OpenResty网关配置
NGX配置规范
一、目标
1.规范NGX使用
2.明确配置规范、变更流程
3.避免配置混乱、降低出错几率
4.确定统一配置模板
二、约定
1.配置内容要符合ngx通用配置规范
2.各配置节参数新增、修改、删除,要先走变更申请,通过后注明变更字段作用及使用范围
3.通用配置内容,要抽离为独立配置文件,再通过include进行引用
4.通用配置文件要符合命名规范并存放到约定路径
5.配置参数要有说明注释,并保证文档配置同步,不出现幽灵参数
三、配置文件位置
1.安装目录:/opt/local/openresty/
2.配置文件目录:/opt/local/openresty/nginx/
3.缓存、日志文件目录:/mnt/localdata/openresty
4.快捷目录:/waf/
四、目录说明
1.appconfs.d:为应用程序站点配置目录,命名遵循:业务名称.域名.conf,如:pms.muniao.com.conf
2.conf:为nginx本身配置文件目录
3.optconf.d:为缓存、日志格式、限流ZONE、WAF脚本引用的配置目录 4.ssl:为https证书及通用https配置文件存放目录
5.waf:为应用防火墙目录主要配置黑白名单、url、user-agent过滤等,config.lua为主配置文件,rule-config目录为具体规则
6.applogs:为应用站点访问日志目录,日志命名遵循:日志组件名业务名端口proxy.log,如:filebeatpms_443_muniao
7.cachesroot:为缓存数据目录,缓存命名遵循:cache_业务名称,如:cache_appimg
8.logs:为ngx默认的访问日志和错误日志目录 waflogs:为waf防火墙记录日志
五、配置节
1.全局配置
#配置worker进程运行用户(和用户组),nobody也是一个Linux用户,一般用于启动程序,没有密码
user www www;
#配置工作进程数目,根据硬件调整,通常等于CPU数量或者2倍于CPU数量
worker_processes 4;
#配置cpu亲和
worker_cpu_affinity 0001 0010 0100 1000;
#配置全局错误日志及类型,[debug | info | notice | warn | error | crit],默认是error
error_log /mnt/localdata/openresty/logs/error.log crit;
#配置全局访问日志默认路径
access_log /mnt/localdata/openresty/logs/access.log
#配置进程pid文件
pid /var/run/openresty/openresty.pid;
#一个nginx进程打开的最多文件描述符数目,理论值应该是最多打开文件数(系统的值ulimit -n)与Nginx进程数相除,但是Nginx分配请求并不均匀,所以建议与ulimit -n的值保持一致。
worker_rlimit_nofile 65535;2.events模块配置
events {
#参考事件模型,use [ kqueue | rtsig | epoll | /dev/poll | select | poll ];
#epoll模型是Linux 2.6以上版本内核中的高性能网络I/O模型,如果跑在FreeBSD上面,就用kqueue模型。
use epoll;
#单个进程最大连接数(最大连接数=连接数*进程数)
worker_connections 65535;
}3.http模块配置 全局
#常见的一些基础配置
include mime.types; #文件扩展名与文件类型映射表
default_type application/octet-stream; #默认文件类型
charset utf-8; #默认编码
server_names_hash_bucket_size 128; #服务器名字的hash表大小
client_header_buffer_size 32k; #上传文件大小限制
large_client_header_buffers 4 64k; #设定请求缓冲
client_max_body_size 30m; #设定请求缓冲
sendfile on; #开启高效文件传输模式,对于普通应用设为on,如果用来进行下载等应用磁盘IO重负载应用,可设置为off,以平衡磁盘与网络I/O处理速度,降低系统的负载。注意:如果图片显示不正常把这个改成off。
tcp_nopush on; #防止网络阻塞
tcp_nodelay on; #防止网络阻塞
keepalive_timeout 60; #长连接超时时间,单位是秒
#FastCGI相关参数是为了改善网站的性能:减少资源占用,提高访问速度。
fastcgi_connect_timeout 600;
fastcgi_send_timeout 600;
fastcgi_read_timeout 600;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
#gzip模块设置
gzip on; #开启gzip压缩输出
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 16k; #压缩缓冲区
gzip_http_version 1.0; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 2; #压缩等级
gzip_types text/plain application/json application/x-javascript application/javascript text/css application/xml application/vnd.android.package-archive; #压缩类型
gzip_vary on; #增加响应头'Vary: Accept-Encoding'
gzip_disable "MSIE [1-6]\.";#IE6以下屏蔽GZIP压缩
gzip_clear_etag off;
#全局代理配置
client_body_buffer_size 512k;#
#与后端/上游服务器建立连接的超时时间,默认为60s,此时间不超过75s
proxy_connect_timeout 60;
#设置从后端/上游服务器读取响应的超时时间,默认为60s,此超时时间指的是两次成功读操作间隔时间,而不是读取整个响应体的超时时间,如果在此超时时间内上游服务器没有发送任何响应,则Nginx关闭此连接。
proxy_read_timeout 60;
#设置往后端/上游服务器发送请求的超时时间,默认为60s,此超时时间指的是两次成功写操作间隔时间,而不是发送整个请求的超时时间,如果在此超时时间内上游服务器没有接收任何响应,则Nginx关闭此连接。
proxy_send_timeout 60;
#Nginx使用该大小申请read_buf,即大小指定了 upstream header 最大长度,如果响应头超过了这个长度,Nginx会报upstream sent too big header错误,然后client收到的是502。
#默认值:proxy_buffer_size 4k/8k
proxy_buffer_size 64k;
#设置存储被代理服务器响应的body所占用的buffer个数和每个buffer大小
#默认值:proxy_buffers 256 8k
proxy_buffers 4 128k;
#proxy_busy_buffers_size不是独立的空间,他是proxy_buffers和proxy_buffer_size的一部分。nginx会在没有完全读完后端响应就开始向客户端传送数据,所以它会划出一部分busy状态的buffer来专门向客户端传送数据(建议为proxy_buffers中单个缓冲区的2倍),然后它继续从后端取数据。proxy_busy_buffer_size参数用来设置处于busy状态的buffer有多大。
proxy_busy_buffers_size 256k;
#设置同时写入临时文件的数据量的总大小。通常设置为8k或者16k。
proxy_temp_file_write_size 256k;
#定义proxy的临时文件存在目录以及目录的层级。
proxy_temp_path /mnt/disk1/tengine/cache_temp 1 2;
#解决http499问题
proxy_ignore_client_abort on;
#反向代理配置
upstream vlatest.muniao.com {
server 172.17.64.23:8798 weight=25;
server 172.17.64.18:8798 weight=13;
server