Nginx学习知识点整理（学习脑图）

Nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器；Nginx可以作为一个HTTP服务器进行网站的发布处理，另外Nginx可以作为反向代理进行负载均衡的实现。

正向代理：比如访问国外某些网站，这时的做法是访问国外网站的代理服务器，我们将请求发送给代理服务器，代理服务器去访问国外的网站，然后将访问到的数据传递给我们。

正向代理最大的特点是客户端非常明确要访问的服务器地址；服务器只清楚请求来自哪个代理服务器，而不清除来自哪个具体的客户端；正向代理模式屏蔽或者隐藏了真实客户端信息。

反向代理：多个客户端给服务器发送的请求，Nginx服务器接收到之后，按照一定的规则发给了后端的业务处理服务器进行处理了。此时请求的来源也就是客户端是明确的，但是请求具体由哪台服务器处理的并不明确了。访问者并不知道自己访问的是一个代理。因为客户端不需要任何配置就可以访问。

常用配置文件

1. nginx.conf:应用程序基本配置文件
2. mime.types:MIME类型关联的扩展文件
3. fastcgi.conf:与fastcgi相关的配置
4. proxy.conf:与proxy相关的配置
5. sites.conf:配置Nginx提供的网站，包括虚拟机

模块划分

1. 事件驱动events

worker_connections number

每个worker进程所能够打开的最大并发连接数数量

use method

指明并发连接请求的处理方法，默认自动选择最优方法不用调整

如：use epoll;

Accept_mutex on|off互斥；

处理新的连接请求方法；on指由各个worker轮流处理新请求，off指每个新请求的到达都会通知（唤醒）所有的worker进程，但只有一个进程可获得连接，造成“惊群”，影响性能，默认为on

1. http核心模块

2.1 web服务模板

server{…} 配置一个虚拟主机

server{

  （1）基于port

listen PORT；指令监听在不同的端口

（2）基于ip的虚拟主机

listen IP：PORT；IP地址不同

（3）基于hostname

Server_name fqdn；指令指向不同的主机名

}

2.2 套接字相关配置

listen address[:port] [default_server] [ssl] [http2 | spdy] [backlog=number] [rcvbuf=size] [sndbuf=size]

default_server设定为默认虚拟主机

ssl限制仅能够通过ssl连接提供服务

backlog=number超过并发连接数后，新请求进入后援队列的长度

rcvbuf=size接收缓冲区大小

sndbuf=size发送缓冲区大小

2.3 server_name

server_name name…;

支持*统配任意长度的任意字符

server_name *.magedu.com www.magedu.*

支持~起始的字符做正则表达式模式匹配，性能原因慎用

server_name ~^www\d+\.magedu\.com$  #\d 表示 [0-9]

匹配优先级机制从高到低：

(1) 首先是字符串精确匹配 如： www.magedu.com

(2) 左侧*通配符 如： *.magedu.com

(3) 右侧*通配符 如： www.magedu.*

(4) 正则表达式 如： ~^.*\.magedu\.com$

(5) default_server

2.4 延迟发送选项

tcp_nodelay on | off;

tcp_nopush on | off;

在keepalived模式下的连接是否启用TCP_NODELAY选项

当为off时，延迟发送，合并多个请求后再发送

默认on时，不延迟发送

可用于： http, server, location

2.5 隐藏版本信息

server_tokens on | off | build | string

是否在响应报文的Server首部显示nginx版本

2.6 location匹配

location [ = | ~ | ~* | ^~ ] uri { ... }

location @name { ... }

在一个server中location配置段可存在多个，用于实现从uri到文件系统的路径映射； ngnix会根据

用户请求的URI来检查定义的所有location，并找出一个最佳匹配，而后应用其配置 

示例：

server {...

  server_name www.magedu.com;

  location /images/ {

    root /data/imgs/;

    }

}

http://www.magedu.com/images/logo.jpg

--> /data/imgs/images/logo.jpg 

=：对URI做精确匹配； 

^~：对URI的最左边部分做匹配检查，不区分字符大小写

 ~：对URI做正则表达式模式匹配，区分字符大小写

 ~*：对URI做正则表达式模式匹配，不区分字符大小写

 不带符号：匹配起始于此uri的所有的uri

 匹配优先级从高到低：

=, ^~, ～/～*, 不带符号

2.7 路径别名alias path

http://www.magedu.com/bbs/index.php

location /bbs/ {

  alias /web/forum/;

} --> /web/forum/index.html

location /bbs/ {

  root /web/forum/;

}   --> /web/forum/bbs/index.html 

 注意： location中使用root指令和alias指令的意义不同 

(a) root，相当于追加在root目录后面

(b) alias，相当于对location中的url进行替换

2.8错误页面显示

error_page code ... [=[response]] uri;

模块： ngx_http_core_module

定义错误页， 以指定的响应状态码进行响应

可用位置： http, server, location, if in location

error_page 404 /404.html

error_page 404 =200 /404.html #防止404页面被劫持

2.9 长连接相关配置

keepalive_timeout timeout [header_timeout];

设定保持连接超时时长， 0表示禁止长连接， 默认为75s

keepalive_requests number;

在一次长连接上所允许请求的资源的最大数量，默认为100

keepalive_disable none | browser ...

对哪种浏览器禁用长连接

send_timeout time;

向客户端发送响应报文的超时时长，此处是指两次写操作之间的间隔时长，而非

整个响应过程的传输时长

2.10请求报文缓存

client_body_buffer_size size;

用于接收每个客户端请求报文的body部分的缓冲区大小；默认为16k；超出此大小时，

其将被暂存到磁盘上的由client_body_temp_path指令所定义的位置

client_body_temp_path path [level1 [level2 [level3]]];

设定用于存储客户端请求报文的body部分的临时存储路径及子目录结构和数量 

目录名为16进制的数字；

client_body_temp_path /var/tmp/client_body 1 2 2

1 1级目录占1位16进制，即2^4=16个目录 0-f

2 2级目录占2位16进制，即2^8=256个目录 00-ff

2 3级目录占2位16进制， 即2^8=256个目录 00-ff

2.11对客户端进行限制相关配置

limit_rate rate;

限制响应给客户端的传输速率，单位是bytes/second 默认值0表示无限制

limit_except method ... { ... }，仅用于location

限制客户端使用除了指定的请求方法之外的其它方法 

method:GET, HEAD, POST, PUT, DELETE，MKCOL, COPY, MOVE, OPTIONS, PROPFIND,

PROPPATCH, LOCK, UNLOCK, PATCH

例：

limit_except GET {

  allow 192.168.1.0/24;

  deny all;

} 

除了GET和HEAD 之外其它方法仅允许192.168.1.0/24网段主机使用

1. 访问控制模块ngx_http_access_module

实现基于ip的访问控制功能

allow address | CIDR | unix: | all;

deny address | CIDR | unix: | all;

http, server, location, limit_except

自上而下检查，一旦匹配，将生效，条件严格的置前

示例：

location / {

  deny 192.168.1.1;

  allow 192.168.1.0/24;

  allow 10.1.1.0/16;

  allow 2001:0db8::/32;

  deny all;

}

1. 用户认证模块ngx_http_auth_basic_module

实现基于用户的访问控制，使用basic进行用户认证

auth_basic string | off;

auth_basic_user_file file;

location /admin/ {

  auth_basic "Admin Area";

  auth_basic_user_file /etc/nginx/.ngxpasswd;

}

用户口令：

1、明文文本：格式name:password:comment

2、加密文本：由htpasswd命令实现 httpd-tools所提供

htpasswd [-c第一次创建时使用] [-D删除用户] passwdfile  username

1. 状态查看模块 ngx_http_stub_status_module

用于输出nginx的基本状态信息

Active connections:当前状态，活动状态的连接数

accepts：统计总值，已经接受的客户端请求的总数

handled：统计总值，已经处理完成的客户端请求的总数

requests：统计总值，客户端发来的总的请求数

Reading：当前状态，正在读取客户端请求报文首部的连接的连接数

Writing：当前状态，正在向客户端发送响应报文过程中的连接数

Waiting：当前状态，正在等待客户端发出请求的空闲连接数 

示例：

location /status {

  stub_status;

  allow 172.16.0.0/16;

  deny  all;

}

1. 日志记录模块ngx_http_log_module

1、  log_format  name  string  ...;

string可以使用nginx核心模块及其它模块内嵌的变量

2、  access_log  path  [format  [buffer=size]  [gzip[=level]]  [flush=time]  [if=condition]];

access_log  off;

访问日志文件路径，格式及相关的缓冲的配置

buffer=size

flush=time 

示例

log_format  compression  '$remote_addr-$remote_user  [$time_local]  '

                          '"$request"  $status  $bytes_sent  '

                          '"$http_referer"  "$http_user_agent"  "$gzip_ratio"';

access_log  /spool/logs/nginx-access.log  compression  buffer=32k; 

json格式日志示例;log_format  json  '{"@timestamp":"$time_iso8601",'

                                  '"client_ip":"$remote_addr",'

                                  '"size":$body_bytes_sent,'

                                  '"responsetime":$request_time,'

                                  '"upstreamtime":"$upstream_response_time",'

                                  '"upstreamhost":"$upstream_addr",'

                                  '"http_host":"$host",'

                                  '"method":"$request_method",'

                                  '"request_uri":"$request_uri",'

                                  '"xff":"$http_x_forwarded_for",'

                                  '"referrer":"$http_referer",'

                                  '"agent":"$http_user_agent",'

                                  '"status":"$status"}';

3、  open_log_file_cache  max=N  [inactive=time]  [min_uses=N]  [valid=time];

open_log_file_cache  off;

缓存各日志文件相关的元数据信息

max：缓存的最大文件描述符数量

min_uses：在inactive指定的时长内访问大于等于此值方可被当作活动项

inactive：非活动时长

valid：验正缓存中各缓存项是否为活动项的时间间隔

例:  open_log_file_cache  max=1000  inactive=20s  valid=1m;

 

1. https模块ngx_http_ssl_module模块：

1、  ssl  on  |  off;

为指定虚拟机启用HTTPS  protocol，  建议用listen指令代替

2、  ssl_certificate  file;

当前虚拟主机使用PEM格式的证书文件

3、  ssl_certificate_key  file;

当前虚拟主机上与其证书匹配的私钥文件

4、  ssl_protocols  [SSLv2]  [SSLv3]  [TLSv1]  [TLSv1.1]  [TLSv1.2];

支持ssl协议版本，默认为后三个

5、  ssl_session_cache  off  |  none  |  [builtin[:size]]

[shared:name:size];

builtin[:size]：使用OpenSSL内建缓存，为每worker进程私有

[shared:name:size]：在各worker之间使用一个共享的缓存 

6、  ssl_session_timeout  time;

客户端连接可以复用ssl  session  cache中缓存的ssl参数的有

效时长，默认5m

示例：

server  {

    listen  443  ssl;

    server_name  www.magedu.com;

    root  /vhosts/ssl/htdocs;

    ssl  on;

    ssl_certificate  /etc/nginx/ssl/nginx.crt;

    ssl_certificate_key  /etc/nginx/ssl/nginx.key;

    ssl_session_cache  shared:sslcache:20m;

    ssl_session_timeout  10m;

}

1. 重定向模块ngx_http_rewrite_module

1、rewrite  regex  replacement  [flag] 

将用户请求的URI基于regex所描述的模式进行检查，匹配到时将其替换为replacement指定的新的URI

注意：如果在同一级配置块中存在多个rewrite规则，那么会自下而下逐个检查；被某条件规则替换

完成后，会重新一轮的替换检查

隐含有循环机制,但不超过10次；如果超过，提示500响应码，  [flag]所表示的标志位用于控制此循环

机制

如果replacement是以http://或https://开头，则替换结果会直接以重向返回给客户端 

[flag]：

last：重写完成后停止对当前URI在当前location中后续

的其它重写操作，而后对新的URI启动新一轮重写检查；提前重

启新一轮循环

break：重写完成后停止对当前URI在当前location中后

续的其它重写操作，而后直接跳转至重写规则配置块之后的其它

配置；结束循环，建议在location中使用

redirect：临时重定向，重写完成后以临时重定向方式直

接返回重写后生成的新URI给客户端，由客户端重新发起请求；

不能以http://或https://开头，使用相对路径，状态码：  302

permanent:重写完成后以永久重定向方式直接返回重写

后生成的新URI给客户端，由客户端重新发起请求，状态码：301 

例：

rewrite  ^/zz/(.*\.html)$  /zhengzhou/$1  break;

rewrite  ^/zz/(.*\.html)$  https://www.dianping/zhengzhou/$1  permanent;

2、  return

return  code  [text];

return  code  URL;

return  URL;

停止处理，并返回给客户端指定的响应码

3、  rewrite_log  on  |  off;

是否开启重写日志,  发送至error_log（notice  level）

4、  set  $variable  value;

用户自定义变量

注意：变量定义和调用都要以$开头

5、  if  (condition)  {  ...  }

引入新的上下文,条件满足时，执行配置块中的配置指令；  server,  location

condition：

比较操作符：

==  相同

!=  不同

~：模式匹配，区分字符大小写

~*：模式匹配，不区分字符大小写

!~：模式不匹配，区分字符大小写

!~*：模式不匹配，不区分字符大小写

文件及目录存在性判断：

-e,  !-e  存在（包括文件，目录，软链接）

-f,  !-f  文件

-d,  !-d  目录

-x,  !-x  执行 

浏览器分流示例：

if  ($http_user_agent  ~  Chrom)  {

    rewrite  ^(.*)$  /chrome/$1  break;                                                     

    }

if  ($http_user_agent  ~  MSIE)  {

    rewrite  ^(.*)$  /IE/$1  break;                                                     

    }

1. 引用模块ngx_http_referer_module

valid_referers  none|blocked|server_names|string  ...;

定义referer首部的合法可用值，不能匹配的将是非法值

none：请求报文首部没有referer首部

blocked：请求报文有referer首部，但无有效值

server_names：参数，其可以有值作为主机名或主机名模式

arbitrary_string：任意字符串，但可使用*作通配符

regular  expression：被指定的正则表达式模式匹配到的字符

串,要使用~开头，例如：  ~.*\.magedu\.com 

示例：

valid_referers  none  block  server_names  *.magedu.com

*.mageedu.com  magedu.*  mageedu.*  ~\.magedu\.;

if  ($invalid_referer)  {

return  403;

}

负载算法

1. 轮询（默认）

每个请求按照时间顺序逐一分配到不同的后端服务器，如果后端服务器down掉，能自动剔除。

1. weight

指定轮序几率，weight和访问比率成正比，用于后端服务器性能不均的情况

upstream  bakend  { 
server  192.168.0.14  weight=10; 
server  192.168.0.15  weight=10; 
}  

weight值越大访问比率越大

1. ip_hash

每个请求按照访问ip的hash结果分配，这样每个访客固定访问一个后端服务器，可以解决session的问题

upstream  bakend  { 
ip_hash; 
server  192.168.0.14:88; 
server  192.168.0.15:80; 
} 

1. fair(第三方)

按后端服务器的响应时间来分配请求，响应时间段的优先分配。

upstream  backend  { 
server  server1; 
server  server2; 
fair; 
} 

1. url_hash(第三方)

按访问url的hash结果来分配请求，使每个url定向到同一个后端服务器，后端服务器为缓存时比较有效