anglesang
anglesang

Nginx入门到实践

Nginx入门到实践

学习Nginx入门到实践-Nginx中间件笔记

nginx官网

Nginx是一个开源且高性能、可靠的HTTP中间件、代理服务。

Nginx优势

  1. IO多路复用epoll

  2. 轻量级

  3. CPU亲和

  4. sendfile

安装Nginx

  1. 进入官网
    Nginx入门到实践_第1张图片
  2. 选择对应的操作系统
    Nginx入门到实践_第2张图片
  3. 根据文档配置,将$releasever修改为对应的Centos版本。例如我是Centos7,就修改为7
    Nginx入门到实践_第3张图片

示例

Nginx入门到实践_第4张图片

Nginx默认配置语法

参数 注释
user 设置nginx服务的系统使用用户
worker_processes 工作进程数
error_log nginx的错误日志
pid nginx服务启动时候的pid
参数 注释
events worker_connections 每个进程允许最大连接数
use 使用内核模型

虚拟机主机配置方式

  1. 基于主机多IP方式
  2. 基于多port方式
  3. 基于多host名称方式 (多域名方式)

Nginx日志

error.log 错误日志

access.log 每次请求

log_format日志详解

Syntax: log_format name [escape=default|json|none] string …;
Default: log_format combined “…”;
Context: http

log_format 关键字
name 自定义变量
[escape=default|json|none] string … 日志具体内容,即HTTP请求变量、nginx内置变量、自定义变量组成
log_format combined “…” 日志默认值

日志内容:
HTTP请求变量 - arg_PARAMETER http_HEADER sent_http_HEADER
内置变量 - Nginx内置的http-只能配置在http作用域下配置
自定义变量 - 自定义的

Nginx模块

  • nginx官方模块

  • 第三方模块

–with-http_stub_status_module

作用:Nginx的客户端状态,连接信息

Syntax: stub_status;
Default:
Context: server,location

  • 示例

    在配置文件中添加

    server {
	...
	location /mystatus{
        stub_status;
   }
  ...
}

​ 访问结果
Nginx入门到实践_第5张图片

  • 状态参数详解
  1. Active connections 活跃连接数
  2. accepts 已接受的客户端连接总数
  3. handled 已处理的连接总数
  4. requests 客户端连接总数
  5. Reading 读取请求头的当前连接数
  6. Writing 将响应写回客户端的当前连接数
  7. Waiting 等待请求的当前空闲客户端连接数

–with-http_random_index_module

作用:目录中选择一个随机主页

Syntax: random_index on|off;
Default: random_index off;
Context: location

  • 示例

    在配置文件中添加

    server {
	...
	 location / {
        root   /opt/app/code;
        random_index on;
        #index  index.html index.htm;
    }
  ...
}

.开始的隐藏文件不会选择

–with-http_sub_module

作用:HTTP内容替换

Syntax: sub_filter string replacement;
Default:
Context: http,server,location
  • 允许在替换期间保留原始响应中的“Last-Modified”头字段,以便于响应缓存。
Syntax: sub_filter_last_modified on|off;
Default: sub_filter_last_modified off;
Context: http,server,location
  • 匹配第一个(on)还是所有(off)
Syntax: sub_filter_once on|off;
Default: sub_filter_once on;
Context: http,server,location

Nginx请求限制

连接频率限制

limit_conn_module

Syntax: limit_conn_zone key zone=name:size;
Default:
Context: http

key 表示存储在共享内存中的key

zone=name:size 表示共享内存名称和大小

Syntax: limit_conn zone number;
Default:
Context: http,server,location

zone 表示存储在共享内存中的key
number 表示限制的连接数

  • 示例

    在配置文件中添加

      limit_conn_zone $binary_remote_addr zone=conn_zone:1m;
  server {
  	...
  	 location / {
          root   /opt/app/code;
          # 服务端同一时刻只允许一个IP连接过来
          limit_conn conn_zone 1;
          index  index.html index.htm;
      }
    ...
  }

请求频率限制

limit_req_module

Syntax: limit_req_zone key zone=name:size rate=rate;
Default:
Context: http

key 表示存储在共享内存中的key

zone=name:size 表示共享内存名称和大小

rate=rate 表示请求数率,例如:10r/s每秒请求10次

Syntax: limit_req zone=name [burst=number] [nodelay];
Default:
Context: http,server,location

zone 表示存储在共享内存中的key

[burst=number] 表示突发请求数(最大请求数),遗留的请求放到下一秒执行(延迟响应)

[nodelay | delay=number] 其中nodelay表示请求没有延迟,超出的请求丢失;delay=number表示可以延迟处理请求的数量

  • 示例

    在配置文件中添加

      # 通过$binary_remote_addr(ip)限制,每秒1个
  limit_req_zone $binary_remote_addr zone=req_zone:1m rate=1r/s;
  server {
  	...
  	 location / {
          root   /opt/app/code;
          #limit_req zone=req_zone burst=3 nodelay;
          #limit_req zone=req_zone burst=3;
          #limit_req zone=req_zone;
          index  index.html index.htm;
      }
    ...
  }

Nginx的访问控制

基于IP的访问控制

http_access_module

  • 允许访问
Syntax: allow address|CIDR|unix:|all;
Default:
Context: http,server,location,limit_except

address:IP地址

CIDR:网段

unix:unix或linux上socket方式的访问

all:允许所有

  • 拒绝访问
Syntax: deny address|CIDR|unix:|all;
Default:
Context: http,server,location,limit_except
  • 局限性解决
  1. 采用别的HTTP头信息控制访问,如:HTTP_X_FORWARD_FOR
  2. 结合geo模块
  3. 通过HTTP自定义变量传递

基于用户的信任认证

http_auth_basic_module

Syntax: auth_basic string|off;
Default: auth_basic off;
Context: http,server,location,limit_except
  • 存储用户名和密码信息
Syntax: auth_basic_user_file file;
Default:
Context: http,server,location,limit_except

参考官方文档

  • 局限性
  1. 用户信息依赖文件方式
  2. 操作管理机械,效率低下
  • 局限性解决
  1. Nginx结合LUA实现高效验证
  2. Nginx和LDAP打通,利用nginx-auth-ldap模块

静态资源web服务

  1. 静态资源类型:非服务器动态运行生成的文件
  2. 静态资源服务场景—CDN

Nginx入门到实践_第6张图片

  • 配置语法-文件读取
Syntax: sendfile on |off;
Default: sendfile off;
Context: http,server,location,if in location

引读:–with-file-aio 异步文件读取 (很少用)

  • 配置语法-tcp_nopush (多个文件打包一起发送)

    作用:sendfile开启的情况下,提高网络包的传输效率

    sendfile开启才能使用

Syntax: tcp_nopush on | off;
Default: tcp_nopush off;
Context: http,server,location

  • 配置语法-tcp_nodelay 文件不等待,实时发送(实时性高)

    作用:keepalive连接下,提高网络包的传输实时性

Syntax: tcp_nodelay on | off
Default: tcp_nodelay on;
Context: http,server,location

  • 配置语法-压缩

    作用:压缩传输

Syntax: gzip on | off;
Default: gzip off;
Context: http,server,location,if in location

Nginx入门到实践_第7张图片

  • 配置语法-压缩比
Syntax: gzip_comp_level level;
Default: gzip_comp_level 1;
Context: http,server,location
  • gzip_http版本
Syntax: gzip_http_version 1.0|1.1;
Default: gzip_http_version 1.1;
Context: http,server,location

扩展nginx压缩模块

http_gzip_static_module 预读gzip功能,需要事先压缩好

http_gunzip_module 应用支持gunzip的压缩方式(不支持gzip压缩时使用,较少)

  • 示例

    在配置文件中添加

      server {
  	...
  	# 开启文件读取
  	sendfile on;
  	
      location ~ .*\.(jpg|gif|png)$ {
          gzip on;
          gzip_http_version 1.1;
          gzip_comp_level 2;
          # gzip压缩类型
          gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
          root  /opt/app/code/images;
      }
  
      location ~ .*\.(txt|xml)$ {
          gzip on;
          gzip_http_version 1.1;
          gzip_comp_level 1;
          gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
          root  /opt/app/code/doc;
      }
  
      location ~ ^/download {
      	# 预读功能
          gzip_static on;
          tcp_nopush on;
          root /opt/app/code;
      }
    ...
  }

浏览器缓存

HTTP协议定义的缓存机制(如:Expires;Cache-control等)

  1. 浏览器无缓存

Nginx入门到实践_第8张图片

  1. 客户端有缓存

Nginx入门到实践_第9张图片

  1. 校验过期机制
校验是否过期 Expires、Cache-Control(max-age) 协议版本不同
协议中Etag头信息校验 Etag 一串字符串
Last-Modified头信息校验 Last-Modified 具体的时间到秒

Nginx入门到实践_第10张图片

  1. 配置语法 - expires

    作用:添加Cache-Control、Expires头

Syntax: expires [modified] time;
expires epoch | max | off;
Default: expires off;
Context: http,server,location,if in location

  • 示例

    在配置文件中添加

    server {
	...
	location ~ .*\.(htm|html)$ {
		expires 24h;
		root /opt/app/code
	}
	....
}

跨域访问

为什么浏览器禁止跨域访问?(不安全,容易出现CSRF攻击)

  • 配置语法-打开跨域访问
Syntax: add_header name value [always];
Default:
Context: http,server,location,if in location

读取这个Access-Control-Allow-Origin头信息,查看是否允许跨站;默认阻止

  • 示例

    在配置文件中添加

    server {
	...
	location ~ .*\.(htm|html)$ {
				# 允许的域名 *代表所有 可以只打开指定的域名
        add_header Access-Control-Allow-Origin *; 
        # 允许的方法
        add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
        root  /opt/app/code;
    }
	....
}

防盗链

目的:防止资源被盗用

  • 设置思路

    首要方式:区别哪些请求是非正常的用户请求

基于http_refer防盗链配置模块

Syntax: valid_referers none|blocked|server_names|string…;
Default:
Context: server,location

  • 示例

    在配置文件中添加

    server {
	...
	location /app{
		...
		# none代表没有refer信息的 blocked代表refer信息不是http://这种标准形式的
		# 支持域名正则匹配的方式
		valid_referers none blocked 192.168.247.130 ~/google\./;
		if($invalid_referer){
				return 403;
		}
		....
	}
	....
}

http_refer的方式有一定的局限性

代理服务

  • 正向代理:代理的对象是客户端

  • 反向代理:代理的对象是服务端

http的方式:http://localhost:8000/uri/

https的方式:https://192.168.1.1:8000/uri/

socket的方式:http://unix:/tmp/backend.socket:/uri/;

  • 配置语法
Syntax: proxy_pass URL;
Default:
Context: location,if in location,limit_except

  • 示例

    在配置文件中添加

    server {
	...
	# 代理到8080端口
	location ~ /test_proxy.html$ {
			proxy_pass http://127.0.0.1:8080;
	}
	....
}

其他配置语法

  • 缓冲区
Syntax: proxy_buffering on|off;
Default: proxy_buffering on;
Context: http,server,location

扩展 proxy_buffer_size 、proxy_buffers 、proxy_busy_buffers_size

  • 跳转重定向
Syntax: proxy_redirect default;
proxy_redirect off;
proxy_redirect redirect replacement;
Default: proxy_redirect default;
Context: http,server,location
  • 头信息
Syntax: proxy_set_header field value;
Default: proxy_set_header Host $proxy_host; proxy_set_header Connection close;
Context: http,server,location

扩展:proxy_hide_header 、proxy_set_body

  • 超时
Syntax: proxy_connect_timeout time;
Default: proxy_connect_timeout 60s;
Context: http,server,location

扩展:proxy_read_timeout 、proxy_send_timeout

  • 示例

    在配置文件中添加

    server {
	...
	# 代理到8080端口
	location ~ /test_proxy.html$ {
        proxy_pass http://127.0.0.1:8080;
		    proxy_redirect default;

        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;

        proxy_connect_timeout 30;
        proxy_send_timeout 60;
        proxy_read_timeout 60;

        proxy_buffer_size 32k;
        proxy_buffering on;
        proxy_buffers 4 128k;
        proxy_busy_buffers_size 256k;
        proxy_max_temp_file_size 256k;

	}
	....
}

负载均衡服务

nginx属于七层负载均衡

  • Nginx负载均衡
    Nginx入门到实践_第11张图片

nginx通过代理,将请求代理到upstream server,upstream server里面存放了一些相似的服务

  • 配置语法
Syntax: upstream name {…}
Default:
Context: http

  • 示例

    在配置文件中添加

    http {
	...
	# 负载均衡 默认轮询 ip/域名/socket方式
	 upstream test {
        server 192.168.247.130:8001;
        server 192.168.247.130:8002;
        server 192.168.247.130:8003;
    }
    ...
    server {
    	...
    	location / {
          proxy_pass http://test;
          #500/502/503/504/invalid_header/timeout/error 这些情况时用下一个代理
          proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
          ...
    	}
    	...
    }
	...
}

后端服务器在负载均衡调度中的状态

down 当前的server暂时不参与负载均衡
backup 预留的备份服务器
max_fails 允许请求失败的次数
fail_timeout 经过max_fails失败后,服务暂停的时间
max_conns 限制最大的接收的连接数

  • 示例

    在配置文件中添加

    http {
	...
	 upstream test {
        server 192.168.247.130:8001 down;
        server 192.168.247.130:8002 backup;
        server 192.168.247.130:8003 max_fails=1 fail_timeout=10s;
    }
    ...
    server {
    	...
    	location / {
          proxy_pass http://test;
          ...
    	}
    	...
    }
	...
}

调度算法

轮询 按时间顺序逐一分配到不同的后端服务器
加权轮询 weight值越大,分配到的访问几率越高
ip_hash 每个请求按访问IP的hash结果分配,这样来自同一个IP的固定访问一个后端服务器
url_hash 按照访问的URL的hash结果来分配请求,是每个URL定向到同一个后端服务器
least_conn 最少连接数,哪个机器连接数少就分发
hash关键数值 hash自定义的key
加权轮询示例

在配置文件中添加

http {
	...
	 upstream test {
        server 192.168.247.130:8001;
        server 192.168.247.130:8002 weight=5;
        server 192.168.247.130:8003;
    }
    ...
    server {
    	...
    	location / {
          proxy_pass http://test;
          ...
    	}
    	...
    }
	...
}
ip_hash示例

在配置文件中添加

http {
	...
	 upstream test {
        ip_hash;
        server 192.168.247.130:8001;
        server 192.168.247.130:8002;
        server 192.168.247.130:8003;
    }
    ...
    server {
    	...
    	location / {
          proxy_pass http://test;
          ...
    	}
    	...
    }
	...
}
自定义hash关键数值
  • 配置语法
Syntax: hash key [consistent]
Default:
Context: upstream

  • 示例

    在配置文件中添加

    http {
	...
	 upstream test {
        hash $request_uri;
        server 192.168.247.130:8001;
        server 192.168.247.130:8002;
        server 192.168.247.130:8003;
    }
    ...
    server {
    	...
    	location / {
          proxy_pass http://test;
          ...
    	}
    	...
    }
	...
}

缓存服务

  • 配置语法
Syntax: proxy_cache_path path [levels=levels] [user_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];
Default:
Context: http
Syntax: proxy_cache zone|off
Default: proxy_cache off;
Context: http,server,location
  • 配置语法-缓存过期周期
Syntax: proxy_cache_valid [code …] time;
Default:
Context: http,server,location
  • 配置语法-缓存的维度
Syntax: proxy_cache_key string;
Default: proxy_cache_key $scheme$proxy_host$request_uri;
Context: http,server,location

  • 示例

    在配置文件中添加

    http{
    #配置3台服务
    upstream test {
        server 192.168.247.130:8001;
        server 192.168.247.130:8002;
        server 192.168.247.130:8003;
    }
	#配置proxy_cache_path 存放缓存临时文件的目录 缓存的目录分级(2层) keys_zone开辟的空间 max_size最大大小(超过启动淘汰规则) 不活跃时间60分钟 
    proxy_cache_path /opt/app/cache levels=1:2 keys_zone=test_cache:10m max_size=10g inactive=60m use_temp_path=off;

    server {
        ...
        location / {
            proxy_cache test_cache;
            proxy_pass http://test;
            # 200或304的code 在12小时过期
            proxy_cache_valid 200 304 12h;
            # 其他code 在10分钟过期
            proxy_cache_valid any 10m;
            # 缓存的key定义
            proxy_cache_key $host$uri$is_args$args;
            #add_header  Nginx-Cache "$upstream_cache_status";  
        	#500/502/503/504/invalid_header/timeout/error 这些情况时用下一个服务
            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            ...
        }
      ...
    }
}

如何清理指定缓存

  1. rm -rf 缓存目录内容
  2. 第三方扩展模块ngx_cache_purge

如何让部分页面不缓存

Syntax: proxy_no_cache string …;
Default:
Context: http,server,location

  • 示例

    在配置文件中添加

    http{
    ...
    server {
        ...
        if($request_uri ~ ^/(url3|login|register|password\/reset)){
            set $cookie_nocache 1;
        }
        
        location / {
            proxy_cache test_cache;
            proxy_pass http://test;
            # 200或304的code 在12小时过期
            proxy_cache_valid 200 304 12h;
            # 其他code 在10分钟过期
            proxy_cache_valid any 10m;
            # 缓存的key定义
            proxy_cache_key $host$uri$is_args$args;
            proxy_no_cache $cookie_nocache $arg_nocache $arg_comment;
            proxy_no_cache $http_pragma $http_authorization;
            #add_header  Nginx-Cache "$upstream_cache_status";  
        	#500/502/503/504/invalid_header/timeout/error 这些情况时用下一个服务
            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            ...
        }
      ...
    }
}

分片请求

大文件分片请求

Syntax: slice size;
Default: slice 0;
Context: http,server,location

优势:每个子请求收到的数据会形成一个独立文件,一个请求断了,其他请求不受影响。

缺点:当文件很大或者slice很小的时候,可能会导致文件描述符耗尽等情况。

动静分离

通过中间件将动态请求和静态请求分离。

upstream java_api {
    server 127.0.0.1:8080;
}
server {
    listen       80;
    server_name  localhost;

    root /opt/app/code;
		# 动态请求 请求tomcat页面 代理方式
    location ~ \.jsp$ {
        proxy_pass http://java_api;
	      proxy_set_header Host $host;
    }
    # 静态请求
    location ~ \.(jpg|png|gif)$ {
	      expires 1h;
	      gzip on;
    }
    ...
}

Rewrite规则

  1. 作用:实现url重写以及重定向

  2. 场景

    1. URL访问跳转,支持开发设计(页面跳转、兼容性支持、展示效果等)
    2. SEO优化
    3. 维护(后台维护、流量转发等)
    4. 安全

  3. 配置语法

Syntax: rewrite regex replacement[flag];
Default:
Context: server,location,if
  1. flag
last 停止rewrite检测
break 停止rewrite检测
redirect 返回302临时重定向,地址栏会显示跳转后的地址
permanent 返回301永久重定向,地址栏会显示跳转后的地址

  • 示例

    在配置文件中添加

    server{
    ...
    root /opt/app/code;
    # break会去/opt/app/code/test/下面寻找
    location ~ ^/break {
        rewrite ^/break /test/ break;
    }
    # last重新建了一个请求到test
    location ~ ^/last {
        rewrite ^/last /test/ last;
    }
    location /test/ {
        default_type application/json;
        return 200 '{"status":"success"}';
    }
    ...
}

规则场景

server {
    listen       80;
    server_name  localhost;
    root   /opt/app/code;

    location / {
    		# 场景一 重写请求路径
        rewrite ^/course-(\d+)-(\d+)-(\d+)\.html$ /course/$1/$2/course_$3.html break;
        # 场景二 Chrome浏览器访问的指定地址重定向百度
        if ($http_user_agent ~* Chrome) {
            rewrite ^/nginx http://www.baidu.com redirect;
        } 
				# 场景三 请求的资源不存在就重定向百度
        if (!-f $request_filename) {
            rewrite ^/(.*)$ http://www.baidu.com/$1 redirect;
        }
        index  index.html index.htm;
    }
    ...
}

  • Rewrite规则优先级

    ​ 执行server块的rewrite指令

    ​ 执行location匹配

    ​ 执行选定的location中的rewrite

Nginx高级模块

secure_link_module模块

  1. 制定并允许检查请求的链接的真实性以及保护资源免遭未经授权的访问
  2. 限制链接生效周期
  • 配置语法
Syntax: secure_link expression;
Default:
Context: http,server,location
Syntax: secure_link_md5 expression;
Default:
Context: http,server,location

  • 示例

    在配置文件中添加

    server {
    listen       80;
    server_name  localhost;
    root /opt/app/code;

    location / {
    	# 两个参数md5和expires
        secure_link $arg_md5,$arg_expires;
        # secure_link_md5加密方式 test自定义加密串
        secure_link_md5 "$secure_link_expires$uri test";

        if ($secure_link = "") {
            return 403;
        }

        if ($secure_link = "0") {
            return 410;
        }
    }
	...
}

geoip_module模块

基于IP地址匹配MaxMind GeoIP二进制文件,读取IP所在地域信息。

安装模块 yum install nginx-module-geoip

  • 使用场景

    1. 区别国内外作HTTP访问规则
    2. 区别国内城市地域作HTTP访问规则

  • 查看module安装

    $ cd /etc/nginx/modules/
$ ls

  • 示例

    1. 在nginx.conf中引入模块

      load_module "modules/ngx_http_geoip_module.so";
load_module "modules/ngx_stream_geoip_module.so";

    2. 下载文件

      # 现在要登陆后下载
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz

    3. 修改配置文件

      # 引入文件
geoip_country /etc/nginx/geoip/GeoIP.dat;
geoip_city /etc/nginx/geoip/GeoLiteCity.dat;
server {
    listen       80;
    server_name  localhost;
    
    location / {
        if ($geoip_country_code != CN) {
            return 403;
        }
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

   location /myip {
        default_type text/plain;
        return 200 "$remote_addr $geoip_country_name $geoip_country_code $geoip_city";
   }
   ...
}

基于Nginx的HTTPS服务

  • 生成密钥和CA证书
    1. 确认openssl(openssl version)
    2. 查看ssl模块(nginx -V 查看–with-http_ssl_module)
  • 步骤
    1. 生成key密钥
    2. 生成证书签名请求文件(csr文件)
    3. 生成证书签名文件(CA文件)
# 1. 生成key密钥 设置一个密码
$ openssl genrsa -idea -out test.key 1024
# 2. 生成证书签名请求文件(csr文件)使用设置的密码
$ openssl req -new -key test.key -out test.csr
# 3. 生成证书签名文件(CA文件) 使用设置的密码
# 注意一定要加-days,否则默认一个月左右过期
$ openssl x509 -req -days 3650 -in test.csr -signkey test.key -out test.crt

# 查看当前加密证书算法类型
$ openssl x509 -noout -text -in ./test.crt
# 去除key密钥文件的保护密码
$ openssl rsa -in ./test.key -out ./test_nopass.key
  • HTTPS语法配置

ssl的开启与关闭

Syntax: ssl on|off;
Default: ssl off;
Context: http,server;

ssl证书文件

Syntax: ssl_certificate file;
Default:
Context: http,server

ssl密码文件

Syntax: ssl_certificate_key file;
Default:
Context: http,server

  • 示例

    在配置文件中添加

    server
 {
   listen       443;
   server_name  192.168.247.130;
   ssl on;
   ssl_certificate /etc/nginx/ssl_key/test.crt;
   ssl_certificate_key /etc/nginx/ssl_key/test.key;

   index index.html index.htm;
   location / {
       root  /opt/app/code;
   }
}

场景 - 配置苹果要求的证书

  1. 服务器所有的连接使用TSL1.2以上版本(openssl 1.0.2)
  2. HTTPS证书必须使用SHA256以上哈希算法签名
  3. HTTPS证书必须使用RSA 2048位或ECC 256位以上公钥算法
  4. 使用前向加密技术
# 直接通过key密钥文件生成CA证书文件,不生成中间csr文件
$ openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout test.key -out test_apple.crt

server
 {
   listen       443;
   server_name  192.168.247.130;
   ssl on;
   ssl_certificate /etc/nginx/ssl_key/test_apple.crt;
   ssl_certificate_key /etc/nginx/ssl_key/test.key;

   index index.html index.htm;
   location / {
       root  /opt/app/code;
   }
}

HTTPS服务优化

  1. 激活keepalive长连接
  2. 设置ssl session缓存
server
 {
   listen       443;
   server_name  192.168.247.130;
 
   # 激活长连接
   keepalive_timeout 100;

   ssl on;
   # 设置ssl session缓存
   ssl_session_cache   shared:SSL:10m;
   ssl_session_timeout 10m;

   ssl_certificate /etc/nginx/ssl_key/test.crt;
   ssl_certificate_key /etc/nginx/ssl_key/test.key;

   index index.html index.htm;
   location / {
       root  /opt/app/code;
   }
}

Nginx与Lua开发

Lua是一个简洁、轻量、可扩展的脚本语言。

优势:充分得结合Nginx的并发处理epoll优势和Lua的轻量,实现简单的功能和高并发的场景。

Lua基础语法

安装Lua yum install lua

-- 行注释

--[[
	块注释
--]]

-- while循环
sum=0
num=1
while num <= 100 do
    sum = sum + num
    num = num + 1
end
print("sum = ",sum)

-- for循环
sum = 0
for i = 1,100 do
    sum = sum + i
end

-- if-else判断语句
if age == 40 and sex == "Male" then
    print("大于40男人")
elseif age > 60 and sex ~= "Female" then
    print("非女人而且大于60")
else
    local age = io.read()
    print("Your age is "..age)
end

--[[
布尔类型只有nil和false是false,其他都是true
lua没有++或是+=这样的操作
变量默认都是全局变量,local修饰表示局部变量
"~=" 是不等于
字符串的拼接操作符 ".."
io库的分别从stdin和stdout读写的read和write函数
--]]

Nginx+Lua环境安装

  1. 下载相关文件

    # 下载nginx 1.18.0
$ wget http://nginx.org/download/nginx-1.18.0.tar.gz
# 下载LuaJIT 2.1
$ wget https://luajit.org/download/LuaJIT-2.1.0-beta3.tar.gz
# 下载ngx_devel_kit模块
$ wget https://github.com/vision5/ngx_devel_kit/archive/refs/tags/v0.3.1.tar.gz
# 下载lua-nginx-module模块
$ wget https://github.com/openresty/lua-nginx-module/archive/refs/tags/v0.10.13.tar.gz

  2. 安装LuaJIT

    # 解压缩
$ tar -zxvf LuaJIT-2.1.0-beta3.tar.gz
# 进入相关目录
$ cd LuaJIT-2.1.0-beta3/
# 编译安装
$ make install  PREFIX=/usr/local/LuaJIT
# 添加环境变量
$ echo 'export LUAJIT_LIB=/usr/local/LuaJIT/lib' >> /etc/profile
$ echo 'export LUAJIT_INC=/usr/local/LuaJIT/include/luajit-2.1' >> /etc/profile
# 加载lua库,加入到ld.so.conf文件
$ echo '/usr/local/lib' >> /etc/ld.so.conf
$ echo '/usr/local/LuaJIT/lib' >> /etc/ld.so.conf
# 重新加载环境变量
$ source /etc/profile
$ ldconfig

  3. 解压ngx_devel_kitj和lua-nginx-module

    $ tar -zxvf v0.3.1.tar.gz
$ tar -zxvf v0.10.13.tar.gz

  4. 安装配置nginx1.18

    # 安装必要依赖
$ yum install -y gcc pcre-devel openssl-devel zlib-devel
# 解压缩
$ tar -zxvf nginx-1.18.0.tar.gz
# 进入相关目录
$ cd nginx-1.18.0 
# 编译安装nginx
$./configure --prefix=/etc/nginx \
             --sbin-path=/usr/sbin/nginx \
             --modules-path=/usr/lib64/nginx/modules \
             --conf-path=/etc/nginx/nginx.conf \
             --error-log-path=/var/log/nginx/error.log \
             --http-log-path=/var/log/nginx/access.log \
             --pid-path=/var/run/nginx.pid \
             --lock-path=/var/run/nginx.lock \
             --http-client-body-temp-path=/var/cache/nginx/client_temp \
             --http-proxy-temp-path=/var/cache/nginx/proxy_temp \
             --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp \
             --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp \
             --http-scgi-temp-path=/var/cache/nginx/scgi_temp \
             --user=nginx \
             --group=nginx \
             --with-compat \
             --with-file-aio \
             --with-threads \
             --with-http_addition_module \
             --with-http_auth_request_module \
             --with-http_dav_module \
             --with-http_flv_module \
             --with-http_gunzip_module \
             --with-http_gzip_static_module \
             --with-http_mp4_module \
             --with-http_random_index_module \
             --with-http_realip_module \
             --with-http_secure_link_module \
             --with-http_slice_module \
             --with-http_ssl_module \
             --with-http_stub_status_module \
             --with-http_sub_module \
             --with-http_v2_module \
             --with-mail \
             --with-mail_ssl_module \
             --with-stream \
             --with-stream_realip_module \
             --with-stream_ssl_module \
             --with-stream_ssl_preread_module \
             --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' \
             --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' \
             --add-module=/home/anglesang/work/app/ngx_devel_kit-0.3.1 \
             --add-module=/home/anglesang/work/app/lua-nginx-module-0.10.13
# 同目录下,编译安装
$ make -j 4 && make install
# 验证 查看最后几行
$ nginx -V
避坑

  1. lua-nginx-module-0.10.19 模板使用了新版导致,使用 lua-nginx-module-0.10.13 解决

    adding module in /home/anglesang/work/app/lua-nginx-module-0.10.19
checking for LuaJIT 2.x ... not found
    ./configure: error: unsupported LuaJIT version; ngx_http_lua_module requires LuaJIT 2.x.

  2. 安装lua开发包解决 yum install -y lua-devel

    checking for Lua library ... not found
checking for Lua library in /usr/local/ ... not found
checking for Lua library in /usr/local/ ... not found
checking for Lua library in /usr/pkg/ ... not found
checking for Lua library in /opt/local/ ... not found
checking for Lua library in /usr/local/*/lua51/ ... not found
checking for Lua library in /usr/ ... not found
checking for LuaJIT library in /usr/local/ ... not found
checking for LuaJIT library in /usr/ ... not found
checking for LuaJIT library in /usr/ ... not found
 ./configure: error: ngx_http_lua_module requires the Lua library.

Nginx调用Lua模块指令

Nginx的可插拔模块化加载执行,共11个处理阶段

set_by_lua
set_by_lua_file		 设置nginx变量,可以实现复杂的赋值逻辑
access_by_lua
access_by_lua_file		 请求访问阶段处理,用于访问控制
content_by_lua
content_by_lua_file		 内容处理器,接受请求处理并输出响应

Nginx Lua API

ngx.var nginx变量
ngx.req.get_headers 获取请求头
ngx.req.get_uri_args 获取url请求参数
ngx.redirect 重定向
ngx.print 输出响应内容体
ngx.say 同ngx.print,但是会最后输出一个换行符
ngx.header 输出响应头

实战场景 - 灰度发布

按照一定的关系区别,分部分的代码进行上线,使代码的发布能平滑过渡上线。

  1. memcached 配置

    # 安装memcached 
$ sudo yum install -y memcached
# 启动memcached
$ memcached -p 11211 -u nobody -d -m 128
# 连接memcached
$ telnet 127.0.0.1 11211
# 设置值
$ set 192.168.247.133 0 0 1
> 1
# 获取值 验证
$ get 192.168.247.133

  2. 启动并配置两个tomcat 8080和9090

    复制tomcat8080为tomcat9090,将tomcat9090中的server.xml文件中的所有8改为9

  3. 修改nginx配置

    server {
    listen       80;
    server_name  localhost;

    access_log  /var/log/nginx/log/host.access.log  main;
    
    location /hello {
        default_type 'text/plain';
        content_by_lua 'ngx.say("hello, lua")';
    }
 
    location /myip {
        default_type 'text/plain';
        content_by_lua '
            clientIP = ngx.req.get_headers()["Host"]
            ngx.say("IP:",clientIP)
            ';
    }

    location / {
        default_type "text/html"; 
        content_by_lua_file /opt/app/lua/dep.lua;
    }

    location @server{
        proxy_pass http://127.0.0.1:9090;
    }

    location @server_test{
        proxy_pass http://127.0.0.1:8080;
    }

    error_page   500 502 503 504 404  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

  4. 测试lua

    访问http://192.168.247.130/hello 地址

  5. 添加lua文件

    clientIP = ngx.req.get_headers()["X-Real-IP"]
if clientIP == nil then
    clientIP = ngx.req.get_headers()["x_forwarded_for"]
end
if clientIP == nil then
    clientIP = ngx.var.remote_addr
end
local memcached = require "resty.memcached"
local memc, err = memcached:new()
if not memc then
    ngx.say("failed to instantiate memc: ", err)
    return
end
local ok, err = memc:connect("127.0.0.1", 11211)
if not ok then
    ngx.say("failed to connect: ", err)
    return
end
local res, flags, err = memc:get(clientIP)
if err then
    ngx.say("failed to get clientIP ", err)
    return
end
if  res == "1" then
    ngx.exec("@server_test")
    return
end
ngx.exec("@server")

  6. 添加lua调用memcached的模块

    # 下载lua中memcached的模块
$ wget https://github.com/openresty/lua-resty-memcached/archive/refs/tags/v0.15.tar.gz
# 解压
$ tar -zxvf v0.15.tar.gz
# 移动
$ cp -r lua-resty-memcached-0.15/lib/resty /usr/lib64/lua/5.1
# 重新加载环境变量
$ ldconfig

Nginx常见问题

  • 相同server_name多个虚拟主机优先级访问

    server{
	listen 80;
	server_name testserver1 aaa.aaa.com;
	location / {
		...
	}
}
server{
	listen 80;
	server_name testserver2 aaa.aaa.com;
	location / {
		...
	}
}

    优先级根据配置加载顺序

  • location匹配优先级

    匹配方式 含义
    = 全等匹配
    普通匹配
    ^~ 普通匹配,使用前缀匹配
    ~ 正则匹配,区分大小写
    ~* 正则匹配,不区分大小写
  1. 匹配到全等匹配时,终止后续所有匹配,直接返回
  2. 步骤一未匹配上时,遍历所有的普通匹配,按照最长匹配原则找到最满足的匹配项,如果匹配项前面有^~符号,则终止后续正则匹配,采用该匹配项;反之则继续后续的正则匹配
  3. 步骤一二都未匹配上时,此时进行正则匹配,找到第一个满足的正则匹配项,直接返回,若都不满足,则返回步骤二中的最长匹配项(正则匹配和loaction的顺序有关系

  • try_files使用

    按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示为文件夹),如果所有的文件或文件夹都找不到,会进行一个内部重定向到最后一个参数。

    location / {
	try_files $uri $uri/ /index.php;
}

  • Nginx的alias和root区别

    • root

      location /test/img/ {
	root /home/anglesang/img/;
}

      请求 http://www.test.com/test/img/cat.png

      实际访问资源 /home/anglesang/img/test/img/cat.png

      root地址+uri

    • alias

      location /test/img/ {
  	alias /home/anglesang/img/;
}

      请求 http://www.test.com/test/img/cat.png

      实际访问资源 /home/anglesang/img/cat.png

  • 用什么方法传递用户的真实IP

    set x_real_ip = $remote_addr

  • nginx中常见错误码

    • 413 Request Entity Too Large

      用户上传文件限制 client_max_body_size

    • 503 bad gateway

      后端服务无响应

    • 504 Gateway Time-out

      后端服务执行超时

Nginx性能优化

ab压测工具

  • 几个关于压力测试的概念

    1. 吞吐率(Requests per second)
      概念:服务器并发处理能力的量化描述,单位是reqs/s,指的是某个并发用户数下单位时间内处理的请求数。某个并发用户数下单位时间内能处理的最大请求数,称之为最大吞吐率。
      计算公式:总请求数 / 处理完成这些请求数所花费的时间,即
      Request per second = Complete requests / Time taken for tests

    2. 并发连接数(The number of concurrent connections)
      概念:某个时刻服务器所接受的请求数目,简单的讲,就是一个会话。

    3. 并发用户数(The number of concurrent users,Concurrency Level)
      概念:要注意区分这个概念和并发连接数之间的区别,一个用户可能同时会产生多个会话,也即连接数。

    4. 用户平均请求等待时间(Time per request)
      计算公式:处理完成所有请求数所花费的时间/ (总请求数 / 并发用户数),即
      Time per request = Time taken for tests /( Complete requests / Concurrency Level)

    5. 服务器平均请求等待时间(Time per request: across all concurrent requests)
      计算公式:处理完成所有请求数所花费的时间 / 总请求数,即
      Time taken for / testsComplete requests
      可以看到,它是吞吐率的倒数。
      同时,它也=用户平均请求等待时间/并发用户数,即
      Time per request / Concurrency Level

  1. 安装

    yum install -y httpd-tools

  2. ab -n 2000 -c 2 http://127.0.0.1/

    -n 总的请求数

    -c 并发数

    -k 是否开启长连接

系统与Nginx性能优化

  • 文件句柄设置

    linux\Unix 一切皆文件,文件句柄就是一个索引

    • 设置方式

      1. 系统全局性修改

      2. 用户局部性修改

      3. 进程局部性修改

  • CPU亲和配置

    # 物理CPU个数
$ cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l 
# 每个物理CPU中core的个数
$ cat /proc/cpuinfo | grep "cpu cores" | uniq
# 逻辑CPU的个数
$ cat /proc/cpuinfo | grep "processor" | wc -l

  • nginx通用配置优化

    # 每个work连接数
work_connections 1024;
# 字符集统一
charset utf-8;
# 日志格式
log_format ....
# 日志情况设置
access_log off;
# sendfile设置
sendfile on;
# 静态资源推荐
tcp_nopush on;
# 动态资源推荐
tcp_nodeny on;
keepalive_timeout 65;
# gzip压缩可配置

Nginx安全

  1. 常见恶意行为

    爬虫行为和恶意抓取、资源盗用
    基础防盗链功能 - 目的不让恶意用户能轻易的爬取网站对外数据
    secure_link_module - 对数据安全性提高加密验证和失效性,适合如核心重要重要数据
    access_module - 对后台、部分用户服务的数据提供IP防控

  2. 常见的攻击手段

    • 后台密码撞库 - 通过猜测密码字典不断对后台系统登录性尝试,获取后台登录密码
      方法一、后台登录密码复杂度
      方法二、access_module - 对后台提供IP防控
      方法三、预警机制

    • 文件上传漏洞 - 利用这些可以上传的接口将恶意代码植入到服务器中,再通过url去访问以执行代码

      对上传文件判断

      location ^~ /upload {
	root /opt/app/images;
	if($request_filename ~* (.*)\.php){
		return 403;
	}
}

    • SQL注入 - 利用未过滤/未审核用户输入的攻击方法,让应用运行本不应该运行的SQL代码

其他

# 检查配置文件语法
$ nginx -t -c /etc/nginx/nginx.conf 
# centos系,查看nginx文件
$ rpm -ql nginx
$ systemctl start nginx
$ systemctl restart nginx
$ systemctl stop nginx
$ systemctl reload nginx
$ systemctl status nginx

你可能感兴趣的:(nginx)

  • ubuntu安装wordpress lissettecarlr
    1安装nginx网上安装方式很多,这就就直接用apt-get了apt-getinstallnginx不用启动啥,然后直接在浏览器里面输入IP:80就能看到nginx的主页了。如果修改了一些配置可以使用下列命令重启一下systemctlrestartnginx.service2安装mysql输入安装前也可以更新一下软件源,在安装过程中将会让你输入数据库的密码。sudoapt-getinstallmy
  • 深入浅出 -- 系统架构之负载均衡Nginx的性能优化 xiaoli8748_软件开发 系统架构系统架构负载均衡nginx
    一、Nginx性能优化到这里文章的篇幅较长了,最后再来聊一下关于Nginx的性能优化,主要就简单说说收益最高的几个优化项,在这块就不再展开叙述了,毕竟影响性能都有多方面原因导致的,比如网络、服务器硬件、操作系统、后端服务、程序自身、数据库服务等,对于性能调优比较感兴趣的可以参考之前《JVM性能调优》中的调优思想。优化一:打开长连接配置通常Nginx作为代理服务,负责分发客户端的请求,那么建议开启H
  • 最简单将静态网页挂载到服务器上(不用nginx) 全能全知者 服务器nginx运维前端html笔记
    最简单将静态网页挂载到服务器上(不用nginx)如果随便弄个静态网页挂在服务器都要用nignx就太麻烦了,所以直接使用Apache来搭建一些简单前端静态网页会相对方便很多检查Web服务器服务状态:sudosystemctlstatushttpd#ApacheWeb服务器如果发现没有安装web服务器:安装Apache:sudoyuminstallhttpd启动Apache:sudosystemctl
  • 鲲鹏 ARM 架构 麒麟 Lylin v10 安装 Nginx (离线) 焚木灵 arm开发架构nginx服务器
    最近做一个银行的项目,银行的服务器是鲲鹏ARM架构的服务器,并且是麒麟v10的系统,这里记录一下在无法访问外网安装Nginx的方法。其他文章:鲲鹏ARM架构麒麟Lylinv10安装Mysql8.3(离线)-CSDN博客鲲鹏ARM架构麒麟Lylinv10安装Node和NVM(离线)-CSDN博客鲲鹏ARM架构麒麟Lylinv10安装Pm2(离线)-CSDN博客鲲鹏ARM架构麒麟Lylinv10安装P
  • shell脚本中sed命令如何使用变量 歪歪的酒壶 linux
    在shell脚本中我们常常需要使用sed命令进行配置文件的更新,但是更新的内容又往往根据环境相关。值并不是固定的。这里我们介绍一种在sed命令中使用变量的方法。比如,在nginx的配置中,我们需要根据环境来更新/etc/nginx/sites-available/default中的目录配置。通常我们采用一个变量,来记录当前环境需要配置的目录比如:dist_dir=/home/dev/code/ui
  • Nginx之代理模块 ngx_http_proxy_module 途径日暮不赏丶 nginxnginx
    正向代理正向代理是指位于客户机(A)和站点服务器(B)之间的代理服务器(C),为了从站点服务器(B)获取资源,客户机(A)向代理服务器(C)发送请求并指定站点服务器(B),然后代理服务器(C)向站点服务器(B)转交请求并将获取的资源返回给客户机(A)。上述这样的代理模式称为正向代理,正向代理最大的特点:客户端非常明确要访问的服务器地址;服务器只清楚请求来自哪个代理服务器,而不清楚来自哪个具体的客户
  • 网关gateway学习总结 猪猪365 学习总结学习总结
    一微服务概述:微服务网关就是一个系统!通过暴露该微服务的网关系统,方便我们进行相关的鉴权,安全控制,日志的统一处理,易于监控的相关功能!实现微服务网关技术都有哪些呢?1nginx:nginx是一个高性能的http和反向代理web的服务器,同事也提供了IMAP/POP3/SMTP服务.他可以支撑5万并发链接,并且cpu,内存等资源消耗非常的低,运行非常的稳定!2Zuul:Zuul是Netflix公司
  • Nginx之ngx_http_proxy_connect_module模块 小米bb Nginxnginxhttp运维
    近期由于项目需要使用到https正向代理,而nginx官方模块仅支持做http正向代理,一番百度学习后发现了该模块,故今日记录下此笔记供大家一起学习交流ngx_http_proxy_connect_module模块主要用于隧道SSL请求的代理服务器GitHub地址:http://www.github.com/chobits/ngx_http_proxy_connect_modulenginx配置:
  • Nginx:高性能的Web服务器与反向代理 张某布响丸辣 nginx前端服务器javaSpringBoot
    在当今的互联网世界中,Web服务器的选择对于网站的性能、稳定性和安全性至关重要。Nginx(发音为“engineX”)凭借其卓越的性能、丰富的功能集和灵活的配置选项,成为了众多网站和应用程序的首选Web服务器和反向代理。本文将深入探讨Nginx的特点、应用场景、基本配置以及它如何助力你的Web项目。Nginx简介Nginx是一个开源的、高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/
  • 编译Windows平台的Nginx+ngx_http_proxy_connect_module Grovvy_Deng windowsnginxhttp
    编译Windows平台的Nginx+ngx_http_proxy_connect_module背景:由于公司的正向出局代理是windows机器。机器上的Squid不稳定,打算替换成nginx+ngx_http_proxy_connect_module实现。通过几天痛苦的尝试,最后参考了github大神项目通过在线CICD工具编译window平台可用的ng。步骤:获取git可识别的patch由于CI
  • Nginx从入门到实践(三) 听你讲故事啊
    动静分离动静分离是将网站静态资源(JavaScript,CSS,img等文件)与后台应用分开部署,提高用户访问静态代码的速度,降低对后台应用访问。动静分离的一种做法是将静态资源部署在nginx上,后台项目部署到应用服务器上,根据一定规则静态资源的请求全部请求nginx服务器,达到动静分离的目标。rewrite规则Rewrite规则常见正则表达式Rewrite主要的功能就是实现URL的重写,Ngin
  • Nginx的使用场景:构建高效、可扩展的Web架构 张某布响丸辣 nginx前端架构
    Nginx,作为当今最流行的Web服务器和反向代理软件之一,凭借其高性能、稳定性和灵活性,在众多Web项目中扮演着核心角色。无论是个人博客、中小型网站,还是大型企业级应用,Nginx都能提供强大的支持。本文将探讨Nginx的几个主要使用场景,帮助读者理解如何在实际项目中充分利用Nginx的优势。1.静态文件服务对于包含大量静态文件(如HTML、CSS、JavaScript、图片等)的网站,Ngin
  • 【nginx】ngx_http_proxy_connect_module 正向代理 等风来不如迎风去 网络服务入门与实战nginxhttp运维
    50.65无法访问服务器,(403错误)50.196可以访问服务器。那么,配置65通过196访问。需要一个nginx作为代理【nginx】搭配okhttp配置反向代理发送原生的nginx是不支持okhttp的CONNECT请求的。大神竟然给出了一个java工程GINX编译ngx_http_proxy_connect_module及做正向代理是linux构建的。是windows构建的:编译Windo
  • Kubernetes Ingress 控制器(Nginx)安装与使用教程 农优影
    KubernetesIngress控制器(Nginx)安装与使用教程kubernetes-ingressNGINXandNGINXPlusIngressControllersforKubernetes项目地址:https://gitcode.com/gh_mirrors/ku/kubernetes-ingress1.项目目录结构及介绍在nginxinc/kubernetes-ingress仓库中,
  • 浅谈openresty 爱编码的钓鱼佬 nginxopenresty运维
    熟悉了nginx后再来看openresty,不得不说openresty是比较优秀的。对nginx和openresty的历史等在这此就不介绍了。首先对标nginx,自然有优劣一、开发难度nginx:毫无疑问nginx的开发难度比较高,需要扎实的c/c++基础,而且还需要对nginx源码比较熟悉,开发效率慢,比如实现一个类似echo的功能,至少要上百行代码。而openresty只需要一句ngx.say
  • 页面报错 POST 413错误 (Request Entity Too Large) 小黑屋说YYDS 踩坑nginxjavalinux服务器
    一般来说是服务器使用nginx作为反向代理出现的问题,post请求长度超过了nginx默认的缓存大小和最大客户端最大请求大小。解决方式如下,更该nginx代理配置:在nginx.conf配置文件中,找到http{}代码块,添加如下配置client_max_body_size20m;重启nginx即可。
  • docker 安装、运行nginx shell脚本 三希 dockernginx容器
    以下是一个简单的用于安装和运行DockerNginx的shell脚本:bash#!/bin/bash#安装Docker(如果还未安装)#请根据实际情况调整安装命令#拉取Nginx镜像dockerpullnginx#运行Nginx容器dockerrun-d--namemynginx-p80:80nginx
  • 老生常谈:MySQL高可用架构 我有一头小花驴 mysql架构数据库
    引言“高可用”是互联网一个永恒的话题,先避开MySQL不谈,为了保证各种服务的高可用有几种常用的解决方案。服务冗余:把服务部署多份,当某个节点不可用时,切换到其他节点。服务冗余对于无状态的服务是相对容易的。服务备份:有些服务是无法同时存在多个运行时的,比如说:Nginx的反向代理,一些集群的leader节点。这时可以存在一个备份服务,处于随时待命状态。自动切换:服务冗余之后,当某个节点不可用时,要
  • docker项目切换(nginx)、重启shell 脚本 懒惰的小蜗牛 dockerdockernginx容器
    docker项目切换、重启脚本背景具体操作nginx配置配置文件1配置文件2编写nginx替换脚本(用来执行端口替换)编写启动脚本dockerfile文件正常编写给脚本授权执行./start脚本背景项目部署docker中,更新项目时,需要将原原来的容器停止,再启动新的容器,这样会有一个空窗期,导致不可用解决方案:映射不同的端口并启动新的容器,将nginx转发到新容器,停止旧容器具体操作说明ngin
  • FastCGI结合docker下的Nginx执行shell脚本 南波波 nginxdocker
    1使用docker下载Nginx下面展示一些内联代码片。a.#dockerpullnginx#dockerrun--namerunoob-php-nginx-p8088:80-d\-v~/nginx/www:/usr/share/nginx/html:ro\-v~/nginx/conf/conf.d:/etc/nginx/conf.d:ro\nginxb.在~/nginx/conf/conf.d创
  • 主流行架构 rainbowcheng 架构架构
    nexus,gitlab,svn,jenkins,sonar,docker,apollo,catteambition,axure,蓝湖,禅道,WCP;redis,kafka,es,zookeeper,dubbo,shardingjdbc,mysql,InfluxDB,Telegraf,Grafana,Nginx,xxl-job,Neo4j,NebulaGraph是一个高性能的,NOSQL图形数据库
  • 面试题篇: 跨域问题如何处理(Java和Nginx处理方式) guicai_guojia javanginx开发语言
    1.服务器端解决方案最常见的解决方案是在服务器端配置CORS头。服务器需要在响应中添加适当的Access-Control-Allow-头来允许跨域请求。1.1NGINX配置在NGINX配置中,你可以通过add_header指令来设置CORS头。配置示例:server{  listen80;  server_nameapi.example.com;  location/{    proxy_pass
  • Nginx Hard模式 西木风落 中间组件NginxNginx配置详解Nginx配置优化Nginx面试hard
    一、Nginx简介1.Nginx概述Nginx是一个免费、开源、高性能、轻量级的HTTP和反向代理服务器,也是一个电子邮件(IMAP/POP3)代理服务器。其特点是能支持高并发请求处理,并且占用较少的内存资源,提供稳定的、丰富的模块库,有很高的配置灵活性。目前,几乎所有的web项目,都配有Nginx。Nginx由内核和一系列模块组成,内核提供Web服务的基本功能,启用网路协议、提供运行环境、创建连
  • nginx部署前端项目的一些配置【刚入门】 weixin_30847271 运维前端ViewUI
    前期准备:在linux上安装nginx,我用的是腾讯云centos7服务器,具体的安装过程可以到腾讯云的开发者实验室里体验,自己先试试水。修改nginx.conf配置文件,我用到的修改只是以下的部分。1.端口号2.项目的存放位置server{listen8088default_server;#访问的端口号。listen[::]:8088default_server;server_name_;#ro
  • 定制优化Nextcloud镜像 攻城狮_正
    Nextcloud是一款开源免费的私有云存储网盘项目,可以让你快速便捷地搭建一套属于自己或团队的云同步网盘,从而实现跨平台跨设备文件同步、共享、版本控制、团队协作等功能。它的客户端覆盖了Windows、Mac、Android、iOS、Linux等各种平台,也提供了网页端以及WebDAV接口,所以你几乎可以在各种设备上方便地访问你的云盘。Nextcloud基于PHP语言开发,可以使用Nginx+PH
  • React 前端应用结合 Nginx 部署指南及常见错误排查 蜗牛去旅行吧 前端react.jsnginx
    在现代Web开发中,React已成为构建用户界面的流行选择,而Nginx则是一个高性能的Web服务器,广泛用于静态文件的托管和负载均衡。在本篇博客中,我们将详细介绍如何将一个React应用部署到Nginx上,并探讨在部署过程中可能遇到的常见错误及其解决方案。部署步骤1.准备React应用首先,确保你已经创建了一个React应用。如果还没有,可以使用CreateReactApp快速生成一个基础项目:
  • docker-compose部署minio分布式集群 伏案惊涛 docker分布式容器
    1、节点情况建议:minio节点数最好4节点以上,nginx独立部署在其他服务器。主机IP操作系统部署情况minio1192.168.16.34centos7miniominio2192.168.16.35centos7miniominio3192.168.16.36centos7miniominio4192.168.16.40centos7minio、nginx2、安装docker、docker
  • 多级缓存架构设计 白鸽呀 架构缓存redis数据库
    缓存是提升性能最直接的方法多级缓存分为:客户端,应用层,业务层,数据层1、客户端缓存:主要对浏览器的静态资源进行缓存通过在响应头设置Expires,cache-control,将文件保存在本地,减少多次请求静态资源带来的带宽损耗(解决并发手段)2、应用层缓存:浏览器只负责读取Expires,Expires在CDN内容分发网络和Nginx进行设置CDN内容分发网络是静态资源分发的主要技术手段,有效解
  • 统计/nginx/access.log中每个ip的访问次数,按高到低排列 年薪丰厚 nginx运维
    /nginx/access.log具体内容长这样:第一个元素就是ip。awk'{print$1}'/nginx/access.log|sort|uniq-c|sort-r首先,awk'{print$1}'/nginx/access.log从/nginx/access.log文件的每行中提取出第一个字段。然后,sort对提取出的第一个字段进行排序。接着,uniq-c统计每个唯一的字段出现的次数。最后
  • Linux+Nginx+Asp.net Core及守护进程部署 念童 linuxnginxasp.net运维服务器
    上篇《Docker基础入门及示例》文章介绍了Docker部署,以及相关.netcore的打包示例。这篇文章我将以oss.offical.site站点为例,主要介绍下在linux机器下完整的部署流程,.netcore在docker容器中的运行已经介绍,这里.netcore运行环境我会介绍直接在linux运行的场景,内容主要包含以下几个部分:1.基础工具和Linux环境准备2..NetCore环境安装
  • java观察者模式 3213213333332132 java设计模式游戏观察者模式
    观察者模式——顾名思义,就是一个对象观察另一个对象,当被观察的对象发生变化时,观察者也会跟着变化。 在日常中,我们配java环境变量时,设置一个JAVAHOME变量,这就是被观察者,使用了JAVAHOME变量的对象都是观察者,一旦JAVAHOME的路径改动,其他的也会跟着改动。 这样的例子很多,我想用小时候玩的老鹰捉小鸡游戏来简单的描绘观察者模式。 老鹰会变成观察者,母鸡和小鸡是
  • TFS RESTful API 模拟上传测试 ronin47
           TFS RESTful API 模拟上传测试。    细节参看这里:https://github.com/alibaba/nginx-tfs/blob/master/TFS_RESTful_API.markdown 模拟POST上传一个图片: curl --data-binary @/opt/tfs.png http
  • PHP常用设计模式单例, 工厂, 观察者, 责任链, 装饰, 策略,适配,桥接模式 dcj3sjt126com 设计模式PHP
    // 多态, 在JAVA中是这样用的, 其实在PHP当中可以自然消除, 因为参数是动态的, 你传什么过来都可以, 不限制类型, 直接调用类的方法 abstract class Tiger { public abstract function climb(); } class XTiger extends Tiger { public function climb()
  • hibernate 171815164 Hibernate
    main,save Configuration conf =new Configuration().configure(); SessionFactory sf=conf.buildSessionFactory(); Session sess=sf.openSession(); Transaction tx=sess.beginTransaction(); News a=new
  • Ant实例分析 g21121 ant
            下面是一个Ant构建文件的实例,通过这个实例我们可以很清楚的理顺构建一个项目的顺序及依赖关系,从而编写出更加合理的构建文件。           下面是build.xml的代码: <?xml version="1
  • [简单]工作记录_接口返回405原因 53873039oycg 工作
             最近调接口时候一直报错,错误信息是:       responseCode:405 responseMsg:Method Not Allowed        接口请求方式Post.
  • 关于java.lang.ClassNotFoundException 和 java.lang.NoClassDefFoundError 的区别 程序员是怎么炼成的
       真正完成类的加载工作是通过调用 defineClass来实现的;  而启动类的加载过程是通过调用 loadClass来实现的;  就是类加载器分为加载和定义   protected Class<?> findClass(String name) throws ClassNotFoundExcept
  • JDBC学习笔记-JDBC详细的操作流程 aijuans jdbc
    所有的JDBC应用程序都具有下面的基本流程:  1、加载数据库驱动并建立到数据库的连接。  2、执行SQL语句。  3、处理结果。  4、从数据库断开连接释放资源。 下面我们就来仔细看一看每一个步骤: 其实按照上面所说每个阶段都可得单独拿出来写成一个独立的类方法文件。共别的应用来调用。 1、加载数据库驱动并建立到数据库的连接:   Html代码  St
  • rome创建rss antonyup_2006 tomcatcmsxmlstrutsOpera
    引用 1.RSS标准 RSS标准比较混乱,主要有以下3个系列 RSS 0.9x / 2.0 : RSS技术诞生于1999年的网景公司(Netscape),其发布了一个0.9版本的规范。2001年,RSS技术标准的发展工作被Userland Software公司的戴夫 温那(Dave Winer)所接手。陆续发布了0.9x的系列版本。当W3C小组发布RSS 1.0后,Dave W
  • html表格和表单基础 百合不是茶 html表格表单meta锚点
    第一次用html来写东西,感觉压力山大,每次看见别人发的都是比较牛逼的 再看看自己什么都还不会,   html是一种标记语言,其实很简单都是固定的格式   _----------------------------------------表格和表单 表格是html的重要组成部分,表格用在body里面的 主要用法如下; <table> &
  • ibatis如何传入完整的sql语句 bijian1013 javasqlibatis
            ibatis如何传入完整的sql语句?进一步说,String str ="select * from test_table",我想把str传入ibatis中执行,是传递整条sql语句。         解决办法: <
  • 精通Oracle10编程SQL(14)开发动态SQL bijian1013 oracle数据库plsql
    /* *开发动态SQL */ --使用EXECUTE IMMEDIATE处理DDL操作 CREATE OR REPLACE PROCEDURE drop_table(table_name varchar2) is sql_statement varchar2(100); begin sql_statement:='DROP TABLE '||table_name;
  • 【Linux命令】Linux工作中常用命令 bit1129 linux命令
    不断的总结工作中常用的Linux命令   1.查看端口被哪个进程占用   通过这个命令可以得到占用8085端口的进程号,然后通过ps -ef|grep 进程号得到进程的详细信息   netstat -anp | grep 8085   察看进程ID对应的进程占用的端口号   netstat -anp | grep 进程ID &
  • 优秀网站和文档收集 白糖_ 网站
    集成 Flex, Spring, Hibernate 构建应用程序   性能测试工具-JMeter   Hmtl5-IOCN网站   Oracle精简版教程网站   鸟哥的linux私房菜   Jetty中文文档   50个jquery必备代码片段   swfobject.js检测flash版本号工具
  • angular.extend boyitech AngularJSangular.extendAngularJS API
    angular.extend 复制src对象中的属性去dst对象中. 支持多个src对象. 如果你不想改变一个对象,你可以把dst设为空对象{}: var object = angular.extend({}, object1, object2). 注意: angular.extend不支持递归复制. 使用方法: angular.extend(dst, src); 参数:
  • java-谷歌面试题-设计方便提取中数的数据结构 bylijinnan java
    网上找了一下这道题的解答,但都是提供思路,没有提供具体实现。其中使用大小堆这个思路看似简单,但实现起来要考虑很多。 以下分别用排序数组和大小堆来实现。 使用大小堆: import java.util.Arrays; public class MedianInHeap { /** * 题目:设计方便提取中数的数据结构 * 设计一个数据结构,其中包含两个函数,1.插
  • ajaxFileUpload 针对 ie jquery 1.7+不能使用问题修复版本 Chen.H ajaxFileUploadie6ie7ie8ie9
    jQuery.extend({ handleError: function( s, xhr, status, e ) { // If a local callback was specified, fire it if ( s.error ) { s.error.call( s.context || s, xhr, status, e ); }
  • [机器人制造原则]机器人的电池和存储器必须可以替换 comsci 制造
           机器人的身体随时随地可能被外来力量所破坏,但是如果机器人的存储器和电池可以更换,那么这个机器人的思维和记忆力就可以保存下来,即使身体受到伤害,在把存储器取下来安装到一个新的身体上之后,原有的性格和能力都可以继续维持.....        另外,如果一
  • Oracle Multitable INSERT 的用法 daizj oracle
    转载Oracle笔记-Multitable INSERT 的用法 http://blog.chinaunix.net/uid-8504518-id-3310531.html 一、Insert基础用法 语法:     Insert Into 表名 (字段1,字段2,字段3...)     Values (值1,
  • 专访黑客历史学家George Dyson datamachine on
    20世纪最具威力的两项发明——核弹和计算机出自同一时代、同一群年青人。可是,与大名鼎鼎的曼哈顿计划(第二次世界大战中美国原子弹研究计划)相 比,计算机的起源显得默默无闻。出身计算机世家的历史学家George Dyson在其新书《图灵大教堂》(Turing’s Cathedral)中讲述了阿兰·图灵、约翰·冯·诺依曼等一帮子天才小子创造计算机及预见计算机未来
  • 小学6年级英语单词背诵第一课 dcj3sjt126com englishword
    always 总是 rice 水稻,米饭 before 在...之前 live 生活,居住   usual 通常的 early 早的 begin 开始 month 月份   year 年 last 最后的 east 东方的 high 高的   far 远的 window 窗户 world 世界 than 比...更  
  • 在线IT教育和在线IT高端教育 dcj3sjt126com 教育
    codecademy  http://www.codecademy.com codeschool  https://www.codeschool.com teamtreehouse  http://teamtreehouse.com lynda http://www.lynda.com/ Coursera https://www.coursera.
  • Struts2 xml校验框架所定义的校验文件 蕃薯耀 Struts2 xml校验Struts2 xml校验框架Struts2校验
      >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年7月11日 15:54:59 星期六 http://fa
  • mac下安装rar和unrar命令 hanqunfeng mac
    1.下载:http://www.rarlab.com/download.htm 选择 RAR 5.21 for Mac OS X 2.解压下载后的文件 tar -zxvf rarosx-5.2.1.tar 3.cd rar sudo install -c -o $USER unrar /bin #输入当前用户登录密码 sudo install -c -o $USER rar
  • 三种将list转换为map的方法 jackyrong list
      在本文中,介绍三种将list转换为map的方法: 1) 传统方法 假设有某个类如下    class Movie { private Integer rank; private String description; public Movie(Integer rank, String des
  • 年轻程序员需要学习的5大经验 lampcy 工作PHP程序员
    在过去的7年半时间里,我带过的软件实习生超过一打,也看到过数以百计的学生和毕业生的档案。我发现很多事情他们都需要学习。或许你会说,我说的不就是某种特定的技术、算法、数学,或者其他特定形式的知识吗?没错,这的确是需要学习的,但却并不是最重要的事情。他们需要学习的最重要的东西是“自我规范”。这些规范就是:尽可能地写出最简洁的代码;如果代码后期会因为改动而变得凌乱不堪就得重构;尽量删除没用的代码,并添加
  • 评“女孩遭野蛮引产致终身不育 60万赔偿款1分未得”医腐深入骨髓 nannan408
    先来看南方网的一则报道: 再正常不过的结婚、生子,对于29岁的郑畅来说,却是一个永远也无法实现的梦想。从2010年到2015年,从24岁到29岁,一张张新旧不一的诊断书记录了她病情的同时,也清晰地记下了她人生的悲哀。   粗暴手术让人发寒   2010年7月,在酒店做服务员的郑畅发现自己怀孕了,可男朋友却联系不上。在没有和家人商量的情况下,她决定堕胎。   12月5日,
  • 使用jQuery为input输入框绑定回车键事件 VS 为a标签绑定click事件 Everyday都不同 jspinput回车键绑定clickenter
    假设如题所示的事件为同一个,必须先把该js函数抽离出来,该函数定义了监听的处理:   function search() { //监听函数略...... }   为input框绑定回车事件,当用户在文本框中输入搜索关键字时,按回车键,即可触发search():   //回车绑定 $(".search").keydown(fun
  • EXT学习记录 tntxia ext
      1. 准备   (1) 官网:http://www.sencha.com/   里面有源代码和API文档下载。   EXT的域名已经从www.extjs.com改成了www.sencha.com ,但extjs这个域名会自动转到sencha上。   (2)帮助文档:   想要查看EXT的官方文档的话,可以去这里h
  • mybatis3的mapper文件报Referenced file contains errors xingguangsixian mybatis
    最近使用mybatis.3.1.0时无意中碰到一个问题: The errors below were detected when validating the file "mybatis-3-mapper.dtd" via the file "account-mapper.xml". In most cases these errors can be d
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他