Nginx
httpd MPM:多路處理模塊
prefork:進程模型,兩級結構,主進程master負責生成子進程,每個子進程負責響應一個請求
worker:線程模型,三級結構,主進程master負責生成子進程,每個子進程負責生成多個線程,每個線程響應一個請求
event:線程模型,三級結構,主進程master負責生成子進程,每個子進程響應多個請求?(?)
I/O介紹
v I/O:
網絡IO:本質是socket讀取
磁盤IO:
v 每次IO,都要經由兩個階段:
ü 第一步:將數據從磁盤文件先加載至內核內存空間(緩沖區),等待數據準備完成,時間較長
ü 第二步:將數據從內核緩沖區復制到用戶空間的進程的內存中,時間較短
先到達網卡,網卡解封裝,看mac地址,是我的,往上傳,網絡層,ip地址是我的,往上傳,傳輸層,看端口80,到達應用層,
這個請求就是輸入,
Linux進行網絡通訊都是基于socket的,
表現為socket文件,()利用網絡進行通訊,文件都是為socket文件中寫的,(傳數據和接收數據都是通過socket)
I/O 表現為對socket文件的讀和寫,
用戶是沒有權限訪問磁盤的,
PIO ?cpu 參與io
DMA 直接內存訪問 cpu只需要發送指令,dma負責讀取
用戶和內核之間的交互
內核和磁盤之間的交互 ?從磁盤上讀取數據到內核空間,比較費時間
同步/異步:關注的是消息通信機制
同步:synchronous,調用者自已主動等待被調用者返回消息,才能繼續執行
異步:asynchronous,被調用者通過狀態、通知或回調機制主動通知調用者被調用者的運行狀態
阻塞/非阻塞:關注調用者在等待結果返回之前所處的狀態
阻塞:blocking,指IO操作需要徹底完成后才返回到用戶空間,調用結果返回之前,調用者被掛起
非阻塞:nonblocking,指IO操作被調用后立即返回給用戶一個狀態值,無需等到IO操作徹底完成,最終的調用結果返回之前,調用者不會被掛起
例子
阻塞,燒開水,水什么時候開,我才能干其他的事?沒開之前我一直在等著
非阻塞,同時可以干其他的事
同步阻塞:?自己去看那個壺,同時不干其他的事
同步非阻塞:來回看看壺,也干其他的事如看電視
異步阻塞:守著能叫的壺跟前, ?自己也守在壺跟前,同時啥也不干
異步非阻塞:能響的水壺,水燒開了可以通知我,我在專心的看電視
五種I/O模型
五種IO模型,分別是:阻塞IO、非阻塞IO、多路復用IO、信號驅動IO以及異步IO
同步阻塞
同步非阻塞
IO多路復用模塊
信號驅動IO 模型
異步IO 模型
v 主要實現方式有以下幾種:
Select:Linux實現對應,I/O復用模型,BSD4.2最早實現
Poll:Linux實現,對應I/O復用模型,System V unix最早實現
Epoll:Linux實現,對應I/O復用模型,具有信號驅動I/O模型的某些特性
Kqueue:FreeBSD實現,對應I/O復用模型,具有信號驅動I/O模型的某些特性
/dev/poll:SUN的Solaris實現,對應I/O復用模型,具有信號驅動I/O模型的某些特性
Iocp Windows實現,對應第5種(異步I/O)模
直接內存映射,swap
正向代理和反向代理
正向代理服務器是服務于客戶端的,利用自己的緩存為用戶提供服務的,和客戶端在一個網絡
反向代理服務器是服務于服務器的, ??????和服務器在一個網絡中,
反向代理:目標服務器,后端看到的是,反向代理服務器的ip地址,不僅代替客戶端訪問服務器,也具有調度功能,具有http服務器的功能,也可以反向代理,
調度器LVS:目標服務器,后端看到的是,客戶端的ip地址
Nginx 健康性檢查
Nginx介紹
特性:
ü 模塊化設計,較好的擴展性
ü 高可靠性
ü 支持熱部署:不停機更新配置文件,升級版本,更換日志文件
ü 低內存消耗:10000個keep-alive連接模式下的非活動連接,僅需要2.5M內存
ü event-driven,aio,mmap,sendfile
基本功能:
ü 靜態資源的web服務器
ü http協議反向代理服務器
ü pop3/imap4協議反向代理服務器
ü FastCGI(lnmp),uWSGI(python)等協議
ü 模塊化(非DSO),如zip,SSL模塊
Nginx的程序架構
?web服務相關的功能:
虛擬主機(server)
支持 keep-alive 和管道連接
訪問日志(支持基于日志緩沖提高其性能)
url rewirte
路徑別名
基于IP及用戶的訪問控制
支持速率限制及并發數限制
重新配置和在線升級而無須中斷客戶的工作進程
Memcached 的 GET 接口
nginx的程序架構:
master/worker結構
ü 一個master進程:
負載加載和分析配置文件、管理worker進程、平滑升級
ü 一個或多個worker進程
處理并響應用戶請求
ü 緩存相關的進程:
cache loader:載入緩存對象
cache manager:管理緩存對象
Nginx模塊
nginx高度模塊化,但其模塊早期不支持DSO機制;1.9.11版
本支持動態裝載和卸載
v 模塊分類:
ü 核心模塊:core module
ü 標準模塊:
HTTP 模塊: ngx_http_*
HTTP Core modules 默認功能???HTTP Optional modules 需編譯時指定
Mail 模塊 ngx_mail_*
Stream 模塊 ngx_stream_*
ü 第三方模塊
Nginx的功能
靜態的web資源服務器
Html ?圖片 ?js ??css ?txt等靜態資源
結合fastCGI/uWSGI/SCGI等協議反向代理動態資源請求
http https協議的反向代理
Imap4 pop3協議的反向代理
Tcp udp 協議的請求轉發(反向代理)
默認頁面存放位置
/usr/share/nginx/html/index.html
授權nginx可以訪問m.html文件
setfacl -m u:nginx:r /usr/share/nginx/html/m.html
Nginx
配置文件的組成部分:
ü?主配置文件:nginx.conf
???子配置文件 include conf.d/*.conf
ü fastcgi, uwsgi,scgi等協議相關的配置文件
ü mime.types:支持的mime類型
v 主配置文件的配置指令:
ü directive value [value2 …];
v 注意:
(1) 指令必須以分號結尾
(2) 支持使用配置變量
內建變量:由Nginx模塊引入,可直接引用
自定義變量:由用戶使用set命令定義
set variable_name value;
引用變量:$variable_name
v
主配置文件結構:四部
main block:主配置段,即全局配置段,對http,mail都有效
event {
…
} ???????????????事件驅動相關的配置
ü?http?{
…
} ??????????????http/https 協議相關配置段
Mail{
…
} ??????????????mail協議相關配置段
ü?stream {
…
}????????????????stream服務器相關配置段
http協議相關的配置結構
http {
…
… 各server的公共配置
server { 每個server用于定義一個虛擬主機
…
}
server {
…
server_name 虛擬主機名
root 主目錄
alias 路徑別名
location [OPERATOR] URL { 指定URL的特性
…
if CONDITION {
…
}
}
}
}
配置
?
Main全局配置段常見的配置指令分類
正常運行必備的配置
優化性能相關的配置
用于調試及定位問題相關的配置
事件驅動相關的配置
正常運行必備的配置:
v 幫助文檔:http://nginx.org/en/docs/ngx_core_module.html
ü 1、 user
Syntax: user user [group];
Default: user nobody nobody;
Context: main
指定worker進程的運行身份,如組不指定,默認和用戶名同名
ü 2、 pid /PATH/TO/PID_FILE
指定存儲nginx主進程PID的文件路徑
ü 3、 include file | mask
指明包含進來的其它配置文件片斷
ü 4、 load_module file
模塊加載配置文件:/usr/share/nginx/modules/*.conf
指明要裝載的動態模塊路徑: /usr/lib64/nginx/modules
性能優化相關的配置:
1、 worker_processes number | auto
worker進程的數量;通常應該為當前主機的cpu的物理核心數
2、 worker_cpu_affinity cpumask …
worker_cpu_affinity auto [cpumask] 提高緩存命中率
CPU MASK: 00000001:0號CPU
00000010:1號CPU
10000000:8號CPU
worker_cpu_affinity 0001 0010 0100 1000;
worker_cpu_affinity 0101 1010;
3、 worker_priority number
指定worker進程的nice值,設定worker進程優先級:[-20,20]
4、 worker_rlimit_nofile number
worker進程所能夠打開的文件數量上限,如65535
事件驅動相關的配置:
ü events {
…
}
1、 worker_connections number
每個worker進程所能夠打開的最大并發連接數數量,如10240
總最大并發數:worker_processes * worker_connections
2、 use method
指明并發連接請求的處理方法 ,默認自動選擇最優方法
use epoll;
3、 accept_mutex on | off 互斥
處理新的連接請求的方法;on指由各個worker輪流處理新請求,Off指每個新請求的到達都會通知(喚醒)所有的worker進程,但只有一個進程可獲得連接,造成“驚群”,影響性能,默認on
調試和定位問題:
1、 daemon on|off
是否以守護進程方式運行nignx,默認是守護進程方式
2、 master_process on|off
是否以master/worker模型運行nginx;默認為on???off 將不啟動worker
3、 error_log file [level]
錯誤日志文件及其級別;出于調試需要,可設定為debug;但debug僅在編譯時使用了 “–with-debug”選項時才有效
方式:file /path/logfile;
stderr:發送到標準錯誤
syslog:server-address[,parameter=values]:發送到syslog
memory:size 內存
level:debug|info|notice|warn|error|crit|alter|emerg
Ngx_http_core_module ?http主配置文件
?
ngx_http_core_module
v 與套接字相關的配置:
ü 1、 server { … }
配置一個虛擬主機
server {
listen address[:PORT]|PORT;
server_name SERVER_NAME;
root /PATH/TO/DOCUMENT_ROOT;
}
2、
listen PORT|address[:port]|unix:/PATH/TO/SOCKET_FILE
listen address[:port] [default_server] [ssl] [http2 | spdy]
[backlog=number] [rcvbuf=size] [sndbuf=size]
default_server?設定為默認虛擬主機
ssl?限制僅能夠通過ssl連接提供服務
backlog=number?超過并發連接數后,新請求進入后援隊列的長度
rcvbuf=size?接收緩沖區大小
sndbuf=size?發送緩沖區大小
ü?注意:
(1) 基于port;
listen PORT; 指令監聽在不同的端口
(2) 基于ip的虛擬主機
listen IP:PORT; IP 地址不同
(3) 基于hostname
server_name fqdn; 指令指向不同的主機名
- server_name name …;
ü 虛擬主機的主機名稱后可跟多個由空白字符分隔的字符串
ü 支持*通配任意長度的任意字符server_name *.magedu.com www.magedu.*
ü 支持~起始的字符做正則表達式模式匹配,性能原因慎用server_name ~^www\d+\.magedu\.com$
\d 表示 [0-9]
ü
匹配優先級機制從高到低:
(1) 首先是字符串精確匹配 如:www.magedu.com
(2) 左側*通配符 如:*.magedu.com
(3) 右側*通配符 如:www.magedu.*
(4) 正則表達式 如: ~^.*\.magedu\.com$
(5) default_server
v 4、 tcp_nodelay on | off;在keepalived模式下的連接是否啟用TCP_NODELAY選項
當為off時,延遲發送,合并多個請求后再發送默認On時,不延遲發送
可用于:http, server, location
v 5、 sendfile on | off;是否啟用sendfile功能,在內核中封裝報文直接發送默認Off
v 6、 server_tokens on | off | build | string是否在響應報文的Server首部顯示nginx版本
定義路徑相關的配置
- Root
設置web資源的路徑映射;用于指明請求的URL所對應的文檔的目錄路徑,可用于http,server,location,if location
Server{
…
root ?data/www/vhost;
}
示例
http://www.magedu.com/images/logo.jpg
–> /data/www/vhosts/images/logo.jpg
- location [ = | ~ | ~* | ^~ ] uri { … }
location @name { … }
在一個server中location配置段可存在多個,用于實現從uri到文件系統的路徑映射;ngnix會根據用戶請求的URI來檢查定義的所有location,并找出一個最佳匹配,而后應用其配置
v 示例:
server {…
server_name www.magedu.com;
location /images/ {
root /data/imgs/;
}
}
http://www.magedu.com/images/logo.jpg
–> /data/imgs/images/logo.jpg
v =:對URI做精確匹配;
location = / {
…
}
http://www.magedu.com/ 匹配
http://www.magedu.com/index.html 不匹配
v ^~:對URI的最左邊部分做匹配檢查,不區分字符大小寫
v ~:對URI做正則表達式模式匹配,區分字符大小寫
v ~*:對URI做正則表達式模式匹配,不區分字符大小寫
v不帶符號:匹配起始于此uri的所有的uri
v 匹配優先級從高到低:
=, ^~, ~/~*, 不帶符號
v示例:
ü root /vhosts/www/htdocs/
http://www.magedu.com/index.html
–> /vhosts/www/htdocs/index.html
ü server {
root /vhosts/www/htdocs/
location /admin/ {
root?/webapps/app1/data/
}
}
http://www.magedu.com/admin/index.html
–>?/webapps/app1/data/admin/index.html
v 9、 alias path;
路徑別名,文檔映射的另一種機制;僅能用于location上下文
v 示例:
http://www.magedu.com/bbs/index.php
location /bbs/ {
alias /web/forum/;
} –> /web/forum/index.html
location /bbs/ {
root?/web/forum/;
} –> /web/forum/bbs/index.html
ü?注意:location中使用root指令和alias指令的意義不同
(a) root,給定的路徑對應于location中的/uri/左側的/
(b) alias,給定的路徑對應于location中的/uri/右側的/
10、 index file …;
指定默認網頁資源,注意:ngx_http_index_module模塊
可以寫在http ?server ???location
11、 error_page code … [=[response]] uri;
模塊:ngx_http_core_module
定義錯誤頁,以指定的響應狀態碼進行響應
可用位置:http, server, location, if in location
error_page 404 /404.html
error_page 404 =200 /404.html
Error_page 404 ??=302 /302.html;
Location ??/302.html{
Root ?/data/error/_html/;
}
http://www.b.com/noexit.html
?12、 try_files file … uri;
try_files file … =code;
按順序檢查文件是否存在,返回第一個找到的文件或文件夾(結尾加斜線
表示為文件夾),如果所有的文件或文件夾都找不到,會進行一個內部重
定向到最后一個參數。只有最后一個參數可以引起一個內部重定向,之前
的參數只設置內部URI的指向。最后一個參數是回退URI且必須存在,否
則會出現內部500錯誤
location /images/ {
try_files $uri /images/default.gif;
}
location / {
try_files $uri $uri/index.html $uri.html =404;
}
定義客戶端請求的相關配置
v 13、 keepalive_timeout timeout [header_timeout];設定保持連接超時時長,
0表示禁止長連接,默?認為75s
v 14、 keepalive_requests number;
在一次長連接上所允許請求的資源的最大數量默認為100
v 15、 keepalive_disable none | browser …對哪種瀏覽器禁用長連接
v 16、 send_timeout time;
向客戶端發送響應報文的超時時長,此處是指兩次寫操作之間的間隔時長,
而非整個響應過程的傳輸時長
- client_body_buffer_size size;
用于接收每個客戶端請求報文的body部分的緩沖區大??;默認為16k;超出此大小時,其將被暫存到磁盤上的由下面client_body_temp_path指令所定義的位置
18、 client_body_temp_path path [level1 [level2[level3]]];
設定用于存儲客戶端請求報文的body部分的臨時存儲路徑及子目錄結構和數量
目錄名為16進制的數字;
client_body_temp_path /var/tmp/client_body 1 2 2
1 1級目錄占1位16進制,即2^4=16個目錄 0-f
2 2級目錄占2位16進制,即2^8=256個目錄 00-ff
2 3級目錄占2位16進制,即2^8=256個目錄 00-ff
v 19、 limit_rate rate;
限制響應給客戶端的傳輸速率,單位是bytes/second默認值0表示無限制
v 20、 limit_except method … { … },僅用于location
限制客戶端使用除了指定的請求方法之外的其它方法
method:GET, HEAD, POST, PUT, DELETE
MKCOL, COPY, MOVE, OPTIONS, PROPFIND,
PROPPATCH, LOCK, UNLOCK, PATCH
limit_except GET {
allow 192.168.1.0/24;
deny all;
}
除了GET和HEAD 之外其它方法僅允許192.168.1.0/24網段主機使用
(get 包含head)
v 文件操作優化的配置
21、 aio on | off | threads[=pool];是否啟用aio功能
異步IOv
- directio size | off;
當文件大于等于給定大小時,例如directio 4m,同步(直接)寫磁盤,而非寫緩存
同步IO
23、 open_file_cache off;
open_file_cache max=N [inactive=time];
nginx可以緩存以下三種信息:
(1) 文件元數據:文件的描述符、文件大小和最近一次的修改時間
(2) 打開的目錄結構
(3) 沒有找到的或者沒有權限訪問的文件的相關信息
max=N:可緩存的緩存項上限;達到上限后會使用LRU算法實現管理
inactive=time:緩存項的非活動時長,在此處指定的時長內未被命中的或命中的次數少于open_file_cache_min_uses指令所指定的次數的緩存項即為非活動項,將被刪除
緩存源數據,不緩存數據,提高訪問速度
LRU:Least recently used,最近最少使用??緩存淘汰算法
- open_file_cache_errors on | off;
是否緩存查找時發生錯誤的文件一類的信息默認值為off
25、 open_file_cache_min_uses number;
open_file_cache指令的inactive
參數指定的時長內,至少被命中此處指定的次數方可被歸類為活動項默認值為1
26、 open_file_cache_valid time;
緩存項有效性的檢查頻率默認值為60s
CIDR(Classless Inter-Domain Routing,??無類別?域間?路由選擇
?
ngx_http_access_module模塊
實現基于ip的訪問控制功能
v 1、 allow address | CIDR | unix: | all;
v 2、 deny address | CIDR | unix: | all;
http, server, location, limit_except
自上而下檢查,一旦匹配,將生效,條件嚴格的置前
示例:
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}
ngx_http_auth_basic_module模塊
實現基于用戶的訪問控制,使用basic機制進行用戶認證
v 1、 auth_basic string | off;
v 2、 auth_basic_user_file file;
location /admin/ {
auth_basic “Admin Area”;
auth_basic_user_file /etc/nginx/.ngxpasswd;
}
用戶口令文件:
1、明文文本:格式name:password:comment
2、加密文本:由htpasswd命令實現
httpd-tools所提供
創建文件/etc/nginx/.ngxpasswd;??并且加密
htpasswd -cm /etc/nginx/.ngxpasswd??ngx1 ??-c創建 ?-m 加密
New password: ?centos
?
htpasswd -m /etc/nginx/.ngxpasswd??ngx2 創建第二份賬號 不能加c,加c會覆蓋你高興 ?-m 加密
New password: ?centos
?
ngx_http_stub_status_module模塊
用于輸出nginx的基本狀態信息
輸出信息示例:
Active connections: 291
server accepts handled requests
16630948 16630948 31070465
上面三個數字分別對應accepts,handled,requests三個值
Reading: 6 Writing: 179 Waiting: 106
67
ngx_http_stub_status_module
Active connections:當前狀態,活動狀態的連接數
accepts:統計總值,已經接受的客戶端請求的總數
handled:統計總值,已經處理完成的客戶端請求的總數
requests:統計總值,客戶端發來的總的請求數
Reading:當前狀態,正在讀取客戶端請求報文首部的連接的連接數
Writing:當前狀態,正在向客戶端發送響應報文過程中的連接數
Waiting:當前狀態,正在等待客戶端發出請求的空閑連接數
v 1、 stub_status;
示例:
location /status {
stub_status;
allow 172.16.0.0/16;
deny all;
}
v
?ngx_http_log_module模塊
指定日志格式記錄請求
1、 log_format name string …;
string可以使用nginx核心模塊及其它模塊內嵌的變量
2、 access_log path [format [buffer=size] [gzip[=level]]
[flush=time] [if=condition]];
access_log off;
訪問日志文件路徑,格式及相關的緩沖的配置
buffer=size
flush=time
69
ngx_http_log_module
v 示例
log_format compression ‘$remote_addr-$remote_user [$time_local] ‘
‘”$request” $status $bytes_sent ‘
‘”$http_referer” “$http_user_agent” “$gzip_ratio”‘;
access_log /spool/logs/nginx-access.log compression buffer=32k;
open_log_file_cache max=N [inactive=time]?緩存
[min_uses=N] [valid=time];
open_log_file_cache off;
緩存各日志文件相關的元數據信息
max:緩存的最大文件描述符數量
min_uses:在inactive指定的時長內訪問大于等于此值方
可被當作活動項
inactive:非活動時長
valid:驗證緩存中各緩存項是否為活動項的時間間隔
ngx_http_gzip_module
用gzip方法壓縮響應數據,節約帶寬
v 1、 gzip on | off;
啟用或禁用gzip壓縮
v 2、 gzip_comp_level level;
壓縮比由低到高:1 到 9
默認:1
v 3、 gzip_disable regex …;
匹配到客戶端瀏覽器不執行壓縮
v 4、 gzip_min_length length;
啟用壓縮功能的響應報文大小閾值
72
ngx_http_gzip_module
v 5、 gzip_http_version 1.0 | 1.1;
設定啟用壓縮功能時,協議的最小版本
默認:1.1
v 6、 gzip_buffers number size;
支持實現壓縮功能時緩沖區數量及每個緩存區的大小
默認:32 4k 或 16 8k
v 7、 gzip_types mime-type …;
指明僅對哪些類型的資源執行壓縮操作;即壓縮過濾器
默認包含有text/html,不用顯示指定,否則出錯
v 8、 gzip_vary on | off;
如果啟用壓縮,是否在響應報文首部插入“Vary: AcceptEncoding”
v 9、 gzip_proxied off | expired | no-cache | no-store |
private | no_last_modified | no_etag | auth | any …;
nginx對于代理服務器請求的響應報文,在何種條件下啟用
壓縮功能
off:對被代理的請求不啟用壓縮
expired,no-cache, no-store,private:對代理服務器
請求的響應報文首部Cache-Control值任何一個,啟用壓縮功能
v 示例:
gzip on;
gzip_comp_level 6;
gzip_min_length 64;
gzip_proxied any;
gzip_types text/xml text/css application/javascript;
?
ngx_http_ssl_module模塊:
v 1、 ssl on | off;為指定虛擬機啟用HTTPS protocol, 建議用listen指令代替
v 2、 ssl_certificate file;當前虛擬主機使用PEM格式的證書文件
v 3、 ssl_certificate_key file;當前虛擬主機上與其證書匹配的私鑰文件
v 4、 ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1][TLSv1.2];支持ssl協議版本,默認為后三個
v 5、 ssl_session_cache off | none | [builtin[:size]][shared:name:size];
builtin[:size]:使用OpenSSL內建緩存,為每worker進程私有
[shared:name:size]:在各worker之間使用一個共享的緩存
v 6、 ssl_session_timeout time;客戶端連接可以復用ssl session cache中緩存的ssl參數的有效時長,默認5m
v 示例:
server {
listen 443 ssl;
server_name www.magedu.com;
root /vhosts/ssl/htdocs;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
}
生成私鑰不加密
cd /etc/pki/tls/certs/
vim Makefile
去掉-aes128
make a.crt ??生成a.crt和a.key
Mv a.crt a.key /etc/nginx/conf.d/ssl/
將模塊放入,就可以
ngx_http_rewrite_module??模塊
將用戶請求的URI基于PCRE regex所描述的模式進行檢
查,而后完成重定向替換
示例:
http://www.magedu.com/hn
–> http://www.magedu.com/henan
http://www.magedu.com
–> https://www.magedu.com/
1、 rewrite regex replacement [flag]
將用戶請求的URI基于regex所描述的模式進行檢查,匹配到時將其替換為replacement指定的新的URI
注意:如果在同一級配置塊中存在多個rewrite規則,那么會自下而下逐個檢查;被某條件規則替換完成后,會重新一輪的替換檢查,隱含有循環機制,但不超過10次;如果超過,提示500響應碼,[flag]所表示的標志位用于控制此循環機制
如果replacement是以http://或https://開頭,則替換結果會直接以重向返回給客戶端
301:永久重定向
[flag]:
last:重寫完成后停止對當前URI在當前location中后續的其它重寫操作,而后對新的URI啟動新一輪重寫檢查;提前重啟新一輪循環,不建議在lation中使用
break:重寫完成后停止對當前URI在當前location中后續的其它重寫操作,而后直接跳轉至重寫規則配置塊之后的其它配置;結束循環,建議在location中使用
redirect:臨時重定向,重寫完成后以臨時重定向方式直接返回重寫后生成的新URI給客戶端,由客戶端重新發起請求;不能以http://或https://開頭,使用相對路徑,狀態碼:302
permanent:重寫完成后以永久重定向方式直接返回重寫后生成的新URI給客戶端,由客戶端重新發起請求,狀態碼:301
2、 return
return code [text];
return code URL;
return URL;
停止處理,并返回給客戶端指定的響應碼
3、 rewrite_log on | off;
是否開啟重寫日志, 發送至error_log(notice level)
4、 set $variable value;
用戶自定義變量
注意:變量定義和調用都要以$開頭
5、 if (condition) { … }
引入新的上下文,條件滿足時,執行配置塊中的配置指令;server, location
condition:
比較操作符:
== 相同
!= 不同
~:模式匹配,區分字符大小寫
~*:模式匹配,不區分字符大小寫
!~:模式不匹配,區分字符大小寫
!~*:模式不匹配,不區分字符大小寫
文件及目錄存在性判斷:
-e, !-e 存在(包括文件,目錄,軟鏈接)
-f, !-f 文件
-d, !-d 目錄
-x, !-x 執行
ngx_http_referer_module模塊:
用來阻止Referer首部無有效值的請求訪問,可防止盜鏈
v 1、 valid_referers none|blocked|server_names|string …;
定義referer首部的合法可用值,不能匹配的將是非法值
none:請求報文首部沒有referer首部
blocked:請求報文有referer首部,但無有效值
server_names:參數,其可以有值作為主機名或主機名模式
arbitrary_string:任意字符串,但可使用*作通配符
regular expression:被指定的正則表達式模式匹配到的字符
串,要使用~開頭,例如: ~.*\.magedu\.com
示例:
valid_referers none block server_names *.magedu.com
*.mageedu.com magedu.* mageedu.* ~\.magedu\.;
if ($invalid_referer) {
return 403 http://www.magedu.com;
}
.ngx_http_proxy_module模塊:??http的代理 ?訪問到我這,你就不用管了,我去替你去后端的服務器抓數據
轉發請求至另一臺主機
1、 proxy_pass URL;
Context:location, if in location, limit_except
注意:proxy_pass后面路徑不帶uri時,會將location的uri傳遞(附加)給后端主機
server {
…
server_name HOSTNAME;
location /uri/ {
proxy_pass http://host[:port]; 最后沒有/
}
…
}
上面示例:http://HOSTNAME/uri –> http://host/uri
如果上面示例中有 /,即:http://host[:port]/
意味著:http://HOSTNAME/uri –> http://host/ 即置換
v proxy_pass后面的路徑是一個uri時,其會將location的uri替
換為proxy_pass的uri
server {
…
server_name HOSTNAME;
location /uri/ {
proxy_pass http://host/new_uri/;
}
…
}
http://HOSTNAME/uri/ –> http://host/new_uri/??(帶斜線的就是置換的)(不帶斜線就是補上)
v 如果location定義其uri時使用了正則表達式的模式,則
proxy_pass之后必須不能使用uri; 用戶請求時傳遞的uri將直
接附加至后端服務器之后
server {
…
server_name HOSTNAME;
location ~|~* /uri/ {
proxy_pass http://host; 不能加/
}
…
}
http://HOSTNAME/uri/ –> http://host/uri/
v 2、 proxy_set_header field value;
設定發往后端主機的請求報文的請求首部的值
Context: http, server, location
proxy_set_header X-Real-IP $remote_addr;???改變首部信息,“%{X-Real=IP}i”
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
請求報文的標準格式如下:
X-Forwarded-For: client1, proxy1, proxy2
v 3、 proxy_cache_path;
定義可用于proxy功能的緩存;Context:http
proxy_cache_path path [levels=levels] [use_temp_path=on|off]
keys_zone=name:size [inactive=time] [max_size=size
[manager_files=number] [manager_sleep=time]
[manager_threshold=time] [loader_files=number] [loader_sleep=time]
[loader_threshold=time] [purger=on|off] [purger_files=number]
[purger_sleep=time] [purger_threshold=time];
v 4、 proxy_cache zone | off; 默認off
指明調用的緩存,或關閉緩存機制;Context:http,
server, location
v 5、 proxy_cache_key string;
緩存中用于“鍵”的內容
默認值:proxy_cache_key $scheme$proxy_host$request_uri;
v 6、 proxy_cache_valid [code …] time;
定義對特定響應碼的響應內容的緩存時長
定義在http{…}中
示例:
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
v 示例:
在http配置定義緩存信
proxy_cache_path /var/cache/nginx/proxy_cache
levels=1:1:1 keys_zone=proxycache:20m
inactive=120s max_size=1g;
調用緩存功能,需要定義在相應的配置段,如server{…};
proxy_cache proxycache;
proxy_cache_key $request_uri;
proxy_cache_valid 200 302 301 1h;
proxy_cache_valid any 1m;
v 7、 proxy_cache_use_stale;
proxy_cache_use_stale error | timeout |
invalid_header | updating | http_500 | http_502 |
http_503 | http_504 | http_403 | http_404 | off …
在被代理的后端服務器出現哪種情況下,可以真接使用過
期的緩存響應客戶端
v 8、 proxy_cache_methods GET | HEAD | POST …;
對哪些客戶端請求方法對應的響應進行緩存,GET和
HEAD方法總是被緩存
v 9、 proxy_hide_header field;
默認nginx在響應報文不傳遞后端服務器的首部字段Date,
Server, X-Pad, X-Accel-等,用于隱藏后端服務器特定的響
應首部
v 10、 proxy_connect_timeout time;
定義與后端服務器建立連接的超時時長,如超時會出現
502錯誤,默認為60s,一般不建議超出75s,
v 11、 proxy_send_timeout time;
將請求發送給后端服務器的超時時長;默認為60s
v 12、 proxy_read_timeout time;
等待后端服務器發送響應報文的超時時長,默認為60s
php是不支持nginx,php是和Apache一起配對使用的,,nginx要支持php需要fastCGI
Php兩種工作模式,一是模塊方式,只支持Apache的模塊方式
二是獨立的進程方式,fastCGI是獨立的進程模式,監聽在9000端口
Nginx也可以以獨立的進程方式通訊,只要符合條件,按照協議通訊,相當于專門搭一個php的服務器,fastCGI可以實現,php相當于充當fastCGI的客戶端,
Nginx不能處理index.php請求,相當于代理服務器,將請求發送到后端fastcgi,fastcgi處理index.php后,返回給nginx
客戶端 ??????http協議 ?????????????nginx ??????????fastcgi協議 ??????fastcgi:9000
ngx_http_fastcgi_module模塊
轉發請求到FastCGI服務器,不支持php模塊方式
1、 fastcgi_pass address;
address為后端的fastcgi server的地址可用位置:location, if in location
2、 fastcgi_index name;fastcgi默認的主頁資源
示例:fastcgi_index index.php;
3、 fastcgi_param parameter value [if_not_empty];
設置傳遞給 FastCGI服務器的參數值,可以是文本,變量或組合
示例1:
v 1)在后端服務器先配置fpm server和mariadb-server
v 2)在前端nginx服務上做以下配置:
location ~* \.php$?{
fastcgi_pass??后端fpm服務器IP:9000;
fastcgi_index???index.php;
fastcgi_param??SCRIPT_FILENAME???/usr/share/nginx/html$fastcgi_script_name;
Include ???????fastcgi_patams;
…
}
示例2:通過/pm_status和/ping來獲取fpm server狀態信息
location ~* ^/(pm_status|ping)$ {
include fastcgi_params;
fastcgi_pass 后端fpm服務器IP:9000;
fastcgi_param SCRIPT_FILENAME $fastcgi_script_name;
}
- fastcgi_cache_path path [levels=levels] [use_temp_path=on|off]
keys_zone=name:size [inactive=time] [max_size=size]
[manager_files=number] [manager_sleep=time] [manager_threshold=time]
[loader_files=number] [loader_sleep=time] [loader_threshold=time]
[purger=on|off] [purger_files=number] [purger_sleep=time]
[purger_threshold=time];
定義fastcgi的緩存;
path 緩存位置為磁盤上的文件系統
max_size=size
磁盤path路徑中用于緩存數據的緩存空間上限
levels=levels:緩存目錄的層級數量,以及每一級的目錄數量
levels=ONE:TWO:THREE
示例:leves=1:2:2
keys_zone=name:size
k/v映射的內存空間的名稱及大小
inactive=time
非活動時長
5、 fastcgi_cache zone | off;調用指定的緩存空間來緩存數據可用位置:http, server, location
6、 fastcgi_cache_key string;定義用作緩存項的key的字符串??示例:fastcgi_cache_key $request_rui;
7、 fastcgi_cache_methods GET | HEAD | POST …;為哪些請求方法使用緩存
8、 fastcgi_cache_min_uses number;
緩存空間中的緩存項在inactive定義的非活動時間內至少要被訪問到此處所指定的次數方可被認作活動項
9、 fastcgi_keep_conn on | off;收到后端服務器響應后,fastcgi服務器是否關閉連接,建議啟用長連接
10、 fastcgi_cache_valid [code …] time;不同的響應碼各自的緩存
ngx_http_upstream_module模塊
(可以進行調度,還可以進行健康性檢查)
用于將多個服務器定義成服務器組,而由proxy_pass,
fastcgi_pass等指令進行引用
1、 upstream name { … }
定義后端服務器組,會引入一個新的上下文
默認調度算法是wrr
Context: http
upstream httpdsrvs {
server …
server…
…
}
2、 server address [parameters];
在upstream上下文中server成員,以及相關的參數;Context:upstream
address的表示格式:
unix:/PATH/TO/SOME_SOCK_FILE
IP[:PORT]
HOSTNAME[:PORT]
parameters:
weight=number 權重,默認為1
max_conns 連接后端報務器最大并發活動連接數,1.11.5后支持
max_fails=number 失敗嘗試最大次數;超出此處指定的次數時,server將被標記為不可用,默認為1
fail_timeout=time 后端服務器標記為不可用狀態的連接超時時長,默認10s
backup 將服務器標記為“備用”,即所有服務器均不可用時才啟用
down 標記為“不可用”,配合ip_hash使用,實現灰度發布
- ip_hash 源地址hash調度方法
4、 least_conn 最少連接調度算法,當server擁有不同的權重時其為wlc,當所有后端主機連接數相同時,則使用wrr,適用于長連接
5、 hash key [consistent] 基于指定的key的hash表來實現對請求的調度,此處的key可以直接文本、變量或二者組合
作用:將請求分類,同一類請求將發往同一個upstreamserver,使用consistent參數,將使用ketama一致性hash算法,適用于后端是Cache服務器(如varnish)時使用
hash $request_uri consistent;相當于目標地址hash
hash $remote_addr;?????????相當于源地址hash
Varnish服務器,URL地址固定,訪問的服務器就是固定的
Consistent 一致性hash ?解決一臺機器壞掉,全部緩存變化的問題,只是影響一小段
6、 keepalive 連接數N;
為每個worker進程保留的空閑的長連接數量,可節約nginx端口,并減少連接管理的消耗
v 7、 health_check [parameters];
健康狀態檢測機制;只能用于location上下文常用參數:
interval=time檢測的頻率,默認為5秒
fails=number:判定服務器不可用的失敗檢測次數;默認為1次
passes=number:判定服務器可用的失敗檢測次數;默認為1次
uri=uri:做健康狀態檢測測試的目標uri;默認為/
match=NAME:健康狀態檢測的結果評估調用此處指定的match配置塊
注意:僅對nginx plus有效
v nginx的其它的二次發行版:
Tengine:由淘寶網發起的Web服務器項目。它在Nginx的基礎上,針對大訪問量網站的需求,添加了很多高級功能和特性。 Tengine的性能和穩定性已經在大型的網站如淘寶網,天貓商城等得到了很好的檢驗。它的最終目標是打造一個高效、穩定、安全、易用的Web平臺。從2011年12月開始,Tengine成為一個開源項目,官網 http://tengine.taobao.org/
OpenResty:基于 Nginx 與 Lua 語言的高性能 Web平臺
ngx_stream_core_module模塊
模擬反代基于tcp或udp的服務連接,即工作于傳輸層的反代或調度器
1、 stream { … }
定義stream相關的服務;Context:main
stream {
upstream mysqlsrvs {
server 192.168.22.2:3306;
server 192.168.22.3:3306;
least_conn;
}
server {
listen 10.1.0.6:3306;
proxy_pass mysqlsrvs;
}
}
2、 listen
listen address:port [ssl] [udp] [proxy_protocol]
[backlog=number] [bind] [ipv6only=on|off] [reuseport]
[so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];
v
ngx_stream_proxy_module模塊
可實現代理基于TCP,UDP (1.9.13), UNIX-domainsockets的數據流
v 1 proxy_pass address;指定后端服務器地址
v 2 proxy_timeout timeout;無數據傳輸時,保持連接狀態的超時時長默認為10m
v 3 proxy_connect_timeout time;設置nginx與被代理的服務器嘗試建立連接的超時時長默認為60s
示例
stream {
upstream mysqlsrvs {
server 192.168.0.10:3306;
server 192.168.0.11:3306;
hash $remote_addr consistent;
}
server {
listen 172.16.100.100:3306;
proxy_pass mysqlsrvs;
proxy_timeout 60s;
proxy_connect_timeout 10s;
}
}
本文來自投稿,不代表Linux運維部落立場,如若轉載,請注明出處:http://www.www58058.com/92104