文章参考:https://blog.csdn.net/physicsdandan/article/details/45667357
什么是代理?
代理在普通生活中的意义就是本来应该你做的事情,你让别人代你做了,那么那个帮你做的人就是你的代理。和在计算机网络中代理的概念差不多,
本来是要客户端做的网络访问,现在移交给另外一台机器做,那么那个机器就被称为代理服务器,代理服务器帮你访问。过程如下:
正常情况:
client-(send request)->server
代理情况:
client-(send request)->client proxy(send request)->server
什么是反向代理?
反向代理在计算机网络中是指这么一个过程,一般来说正向代理是客户端找人来代理把自己的请求转发给服务器,但是如果是反向代理,找代理的人不再
是客户端,而是服务端这边把自己接受的请求转发给背后的其他机器。
反向代理情况:
client-(send request)->server proxy(send request)->other server
下面看一个示例:
#① part start
#运行nginx进程的账户
user www;
#
worker_process 1;
error_log /var/log/nginx/error.log
pid /var/run/nginx.pid;
events{
use epoll;
worker_connections 1024;
}
http{
include /etc/nginx/mime.types;
default_type application/octet-stream;
access_log /var/log/nginx/access.log main;
#
sendfile on;
#
keepalive_timeout 65;
gzip on;
index index.html index.htm;
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
#② part start
# 定义上游服务器列表组
upstream web1 {
server 127.0.0.1:111 weight=1;
server 127.0.0.1:222 weight=1;
}
upstream web2 {
server 127.0.0.2:111 weight=1;
server 127.0.0.2:222 weight=6;
server 127.0.0.2:333 weight=7;
}
#定义一个服务器,其监听80端口,配置的域名是www.company.com
server{
listen 80;
# using www domain to access the main website
server_name www.company.com;
access_log /var/log/nginx/www.log
location / {
root /home/website_root;
}
}
#③ part start
#定义第二个服务器,其同样监听80端口,但是匹配域名是web.company.com
server{
listen 80;
# using web sub domain to access
server_name web.company.com;
access_log /var/log/nginx/web_access.log
location / {
root /home/web2_root;
proxy_pass http://127.0.0.1:8080/web/;
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
}
}
#定义第三个服务器,其同样监听80端口,但是匹配域名是web1.company.com,并把请求转发到web1上游服务
server{
listen 80;
# using web1 sub domain to access
server_name web1.company.com;
access_log /var/log/nginx/web1_access.log
location / {
root /home/web1_root;
proxy_pass http://web1;
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
}
}
#定义第三个服务器,其同样监听80端口,但是匹配域名是web2.company.com,并把请求转发到web2上游服务
server{
listen 80;
# using web2 sub domain to access
server_name web2.company.com;
access_log /var/log/nginx/web2_access.log
location / {
root /home/web2_root;
proxy_pass http://web2;
proxy_read_timeout 300;
proxy_connect_timeout 300;
proxy_redirect off;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
}
}
}
这个示例都做了什么?
1.第一部分,定义了 nginx 通用规则
2.第二部分,开始定义上游服务器组
3.第三部分,开始定义 server,并指定如何使用第二部分定义的 upstream
总体来说上面的示例提供了四个服务,www、web、web1、web2 4个网站,这个例子很适合一台机器,但是又想避免访问 url 中带有端口号,统一使用
域名方式访问。4个网站都监听 80 端口,但是分配不同的二级域名即可。这就需要 nginx 反向代理,具体如何实现,我们重新举一个例子,如下所示:
(1) 只有一台服务器,一个 IP,一个域名 www.xsgzs.com
(2) 这台服务器上有多个应用运行在不同端口,如:
127.0.0.1:4000 运行着一个 博客应用
127.0.0.1:3009 运行着一个博客后台管理系统
我们不期望在访问的 url 中携带有端口号,统一使用域名方式访问,可以为运行在不同端口号的应用分配二级域名,同时把二级域名都解析到 80 端口,
但是转发到不同的端口去,希望访问 www.blog.xsgzs.com 能访问到 127.0.0.1:4000 ,访问 www.admin.xsgzs.com 能访问到 127.0.0.1:3009
具体步骤:
(1) 在 nginx.conf 文件新增 upstream server(上游服务器)
upstream blog.xsgzs {
server 127.0.0.1:4000
}
upstream admin.xsgzs {
server 127.0.0.1:3009
}
(2) 在配置文件中添加 server,都监听 80 端口
server {
listen 80;
server_name www.blog.xsgzs.com;
location / {
proxy_pass http://blog.xsgzs;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
server {
listen 80;
server_name www.admin.xsgzs.com;
location / {
proxy_pass http://admin.xsgzs;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
为什么需要反向代理?
作为服务端代理,自然是一台机器处理不过来了,需要转发、分散请求给其他服务器做。下面列出一些适用场景:
1.负载均衡:
上面的例子1中 web1 和 web2 上游服务器组都使用了负载均衡,把请求转发向一组服务器。具体转发给哪台服务器,nginx 提供了多种负载均衡策略,上面使用的是加权方式
2.一个域名,多个网站。 如上面的例2
3.反向代理另一个作用就是隐藏后面的真实服务,以此达到一定的安全性
仔细讲解各个模块
nginx 配置文件主要分为六个区域
(1) main 全局设置 (2) events (nginx 工作模式) (3) http (http设置) (4) server (主机设置) (5) location (URL匹配) (6) upstream (负载均衡服务器设置)
main 模块(全局设置)
下面是一个 main 区域,它是一个全局设置
user nobody nobody; worker_processes 2; error_log /usr/local/var/log/nginx/error.log notice; worker_rlimit_nofile 1024;
user 用来设置运行 nginx 服务器的用户或用户组,语法格式:
user user [group]
user , 指定可以运行 nginx 服务器的用户
group,可选项,指定可以运行 nginx 服务器的用户组
注:只有被指定的用户或用户组才有权限启动 nginx 进程,如果是其他用户 (test_user) 尝试启动 nginx 进程,将会报错
nginx: [emerg] getpwnam("test_user") failed (2:No such file or directory) in /Nginx/conf/nginx.conf:2
从上面的报错信息中可以知道,nginx 无法运行的原因是查找 test_user 失败,引起错误的原因在 nginx.conf 文件第二行即
配置运行 nginx 服务器的用户或用户组
如果希望所有的用户或用户组都有权限启动 nginx 进程,有两种方式:一是将此行指令注释掉、而是将用户或用户组设置
为 nobody,这也是 user 指令的默认值
worker_processes 用来指定 nginx 要开启的子进程数目
worker prcocess 是 nginx 服务器实现并发处理的关键所在,从理论上来说,worker process 的值越大,可以支持的并发处理量越大,但实际上它还要受到来自软件本身、
操作系统本身资源和能力、硬件设备(如:CPU 和 磁盘驱动器)等制约,其语法格式:
worker_processes number | auto
number,来指定 nginx 要开启的子进程数目
auto,nginx 自动检测
在默认配置文件中,number = 1,启动 nginx 服务器之后,使用以下命令可以看到此时的 nginx 除了主进程 master process 之外还生成了一个 worker process,在这里我将
number 指定为 4 ,除了主进程 master process 之外还生成了 4 个 worker process
在这里还有一点需要注意的地方:
worker_processes 指的是操作系统启动多少个工作进程运行 nginx,注意这里说的是工作进程(worker process)。在 nginx 运行的时候,会启动两种进程,一种进程是 master pro
cess(主进程),一种是 worker process(工作进程)。主进程负责监控端口,协调工作进程的工作状态,分配工作任务,工作进程负责进行任务处理,一般这个参数要和操作系统 CPU 内
核数成倍数。
error_log 关于错误日志的配置可以参考这一篇文章:https://www.cnblogs.com/leeyongbard/p/10880356.html
worker_rlimit_nofile 用来设定一个 nginx worker process (工作进程),可打开最大文件数
events 模块
events 模块用来指定 nginx 的工作模式以及每一个 worker process 同时开启的最大连接数,如下:
events {
use epoll; #Linux平台
worker_connections 1024;
}
use 用来指定 nginx 的工作模式,nginx 支持的工作模式有:select、poll、Kqueue、epoll、rtsig 和 /dev/poll,select 和 poll 是标准的工作模式,Kqueue 和 epoll 是
高效的工作模式,不同的是 epoll 是用在 linux 平台,而 Kqueue 是用在 BSD 系统,而 mac 基于 BSD ,所以 mac 上的 nginx 工作模式是 Kqueue ,epoll 是 Linux 上nginx
工作模式的首选
worker_connections 用来设置允许每一个 worker process 同时开启的最大连接数,即接收前端的最大请求数。最大客户端连接数由 worker_processes 和 worker_conn
ectios决定,即 max_clients = worker_processes * worker_connections ,在作为反向代理时,max_clients = worker_processes * worker_connections/4。注意,一个进程建
立一个连接后,进程将打开一个文件副本。所以,worker_connections 的 number 值还受到操作系统设定的,进程最大可打开文件数
其语法格式:
worker_connections number
设置 nginx 进程最大可打开文件数(不能超过系统级别设定的进程可打开最大文件数)
1.更改系统级别 "进程可打开最大文件数"
首先需要要有 root 权限,修改 /etc/security/limits.conf
在主配置文件中添加下面两句
* soft nofile 327680 * hard nofile 327680
soft 表示应用软件级别限制的最大可打开文件数,hard 表示操作系统级别限制的最大可打开文件数,"*" 表示对所有用户都生效
保存配置不会立即生效,需要通过 ulimit 命令 或 重启系统
ulimit -n 327680
执行命令后,通过 ulimit -a 查看修改是否生效
core file size (blocks, -c) 0 data seg size (kbytes, -d) unlimited scheduling priority (-e) 0 file size (blocks, -f) unlimited pending signals (-i) 63704 max locked memory (kbytes, -l) 64 max memory size (kbytes, -m) unlimited open files (-n) 327680 pipe size (512 bytes, -p) 8 POSIX message queues (bytes, -q) 819200 real-time priority (-r) 0 stack size (kbytes, -s) 10240 cpu time (seconds, -t) unlimited max user processes (-u) 63704 virtual memory (kbytes, -v) unlimited file locks (-x) unlimited
注意,open files 这一项变化了表示修改生效
2. 修改 nginx 软件级别的 "进程最大可打开文件数"
第一步只是修改了操作系统级别的 "进程最大可打开文件数",作为 nginx 来说,我们还需要对这个软件进行修改,打开 nginx.conf 主配置文件,修改 worker_rlimit_nofile 属性
修改完成之后,需要重启 nginx 配置才能生效
3.验证 nginx 的 "进程最大可打开文件数" 是否生效
在 Linux 中,所有的进程都会有一个临时的核心配置文件描述,存放位置:/pro/进程号/limit
我们可以看到,nginx worker process 的进程号分别是:4872、4873、4874、4875,我们选择其中一个查看其核心配置信息:
可以看到 Max open files 分别是65535,更改配置信息后,重启 nginx,如上所示方式查看是否生效
http 模块
http 模块可以说是最核心的模块了,它主要负责 HTTP 服务器相关属性的配置,它里面的 server、upstream 至关重要,下面看一个简单的 http 模块配置
http{
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /usr/local/var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 10;
#gzip on;
upstream myproject {
.....
}
server {
....
}
}
说一下每个配置项的具体含义
include:nginx 服务器作为 web 服务器,必须能够识别前端请求过来的资源类型,include mime.types 用来设置 nginx 所能识别的文件类型,mime.types 在
nginx 主配置文件同级目录下
default_type:设置默认的类型为二进制流,也就是当请求的资源类型在 mime.types 里面未定义时默认使用该类型
access_log、log_format 可以参考这篇文章:https://www.cnblogs.com/leeyongbard/p/10880356.html
sendfile 用于开启高效的文件传输模式。将 tcp_nopush、tcp_nodelay 设置为 on 用于防止网络阻塞
keepalive_timeout:用于设置与用户建立连接之后,nginx 服务器可以保持这些连接一段时间
server 模块
server 模块是 http 模块的子模块,主要用于定义一个虚拟主机,下面先看一个简单的 server 是如何做的?
server {
listen 8080;
server_name localhost 192.168.12.10 www.yangyi.com;
# 全局定义,如果都是这一个目录,这样定义最简单。
root /Users/yangyi/www;
index index.php index.html index.htm;
charset utf-8;
access_log usr/local/var/log/host.access.log main;
error_log usr/local/var/log/host.error.log error;
....
}
server,标志定义虚拟主机开始
listen,指定虚拟主机的服务端口
server_name,用来指定 IP 地址或 域名,多个域名之间用空格分开
root,配置请求的根目录
web 服务器在接收到网络请求后,需要在服务端指定的根目录中寻找请求的资源。在 nginx 服务器中 root 指令就是设置这个根目录的,其语法为:
root path
path 为 nginx 服务器接收到请求后查找资源的根目录。root 指令可以在 http,server,location 块中都可以配置,多数情况下 root 指令是配置在 location
块中,看一个简单的示例
location /data/
{
root /locationtest1;
}
当 location 块接收到 /data/index.html 的请求时,将会在 /locationtest1/data/ 目录下寻找 index.html 响应请求
index,用于设定只输入域名时访问的默认首页地址,有个先后顺序:index.php、index.html、index.htm 如果没有开启目录浏览权限,又找不到这些默认首页,则会报 403
charset,设置网页的默认编码格式
access_log,error_log 这里不再说
location 模块
location 模块也是一个非常重要且常用的模块,根据字面意思就可以知道主要用于定位,定位 URL,解析 URL,它提供了非常强大的正则匹配功能,也支持条件判断匹配
在 nginx 官方文档中定义的 location 语法为:
location [ = | ~ | ~* | ^~] uri {
................
................
}
其中,uri 是待匹配的请求字符串,可以是不含正则表达式的字符串,如,/myserver.php,也可以是包含正则表达式的字符串,如,.php$(表示以 .php 结尾)
不包含正则表达式的 uri -> 标准 uri
包含正则表达式的 uri -> 正则 uri
方括号里面的部分是可选项,在介绍四种标识之前先了解下如果不添加此选项时,nginx 服务器是如何在 server 块中搜索并使用 location 块和 uri 实现和请求字符串匹配的
在不添加此选项时,nginx 服务器会在 server 块的多个 location 块中搜索是否有和标准 uri 匹配的请求字符串,如果有多个可以匹配,就记录匹配度最高的一个。然后再用
location 块中的正则 uri 和请求字符串匹配,当正则 uri 匹配成功之后,结束搜索,使用此 location 块处理请求。如果正则 uri 匹配失败,就是用上面匹配度最高的 location
块处理此请求。
四种标识(=、~、~*、^~)
1. =,用于标准 uri 前,要求请求字符串和 uri 严格匹配。如果匹配成功,就停止向下继续搜索并立即使用该 location 块处理请求 2,~,用于表示 uri 包含正则表达式,并区分大小写 3,~*,用于表示 uri 包含正则表达式,并且不区分大小写 4,^~,用于标准 uri 前,要求 nginx 服务器找到和请求字符串匹配度最高的标准 uri 后,立即使用该 location 快处理请求,不再使用 location 块的正则 uri 和请求字符串做匹配
注意:
我们知道浏览器传送 uri 时,会对一部分 uri 进行编码,比如,空格会被编码成 "%20",问号会被编码成 '%3f"等,"^"有一个特点,它会对 uri 中的这些符号做编码处理,如,如果 location 块接收到的 uri 是 /html/%20/data,则当 nginx 服务器搜索到配置为 /html//data 的 location 块时就可以匹配成功
upstream 模块
upstream 模块负责负载均衡,目前 nginx 的负载均衡支持 4 种方式:
1,轮询(默认)
每个请求按照时间顺序逐一分配到不同后端服务器,如果后端服务器 down 掉,则自动剔除,使用户访问不受影响
2,weight(指定轮询权重)
weight 的值越大分配到的访问概率越高,主要用于后端每台服务器性能不均衡的情况下,或仅仅在主从情况下设置不同的权值,达到有效合理的利用主机资源。
upstream bakend {
server 192.168.0.14 weight=10;
server 192.168.0.15 weight=10;
}
3,ip_hash
每个请求按照访问 ip 的哈希结果分配,使来自同一个 ip 的访客固定访问一台后端服务器
upstream bakend {
ip_hash;
server 192.168.0.14:88;
server 192.168.0.15:80;
}
4,fair
比 weight、ip_hash 更加智能的负载均衡算法,fair 可以根据页面大小和加载时间长短智能地进行负载均衡,也就是根据后端服务器的响应时间来分配请求,响应时间
的优先分配。nginx 本身并不支持 fair,如果要使用这种调度算法,则需要安装 upstream_fair 模块。
upstream backend {
server server1;
server server2;
fair;
}
4,url_hash
按照访问 url 的哈希结果分配,使每一个 url 定向到后端某一台服务器,可以进一步提高后端缓存服务器的效率,不过 nginx 本身是不支持这种调度算法的,需要安装
nginx 的 hash 软件包
例:在upstream中加入hash语句,server语句中不能写入weight等其他的参数,hash_method是使用的hash算法
upstream backend {
server squid1:3128;
server squid2:3128;
hash $request_uri;
hash_method crc32;
}
在 nginx 的 upstream 模块,可以设置每台后端服务器在负载均衡中的调度状态,常用的状态:
1,down,表示当前机器暂时不参与负载均衡 2,backup,预留的备份机器。当其他所有的非 backup 机器出现故障或忙的时候,才会请求 backup 机器,因为此台机器的访问压力最小 3,max_fails,允许请求的失败次数,默认为 1,当超过最大次数时,返回 proxy_next_upstream 模块定义的错误 4,fail_timeout,请求失败超时时间,在经历了 max_fails 次失败后,暂停服务的时间。max_fails 和 fail_timeout 可以一起使用
下面看一个简单的 upstream 模块配置:
1,在 http 节点下添加 upstream 节点
upstream linuxidc {
server 10.0.6.108:7080;
server 10.0.0.85:8980;
}
2,将 server 节点下的 location 节点中的 proxy_pass 配置为:http:// + upstream名称
location / {
root hml;
index index.html index.htm;
proxy_pass http://linuxidc;
}
现在负载均衡初步完成了,upstream 按照轮询(默认)方式进行负载均衡。