运维笔记-nginx详解

目录

1.简介

2.正向代理与反向代理

3.nginx的安装部署（基于Centos 8-stream操作系统）

4.nginx配置文件详解

5.高效的Web服务器-nginx

5.1nginx服务器基本配置 

5.2nginx-基于IP的访问控制

5.2基于授权的访问控制

5.3apache与nginx的访问控制对比

6.反向代理服务器-nginx

6.1.配置环境说明

6. 2.反向代理配置

6.3.负载均衡

7.工作状态统计监控开启

8.nginx实现动静态文件分离

8.1匹配规则介绍

 8.2动静态文件分离配置

---

1.简介

nginx因为它的稳定性、丰富的模块库、灵活的配置和低系统资源的消耗而得到广泛使用。当它用作Web服务器时，相比较于apache，它在处理静态文件方面效率更高，具有高并发、占用资源少的优点。其次它作为反向代理的时候，可以实现负载均衡。本篇文章主要从这两个主要功能来介绍nginx

2.正向代理与反向代理

这里插播一条介绍，nginx一大功能是反向代理，什么是反向代理？而与之相对的正向代理又是什么？两者又有何区别？

正向代理与反向代理部署位置都是在客户端与服务端之间，正向代理代理的是客户端，反向代理代理的是服务端。正向代理可以隐藏客户端信息，解决访问限制的问题，可以用缓存提高访问效率，也可以访问一些正常无法访问的网站（譬如外网等）。反向代理隐藏服务端网络信息，起到一个安全保护的作用，且可以实现负载均衡。

3.nginx的安装部署（基于Centos 8-stream操作系统）

nginx的安装很简单，这里介绍的是使用yum一键安装所需软件包，然后进行编译安装。所需要安装的软件有：zlib、zlib-devel、pcre、pcre-devel、openssl、openssl-devel、GCC

1、使用如下命令进行安装软件包

yum install -y zlib zlib-devel openssl openssl-devel gcc pcre pcre-devel

2、软件包安装完成后，从以下网站下载nginx的tar包，可自定义下载路径，然后解压

wget http://nginx.org/download/nginx-1.21.6.tar.gz

3、解压命令

tar -zxvf nginx-1.21.6.tar.gz

4、解压后进入nginx-1.21.6目录，由于后续可能需要用到安全认证和状态监控功能，所以可先执行如下命令安装两个模块http_stub_status_module 和http_ssl_module

./configure --with-http_stub_status_module --with-http_ssl_module

5、然后开始安装

make && make install

6、安装完成后，nginx服务默认安装路径在/usr/local/nginx/，如下命令启动nginx服务

/usr/local/nginx/sbin/nginx 

7、nginx常用命令

/usr/local/nginx/sbin/nginx -s reload     //重启nginx服务，配置文件修改后重新加载

/usr/local/nginx/sbin/nginx -s stop       //停止nginx服务

/usr/local/nginx/sbin/nginx -t            //检查nginx配置文件

/usr/local/nginx/sbin/nginx -v            //查看nginx版本号

/usr/local/nginx/sbin/nginx -V            //查看nginx已经编译的参数，可以看到这里有刚刚安装的两 
                                            个模块http_stub_status和http_ssl

4.nginx配置文件详解

以下是默认安装的nginx默认配置文件，nginx配置文件路径：/usr/local/nginx/conf/nginx.conf  

nginx配置文件最外层的块是main，main包含events块、http块，而http块中有upstream和一个或多个server块，server块中又有一个或多个location块

//全局配置
#user  nobody;          //默认用户，nobody是一个不能登录的用户，只能看到所有人均可读可写的文 
                          件，用来完成特定的任务，不能登录是为了安全，防止入侵
worker_processes  1;    //工作进程，nginx一般是一个master进程加一个或多个工作进程，这里定义工 
                          作进程数量。该参数一般建议与CPU数量一致

#error_log  logs/error.log;  //错误日志路径，以下可定义错误日志级别，debug模式日志最详细
#error_log  logs/error.log  notice; 
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;  //进程id文件，nginx启动时记载进程号的文件


events {
    use  epoll              //定义nginx工作模式，参数有select/poll/epoll/kqueue/等，epoll是 
                              高效的网络IO模式，一般在linux系统使用；kqueue一般在FreeBSD系统 
                              中使用
    worker_connections  1024; //每个工作进程允许的最大连接数，nginx的最大客户端连接数 
                                =worker_connections*worker_processes
}


http {
    include       mime.types;      //引用mime.types文件中的mime类型定义
    default_type  application/octet-stream;  //定义默认类型为任意的二进制流

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"'; //定义日志文件内容格 
                                                                       式,main为此格式名称

    #access_log  logs/access.log  main;  //日志文件路径并引用上面定义的名为main的日志格式

    sendfile        on;   //高效文件传输模式开关，提高文件读写效率，一般在做Web服务器时打开开关
    #tcp_nopush     on;   //sendfile开关打开时使用，用来防止网络堵塞

    #keepalive_timeout  0;  
    keepalive_timeout  65;  //客户端连接保持的超时时间，超出该时间服务端断开与客户端的连接

    #gzip  on;      //压缩打包传输开关
//一个server块就是一个虚拟主机
    server {        
        listen       80;             //监听端口，默认80
        server_name  localhost;      //服务名称ip或者域名

        #charset koi8-r;             //网页编码格式

        #access_log  logs/host.access.log  main;   //日志路径并引用日志格式 main

        location / {           
            root   html;             //网页发布文件的根目录
            index  index.html index.htm;    //网页发布文件
        }
        
        //下面一段额外添加，为nginx作为反向代理时的负载均衡配置，用upstream块实现
        upstream test {
        ip_hash    //负载均衡调度算法，默认为Weight轮询，还有ip_hash/url_hash/fair算法
        server 192.168.91.128:80 weight=1;   //服务器ip端口配置，Weight轮询算法权重值，值越 
        server 192.168.91.128:81 weight=2;     大被分配到的几率越高
        server 192.168.91.128:82 weight=3;
        }
        
        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;   
        location = /50x.html {
            root   html;
        }
        //上面一段配置是指当网页访问报错500/502/503/504时，显示html目录下50x.html文件内容
        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;  //被代理服务器ip
        #}
        //上面三行指做php格式的脚本文件的反向代理
        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}
        //nginx支持fastcgi功能
        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;      //用作Web服务器时的访问控制，禁止访问.htxx格式文件
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;      //支持ssl安全认证功能

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}

5.高效的Web服务器-nginx

5.1nginx服务器基本配置 

nginx用作Web服务器时，主要关注如下配置

 安装完nginx后，启动nginx服务即可用浏览器访问http://localhost:80,有可能会遇到访问被拒绝，该情况下检查防火墙80端口是否被放通，防火墙放通使用如下命令

firewall-cmd --list-all  //查看防火墙所有信息

也可以分开查看端口和服务信息
firewall-cmd --list-ports  //查看放行端口信息
firewall-cmd --list-services  //查看放行服务信息


若80端口未放行，使用下面命令放行80端口
firewall-cmd --permanent --add-port=80/tcp
firewall-cmd --reload      //防火墙重新加载策略

若http服务未放行，使用下面命令放行http服务
firewall-cmd --permanent --add-services=http  
firewall-cmd --reload      //防火墙重新加载策略

防火墙放通后，访问网页如下，表示nginx成功安装 

关于修改默认发布文件以及发布目录，此处不再赘述，涉及的修改端口等问题可参考另一篇apache运维笔记讲解：CSDNhttps://mp.csdn.net/mp_blog/creation/editor/124062101

5.2nginx-基于IP的访问控制

nginx服务器跟apache服务器一样，通过内置模块http_access_module，通过在location块中设置allow和deny来实现IP的访问控制。配置如下

deny 192.168.91.131;
allow all;
//允许除192.168.91.131以外的客户端访问

此时浏览器访问显示连接被拒绝

5.2基于授权的访问控制

nginx服务器通过内置模块http_auth_basic_module来实现基于授权的访问控制

1./usr/local/nginx/conf/nginx.conf配置文件中添加如下配置：

auth_basic "secret";
auth_basic_user_file /usr/local/nginx/passwd;

2.htpasswd 命令生成用户认证文件,然后根据提示输入test1用户的密码，命令如下：

htpasswd -cm /usr/local/nginx/passwd test1

 3.浏览器访问url，此时提示需要输入用户名密码

5.3apache与nginx的访问控制对比

apache与nginx的访问控制都可以基于ip和授权，两者配置也类似，apache的访问控制配置可参考一下链接：

CSDNhttps://mp.csdn.net/mp_blog/creation/editor/124062101

6.反向代理服务器-nginx

6.1.配置环境说明

之前部署apache时用到的ip和端口环境还在，所以我们这里用nginx作为之前安装的apache服务器的反向代理，环境如下:

apache服务器ip ：192.168.91.128

            端口号：80

            界面如下：

6. 2.反向代理配置

配置如下（只需要在location块中加一行proxy_pass：被代理的服务器ip和端口：

配置完成后重启nginx服务，然后使用访问http://192.168.91.131:80,返回apache服务器网页发布文件内容

6.3.负载均衡

前面讲解配置文件时，提到upstream块，它就是nginx实现负载均衡配置的地方，此处只是最简配置，不涉及参数的修改，配置如下：

    upstream test {
        server 192.168.91.128:80 weight=1;
        server 192.168.91.128:81 weight=2;
        server 192.168.91.128:82 weight=3;
       }
//配置负载均衡，此处使用默认Weight轮询算法，并分别配置权重值，可见根据配置权重值越大，访问概率越高，第一次访问应该访问的是192.168.91.128:82端口
    
    server {
        listen       8090;     //该处为了与上面配置的80端口区分，此处修改为8090端口
        server_name  localhost;



        location / {
            proxy_pass http://test;
            proxy_set_header   Host              $http_host;
            proxy_set_header   X-Real-IP         $remote_addr;

        }
//此处配置负载均衡，此处配置未涉及其它参数更改，基本可以算最简配置，proxy_set_header设置增加文件头，将真实的客户端信息传输到真实服务器上，要不然在真实服务器上收到的客户端信息永远都是代理服务器的ip与主机名。（此处配置了真实ip与主机名）

其中的upstream块中通过一台服务器三个端口来实现多站点访问，此处配置同样可参考：

CSDNhttps://mp.csdn.net/mp_blog/creation/editor/124062101

7.工作状态统计监控开启

前面我们安装了http_stub_status_module模块，这里我们可以开启此模块功能，此模块可以统计nginx自上次启动以来工作状态信息，包含连接活跃数，处理响应请求数等信息

开启配置如下：

成功后访问：http://localhost:8090/status，查看状态统计信息如下：

Active connections：当前活跃连接数

第三行三个数字分别表示：当前总共处理了多少个连接/当前总共成功创建的握手次数/当前总共处理了多少次请求

Reading：表示Nginx读取到客户端Header信息数

Writing：Nginx返回给客户端的Header信息数

Waiting：表示Nginx已经处理完，正在等候下一次请求指令时的驻留连接数

8.nginx实现动静态文件分离

nginx在作为Web服务器时，可以高效的处理静态文件，但是它无法处理动态文件，当收到动态文件请求时，需要用到它的反向代理功能将请求转发给后台的tomcat服务器来处理，两者的搭配，既可以实现动态文件的处理，又可以高效的处理静态文件。

8.1匹配规则介绍

nginx实现动静态文件分离主要使用了location块的url匹配功能，简单介绍如下：

(location =) > (location完整url) > (location ^~) > (location ,*) > (lcoaltion部分起始路径) > (/)

location = 开头表示精确匹配

location ^~ 开头表示uri以某个常规字符串开头，理解为匹配 url路径即可。

location ~ 开头表示区分大小写的正则匹配

location ~* 开头表示不区分大小写的正则匹配

location !~和location !~*分别为区分大小写不匹配及不区分大小写不匹配的正则

location / 通用匹配，任何请求都会匹配到。
 

匹配优先级顺序：

• 首先精确匹配 = ；

• 其次前缀匹配 ^~；

• 其次是按照配置文件中的正则匹配； 

• 然后匹配不带任何修饰符的前缀匹配； 

• 最后/通用匹配； 

 8.2动静态文件分离配置

                location / {
                        proxy_pass http://x.x.x.x;
                        }
//所有的路径都是/开头,表示匹配所有
                location ~ .*\.(php|php5)?$
                        {
                                proxy_pass http://x.x.x.x;
                        }
//匹配所有以.php或者.php5的URL, ~表示区分大小写
                location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
                        {
                                proxy_pass http://x.x.x.x;
                        }
//匹配以.gif,.jpg,.jpeg,.png,.bmp,.swf结尾的url
                location ~ .*\.(js|css)?$
                        {
                                proxy_pass http://x.x.x.x;
                        }
//匹配以.js或者.css结尾的url
                

上述配置文件表示，匹配上的静态文件分别走相应的代理的url，若都未匹配上则走匹配所有的url