1、搭建时间服务器,日志服务器并简述sudo安全切换
1)安装ntp服务器
yum install ntp
配置文件内容中server 表示以谁为时间服务器,restrict 表示允许哪个IP的机器来同步我的时间。 如果restrict后面指定自己127.0.0.1则不允许别人来同步时间(即只是做为客户端,而不做为服务端)。
192.168.80.20安装ntp服务端
192.168.80.21安装ntp客户端
配置ntp服务端配置文件:/etc/ntp.conf
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst
保持默认的centos 官方的外网ntp地址:
restrict 192.168.80.21 (允许客户端可以过来同步时间)
重启ntp服务
systemctl restart ntpd
客户端安装ntp
yum install ntp
[root@localhost ~]# ntpdate 192.168.80.20
14 Jul 18:42:28 ntpdate[7212]: adjust time server 192.168.80.20 offset -0.006542 sec
出现以上提示表示时间服务同步成功。
2)日志服务器搭建
为了更好的管理应用程序和操作系统的日志,使用日志服务器进行管理,我们需要用到rsyslog,它是由早期的syslog的升级版。它可以收集系统引导启动、应用程序启动、应用程序(尤其是服务类应用程序)运行过程中的事件。
记录的格式为:事件产生日期和时间 主机 进程PID 事件内容。
rsyslog的特性:多线程,支持TCP、UDP、SSL、TLS、RELP协议。可存储信息于日志、mysql等数据库管理系统。可以对日志信息进行过滤,可以自定义输出格式。
安装rsyslog
yum install rsyslog -y
vim /etc/rsyslog.conf
主配置文件rsyslog.conf 主要由三个部分组成:
MODULES 表示加载的模块列表
GLOBAL DIRECTIVES 表示全局的配置
RULES 表示日志记录规则
其中:
MODULES段的格式为
$ModLoad 模块名称
如果模块名称为im开起表示输入模块,如果以om开头表示输出模块
GLOBAL DIRECTIVES 段主要定义一些常用设置,比如:
$WorkDirectory 表示工作目录
RULES 段的格式为:
facility.priority target
其中
facility:设施,从功能上或程序上对日志收集进行分类,如:auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0~local7,syslog
priority:优先级,日志级别,如下(从左到右,由低到高):debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)
指定级别的方式:
*:所有级别;
none:没有级别;
priority:此级别以及高于此级别的所有级别)
=priority:仅此级别;
一般要求日志级别为warn,即warn以及warn以上级别的日志要记录。
生产上一般不会开debug级别的日志,因为日志记录太多会导致io繁忙。
target:日志写入目标
文件:把日志事件写入到指定的文件中,日志文件通常位于/var/log目录下,
文件路径前面加"-"表示异步写入文件;
用户:将日志事件通知给指定的用户,通过将信息发送给登录到系统上的用户的终端进行的;
日志服务器:@host ,把日志发送到指定的服务器主机,
要保证host日志服务器在tcp或udp协议的514端口有监听并提供日志服务。
管道: | COMMAND 送到某一命令进行处理
注释掉一下的内容:
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
以上配置行的注释去掉后就会开启对tcp和udp协议的514端口进行监听。
[root@localhost ~]# ss -tuln|grep 514
udp UNCONN 0 0 *:514 *:*
udp UNCONN 0 0 :::514 :::*
tcp LISTEN 0 25 *:514 *:*
tcp LISTEN 0 25 :::514 :::*
此时服务器监听TCP UDP 514号端口
此时配置客户端IP地址:
*.info;mail.none;authpriv.none;cron.none @192.168.80.20
把它的target 改为 @日志服务器IP
systemctl restart rsyslog
重启配置文件
在客户端重新再登录一次客户端服务器此时服务端会有日志显示:如下
登录时显示:
Jul 14 18:54:26 localhost systemd: Started Session 2 of user root.
Jul 14 18:54:26 localhost systemd-logind: New session 2 of user root.
退出时显示:
Jul 14 18:55:51 localhost systemd-logind: Removed session 2.
也可以把日志保存的mysql中
yum install rsyslog-mysql
安装数据库:
yum install mariadb-server mariadb
# vim /etc/my.cnf.d/server.cnf
[mysqld]
skip_name_resolve=ON
innodb_file_per_table=ON
启动数据库并导入数据
mysql -uroot -p < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql
此时自动创建数据库:Syslog
MariaDB [(none)]> grant all privileges on Syslog.* to 'rsyslog'@'localhost' identified by 'rsyspass';
Query OK, 0 rows affected (0.01 sec)
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.03 sec)
vim /etc/rsyslog.conf
#### MODULES ####
$ModLoad ommysql
*.info;mail.none;authpriv.none;cron.none :ommysql:localhost,Syslog,rsyslog,rsyspass
内容为:ommysql:数据库主机,数据库名,数据库用户,数据库密码。
# systemctl restart rsyslog.service
systemctl status rsyslog.service
Jul 14 19:27:10 localhost.localdomain rsyslogd[18210]: [origin software="rsyslogd" swVersion="8.24.0-34.el7" x-pid="18210" x-inf... start
Jul 14 19:27:10 localhost.localdomain systemd[1]: Started System Logging Service.
*************************** 8. row ***************************
ID: 8
CustomerID: NULL
ReceivedAt: 2019-07-14 19:28:58
DeviceReportedTime: 2019-07-14 19:28:58
Facility: 3
Priority: 6
FromHost: localhost
Message: Started Session 4 of user root.
NTSeverity: NULL
Importance: NULL
EventSource: NULL
EventUser: NULL
EventCategory: NULL
EventID: NULL
EventBinaryData: NULL
MaxAvailable: NULL
CurrUsage: NULL
MinUsage: NULL
MaxUsage: NULL
InfoUnitID: 1
SysLogTag: systemd:
EventLogType: NULL
GenericFileName: NULL
SystemID: NULL
8 rows in set (0.00 sec)
3)sudo 安全切换
sudo 能够让获得授权的用户以另外一个用户(一般为root用户)的身份运行指定的命令
授权配置文件/etc/sudoers,但是一般使用visudo命令进行编辑。
users hosts=(runas) commands
含义是,users列表中的用户(组),可以在hosts列表的位置上,以runas用户的身份来运行commands命令列表中的命令。
各个字段可能的值为:
users: sudo命令的发起用户
用户名 或uid
%用户组名 或%gid (这里要注意用户需把基本组切换为该用户组,才能使用sudo)
User_Alias 用户别名
hosts: 允许的地址
ip地址
主机名
NetAddr
Host_Alias 主机别名
runas: 以某一用户的身份执行
用户名 或uid
Runas_Alias 用户别名
commands: 指定的命令列表
command(命令建议使用完整的绝对路径)
!command 表示禁止某一命令
directory
sudoedit:特殊权限,可用于向其它用户授予sudo权限
Cmnd_Alias 命令别名
这几个字段中hosts,runas, commands都可以用ALL来表示所有。
定义别名的方法:
ALIAS_TYPE NAME=item1,item2,item3,...
NAME:别名名称,必须使用全大写字符
ALIAS_TYPE :User_Alias,Host_Alias,Runas_Alias ,Cmnd_Alias
sodu命令执行时会要求用户输入自己的密码,为了避免频繁验密与安全其见,能记录成功认证结果一段时间,默认为5分钟,即5分钟内不需要再验证用户密码。
以sudo的方式来运行指定的命令
sudo [options] COMMAND
-l 列出sudo配置文件中用户能执行的命令
-k 清除此前缓存用户成功认证结果,之后再次运行sudo时要验证用户密码。
如果想要让用户输入部分命令时不需要进行密码验证,在sudo配置文件中commands列表部分,可以在命令列表前面加上"NOPASSWD",则其后的命令不需要密码,如果某些命令又需要密码就在前面加上“PASSWD”,所以commands列表可以为这种格式:
NOPASSWD 不需要密码的命令列表 PASSWD 需要密码的命令列表
安全提示:在sudo配置文件中
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
上面配置中root用户这行没有问题,但是%wheel这行要注意,如果把某用户加入到%wheel组,当用户把基本组切换为wheel组时就可以像root用户一样运行命令,较有风险的命令举例如下:
sudo su - root 不需要密码就可以切换到root用户
sudo passwd root 修改root用户密码,不需要输入原密码。
建议把%wheel改为
%wheel ALL=(ALL) ALL,!/bin/su,!/usr/bin/passwd root
2、详解nginx模块使用方法
nginx的特性之一就是模块化设计,有较好的扩展性。
其模块分类如下:
核心模块:core module
标准模块:
HTTP 模块: ngx_http_*
HTTP Core modules 默认功能
HTTP Optional modules 需编译时指定
Mail 模块 ngx_mail_*
Stream 模块 ngx_stream_*
第三方模块
1.核心模块:
#user nobody; 指定worker进程的运行身份,如组不指定,默认和用户名同名
worker_processes 1|auto; 指定worker进程的数量;通常应该为当前主机的cpu的物理核心数
include path/to/file 指明包含进来的其它配置文件片断
worker_cpu_affinity auto [cpumask] 提高缓存命中率
CPU MASK:
00000001:0号CPU
00000010:1号CPU
10000000:8号CPU
worker_priority number 指定worker进程的nice值,设定worker进程优先级:[-20,20]
#error_log file [level] 错误日志文件及其级别;出于调试需要,可设定为debug;但debug仅在编译时 使用了“--with-debug”选项时才有效
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid; 指定存储nginx主进程PID的文件路径
events {
worker_connections 1024; 每个worker进程所能够打开的最大并发连接数数量
use method 指明并发连接请求的处理方法 ,默认自动选择最优方法 ,如, use epoll
accept_mutex on | off 处理新的连接请求的方法;on指由各个worker轮流处理新请求,Off指每个新请 求的到达都会通知(唤醒)所有的worker进程,但只有一个进程可获得连接,影响性能
}
#daemon on|off 是否以守护进程方式运行nignx,默认是守护进程方式
#master_process on|off 是否以master/worker模型运行nginx;默认为on,off 将不启动worker
2.HTTP Core modules模块的配置使用:
(1)与套接字相关的配置:
server { ... } 配置一个虚拟主机
server {
listen address[:PORT]|PORT;
server_name SERVER_NAME;
root /PATH/TO/DOCUMENT_ROOT;
}
listen:
listen port 指令监听在不同的端口
listen IP:PORT; IP 地址不同
同时listen子句还支持一些可选的选项:
●default_server 设定为默认虚拟主机
●ssl 限制仅能够通过ssl连接提供服务
●backlog=number 超过并发连接数后,新请求进入后援队列的长度
●rcvbuf=size 接收缓冲区大小
●sndbuf=size 发送缓冲区大小
server_name:
指令指向不同的主机名,虚拟主机的主机名称后可跟多个由空白字符分隔的字符串 ,
支持*通配任意长度的任意字符 如:*aaa(左侧通配符)bbb*(右侧通配符)
支持~起始的字符做正则表达式模式匹配,性能原因慎用
匹配优先级:字符串精确匹配 > 左侧通配符 >右侧通配符>正则表达式>default_server
tcp_nodelay on | off;
在keepalived模式下的连接是否启用TCP_NODELAY选项
当为off时,延迟发送,合并多个请求后再发送
默认On时,不延迟发送
可用于:http, server, location
sendfile on | off;
是否启用sendfile功能,在内核中封装报文直接发送 默认Off
server_tokens on | off | build | string
是否在响应报文的Server首部显示nginx版本
(2)定义路径相关的配置:
root
设置web资源的路径映射;用于指明请求的URL所对应的文档的目录路径,可用于server
若配置:root /path/to/dir
则http://servername/aaa/bbb.jpg 映射的访问地址就是 /path/to/dir/aaa/bbb.jpg
location
在一个server中location配置段可存在多个,用于实现从uri到文件系统的路 径映射;ngnix会根据用户请求的URI来检查定义的所有location,并找出一个最 佳匹配,而后应用其配置 。
location 操作符 uri {...}
操作符有:
=:对uri精确匹配
^~:对URI的最左边部分做匹配检查,不区分字符大小写
~:对URI做正则表达式模式匹配,区分字符大小写
~*: 对URI做正则表达式模式匹配,不区分字符大小写
不带符号:匹配起始于此uri的所有的uri
匹配优先级从高到低: =, ^~, ~/~*, 不带符号
alias path
路径别名,文档映射的另一种机制;仅能用于location上下文
注意:location中使用root指令和alias指令的意义不同
root,用来指定根目录,故把uri做为子目录继续按路径找文件。给定的路径对应于location中的/uri/左侧的/
alias,用来定义路径别名,故用来替换uri来指名路径,再继续按路径找文件,给定的路径对应于location中的/uri/右侧的/
index file ...;
指定默认网页文件(又称欢迎页面)当未指定路径下的哪个文件时,此页面为默认文件,注意需要:ngx_http_index_module模块
error_page code ... [=[response]] uri;
需要模块:ngx_http_core_module
定义错误页,以指定的响应状态码进行 响应
可用位置:http, server, location, if in location
例如: error_page 404 /404.html
try_files
try_files file ... uri;
或 try_files file ... =code;
按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示 为文件夹),如果所有的文件或文件夹都找不到,会进行一个内部重定向到最 后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置 内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误。
(3) 定义客户端请求的相关配置
keepalive_timeout timeout [header_timeout];
设定保持连接超时时长,0表示禁止长连接,默认为75s
keepalive_requests number;
在一次长连接上所允许请求的资源的最大数量 默认为100
keepalive_disable none | browser ...
对哪种浏览器禁用长连接
send_timeout time;
向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长, 而非整个响应过程的传输时长
client_body_buffer_size size;
用于接收每个客户端请求报文的body部分的缓冲区大小;默认为16k;超 出此大小时,其将被暂存到磁盘上的由下面client_body_temp_path指令所定义 的位置
client_body_temp_path path [level1 [level2 [level3]]];
设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量 目录名为16进制的数字;
(4)对客户端进行限制的相关配置
limit_rate rate;
限制响应给客户端的传输速率,单位是bytes/second 默认值0表示无限制
limit_except method ... { ... },
仅用于location 限制客户端使用除了指定的请求方法之外的其它方法
method可以是:GET, HEAD, POST, PUT, DELETE,MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH
例如:
limit_except GET {
allow 192.168.1.0/24;
deny all; }
表示 除了GET之外其它方法仅允许192.168.1.0/24网段主机使用
(5)文件操作优化的配置
aio on | off | threads[=pool];
是否启用aio功能
directio size | off;
当文件大于等于给定大小时,例如directio 4m,同步(直接)写磁盘,而非写缓存
open_file_cache off;
open_file_cache max=N [inactive=time];
nginx可以缓存以下三种信息: (1) 文件元数据:文件的描述符、文件大小和最近一次的修改时间 (2) 打开的目录结构 (3) 没有找到的或者没有权限访问的文件的相关信息
max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现管理
inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次 数少于open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项,将被删除
open_file_cache_errors on | off;
是否缓存查找时发生错误的文件一类的信息 默认值为off
open_file_cache_min_uses number;
open_file_cache指令的inactive参数指定的时长内,至少被命中此处指定 的次数方可被归类为活动项 默认值为1
open_file_cache_valid time;
缓存项有效性的检查频率 默认值为60s
3.ngx_http_access_module模块 的配置使用:
可实现基于ip的访问控制功能
allow address | CIDR | unix: | all;
deny address | CIDR | unix: | all;
用于 http, server, location, limit_except 上下文
自上而下检查,一旦匹配,将生效,条件严格的置前
4.ngx_http_auth_basic_module模块的配置使用:
实现基于用户的访问控制,使用basic机制进行用户认证
auth_basic string | off;
auth_basic_user_file file;
用户口令文件:
1、明文文本:格式name:password:comment
2、加密文本:由htpasswd命令实现,此命令由httpd-tools所提供
5.ngx_http_stub_status_module模块的配置使用:
用于输出nginx的基本状态信息
stub_status; 表示返回基本状态信息,信息含义如下:
Active connections:当前状态,活动状态的连接数
accepts:统计总值,已经接受的客户端请求的总数
handled:统计总值,已经处理完成的客户端请求的总数
requests:统计总值,客户端发来的总的请求数
Reading:当前状态,正在读取客户端请求报文首部的连接的连接数
Writing:当前状态,正在向客户端发送响应报文过程中的连接数
Waiting:当前状态,正在等待客户端发出请求的空闲连接数
6.ngx_http_log_module模块 的配置使用:
指定日志格式记录请求
log_format name string ...;
指定日志格式的名称,以及对应的格式字符串。string可以使用nginx核心模块及其它模块内嵌的变量
access_log
访问日志文件路径,格式及相关的缓冲的配置access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
access_log off;
open_log_file_cache
缓存各日志文件相关的元数据信息
open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];
open_log_file_cache off;
max:缓存的最大文件描述符数量
min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项
inactive:非活动时长
valid:验证缓存中各缓存项是否为活动项的时间间隔
7.ngx_http_gzip_module 模块 的配置使用:
用gzip方法压缩响应数据,节约带宽
gzip on | off; 启用或禁用gzip压缩
gzip_comp_level level; 压缩比由低到高:1 到 9 默认:1
gzip_disable regex ...; 匹配到客户端浏览器不执行压缩
gzip_min_length length; 启用压缩功能的响应报文大小阈值
gzip_http_version 1.0 | 1.1; 设定启用压缩功能时,协议的最小版本 默认:1.1
gzip_buffers number size; 支持实现压缩功能时缓冲区数量及每个缓存区的大小 默认:32 4k 或 16 8k
gzip_types mime-type ...; 指明仅对哪些类型的资源执行压缩操作;即压缩过滤器
默认包含有text/html,不用显示指定,否则出错
gzip_vary on | off; 如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”
gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;
nginx充当代理服务器时,对于后端服务器的响应报文,在何种条件下启 用压缩功能
off:不启用压缩
expired,no-cache, no-store,private:对后端服务器的响应报文首部 Cache-Control值任何一个,启用压缩功能
8.ngx_http_ssl_module模块 的配置使用:
ssl on | off;
为指定虚拟机启用HTTPS protocol, 建议用listen指令代替
ssl_certificate file;
当前虚拟主机使用PEM格式的证书文件
ssl_certificate_key file;
当前虚拟主机上与其证书匹配的私钥文件
ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
支持ssl协议版本,默 认为后三个
ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
none: 通知客户端支持ssl session cache,但实际不支持
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存
ssl_session_timeout time;
客户端连接可以复用ssl session cache中缓存的ssl参数的有效时长,默认5m
9.ngx_http_rewrite_module模块的配置使用:
将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换
rewrite regex replacement [flag]
将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为 replacement指定的新的URI
注意:如果在同一级配置块中存在多个rewrite规则,那么会自上而下逐个 检查;被某条件规则替换完成后,会重新一轮的替换检查
隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示 的标志位用于控制此循环机制
如果replacement是以http://或https://开头,则替换结果会直接以重向返 回给客户端, 即永久重定向301
[flag]:
last:重写完成后停止对当前URI在当前location中后续的其它重写操作, 而后对新的URI启动新一轮重写检查;提前重启新一轮循环,不建议在location中 使用
break:重写完成后停止对当前URI在当前location中后续的其它重写操作, 而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使 用
redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成 的新URI给客户端,由客户端重新发起请求;使用相对路径,或者http://或https:// 开头,状态码:302
permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给 客户端,由客户端重新发起请求,状态码:301
return
return code [text];
return code URL;
return URL;
停止处理,并返回给客户端指定的响应码
rewrite_log on | off;
是否开启重写日志, 发送至error_log(notice level)
set $variable value;
用户自定义变量
注意:变量定义和调用都要以$开头
if (condition) { ... }
条件满足时,执行配置块中的配置指令;server, location
condition:
比较操作符:
= 相同 != 不同
~:模式匹配,区分字符大小写
~*:模式匹配,不区分字符大小写
!~:模式不匹配,区分字符大小写
!~*:模式不匹配,不区分字符大小写
文件及目录存在性判断:
-e, !-e 存在(包括文件,目录,软链接)
-f, !-f 文件 -d, !-d 目录 -x, !-x 执行
10.ngx_http_referer_module模块的配置使用:
用来阻止Referer首部无有效值的请求访问,可防止盗链
valid_referers none|blocked|server_names|string ...;
定义referer首部的合法可用值,不能匹配的将是非法值
none:请求报文首部没有referer首部
blocked:请求报文有referer首部,但无有效值
server_names:参数,其可以有值作为主机名或主机名模式
arbitrary_string:任意字符串,但可使用*作通配符
regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头
11.ngx_http_proxy_module 模块的配置使用:
转发请求至另一台主机
proxy_pass URL;
可用于location上下文,例如:
server {
...
server_name HOSTNAME;
location /uri/ {
proxy_pass http://host[:port]; (注意: 最后没有/)
}
...
}
上面示例:http://HOSTNAME/uri --> http://host/uri
如果上面示例中有 /,即:http://host[:port]/ 意味着:http://HOSTNAME/uri --> http://host/ 即置换
注意:proxy_pass后面路径不带uri时,会将location的uri传递(附加)给后端主机 ,
proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的 uri
如果location定义其uri时使用了正则表达式的模式,则proxy_pass之后必须不 能使用uri; 用户请求时传递的uri将直接附加至后端服务器之后
proxy_set_header field value;
设定发往后端主机的请求报文的请求首部的值
适用于上下文:http, server, location
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
请求报文的标准格式如下:
X-Forwarded-For: client1, proxy1, proxy2
proxy_cache_path;
定义可用于proxy功能的缓存;
适用于上下文:http
proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];
proxy_cache zone | off; 默认off
指明调用的缓存,或关闭缓存机制;
适用于上下文:http, server, location
proxy_cache_key string;
缓存中用于“键”的内容
默认值:proxy_cache_key $scheme$proxy_host$request_uri;
proxy_cache_valid [code ...] time;
定义对特定响应码的响应内容的缓存时长
适用于上下文:http
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off
在被代理的后端服务器出现哪种情况下,可直接使用过期的缓存响应客户端
proxy_cache_methods GET | HEAD | POST ...;
对哪些客户端请求方法对应的响应进行缓存,GET和HEAD方法总是被缓存
proxy_hide_header field;
默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad, X-Accel-等,用于隐藏后端服务器特定的响应首部
proxy_connect_timeout time;
定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为 60s,一般不建议超出75s
proxy_send_timeout time;
将请求发送给后端服务器的超时时长;默认为60s
proxy_read_timeout time;
等待后端服务器发送响应报文的超时时长,默认为60s
12.ngx_http_headers_module模块 的配置使用:
向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的 值
add_header name value [always];
添加自定义首部
add_header X-Via $server_addr;
add_header X-Cache $upstream_cache_status;
add_header X-Accel $server_name;
add_trailer name value [always];
添加自定义响应信息的尾部
13.ngx_http_fastcgi_module模块 的配置使用:
转发请求到FastCGI服务器,不支持php模块方式
fastcgi_pass address;
address为后端的fastcgi server的地址
可用位置:location, if in location
fastcgi_index name;
fastcgi默认的主页资源
fastcgi_param parameter value [if_not_empty];
设置传递给 FastCGI服务器的参数值,可以是文本,变量或组合
fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];
定义fastcgi的缓存;
path 缓存位置为磁盘上的文件系统
max_size=size 磁盘path路径中用于缓存数据的缓存空间上限
levels=levels:缓存目录的层级数量,以及每一级的目录数量 levels=ONE:TWO:THREE
keys_zone=name:size k/v映射的内存空间的名称及大小
inactive=time 非活动时长
fastcgi_cache zone | off;
调用指定的缓存空间来缓存数据
可用位置:http, server, location
fastcgi_cache_key string;
定义用作缓存项的key的字符串
fastcgi_cache_methods GET | HEAD | POST ...;
为哪些请求方法使用缓存
fastcgi_cache_min_usesnumber;
缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方 可被认作活动项
fastcgi_keep_connon | off;
收到后端服务器响应后,fastcgi服务器是否关闭连接,建议启用长连接
fastcgi_cache_valid [code ...] time;
不同的响应码各自的缓存时长
14.ngx_http_upstream_module模块 的配置使用:
用于将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令 进行引用
upstream name { ... }
定义后端服务器组,会引入一个新的上下文
默认调度算法是wrr
可用位置: http
例如:
upstream httpdsrvs {
server ...
server...
...
}
server address [parameters];
在upstream上下文中server成员,以及相关的参数;
可用位置upstream
address的表示格式:
unix:/PATH/TO/SOME_SOCK_FILE
IP[:PORT]
HOSTNAME[:PORT]
parameters:
weight=number 权重,默认为1
max_conns 连接后端报务器最大并发活动连接数,1.11.5后支持
max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标 记为不可用,默认为1
fail_timeout=time 后端服务器标记为不可用状态的连接超时时长,默认10s
backup 将服务器标记为“备用”,即所有服务器均不可用时才启用
down 标记为“不可用”,配合ip_hash使用,实现灰度发布
ip_hash
源地址hash调度方法
least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc, 当所有后端主机连接数相同时,则使用wrr,适用于长连接
hash key [consistent] 基于指定的key的hash表来实现对请求的调度, 此处的key可以直接文本、变量或二者组合
作用:将请求分类,同一类请求将发往同一个upstream server,使用 consistent参数,将使用ketama一致性hash算法,适用于后端是Cache服务器 (如varnish)时使用
hash $request_uri consistent;
hash $remote_addr;
keepalive 连接数N;
为每个worker进程保留的空闲的长连接数量,可节约nginx端口,并减少连 接管理的消耗
health_check [parameters];
健康状态检测机制;只能用于location上下文
常用参数:
interval=time检测的频率,默认为5秒
fails=number:判定服务器不可用的失败检测次数;默认为1次
passes=number:判定服务器可用的失败检测次数;默认为1次
uri=uri:做健康状态检测测试的目标uri;默认为/
match=NAME:健康状态检测的结果评估调用此处指定的match配置块
注意:仅对nginx plus有效
match name { ... }
对backend server做健康状态检测时,定义其结果判断机制;只能用于http上下 文
常用的参数:
status code[ code ...]: 期望的响应状态码
header HEADER[operator value]:期望存在响应首部,也可对期望的响 应首部的值基于比较操作符和值进行比较
body:期望响应报文的主体部分应该有的内容
注意:仅对nginx plus有效
15.ngx_stream_core_module模块 的配置使用:
模拟反代基于tcp或udp的服务连接,即工作于传输层的反代或调度器
stream { ... }
定义stream相关的服务;
用于上下文:main
stream {
upstream mysqlsrvs {
server 192.168.22.2:3306;
server 192.168.22.3:3306;
least_conn;
}
server {
listen 10.1.0.6:3306;
proxy_pass mysqlsrvs;
}
}
listen
listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] [ipv6only=on|off] [reuseport] [so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];
16.ngx_stream_proxy_module模块 的配置使用:
可实现代理基于TCP,UDP (1.9.13), UNIX-domain sockets的数据流
proxy_pass address;
指定后端服务器地址
proxy_timeout timeout;
无数据传输时,保持连接状态的超时时长 默认为10m
proxy_connect_timeout time;
设置nginx与被代理的服务器尝试建立连接的超时时长 默认为60s