Nginx学习
发行版本
Nginx开源版:提供基础功能
Nginx Plus商业版:提供高级功能,如对微服务整合、云原生整合
Openresty:Nginx和Lua脚本整合提供丰富的功能
Tengine:Nginx和C整合,淘宝提供的稳定的魔改版,如果没二次开发的需求可以选择使用
命令
./nginx # 启动
./nginx -s stop # 快速停止
./nginx -s quit # 优雅关闭。执行的连接请求处理完后再退出
./nginx -s reload # 加载配置文件。在处理的请求用旧配置完成,开启新的子进程加载新的配置来处理新的请求
基本使用
最小配置
worker_processes 12; # 工作线程
events {
worker_connections 1024; # 连接数
}
http {
include mime.types; # 同级目录下的mime.types文件,其定义了浏览器应该用哪种方式解析某种后缀名的数据
default_type application/octet-stream; # 默认解析方式
sendfile on; # 零拷贝
keepalive_timeout 65; # 长连接超时时间
server { # 虚拟主机vhost
listen 80; # 监听端口
server_name localhost; # 域名、主机名
location / { # 匹配URI
root html; # 匹配成功后以哪个目录为根目录,相对于Nginx的主目录
index index.html index.htm; # 默认页
}
error_page 500 502 503 504 /50x.html; # 哪些状态码跳转到出错页面/50x.html
location = /50x.html {
root html; # 匹配URI,跳转到配置的目录下寻找对应的文件
}
}
}
虚拟主机与域名解析
原理:一台Nginx为多个域名提供服务,某个域名的请求过来,Nginx为其找到对应的目录以提供服务。目的是为了提高主机的CPU、内存等的利用率,因为大部分域名的流量非常小,服务器性能过剩。
本地域名解析:hosts文件。
泛域名解析:即配置通配符,可以实现多用户二级域名,如*.sj.com可以将a.sj.com/b.sj.com等所有类似的域名都解析到同一个IP地址上。
ServerName匹配规则为首次匹配到就结束,如果都没有匹配到,则以第一个作为匹配结果。有以下匹配方式:
server_name vod.sj.com vodd.sj.com ; # 匹配多个域名
server_name *.sj.com; # 通配符匹配
server_name vod.sj.*; # 通配符结束匹配
server_name ~^[0-9]+\.sj.com$; # 正则匹配
反向代理
能提供的功能:
- URL重写,既可以隐藏真实URL,又可以方便用户记忆,还能提高搜索引擎(这用SSR更好)收录。如用户看到的是
/product/100,Nginx重写为/product?id=100。 - 负载均衡
反向代理配置
upstream abc {
server 192.168.0.11:80;
server 192.168.0.12:80;
}
server {
# ...
location / {
proxy_pass http://abc;
}
}
动静分离
常用于中小型项目,大型网站一般是将静态资源作为独立域名。
server {
# ...
location / {
proxy_pass http://192.168.0.11:80;
}
location ~*/(js|img|css) { # 正则匹配
proxy_pass http://192.168.0.12:80;
}
}
location /的优先级比较低。
URL Rewrite
rewrite <regexp> <replacement> [flag]。rewrite允许出现的位置:server、location、if。
flag说明:
- last。本条规则匹配完成后,继续向下匹配新的location URI规则。也就是最后面的匹配会返回。
- break。本条规则匹配完成后终止。
- redirect。返回302重定向。
- permanent。返回301永久重定向。
server {
# ...
location / {
rewrite ^/([0-9]+).html$ /index.jsp?page=$1 break;
proxy_pass http://192.168.0.11:80;
}
}
防盗链
盗链定义:其他网站引用了本网站的静态资源。
防盗链:通过HTTP的referer字段。
location ~*/(js|img|css) {
# 校验referer。none表示如果没有referer也允许访问,比如用户拿着给的链接去下载器下载,这种情况就是没有referer
valid_referers none 192.168.0.11;
if (!invalid_referer) {
rewrite ^/ /img/x.png break; # 重写展现防盗链图片
return 403; # 返回错误码
}
proxy_pass http://192.168.0.11:80;
}
HA
依赖keepalived+虚拟IP的能力
高级使用
保持会话
Nginx提供保持会话的功能:
- ip_hash:同一个ip的请求只会在同一台服务器上被处理。优点是服务器扩容方便,缺点是访问倾斜。可用于中小型项目。
hash $cookie_jsessionid;:Java服务下发给客户端的cookie。hash $request_uri;:适用于在不支持cookie的场景(如APP),也适用于某些资源不存在于所有服务器上的情况(如视频、音频等)。sticky模块:通过类似于cookie_jsessionid的方式,在cookie中保存一个字段,值是由该模块产生的。可以设置过期时间。
对上游服务器使用keepalive
upstream配置:
upstream abc {
keepalive 100; # 与上游服务器保持的连接数(类似连接池概念)
keepalive_timeout 65; # 连接保留的时间
keepalive_requests 1000; # 一个tcp连接复用中可以并发接收的请求数
}
server配置:
server {
proxy_http_version 1.1; # http版本号。默认使用1.0版本,需要在request中增加"Connection keep-alive" header才能使用,而1.1默认支持
proxy_set_header Connection ""; # 清除close信息,因为Nginx接收浏览器请求后会将Connection置为close
}
客户端限制
可配置位置:
- http
- server
- location
client_body_buffer_size # 请求体缓冲区大小
client_header_buffer_size # 请求头缓冲区大小
client_max_body_size # 请求大小超过设定值会返回413给客户端,通过检查Content-Length实现。默认1M,设置为0可以禁用
client_body_timeout # 服务端接收request body的超时时间。比如因为网络原因,服务端接收到部分,然后在超时时间内再也没有接收到数据,会返回408
client_header_timeout # 服务端接收request header的超时时间。超时返回408
client_body_in_single_buffer # 缓冲body时尽量在内存中使用连续单一的缓冲区,常用于在二次开发中使用 $request_body 读取数据时,不二次开发不需要配置。
Gzip
一般用于文本格式数据的压缩,对于二进制文件不需要启用压缩。
# 动态压缩。即数据传输过程中压缩
gzip on; # 启用gzip。默认关闭
gzip_buffers 16 8k; # 16个缓冲块,大小8k
gzip_comp_level 6; # 压缩等级1-9,数字越大压缩率越高
gzip_http_version 1.1; # 使用gzip的最小版本
gzip_min_length 2k; # 小于该值的不压缩
gzip_proxied any; # 作为反向代理服务器时,针对上游服务器返回的头信息进行压缩,any表示无条件启用压缩。其他有expired等
# 静态压缩。动态压缩没法利用sendfile,静态压缩的意义在于通过sendfile直接将压缩文件发送
# 需要在编译时加上对应的模块。--with-http_gzip_static_module
gzip_static on; # 启用。默认off,还可选always(需搭配ngx_gunzip_module使用)
高并发系统资源静态化方案
后端取到数据后,输出到模板引擎,修改模板引擎的输出到文件(html),该文件由Nginx代理,从而实现多次访问某个同一页面时响应很快的功能。在并发量很大的情况下,可以利用该方案。
一个页面中由三部分组成:
- 每个页面特有的内容,可由模板引擎生成
- 页面关联的内容(如推荐、销量等)
- 所有页面都有的固定内容(如head、footer等)
需要考虑的问题:
- 一致性问题
- 合并文件(Nginx提供的SSI模块可以实现)
- Nginx集群文件同步(多台Nginx服务器同步某一台主Nginx服务器,通过rsync同步,通过inotify监控文件的变更)。rsync主动推送到其他服务器,需要将readonly改为no,默认只能通过定时的方式推送或拉取,通过引入inotify实现在有变化时才操作。
缓存
浏览器缓存
- 强制缓存:Nginx返回资源并告知缓存时间,浏览器在缓存有效期间内不请求Nginx。Expire或者Cache-Control
- 协商缓存:Nginx返回资源并携带Last-Modified响应头,浏览器下次请求时带上该时间到请求头,Nginx检查本地文件是否改变,未改变则返回304OK,浏览器从本地缓存中取。
GEOip
可以判断浏览器的IP属于哪个城市or哪个国家,从而实现拒绝指定之外的城市访问。
反向代理服务器缓存
将上游服务器中拿到的资源进行缓存
# 缓存路径。levels表示缓存目录的层数。keys_zone表示名称,其在内存中存储key。inactivate表示缓存多久未被访问后会删除
proxy_cache_path /nginx_tmp levels=1:2 keys_zone=test:100m inactivate=1d max_size=100g;
server {
location / {
proxy_pass http://abc;
add_header Nginx-Cache "$upstream_cache_status";
proxy_cache test; # keys_zone
proxy_cache_valid 1h; # 缓存有效期,超时后会重新向上游服务器请求
}
}
清理插件:proxy_cache_purge
strace
strace命令是一个集诊断、调试、统计于一体的工具,可用来追踪调试程序。
匿名location和return
error_page 404 = @666;
# 匿名location
location @666 {
# 指定content type,从而让浏览器显示而不是去下载
add_header Content-Type 'text/html';
return 200 'hello world';
}
限速
请求限速
# 每个请求的地址 1s内只能请求1次,内存空间10m作为缓冲区使用。漏桶算法
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
location / {
# 名称为one,和上面配置的对应。burst表示桶的大小,nodelay表示桶满后,所有请求快速失败,即返回错误,而不是等待进入桶
limit_req zone=one burst=5 nodelay;
}
}
带宽限速
location / {
# 令牌桶算法,限制流出速度
limit_rate_after 1m; # 在1m之后开始限速
limit_rate 1k; # 限速1k/s
}
并发数限制
limit_conn_zone $binary_remote_addr zone=two:10m;
server {
location / {
# 名称为two,只允许1个并发
limit_conn two 1;
}
}
upstream重试机制
被动式重试
upstream abc {
# 10s内失败5次就下线;下线10s后给一次机会上线
server 192.168.0.11:80 max_fails=5 fail_timeout=10s;
server 192.168.0.12:80;
}
location / {
proxy_next_upstream error timeout; # 指定发生error或超时时,进行重试
proxy_next_upstream_timeout 15s; # 重试过程中的总时间,如果超过15s则这次请求失败
proxy_next_upstream_tries 5; # 重试5个机器
proxy_pass http://abc;
root html;
}
主动式重试:需要使用商业版或者第三方如Tengine
一些配置项解释
http下的配置
keepalive_timeout:在两次请求之间保持打开状态,若在超时时间内有其他请求过来,则复用它,并重新计时。send_timeout:响应请求时的超时时间,超时后关闭连接。和keepalive_timeout会有冲突,如果该值设置过小,可能导致keepalive_timeout没用,因为响应超时导致连接被关闭了。keepalive_time:限制keepalive保持连接的最大时间。proxy_set_header X-Forwarded-For $remote_addr;:将客户端IP写入header中,使得上游服务器能拿到客户端的真正IP
