在内核进行IO操作时被阻塞

(2)用户线程通过系统调用read发起IO读操作,由用户空间转到内核空间。内核等到数据包到达后,然后将接收的数据拷贝到用户空间,完成read操作

(3)用户需要等待read将数据读取到buffer后,才继续处理接收的数据。整个IO请求的过程中,用户线程是被阻塞的,这导致用户在发起IO请求时,不能做任何事情,对CPU的资源利用率不够

7、同步非阻塞IO模型,程序时不时询问内核数据是否准备好

(1)用户线程发起IO请求时立即返回。但并未读取到任何数据,用户线程需要不断地发起IO请求,直到数据到达后,才真正读取到数据,继续执行。即 “轮询”机制

(2)整个IO请求的过程中,虽然用户线程每次发起IO请求后可以立即返回,但是为了等到数据,仍需要不断地轮询、重复请求,消耗了大量的CPU的资源

(3)是比较浪费CPU的方式,一般很少直接使用这种模型,而是在其他IO模型中使用非阻塞IO这一特性

8、IO多路复用模型

(1)多个连接(用户请求,图中的select处)共用一个等待机制,本模型会阻塞进程,但是进程是阻塞在select或者poll这两个系统调用上,而不是阻塞在真正的IO操作上

(2)用户首先将需要进行IO操作添加到select中,继续执行做其他的工作(异步),同时等待select系统调用返回。当数据到达时,IO被激活,select函数返回。用户线程正式发起read请求,读取数据并继续执行

(3)从流程上来看,使用select函数进行IO请求和同步阻塞模型没有太大的区别,甚至还多了添加监视IO,以及调用select函数的额外操作,效率更差。并且阻塞了两次,但是第一次阻塞在select上时,select可以监控多个IO上是否已有IO操作准备就绪,即可达到在同一个线程内同时处理多个IO请求的目的。而不像阻塞IO那种,一次只能监控一个IO

(4)虽然上述方式允许单线程内处理多个IO请求,但是每个IO请求的过程还是阻塞的(在select函数上阻塞),平均时间甚至比同步阻塞IO模型还要长。如果用户线程只是注册自己需要的IO请求,然后去做自己的事情,等到数据到来时再进行处理,则可以提高CPU的利用率

(5)IO多路复用是最常使用的IO模型,但是其异步程度还不够“彻底”,因它使用了会阻塞线程的select系统调用。因此IO多路复用只能称为异步阻塞IO模型,而非真正的异步IO

(6)IO多路复用是指内核一旦发现进程指定的一个或者多个IO条件准备读取,就通知该进程

(7)IO多路复用适用如下场合:

当客户端处理多个描述符时(一般是交互式输入和网络套接口),必须使用I/O复用

当一个客户端同时处理多个套接字时,此情况可能的但很少出现

当一个TCP服务器既要处理监听套接字,又要处理已连接套接字,一般也要用到I/O复用

当一个服务器即要处理TCP,又要处理UDP,一般要使用I/O复用

当一个服务器要处理多个服务或多个协议,一般要使用I/O复用

9、信号驱动IO模型

(1)信号驱动IO:signal-driven I/O

(2)用户进程可以通过sigaction系统调用注册一个信号处理程序,然后主程序可以继续向下执行,当有IO操作准备就绪时,由内核通知触发一个SIGIO信号处理程序执行,然后将用户进程所需要的数据从内核空间拷贝到用户空间

(3)此模型的优势在于等待数据报到达期间进程不被阻塞。用户主程序可以继续执行,只要等待来自信号处理函数的通知

(4)该模型并不常用

10、异步IO模型

(1)异步IO与信号驱动IO最主要的区别是信号驱动IO是由内核通知何时可以进行IO操作,而异步IO则是由内核告诉用户线程IO操作何时完成。信号驱动IO当内核通知触发信号处理程序时,信号处理程序还需要阻塞在从内核空间缓冲区拷贝数据到用户空间缓冲区这个阶段,而异步IO直接是在第二个阶段完成后,内核直接通知用户线程可以进行后续操作了

(2)相比于IO多路复用模型,异步IO并不十分常用,不少高性能并发服务程序使用IO多路复用模型+多线程任务处理的架构基本可以满足需求。目前操作系统对异步IO的支持并非特别完善,更多的是采用IO多路复用模型模拟异步IO的方式(IO事件触发时不直接通知用户线程,而是将数据读写完毕后放到用户指定的缓冲区中)

11、五种IO模型总结

blocked:阻塞

sysnchronous:同步

asynchronous:异步

12、I/O模型的具体实现

主要实现方式有以下几种:

Select:Linux实现对应,I/O复用模型,BSD4.2最早实现

Poll:Linux实现,对应I/O复用模型,System V unix最早实现

Epoll:Linux实现,对应I/O复用模型,具有信号驱动I/O模型的某些特性

Kqueue:FreeBSD实现,对应I/O复用模型,具有信号驱动I/O模型某些特性

/dev/poll:SUN的Solaris实现,对应I/O复用模型,具有信号驱动I/O模型的某些特性

Iocp Windows实现,对应第5种(异步I/O)模型

13、select/poll/epoll

遍历:逐个去寻找

(1)Select:POSIX所规定,目前几乎在所有的平台上支持,其良好跨平台支持也是它的一个优点,本质上是通过设置或者检查存放fd标志位的数据结构来进行下一步处理,apache用的此机制

缺点:

单个进程可监视的fd数量被限制,即能监听端口的数量有限,cat /proc/sys/fs/file-max

对socket是线性扫描,即采用轮询的方法,效率较低

select 采取了内存拷贝方法来实现内核将 FD 消息通知给用户空间,这样一个用来存放大量fd的数据结构,这样会使得用户空间和内核空间在传递该结构时复制开销大

(2)poll:本质上和select没有区别,它将用户传入的数组拷贝到内核空间,然后查询每个fd对应的设备状态

其没有最大连接数的限制,原因是它是基于链表来存储的

大量的fd的数组被整体复制于用户态和内核地址空间之间,而不管这样的复制是不是有意义

poll特点是“水平触发”,如果报告了fd后,没有被处理,那么下次poll时会再次报告该fd

边缘触发:只通知一次

(3)epoll:在Linux 2.6内核中提出的select和poll的增强版本,nginx使用此机制

支持水平触发LT和边缘触发ET,最大的特点在于边缘触发,它只告诉进程哪些fd刚刚变为就需态,并且只会通知一次

使用“事件”的就绪通知方式,通过epoll_ctl注册fd,一旦该fd就绪,内核就会采用类似callback的回调机制来激活该fd,epoll_wait便可以收到通知

优点:

没有最大并发连接的限制:能打开的FD的上限远大于1024(1G的内存能监听约10万个端口)

效率提升:非轮询的方式,不会随着FD数目的增加而效率下降;只有活跃可用的FD才会调用callback函数,即epoll最大的优点就在于它只管理“活跃”的连接,而跟连接总数无关

内存拷贝,利用mmap(Memory Mapping)加速与内核空间的消息传递;即epoll使用mmap减少复制开销

三、NGINX介绍

1、Nginx:engine X ,2002年,开源,商业版

2、NGINX是免费,开源,高性能的HTTP和反向代理服务器,邮件代理服务器,通用TCP/UDP代理服务器

3、解决C10K问题(10K Connections)

4、官网:http://nginx.org

5、二次开发版:

Tengine, OpenResty(章亦春)

6、正向代理和反向代理

7、特性:

模块化设计,较好的扩展性

高可靠性

支持热部署:不停机更新配置文件,升级版本,更换日志文件

低内存消耗:10000个keep-alive连接模式下的非活动连接,仅需2.5M内存

event-driven,aio,mmap,sendfile

8、基本功能:

静态资源的web服务器

http协议反向代理服务器

pop3/imap4协议反向代理服务器

FastCGI(LNMP),uWSGI(python)等协议

模块化(非DSO),如zip,SSL模块

四、nginx的程序架构

1、web服务相关的功能:

虚拟主机(server)

支持 keep-alive 和管道连接

访问日志(支持基于日志缓冲提高其性能)

url rewirte

路径别名

基于IP及用户的访问控制

支持速率限制及并发数限制

重新配置和在线升级而无须中断客户的工作进程

Memcached 的 GET 接口

2、nginx的程序架构:master/worker结构

一个master进程:

负载加载和分析配置文件、管理worker进程、平滑升级

一个或多个worker进程

处理并响应用户请求

缓存相关的进程:

cache loader:载入缓存对象

cache manager:管理缓存对象

四、nginx高度模块化,但其模块早期不支持DSO机制;1.9.11版本支持动态装载和卸载

模块分类:

核心模块:core module

标准模块:

HTTP 模块: ngx_http_*

HTTP Core modules 默认功能

HTTP Optional modules 需编译时指定

Mail 模块 ngx_mail_*

Stream 模块 ngx_stream_*

第三方模块

1、核心模块:是 Nginx 服务器正常运行 必不可少 的模块,提供 错误日志记录 、 配置文件解析 、 事件驱动机制 、 进程管理 等核心功能

2、标准HTTP模块:提供 HTTP 协议解析相关的功能,比如: 端口配置 、 网页编码设置 、 HTTP响应头设置 等等

3、可选HTTP模块:主要用于扩展标准的 HTTP 功能,让 Nginx 能处理一些特殊的服务,比如: Flash 多媒体传输 、解析 GeoIP 请求、 网络传输压缩 、 安全协议 SSL 支持等

4、邮件服务模块:主要用于支持 Nginx 的 邮件服务 ,包括对 POP3 协议、 IMAP 协议和 SMTP协议的支持

5、第三方模块:是为了扩展 Nginx 服务器应用,完成开发者自定义功能,比如: Json 支持、 Lua 支持等

五、nginx的功用

1、静态的web资源服务器,比如说html,图片,js,css,txt等静态资源

2、结合FastCGI/uWSGI/SCGI等协议反向代理动态资源请求

3、http/https协议的反向代理

4、imap4/pop3协议的反向代理

5、tcp/udp协议的请求转发(反向代理)

六、nginx的安装

1、官方:

http://nginx.org/packages/centos/7/x86_64/RPMS

点进去

下一步

2、Fedora-EPEL:

https://mirrors.aliyun.com/epel/7/x86_64/,阿里现在提供的版本为1.12版

3、源码编译时注意家目录/var/lib/nginx

useradd -r -s /sbin/nologin nginx

./configure --prefix=/usr/local/nginx \

--conf-path=/etc/nginx/nginx.conf \

--error-log-path=/var/log/nginx/error.log \

--http-log-path=/var/log/nginx/access.log \

--pid-path=/var/run/nginx.pid \

--lock-path=/var/run/nginx.lock \

--user=nginx --group=nginx \

--with-http_ssl_module \

--with-http_v2_module \

--with-http_dav_module \

--with-http_stub_status_module \

--with-threads --with-file-aio

make && make install

更改源码:src/core/nginx.h

src/http/ngx_http_header_filter_module.c

编译安装nginx选项:

--prefix=/etc/nginx 安装路径

--sbin-path=/usr/sbin/nginx 指明nginx程序文件安装路径

--conf-path=/etc/nginx/nginx.conf 主配置文件安装位置

--error-log-path=/var/log/nginx/error.log 错误日志文件安装位置

--http-log-path=/var/log/nginx/access.log 访问日志文件安装位置

--pid-path=/var/run/nginx.pid 指明pid文件安装位置

--lock-path=/var/run/nginx.lock 锁文件安装位置

--http-client-body-temp-path=/var/cache/nginx/client_temp 客户端body部分的临时文件存放路径,服务器允许客户端使用put方法提交大数据时,临时存放的磁盘路径

--http-proxy-temp-path=/var/cache/nginx/proxy_temp 作为代理服务器,服务器响应报文的临时文件存放路径

--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp 作为fastcgi代理服务器,服务器响应报文的临时文件存放路径

--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp 作为uwsgi代理服务器,服务器响应报文的临时文件存放路径

--http-scgi-temp-path=/var/cache/nginx/scgi_temp 作为scgi反代服务器,服务器响应报文的临时文件存放路径

--user=nginx 指明以那个身份运行worker进程,主控master进程一般由root运行

--group=nginx

--with-http_ssl_module 表示把指定模块编译进来

编译完成后界面:

版本修改结果

七、nginx的使用

1、ls /usr/local/nginx/

html是测试页,sbin是主程序

2、ls /usr/local/nginx/sbin/

nginx 只有一个程序文件

3、ls /usr/local/nginx/html/

50x.html index.html 测试网页

4、systemctl start nginx.service,若用此命令开启,管理用systemctl命令

命令:nginx,启动nginx,若用此命令启动,管理用nginx -s命令     

-v,显示信息

-V,显示安装信息

-t,检查配置文件语法

-T,检查配置文件语法并显示配置文件内容

-q,配置文件压缩过程中不显示非错误信息

-s,发送信号,nginx -s stop quit reopen reload

-p,设置安装目录

-c,从哪读取配置文件

-g,设置全局设置

八、nginx配置

1、配置文件的组成部分:

(1)主配置文件:/etc/nginx.conf

子配置文件 :/etc/nginx/conf.d/*.conf

(2)fastcgi, uwsgi,scgi等协议相关的配置文件

(3)mime.types:支持的mime类型

2、主配置文件的配置指令:

directive value [value2 ...];

3、注意:

(1) 指令必须以分号结尾

(2) 支持使用配置变量

内建变量:由Nginx模块引入,可直接引用

自定义变量:由用户使用set命令定义

set variable_name value;

引用变量:$variable_name

4、主配置文件结构:四部

main block:主配置段,即全局配置段,对http,mail都有效

(1)event {

...

} 事件驱动相关的配置

(2)http {

...

} http/https 协议相关配置段

(3)mail {

...

} mail 协议相关配置段

(4)stream {

...

} stream 服务器相关配置段

5、Main 全局配置段常见的配置指令分类

(1)正常运行必备的配置

(2)优化性能相关的配置

(3)用于调试及定位问题相关的配置

(4)事件驱动相关的配置

帮助文档:http://nginx.org/en/docs/

6、正常运行必备的配置:

(1)user

指定以谁的身份运行worker进程,如组不指定,默认和用户名同名

Syntax: user user [group];

Default: user nobody nobody;

Context: main

默认nginx

进程

改为apache后

(2)pid /PATH/TO/PID_FILE;

指定存储nginx主进程PID的文件路径

(3)include file | mask;

指明包含进来的其它配置文件片断

(4)load_module file ;

模块加载配置文件: /usr/share/nginx/modules/*.conf

指明要装载的动态模块路径: /usr/lib64/nginx/modules

7、性能优化相关的配置:

(1)worker_processes number | auto;

worker进程的数量;通常应该为当前主机的cpu的物理核心数

(2)worker_cpu_affinity cpumask ...;,worker_cpu的亲缘性,worker进程绑定在哪颗cpu上工作

worker_cpu_affinity auto [cpumask] 提高缓存命中率

CPU上有缓存,而进程经常会切换CPU,切换CPU后原来CPU上的缓存就没法利用了,这样会影响当前效率

CPU MASK:

00000001:0号CPU,从0开始算第一颗CPU

00000010:1号CPU

10000000:7号CPU

worker_cpu_affinity 0001 0010 0100 1000;

worker_cpu_affinity 0101 1010;

(3)worker_priority number;

指定worker进程的nice值,设定worker进程优先级:[-20,20],值越小优先级越高

结果

(4)worker_rlimit_nofile number;

worker进程所能够打开的文件数量上限,如65535,表现形式为一个socket文件

8、事件驱动相关的配置:

events {

...

}

(1)worker_connections 10240;

每个worker进程所能够打开的最大并发连接数数量,如10240

总最大并发数:worker_processes * worker_connections

(2)use method;

指明并发连接请求的处理方法 ,默认自动选择最优方法

示例:use epoll;

(3)accept_mutex on | off;,on由各个worker接收新的进程,off每个新来的请求都会通知worker进程但最后只会有一个worker进程得到处理

处理新的连接请求的方法;on指由各个worker轮流处理新请求,Off指每个新请求的到达都会通知(唤醒)所有的worker进程,但只有一个进程可获得连接,造成“惊群”,影响性能

9、调试和定位问题:(一般测试环境用)

(1)daemon on|off;,在模块外面写

是否以守护进程方式运行nignx,默认是守护进程方式

(2)master_process on|off;

是否以master/worker模型运行nginx;默认为on,off 将不启动worker

(3)rror_log file [level] ;

错误日志文件及其级别;出于调试需要,可设定为debug;但debug仅在编译时使用了“--with-debug”选项时才有效

/path/logfile: 记录到文件中

stderr: 发送到标准错误

syslog:server-address[,parameter=values]  发送到syslog

memory:size 内存

level:debug|info|notice|warn|error|crit|alter|emerg  日志级别

九、http协议的相关配置:

http {

... ...

server {      -------->该语句块一定嵌套在http语句里

...

server_name

root

location [OPERATOR] /uri/ {

...

}

}

server {

...

}

}

1、ngx_http_core_module

与套接字相关的配置:

(1)server { ... }

配置一个虚拟主机

server {

listen address[:PORT]|PORT;

server_name SERVER_NAME;

root /PATH/TO/DOCUMENT_ROOT;

}

可以在路径/etc/nginx/conf.d/下新建文件

创建虚拟主机

在访问机的hosts文件添加解析,分别对www.a.com www.b.com wwwc.com进行curl

(2)listen PORT|address[:port]|unix:/PATH/TO/SOCKET_FILE

listen address[:port] [default_server] [ssl] [http2 | spdy] [backlog=number] [rcvbuf=size] [sndbuf=size];

default_server 设定为默认虚拟主机

ssl 限制仅能够通过ssl连接提供服务

backlog=number 超过并发连接数后,新请求进入后援队列的长度

rcvbuf=size 接收缓冲区大小

sndbuf=size 发送缓冲区大小

注意:

<1>基于port;listen PORT; 指令监听在不同的端口

<2> 基于ip的虚拟主机,listen IP:PORT; IP 地址不同

<3>基于hostnameserver_name fqdn; 指令指向不同的主机名 

当存在

且主配置文件中

结果为

原因为

当存在

结果理所当然为

clipboard.png

 (3)server_name name ...;

虚拟主机的主机名称后可跟多个由空白字符分隔的字符串

支持*通配任意长度的任意字符,server_name *.magedu.com www.magedu.*

支持~起始的字符做正则表达式模式匹配,性能原因慎用

server_name ~^www\d+\.magedu\.com$

说明: \d 表示 [0-9]

匹配优先级机制从高到低

<1>首先是字符串精确匹配 如:www.magedu.com

<2>左侧*通配符 如:*.magedu.com

<3>右侧*通配符 如:www.magedu.*

<4>正则表达式 如: ~^.*\.magedu\.com$

<5>default_server

(4)tcp_nodelay on | off;,对于用户端而要on,对于客户端要Off

长连接:连接建立后用户还可以发送多次请求

短连接:连接一次后立马断开

在keepalived模式下的连接是否启用TCP_NODELAY选项

当为off时,延迟发送,合并多个请求后再发送

默认On时,不延迟发送

可用于:http, server, location

(5)sendfile on | off;,为优化性能,此项最好是ON

是否启用sendfile功能,在内核中封装报文直接发送,默认Off

(6)server_tokens on | off | build | string

是否在响应报文的Server首部显示nginx版本

(7)定义路径相关的配置

root

设置web资源的路径映射;用于指明请求的URL所对应的文档的目录路径,可用于http, server, location, if in location

server {

...

root /data/www/vhost1;   ------>指定家目录的工作路径

}

当在nginx网站目录下创建软链接指向一个其它位置的文件,访问该软链接可以直接获得该文件,比如说

测试后有

(8)location [ = | ~ | ~* | ^~ ] uri { ... },用来定义访问资源的路径,路径是uri路径

location @name { ... }

在一个server中location配置段可存在多个,用于实现从uri到文件系统的路径映射;ngnix会根据用户请求的URI来检查定义的所有location,并找出一个最佳匹配,而后应用其配置

示例:

server {...

server_name www.a.com;

location /images/ {

root /data/imgs/;

}

}

http://www.a.com/images/logo.jpg

--> /data/imgs/images/logo.jpg

有配置

结果

= 对URI做精确匹配;

location = / {

...

}

http://www.a.com/ 匹配

http://www.a.com/index.html 不匹配

^~ 对URI做匹配检查,不区分字符大小写,匹配符合以后,停止往下搜索

~ 对URI做正则表达式模式匹配,区分字符大小写

~* 对URI做正则表达式模式匹配,不区分字符大小写

不带符号 匹配起始于此uri的所有的uri

匹配优先级从高到低:

=, ^~, ~/~*, 不带符号

(location =) > (location 完整路径) > (location ^~ 路径) > (location ~,~* 正则顺序) > (location 部分起始路径) > (/)

示例:

server {

root /vhosts/www/htdocs/ ;虽然根目录是在 /vhosts/www/htdocs/

location /admin/ {但location的定义是随着它语句下的root目录变化的

root /apps/app1/data/;

}

}

http://www.chenux.com/admin/index.html当访问网址的www.chenux.com/admin/index.html

--> /apps/app1/data/admin/index.html实质访问的是/apps/app1/data//admin/index.html

 

---------------------------------------------------------------------------------------------------------------------

location = / {http://www.chenux.com/

[ configuration A ]

}

---------------------------------------------------------------------------------------------------------------------

location / {http://www.chenux.com/index.html

[ configuration B ]

}

---------------------------------------------------------------------------------------------------------------------

location /documents/ {http://www.chenux.com/documents/logo.jpg

[ configuration C ]

}

---------------------------------------------------------------------------------------------------------------------

location ^~ /images/ {http://www.chenux.com/images/linux.txt

[ configuration D ]

}

---------------------------------------------------------------------------------------------------------------------

location ~* \.(gif|jpg|jpeg)$ {http://www.chenux.com/images/logo.jpeg

[ configuration E ]

}

(9)alias path;,只能在location里

路径别名,文档映射的另一种机制;仅能用于location上下文,放到alias里

示例:

http://www.magedu.com/bbs/index.html

location /bbs {

alias /web/forum/;

}

 --> /web/forum/index.html 注意: /bbs 后建议不要加 /

---------------------------------------------------------------------------------------------------------------------

location /bbs/ {

root /web/forum/;

}

--> /web/forum/bbs/index.html

注意:location中使用root指令和alias指令的意义不同

(a) root,给定的路径对应于location中的/uri 侧的/

(b) alias,给定的路径对应于location中的/uri 的完整路径,之后alias内目录内容将完整替换location中的目录

(10)index file ...;

指定默认网页文件,此指令由ngx_http_index_module模块提供

(11)error_page code ... [=[response]] uri;,实用的一项

模块:ngx_http_core_module

定义错误页,以指定的响应状态码进行响应

可用位置:http, server, location, if in location

error_page 404 /404.html,当页面报404的时候返回404.html

error_page 404 =200 /404.html,当页面报404的时候返回错误码200,此时指向页面404.html

演示一

演示二

附错误码

200:成功,请求数据通过响应报文的entity-body部分发送;OK

301:请求的URL指向的资源已经被删除;但在响应报文中通过首部Location指明了资源现在所处的新位置;Moved Permanently,永久重定向,该域名将被淘汰

302:响应报文Location指明资源临时新位置Moved Temporarily,临时重定向,域名保留

304:客户端发出了条件式请求,但服务器上的资源未曾发生改变,则通过响应此响应状态码通知客户端;Not Modified,利用浏览器自身的缓存进行响应

401:需要输入账号和密码认证方能访问资源;Unauthorized

403:请求被禁止;Forbidden

404:服务器无法找到客户端请求的资源;Not Found

500:服务器内部错误;Internal Server Error

502:代理服务器从后端服务器收到了一条伪响应,如无法连接到网关;Bad Gateway

503:服务不可用,临时服务器维护或过载,服务器无法处理请求

504:网关超时

(12)try_files file ... uri;,找不到连接了,给用户返回个文件

try_files file ... =code;

按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示为文件夹),如果所有文件或文件夹都找不到,会进行一个内部重定向到最后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误

location /images/ {

try_files $uri /images/default.gif;

}

说明:/images/default.gif是URI,当访问images下不存在的图片时候,将自动返回默认的页面default.gif

测试结果

---------------------------------------------------------------------------------------------------------------------

location / {

try_files $uri $uri/index.html $uri.html =404; 

}

---->尝试寻找链接,找不到就找链接下index.html,再找不到就找链接.html,再找不到则返回404码

(13)定义客户端请求的相关配置

<1>keepalive_timeout timeout [header_timeout];,非游戏网站调稍微短些

设定保持连接超时时长,0表示禁止长连接,默认为75s

<2>keepalive_requests number;

在一次长连接上所允许请求的资源的最大数量,默认为100

<3>keepalive_disable none | browser ...;

对哪种浏览器禁用长连接

<4>send_timeout time;

向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长,而非整个响应过程的传输时长

<5>client_body_buffer_size size;

用于接收每个客户端请求报文的body部分的缓冲区大小;默认为16k;超出此大小时,其将被暂存到磁盘上的由下面client_body_temp_path指令所定义的位置

<6>client_body_temp_path path [level1 [level2 [level3]]];

设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量

目录名为16进制的数字;

client_body_temp_path /var/tmp/client_body 1 2 2

1 1级目录占1位16进制,即2^4=16个目录 0-f

2 2级目录占2位16进制,即2^8=256个目录 00-ff

2 3级目录占2位16进制,即2^8=256个目录 00-ff

(14)对客户端进行限制的相关配置

<1>limit_rate rate;

限制响应给客户端的传输速率,单位是bytes/second

默认值0表示无限制

测试

<2>imit_except method ... { ... },仅用于location之内

限制客户端使用除了指定的请求方法之外的其它方法

method:GET, HEAD, POST, PUT, DELETE,MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH

limit_except GET {

allow 192.168.1.0/24;

deny all;

}

除了GET和HEAD 之外其它方法仅允许192.168.1.0/24网段主机使用

测试

(15)文件操作优化的配置

<1>aio on | off | threads[=pool];

是否启用aio功能

<2>directio size | off;

当文件大于等于给定大小时,例如directio 4m,同步(直接)写磁盘,而非写缓存

<3>open_file_cache off;,是否支持缓存

open_file_cache max=N [inactive=time];

nginx可以缓存以下三种信息:

[1]文件元数据:文件的描述符、文件大小和最近一次的修改时间

[2] 打开的目录结构

[3] 没有找到的或者没有权限访问的文件的相关信息

max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现管理,最近最少实用算法,到达上限后,最早的没使用的一项将被淘汰掉,从而保留最近的

inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次数少于open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项,将被删除

(16)open_file_cache_errors on | off;

是否缓存查找时发生错误的文件一类的信息

默认值为off

(17)open_file_cache_min_uses number;

open_file_cache指令的inactive参数指定的时长内,至少被命中此处指定的次数方可被归类为活动项

默认值为1

(18)open_file_cache_valid time;

缓存项有效性的检查频率

默认值为60s

2、ngx_http_access_module

ngx_http_access_module模块,可实现基于ip的访问控制功能

(1)allow address | CIDR | unix: | all;

(2)deny address | CIDR | unix: | all;

http, server, location, limit_except

自上而下检查,一旦匹配,将生效,条件严格的置前

示例:

location / {

deny 192.168.1.1;

allow 192.168.1.0/24;

allow 10.1.1.0/16;

allow 2001:0db8::/32;

deny all;

}

测试

3、ngx_http_auth_basic_module,验证模块

(1)ngx_http_auth_basic_module模块

实现基于用户的访问控制,使用basic机制进行用户认证

(2)auth_basic string | off;

(3)auth_basic_user_file file;

location /admin/ {

auth_basic "Admin Area";

auth_basic_user_file /etc/nginx/.ngxpasswd;

}

用户口令文件:

<1>明文文本:格式name:password:comment

<2>加密文本:由htpasswd命令实现

httpd-tools所提供

演示:

建立验证目录

yum -y install httpd-tools

利用htpasswd命令实现,

配置文件里添加

测试

命令行测试

4、ngx_http_stub_status_module模块

(1)用于输出nginx的基本状态信息

输出信息示例:

Active connections: 291

server accepts handled requests

16630948 16630948 31070465

上面三个数字分别对应accepts,handled,requests三个值

Reading: 6 Writing: 179 Waiting: 106

Active connections:当前状态,活动状态的连接数

accepts:统计总值,已经接受的客户端请求的总数

handled:统计总值,已经处理完成的客户端请求的总数

requests:统计总值,客户端发来的总的请求数

Reading:当前状态,正在读取客户端请求报文首部的连接的连接数

Writing:当前状态,正在向客户端发送响应报文过程中的连接数

Waiting:当前状态,正在等待客户端发出请求的空闲连接数

(2)stub_status;

示例:location /status {

stub_status;

allow 172.16.0.0/16;

deny all;

}

结果页面

5、ngx_http_log_module

ngx_http_log_module模块,指定日志格式记录请求

(1)log_format name string ...;

string可以使用nginx核心模块及其它模块内嵌的变量

(2)access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];

access_log off;

访问日志文件路径,格式及相关的缓冲的配置

    buffer=size

    flush=time 

(3)open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];

open_log_file_cache off;

缓存各日志文件相关的元数据信息

max:缓存的最大文件描述符数量

min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项

inactive:非活动时长

valid:验证缓存中各缓存项是否为活动项的时间间隔

6、ngx_http_gzip_module

(1)gzip on | off;

启用或禁用gzip压缩

(2)gzip_comp_level level;

压缩比由低到高:1 到 9

默认:1

(3)gzip_disable regex ...;

匹配到客户端浏览器不执行压缩

(4)gzip_min_length length;

启用压缩功能的响应报文大小阈值

(5)gzip_http_version 1.0 | 1.1;

设定启用压缩功能时,协议的最小版本

默认:1.1

(6)gzip_buffers number size;

支持实现压缩功能时缓冲区数量及每个缓存区的大小

默认:32 4k 或 16 8k

(7)gzip_types mime-type ...;

指明仅对哪些类型的资源执行压缩操作;即压缩过滤器

默认包含有text/html,不用显示指定,否则出错

(8)gzip_vary on | off;

如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”

(9)gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;

nginx充当代理服务器时,对于后端服务器的响应报文,在何种条件下启用压缩功能

off:不启用压缩

expired,no-cache, no-store,private:对后端服务器的响应报文首部Cache-Control值任何一个,启用压缩功能

示例:

gzip on;

gzip_comp_level 6;

gzip_min_length 64;

gzip_proxied any;

gzip_types text/xml text/css application/javascript;

gzip_vary on

7、ngx_http_ssl_module模块:,

(1)ssl on | off;

为指定虚拟机启用HTTPS protocol, 建议用listen指令代替

(2)ssl_certificate file;

当前虚拟主机使用PEM格式的证书文件

(3)ssl_certificate_key file;

当前虚拟主机上与其证书匹配的私钥文件

(4)ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 支持ssl协议版本,默认为后三个

(5)ssl_session_cache off | none | [builtin[:size]] [shared:name:size];

none: 通知客户端支持ssl session cache,但实际不支持

builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有

[shared:name:size]:在各worker之间使用一个共享的缓存

(6)ssl_session_timeout time;

客户端连接可以复用ssl session cache中缓存的有效时长,默认5m

注:一个装有nginx的物理主机可以实现多主机的https,apache实现不了此功能

示例:

server {

listen 443 ssl;

server_name www.magedu.com;

root /vhosts/ssl/htdocs;

ssl on;

ssl_certificate /etc/nginx/ssl/nginx.crt;

ssl_certificate_key /etc/nginx/ssl/nginx.key;  ---->基本的两项

ssl_session_cache shared:sslcache:20m;

ssl_session_timeout 10m;

}

演示:

1、简单生成自签名

cd /etc/pki/tls/certs

vim Makefile,注释此项可以在生成密钥时候不用输入密码

make a.crt

一台nginx服务器带两个含有ssl的https服务器,apache做不到

8、ngx_http_rewrite_module模块:

将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换

示例:

http://www.magedu.com/hn --> http://www.magedu.com/henan

http://www.magedu.com --> https://www.magedu.com/

(1)rewrite regex replacement [flag],rewrite 正则表达式 替代 flag

将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI

注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查

隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示的标志位用于控制此循环机制

如果replacement是以http://或https://开头,则替换结果会直接以重向返回给客户端, 即永久重定向301

[flag]:

last:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环,不建议在location中使用,默认

break:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使用

redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;使用相对路径,或者http://或https://开头,状态码:302

permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求,状态码:301

示例:当用户访问bbs时候跳转到forum

测试结果

此可以说明可以将/bbs目录删除也不会受影响,访问/bbs时候自动跳转到/forum

示例:域名跳转

示例:文件格式访问替换

示例:访问http跳转到https

或者

(2)return

return code [text]; 返回到指定的响应码

return code URL; 返回到指定的响应码并跳转到链接

return URL;

停止处理,并返回给客户端指定的响应码,对 301, 302, 303, 307, 308跳转到URL

(3)rewrite_log on | off;

是否开启重写日志, 发送至error_log(notice level)

(4)set $variable value;

用户自定义变量

注意:变量定义和调用都要以$开头

(5)if (condition) { ... }

条件满足时,执行配置块中的配置指令;server, location

condition:

比较操作符:

= 相同 != 不同

~ 模式匹配,区分字符大小写

~* 模式匹配,不区分字符大小写

!~ 模式不匹配,区分字符大小写

!~* 模式不匹配,不区分字符大小写

跳转http到https关键语句

文件及目录存在性判断:

-e,!-e 存在与否(包括文件,目录,软链接)

-f,!-f 文件 -d,!-d 目录 -x,!-x 执行

9、ngx_http_referer_module模块,防盗链,先定义有效的,再条件判断无效的将做怎样的处理

用来阻止Referer首部无有效值的请求访问,可防止盗链

(1)valid_referers none|blocked|server_names|string ...;

定义referer首部的合法可用值,不能匹配的将是非法值

none:请求报文首部没有referer首部

blocked:请求报文有referer首部,但无有效值

server_names:referer首部中包含本主机名

arbitrary_string:任意字符串,但可使用*作通配符

regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头,例如: ~.*\.chenux\.com

示例:

valid_referers none block server_names *.b *.b.com b.*b.* ~\.baidu\. ~\.google\. ;

if ($invalid_referer) {

#return 403 ;

return 301 http://www.b.com;

}

10、ngx_http_proxy_module模块:

转发请求至另一台主机,只能转发到一台

(1)proxy_pass URL;

<1>Context:location, if in location, limit_except

注意:proxy_pass后面路径不带uri时,会将location的uri传递(附加)给后端主机

server {

...

server_name HOSTNAME;

location /uri/ {

proxy_pass http://host[:port]; 最后没有/

}

...

}

上面示例:http://HOSTNAME/uri --> http://host/uri

如果上面示例中有 /,即:http://host[:port]/

意味着:http://HOSTNAME/uri --> http://host/ 即置换

<2>proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的uri

server {

...

server_name HOSTNAME;

location /uri/ {

proxy_pass http://host/new_uri/;

}

...

}

http://HOSTNAME/uri/ --> http://host/new_uri/

<3>如果location定义其uri时使用了正则表达式的模式,则proxy_pass之后必须不能使用uri; 用户请求时传递的uri将直接附加至后端服务器之后

server {

...

server_name HOSTNAME;

location ~|~* /uri/ {

proxy_pass http://host; 不能加/

}

...

}

http://HOSTNAME/uri/ --> http://host/uri/

示例,根据输入不同的主机名反向代理到不同主机

首先有nginx配置

其次有apache内虚拟主机配置

最后有结果

<4>proxy_set_header field value;,反向代理后请求报文头部会丢失,此选项可做添加

设定发往后端主机的请求报文的请求首部的值

Context: http, server, location

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

请求报文的标准格式如下:

X-Forwarded-For: client1, proxy1, proxy2

示例:

1、在apache服务器上的主配置有:

2、在nginx反向代理服务器的配置有

3、

<5>proxy_cache_path;

定义可用于proxy功能的缓存;Context:http,内容只能在http里写

proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time]; 

<6>proxy_cache zone | off; 默认off

指明调用的缓存,或关闭缓存机制;Context:http, server, location

<7>proxy_cache_key string;

缓存中用于“键”的内容

默认值:proxy_cache_key $scheme$proxy_host$request_uri;

<8>proxy_cache_valid [code ...] time;

定义对特定响应码的响应内容的缓存时长

定义在http{...}中

示例:

proxy_cache_valid 200 302 10m;

proxy_cache_valid 404 1m;

示例:在http配置定义缓存信息

proxy_cache_path /var/cache/nginx/proxy_cache

levels=1:1:1 keys_zone=proxycache:20m

inactive=120s max_size=1g;

说明:proxycache:20m 指内存中缓存的大小,主要用于存放key和metadata(如:使用次数)

max_size=1g 指磁盘存入文件内容的缓存空间最大值

调用缓存功能,需要定义在相应的配置段,如server{...};

proxy_cache proxycache;

proxy_cache_key $request_uri;

proxy_cache_valid 200 302 301 1h;

proxy_cache_valid any 1m;

示例:开启缓存功能

再到nginx单独配置主机的配置文件中添加

当curl后会在自定义的目录里产生缓存

<9>proxy_cache_use_stale;

proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...

在被代理的后端服务器出现哪种情况下,可直接使用过期的缓存响应客户端

<10>proxy_cache_methods GET | HEAD | POST ...;

对哪些客户端请求方法对应的响应进行./缓存

,GET和HEAD方法总是被缓存

<11>proxy_hide_header field;

默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad, X-Accel-等,用于隐藏后端服务器特定的响应首部

<12>proxy_connect_timeout time;

定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为60s,一般不建议超出75s

<13>proxy_send_timeout time;

将请求发送给后端服务器的超时时长;默认为60s

<14>proxy_read_timeout time;

等待后端服务器发送响应报文的超时时长,默认为60s

11、ngx_http_headers_module模块

向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的值

(1)add_header name value [always];

添加自定义首部

add_header X-Via $server_addr;

add_header X-Cache $upstream_cache_status;

add_header X-Accel $server_name;

$upstream_cache_status:查看后端服务器得到的缓存状态,命中、未命中、过期等等

示例

结果

(2)add_trailer name value [always];

添加自定义响应信息的尾部

附:动静分离关键代码(一台httpd,另一台http+php)

同构拓扑图

关键代码

12、ngx_http_fastcgi_module

ngx_http_fastcgi_module模块,转发请求到FastCGI服务器,不支持php模块方式

(1)fastcgi_pass address;,后端服务器为fastcgi,反向代理必须用此选项

address为后端的fastcgi server的地址

可用位置:location, if in location

(2)fastcgi_index name;

fastcgi默认的主页资源

示例:fastcgi_index index.php;

(3)fastcgi_param parameter value [if_not_empty];

设置传递给 FastCGI服务器的参数值,可以是文本,变量或组合

参数在/etc/nginx/fastcgi_params.default文件中

示例1:

[1]在后端服务器先配置fpm server和mariadb-server

[2]在前端nginx服务上做以下配置:

location ~* \.php$ {

fastcgi_pass 后端fpm服务器IP:9000;

fastcgi_index index.php;

fastcgi_param SCRIPT_FILENAME /app/php$fastcgi_script_name;

include fastcgi_params;

}

示例2:通过/pm_status和/ping来获取fpm server状态信息

location ~* ^/(pm_status|ping)$ {

include fastcgi_params;

fastcgi_pass 后端fpm服务器IP:9000;

fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;

}

(4)fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

定义fastcgi的缓存;

path 缓存位置为磁盘上的文件系统

max_size=size

磁盘path路径中用于缓存数据的缓存空间上限

levels=levels:缓存目录的层级数量,以及每一级的目录数量

levels=ONE:TWO:THREE

示例:leves=1:2:2

keys_zone=name:size

k/v映射的内存空间的名称及大小

inactive=time

非活动时长

(5)fastcgi_cache zone | off;

调用指定的缓存空间来缓存数据

可用位置:http, server, location

(6)fastcgi_cache_key string;

定义用作缓存项的key的字符串

示例:fastcgi_cache_key $request_rui;

(7)fastcgi_cache_methods GET | HEAD | POST ...;

为哪些请求方法使用缓存

(8)fastcgi_cache_min_uses number;

缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方可被认作活动项

(9)fastcgi_keep_conn on | off;

收到后端服务器响应后,fastcgi服务器是否关闭连接,建议启用长连接

(10)fastcgi_cache_valid [code ...] time;

不同的响应码各自的缓存时长

示例:

http {

fastcgi_cache_path /var/cache/nginx/fcgi_cache levels=1:2:1 keys_zone=fcgicache:20m inactive=120s;

...

server {

location ~* \.php$ {

...

fastcgi_cache fcgicache;

fastcgi_cache_key $request_uri;

fastcgi_cache_valid 200 302 10m;

fastcgi_cache_valid 301 1h;

fastcgi_cache_valid any 1m;

...

}

}

类似于代理服务器缓存,依旧是放在server内

实验:异构fastcgi转发

1、安装配置启动php

yum -y install php-fpm

vim /etc/php/www.conf

 

mkdir /data/php -pv,cp test.php /data/php

systemctl start php-fpm

2、vim /etc/nginx/conf.d/*.conf

或者这么加

其余项

或者fastcgi_pass后走套接字,而不走网络端口

3、安装数据库

yum -y install php-mysql mariadb-server

create database wpdb;

grant all privileges on wpdb.* to 'wpuser'@'localhost' identified by 'wpps'

4、cp -a wordpress/ /data/php

vim wp-config.php

填写数据库名称用户密码等

systemctl restart php-fpm

5、因为动静分离,nginx网站目录也需要放一个wordpress

13、ngx_http_upstream_module模块,后台调度模块,自备健康性检查功能

用于将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令进行引用

(1)upstream name { ... }

定义后端服务器组,会引入一个新的上下文

默认调度算法是wrr

Context: http

upstream httpdsrvs {

server ...

server...

...

}

(2)server address [parameters];

在upstream上下文中server成员,以及相关的参数;Context:upstream

address的表示格式:

unix:/PATH/TO/SOME_SOCK_FILE

IP[:PORT]

HOSTNAME[:PORT]

parameters:

weight=number 权重,默认为1

max_conns 连接后端报务器最大并发活动连接数,1.11.5后支持

max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标记为不可用,默认为1

fail_timeout=time 后端服务器标记为不可用状态的连接超时时长,默认10s

backup 将服务器标记为“备用”,即所有服务器均不可用时才启用,用于sorry server

down 标记为“不可用”,实现灰度发布

示例:实现简单的nginx调度

首先在/etc/nginx/nginx.conf中有

并且

或者此处在在/etc/nginx/conf.d/*.conf中加这段,一样效果

然后在/etc/nginx/conf.d/*.conf中有

最后测试结果

(3)ip_hash 源地址hash调度方法,基于ip地址哈希值调度到后端服务器

(4)least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc,当所有后端主机连接数相同时,则使用wrr,适用于长连接

(5)hash key [consistent] 基于指定的key的hash表来实现对请求的调度,此处的key可以直接文本、变量或二者组合

作用:将请求分类,同一类请求将发往同一个upstream server,使用consistent参数,将使用ketama一致性hash算法,适用于后端是Cache服务器(如varnish)时使用

hash $request_uri consistent;,目标地址哈希,当用户访问同一uri时都会调度到同一台主机

hash $remote_addr;,变向的和ip_hash算法类似,根据客户端地址分配后台服务器

(6)keepalive 连接数N;

为每个worker进程保留的空闲的长连接数量,可节约nginx端口,并减少连接管理的消耗

(7)health_check [parameters];,注意:仅对nginx plus有效,收费版

健康状态检测机制;只能用于location上下文

常用参数:

interval=time检测的频率,默认为5秒

fails=number:判定服务器不可用的失败检测次数;默认为1次

passes=number:判定服务器可用的失败检测次数;默认为1次

uri=uri:做健康状态检测测试的目标uri;默认为/

match=NAME:健康状态检测的结果评估调用此处指定的match配置块 

(8)match name { ... },注意:仅对nginx plus有效,收费版

对backend server做健康状态检测时,定义其结果判断机制;只能用于http上下文

常用的参数:

status code[ code ...]: 期望的响应状态码

header HEADER[operator value]:期望存在响应首部,也可对期望的响应首部的值基于比较操作符和值进行比较

body:期望响应报文的主体部分应该有的内容

14、nginx的其它的二次发行版:

Tengine:由淘宝网发起的Web服务器项目。它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网,天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、易用的Web平台。从2011年12月开始,Tengine成为一个开源项目,官网 http://tengine.taobao.org/

OpenResty:基于 Nginx 与 Lua 语言的高性能 Web 平台

ngx_stream_core_module模块

模拟反代基于tcp或udp的服务连接,即工作于传输层的反代或调度器

15、ngx_stream_proxy_module模块

可实现代理基于TCP,UDP (1.9.13), UNIX-domain sockets的数据流

(1)proxy_pass address;

指定后端服务器地址

(2)proxy_timeout timeout;

无数据传输时,保持连接状态的超时时长

默认为10m

(3)proxy_connect_timeout time;

设置nginx与被代理的服务器尝试建立连接的超时时长

默认为60s

实现结果是telnet IP时候telnet的后台服务器在轮询

16、实现Nginx高并发Linux内核优化

由于默认的Linux内核参数考虑的是最通用场景,这明显不符合用于支持高并发访问的Web服务器的定义,所以需要修改Linux内核参数,是的Nginx可以拥有更高的性能,根据业务特点来进行调整,当Nginx作为静态web内容服务器、反向代理或者提供压缩服务器的服务器时,期内核参数的调整都是不同的,这里针对最通用的、使Nginx支持更多并发请求的TCP网络参数做简单的配置,修改/etc/sysctl.conf来更改内核参数

fs.file-max = 999999

表示单个进程较大可以打开的句柄数

net.ipv4.tcp_tw_reuse = 1

参数设置为 1 ,表示允许将TIME_WAIT状态的socket重新用于新的TCP链接,这对于服务器来说意义重大,因为总有大量TIME_WAIT状态的链接存在

net.ipv4.tcp_keepalive_time = 600

当keepalive启动时,TCP发送keepalive消息的频度;默认是2小时,将其设置为10分钟,可更快的清理无效链接

net.ipv4.tcp_fin_timeout = 30

当服务器主动关闭链接时,socket保持在FIN_WAIT_2状态的较大时间

net.ipv4.tcp_max_tw_buckets = 5000

这个参数表示操作系统允许TIME_WAIT套接字数量的较大值,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000,过多的TIME_WAIT套接字会使Web服务器变慢

net.ipv4.ip_local_port_range = 1024 65000

定义UDP和TCP链接的本地端口的取值范围

net.ipv4.tcp_rmem = 10240 87380 12582912

定义了TCP接受缓存的最小值、默认值、较大值

net.ipv4.tcp_wmem = 10240 87380 12582912

定义TCP发送缓存的最小值、默认值、较大值

net.core.netdev_max_backlog = 8096

当网卡接收数据包的速度大于内核处理速度时,会有一个列队保存这些数据包。这个参数表示该列队的较大值

net.core.rmem_default = 6291456

表示内核套接字接受缓存区默认大小

net.core.wmem_default = 6291456

表示内核套接字发送缓存区默认大小

net.core.rmem_max = 12582912

表示内核套接字接受缓存区较大大小

net.core.wmem_max = 12582912

表示内核套接字发送缓存区较大大小

注意:这四个参数,需要根据业务逻辑和实际的硬件成本来综合考虑

net.ipv4.tcp_syncookies = 1

与性能无关。用于解决TCP的SYN***

net.ipv4.tcp_max_syn_backlog = 8192

这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度,默认1024,将其设置的大一些可使出现Nginx繁忙来不及accept新连接时,Linux不至于丢失客户端发起的链接请求

net.ipv4.tcp_tw_recycle = 1

这个参数用于设置启用timewait快速回收

net.core.somaxconn=262114

选项默认值是128,这个参数用于调节系统同时发起的TCP连接数,在高并发的请求中,默认的值可能会导致链接超时或者重传,因此需要结合高并发请求数来调节此值。

net.ipv4.tcp_max_orphans=262114

选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS***,不用过分依靠这个限制甚至认为的减小这个值,更多的情况是增加这个值