nginx配置与应用

  • Nginx
    • 初识nginx
      • 介绍Nginx
      • Nginx安装
      • 配置文件
      • 启动Nginx
      • Nginx配置文件
      • 日志格式
    • 网站配置
      • server配置网站
      • 虚拟化主机
      • nginx日志
      • 切割日志
    • nginx模块
      • nginx目录索引
      • nginx访问控制
      • nginx资源限制
      • nginx监控模块
    • nginx七种状态模块
    • 限制与优先读取
      • nginx访问限制
      • nginx 请求限制
      • 压力测试1(关闭burst+nodelay)
      • 压力测试1(关闭nodelay)
      • 测试3:全部打开
      • nginx location
    • LNMP
      • 安装lnmp软件
      • nginx与php集成
      • LNMP实现集成
      • 拆分数据库
      • 扩展多台web服务
    • 负载均衡
      • 代理概述
      • 常见模式
      • nginx代理的协议
      • 协议对应的模块
      • 反向代理语法
      • proxy_params
      • 负载均衡
      • 实现负载均衡
    • 负载均衡调度算法
      • 轮询
      • 加权轮询
      • ip_hash
      • least_hash
      • url_hash
      • 后端信息
        • down
        • backup
        • max_fails
        • fail_timeout
        • max_conns
        • 后端长链接
        • 生产环境中使用最多
      • 企业案例
    • 七层负载均衡
      • 基于代理透传
        • proxy_node1
        • proxy_node2
        • proxy_node3
        • webserver
        • test
      • 负载均衡会话保持
      • 概述
      • 安装phpmyadmin
        • ip_hash
      • redis实现会话保持
      • 基于负载均衡实现不同设备调度到不同的资源池中
      • 基于负载均衡实现不同的url调度到不同资源池
    • 四层负载均衡
        • * 针对server层的网站层面,与http层属于同级层,用于操作网站网址;
        • * 针对ip分流和端口映射;
      • 概述
      • stream
      • 4+7跳转web
      • 日志配置
    • 4+7透传IP
        • 1.四层+7层+七层+web透传真实IP:
        • 2.四层配置:
          • 3.七层 (如果有多个配置第一个七层即可):
        • 4.web:
    • 综合实战
      • 环境
      • NFS
      • RSYNC
      • 数据库安装
      • WEB
      • L7
      • L4
  • 动静分离
      • 部署tomcat
      • 动静分离演示
      • 实例演示
      • LNDP
    • Rewrite跳转
      • 介绍
      • 相关指令
      • rewrite常用环境变量
      • last和break区别
      • redirect和permanent区别
      • rewrite优先级
      • rewrite 案例
      • 测试curl命令
      • return 案例
      • Rewrite Flag标记
      • rewrite企业案例
    • https
      • HTTPS加密模型
      • SSL/TLS
      • 配置HTTPS证书
      • 配置Nginx
      • 综合案例
        • 集群HTTPS
      • 模拟场景
        • 配置
      • https优化:
        • 优化实例
      • 真实域名下发证书
      • NGINX四层下发
        • 注意
    • keepalived高可用
      • 参数详解:
          • keepalived高可用安装与配置
          • 启动
          • 8.keepalived高可用地址漂移测试:
        • 9.keepalived高可用抢占式与非抢占式?
          • 抢占(默认):
          • 非抢占:
          • Nginx和Keepalived有什么关系? keepalived是如何实现nginx高可用的呢?
          • nginx停止了?那么VIP还会漂移吗?
          • VIP在什么时候会漂移?
          • keepalived如何投产?
          • keepalived 脑裂?
    • 编译安装
      • 编译概述
        • 安装依赖
        • 下载源码包
        • 编译
        • make
        • 配置启动文件
      • 添加第三方模块
        • 编译
        • make
        • 验证
      • 平滑升级
        • 安装Nginx依赖
        • 下载并编译
        • make
        • 备份旧的二进制文件
        • 查看进程
        • 发送信号
        • 信号
      • 回滚
        • 替换二进制文件
        • 操作步骤

Nginx

初识nginx

介绍Nginx

1.为什么选择nginx
高性能,高并发,高可靠
热部署 nginx使用网络模型epool
高扩展:丰富的模块,能随时能够集成

2.其他的web服务器
Apache
Lls
Nginx
Tengine
GWS
Openrestry

3.NGINX有哪些应用场景
   静态资源服务
   代理资源服务
   安全服务

场景介绍
   用户请求先到达NGINX,然后到tomcat(运行java)或者django(运行python)这样的应用服务器,然后在去访问redis,mysql这样的数据库,提供基本的数据功能。
   很多服务构成集群的时候,需要nginx具有反向代理功能,这样可以将动态请求传导给应用服务。集群架构需要两个需求:
   1.应用服务器需要动态扩展
   2.有些服务出问题需要容灾。反向代理必须具备负载均衡功能。
代理:
   负载均衡
   缓存
静态资源:
   静态资源和nginx和动态资源tomcat分开处理。
安全服务:
   https
   限速
   限流
   访问控制
   nginx+lua构建web应用的防火墙 waf

Nginx安装

  源码编译,
   yum安装(推荐)
   epel的仓库
   
   安装:
   配置nginx官方仓库
cat >>/etc/yum.repos.d/nginx.repo<<-EOF
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/\$releasever/\$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
EOF
   然后命令行输入
   yum install nginx -y

配置文件

[root@Cc ~]# rpm -ql nginx
nginx配置文件
/etc/nginx/nginx.conf			 nginx主配置文件
/etc/nginx/conf.d/default.conf	 默认网站配置文件


nginx代理相关参数
/etc/nginx/fastcgi_params		 fastog代理配置文件
/etc/nginx/scgi_params			 scgi代理配置文件
/etc/nginx/uwsgi_params			 uwsgi代理配置文件

nginx编码相关配置文件
/etc/nginx/win-utf				 nginx编码转换映射文件
/etc/nginx/koi-utf			     nginx编码转换映射文件
/etc/nginx/koi-win				 nginx编码转换映射文件
/etc/nginx/mime.types			 content-type与扩展名

nginx管理相关命令
/usr/sbin/nginx					 nginx命令行管理终端工具
/usr/sbin/nginx-debug			 nginx命令行与终端调试工具
/var/log/nginx				     nginx默认存放的日志目录
/etc/logrotate.d/nginx			 nginx默认的日志切割

启动Nginx

启动前检查语法:
nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
报错:可能是80端口被占用。
Failed to start nginx - high performance web server.

Nginx配置文件

vim nginx.conf
core module									核心模块
user  nginx;								运行nginx进程的用户
worker_processes  1;		 				worker的进程数量,按cup个数绑定;
error_log  /var/log/nginx/error.log warn;	错误日志
pid        /var/run/nginx.pid;				nginx进程运行后的PID存放的位置,用以判断服务是否启动,是否有PID重叠;
events						      			事件驱动模块
events {
    worker_connections  1024;				worker的最大连接数
    use epoll;					   			使用网络模型epoll 
}
http内核模块
http {
    include       /etc/nginx/mime.types;	包含nginx支持的资源类型
    default_type  application/octet-stream;	默认的类型。如果出现mime.types中不支持的类型,则以下载的方式发送给浏览器

日志格式

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    访问日志的路径
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    #tcp_nopush     on;
    keepalive_timeout  65;			    长连接,默认链接65S
    #gzip  on;
    include /etc/nginx/conf.d/*.conf;	包含/ect/nginx/conf.d/目录下所有以.conf结尾的文件。编写网站访问规则
}

网站配置

server配置网站

server {				    		每个server代表一个网站,简称虚拟主机。
listen		80;			    		监听的端口。默认80
server_name	bgx.com;				提供的域名
access_log		access.log;			该网站的访问日志

  location / { 				    	控制网站的访问uri
  root  /usr/share/nginx/html;		存放网站源代码的位置
  index	  index.html;				默认返回网站的文件
}
}
include /etc/nginx/conf.d/*.conf;   包含conf.d目录下所有以.conf为结尾的文件


nginx中的http	server location之间的关系
  http{ }  	层下允许有多个server{ }层,一个server{ }层下又允许有多个location{ }层
  http	    标签主要用来解决用户的请求与响应
  server	标签主要用来响应具体的某一个网站
  location	标签主要用于匹配网站具体URI路径

快速搭建一个游戏网站:

进入nginx目录下conf.d目录
vim game.conf
“ ; ”分号是结束符必须要加

server {
listen			80;				  要监听的端口
server_name		www.game.com;	  提供的域名
access_log		access.log;	      该网站的访问日志

location	/	{				  控制网站的访问uri
root	/usr/share/nginx/html;	  存放网站源代码的位置
index	index.html	index.htm;	  默认返回网站的文件/usr/share/nginx/html/index.html
}
}
检查nginx语法
  nginx -t确认无误后
  重启nginx
  修改windows hosts域名解析文件
  IP地址   www.game.com
C:\Windows\System32\drivers\etc

http://game.caoxueming.com/index.html   真实路径:/code/index

虚拟化主机

添加IP的方式:ip addr add 10.0.0.8/24  dev eth0
nginx配置虚拟主机有以下三种方式:
1.基于主机多IP方式
2.基于端口的配置方式
3.基于多个hosts名称方式(多域名方式)
    虚拟主机多IP配置
    多IP设置有两种方式:
1.多网卡多IP方式
server {
…
listen 10.0.0.7:80;
location / {
			root /ip1;
   		     index index.html;
}
…
}
server {
…
listen 10.0.0.8:80;
location / {
	     root /ip2;
   		 index index.html;
}
…
}

2.单网卡多IP方式
多端口的配置方式 就不用添加域名了。
server{
			listen 81;
			loaction / {
			root /port1;
			index index.html;

}

}
server{
			listen 82;
			loaction / {
			root /port2;
			index index.html;

}

}

通过不同的端口访问到不同的域名
基于多个host名称方式(多域名方式)

a.oldboy.com——>hello a_name
b.oldboy.com——>hello b_name

1准备两份nginx配置文件
vim a.oldboy.com.conf
server	{
			listen 80;
			server_name a.oldboy.com;
			location / {
			root /a;
			index index.html;
}
}
vim b.oldboy.com.conf
server	{
			listen 80;
			server_name b.oldboy.com;
			location / {
			root /b;
			index index.html;
}
}
创建目录
mkdir /a
mkdir /b
echo “hello_a.oldboy.com” > /a/index.html
echo “hello_b.oldboy.com” > /b/index.html
语法检查nginx -t 重启nginx服务
host域名解析
10.0.0.7  a.oldboy.com
10.0.0.7  b.oldboy.com
也可以将两个域名绑定到同一台主机
10.0.0.7  a.oldboy.com b.oldboy.com

nginx日志

tail /var/log/nginx/access.log 

$remote_addr          记录客户端(公网)IP地址
$remote_user          记录客户端(登录)用户名
$time_local           记录通用的本地时间
$time_iso8601         记录ISO8601标准格式下的本地时间
$request              记录请求的方法以及请求的http协议
$status               记录请求状态码(用于定位错误信息)
$body_bytes_sent      发送给客户端的资源字节数,不包括响应头的大小
$bytes_sent           发送给客户端的总字节数
$msec                 日志写入时间。单位为秒,精度是毫秒。
$http_referer         记录从哪个页面链接访问过来的
$http_user_agent      记录客户端浏览器相关信息
$http_x_forwarded_for 记录客户端IP地址(记录请求头部ip信息)
$request_length       请求的长度(包括请求行,请求头和请求正文)。
$request_time         请求花费的时间,单位为秒,精度毫秒

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';

10.0.0.11 - 				
- 							    
[23/Apr/2020:16:00:39 +0800] 	
"GET /favicon.ico HTTP/1.1" 
401 
4 
"http://test.caoxueming.com/down/" 
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.113 Safari/537.36" "-"

			   
access_log /var/log/nginx/access.log main;必须这么写访问日志记录路径

vim /etc/nginx/nginx.conf

将b站的日志信息记录/var/log/nginx/test2.log
[root@web01 conf.d]# cat test2.conf 
server{
	listen 80;
	server_name b.caoxueming.com;
	access_log /var/log/nginx/test2.log	main;
	location / {
	root /b;
	index b.html;
}
一个配置文件有多个location,如果不想记录location日志。
	location / {
	root /a;
	index a.html;
	access_log off;
}
}

建议
1.保留http的access_log
2.新增加一个server,就添加一个server的记录日志

server{
	listen 80;
	server_name b.caoxueming.com;
	access_log /var/log/nginx/test2.log	main;
	location / {
	root /b;
	index b.html;
}

3.至于location有些不重要的内容不想记录。
	location / {
	root /a;
	index a.html;
	access_log off;
}

切割日志

cat	/etc/logrotate.d/nginx
/var/log/nginx/*.log{
			daily						每天切割日志
			missingok					日志丢失忽略
			rotate 52					日志保留52天
			compress					日志文件压缩
			delaycompress				延迟压缩日志
			notifempty					不切割空文件
			create 640 nginx adm		日志文件权限
			sharedscripts
			postrotate					日志切割执行的命令
						if [ -f	/var/run/nginx.pid ]; then
								kill -USR1 `cat	/var/run/nginx.pid`
						fi
			endscript
}

nginx模块

nginx目录索引

  • index模块不能与autoindex同时出现,系统默认先读取index模块;
模块
server {
        listen 80;
        server_name module.caoxueming.com;
        charset utf-8,gbk;		 		解决目录浏览模式的中文乱码问题,要在server下面添加。如果在server下配置,则整个server生效,如果在location下配置,只对location下生效。
        location / {
        root /game;		
        index index.html oldboy.html;	找不到index.html就找oldboy.html
        autoindex on;					开启目录自动浏览 ,要把目录下的index.html文件移走。
        autoindex_exact_size off;		人类可读数据大小
        autoindex_localtime on;			显示localtimeUTC时间
	    
}
}


目录索引显示不同页面
server {
		listen 80;
		server_name module.caoxueming.com;
		charset utf-8,gbk;
		location / {			# /game 找资源	 一个是 module.caoxeming.com
		root /game;
		index index.html;	
}
		location /down {		# /game/down/xxx 找资源	一个是 module.caoxueming.com/down
		root /game;
		autoindex on;
		autoindex_exact_size off;
		autoindex_localtime on;
}
	

}

nginx访问控制

ngx_access_module模块允许限制对某些客户端地址的访问
server	{
		listen 80;
		server_name module.caoxueming.com;
		charset utf-8,gbk;			   
		location / {
		root /game;
		index  index.html oldboy.html;	
}
		localtion /down {		   
		root /game;				   
		autoindex on;			  
		autoindex_exact_size off;   
		aotuindex_localtime on;	    
		deny	10.0.0.1/32;	  拒绝这台主机访问 module.caoxueming.com/down这个地址。
		allow	all;			  允许其他主机访问
}
}

server	{
		listen 80;
		server_name module.caoxueming.com;
		charset utf-8,gbk;			       解决目录浏览模式的中文乱码问题,要在server下面添加。
		location / {
		root /game;
		index  index.html oldboy.html;	   找不到index.html就找oldboy.html
}
		localtion /down { 				   当用户输入down的时候进入目录自动浏览页面。
		root /game;						
		autoindex on;					   开启目录自动浏览 
		autoindex_exact_size off; 		   人类可读数据大小
		aotuindex_localtime on;			   显示localtimeUTC时间
		allow	10.0.0.1/32;			   允许这台主机访问
		allow	10.0.0.0/24;			   允许这个网段访问
		deny	all;					   拒绝其他主机
} 
}
/admin {
		allow  36.155.155.236;
		deny   all;
}

nginx资源限制

创建用户和密码并结合访问控制:
htpasswd -c /etc/nginx/auth_conf oldboy	      指定认证文件和用
New password: 
Re-type new password: 
Adding password for user oldboy

htppasswd -cb /etc/nginx/auth_conf oldboy 123456 此方法会覆盖密码前密码

vim test4.conf 
server {
        listen 80;
        server_name module.caoxueming.com;
        charset utf-8,gbk;
        location / {
        root /game;
        index index.html;
}
        location /down {
        root /game;
        autoindex on;
        autoindex_exact_size off;
        autoindex_localtime on;
        allow 10.0.0.0/24;
        deny all;
        auth_basic "oldboyedu.com";				     # 验证模块
        auth_basic_user_file /etc/nginx/auth_conf;	 # 验证账户密码文件路径位置
}
}
复制无效,要手敲 
在location下面加验证,登录这个location需要验证。
在location下面有验证,则跳过server层验证。
在server添加验证,即所有location都添加了验证。输入server验证即可浏览所有location页面。
也可以添加双重验证。如下:登录module.caoxueming.com和module.caoxueming.com/down都需要验证。

[root@web01 conf.d]# htpasswd -cb /etc/nginx/down_conf  caoxueming 123456
Adding password for user caoxueming
server {
        listen 80;
        server_name module.caoxueming.com;
        charset utf-8,gbk;
        auth_basic "oldboyedu.com";
        auth_basic_user_file /etc/nginx/auth_conf;
        location / {
        root /game;
        index index.html;
}
        location /down {
        root /game;
        autoindex on;
        autoindex_exact_size off;
        autoindex_localtime on;
        allow 10.0.0.0/24;
        deny all;
        auth_basic "oldboyedu.com";
        auth_basic_user_file /etc/nginx/down_conf;        
 }             
        location /game_status{	   # 监控的状态名称和业务有关
        stub_status;			   # 监控模块
        allow  127.0.0.1;		   # 本地访问
        deny   all				   # 拒绝其他人
        auth_basic "chengjizhen";  # 进入验证	
        auth_basic_user_file /etc/nginx/down_conf;
}
}


nginx监控模块

[root@web01 conf.d]# vim test4.conf 
server {
        listen 80;
        server_name module.caoxueming.com;
        charset utf-8,gbk;
        location / {
        root /game;
        index index.html;
}
        location /down {
        root /game;
        autoindex on;
        autoindex_exact_size off;
        autoindex_localtime on;
        allow 10.0.0.0/24;
        deny all;
        auth_basic "oldboyedu.com";				    
        auth_basic_user_file /etc/nginx/auth_conf;
}
        location /game_status{		 # 监控的状态名称和业务有关
        stub_status;			     # 监控模块
        auth_basic "chengjizhen";    # 进入验证	
        auth_basic_user_file /etc/nginx/down_conf;
}
}

nginx七种状态模块

状态模块
Active connections: 2 
server accepts handled requests
 		3 		3 		4 
Reading: 0 Writing: 1 Waiting: 1 

active connections	当前活动客户端连接数,包括waiting等待连接数
accepts				已接受总的tcp连接数
handled				已处理总的tcp连接数
requests			客户端总的http请求数
	
reading				当前nginx读取请求头的连接数
writing				当前nginx将响应写回客户端的连接数
waiting				当前等待请求的空闲客户端连接数

失败连接数计算:accepts-handled=失败的连接数
一个链接可以发送多个HTTP的请求。
模拟发送请求:
ab -n模拟10000次 -c并发200个 对象——>10.0.0.7/game_status
ab -n10000 -c 200 10.0.0.7/game_status

限制与优先读取

nginx访问限制

ab -n10000 -c 200 10.0.0.7/game_status
链接:(虚拟环境无法模拟效果)
请求:
指令:
syntax:limit_conn_zone key zone=name:size; 
key=存储的Ip地址。从remote_addr捕捉到某一个IP
zone=name:size 开辟一块内存的空间
示例:limit_conn_zone $remote_addr zone=conn_zone:10m;

$remote_addr			 占用十五个字节
$binary_remote_addr		 占用四个字节
default: -
context: http			 只能在HTTP层使用,一般设置在nginx.conf的配置文件中。
	
syntax: limit_conn zone number;	 同一时间允许多少个客户端连接。
default: -
context: http,server,location
设置共享内存区域和给定关键之的最大允许连接数,超过此限制时,服务器将返回错误以回复请求
http标签段定义连接限制:

vim /etc/nginx/conf.d/nginx.conf
http{
	limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
	}

vim /etc/nginx/test4.conf
server{
	listen 80;
	server_name module.caoxueming.com
	limit_conn conn_zone 1;  同一时间只允许一个客户端连接
	location / {
	root /game;
	index index.html;
}
}

限制来源的IP,不是用户。
limit_rate_after  200M以后限速。
limit_rate  	  200K限速。

错误503跳转返回页面'飞天大草'
error_page 503 @err;
location @err {
default_type text/html;
return 200 '飞天大草'
}

错误传递 
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
server {
        listen 80;
        server_name game.test.com;
        auth_basic "123";
        auth_basic_user_file /etc/nginx/auth_game.conf;
#       limit_req zone=req_zone;
#       limit_req zone=req_zone burst=3 nodelay;
        charset utf-8,gpk;
        root /game;
        location / {
        index index.html;
}
        location /down {
        autoindex on;
        autoindex_exact_size on;
        autoindex_localtime on;
}
        location /game_status {
        stub_status;
}
        error_page 401 @err;
        location @err {
        default_type text/html;
        return 200 "gogogogo";
}
}

nginx 请求限制

当处理速度,达不到请求的速度,则会讲请求放置缓存,如果缓存被占满。多余的请求将被丢弃。
设置共享内存区域和请求的最大突发大小,过多的请求被延迟,直到它们的数量超过最大的限制,在这种情况下请求以错误终止。
测试:
ab -n10000 -c 200 10.0.0.7/game_status
http标签段定义请求限制,rate限制速率,限制一秒钟最多一个IP请求
vim /etc/nginx/nginx.conf
http	{
	limit_req_zone	$binary_remote_addr	zone=req_zone:10m	rate=1r/s;
}

vim /etc/nginx/conf.d/test4.conf
server	 {
	listen 80;
	server_name	module.caoxueming.com;
	1r/s;				     只接收一个请求,其余请求拒绝处理并返回错误码给客户端
	limit_req zone=req_zone; 请求超过1r/s剩下的将被延迟处理,请求数超过burst定义的数量,多余的请求返回到503
	limit_req zone=req_zone burst=3	nodelay;	使用定义,burst=3允许延迟处理三个请求,其他全部拒绝。
	location / {
	root /game;
	index index.html;
}
}

压力测试1(关闭burst+nodelay)

配置:
[root@backup01 ~]#cat /etc/nginx/conf.d/p6.com.conf 
	limit_conn_zone $remote_addr zone=old:10m;
	limit_req_zone $remote_addr zone=xu:10m rate=15r/m;
server {
	listen 80;
	server_name oldxu6.com;
	root /html;
	location /{
		autoindex on;
		autoindex_exact_size off;
		charset utf-8;			
		autoindex_localtime on;		
		allow 10.0.0.1;
		deny	all;
		auth_basic           "closed site";
    		auth_basic_user_file  /htpasswd;
		limit_conn old 1;
		limit_req zone=xu;     #burst=2 nodelay;
	}		
	location = /basic_status {
		    stub_status;
		auth_basic "qiucong"; 	
		auth_basic_user_file  ps;
        }
    }


#压力测试):
[root@backup01 ~]#ab -n10 -c 10 10.0.0.8/basic_status  #发送10个请求,最大10个一次,发送10.0.0.8/basic_status ;
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 10.0.0.8 (be patient).....done


Server Software:        nginx/1.18.0
Server Hostname:        10.0.0.8
Server Port:            80

Document Path:          /basic_status
Document Length:        179 bytes

Concurrency Level:      10
Time taken for tests:   0.003 seconds
Complete requests:      10
Failed requests:        0
Write errors:           0
Non-2xx responses:      10
Total transferred:      3730 bytes
HTML transferred:       1790 bytes
Requests per second:    3765.06 [#/sec] (mean)
Time per request:       2.656 [ms] (mean)
Time per request:       0.266 [ms] (mean, across all concurrent requests)
Transfer rate:          1371.45 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    0   0.1      0       0
Processing:     0    1   0.4      0       2
Waiting:        0    0   0.1      0       1
Total:          1    1   0.3      1       2
ERROR: The median and mean for the processing time are more than twice the standard
       deviation apart. These results are NOT reliable.

Percentage of the requests served within a certain time (ms)
  50%      1
  66%      1
  75%      1
  80%      1
  90%      2
  95%      2
  98%      2
  99%      2
 100%      2 (longest request)

#日志检查结果:
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:43:03 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
*从日志可看出:成功连接了1个,其他9个都被服务器拒绝连接;

[root@backup01 ~]#netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
ESTABLISHED 2    #成功连接1个;
SYN_SENT 1       #有一个在发送状态;
TIME_WAIT 11     #服务器拒绝了所有TCP连接;

压力测试1(关闭nodelay)

配置:
[root@backup01 ~]#vim  /etc/nginx/conf.d/p6.com.conf 

        limit_conn_zone $remote_addr zone=old:10m;
        limit_req_zone $remote_addr zone=xu:10m rate=15r/m;
server {
        listen 80;
        server_name oldxu6.com;
        root /html;
        location /{
                autoindex on;
                autoindex_exact_size off;
                charset utf-8;
                autoindex_localtime on;
                #allow 10.0.0.1;
                allow   all;
                #auth_basic           "closed site";
                #auth_basic_user_file  /htpasswd;
                #limit_conn old 1;
                limit_req zone=xu burst=2;   # nodelay;
        }



测试:
[root@backup01 ~]#ab -n 10 -c10 10.0.0.8/
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 10.0.0.8 (be patient).....done


Server Software:        nginx/1.18.0
Server Hostname:        10.0.0.8
Server Port:            80

Document Path:          /
Document Length:        1063 bytes

Concurrency Level:      10
Time taken for tests:   8.007 seconds
##总共执行8秒,4秒执行1个,burst=2,所以8s;
Complete requests:      10
Failed requests:        7
   (Connect: 0, Receive: 0, Length: 7, Exceptions: 0)
Write errors:           0
Non-2xx responses:      7
Total transferred:      6288 bytes
HTML transferred:       4568 bytes
Requests per second:    1.25 [#/sec] (mean)
Time per request:       8006.974 [ms] (mean)
Time per request:       800.697 [ms] (mean, across all concurrent requests)
Transfer rate:          0.77 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    0   0.3      1       1
Processing:     1 1201 2700.7      1    8004
Waiting:        1 1201 2700.8      1    8004
Total:          1 1202 2700.9      2    8005
ERROR: The median and mean for the initial connection time are more than twice the standard
       deviation apart. These results are NOT reliable.

Percentage of the requests served within a certain time (ms)
  50%      2
  66%      2
  75%      2
  80%   4002
  90%   8005
  95%   8005
  98%   8005
  99%   8005
 100%   8005 (longest request)

日志检查:
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:21 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:25 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:16:54:29 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
*以上看出有3个通过连接,其他被服务器拒绝;
*这是因为设置了burst=2,在服务器接收到10个并发请求后,先处理1个请求,同时将2个请求放入burst缓冲队列中,等待处理。而超过(burst+1)数量的请求就被直接抛弃了,即直接抛弃了7个请求。
*1 + burst + [delaying request + limiting requests] =1+2----->+2*n----->+剩下 

测试3:全部打开

配置:
[root@backup01 ~]#vim  /etc/nginx/conf.d/p6.com.conf 
        listen 80;
        server_name oldxu6.com;
        root /html;
        location /{
                autoindex on;
                autoindex_exact_size off;
                charset utf-8;
                autoindex_localtime on;
                #allow 10.0.0.1;
                allow   all;
                #auth_basic           "closed site";
                #auth_basic_user_file  /htpasswd;
                #limit_conn old 1;
                limit_req zone=xu burst=2 nodelay;
        }

压力测试:
[root@backup01 ~]#ab -n 10 -c 10 10.0.0.8/
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking 10.0.0.8 (be patient).....done


Server Software:        nginx/1.18.0
Server Hostname:        10.0.0.8
Server Port:            80

Document Path:          /
Document Length:        1063 bytes

Concurrency Level:      10
Time taken for tests:   0.005 seconds
Complete requests:      10
Failed requests:        7
   (Connect: 0, Receive: 0, Length: 7, Exceptions: 0)
Write errors:           0
Non-2xx responses:      7
Total transferred:      6288 bytes
HTML transferred:       4568 bytes
Requests per second:    1854.94 [#/sec] (mean)
Time per request:       5.391 [ms] (mean)
Time per request:       0.539 [ms] (mean, across all concurrent requests)
Transfer rate:          1139.05 [Kbytes/sec] received

Connection Times (ms)
              min  mean[+/-sd] median   max
Connect:        0    1   0.2      1       1
Processing:     2    2   0.2      2       3
Waiting:        2    2   0.0      2       2
Total:          3    3   0.1      3       3

Percentage of the requests served within a certain time (ms)
  50%      3
  66%      3
  75%      3
  80%      3
  90%      3
  95%      3
  98%      3
  99%      3
 100%      3 (longest request)

*以上看出执行时间为:Time per request:0.539s ;
*立马返回不需要等待burst执行时间(15r/1m);
*每个请求时间为4s ;


日志检查:
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 200 1063 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"
10.0.0.8 - - [10/Sep/2020:17:13:24 +0800] "GET / HTTP/1.0" 503 197 "-" "ApacheBench/2.3" "-"

*从日志看出立马执行3个请求,其他多出请求抛弃;
*可以发现在1s内,服务器端处理了3个请求(峰值速度:burst+原来的处理速度)。
*对于剩下的7个请求,直接返回503*
*在下一秒如果继续向服务端发送10个请求,服务端会直接拒绝这10个请求并返回503。
*因为设定了每4s处理1个请求,所以直到4 s 之后,才可以再处理一个请求,即如果此时向服务端发送10个请求,会返回9个503,一个200;

•查看/var/log/nginx/error.log日志,发现有4个请求被直接拒绝了,没有延时请求。

  • limit_req_zone 总结:
•limit_req_zone=req_zone:
•严格依照在limti_req_zone中配置的rate来处理请求
•超过rate处理能力范围的,直接drop
•表现为对收到的请求无延时

•limit_req zone=req_zone burst=5: 
•依照在limti_req_zone中配置的rate来处理请求
•同时设置了一个大小为5的缓冲队列,在缓冲队列中的请求会等待慢慢处理
•超过了burst缓冲队列长度和rate处理能力的请求被直接丢弃
•表现为对收到的请求有延时

•limit_req zone=req_zone burst=5 nodelay: 
•依照在limti_req_zone中配置的rate来处理请求
•同时设置了一个大小为5的缓冲队列,当请求到来时,会爆发出一个峰值处理能力,对于峰值处理数量之外的请求,直接丢弃
•在完成峰值请求之后,缓冲队列不能再放入请求。如果rate=10r/m,且这段时间内没有请求再到来,则每6 s 缓冲队列就能回复一个缓冲请求的能力,直到回复到能缓冲5个请求位置。

nginx location

当location冲突如何优先那个location
cat testserver.conf
server {
		listen	80;
		server_name module.oldboy.com;
		location / {  					根是第7优先级。通用匹配
		default_type text/hetml;
		return 200 “location =/”;
}
		location =/ {  					等于号的优先级是最高的。因为是完整的匹配
		default_type text/html;
		return 200 “location =/”;
}
		location ~ / {  				波浪号第二优先级。因为是模糊匹配
		default_type text/html;
		return 200 “location ~ /”
}
}

location字符优先级
1.	=		精确匹配,请求的资源必须是这个资源。没有这个资源直接转入通用匹配。例如 =/w 但是要请求/index.html
2.	^~		以某个字符串开头
3.	~		区分大小写的正则匹配
4.	~*		不区分大小写的正则匹配
5.	/		通用匹配,任何请求都会匹配到。如果以上所有都不匹配,那么会从通用匹配来搜寻。例如:/index.html

 	~ \.php$ 匹配以.php为结尾的的location。无论URL写成什么,都会匹配.php结尾的资源。
 	~ .*\.(jpg|gif|png|js|css)$	匹配所有以.(jpg|gif|png|js|css)为结尾的
 	=/error_html 精确匹配error_html文件./code/error_html
	root /code/
	
5.2 location优先级
5.3 location @   内部重定向

 error_page 404 403 401 @err;
 location @err {
          default_type text/html;
          return 200 '你可能是不小心走丢了。';
 }

LNMP

安装lnmp软件

linux
nginx
mysql或mariadb
php或python
selinx和firewalld一定要关闭
nginx结合PHP FastCGI运行原理
fastCGI是nginx和PHP服务器通信的一个协议。
1.用户通过HTTP协议发送请求,请求会先抵达LNMP架构中的nginx。
2.nginx会根据用户的请求进行location规则匹配。
3.location如果匹配到请求是静态,则由nginx读取本地直接返回。
4.location如果匹配到请求是动态,则由nginx将请求转发给fastCGI协议。
5.fastGI收到后会将请求交给PHP-fpm管理进程,php-fpm管理进程接收到后会调用具体的工作进程warrap。
6.warrap进程会调用php.ini程序进行解析,如果只是解析代码,php直接返回。
7.如果有查询数据库操作,则由php连接数据库(用户	密码	IP)发起查询的操作。
8.最终数据由MySQL—>php—>php-fpm—>fastcgi协议—>nginx—>http协议—>user。

Php-fpm.conf负责管理进程  php.ini负责解析代码

使用官方仓库安装nginx
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key

安装nginx
yum	install	nginx -y
# 配置nginx和php进程运行用户
groupadd -g666 www &\
useradd -u666 -g666 www

移除 yum remove php-mysql-5.4 php php-fpm php-common
cat >/etc/yum.repos.d/php.repo<

nginx与php集成

vim /etc/php-fpm.d/www.conf	# 修改PHP进程用户

vim /etc/nginx/nginx.conf	# 修改nginx进程用户

systemctl restart/enable nginx
systemctl restart/enable php-fpm
# 源码目录必须授权。
[root@web01 conf.d]# vim php.conf 

server {
        listen 80;
        server_name php.caoxueming.com;
        location / {
        root /code;
        index index.php index.html;
}
        location ~ \.php$ {
        root /code;
        fastcgi_pass 127.0.0.1:9000;	# .php结尾的文件交给本地9000端口的进程执行。也就是PHP。
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;			# 传递的变量,一定要添加
}
}

vim /code/page.php

LNMP实现集成


# 查看yum安装的数据库临时密码
# 找不到密码的尝试123456
[root@web01 ~]# grep "temporary password" /var/log/mysqld.log

# yum安装数据库后,登入不进去。跳过检测表进去。
[root@web01 ~]# vim /etc/my.cnf
加入行
skip-grant-tables

# 重启数据库
systemctl restart mysqld

# 进入数据库后:
[root@web01 ~]# mysql
mysql> flush privileges;
mysql> set password for root@localhost = password('123456');

# php与mysql集成
启动数据库:
修改密码:
mysqladmin password '123456'
测试是否可连接状态:
如果无法读取文件,看下面是否有相同结尾的文件
vim /code/m.php




# 博客网站配置文件
[root@localhost conf.d]# vim lnmp.caoxueming.conf
server {
        listen 80;								# 监听的端口
        server_name blog.caoxueming.com;		  
        root /code/wordpress;
        client_max_body_size 100m;				# 指定客户端上传大小
        location / {
        index index.php;						# .php结尾的nginx无法解析
        }
        location ~ \.php$ {						# 会被这个页面先捕捉文件
        fastcgi_pass 127.0.0.1:9000;			# 调用9000端口的服务解析
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
        }
}

# 将wordpress解压到定义好的code下。
进入数据库创建库:
3306 [(none)]>create database wordpress charset utf8;
3306 [(none)]>show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| school             |
| sys                |
| wordpress          |
| world              |
+--------------------+
3306 [(none)]>use wordpress;

# 设置wordpress页面
数据库名称  	  wordpress 
用户     	    root
密码			数据库密码
本地			127.0.0.1

# 如果无法浏览,注意文件权限是否正确。目录权限是否正确。

拆分数据库

由于单台服务器运行LNMP架构,会导致访问非常的缓慢。内存很容易吃满,容易出现oom。从而kill掉相关进程。导致架构无法正常运行。
1.web01服务端操作
# 备份数据库,一定要查看内容是否正确
[root@web01 yum.repos.d]# mysqldump -uroot -p123456 -A > test.sql

# 拷贝到要迁移的服务器
[root@web01 yum.repos.d]# scp test.sql [email protected]:~

# 关闭数据库
[root@web01 yum.repos.d]# systemctl stop mysqld

2.mysql服务端操作
安装数据库:
# 一定要选择和web相同的数据库版本,否则可能报错。
[root@mysql yum.repos.d]# yum install mariadb-server

# 查看yum安装的数据库零时密码
[root@mysql yum.repos.d]# grep "temporary password" /var/log/mysqld.log

# yum安装数据库后,登入不进去。跳过检测表进去。
[root@mysql yum.repos.d]# vim /etc/my.cnf
加入行
skip-grant-tables

# 重启数据库
systemctl restart mysqld

# 进入数据库后修改密码,修改后将配文件注释。
[root@web01 ~]# mysql
mysql> flush privileges;
mysql> set password for root@localhost = password('123456');

# 数据导入
[root@mysql yum.repos.d]# mysql -uroot -p123456 < /root/test.sql

# 进入数据库和表查看是否存在。
mysql> show databases;
mysql> use wordpress;
mysql> show tables;

3.修改程序连接远程数据库
# mysql服务区端,数据库添加用户,注意是mysql的用户
mysql>grant all privileges on *.* to lnmp@'10.0.0.%' identified by '123456';

# 查看权限
mysql> show grants for lnmp@'10.0.0.%';

# web01服务端操作
# 测试远程连接数据库服务器
[root@web01 yum.repos.d]# mysql -h10.0.0.51 -ulnmp -p

# 如果刚到公司不知道业务配置连接数据库的文件,可以查找出相关文件。
[root@web01 ~]# find /data/wordpress/ -type f|grep -R "123456" 

# 修改配置文件
[root@web01 ~]# vim /data/wordpress/wp-config.php 
/** WordPress数据库的名称 */
define('DB_NAME', 'wordpress');

/** MySQL数据库用户名 */
define('DB_USER', 'lnmp');		    # 修改成和创建的远程数据库用户。

/** MySQL数据库密码 */
define('DB_PASSWORD', '123456');	# 设置的密码

/** MySQL主机 */
define('DB_HOST', '10.0.0.51');		# 主机IP修改成设置的远程数据库服务器的IP,。

/** 创建数据表时默认的文字编码 */
define('DB_CHARSET', 'utf8mb4');

# 如果网站显示白页面,找到相关缓存目录cache清空缓存即可。
[root@web01 ~]# rm -rf /data/wordpress/cache/*


# 单个库导入
find /data/zhihu  -type f|xargs grep -R "123456"

1.web服务端操作
[root@web01 config]# mysqldump -uroot -p123456 zh > zhihu.sql
2.msyql服务端操作
[root@mysql ~]# mysql -uroot -p123456 
mysql> create database zh;
[root@mysql ~]# mysql -uroot -p123456 zh < zhihu.sql


http://wp.caoxueming.com/wp-content/uploads/2020/05/TIM图片20200413123443-1024x515.jpg
http://zh.caoxueming.com/uploads/article/20200501/57f9b80303055ce3ffbd81fdb005b0ff.jpg?838

扩展多台web服务


# 将web01的仓库拷贝到web02
# 扩展多台web应用服务
两台一样:
1.环境是不是应该一致
[root@web02 ~]# scp [email protected]:/etc/yum.repos.d/* /etc/yum.repos.d/
[root@web02 ~]# yum install nginx -y
[root@web02 ~]# yum -y install php71w php71w-cli php71w-common php71w-devel php71w-embedded php71w-gd php71w-mcrypt php71w-mbstring php71w-pdo php71w-xml php71w-fpm php71w-mysqlnd php71w-opcache php71w-pecl-memcached php71w-pecl-redis php71w-pecl-mongodb

2.nginx和php的配置文件一致
[root@web02 ~]# groupadd -g666 www
[root@web02 ~]# useradd -u666 -g666 www
[root@web02 ~]# scp -rp [email protected]:/etc/php-fpm.d/www.conf /etc/php-fpm.d/
[root@web02 ~]# scp -rp [email protected]:/etc/nginx/* /etc/nginx/
 
3.代码一致
# 先在web01上进行打包
[root@web01 ~]# tar czf data.tar.gz /code
# 推送给web02  tar czf data.tar.gz /code 
[root@web01 ~]# scp data.tar.gz [email protected]:~
# web02解压即可
[root@web02 ~]# tar xf data.tar.gz -C /
 
4.启动服务,并加入开机自启动
[root@web02 ~]# systemctl start nginx php-fpm
[root@web02 ~]# systemctl enable nginx php-fpm

5.解决不同节点数据对接问题

负载均衡

代理概述

用户请求 --> 代理服务器处理用户请求下发 --> web服务器 --> 找出资源返回给代理 --> 用户
客户无法直接访问服务端,因为服务器端是内网。
代理服务器有两个IP,一个是内网IP 一个是公网IP。当用户用公网IP访问时,代理服务器处理完毕后,会用内网IP发送给web服务器。

常见模式

正向代理:代理客户端访问网络资源。例如科学上网。
反向代理:客户发送请求,代理根据用户请求发送给web,web返回数据给代理,代理返回给用户。

区别:
正向代理对象是客户端。
反向代理对象是服务端。

nginx代理的协议

HTTP 		----->	代理超文本传输协议
HTTPS 		----->	代理http/https协议
TCP			----->	代理tcp/dup协议
websocket	----->	代理http1.1长连接通讯协议  http2.0支持并发;
GRPC		----->	代理go语言远程过程调用
POP/IMAP	----->	代理邮件收发协议
RTMP		----->	代理流媒体,直播,点播。

- 常用的协议:
HTTP 		----->	代理超文本传输协议
HTTPS 		----->	代理http/https协议
TCP			----->	代理tcp/dup协议
websocket	----->	代理http1.1长连接通讯协议
GRPC		----->	代理go语言远程过程调用

协议对应的模块

http/https   		ngx_http_proxy_module   	 --http 	server
http/https			ngx_http_fastcgi_module  	 --php 		server
http/https			ngx_http_uwcgi_module	 	 --python 	server	
websocket			ngx_http_proxy_module	 	 --socket
grpc	    		ngx_http_v2_module		 	 --grpc 	server

- 常用的模块:
http websocket https   nginx_http_proxy_module 
fastcgi				   ngx_http_fastcgi_module
uwcgi				   ngx_http_uwcgi_module
grpc				   ngx_http_v2_module

反向代理语法

# 确认selinux关闭
# 确认firewalld关闭
语法:
只能用在location层

操作:将8080端口代理成80端口
web服务端
[root@web01 conf.d]# vim web.caoxueming.com.conf
server {
        listen 8080;
        server_name web.caoxueming.com;
        location / {
        root /web;
        index index.html;
        }
}

proxy代理端,代理监听的端口永远在80.
[root@proxy conf.d]# vim  proxy.web.caoxueming.com.conf
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://10.0.0.7:8080;
        }	
}

浏览器输入:web.caoxueming.com不用添加8080端口就可以访问了。

# 随机端口的占用
代理服务器的端口一般最多使用50000个左右
web服务器的端口一般最多使用2-30000个左右

# 当代理监听的端口和web端的网站配置文件监听的端口冲突时,web就会发送一个错误的页面返回给代理。
# 解决返回错误页面的问题。
proxy代理端
[root@proxy conf.d]# vim  proxy.web.caoxueming.com.conf
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://10.0.0.7:80;			
        proxy_set_header Host $http_host;	添加头部信息变量,必须要访问这个页面。
	    }
}

# 让web服务端,显示真实的请求客户端地址。
[root@proxy conf.d]# vim  proxy.web.caoxueming.com.conf
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://10.0.0.7:80;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 添加源IP透传变量。
	    }
}

# 将默认连接http1.0改成http1.1
[root@proxy conf.d]# vim  proxy.web.caoxueming.com.conf
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://10.0.0.7:80;
        proxy_http_version 1.1;				添加http协议模块。
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}

# 将web01公网IP停用。代理用172段内网IP访问web01,抓包数据无法抓到10.0.0.7的包。也不会显示代理服务器代理的谁。
[root@proxy conf.d]# vim  proxy.web.caoxueming.com.conf
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://172.16.1.7:80;
        proxy_http_version 1.1;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}

# 代理服务器与web服务器的连接时间。
proxy_connect_timeout 30;	连接后端的超时时间。
porxy_send_timeout 60;		后端把数据传送给代理的超时时间。
proxy_read_timeout 60;		代理等待后端服务器的响应时间。

proxy_buffering on;			缓冲区,一边收一边传。
proxy_buffer_size 32k;		保存用户的头信息大小32k。
proxy_buffers 4 128k;		缓冲区大小。

# 将以上的模块写成一个params文件。
vim /etc/nginx/proxy_params
写入完成后直接引用这个params
include proxy_params 

[root@proxy conf.d]# vim  proxy.web.caoxueming.com.conf
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://172.16.1.7:80;
	    include proxy_params;
}
}

proxy_params

[root@WEB ~]# vim /etc/nginx/proxy_params
proxy_http_version 1.1;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
proxy_buffering on;
proxy_buffer_size 32k;
proxy_buffers 4 128k;

负载均衡

load balance
调度系统
海量用户的访问,调度节点将用户的请求转发给应用节点。
调度节点和应用节点,往往放在一个IDC机房里。加强调度节点和应用节点的通信实时性。

# 四层负载均衡
四层负载均衡指的是ISO七层模型中的传输层,nginx已经支持TCP/IP的控制。所以只需要对客户端的请求进行TCP/IP协议包进行转发,就实现了负载均衡。处理性能非常快,只需要底层进行应用处理。而不需要一些复杂的逻辑。四层协议只支持IP+端口。

# 七层负载均衡
七层负载均衡是在应用层,可以完成很多应用方面的协议请求。比如HTTP的信息改写,头信息改写,安全应用规则控制等等。NGINX就是一个典型的七层负载均衡SLB。

# 七层和四层的区别
四层负载均衡在底层进行分发。
七层负载均衡在最顶层进行分发。
由此可以看出七层的效率没有四层高。
但七层负载均衡更贴近于服务。比如上述七层对HTTP的各种改写。
#二者结合
可以将四层和七层结合使用。四层没有对端口数量的限制,它在内核就完成了工作。用户请求数据,四层解开头部信息,抛给七层,七层再解析四层没有解析完的数据包。这种一般大型互联网公司会用到。


# 负载均衡硬件(选择较少,一台往往几十万)
F5
radware

# 负载均衡软件
七层:nginx   HAProxy
四层:nginx   HAProxy	lvs(最厉害的四层负载,国人开发。)

# 云产品:
SLB lvs做四层  tengine七层
ULB haproxy做四层	haproxy nginx做七层

实现负载均衡

需要用到nginx的proxy_pass代理模块。
nginx代理仅代理一台服务器,而nginx负载均衡则是将客户端请求代理转发至一组upstream虚拟服务集群。

配置
只能用在http层
定义资源池,当访问location的时候,会跳转到定义的资源池,进行分别不同的处理。资源池的名称不可和以前的有重复。
upstream  backend {
}
server {
		location / {
		proxy_pass http://backend;
		}
}

实现
代理端操作
[root@proxy conf.d]# vim proxy.web.caoxueming.com.conf 
upstream web { 
        server 172.16.1.7:80;
        server 172.16.1.8:80;
}
server {
        listen 80;
        server_name web.caoxueming.com;
        location / {
        proxy_pass http://web;
        proxy_http_version 1.1;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

服务端
添加两个web页面配置即可。

作业
内容
知乎和博客实现负载均衡
1台负载均衡服务器  2台web服务端。
代理端
[root@proxy conf.d]# vim proxy.web.caoxueming.com.conf 
upstream web {
        server 10.0.0.7:80;
        server 10.0.0.8:80;
}
server {
        listen 80;
        server_name bolg.caoxueming.com;
        location / {
        proxy_pass http://web;
        proxy_http_version 1.1;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}
server {
        listen 80;
        server_name zhihu.caoxueming.com;
        location / {
        proxy_pass http://web;
        proxy_http_version 1.1;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

负载均衡调度算法

轮询 按照顺序逐一分配到不同的后端服务器
weight		加权轮询,weight值越大,分配到的访问几率越高。
ip_hash		每个请求按访问IP的hash结果分配,这样来自同一个IP的固定访问一个后端服务器。
url_hash	按照访问URL的hash结果来分配请求,是每个url定向到一个后端服务器。
least_conn	最少连接数,哪个机器链接数少就分发。

轮询

按照顺序逐一分配到不同的后端服务器
    upstream web {
        server 10.0.0.7:80;
        server 10.0.0.8:80;
    }

加权轮询

可在配置的server后面加个weight=number,number值越高,分配的概率越大。
upstream web {
        server 10.0.0.7:80 weight=10;
        server 10.0.0.8:80 weight=20;
    }

ip_hash

每个请求按访问IP的hash分配,这样来自同一IP固定访问一个后台服务器。
upstream lb_demo {
        ip_hash;
        server 10.0.0.7:80;
        server 10.0.0.8:80;
    }

least_hash

最少链接数,哪个机器连接数少就发分发给哪个机器。
upstream lb_demo {
        least_conn;
        server 10.0.0.7:80;
        server 10.0.0.8:80;
    }

url_hash

按访问的url的hash结果分配请求,是每个url定向到同一后端服务器上。
upstream web {
        web;
        server 10.0.0.7:80;
        server 10.0.0.8:80;
    }

后端信息

1.down		       当前的server暂时不参与负载均衡  相当于注释
2.backup		   预留的备份服务器
4.max_fails	   	   允许请求失败的次数
5.fail_timeout     经过max_fails失败后, 服务暂停时间
6.max_conns	       限制最大的接收连接数

down

down	当前的server暂时不参与负载均衡  相当于注释

upstream web {
         web;
         server 10.0.0.7:80 down; 无法轮询到这个IP。
         server 10.0.0.8:80;
    	}

backup

backup	 预留的备份服务器
upstream web {
         web;
         server 10.0.0.7:80 backup;  当10.0.0.8出现故障无法访问,会跳转到这个IP。
         server 10.0.0.8:80;
    	}

max_fails

max_fails	允许请求失败的次数
upstream web {
         web;
         server 10.0.0.7:80 max_fail=3 fail_timeout=10s;  如果十秒内请求失败三次那么踢出轮询。并10s内探测此IP是否可用。
         server 10.0.0.8:80;
    	}

fail_timeout

fail_timeout     经过max_fails失败后, 服务暂停时间
upstream web {
         web;
         server 10.0.0.7:80 max_fail=3 fail_timeout=10s;  如果十秒内请求失败三次那么踢出轮询。并10s内探测此IP是否可用。
         server 10.0.0.8:80;
    	}

max_conns

max_conns	限制最大的接收连接数
upstream web {
         web;
         server 10.0.0.7:80  max_conns=2000; 最多接受2000个请求。多余的全部连接失败。
         server 10.0.0.8:80  max_conns=2000;
    	}

后端长链接

upstream web {
         web;
         server 10.0.0.7:80  max_conns=2000; 最多接受2000个请求。多余的全部连接失败。
         server 10.0.0.8:80  max_conns=2000;
         keepalive	16;	最大的空闲连接数,如果超过一定的连接数,那么自动释放掉,保留16个空闲连接。好处就是:可以直接处理用户请求,就不用建立三次握手了。
         keepalive_timeout 100s;  空闲连接的超时时间。
    	}
    	
    	server {
		listen 80;
		server_name ip.caoxueming.com;
		location / {
		proxy_pass http://web;
		proxy_http_version 1.1;
		proxy_set_header Host $http_host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		}
}

生产环境中使用最多

	server 10.4.7.21:6443	max_fails=3 fail_timeout=30s;
	server 10.4.7.22:6443	max_fails=3 fail_timeout=30s;

企业案例

企业案例:使用nginx负载均衡时,如何将后端请求超时的服务器流量平滑的切换到另一台上。如果后台服务连接超时,Nginx是本身是有机制的,如果出现一个节点down掉的时候,Nginx会更据你具体负载均衡的设置,将请求转移到其他的节点上,但是,如果后台服务连接没有down掉,但是返回错误异常码了如:504、502、500,应该如何处理。
可以在负载均衡添加如下配置proxy_next_upstream http_500 | http_502 | http_503 | http_504 |http_404;意思是,当其中一台返回错误码404,500...等错误时,可以分配到下一台服务器程序继续处理,提高平台访问成功率。

[root@proxy ~]# cat /etc/nginx/conf.d/proxy_blog.oldxu.com.conf
upstream blog {
	server 172.16.1.7:80;
	server 172.16.1.8:80;
}
server {
	listen 80;
	server_name blog.oldxu.com;
	location / {
	proxy_pass http://blog;
	include proxy_params;
	proxy_next_upstream error timeout http_500 http_502 http_503 http_504;
	}
}

七层负载均衡

基于代理透传

环境:
	10.0.0.5	proxy_node1
	10.0.0.6	proxy_node2
	10.0.0.7	proxy_node3
	10.0.0.8	webserver
	
域名:
	ip.caoxueming.com	解析	--> 10.0.0.5

proxy_node1

proxy_node1 Nginx配置如下:
[root@lb01 conf.d]# vim proxy_ip.caoxueming.com.conf 
server {
 listen 80;
 server_name ip.caoxueming.com;
 location / {
 proxy_pass http://10.0.0.6;
 proxy_http_version 1.1;
 proxy_set_header Host $http_host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }
}

proxy_node2

proxy_node2 Nginx配置如下:
[root@lb01 conf.d]# vim proxy_ip.caoxueming.com.conf 
server {
	listen 80;
	server_name ip.caoxueming.com;
	location / {
	proxy_pass http://10.0.0.7;
	proxy_http_version 1.1;
	proxy_set_header Host $http_host;
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	}
}

proxy_node3

proxy_node3 Nginx配置如下:
[root@lb01 conf.d]# cat proxy_ip.oldboy.com.conf 
server {
 listen 80;
 server_name ip.caoxueming.com;
 location / {
 proxy_pass http://10.0.0.8;
 proxy_http_version 1.1;
 proxy_set_header Host $http_host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }
}

  1. webserver

WebServer Nginx配置如下:
[root@web02 conf.d]# vim ip.caoxueming.com.conf 
server {
	listen 80;
	server_name ip.caoxueming.com;
	root /code;
	location / {
	index index.php index.html;
	}
	location ~ \.php$ {
	fastcgi_pass 127.0.0.1:9000;
	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
	include fastcgi_params;
	}
}

test

测试方式一
	[root@web02 conf.d]# vim /code/index.php 
	
	
	[root@web02 conf.d]# vim /code/index.php 
	
	通过浏览器访问,搜索$_SERVER['HTTP_X_FORWARDED_FOR']

测试方式二
	1.proxy_node1代理的日志 10.0.0.5
	10.0.0.1 - - "GET /index.php HTTP/1.1" 200

	2.proxy_node2代理的日志 10.0.0.6
	10.0.0.5 - -  "GET /index.php HTTP/1.1" 200 "10.0.0.1"

	3.proxy_node3代理的日志 10.0.0.7
	10.0.0.6 - - "GET /index.php HTTP/1.1" 200 "10.0.0.1,10.0.0.5" 

	4.真实web的日志 10.0.0.8
	10.0.0.7 - - "GET /index.php HTTP/1.1" 200 "10.0.0.1,10.0.0.5,10.0.0.6"
	
# web服务端操作
# http,server,location层都可以添加。
使用nginx Realip_module获取多级代理下的客户端真实IP地址,需要在Web上配置(每个代理点都要配置proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for)
server {
	listen 80;
	server_name ip.caoxueming.com;
	set_real_ip_from  10.0.0.5;
	set_real_ip_from  10.0.0.6;
	set_real_ip_from  10.0.0.7;
	real_ip_header    X-Forwarded-For;
	real_ip_recursive on;
	root /code;
	}

set_real_ip_from:真实服务器上一级代理的IP地址或者IP段,可以写多行(每个代理服务器的ip都要添加)

real_ip_header  X-Forwarded-For :从哪个header头检索出需要的IP地址(获取X-Forwarded-For地址信息)

real_ip_recursive on:(X-Forwarded-For - set_real_ip_from)递归排除set_real_ip_from里面出现的IP,其余没有出现的认为是用户真实IP
例如:  "10.0.0.1, 10.0.0.5, 10.0.0.6"

10.0.0.5,10.0.0.6都出现在set_real_ip_from中,仅仅10.0.0.1没出现,那么他就被认为是用户的ip地址,并且赋值到$remote_addr变量

负载均衡会话保持

概述

1.session由服务端程序生成,session_ID的编号。存储在服务端(没登录状态)。
2.应用程序Nginx通过的Header方式,会将程序生成的Session_ID 回传给浏览器。set-cookies
3.浏览器收到服务端的Session_ID,会将该Session_ID存储至Cookies中。
4.当我尝试登陆网站时,输入用户名称 + 用户密码 + Session_ID。
5.登陆成功,我们的服务端会存储该Session至本地,并将该sessionID与对应登陆的用户名称捆绑,标记已登陆。
6.当浏览器再起发送请求,还会携带cookies中的Session_ID,服务端校验Session_ID, 比对成功,则会话保持。

安装phpmyadmin

# nginx ip_hash(如果是NAT网络,会造成巨大负载)
# 基于浏览器的cookie(不安全)
# 基于服务端的session共享。将用户的session存储到redis缓存服务器。
1.下载phpmyadmin
wget https://files.phpmyadmin.net/phpMyAdmin/4.8.5/phpMyAdmin-4.8.5-all-languages.zip
unzip phpMyAdmin-4.8.5-all-languages.zip	
[root@web01 code]# vim /etc/nginx/conf.d/php.conf
server {
	listen 80;
	server_name php.caoxueming.com;
	root /data/phpmyadmin;
	location / {
	index index.php index.html;
	}
	location ~ \.php$ {
	fastcgi_pass 127.0.0.1:9000;
	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
	include fastcgi_params;
	}
}

[root@web01 phpmyadmin]# cp config.sample.inc.php  config.inc.php
[root@web01 phpmyadmin]# vim config.inc.php 
/* Server parameters */
$cfg['Servers'][$i]['host'] = '172.16.1.51';

session目录授权
[root@web01 conf.d]# chown -R www.www /var/lib/php/

网站代码目录授权
[root@web01 conf.d]# chown -R www.www /data/

ip_hash

代理配置如下
用ip_hash实现了保持会话连接,无法共享session。会一直用访问同一个IP服务器,导致该web服务器负载高。无法实现负载均衡的特性。
[root@proxy conf.d]# vim proxy_php.oldboy.com.conf 
upstream php_pools {
	ip_hash
	server 10.0.0.7:80;
	server 10.0.0.8:80;
}
server {
	listen 80;
	server_name php.caoxueming.com;
	location / {
	proxy_pass http://php_pools;
	proxy_http_version 1.1;
	proxy_set_header Host $http_host;
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
	}
}
[root@proxy conf.d]# systemctl restart nginx

redis实现会话保持

# 解决session共享问题
# 使用Redis
proxy 10.0.0.5
web01 10.0.0.7
web02 10.0.0.8
redis 10.0.0.51
mysql 10.0.0.51

1.redis缓存服务器操作:
安装redis
[root@mysql ~]# yum install redis -y
[root@mysql ~]# sed -i 's#^bind.*#bind 10.0.0.51 127.0.0.1#g' /etc/redis.conf
[root@mysql ~]# systemctl restart  redis
[root@mysql ~]# systemctl enable   redis

2.配置应用服务器,连接redis,将session的信息存储至redis数据库中(7 8)  php->redis
[root@web01 ~]# vim /etc/php.ini 
session.save_handler = redis
;session.save_path = "/tmp" 下面添加
session.save_path = "tcp://172.16.1.51:6379" 
;session.save_path = "tcp://172.16.1.51:6379?auth=123456&weight=1&timeout=2.5"

[root@web01 ~]# vim /etc/php-fpm.d/www.conf	注释sessionID路径。
;php_value[session.save_handler] = files
;php_value[session.save_path]    = /var/lib/php/session

[root@web01 phpmyadmin]# cp config.sample.inc.php  config.inc.php
[root@web01 phpmyadmin]# vim config.inc.php 
/* Server parameters */
$cfg['Servers'][$i]['host'] = '172.16.1.51';

基于负载均衡实现不同设备调度到不同的资源池中

# web服务器操作
[root@web01 conf.d]# cat web.caoxueming.com.conf
server {
	listen 8080;
	server_name web.caoxueming.com;
	location / {
	root /web/pc;
	index index.html;
	}
}

server {
	listen 8081;
	server_name web.caoxueming.com;
	location / {
	root /web/ios;
	index index.html;
	}
}
server {
	listen 8082;
	server_name web.caoxueming.com;
	location / {
	root /web/ad;
	index index.html;
	}
}

[root@web01 conf.d]# mkdir -p /web/{pc,ios,ad}
[root@web01 conf.d]# echo pc..... >/web/pc/index.html
[root@web01 conf.d]# echo ios..... >/web/ios/index.html
[root@web01 conf.d]# echo ad..... >/web/ad/index.html
[root@web01 conf.d]# 

# 负载均衡客户端操作
[root@proxy conf.d]# vim web.caoxueming.com.conf 
upstream pc_pools {
	server 172.16.1.7:8080;
}

upstream ios_pools {
	server 172.16.1.7:8081;
}

upstream ad_pools {
	server 172.16.1.7:8082;
}

server {
	listen 80;
	server_name web.caoxueming.com;
	location / {
	proxy_pass http://pc_pools;	 已经定义了PC反馈。
	include proxy_params;
	if ($http_user_agent ~* "Iphone") {
	proxy_pass http://ios_pools;
	}

	if ($http_user_agent ~* "Android") {
	proxy_pass http://ad_pools;
	}

	if ($http_user_agent ~* "msie") {
	return 200 "Biche";
	}

	if ($http_user_agent ~* "rv") {
	return 200 "Biche";
	}
	}
}

基于负载均衡实现不同的url调度到不同资源池

[root@web01 conf.d]# vim url.caoxueming.conf 
server {
        listen 8080;
        server_name url.caoxueming.com;
        location / {
        root /url/images;
        index index.html;
        }
}

server {
        listen 8081;
        server_name url.caoxueming.com;
        location / {
        root /url/download;
        index index.html;
        }
}
server {
        listen 8082;
        server_name url.caoxueming.com;
        location / {
        root /url/user;
        index index.html;
        }
}

[root@web]# mkdir /url/{images,download,user} -p
[root@web]# echo "url_images page" > /url/images/index.html
[root@web]# echo "url_down page" > /url/download/index.html
[root@web]# echo "url_user page" > /url/user/index.html



负载的配置
[root@lb01 conf.d]# cat proxy_uri.caoxueming.com.conf 
upstream images_pools {
	server 172.16.1.7:8080;
}

upstream download_pools {
	server 172.16.1.7:8081;
}

upstream user_pools {
	server 172.16.1.7:8082;
}

server {
	listen 80;
	server_name url.caoxueming.com;
	location /images {
	proxy_pass http://images_pools/;
	include proxy_params;
	}
	location /download {
	proxy_pass http://download_pools/;
	include proxy_params;
	}
	location /user {
	proxy_pass http://user_pools/;
	include proxy_params;
	}
}

四层负载均衡

* 针对server层的网站层面,与http层属于同级层,用于操作网站网址;

* 针对ip分流和端口映射;

概述

# 什么是四层负载均衡
1.基于传输层 协议包来封装的 ( TCP/IP ), 七层负载均衡是 应用层协议,他组装在四层 负载均衡基础之上,无论是四层负载均衡还是 七层负载均衡 都指的是 OSI 网络模型。
2.传输层:tcp/udp协议,端口(基于ip+port的负载均衡 )ssh(22)mysql(3306) redis(6379)
3.应用层:请求的uri、Header修改、权限控制、访问规则等等

# 四层负载均衡的应用场景
1.实现端口转发
2.ssh、mysql等都是TCP协议请求,只能使用tcp方式 连接的服务,我们就可以使用四层负载均衡来调度。

# 四层结合七层实现大规模集群架构。
1.七层负载均衡能够接收连接数有限,需要配置多台七层负载均衡。
问题: 多台七层如何实现轮询?
解决: 在多台七层负载均衡前面接入四层负载均衡
2.四层可以保证七层负载均衡的高可用性。
注意:四层负载均衡 不识别域名,他仅识别端口,所以在四层结合七层的情况下,四层做端口转发,七层来实现域名的匹配,然后代理到后端web节点。

# 总结四层负载均衡:
1.四层负载均衡仅能转发TCP/IP协议、UDP协议,通常用来转发端口:如 tcp/80 tcp/443  tcp/3306 tcp/22 udp/53
2.四层负载均衡可以解决七层负载均衡高可用性的问题。( 多个七层负载均衡同时提供服务 )
3.四层负载均衡可以解决七层负载均衡端口数限制问题。(七层负载均衡最多能使用的端口是5w)
4.四层转发效率远比七层代理的效率高的多,但是他只能支持tcp/ip协议,所以他的功能较弱,虽然七层效率不高,但他持http/https这样的应用层协议。
5.四层是在传输层就对请求流量进行端口的转发。

stream

  • stream模块不能出现在http层;
  • 在配置层面与http层属于同一层;
  • /etc/nginx/conf.d/default必须 gzip 不然会影响stream层配置;
# 语法
stream {
    upstream backend {
    hash $remote_addr consistent;
    server backend1.example.com:12345 weight=5;    #权重为5;
    server 127.0.0.1:12345 max_fails=3 fail_timeout=30s;    #请求3次不成功就暂停服务30秒再访问;
    server unix:/tmp/backend3;
    }
 server {
    listen 12345;
    proxy_connect_timeout 1s;   #连接超时时间;
    proxy_timeout 3s; #代理超时时间;
    proxy_pass backend;
    }
}
# 访问出现问题: tcpdump -i eth0 抓包;
# 开发要求连接mysql数据库, 但数据库在内网环境?	tcp  ip:port 	3306
# 开发要求连接redis数据库, 但数据库在内网环境?	tcp  ip:port 	6379
[root@lb01 ~]# vim /etc/nginx/nginx.conf
stream {
        upstream ssh_7 {
        server 172.16.1.7:22;
        }

        upstream mysql_51 {
        server 10.0.0.51:3306;
        }

        server {
                listen 6666;
        	    proxy_pass ssh_7;
        }

        server {
                listen 5555;
                proxy_pass mysql_51;
        }
	   }
	    
# 自定义配置
[root@proxy conf.d]# vim /etc/nginx/nginx.conf 
不能在http层添加
include /etc/nginx/conf.c/*.conf;
[root@proxy conf.d]# mkdir /etc/nginx/conf.c
[root@proxy conf.d]# vim /etc/nginx/conf.c/stream_mysql.conf
stream  {
        upstream ssh_7 {
        server 172.16.1.7:22;
        }

        upstream mysql_51 {
        server 10.0.0.51:3306;
        }

        server {
                listen 6666;
        	    proxy_pass ssh_7;
        }

        server {
                listen 5555;
                proxy_pass mysql_51;
        }
	    }

4+7跳转web

# 4+7跳转web
stream {
	upstream lb {
	server 10.0.0.5:80;
	#server 172.16.1.6:80 weight=3 max_fails=2 fail_timeout=10s;
	}
	server {
	listen 80;
	proxy_pass lb;
	proxy_connect_timeout 100s;
	proxy_timeout 100s;
	}

日志配置

# 日志配置
[root@lb01 ~]# vim /etc/nginx/conf.c/stream_mysql.conf 
stream  {
        log_format  proxy '$remote_addr - [$time_local]  $status $protocol'
                  		  '"$upstream_addr" "$upstream_bytes_sent" "$upstream_connect_time"' ;      #定义日志的格式
       		  
        access_log /var/log/nginx/tcp.log   proxy;       #调用日志   
        upstream ssh_7 {
        server 172.16.1.7:22;
        }

        upstream mysql_51 {
        server 10.0.0.51:3306;
        }

        server {
                listen 6666;
                proxy_pass ssh_7;
        }

        server {
                listen 5555;
                proxy_pass mysql_51;
        }
        }

4+7透传IP

  • 模块
Module ngx_stream_core_module

1.四层+7层+七层+web透传真实IP:

1.四层添加proxy_protocol协议[传递信息携带一个新的tcp头部(包含源IP、源端口、等等信息)]
2.七层需要支持proxy_protocol,在listen80添加proy_protocl协议。七层已经获取到了客户端的IP和四层负载均衡的IP
3.排除七层前面代理的IP地址set_real_ip_from 
4.同时将proxy_protocol协议提取真实IP地址复制给 $remote_addr变量通过x-forwarded-for携带到后端
5.第二七层负载均衡什么都不用 配置,只需要开启x-forwarded-for即可
6.web配置realip字段

2.四层配置:

[root@lb-4 conf]# vim nginx.conf
stream {
    upstream web {
    server 10.0.0.5:80;
    }
    server {
    listen 80;
    proxy_pass web;
    proxy_protocol on;  	#开启proxy_protocol协议
    }
}

3.七层 (如果有多个配置第一个七层即可):

[root@lb conf.d]# cat proxy_ip_oldxu.com.conf
upstream ip {
	server 10.0.0.7:80;
}
server {
    server_name ip.oldxu.com;
    listen 80 proxy_protocol;        #添加proxy_protocol头部信息(解度四层ip、端口头部信息)
    set_real_ip_from 10.0.0.0/24;  	 #添加七层负载前经过的代理IP地址(记录前面经过的代理ip)
    real_ip_header proxy_protocol;   #将proxy_protocol获取的IP赋值给$remote_addr(获取四层负载均衡服务器ip地址)
    location / {
    proxy_pass http://ip;
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-For $proxy_protocol_addr;	#将proxy_protocol真实客户端的IP地址赋值给X-Forwarded-For变量携带至后端(获取四层上级的web服务器真实ip地址)
    }
}

4.web:

[root@web02 ~]# cat /etc/nginx/conf.d/ip.oldxu.com.conf
server {
	listen 80;
	server_name ip.oldxu.com;
	root  /php;
	#web前端所有的代理服务器地址,一个都不能少
	set_real_ip_from 10.0.0.5;
	set_real_ip_from 10.0.0.7;
	set_real_ip_from 10.0.0.4;
	real_ip_header X-Forwarded-For;	#从哪个herder检索出需要的IP地址。
	real_ip_recursive on;		    #递归排除上述的IP地址。获得真实访问IP。
	location /  {
	index index.php;
	}
	location ~ \.php$ {
	fastcgi_pass 127.0.0.1:9000;
	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
	include  fastcgi_params;
	}
}

结果(第一个字段出现了真实的IP地址):
10.0.0.1 - - [29/Apr/2020:12:21:39 +0800] "GET / HTTP/1.0" 200 61 

综合实战

环境

环境:
10.0.0.31	NFS
10.0.0.41	RYSNC
10.0.0.51	数据库
10.0.0.4	L4
10.0.0.5	L7
10.0.0.7	WEB
10.0.0.8	WEB
10.0.0.9	L7

NFS

1.安装nfs 10.0.0.31
[root@nfs ~]# yum install nfs-utils -y

2.配置nfs
[root@nfs ~]# cat /etc/exports
/data 172.16.1.0/24(rw,sync,all_squash,anonuid=666,anongid=666)

3.创建目录
[root@nfs ~]# mkdir -p /data
	
4.创建用户
[root@nfs ~]# groupadd -g 666 www
[root@nfs ~]# useradd -u666 -g666 -M -s /sbin/nologin www
	
5.授权
[root@nfs ~]# chown -R www.www /data

6.重启nfs(restart)    下次开机自启 (enable)
[root@nfs ~]# systemctl restart nfs
[root@nfs ~]# systemctl enable nfs

7.检查是否真的启动了NFS服务,共享的目录是否正常
[root@nfs ~]# cat /var/lib/nfs/etab 

RSYNC

1.安装rsync 10.0.0.41
[root@backup ~]# yum install rsync -y

2.配置rsync
[root@backup ~]# vim /etc/rsyncd.conf
uid = www
gid = www
port = 873
fake super = yes
use chroot = no
max connections = 200
timeout = 600
ignore errors
read only = false
list = false
auth users = rsync_backup
secrets file = /etc/rsync.passwd
log file = /var/log/rsyncd.log
#####################################
[backup]
path = /backup

[data]
path = /data

创建虚拟用户以及虚拟用户的密码
[root@backup ~]# echo "rsync_backup:123456" > /etc/rsync.passwd
[root@backup ~]# chmod 600 /etc/rsync.passwd

创建用户
[root@backup ~]# groupadd -g 666 www
[root@backup ~]# useradd -u666 -g666 www

创建目录
[root@backup ~]# mkdir -p /data /backup
	
进行授权
[root@backup ~]# chown -R www.www /data/ /backup/
[root@backup ~]# ll -d /data/ /backup/
drwxr-xr-x. 7 www www 234 5月  23 10:47 /backup/
drwxr-xr-x. 2 www www   6 5月  23 10:47 /data/

3.重启rsync
[root@backup ~]# systemctl restart rsyncd

数据库安装

# MySQL源 10.0.0.51
[mysql57-community]
[mysql-connectors-community]
name=MySQL Connectors Community
baseurl=http://repo.mysql.com/yum/mysql-connectors-community/el/7/$basearch/
enabled=1
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-mysql
[mysql-tools-community]
name=MySQL Tools Community
baseurl=http://repo.mysql.com/yum/mysql-tools-community/el/7/$basearch/
enabled=1
gpgcheck=0

[root@mysql yum.repos.d]# yum install mariadb-server
[root@mysql yum.repos.d]# msyqladmin password '123456'
3306 [(none)]>create database wordpress charset utf8;
3306 [(none)]>show databases;
mysql> grant all on *.* to lnmp@'10.0.0.%' identified by '123456';
mysql> show grants for lnmp@'10.0.0.%'
[root@web01 yum.repos.d]# mysql -h10.0.0.51 -ulnmp -p

WEB

[nginx-stable] 10.0.0.7 10.0.0.8
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key

安装nginx
yum	install	nginx -y
# 配置nginx和php进程运行用户
groupadd -g666 www &\
useradd -u666 -g666 www

# 移除 yum remove php-mysql-5.4 php php-fpm php-common
cat >/etc/yum.repos.d/php.repo<

L7

[nginx-stable] 10.0.0.7 10.0.0.8
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key

安装nginx
yum	install	nginx -y

[root@proxy-05 ~]# vim /etc/nginx/conf.d/proxy_web.conf 
upstream web {
        server 10.0.0.7:80;
        server 10.0.0.8:80;
}
        server {
        listen 80 proxy_protocol;
        server_name zh.caoxueming.com;
        set_real_ip_from 10.0.0.0/24;
        real_ip_header proxy_protocol;
        location / {
        proxy_pass http://web;
        proxy_http_version 1.1;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_protocol_addr;
}
} 
        server {
        listen 80 proxy_protocol;
        server_name wp.caoxueming.com;
        set_real_ip_from 10.0.0.0/24; 
        real_ip_header proxy_protocol;
        location / {
        proxy_pass http://web; 
        proxy_http_version 1.1;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_protocol_addr;
}   
}  

L4

[nginx-stable] 10.0.0.7 10.0.0.8
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key

安装nginx
yum	install	nginx -y

[root@proxy-04 ~]# vim /etc/nginx/conf.c/stream_web.conf 
stream {
log_format  proxy '$remote_addr - [$time_local]  $status $protocol'
                  '"$upstream_addr" "$upstream_bytes_sent" "$upstream_connect_time"';
access_log /var/log/nginx/tcp.log proxy;
        upstream web {
        server 10.0.0.5:80;
        server 10.0.0.9:80;
    }
        server {
        listen 80;
        proxy_pass web;
        proxy_protocol on;
    }
}

动静分离

  • nginx: 消耗CPU;
  • Tomcat: 消耗内存;

部署tomcat

1.tomcat默认8080端口,请注意端口是否被使用。

2.安装java
[root@WEB ~]# yum install java -y

3.下载tomcat
[root@WEB ~]# wget https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.34/bin/apache-tomcat-9.0.34.tar.gz

4.安装tomcat
[root@WEB ~]# mkdir /soft
[root@WEB ~]# tar xf  apache-tomcat-9.0.34.tar.gz -C /soft/
[root@WEB ~]# ln -s /soft/apache-tomcat-9.0.34/ /soft/apache

5.启动Tomcat
[root@WEB ~]# /soft/apache/bin/startup.sh

6.接入Nginx,启动nginx。
[root@WEB-07 images]# vim /etc/nginx/conf.d/tomcat.oldcao.com.conf 

server {
        listen 80;
        server_name tomcat.oldcao.com;
        location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
        location ~*\.(png|gif|jpg)$ {
        root /code/images;
}
}
**用访问tomcat.oldcao.com 默认返回/code/images下面的\.(png|gif|jpg)$文件给客户端;
**动态资源由location / 交给127.0.0.1:8080的tomcat解析并返回nginx再客户端;
7.复制图片到/code/images
[root@WEB apache]# find ./ -name "*.png"|xargs -i cp {} /code/images/
[root@WEB apache]# find ./ -name "*.gif"|xargs -i cp {} /code/images/
[root@WEB-07 apache]# find ./  -name "*.png" -o -name "*.jpg" -o -name "*.gif"|xargs -i cp {} /code/images/

8.授权
[root@WEB code]# chown -R nginx.nginx /code/*

动静分离演示

[root@WEB code]# rm  -rf  /soft/apache/webapps/ROOT/*
[root@WEB code]# vim /soft/apache/webapps/ROOT/index.jsp
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>


Nginx+Tomcat动静分离


<%
  Random rand = new Random();
  out.println("

动态资源

"); out.println(rand.nextInt(99)+100); %>

静态图片

[root@WEB ~]# /soft/apache/bin/shutdown.sh #停止tomcat [root@WEB ~]# /soft/apache/bin/startup.sh #启动tomcat [root@WEB ~]# mv /code/images/tomcat.png /code/images/nginx.png

实例演示

环境:
lb 	   10.0.0.5
tomcat 10.0.0.7  动态资源处理程序
nginx  10.0.0.8  静态资源处理程序

1.静态资源10.0.0.8
[root@web02 ~]# vim /etc/nginx/conf.d/ds.oldxu.com.conf
server  {
	listen 80;
	server_name ds.oldxu.com;
	root /code/images;
	location / {
	index index.html;	
	}
}
[root@web02 ~]# mkdir /code/images
[root@web02 ~]# cd /code/images/
[root@web02 images]# wget http://nginx.org/nginx.png
[root@web02 ~]# systemctl restart nginx

2动态资源  10.0.0.7
[root@web01 ~]# cat /soft/tomcat/webapps/ROOT/index.jsp
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>


Nginx+Tomcat动静分离


<%
  Random rand = new Random();
  out.println("

动态资源

"); out.println(rand.nextInt(99)+100); %>

静态图片

[root@lb01 ~]# cat /etc/nginx/conf.d/proxy_ds.oldxu.com.conf upstream java { server 172.16.1.7:8080; } upstream static { server 172.16.1.8:80; } server { listen 80; server_name ds.oldxu.com; location ~*\.(png|gif|jpg)$ { proxy_pass http://static; include proxy_params; } location / { proxy_pass http://java; include proxy_params; } } [root@lb01 ~]# systemctl restart nginx

LNDP

步骤一、安装 python3 的环境
yum install openssl-devel bzip2-devel expat-devel gdbm-devel readline-devel \
sqlite-devel gcc gcc-c++  openssl-devel zlib zlib-devel python3 python3-devel -y

步骤二、安装 Django 框架、uwsgi
[root@web01 ~]# pip3 install -i https://mirrors.aliyun.com/pypi/simple/ --upgrade pip   #升级
[root@web01 ~]# pip3 install -i https://mirrors.aliyun.com/pypi/simple/ django==2.1.8   #安装django
[root@web01 ~]# pip3 install -i https://mirrors.aliyun.com/pypi/simple/ uwsgi	#uwsgi

步骤三、配置Django工程
[root@web02 ~]# cd /opt
[root@web02 opt]# django-admin.py startproject demosite



[root@web02 ~]# vim /opt/demosite/demosite/settings.py
修改
ALLOWED_HOSTS = ['*']

[root@web02 ~]# python3 /opt/demosite/manage.py runserver 0.0.0.0:9999


步骤四、配置uWSGI、配置Nginx
[root@web02 ~]# cat /opt/demosite/uwsgi.ini
[uwsgi]
#uwsgi监听的端口
socket = 127.0.0.1:9999
#uwsgi启动进程数
workers = 2
#最大接收的请求数
max-requests = 1000
#buffer缓冲区大小
buffer-size = 30000
#进程pid存放路径
pidfile = /run/uwsgi.pid
#uwsgi日志存储路径
daemonize = /var/log/uwsgi.log

[root@web02 ~]# uwsgi --ini /opt/demosite/uwsgi.ini
[uWSGI] getting INI configuration from /opt/demosite/uwsgi.ini
[root@web02 ~]# netstat -lntp|grep 9999
tcp        0      0 127.0.0.1:9999          0.0.0.0:*               LISTEN      32894/uwsgi


[root@web02 ~]# vim /etc/nginx/conf.d/djang.oldxu.com.conf
server {
	listen 80;
	server_name django.oldxu.com;

	location / {
		index  index.html;
		uwsgi_pass 127.0.0.1:9999;
		uwsgi_param UWSGI_CHDIR /opt/demosite;  #工程 所在的目录
		uwsgi_param UWSGI_SCRIPT demosite.wsgi; #demosite/wsgi接口文件 /opt/demosite/demosite/wsgi.py
		include uwsgi_params;
	}
}

---------django开发的博客:差劲

gitee.com搜索较好的开源项目


1.下载Django开发的博客
	[root@web02 ~]# wget http://cdn.xuliangwei.com/BBS.zip
	[root@web02 ~]# unzip BBS.zip  -d /code/

2.安装博客所依赖的模块( 开发会在写一个re......文件 )

	[root@web02 BBS]# pip3 install -i https://pypi.doubanio.com/simple/ -r /code/BBS/re.txt


3.安装数据库、导入项目的数据库文件

登陆51数据库
[root@db01 ~]# mysql -uroot -poldxu.com
MariaDB [(none)]> create database bbs charset utf8;
MariaDB [(none)]> use bbs;					#进入bbs库
MariaDB [bbs]> source  /root/bbs.sql				#导入/root/bbs.sql
MariaDB [bbs]> grant all privileges on *.* to 'all'@'%' identified by 'oldxu.com';		#授权远程连接的用户和密码



配置应用程序连接数据库的地址

[root@web02 BBS]# vim /code/BBS/BBS/settings.py
DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql',
        'NAME': 'bbs',
        'HOST': "172.16.1.51",
        'USER': 'all',
        'PASSWORD': 'oldxu.com',
        'PORT': 3306,
    }
}


4.配置Django项目已uwsgi方式启动
[root@web02 ~]# cat /code/BBS/uwsgi.ini
[root@web02 ~]# cat  /code/BBS/uwsgi.ini
[uwsgi]
#uwsgi监听的端口
socket = 127.0.0.1:8899
#uwsgi启动进程数
workers = 2
#最大接收的请求数
max-requests = 1000
#buffer缓冲区大小
buffer-size = 30000
#进程pid存放路径
pidfile = /run/uwsgi-bbs.pid
#uwsgi日志存储路径
daemonize = /var/log/uwsgi-bbs.log


[root@web02 ~]# uwsgi --ini /code/BBS/uwsgi.ini

5.配置Nginx代理至Uwsgi服务

[root@web02 ~]# cat /etc/nginx/conf.d/bbs.oldxu.com.conf
server {
    listen 80;
    server_name bbs.oldxu.com;
    client_max_body_size 100M;

    location  /static {
        alias /code/BBS/static/;
	expires 1d;
    }

    location /media {
        alias /code/BBS/media/;
    }

    location / {
        include uwsgi_params;
        uwsgi_pass 127.0.0.1:8899;
        uwsgi_param UWSGI_SCRIPT BBS.wsgi;
        uwsgi_param UWSGI_CHDIR /code/BBS;
    }
}


Rewrite跳转

介绍

rewrite和location的功能有点相像,都能实现跳转,主要区别在于rewrite常用于同一域名内更改获取资源的路径,而location是对一类路径做控制访问和反向代理,可以proxy_pass到其他服务器。

Nginx提供的全局变量或自己设置的变量,结合正则表达式和标志位实现url重写以及重定向。
rewrite只能放在server{},location{},if{}中,
并且只能对域名后边的除去传递的参数外的字符串起作用。
Rewrite主要的功能就是实现URL的重写,Nginx的Rewrite规则采用Pcre,perl兼容正则表达式的语法规则匹配,如果需要Nginx的Rewrite功能,在编译Nginx之前,需要编译安装PCRE库。
通过Rewrite规则,可以实现规范的URL、根据变量来做URL转向及选择配置。

相关指令

指令 默认值 适用范围 作用
break none if,server,location 完成当前的规则集,不再处理rewrite指令,需要和last加以区分
if ( condition ) { … } none server , location 用于检测一个条件是否符合,符合则执行大括号内的语句。不支持嵌套,不支持多个条件&&或处理
return none server , location 用于结束规则的执行和返回状态码给客户端,状态码的值可以是:200 400 402 406 408 410 411 413 416 500 504,另外非标准状态码444,表示以不发送任何Header头来结束链接。

rewrite常用环境变量

变量 说明
$args 变量中存放了请求URL中的请求指令。argl=value1&arg2=value2
$content_length 变量中存放了请求头中的content-length字段
$document_uri 变量中存放了请求中当前的URL,不包括请求指令。
$host 变量中存放了请求URL中的主机部分字段。
$http_user_agent 变量中存放客户端的代理信息
$http_accept-language 变量中存放了客户的请求语言信息
$http_cookie 变量中存放客户端的cookie信息
$limit_rate 变量中存放NGINX服务器对网络连接速率的限制,也就是Nginx配置中limit_rate指令的配置值
$remote_addr 变量中存放了客户端的地址
$remote_port 变量中存放了客户端与服务端建立连接的端口号
$remote_user 变量中粗放了客户端的用户名
$request_body_file 变量中存放了发给后端服务器的本地文件资源的名称
$request_method 变量中存放了客户端的请求方式,比如GET POST
$request_filename 变量中存放了当前请求的资源文件的路径名
$request_uri 变量中存放了当前请求的URL,并且带请求指令
$query_string 与变量$args含义相同
$scheme 变量中存放了客户端请求使用的协议,比如 http https
$server_protocol 变量中存放了客户端请求协议的版本,比如“HTTP/1.0”
$server_addr 变量中存放了服务器的地址
$server_name 变量中存放了客户端请求到达的服务器的名称
$server_port 变量中存放了客户端请求到达的服务器的端口号
$uri 与变量$document含义相同
$content_type 变量中存放了针对当前请求的根路径
$document_uri 变量中存放了针对当前请求额根路径
# 概述
rewrite主要实现URL地址重写,以及url地址跳转。
# 场景
用户访问www.caoxueming.com/class跳转class.caoxueming.com

# rewrite标记flag
last		本条规则匹配完成后,继续向下匹配新的location URI规则。
break		本条规则匹配完成后,停止匹配,不再匹配后面的规则。
redirect	返回302临时重定向,地址栏会显示跳转后的地址。
permanent	返回301永久重定向,地址栏会显示跳转后的地址。

last和break区别

break	匹配到规则,则会去本地路径中目录中寻找对应请求的文件。
last	匹配到规则,会对其所在的server{...}标签重新发起请求。

所以,在访问/break和/last请求时,虽然对应的请求目录/test都是不存在了,理论上都应该返回404,但是实际请求/last的时候,是会有后面localtion所匹配到的结果返回的,如果last匹配不到location的结果则在返回错误。


break:
1.如果规则被匹配到了,会先去查找本地是否存在该文件,不存在,则直接返回错误,404 403。存在, 存在则直接返回该页面的内容

last:
1.如果规则被匹配到了,会对当前的server{}重新发起请求,/last。rewrite.caoxueming.com/test/  --->  先进行location的匹配,如果匹配则走location。如果没有匹配,则查找本地目录下是否存在该文件,如果存在则返回,不存在则报错。

[root@testproxy conf.d]# vim rewrite.conf
server {
        listen 80;
        server_name rewrite.caoxueming.com;
        root /code;
        location ~ ^/break {			break 直接报错	真实路径 /code/test/
        rewrite ^/break /test/ break;
}
        location ~ ^/last {				last返回return 200 'ok';/code/test/
        rewrite ^/last /test/ last;
}
        location /test/ {
        default_type text/html;
        return 200 'ok';
}
}

redirect和permanent区别

redirect	临时跳转,每次请求时,都会询问服务器
	 
permanent	永久跳转,第一次请求时会循环,跳转后会记录跳转的状态在浏览器,当下次在请求时候,会通过浏览器的缓存直接跳转.

企业大多数使用的临时跳转
[root@testproxy conf.d]# vim rp.conf 
server {
        listen 80;
        server_name rp.caoxueming.com;
        root /code;
        location ~ ^/test/ {
        rewrite ^(.*)$ https://www.dinghuachong.com redirect;
        rewrite ^(.*)$ https://www.dinghuachong.com permanent;
}
}

1.当用户访问/code/test/index.html文件时,跳转/code/down/test/$1.html。
[root@testproxy conf.d]# vim break.conf 
server {
        listen 80;
        server_name break.caoxueming.com;
        root /code/;
        index index.html;
        location ~ ^/test {
        rewrite ^/test/(.*)\.html /down/test/$1.html break;
        }
}

2.用户访问course-11-22-33.html实际上真实访问是/course/11/22/33/course_33.html
3.用户访问course-44-55-66.html实际上真实访问是/course/44/55/66/course_66.html
[root@web01 conf.d]# mkdir /code/course/11/22/33/ -p
[root@web01 conf.d]# echo "course_11_22_33" > /code/course/11/22/33/course_33.html
[root@web01 conf.d]# mkdir /code/course/44/55/66/ -p
[root@web01 conf.d]# echo "course_44_55_66" > /code/course/44/55/66/course_66.html

location ~ ^/course {
	rewrite (.*)-(.*)-(.*)-(.*)\.html $1/$2/$3/$4/$1_$4.html break;
}

4.用户访问/test目录下任何内容, 实际上真实访问是http://www.xuliangwei.com
location /test {
        #rewrite ^(.*)$ https://www.xuliangwei.com redirect;
        return 302 https://www.dinghuachong.com;
}

5.将http请求,跳转至https
server {
        listen 80;
        server_name bgx.com;
        return 302 https://$server_name$request_uri;  http输入跟上什么后缀,跳转https就会跟上什么后缀
        }

rewrite优先级

1.Rewrite匹配优先级
1.先执行server块的rewrite指令
2.其次执行location匹配规则
3.最后执行location中的rewrite

server {
	listen 80;
	server_name test.oldboy.com;
	root /code;
	rewrite ^(.*)$ https://$server_name$1;
	
	location / {
		rewrite ^.*$ https://www.xuliangwei.com;
	}
	location /test {
		rewrite .* https://www.xuliangwei.com$1;
	}
}
test.oldboy.com/		-->  server 中的rewrite
test.oldboy.com/		--> location 匹配	location /  	在执行location中的rewrirte
test.oldboy.com/test	-->	location 匹配	location /test	在执行location中的rewrirte

2.Rewrite在匹配过程中会用到的一些Nginx全局变量
$server_name 当前用户请求的域名 test.oldboy.com --->$server_name = test.oldboy.com
test.oldboy.com/images/test.jpg	-->/code/images/test.jpg

$request_filename 	  判断文件是否存在  $request_filename request_filename 
$request_filename  	  当前请求的文件路径名(带网站的主目录/code/images/test.jpg)   
	
test.oldboy.com/images/test.jpg -->/images/test.jpg	  http ---跳转-->  https
$request_uri 当前请求的文件路径名(不带网站的主目录/images/test.jpg)

$scheme	用的协议,比如http或者https

rewrite 案例

需求1: 将用户请求url.oldxu.com.zh跳转至url.oldxu.com/zh
需求2: 将用户请求url.oldxu.com.jp跳转至url.oldxu.com/jp

[root@web01 ~]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
	listen 80;
	server_name url.oldxu.com.zh url.oldxu.com.jp;
	location / {
	#判断用户请求的域名是zh还是jp
	if ( $http_host ~* "zh" ) {
		set $language zh;
	}
	if ( $http_host ~* "jp" ) {
		set $language jp;
	}
	rewrite ^/$ http://url.oldxu.com/$language/ permanent;
	}
    }
server {
	listen 80;
	server_name url.oldxu.com;
	root /opt;
	location / {
	index index.html;
	}
	}
	
[root@web01 ~]# mkdir /opt/zh -p
[root@web01 ~]# mkdir /opt/jp -p
[root@web01 ~]# echo "zh.." > /opt/zh/index.html
[root@web01 ~]# echo "jp.." > /opt/jp/index.html
[root@web01 ~]# nginx -t
[root@web01 ~]# systemctl reload nginx

需求3: 过滤 Nginx 请求中包含 a1=3526 的http请求到 10.16.3.5 的 8080 端口处理。
server {
     listen 80;
     server_name url.oldxu.com;
     root /opt;
     location / {
     index index.html;
     #如果用户请求的uri中a1=3256,我们通过反向代理代理到10.16.3.5:8080端口
     if ( $request_uri ~* 'a1=3256' ) {
     #proxy_pass http://10.16.3.5:8080;		#这个地址是不存在的
     return 200 'ok....!';				   #所以使用return来替代模拟 
     }
     }
     }

测试curl命令

测试的curl命令: curl -L -HHost:url.oldxu.com http://10.0.0.7?a1=3256
-L 跟随跳转
-H 指定Host头,具体要请求的域名是

return 案例

return:主要用来返回数据|返回字符串|返回url地址。

1.如果用户使用 IE 访问url.oldxu.com 则返回字符串(请更换您的浏览器)。chrome[返回数据]
server {
	listen 80;
	server_name url.oldxu.com;
	root /opt;
	charset gbk,utf-8;
	location / {
	index index.html;
	default_type text/html;
	#判断用户使用的是否是 chrome浏览器,如果是则 返回一段话,如果不是则正常访问。
	if ( $http_user_agent ~* "chrome|MSIE" ) {
	return 200 'Please change Browser!!!';
	}
	}
	}

2.如果使用IE访问,直接报错 500.									[返回状态码]
server {
	listen 80;
	server_name url.oldxu.com;
	root /opt;
	charset gbk,utf-8;
	location / {
	index index.html;
	default_type text/html;
	#判断用户使用的是否是 chrome浏览器,如果是则 返回一段话,如果不是则正常访问。
	if ( $http_user_agent ~* "chrome|MSIE|Gecko" ) {
	return 500;
	}
	}
	}

3.如果使用IE访问,直接跳转至浏览器下载页面。http://www.firefox.com.cn/[返回一个url地址]
server {
	listen 80;
	server_name url.oldxu.com;
	root /opt;
	charset gbk,utf-8;
	location / {
	index index.html;
	default_type text/html;
	#判断用户使用的是否是 chrome浏览器,如果是则 返回一段话,如果不是则正常访问。
	if ( $http_user_agent ~* "chrome|MSIE" ) {
	return 302 http://www.firefox.com.cn;
	}
	}
	}

Rewrite Flag标记

rewrite主要是用来重写URL、或者说是用来做URL地址跳转的。
last:匹配成功,表示要停止继续匹配。
	请求的是1.HTML,最终的访问结果是a.html
	因为:在location{}内部,遇到last,本location{}内后续指令不在执行。
	匹配成功后,会重新像Server{}标签发起请求,从头到尾再匹配一遍规则,哪个匹配则执行哪个。

break:匹配成功,表示要停止继续匹配。
	请求的是1.HTML,最终的访问结果是2.html
	因为:在location {} 内部遇到了break,本location内以及后面的所有的location{}内的指令都不在执行。

break与last区别说明?
	当rewrite规则遇到break后,本location{}与其他location{}的所有rewrite/return规则都不再执行。
	当rewrite规则遇到last后,本location{}里后续rewrite/return规则不执行,但重写后的url再次从头开始执行所有规则,哪个匹配执行哪个。

[root@web01 ~]# cat   /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /code;
    location / {
    rewrite /1.html /2.html;
    rewrite /2.html /3.html last;
    }
    location /2.html {
    rewrite /2.html /a.html;
    }
    location /3.html {
    rewrite /3.html /b.html;
    }
    }
	
http--https场景下:
permanent:状态码301,永久跳转。新跳转的网站有排名,旧网站排名会被清空。1.html(排名会被清空)  2.html(有排名)
redirect: 状态码302,临时跳转。旧网站排名无影响,新网站没有排名。1.html(不影响)	2.html(没有排名)

[root@web01 ~]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /code;
    location / {
    rewrite /1.html /2.html permanent;
    }
    }

rewrite企业案例

需求1: 根据用户浏览器请求头中携带的语言调度到不同的页面。
中国人: zh
日本:   jp
[root@web01 ~]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	#判断浏览器语言
	if ($http_accept_language ~* "zh|zh-cn" ) {
	set $language /zh;
	}
	if ($http_accept_language ~* "jp|ja" ) {
	set $language /jp;
	}
	#rewrite跳转
	rewrite  ^/$ $language;
	location / {
	index index.html;
	}
	}

需求2: 用户通过手机设备访问 url.oldxu.com,跳转至url.oldxu.com/m
https://www.xhqb.com
https://www.xhqb.com/m/
[root@web01 ~]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	#判断是否是手机
	if ($http_user_agent ~* 'android|iphone|ipad') {
	rewrite ^/$ /m last;
	}
	location / {
	index  index.html;
	}
	}

需求3: 用户通过手机设备访问 url.oldxu.com 跳转至 m.oldxu.com
[root@web01 ~]# cat  /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	#判断是否是手机
	if ($http_user_agent ~* 'android|iphone|ipad') {
	rewrite ^/$ http://m.oldxu.com redirect;
	}
	location / {
	index  index.html;
	}
	}
server {
	listen 80;
	server_name m.oldxu.com;
	root  /opt/m;
	location / {
	index index.html;
	}
	}

需求4: 用户通过http协议请求,能自动跳转至https协议。
[root@web01 ~]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	#书写的方式很多
	#rewrite ^(.*)$ https://$server_name$1;
	return 302 https://$server_name$request_uri;
	}

需求5: 网站在维护过程中,希望用户访问所有网站重定向至一个维护页面。(在不变动nginx配置的情况下,进入维护页面。)
[root@web01 ~]# cat  /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	#维护状态
	rewrite ^(.*)$ /wh.html break;
	location / {
	index index.html;
	}
	}
	
需求6: 当服务器遇到 403 404 502 等错误时,自动转到临时维护的静态页。( 搜搜一些不存在的页面时,服务器会返回  孩子丢失的信息。 )
[root@web01 ~]# cat  /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	location / {
		index index.html;
	}
	error_page 403 404 502 = @tempdown;
	location @tempdown {
		rewrite ^(.*)$ /wh.html break;
	}
	}
[root@web01 ~]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	location / {
	index index.html;
	}
	#碰到403 404 502 -->tempdown,tempdown内部重定向
	error_page 403 404 502 = @tempdown;
	location @tempdown {
	root /opt/error_page;
	rewrite ^(.*)$ /index.html break;
	}
	}

需求7: 公司网站在停机维护时,指定的IP能够正常访问,其他的IP跳转到维护页。(学生)10.0.0.1 可以访问,除此以外所有人都不能访问。
[root@web01 error_page]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	#初始一个变量为0
	set $ip 0;
	#判断来源IP是自己公司的服务器地址,则将ip变量设定为1
	if ($remote_addr ~ "10.0.0.1|10.0.0.2") {
	set $ip 1;
	}
	#判断如果ip变量判断是0,我们直接进入维护页面。
	if ($ip = 0) {
	rewrite ^(.*)$ /wh.html  break;
	}
	location / {
	index index.html;
	}
	}

方式二
[root@web01 error_page]# cat /etc/nginx/conf.d/url.oldxu.com.conf
server {
    listen 80;
    server_name url.oldxu.com;
    root /opt;
	location / {
	index index.html;
	allow 10.0.0.7/32;
	deny all;
	}
	location /error_page {
	root /opt;
	}
	error_page 403 = @temp;
	location @temp {
	return 302 'http://url.oldxu.com/error_page/index.html';
	}
	}

需求8: 公司网站后台/admin,只允许公司的出口公网IP可以访问(10.0.0.1),其他的IP访问全部返回500,或直接跳转至首页。
[root@web01 error_page]# cat   /etc/nginx/conf.d/url.oldxu.com.conf
server {
  	listen 80;
    server_name url.oldxu.com;
    root /opt;
	location / {
	index index.html;
	}
	location /admin {
	index index.html;
	#设定一个初始变量,变量名为ip,变量的值为0
	set $ip 0;
	#判断来源的用户IP是多少,如果是10.0.0.7,则将变量名ip的值重置为1
	if ($remote_addr ~ "10.0.0.7") {
	set $ip 1;
	}
	#判断ip变量为0的,直接500拒绝。
	if ($ip = 0) {
	#return 500;
	return 302 'https://www.xuliangwei.com';
	}
	}
	}

https

如果不使用https协议,DNS可能会被劫持篡改。

HTTPS注意事项
Https	不支持续费,证书到期需重新申请新并进行替换。
Https	不支持三级域名解析,如 test.m.oldboy.com。
Https	显示绿色,说明整个网站的url都是https的,并且都是安全的。
Https	显示黄色,说明网站代码中有部分URL地址是http不安全协议的。
Https	显示红色,要么证书是假的,要么证书已经过期。

HTTPS加密模型

默认监听端口  443
对称加密:    相同的秘钥。
非对称加密:  一对秘钥,公钥加密,私钥解密。

SSL/TLS

ssl/TLS安全传输层协议,用于两个通信应用程序之间提供保密性和数据完整性。

我们首先需要申请证书,需要进行登记,登记我是谁,我是什么组织,我想做什么,到了登记机构在通过CSR发给CA,CA中心通过后,CA中心会生成一对公钥和私钥,那么公钥会在CA证书链中保存,公钥和私钥证书订阅人拿到后,会将其部署在WEB服务器上
1.当浏览器访问我们的https站点时,它会去请求我们的证书。
2.Nginx这样的web服务器会将我们的公钥证书发给浏览器。
3.浏览器会去验证我们的证书是否是合法和有效的。
4.CA机构会将过期的证书放置在CRL服务器,那么CRL服务的验证效率是非常差的,所以CA又推出了OCSP响应程序,OCSP响应程序。可以查询指定的一个证书是否过期,所以浏览器可以直接查询OCSP响应程序,但OCSP响应程序性能还不是很高。
5.Nginx会有一个OCSP的开关,当我们开启后,Nginx会主动上OCSP上查询,这样大量的客户端直接从Nginx获取,证书是否有效。

配置HTTPS证书

假的,真的要域名
[root@web01 ~]# mkdir /etc/nginx/ssl_key
[root@web01 ~]# cd /etc/nginx/ssl_key
[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048
[root@web01 ssl_key]# openssl req -days 36500 -x509 \
-sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

配置Nginx

[root@web01 ssl_key]# cat  /etc/nginx/conf.d/s.oldxu.com.conf
server {
	listen 443 ssl;
	server_name s.oldxu.com;
	root  /code;
	ssl_certificate  ssl_key/server.crt;
	ssl_certificate_key ssl_key/server.key;
	ssl_protocols TLSv1.2;
	location / {
	index index.html;
	}
	}

# 访问时带上HTTPS,谷歌浏览器不支持。用IE或者火狐。

综合案例

当有用户请求http://s.oldxu.com 则强制跳转为https协议。
server {
	listen 80;
	server_name s.oldxu.com;
	return 302 https://$server_name$request_uri;
}
server {
	listen 443 ssl;
	server_name s.oldxu.com;
	root  /code;
	ssl_certificate  ssl_key/server.crt;
	ssl_certificate_key ssl_key/server.key;
	ssl_protocols TLSv1.2;
	location / {
	index index.html;
	}
	}

集群HTTPS

# 集群环境下发https证书。多台WEB或对配置文件都要配置fastcgi_param HTTPS on;模块。
[root@WEB-08 conf.d]# vim wp.caoxueming.com.conf 
server {
    listen 80;
    server_name wp.caoxueming.com;
    root /data/wordpress;
    location / {
    index index.php;
	}
    location ~\.php$ {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param HTTPS on;	# HTTP永久跳转HTTPS必加参数。不然网站出现乱码,业务不显示等报错。
    include fastcgi_params;
	}
	}
	
[root@WEB-07 conf.d]# vim zh.caoxueming.com.conf 
server {
    listen 80;
    server_name zh.caoxueming.com;
    root /data/wecenter;
    location / {
    index index.php;
	}
    location ~\.php$ {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param HTTPS on;	# HTTP永久跳转HTTPS必加参数。不然网站出现乱码,业务不显示等报错。
    include fastcgi_params;
	}
	}
	
# 负载均衡配置
[root@proxy-5 conf.d]# vim proxy_wp.conf 
upstream web {
    server 10.0.0.7:80;
    server 10.0.0.8:80;
}
    server {
    listen 443 ssl;
    server_name wp.caoxueming.com;
    ssl_certificate ssl_key/ca.pem;
    ssl_certificate_key ssl_key/ca-key.pem;
    location / {
    proxy_pass http://web;
    include proxy_params;
}
}
    server {
    listen 443 ssl;
    server_name wp.caoxueming.com;
    return 302 https://wp.caoxueming.com$request_uri;
}

[root@proxy-5 conf.d]# vim proxy_zh.conf 
    server {
    listen 443 ssl;
    ssl_certificate /etc/nginx/ssl_key/ca.pem;
    ssl_certificate_key /etc/nginx/ssl_key/ca-key.pem;
    server_name zh.caoxueming.com;
    location / {
    proxy_pass http://web;
    include proxy_params;
}
}
	server {
	listen 80;
	server_name zh.caoxueming.com;
	return 302 https://$server_name$request_uri;
}

模拟场景

模拟银行场景:
1.主页http协议	http://yh.oldxu.com				(提供网页浏览)
2.模拟登陆		http://yh.oldxu.com/login		(相当于点击了登陆按钮)
3.新域名下,使用的是https协议。	https://star.oldxu.com  		(提供安全登陆)

配置

1.配置  https://star.oldxu.com
[root@web01 ~]# cat /etc/nginx/conf.d/star.oldxu.com.conf
server {
	listen 443 ssl;
	server_name start.oldxu.com;
	ssl_certificate ssl_key/server.crt;
	ssl_certificate_key ssl_key/server.key;
	root  /code/login;
	location / {
	index index.html;
	}
}
[root@web01 ~]# mkdir /code/login -p
[root@web01 ~]# echo "login...https" > /code/login/index.html

2.配置 http://yh.oldxu.com
[root@web01 ~]# cat  /etc/nginx/conf.d/yh.oldxu.com.conf
server {
	listen 80;
	server_name yh.oldxu.com;
	root /code;
	location / {
	index index.html;
	}
	location /login {
	return 302 https://start.oldxu.com;
	}
}

https优化:

减少CPU运算量
SSL的运行计算需要消耗额外的 CPU 资源,SSL通讯过程中『握手』阶段的运算最占用 CPU 资源,有两个方法可以减少每台客户端的运算量:
1.设置worker进程数设置为等于CPU处理器的核心数。 worker_processes auto;
2.启用 keepalive 长连接,一个连接发送更多个请求。
3.启用 SSL 会话缓存参数,避免进行多次 SSL『握手』。
server {
     listen  443 ssl;
     server_name    www.example.com;
	 keepalive_timeout   70;				#设置长连接
     ssl_certificate     www.example.com.crt;
     ssl_certificate_key www.example.com.key;
     ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
#在建立完ssl握手后如果断开连接,在session_timeout时间内再次连接,是不需要在次建立握手,可以复用之前的连接。
	 ssl_session_cache   shared:SSL:10m;		 # 1M缓存空间能存储 4000 个会话数量
	 ssl_session_timeout 1024m;			         # 配置会话超时时间 ( 默认5分钟 )
    }

优化实例

[root@proxy-5 conf.d]# vim proxy_zh.conf 
    server {
    listen 443 ssl;
    ssl_protocols	TLSv1.2;
    keepalive_timeout	70;
    ssl_certificate /etc/nginx/ssl_key/ca.pem;
    ssl_certificate_key /etc/nginx/ssl_key/ca-key.pem;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout	10m;
    server_name zh.caoxueming.com;
    location / {
    proxy_pass http://web;
    include proxy_params;
}
}
	server {
	listen 80;
	server_name zh.caoxueming.com;
	return 302 https://$server_name$request_uri;
}

真实域名下发证书

server {
        listen 80;
        server_name www.dinghuachong.com;
        return 302 https://$server_name$request_uri;
}
server {
        listen      443;
        server_name  www.dinghuachong.com;
        client_max_body_size 100m;
        ssl on;
        ssl_certificate /etc/nginx/cert/2316440_www.dinghuachong.com.pem;
        ssl_certificate_key /etc/nginx/cert/2316440_www.dinghuachong.com.key;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols  TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_session_timeout  5m;
        ssl_session_cache    shared:SSL:1m;
        index index.php index.html;
        root /code/wordpress;
	   }

NGINX四层下发

stream {
        server {
        listen              443 ssl;
        ssl_protocols       TLSv1.2;
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;
        }

注意

只有nginx四层负载均衡支持。
LVS加入监听端口443即可。

keepalived高可用

  • 虚拟路由器:有一个master和多个backup 路由器组成;
1.高可用介绍
	1.1)什么是高可用
		简单理解:出现故障,自动恢复,对于用户而言无感知。
		专业理解:减少系统不能对外提供服务的时间。4个9 5个9。

	1.2)为什么要设计高可用?
2.高可用实现手段? 
	2.1)硬件
	2.2)软件 keepalived     基于VRRP协议来实现。VRRP虚拟路由冗余协议,主要用来解决单点故障问题。
3.vrrp虚拟路由冗余协议
	3.1)vrrp诞生过程
	3.2)vrrp实现原理

5.keepalived高可用使用场景?
6.keepalived高可用核心概念总结?
	1.如何确认谁是主谁是备节点?   优先级。 谁的优先级高谁就是master。
	2.master故障,然后恢复?     抢占式、非抢占式。

	业务不重要,需不需要高可用keepalived?

参数详解:

state:state指定instance(Initial)的初始状态,就是说在配置好后,这台服务器的初始状态就是这里指定的,但这里指定的不算,还是得要通过竞选通过优先级来确定,里如果这里设置为master,但如若他的优先级不及另外一台,那么这台在发送通告时,会发送自己的优先级,另外一台发现优先级不如自己的高,那么他会就回抢占为master

interface:实例绑定的网卡,因为在配置虚拟IP的时候必须是在已有的网卡上添加的

dont track primary:忽略VRRP的interface错误

track interface:跟踪接口,设置额外的监控,里面任意一块网卡出现问题,都会进入故障(FAULT)状态,例如,用nginx做均衡器的时候,内网必须正常工作,如果内网出问题了,这个均衡器也就无法运作了,所以必须对内外网同时做健康检查

mcast src ip:发送多播数据包时的源IP地址,这里注意了,这里实际上就是在那个地址上发送VRRP通告,这个非常重要,一定要选择稳定的网卡端口来发送,这里相当于heartbeat的心跳端口,如果没有设置那么就用默认的绑定的网卡的IP,也就是interface指定的IP地址

garp master delay:在切换到master状态后,延迟进行免费的ARP(gratuitous ARP)请求

virtual router id:这里设置VRID,这里非常重要,相同的VRID为一个组,他将决定多播的MAC地址

priority 100:设置本节点的优先级,优先级高的为master

advert int:检查间隔,默认为1秒

virtual ipaddress:这里设置的就是VIP,也就是虚拟IP地址,他随着state的变化而增加删除,当state为master的时候就添加,当state为backup的时候删除,这里主要是有优先级来决定的,和state设置的值没有多大关系,这里可以设置多个IP地址

virtual routes:原理和virtual ipaddress一样,只不过这里是增加和删除路由

lvs sync daemon interface:lvs syncd绑定的网卡

authentication:这里设置认证

auth type:认证方式,可以是PASS或AH两种认证方式

auth pass:认证密码

nopreempt:设置不抢占,这里只能设置在state为backup的节点上,而且这个节点的优先级必须别另外的高。当主mysql恢复后不抢占资源

preempt delay:抢占延迟

debug:debug级别

notify master:和sync group这里设置的含义一样,可以单独设置,例如不同的实例通知不同的管理人员,http实例发给网站管理员,mysql的就发邮件给DBA




下面以第一种比较常用的方式来配详细解说一下

virtual_server 192.168.1.2 80 {                     #设置一个virtual server: VIP:Vport
delay_loop 3                                                  # service polling的delay时间,即服务轮询的时间间隔

lb_algo rr|wrr|lc|wlc|lblc|sh|dh                        #LVS调度算法
lb_kind NAT|DR|TUN                                      #LVS集群模式                      
persistence_timeout 120                                #会话保持时间(秒为单位),即以用户在120秒内被分配到同一个后端realserver
persistence_granularity               #LVS会话保持粒度,ipvsadm中的-M参数,默认是0xffffffff,即每个客户端都做会话保持
protocol TCP                                                  #健康检查用的是TCP还是UDP
ha_suspend                                                   #suspendhealthchecker’s activity
virtualhost                                        #HTTP_GET做健康检查时,检查的web服务器的虚拟主机(即host:头)

sorry_server                   #备用机,就是当所有后端realserver节点都不可用时,就用这里设置的,也就是临时把所有的请求都发送到这里啦

real_server                      #后端真实节点主机的权重等设置,主要,后端有几台这里就要设置几个
{
weight 1                                                         #给每台的权重,0表示失效(不知给他转发请求知道他恢复正常),默认是1
inhibit_on_failure                                            #表示在节点失败后,把他权重设置成0,而不是冲IPVS中删除

notify_up  |   #检查服务器正常(UP)后,要执行的脚本
notify_down  |  #检查服务器失败(down)后,要执行的脚本

HTTP_GET                                                     #健康检查方式
{
url {                                                                #要坚持的URL,可以有多个
path /                                                             #具体路径
digest                                             
status_code 200                                            #返回状态码
}
connect_port 80                                            #监控检查的端口

bindto                                              #健康检查的IP地址
connect_timeout   3                                       #连接超时时间
nb_get_retry 3                                               #重连次数
delay_before_retry 2                                      #重连间隔
} # END OF HTTP_GET|SSL_GET


#下面是常用的健康检查方式,健康检查方式一共有HTTP_GET|SSL_GET|TCP_CHECK|SMTP_CHECK|MISC_CHECK这些
#TCP方式
TCP_CHECK {
connect_port 80
bindto 192.168.1.1
connect_timeout 4
} # TCP_CHECK

# SMTP方式,这个可以用来给邮件服务器做集群
SMTP_CHECK
host {
connect_ip 
connect_port                                      #默认检查25端口
14 KEEPALIVED
bindto 
}
connect_timeout 
retry 
delay_before_retry 
# "smtp HELO"ž|·-ë꧌à"
helo_name |
} #SMTP_CHECK

#MISC方式,这个可以用来检查很多服务器只需要自己会些脚本即可
MISC_CHECK
{
misc_path | #外部程序或脚本
misc_timeout                                     #脚本或程序执行超时时间

misc_dynamic                                               #这个就很好用了,可以非常精确的来调整权重,是后端每天服务器的压力都能均衡调配,这个主要是通过执行的程序或脚本返回的状态代码来动态调整weight值,使权重根据真实的后端压力来适当调整,不过这需要有过硬的脚本功夫才行哦
#返回0:健康检查没问题,不修改权重
#返回1:健康检查失败,权重设置为0
#返回2-255:健康检查没问题,但是权重却要根据返回代码修改为返回码-2,例如如果程序或脚本执行后返回的代码为200,#那么权重这回被修改为 200-2
}
} # Realserver
} # Virtual Server

keepalived高可用安装与配置

安装:yum install keepalived -y
  • 配置: master (优先级) lb01 100:
[root@lb01 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
    router_id lb01
}

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 50
    priority 150
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
}
    virtual_ipaddress {
        10.0.0.3
    }
}
  • backup (优先级) lb02 90
[root@lb02 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
    router_id lb02
}

vrrp_instance VI_1 {
    state BACKUP
    interface eth0
    virtual_router_id 50
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        10.0.0.3
    }
}

启动

systemctl enable keepalived
systemctl start keepalived

8.keepalived高可用地址漂移测试:

方法一:
[root@lb01 ~]# ip addr | grep 10.0.0.3

尝试停止master的keeplaived
[root@lb01 ~]# systemctl stop keepalived

在slave上查看是否有对应的VIP
[root@lb02 ~]# ip addr|grep 10.0.0.3
    inet 10.0.0.3/32 scope global eth0


方法二:
向vrrp 224.0.0.18 发送组播数据报文:
	广播:比如我讲课,说一句话,所有人 都收到了。
	组播:是 一种特定的广播,只有特定的人群才可以收到。

9.keepalived高可用抢占式与非抢占式?

抢占(默认):

  • master故障,backup接管,master恢复后会抢占VIP。(发生2次切换) 默认就是抢占式。
    对于并发访问非常高的 站点,不建议配置抢占,因为会发生至少2次VIP地址漂移。

  • 什么情况用: master 和 backup 的 配置 不对等。 ( master性能高,backup性能弱。 )

非抢占:

  • master故障,backup接管,master恢复了不会抢占VIP,除非backup故障,master会再次接管VIP。
配置非抢占式步骤如下:
1、两个节点的state都必须配置为BACKUP(官方建议)
2、两个节点都在vrrp_instance中添加nopreempt参数
3、其中一个节点的优先级必须要高于另外一个节点的优先级。
两台服务器都角色状态启用nopreempt后,必须修改角色状态统一为BACKUP,唯一的区分就是优先级。

#Master
    vrrp_instance VI_1 {
        state BACKUP
        priority 150
        nopreempt
    }

#Backup
    vrrp_instance VI_1 {
        state BACKUP
        priority 100
        nopreempt
    }

10.keepalived高可用与Nginx集成

准备环境:
	10.0.0.5  已经配置好的负载均衡 ( blog、zh )
	10.0.0.6  
安装Nginx:
	1.拉取10.0.0.5 的配置;
	2.目的:确保10.0.0.5 与 10.0.0.6 配置一致,无论通过5 或者 6  都能正常访问  blog 和  zh
[root@lb02 ~]# scp [email protected]:/etc/yum.repos.d/nginx.repo /etc/yum.repos.d/
[root@lb02 ~]# yum install nginx -y
[root@lb02 ~]# scp -rp 172.16.1.5:/etc/nginx /etc/
[root@lb02 ~]# nginx -t
[root@lb02 ~]# systemctl enable nginx
[root@lb02 ~]# systemctl start nginx

配置高可用:
	1.提供的VIP是10.0.0.3 
	2.将域名解析指向到10.0.0.3 

		解析:10.0.0.3 blog.oldxu.com zh.oldxu.com

Nginx和Keepalived有什么关系? keepalived是如何实现nginx高可用的呢?

  • 没有关系。
  • Nginx仅借助了Keepalived的地址漂移技术,实现的高可用。

nginx停止了?那么VIP还会漂移吗?

  • 不会。
1.停止nginx
[root@lb01 ~]# systemctl stop nginx

2.检查vip,发现没有漂移。
[root@lb01 ~]# ip addr |grep 10.0.0.3
    inet 10.0.0.3/32 scope global eth0

VIP在什么时候会漂移?

1.keepalived服务停止了,地址就会漂移。
2.服务器直接关机、重启了,地址会漂移。


希望Nginx如果故障停止了,那么希望VIP漂移到另外一台节点。
	写一个脚本:
		1.判断Nginx是否存活,
			如果存活则不处理。
			如果不存活,尝试1~3次,强制杀掉keeplaived。


[root@lb01 ~]# mkdir /server/scripts -p
[root@lb01 ~]# vim /server/scripts/check_web.sh
#!/bin/sh
nginxpid=$(ps -C nginx --no-header|wc -l)
#1.判断Nginx是否存活,如果不存活则尝试启动Nginx
if [ $nginxpid -eq 0 ];then
    systemctl start nginx
    sleep 3
    #2.等待3秒后再次获取一次Nginx状态
    nginxpid=$(ps -C nginx --no-header|wc -l) 
    #3.再次进行判断, 如Nginx还不存活则停止Keepalived,让地址进行漂移,并退出脚本  
    if [ $nginxpid -eq 0 ];then
        systemctl stop keepalived
   fi
fi

#给脚本增加执行权限
[root@lb01 ~]# chmod +x /server/scripts/check_web.sh

配置:
[root@lb01 ~]# cat /etc/keepalived/keepalived.conf
global_defs {
    router_id lb01
}

#定义脚本路径,定义脚本多久执行一次,定义名称check_web
vrrp_script check_web {
	script "/server/scripts/check_web.sh"
	interval 5
}

vrrp_instance VI_1 {
    state BACKUP
    priority 150
    nopreempt

    interface eth0
    virtual_router_id 50
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
}
    virtual_ipaddress {
        10.0.0.3
    }
	#调用脚本,并运行该脚本
	track_script {
		check_web
	}
}

keepalived如何投产?

  • 问题:虚拟的IP地址。是无法对外的,意味着 DNS 怎么解析到你的 VIP ?
NAT:
	SNAT  源地址转换		( 共享上网的 )
	DNAT 目标地址转换		 ( 端口映射 )

keepalived 脑裂?

	1.什么是脑裂?
		当两个节点同时认为自己是唯一处于活动状态的时候,从而出现了资源抢占,双方都在抢占资源的情况下,及为脑裂。
	2.脑裂的产生?
		1.网线松动
		2.开启了防火墙。
	3.脑裂影响的范围?
		1.对于无状态的服务,比如Nginx,不care脑裂不脑裂。
		2.对于有状态的服务,比如MySQL,就必须严格防止脑裂现象。
		对于MySQL来说,可能出现多种情况,比如无法正常访问、或者得不到正确的返回结果,但大部分是无法正常访问,直接没有响应;
		如果出现了脑裂,有多种办法可以规避,比如我们可以写一些监控性的脚本,同时监控2台服务器的地址配置情况,如果检测同时存在2个IP,就可以认定为脑裂,这		时软件解决办法,生产中用这种比较多;也有硬件解决办法,但不常用。
	4.网上很多解决keepalived脑裂的问题的文章。

编译安装

编译概述

公司线上业务已经有Nginx了,现在要新上一个业务,你给我把Nginx安装一下,按照之前的安装方式进行,怎么办?
1.先使用nginx -V 获取所有的编译参数。
2.按照所有的参数,在新的服务器上进行编译安装。

给Nginx安装一个第三方模块?
1.先使用nginx -V 获取所有的编译参数。
2.给nginx的源码导入第三方模块的补丁包。
3.按照之前的编译参数,+ 第三方模块的参数(使用add-module),在新的服务器上进行编译安装 。
4.验证模块是否有效,是否可用。( 三方模块官方站点获取对应的文档 )

安装依赖

yum install gcc redhat-rpm-config \
libxslt-devel gd-devel perl-ExtUtils-Embed \
geoip-devel gperftools-devel pcre-devel openssl-devel -y

下载源码包

[root@nfs ~]# useradd nginx
[root@nfs ~]# wget http://nginx.org/download/nginx-1.14.2.tar.gz
[root@nfs ~]# tar xf nginx-1.14.2.tar.gz
[root@nfs ~]# cd nginx-1.14.2/

编译

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-http_v2_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic'

make

1.make
2.make install 

配置启动文件

[root@NFS-31 nginx-1.16.1]# vim /usr/lib/systemd/system/nginx.service
[Unit]
Description=nginx - high performance web server
Documentation=http://nginx.org/en/docs/
After=network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/var/run/nginx.pid
ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s TERM $MAINPID

[Install]
WantedBy=multi-user.target

# systemctl restart nginx

添加第三方模块

[root@nfs ~]# wget https://github.com/yaoweibin/nginx_upstream_check_module/archive/master.zip
[root@nfs ~]# unzip master.zip
[root@nfs ~]# cd nginx-1.14.2/
[root@nfs nginx-1.14.2]# patch -p1 <../nginx_upstream_check_module-master/check_1.14.0+.patch

编译

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-http_v2_module --add-module=/root/nginx_upstream_check_module-master --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic'

make

make install

验证

[root@nfs nginx-1.14.2]# cat  /etc/nginx/conf.d/upstream_check.conf
upstream blog.oldxu.com {
    server 172.16.1.7:80;
    server 172.16.1.8:80;
    check interval=5000 rise=2 fall=3 timeout=1000 type=tcp;
    #interval检测间隔时间,单位为毫秒
    #rsie表示请求2次正常,标记此后端的状态为up
    #fall表示请求3次失败,标记此后端的状态为down
    #type  类型为tcp
    #timeout为超时时间,单位为毫秒
}
upstream webserver {
    server 172.16.1.7:80;
    server 172.16.1.8:80;
    check interval=5000 rise=2 fall=3 timeout=1000 type=tcp;
}
upstream php {
    server 172.16.1.7:80;
    server 172.16.1.8:80;
    check interval=5000 rise=2 fall=3 timeout=1000 type=tcp;
}
server {
    listen 8888;
    location / {
    proxy_pass http://blog.oldxu.com;
    }
    location /upstream_status {
    check_status;     #开启upstream状态页面
    }
}


[root@nfs nginx-1.14.2]# cat  /etc/nginx/conf.d/upstream_check.conf
upstream blog.oldxu.com {
    server 172.16.1.7:80;
    server 172.16.1.8:80;
    check interval=5000 rise=2 fall=3 timeout=1000 type=tcp;
}
upstream webserver {
    server 172.16.1.7:80;
    server 172.16.1.8:80;
    check interval=5000 rise=2 fall=3 timeout=1000 type=tcp;
}
upstream php {
    server 172.16.1.7:80;
    server 172.16.1.8:80;
    check interval=5000 rise=2 fall=3 timeout=1000 type=tcp;
}
server {
    listen 8888;
    location / {
    proxy_pass http://blog.oldxu.com;
    }
    location /upstream_status {
    check_status; 
    }
}

平滑升级

安装Nginx依赖

[root@nfs ~]# yum install gcc redhat-rpm-config \
libxslt-devel gd-devel perl-ExtUtils-Embed \
geoip-devel gperftools-devel pcre-devel openssl-devel -y

下载并编译

[root@nfs ~]# wget http://nginx.org/download/nginx-1.16.1.tar.gz
[root@nfs ~]# tar xf nginx-1.16.1.tar.gz
[root@nfs ~]# cd nginx-1.16.1/
[root@nfs ~]# rm -f /etc/nginx/conf.d/upstream_check.conf  不兼容该第三方模块

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_geoip_module=dynamic --with-http_perl_module=dynamic --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio --with-http_v2_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic'

make

make  make即可,不需要make install

备份旧的二进制文件

[root@nfs nginx-1.16.1]# mv /usr/sbin/nginx /usr/sbin/nginx.old
[root@nfs nginx-1.16.1]# cp objs/nginx /usr/sbin/nginx

查看进程

[root@NFS-31 nginx-1.16.1]# ps -ef |grep nginx
root      83326      1  0 22:19 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83327  83326  0 22:19 ?        00:00:00 nginx: worker process
root      83357   1600  0 22:20 pts/0    00:00:00 grep --color=auto nginx

发送信号

[root@nfs nginx-1.16.1]# kill -WINCH 83326
# 查看进程,新的进程和旧的进程并存。
[root@NFS-31 nginx-1.16.1]# ps -ef|grep nginx
root      83326      1  0 22:19 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83327  83326  0 22:19 ?        00:00:00 nginx: worker process
root      83358  83326  0 22:20 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83359  83358  0 22:20 ?        00:00:00 nginx: worker proces

# 向旧的master进程发送QUIT信号,旧的master进程就退出了。
[root@NFS-31 nginx-1.16.1]# kill -WINCH 83326
[root@NFS-31 nginx-1.16.1]# ps -ef|grep nginx
root      83326      1  0 22:19 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root      83358  83326  0 22:20 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83359  83358  0 22:20 ?        00:00:00 nginx: worker process

# 向旧的master进程发送QUIT信号,旧的master进程就退出了。
[root@NFS-31 nginx-1.16.1]# kill -QUIT 83326 
[root@NFS-31 nginx-1.16.1]# ps -ef|grep nginx
root      83358      1  0 22:20 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83359  83358  0 22:20 ?        00:00:00 nginx: worker process
root      83365   1600  0 22:22 pts/0    00:00:00 grep --color=auto nginx
[root@NFS-31 nginx-1.16.1]# ^C

信号

QUIT          优雅关闭、quit
HUP           优雅重启、reload
USR1          重新打开日志文件、reopen
USR2          平滑升级可执行的二进制程序。
WINCH         平滑关闭Worker进程。

回滚

替换二进制文件

# 替换二进制文件
[root@NFS-31 nginx-1.16.1]# mv /usr/sbin/nginx /usr/sbin/nginx-1.16
[root@NFS-31 nginx-1.16.1]# mv /usr/sbin/nginx-1.14 /usr/sbin/nginx  
[root@nfs nginx-1.16.1]# kill -WINCH 83326

操作步骤

# 查看进程,新的进程和旧的进程并存。
[root@NFS-31 nginx-1.16.1]# ps -ef|grep nginx
root      83326      1  0 22:19 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83327  83326  0 22:19 ?        00:00:00 nginx: worker process
root      83358  83326  0 22:20 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83359  83358  0 22:20 ?        00:00:00 nginx: worker proces

# 向旧的master进程发送QUIT信号,旧的master进程就退出了。
[root@NFS-31 nginx-1.16.1]# kill -WINCH 83326
[root@NFS-31 nginx-1.16.1]# ps -ef|grep nginx
root      83326      1  0 22:19 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
root      83358  83326  0 22:20 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83359  83358  0 22:20 ?        00:00:00 nginx: worker process

# 向旧的master进程发送QUIT信号,旧的master进程就退出了。
[root@NFS-31 nginx-1.16.1]# kill -QUIT 83326 
[root@NFS-31 nginx-1.16.1]# ps -ef|grep nginx
root      83358      1  0 22:20 ?        00:00:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx     83359  83358  0 22:20 ?        00:00:00 nginx: worker process
root      83365   1600  0 22:22 pts/0    00:00:00 grep --color=auto nginx
[root@NFS-31 nginx-1.16.1]# ^C

你可能感兴趣的:(服务器,nginx,运维)