nginx部署

nginx简介

nginx（发音同engine x）是一款轻量级的Web服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，并在一个BSD-like协议下发行。

nginx由俄罗斯的程序设计师Igor Sysoev所开发，最初供俄国大型的入口网站及搜寻引擎Rambler使用。

第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布，因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日，nginx 1.0.4发布。

nginx的特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用nginx网站用户有：百度、京东、新浪、网易、腾讯、淘宝等。

nginx的特性与优点

nginx的特性

nginx是一个很牛的高性能Web和反向代理服务器，它具有很多非常优越的特性：

在高连接并发的情况下，nginx是Apache服务器不错的替代品，能够支持高达50000个并发连接数的响应
使用epoll and kqueue作为开发模型
nginx作为负载均衡服务器：nginx既可在内部直接支持和PHP程序对外进行服务，也可支持作为HTTP代理服务器对外进行服务
nginx采用C进行编写，不论系统资源开销还是CPU使用效率都比Perlbal要好很多

nginx的优点

高并发连接：官方测试能够支撑5万并发连接，在实际生产环境中跑到2-3万并发连接数
内存消耗少：在3万并发连接下，开启的10个nginx进程才消耗150M内存（15M*10=150M）
配置文件非常简单：风格跟程序一样通俗易懂
成本低廉：nginx为开源软件，可以免费使用。而购买F5 BIG-IP、NetScaler等硬件负载均衡交换机则需要十多万至几十万人民币
支持Rewrite重写规则：能够根据域名、URL的不同，将HTTP请求分到不同的后端服务器群组
内置的健康检查功能：如果Nginx Proxy后端的某台Web服务器宕机了，不会影响前端访问
节省带宽：支持GZIP压缩，可以添加浏览器本地缓存的Header头
稳定性高：用于反向代理，宕机的概率微乎其微
模块化设计：模块可以动态编译
外围支持好：文档全，二次开发和模块较多
支持热部署：可以不停机重载配置文件
支持事件驱动、AIO（AsyncIO，异步IO）、mmap（Memory Map，内存映射）等性能优化

nginx的功能及应用类别

nginx的基本功能

静态资源的web服务器，能缓存打开的文件描述符
http、smtp、pop3协议的反向代理服务器
缓存加速、负载均衡
支持FastCGI（fpm，LNMP），uWSGI（Python）等
模块化（非DSO机制），过滤器zip、SSI及图像的大小调整
支持SSL

nginx的扩展功能

基于名称和IP的虚拟主机
支持keepalive
支持平滑升级
定制访问日志、支持使用日志缓冲区提高日志存储性能
支持URL重写
支持路径别名
支持基于IP及用户的访问控制
支持速率限制，支持并发数限制

nginx的应用类别

使用nginx结合FastCGI运行PHP、JSP、Perl等程序
使用nginx作反向代理、负载均衡、规则过滤
使用nginx运行静态HTML网页、图片
nginx与其他新技术的结合应用

nginx的模块与工作原理

nginx由内核和模块组成。其中，内核的设计非常微小和简洁，完成的工作也非常简单，仅仅通过查找配置文件将客户端请求映射到一个location block（location是nginx配置中的一个指令，用于URL匹配），而在这个location中所配置的每个指令将会启动不同的模块去完成相应的工作。

nginx的模块分类

nginx的模块从结构上分为核心模块、基础模块和第三方模块

HTTP模块、EVENT模块和MAIL模块等属于核心模块
HTTP Access模块、HTTP FastCGI模块、HTTP Proxy模块和HTTP Rewrite模块属于基本模块
HTTP Upstream模块、Request Hash模块、Notice模块和HTTP Access Key模块属于第三方模块

用户根据自己的需要开发的模块都属于第三方模块。正是有了如此多模块的支撑，nginx的功能才会如此强大

nginx模块从功能上分为三类，分别是：

Handlers（处理器模块）。此类模块直接处理请求，并进行输出内容和修改headers信息等操作。handlers处理器模块一般只能有一个
Filters（过滤器模块）。此类模块主要对其他处理器模块输出的内容进行修改操作，最后由nginx输出
Proxies（代理器模块）。就是nginx的HTTP Upstream之类的模块，这些模块主要与后端一些服务比如fastcgi等操作交互，实现服务代理和负载均衡等功能

nginx模块分为：核心模块、事件模块、标准Http模块、可选Http模块、邮件模块、第三方模块和补丁等

nginx基本模块：所谓基本模块，指的是nginx默认的功能模块，它们提供的指令，允许你使用定义nginx基本功能的变量，在编译时不能被禁用，包括：
- 核心模块：基本功能和指令，如进程管理和安全。常见的核心模块指令，大部分是放置在配置文件的顶部
- 事件模块：在Nginx内配置网络使用的能力。常见的events（事件）模块指令，大部分是放置在配置文件的顶部
- 配置模块：提供包含机制

具体的指令，请参考nginx的官方文档

nginx的工作原理

nginx的模块直接被编译进nginx，因此属于静态编译方式。

启动nginx后，nginx的模块被自动加载，与Apache不一样，首先将模块编译为一个so文件，然后在配置文件中指定是否进行加载。

在解析配置文件时，nginx的每个模块都有可能去处理某个请求，但是同一个处理请求只能由一个模块来完成。

nginx的进程架构：
启动nginx时，会启动一个Master进程，这个进程不处理任何客户端的请求，主要用来产生worker线程，一个worker线程用来处理n个request。

下图展示了nginx模块一次常规的HTTP请求和响应的过程

用户通过HTTP发出请求，nginx内核接收到请求后选择一个处理器模块进行处理，，处理完后要生成内容（处理完后要代理模块代理），生成完后用过滤器模块进行过滤，过滤完后通过HTTP响应给用户

下图展示了基本的WEB服务请求步骤

nginx的安装与配置

nginx的安装

//创建用户
[root@MF ~]# useradd -r -M -s /sbin/nologin nginx

//关闭防火墙
[root@MF ~]# systemctl disable --now firewalld
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@MF ~]# setenforce 0

//安装依赖包
[root@MF ~]# yum -y install pcre-devel openssl openssl-devel gd-devel gcc gcc-c++ make vim wget

//下载nginx
[root@MF ~]# wget http://nginx.org/download/nginx-1.20.0.tar.gz
[root@MF ~]# du -sh *
4.0K    anaconda-ks.cfg
1.1M    nginx-1.20.0.tar.gz

[root@MF ~]# tar xf nginx-1.20.0.tar.gz 
[root@MF ~]# ls
anaconda-ks.cfg  nginx-1.20.0  nginx-1.20.0.tar.gz
[root@MF ~]# cd nginx-1.20.0

//安装开发工具包
[root@MF nginx-1.20.0]# yum -y groups mark install 'Development Tools'

//创建日志目录
[root@MF nginx-1.20.0]# mkdir -p /var/log/nginx
[root@MF nginx-1.20.0]# chown -R nginx.nginx /var/log/nginx

//编译安装
[root@MF nginx-1.20.0]# ./configure 
> --prefix=/usr/local/nginx 
> --user=nginx 
> --group=nginx 
> --with-debug 
> --with-http_ssl_module 
> --with-http_realip_module 
> --with-http_image_filter_module 
> --with-http_gunzip_module 
> --with-http_gzip_static_module 
> --with-http_stub_status_module 
> --http-log-path=/var/log/nginx/access.log 
> --error-log-path=/var/log/nginx/error.log

[root@MF nginx-1.20.0]# make
[root@MF nginx-1.20.0]# make install

//配置环境变量
[root@MF ~]# echo 'export PATH=/usr/local/nginx/sbin:$PATH' > /etc/profile.d/nginx.sh
[root@MF ~]# source /etc/profile.d/nginx.sh 
[root@MF ~]# which nginx
/usr/local/nginx/sbin/nginx

//启动
[root@MF ~]# nginx
[root@MF ~]# ss -antl
State  Recv-Q   Send-Q      Local Address:Port     Peer Address:Port  
LISTEN 0        128               0.0.0.0:22            0.0.0.0:*     
LISTEN 0        128               0.0.0.0:80            0.0.0.0:*     
LISTEN 0        128                  [::]:22               [::]:*

//服务控制方式，使用nginx命令
    -t  //检查配置文件语法
    -v  //输出nginx的版本
    -c  //指定配置文件的路径
    -s  //发送服务控制信号，可选值有{stop|quit|reopen|reload}

nginx的配置文件详解

主配置文件：/usr/local/nginx/conf/nginx.conf

默认启动nginx时，使用的配置文件是：安装路径/conf/nginx.conf文件
可以在启动nginx时通过-c选项来指定要读取的配置文件

`nginx`常见的配置文件及其作用

配置文件	作用
nginx.conf	nginx的基本配置文件
mime.types	MIME类型关联的扩展文件
fastcgi.conf	与fastcgi相关的配置
proxy.conf	与proxy相关的配置
sites.conf	配置nginx提供的网站，包括虚拟主机

nginx.conf配置详解

nginx.conf的内容分为以下几段：

main配置段：全局配置段。其中main配置段中可能包含event配置段
event {}：定义event模型工作特性
http {}：定义http协议相关的配置

配置指令：要以分号结尾，语法格式如下：

derective value1 [value2 ...];

支持使用变量：

内置变量：模块会提供内建变量定义
自定义变量：set var_name value

用于调试、定位问题的配置参数

daemon {on|off};    //是否以守护进程方式运行nginx，调试时应设置为off
master_process {on|off};    //是否以master/worker模型来运行nginx，调试时可以设置为off
error_log 位置 级别;    //配置错误日志

error_log里的位置和级别能有以下可选项：

位置	级别
file stderr syslog:server=address[,parameter=value] memory:size	debug：若要使用debug级别，需要在编译nginx时使用--with-debug选项 info notice warn error crit alert emerg

正常运行必备的配置参数

user USERNAME [GROUPNAME];    //指定运行worker进程的用户和组
pid /path/to/pid_file;    //指定nginx守护进程的pid文件
worker_rlimit_nofile number;    //设置所有worker进程最大可以打开的文件数，默认为1024
worker_rlimit_core size;    //指明所有worker进程所能够使用的总体的最大核心文件大小，保持默认即可

优化性能的配置参数

worker_processes n;    //启动n个worker进程，这里的n为了避免上下文切换，通常设置为cpu总核心数-1或等于总核心数
worker_cpu_affinity cpumask ...;    //将进程绑定到某cpu中，避免频繁刷新缓存
//cpumask：使用8位二进制表示cpu核心，如：
    0000 0001   //第一颗cpu核心
    0000 0010   //第二颗cpu核心
    0000 0100   //第三颗cpu核心
    0000 1000   //第四颗cpu核心
    0001 0000   //第五颗cpu核心
    0010 0000   //第六颗cpu核心
    0100 0000   //第七颗cpu核心
    1000 0000   //第八颗cpu核心
timer_resolution interval;    //计时器解析度。降低此值，可减少gettimeofday()系统调用的次数
worker_priority number;    //指明worker进程的nice值

事件相关的配置：event{}段中的配置参数

accept_mutex {off|on};    //master调度用户请求至各worker进程时使用的负载均衡锁；on表示能让多个worker轮流地、序列化地去响应新请求
lock_file file;    //accept_mutex用到的互斥锁锁文件路径
use [epoll | rtsig | select | poll];    //指明使用的事件模型，建议让nginx自行选择
worker_connections #;    //每个进程能够接受的最大连接数

网络连接相关的配置参数

keepalive_timeout number;    //长连接的超时时长，默认为65s
keepalive_requests number;    //在一个长连接上所能够允许请求的最大资源数
keepalive_disable [msie6|safari|none];    //为指定类型的UserAgent禁用长连接
tcp_nodelay on|off;    //是否对长连接使用TCP_NODELAY选项，为了提升用户体验，通常设为on
client_header_timeout number;    //读取http请求报文首部的超时时长
client_body_timeout number;    //读取http请求报文body部分的超时时长
send_timeout number;    //发送响应报文的超时时长

fastcgi的相关配置参数

LNMP：php要启用fpm模型
配置示例如下：

location ~ .php$ {
  root html;
  fastcgi_pass 127.0.0.1:9000;      //定义反向代理
  fastcgi_index index.php;
  fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
  include fastcgi_params;
}

location区段

通过指定模式来与客户端请求的URI相匹配

功能：允许根据用户请求的URI来匹配定义的各location，匹配到时，此请求将被相应的location配置块中
的配置所处理，例如做访问控制等功能
语法：location [ 修饰符 ] pattern {......}

常用修饰符说明：

修饰符	功能
=	精确匹配
-	正则表达式模式匹配，区分大小写
~*	正则表达式模式匹配，不区分大小写
^~	前缀匹配，类似于无修饰符的行为，也是以指定模块开始，不同的是，如果模式匹配，那么就停止搜索其他模式了，不支持正则表达式
@	定义命名location区段，这些区段客户端不能访问，只可以由内部产生的请求来访问，如 try_files或error_page等

没有修饰符

表示必须以指定模式开始

//在配置文件里添加新的location，千万别改原来的配置
[root@mf html]# vim /usr/local/nginx/conf/nginx.conf
......
 location /test {
            echo "无修饰符";
              }
.......

[root@mf html]# nginx -s reload

如下内容就可正确匹配

[root@mf ~]# curl http://192.168.92.129/test
无修饰符
[root@mf ~]# curl http://192.168.92.129/test/
无修饰符
[root@mf ~]# curl http://192.168.92.129/test?p1=11?p2=22
无修饰符

精确匹配

=：表示必须与指定的模式精确匹配

......
location = /test {
            echo "精确匹配";
              }
......

[root@mf html]# nginx -s reload

如下内容就可正确匹配

[root@mf ~]# curl http://192.168.92.129/test
精确匹配

[root@mf ~]# curl http://192.168.92.129/test?p1=11?p2=22
精确匹配

如下内容则无法匹配

[root@mf ~]# curl http://192.168.92.129/test/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
         35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

正则表达式模式匹配(区分大小写)

~：表示指定的正则表达式要区分大小写

......
location ~ ^/test$ {
            echo "正则表达式要区分大小写";
              }
......

[root@mf html]# nginx -s reload

如下内容就可正确匹配

[root@mf ~]# curl http://192.168.92.129/test
正则表达式要区分大小写
[root@mf ~]# curl http://192.168.92.129/test?p1=11?p2=22
正则表达式要区分大小写

如下内容则无法匹配

[root@mf ~]# curl http://192.168.92.129/test/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
         35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
[root@mf ~]# curl http://192.168.92.129/TEST/
<html>
<head><title>404 Not Found</title></head>
<body>
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.20.0</center>
</body>
</html>

正则表达式模式匹配(不区分大小写)

~*：表示指定的正则表达式不区分大小写

......
location ~* ^/test$ {
            echo "正则表达式不区分大小写";
              }
......

[root@mf html]# nginx -s reload

如下内容就可正确匹配

[root@mf ~]# curl http://192.168.92.129/test
正则表达式不区分大小写
[root@mf ~]# curl http://192.168.92.129/test?p1=11?p2=22
正则表达式不区分大小写

如下内容则无法匹配

[root@mf ~]# curl http://192.168.92.129/test/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
         35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

^{~：类似于无修饰符的行为，也是以指定模式开始，不同的是，如果模式匹配，则停止搜索其他模式}

查找顺序和优先级：由高到底依次为

带有=的精确匹配优先
正则表达式按照他们在配置文件中定义的顺序
带有^~修饰符的，开头匹配
带有~或~*修饰符的，如果正则表达式与URI匹配
没有修饰符的精确匹配

优先级次序如下：

( location = 路径 ) --> ( location ^~ 路径 ) --> ( location ~ 正则 ) --> ( location ~* 正则 ) --> ( location 路径 )

访问控制

用于location段
allow：设定允许哪台或哪些主机访问，多个参数间用空格隔开
deny：设定禁止哪台或哪些主机访问，多个参数间用空格隔开

示例：

//只允许访问192.168.92.129

[root@nginx ~]# vim /usr/local/nginx/conf/nginx.conf
.。。。。。
location ~ /mf {
            echo "test location";
            allow 192.168.92.130;
            deny all;
        }

。。。。。。

[root@nginx ~]# nginx -s reload

验证

在本机访问
[root@nginx logs]# curl 192.168.92.129/mf
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.20.0</center>
</body>
</html>

在192.168.92.130访问
[root@localhost ~]# curl 192.168.92.129/mf
test location

基于用户认证

auth_basic "欢迎信息";
auth_basic_user_file "/path/to/user_auth_file"

user_auth_file内容格式为：

username:password

这里的密码为加密后的密码串，建议用htpasswd来创建此文件：

htpasswd -c -m /path/to/.user_auth_file USERNAME

示例

server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.html;
        }

        location /mufeng {
            root html;
            index index.html;
            auth_basic "Welcome mufeng";
            auth_basic_user_file "/usr/local/nginx/conf/.user-auth-file";
        }

nginx部署

nginx简介

nginx的特性与优点

nginx的特性

nginx的优点

nginx的功能及应用类别

nginx的基本功能

nginx的扩展功能

nginx的应用类别

nginx的模块与工作原理

nginx的模块分类

nginx的工作原理

nginx的安装与配置

nginx的安装

nginx的配置文件详解

nginx常见的配置文件及其作用

nginx.conf配置详解

用于调试、定位问题的配置参数

正常运行必备的配置参数

优化性能的配置参数

事件相关的配置：event{}段中的配置参数

网络连接相关的配置参数

fastcgi的相关配置参数

location区段

常用修饰符说明：

没有修饰符

精确匹配

正则表达式模式匹配(区分大小写)

正则表达式模式匹配(不区分大小写)

~：类似于无修饰符的行为，也是以指定模式开始，不同的是，如果模式匹配，则停止搜索其他模式

查找顺序和优先级：由高到底依次为

优先级次序如下：

访问控制

验证

基于用户认证

示例

`nginx`常见的配置文件及其作用

^{~：类似于无修饰符的行为，也是以指定模式开始，不同的是，如果模式匹配，则停止搜索其他模式}