Nginx配置文件路径:不同安装方式,nginx的文件存放路径也有所不同。
源码编译安装方式:通常在/usr/local/nginx/conf目录下。
yum安装方式:通常在/etc/nginx/目录(主配置文件)与/etc/nginx/conf.d目录下。
Docker启动的nginx,一般也在/etc/nginx目录下。
Nginx主配置文件调优
# 启动用户改为 root,避免权限问题报错。
user root;
# 定义了 nginx 在为你的网站提供服务时,worker 进程的数量。工作进程一般设置为 CPU 的线程数,这里设置成 auto,nginx 会自动获取 CPU 线程数,并启用相对应的 worker 进程。
worker_processes auto;
# 配置 nginx worker 进程最大打开文件数
worker_rlimit_nofile 65535;
# nginx 的错误日志路径,warn 表示只打印打印 warn 级别以上的日志。
error_log /var/log/nginx/error.log warn;
# nginx 的 pid 文件路径
pid /var/run/nginx.pid;
# 并发优化
events {
# 设置了一个 worker 进程可以同时打开的链接数。如:现有4个 worker 进程,则当前 nginx 服务器的同时打开链接数为 4*1024=4096 个。需根据当前服务器的 open files 值设定,使用 ulimit -a 查看当前服务器的 open files 值。
worker_connections 65535;
# 让nginx收到一个新连接通知后接受尽可能多的连接。
multi_accept on;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
# 定义一个 main 的日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
# http 服务的访问日志路径,日志格式为 main 定义的格式
access_log /var/log/nginx/access.log main;
# 指向 sendfile()函数。sendfile() 在磁盘和 TCP 端口(或者任意两个文件描述符)之间复制数据。
sendfile on;
# 配置 nginx 在一个包中发送全部的头文件,而不是一个一个发送。
tcp_nopush on;
# 配置 nginx 不要缓存数据,应该快速的发送小数据(这仅仅应该用于频繁发送小的碎片信息而无需立刻获取响应的,需要实时传递数据的应用中)。
tcp_nodelay on;
# 指定了与客户端的 keep-alive 链接的超时时间。服务器会在这个时间后关闭链接。我们可以降低这个值,以避免让 worker 过长时间的忙碌。
keepalive_timeout 60s;
# 限制客户端文件上传下载大小限制,默认1m
client_max_body_size 20m;
# 读取请求头的超时时间
client_header_timeout 60s;
# 读取请求实体的超时时间
client_body_timeout 60s;
# 开启 gzip 压缩模块
gzip on;
# 设置用于压缩响应的缓冲区的数量和大小
gzip_buffers 16 8k;
# 设置 gzip 压缩级别,值在 1 到 9 之间(值越大,压缩级别越高)
gzip_comp_level 6;
# IE 浏览器不开启 gzip,IE6 以下会乱码
gzip_disable 'MSIE [1-6].';
# 设置压缩所需的最小 HTTP 版本
gzip_http_version 1.0;
# 设置将被压缩的返回值的最小长度
gzip_min_length 1k;
# 需要压缩的文件的格式
gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png image/tiff image/x-ms-bmp;
gzip_vary off;
# fastcgi 调优参数
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
# 关闭页面中的 nginx 版本数字信息,提高安全性。
server_tokens off;
# nginx 的 http 块配置文件,可将块配置文件放入该目录。
include /etc/nginx/conf.d/*.conf;
server {
listen 80;
server_name www.liaotaoo.cn;
# http 跳转 https
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443 ssl;
server_name www.liaotaoo.cn;
ssl_certificate ssl/liaotaoo.cn.pem;
ssl_certificate_key ssl/liaotaoo.cn.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/www.liaotaoo.cn_access.log main;
error_log /var/log/nginx/www.liaotaoo.cn_error.log warn;
# 静态文件
location / {
root /usr/share/nginx/html;
index index.html;
}
location /anan/ {
alias /usr/share/nginx/html/anan/;
index index.html;
}
# 动态请求
location /base/ {
proxy_redirect off;
proxy_set_header Host spa.asxxxr.net;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://39.103.221.4:50006/;
}
# 缓存常见格式的图片
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|svg|webm)$ {
# 单位参数:d 天 | H 小时 | M 分
expires 1h;
}
}
}
Nginx HTTP跳转HTTPS
server {
listen 80;
server_name www.liaotaoo.cn;
rewrite ^(.*) https://$server_name$1 permanent;
}Nginx代理PHP服务
server {
listen 443 ssl;
server_name www.liaotaoo.cn;
ssl_certificate /etc/nginx/conf.d/ssl/admin.alxxj.cn.pem;
ssl_certificate_key /etc/nginx/conf.d/ssl/admin.alxxj.cn.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
index index.html index.php;
root /var/www/html/alice/admin/web;
rewrite (\/\.svn|.git\/) /404/;
if ($http_user_agent ~* yahoo|bingbot) {
return 403;
}
if ($query_string ~* ".*(insert|select|delete|update|count|master|truncate|declare|'|%27|%22|%3C|%3E|;|%20and%20|%20or%20).*"){
return 404;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .*\.(php|php5)?$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_param ENV 'prod';
fastcgi_index index.php;
include fastcgi.conf;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}
location ~ .*\.(js|css)?$
{
expires 1h;
}
#日志
access_log off;
}Nginx作为代理服务器
Nginx 是一个优秀的高性能代理服务器,可以通过不同的配置进行反向代理、正向代理。
正向代理
正向代理的代理对象是客户端。正向代理就是nginx服务器替客户端去访问目标服务器
server{
resolver 8.8.8.8;
listen 80;
location / {
proxy_pass http://$http_host$request_uri;
}
}在客户端配置 http_proxy 环境变量,export http_proxy=http://你的正向代理服务器地址:代理端口,即可使用代理服务器上网。
通过这种方式访问网站,例如百度。百度那边只能看到nginx服务器的IP,而获取不到你的真实IP。
反向代理
客户端不需要了解nginx服务器后面的服务,直接访问nginx提供的地址
server {
listen 80;
server_name liaotaoo.cn;
location / {
proxy_set_header Host liaotaoo.cn;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass https://www.liaotaoo.cn/;
}
}
server {
listen 80;
server_name liaotaoo.cn;
location / {
proxy_set_header Host liaotaoo.cn;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass https://www.liaotaoo.cn/;
}
}Nginx作为负载均衡服务器
可以将 nginx 作为一个非常高效的 HTTP 负载均衡器,将流量分配到多个应用服务器上,并通过 nginx 提高 Web 应用的性能、可扩展性和可靠性。
nginx 可以通过添加一个 upstream,来实现 nginx 的负载均衡功能。
upstream myserver {
server 192.168.1.201;
server 192.168.1.202;
}
server {
listen 80;
location / {
proxy_pass http://myserver;
}
}通过这样配置,可以通过访问 nginx 服务器的地址,实现轮询(默认)访问它反向代理的两个后端服务
参数描述
backup 将服务器标记为备份服务器。当主服务器不可用时,将使用该服务器。
down 将服务器标记为永久不可用
fail_timeout=time 在指定次数的不成功尝试与服务器通信的时间范围内,应考虑服务器不可用
max_conns=number 限制代理服务器的同时活动连接的最大数量。默认值为零,表示没有限制
max_fails=number 设置与服务器通信失败的最大尝试次数
weight=number 设置服务器的权重,默认情况下为1可通过设置权重 weight 来达到性能好的服务器提供更多次的服务目的。如下:201这台服务器提供的访问量就是202服务器的2倍。
upstream myserver {
server 192.168.1.201 weight=2;
server 192.168.1.202 weight=1;
}
server {
listen 80;
location / {
proxy_pass http://myserver;
}
}几种常见的策略:
轮询(默认),请求过来后,Nginx 随机分配流量到任一服务器
upstream backend {
server 127.0.0.1:6000;
server 127.0.0.1:6001;
}weight=number 设置服务器的权重,默认为1,权重大的会被优先分配
upstream backend {
server 127.0.0.1:6000 weight=2;
server 127.0.0.1:6001 weight=1;
}backup 标记为备份服务器。当主服务器不可用时,将传递与备份服务器的连接
upstream backend {
server 127.0.0.1:6000 backup;
server 127.0.0.1:6001;
}ip_hash 保持会话,保证同一客户端始终访问一台服务器
upstream backend {
ip_hash;
server 127.0.0.1:6000 backup;
server 127.0.0.1:6001;
}least_conn 优先分配最少连接数的服务器,避免服务器超载请求过多
upstream backend {
least_conn;
server 127.0.0.1:6000;
server 127.0.0.1:6001;
}Nginx作为静态文件服务器
Nginx 服务器的一个主要任务是提供静态HTML页面、图像或文件访问。
根据请求的不同,文件将从不同的本地目录提供。
/http/www 包含HTML文件
/http/data1/images 包含图像
/http/data2/file 包含文件
目录树:
http/
├── data1
│ └── images
│ ├── a.jpg
│ └── b.jpg
├── data2
│ └── file
│ ├── c.txt
│ └── c.zip
└── www
├── 50x.html
└── index.html配置文件:
server {
listen 80;
server_name 127.0.0.1;
location / {
root /http/www;
index index.html index.htm;
}
location /data1/ {
root /http;
}
location /data2/ {
root /http;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /http/www;
}
}可以访问一下链接查看效果:
HTML静态文件:http://10.10.10.101/
图像浏览:http://10.10.10.101/data1/images/1.jpg
文件下载:http://10.10.10.101/data2/file/1.zip
Nginx反向代理WebSocket服务
server {
listen 443 ssl;
server_name devskt.asxxxd.com;
ssl_certificate 3986794_devskt.liaotaoo.cn.pem;
ssl_certificate_key 3986794_devskt.liaotaoo.cn.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://172.26.155.95:31114;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}Nginx反向代理示例
# http重写方式 一
server {
listen 80;
server_name www.liaotaoo.cn;
rewrite ^ https://$http_host$request_uri? permanent; # force redirect http to https
}
# http重写方式 二
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name spa.liaotaoo.cn;
root /usr/share/nginx/html;
if ($host = "spa.liaotaoo.cn") {
rewrite ^/(.*)$ https://saa.liaotaoo.cn permanent;
}
if ($host = "http://spa.liaotaoo.cn") {
rewrite ^/(.*)$ https://saa.liaotaoo.cn permanent;
}
if ($host = "https://spa.liaotaoo.cn") {
rewrite ^/(.*)$ https://saa.liaotaoo.cn permanent;
}
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
# 代理https
server {
listen 443 ssl;
server_name saa.liaotaoo.cn;
ssl_certificate /etc/letsencrypt/live/saa.liaotaoo.cn/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/saa.liaotaoo.cn/privkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host saa.liaotaoo.cn;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://10.10.10.101:45506/;
}
}Nginx 子路由部署 Recat 项目
location ^~ /anan/ {
# 项目地址
alias /usr/local/nginx/html/anan/;
# 解决刷新报 404
try_files $uri $uri/ /anan/index.html;
index index.html;
access_log /home/log/nginx/access/www.saa.com.log main;
error_log /home/log/nginx/www.saa.com.log warn;
}Nginx 开启gzip压缩
gzip on; # 开启Gzip
gzip_min_length 1k; # 不压缩临界值,大于1K的才压缩,一般不用改
gzip_buffers 4 16k; # 设置用于处理请求压缩的缓冲区数量和大小。
gzip_http_version 1.0; # 用于识别http协议的版本,早期的浏览器不支持gzip压缩,用户会看到乱码,所以为了支持前期版本加了此选项。
gzip_comp_level 6; # 设置gzip压缩级别,级别越底压缩速度越快文件压缩比越小,反之速度越慢文件压缩比越大
# 设置需要压缩的MIME类型,如果不在设置类型范围内的请求不进行压缩
gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
gzip_vary on; # 增加响应头”Vary: Accept-Encoding”Nginx 跨域问题解决
location / {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
if ($request_method = 'OPTIONS') {
return 204;
}
}Access-Control-Allow-Origin
服务器默认是不被允许跨域的。给Nginx服务器配置Access-Control-Allow-Origin *后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。 Access-Control-Allow-Headers`
是为了防止出现以下错误:Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.
这个错误表示当前请求Content-Type的值不被支持。其实是我们发起了"application/json"的类型请求导致的。这里涉及到一个概念:预检请求(preflight request),请看下面"预检请求"的介绍。
Access-Control-Allow-Methods
是为了防止出现以下错误:Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.
给OPTIONS添加204的返回
是为了处理在发送POST请求时Nginx依然拒绝访问的错误,发送"预检请求"时,需要用到方法 OPTIONS ,所以服务器需要允许该方法。
Nginx配置IP黑/白名单
IP访问控制可以加在 nginx 的任意一个块中。如:http、 server、 location。例如我们直接将以下配置加在 http 块中,这样整个 nginx 的服务会受到影响
deny 192.168.1.66;
allow 192.168.1.0/24;
allow 10.1.20.6/16;
allow 34.26.157.0/24;
deny all;以上配置实现的效果:
允许 192.168.1.0 该网段,除 192.168.1.66 这个IP都可访问nginx。
允许 10.1.20.6/16 该网段的IP访问。
允许 34.26.157.0/24 该网段的IP访问。
除上面指定的IP范围,其他IP禁止访问。
Nginx配置SSL证书
要设置一个HTTPS服务器,在nginx.conf文件中,在服务器块的listen指令中加入ssl参数,然后指定服务器证书和私钥文件的位置。
server {
listen 443 ssl;
server_name api.liaotaoo.cn;
ssl_certificate /etc/letsencrypt/ker/api.lxxxx.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/ker/api.lxxxx.com/privkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}ssl_protocols 和 ssl_ciphers 指令可以用来要求客户端在建立连接时只使用SSL/TLS的强版本和密码。
会话存储在工作进程之间共享的SSL会话缓存中,并由ssl_session_cache指令配置。一兆字节的缓存包含大约4000个会话。缓存的默认超时时间是5分钟,这个超时时间可以使用ssl_session_cache指令增加。这个超时时间可以使用ssl_session_timeout指令来增加。
上面是一个为多核系统优化的配置示例,它有1兆字节的共享会话缓存。
Nginx配置动静分离
动静分离的原理:nginx 将客户端发来的请求分为动态请求(php,jsp,cgi)与静态请求(html,css,js和图片资源),转发给不同的服务器。有负责动态处理的tomcat服务器,也有只负责静态文件存储的服务器。
# 动态页面交给http://myserver
location ~ .*\.(php|jsp|cgi)?$
{
proxy_pass http://tdt_wugk;
}
# 配置Nginx动静分离,定义的静态页面直接从Nginx发布目录读取。
location ~ .*\.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css)$
{
root /data/www/file;
# expires定义用户浏览器缓存的时间为3天,如果静态页面不常更新,可以设置更长,这样可以节省带宽和缓解服务器的压力
expires 3d;
}Nginx 隐性跳转(浏览器保留旧URL)
将 https://sasa.lxxxx.cn 隐式转发到 https://sasa.liaotaoo.cn
server {
listen 80;
listen 443 ssl;
server_name xing.lxxxx.cn;
access_log /usr/local/nginx/logs/xing.lxxxx.cn-access.log main;
error_log /usr/local/nginx/logs/xing.lxxxx.cn--error.log;
ssl_certificate /usr/local/nginx/conf/SSL/scs1665543425204_xing.lxxxx.cn_server.crt;
ssl_certificate_key /usr/local/nginx/conf/SSL/scs1665543425204_xing.lxxxx.cn_server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location ~* / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://liaotao.cn;
}
}
server {
listen 443 ssl;
server_name xt.lxxxx.com;
ssl_certificate ssl/lxxxx.com.pem;
ssl_certificate_key ssl/lxxxx.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
access_log logs/access_xt.log main;
error_log logs/error_xt.log error;
location / {
rewrite ^.+apis/?(.*)$ /$1 break;
proxy_pass https://sasa.sadasdwa.org/;
}
}Nginx限流:高并发访问控制
1.1 http_limit_conn_module
http_limit_conn_module模块专注于连接数的控制。通过这个模块,我们能够限制来自单个IP的并发连接数,有效地抵御简单的DDoS攻击,并确保服务器资源的合理分配。
1.2 http_limit_req_module
http_limit_req_module模块则侧重于请求速率的管理。通过设定来自单个IP请求速率的上限,可以抑制过度频繁的请求,防止服务器过载,同时有效地应对爬虫活动和其他恶意行为。
2. 配置连接数限制
在使用http_limit_conn_module之前,确保已启用该模块。以下是配置连接数限制的
http {
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
listen 80;
server_name example.com;
limit_conn addr 5;
# 其他配置...
}
}如果是单独针对某个接口做限流,可以单独配置location即可:
http {
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
listen 80;
server_name example.com;
location /test {
limit_conn addr 5;
}
# 其他 location 相关配置...
}
}3. 配置请求速率限制
确保已启用http_limit_req_module后,配置请求速率限制,如下:
http {
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=5r/s;
server {
listen 80;
server_name example.com;
limit_req zone=req_zone burst=10 nodelay;
# 其他配置...
}
}如果是单独针对某个接口做限流,可以单独配置location:
http {
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=5r/s;
server {
listen 80;
server_name example.com;
location /test {
limit_req zone=req_zone burst=10 nodelay;
}
# 其他 location 相关配置...
}
}4. 压力测试与优化
使用ab工具进行压力测试:
`ab -n 1000 -c 10 http://liaotao.com/
上述命令将对http://example.com发送1000个请求,每次并发10个请求。通过观察测试结果,包括响应时间、吞吐量等指标,可以评估流量控制的效果。
根据测试结果,可以进一步优化连接数和请求速率的限制值,以达到最佳的流量控制效果。逐步调整这些值,直到找到适合网络应用的最佳配置。
5. 总结
通过合理配置http_limit_conn_module和http_limit_req_module模块,结合压力测试工具的使用和结果分析,可以实现对连接数和请求速率的细致控制。这不仅有助于提高系统的安全性和稳定性,还能够确保网络应用在高负载情况下依然能够稳定运行。综合而言,Nginx的流量控制模块为构建可靠、高性能的网络环境提供了有力的支持
已有 0 条评论