Nginx介绍
Nginx("engine x")是一个高性能的http和反向代理服务,也是一个IMAP/POP3/SMTP代理服务器。由lgorsysoev为俄罗斯访问量第二的Rambler.ru站点开发。Nginx因为它的稳定性,丰富的功能及低内存消耗等特性而闻名,目前国内各大门户网站已经部署了Nginx,如新浪网易,腾讯等。
一、Nginx特性:
(1)模块化设计,较好的扩展性
(2)高可靠性
master主控进程-->worker子进程,缓存加载
(3)低内存消耗
(4)支持热部署:
不停机而更新配置文件、日志文件、升级程序
(5)支持事件驱动、AIO(异步IO)、mmap(内存映射)
二、基本功能:
(1)静态资源的web服务器,能缓存打开的文件描述符
(2)能做http、smtp、pop3协议的反向代理服务器
反向代理服务器:客户端请求发到反向代理服务器,数据再封装后再发给服务器,反向代理可经过多个,服务器回应的数据再通过代理服务器封装后发给客户端
(3)缓存、负载均衡
负载均衡:客户端请求到代理服务器,再由代理服务器分发到不同的服务器
(4)支持FastCGI(fpm,lnmp),uwsgi(python)等
(5)模块化(非DSO机制)、过滤器zip、SSI及图像的大小调整
(6)支持SSL
三、扩展功能:
基于名称和IP的虚拟主机
支持keepalive
支持平滑升级
定制访问日志、支持使用日志缓冲区提供日志存储性能
支持url rewrite
支持路径别名
支持基于IP及用户的访问控制
支持速率限制,支持并发数限制
四、Nginx的基本架构
一个master进程,生成一个或多个worker进程
事件驱动:epoll(边缘触发,linux)、kqueue(BSD),/dev/poll(WINDOWS)
复用器:select
支持sendfile,sendfile64
支持AIO
支持mmap
nginx的工作模式:非阻塞、事件驱动、由一进程生成多个worker线程,每个worker响应多个请求
五、模块类型:
standard HTTP modules 标准HTTP模块
optional HTTP modules 可选模块
mail modules 邮件模块
3rd party modules 第三方模块
六、配置文件
main配置段://核心模块
event:event模型工作特性
http:http协议相关配置
配置指令以分号结尾,语法格式
directive value1 ...
支持使用变量
内置变量
模块提供内建变量
自定义变量
set var_name value
七、基本配置的类别
1、用于调试、定位问题
2、正常运行配置
3、优化性能配置
4、事件相关配置
详解Nginx的配置
(1)正常运行的必备配置:
1、user USERNAME [GROUPNAME]; 指定运行worker进程的用户和组; user nginx nginx; 2、pid /path/to/pid_file; 指定nginx守护进程的pid文件; pid /var/run/nginx/nginx.pid; 3、worker_rlimit_nofile #; 指定所有worker进程所能够打开的最大文件数;
(2)性能优化相关的配置:
1、worker_processes #; 进程数 worker进程的个数;通常应该略少于CPU物理核心数; 2、worker_cpu_affinity cpumask ...; 绑定CPU 把工作进程绑定到CPU的设置 3、timer_resolution interval; 计时器解析度 计时器解析度;降低此值,可减少gettimeofday()系统调用的次数; 4、worker_priority number; 进程nice值 指明worker进程的nice值; -20, 19 100, 139
(3)事件相关的配置:
1、accept_mutex off|on; 负载均衡锁打开时能让多个worker轮流地响应请求 2、lock_file file; accept_mutex用到的锁文件路径; 3、use [epoll|rtsig|select|poll]; 指明使用的事件模型;建议让Nginx自行选择; 4、worker_connections #; 单个worker处理最大连接数,整个最大连接数是与wroker进程数相乘 worker_connections * work_processes
(4)用户于调试、定位问题:
1、daemon {on|off}; 是否以守护进程方式运行nginx;调试时应该设置为Off; 2、master_process {on|off}; 是否以master/worker模型来运行nginx; 调试时可以设置为off; 3、error_log file | stderr | syslog:server=address[,parameter=value] | memory:size [debug | info | notice | warn | error | crit | alert | emerg]; error_log 位置 级别; 若要使用debug级别,需要在编译nginx时使用了--with-debug选项;
总结:常需要进行调整的参数
worker_processes, 略少于CPU数
worker_connections, 51200
worker_cpu_affinity, 绑定CPU cpumask
worker_priority -10
新改动配置生效的方式:
#nginx -s reload
八、Nginx作为web服务器时使用的配置:
http {}:由ngx_http_core_module模块所引入;
(1)配置框架:
http { upstream { ... } server { location URL { root "/path/to/somedir"; ... } # 类似于httpd中的<Location>,用于定义URL与本地文件系统的映射关系; location URL { if ... { ... } } } # 每个server类似于httpd中的一个<VirtualHost>; server { ... } } 注意:与http相关的指令仅能够放置于http、server、location、upstream、if上下文,但有些指令仅应用于这5种上下文中的某些种;
(2)配置指令:
1、server {} 定义一个虚拟主机; server { listen 8080; server_name www.magedu.com; root "/vhosts/web1"; } 2、listen 指定监听的地址和端口; listen address[:port]; listen port; 3、server_name NAME [...]; 后可跟多个主机;名称还可以使用正则表达式(~)或通配符; (1) 先做精确匹配检查; (2) 左侧通配符匹配检查:*.magedu.com (3) 右侧通配符匹配检查:如mail.* (4) 正则表达式匹配检查:如 ~^.*\.magedu\.com$ (5) default_server; server { server_name www.magedu.com; } server { server_name *.magedu.com; } server { server_name mail.* } 4、root path; 设置资源路径映射;用于指明请求的URL所对应的资源所在的文件系统上的起始路径; 5、location [ = | ~ | ~* | ^~ ] uri { ... } location @name { ... } 根据请求URI配置location,可做访问控制,支持正则表达式和通配符 =:精确匹配检查; ~: 正则表达式模式匹配检查,区分字符大小写; ~*: 正则表达式模块匹配检查,不区分字符大小写; ^~:URI的前半部分匹配,不支持正则表达式; 匹配的优先级:精确匹配(=)、^~、~、~*、不带任何符号的location; location = / { [ configuration A ] } location / { [ configuration B ] } location /documents/ { [ configuration C ] } location ^~ /p_w_picpaths/ { [ configuration D ] } location ~* \.(gif|jpg|jpeg)$ { [ configuration E ] } “/” 匹配A “/index.html” 匹配B “/documents/document.html” 匹配C “/p_w_picpaths/1.gif” 匹配D “/documents/1.jpg” 匹配E 6、alias path; 用于location配置段,定义路径别名 location /p_w_picpaths/ { root "/vhosts/web1"; } http://www.magedu.com/p_w_picpaths/a.jpg <-- /vhosts/web1/p_w_picpaths/a.jpg location /p_w_picpaths/ { alias "/www/pictures"; } http://www.magedu.com/p_w_picpaths/a.jpg <-- /www/picuter/a.jpg 注意:root表示指明路径为对应的location "/" URL; alias表示路径映射,即location指令后定义的URL是相对于alias所指明的路径而言; 7、index file; 默认主页面; index index.php index.html; 8、error_page code ... [=[response]] uri; 根据http响应状态码来指明特用的错误页面; #vim /vhosts/web1/404_customed.html #vim /etc/nginx/nginx.conf location / { error_page 404 /404_customed.html; } [=[response]]:以指定的响应码进行响应,而不是默认的原来的响应;默认表示以新资源的响应码为其响应码; 9、基于IP的访问控制 allow IP/Network; deny IP/Network; #vim /etc/nginx/nginx.conf location / { deny 172.16.100.6; } #/usr/local/nginx/sbin/nginx -t //测试语法 #/usr/local/nginx/sbin/nginx -s reload 10、基于用户的访问控制 basic, digest; auth_basic ""; auth_basic_user_file "/PATH/TO/PASSWORD_FILE" 账号密码文件建议使用htpasswd来创建; #vim /etc/nginx/nginx.conf location / { auth_basic "only for VIP"; auth_basic_user_file /etc/nginx/users/.htpasswd; } #mkdir -p /etc/nginx/users #cd /etc/nginx/users #htpasswd -c -m /etc/nginx/users/.htpasswd tom 添加密码 #/usr/local/nginx/sbin/nginx -t //测试语法 #/usr/local/nginx/sbin/nginx -s reload 11、https服务 生成私钥,生成证书签署请求,并获得证书; CA服务端: #cd /etc/pki/CA #(umask 077;openssl genrsa -out private/cakey.pem 2048) #openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 30000 CN,HA,ZZ,magedu,ops,ca.magedu.com,caadmin@admin.com #touch servial index.txt #echo 01 > servial CA客户端 #cd /etc/nginx #mkdir ssl #cd ssl #(umask 077;openssl genrsa -out nginx.key 1024) #openssl req -new -key nginx.key -out nginx.csr CN,HA,ZZ,magedu,ops,www.magedu.com,web@admin.com CA服务端 #openssl ca -in nginx.csr -out nginx.crt -days 3650 CA客户端: #vim /etc/nginx/nginx.conf server { listen 443 ssl; server_name www.magedu.com; ssl_certificate /etc/nginx/ssl/nginx.crt; ssl_certificate_key /etc/nginx/ssl/nginx.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { root /vhosts/web1; index index.html index.htm; } } #/usr/local/nginx/sbin/nginx -t //测试语法 #/usr/local/nginx/sbin/nginx -s reload 12、stub_status {on|off}; 仅能用于location上下文; location /status { stub_status on; allow 172.16.0.0/16; deny all; } 结果示例: Active connections: 6 # 当前所有处于打开状态的连接数; server accepts handled requests 241 241 431 (1) 已经接受过的连接数 (2) 已经处理过的连接数 (3) 已经处理过的请求数;在“保持连接”模式下,请求数量可能会多于连接数量; Reading: 0 Writing: 1 Waiting: 5 Reading:正处于接收请求状态的连接数; Writing: 请求已经接收完成,正处于处理请求或发送响应的过程中的连接数; Waiting:保持连接模式,且处于活动状态的连接数; 13、rewrite regex replacement flag; 例如: ... rewrite ^/p_w_picpaths/(.*\.jpg)$ /imgs/$1 break; rewrite ^/imgs/(.*\.jpg)$ /p_w_picpaths/$1 break; .... http://www.magedu.com/p_w_picpaths/a/b/c/1.jpg --> http://www.magedu.com/imgs/a/b/c/1.jpg flag: last:一旦此rewrite规则重写完成后,就不再被后面其它的rewrite规则进行处理;而是由User Agent重新对重写后的URL再一次发起请求,并从头开始执行类似的过程 break:一旦此rewrite规则重写完成后,由User Agent对新的URL重新发起请求,且不再会被当前locatrion内的任何rewrite规则所检查; redirect:以302响应码(临时重定向)返回新的URL; permanent:以301响应码(永久重定向)返回新的URL; 14、if 语法:if (condition) {...} 应用环境:server, location condition: (1) 变量名; 变量值为空串,或者以“0”开始,则为false;其它的均为true; (2) 以变量为操作数构成的比较表达式 可使用=, !=类似的比较操作符进行测试; (3) 正则表达式的模式匹配操作 ~: 区分大小写的模式匹配检查 ~*: 不区分大小写的模式匹配检查 !~和!~*:对上面两种测试取反 (4) 测试路径为文件可能性:-f, !-f (5) 测试指定路径为目录的可能性:-d, !-d (6) 测试文件的存在性:-e, !-e (7) 检查文件是否有执行权限:-x, !-x 例如: if ($http_user_agent ~* MSIE) { rewrite ^(.*)$ /msie/$1 break; } http_user_agent 客户端浏览器 MSIE 微软浏览器 15、防盗链 location ~* \.(jpg|gif|jpeg|png)$ { valid_referer none blocked www.magedu.com; if ($invalid_referer) { rewrite ^/ http://www.magedu.com/403.html; } } valid_referer none blocked 定义合法引用 16、定制访问日志格式 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log logs/access.log main; 注意:此处可用变量为nginx各模块内建变量;
九、安装方法:
源码:编译安装
程序包:rpm
1、安装gcc开发环境 #yum -y groupinstall "Development tools" "Server Platform Development" 2、安装 pcre-devel openssl-devel #yum -y install pcre-devel openssl-devel #设置用户 #groupadd -r nginx #useradd -r -g nginx nginx 4)下载nginx-1.4.7稳定版 # wget http://nginx.org/download/nginx-1.4.7.tar.gz 编译安装 # tar xf nginx-1.4.7.tar.gz # cd nginx-1.4.7 # ./configure --prefix=/usr/local/nginx --conf-path=/etc/nginx/nginx.conf --user=nginx --group=nginx --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock --with-http_ssl_module --with-http_stub_status_module --with-http_gzip_static_module --with-http_flv_module --with-http_mp4_module --http-client-body-temp-path=/var/tmp/nginx/client --http-proxy-temp-path=/var/tmp/nginx/proxy --http-fastcgi-temp-path=/var/tmp/nginx/fastcgi --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi # make && make install # mkdir -pv /var/tmp/nginx/{client,proxy,fastcgi,uwsgi} 5)检测配置文件语法 # /usr/sbin/nginx -t 6) 提供启动脚本 # vim /etc/rc.d/init.d/nginx 内容如下 # nginx - this script starts and stops the nginx daemon # # chkconfig: - 85 15 # description: Nginx is an HTTP(S) server, HTTP(S) reverse \ # proxy and IMAP/POP3 proxy server # processname: nginx # config: /etc/nginx/nginx.conf # config: /etc/sysconfig/nginx # pidfile: /var/run/nginx.pid # Source function library. . /etc/rc.d/init.d/functions # Source networking configuration. . /etc/sysconfig/network # Check that networking is up. [ "$NETWORKING" = "no" ] && exit 0 nginx="/usr/sbin/nginx" prog=$(basename $nginx) NGINX_CONF_FILE="/etc/nginx/nginx.conf" [ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx lockfile=/var/lock/subsys/nginx make_dirs() { # make required directories user=`nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -` options=`$nginx -V 2>&1 | grep 'configure arguments:'` for opt in $options; do if [ `echo $opt | grep '.*-temp-path'` ]; then value=`echo $opt | cut -d "=" -f 2` if [ ! -d "$value" ]; then # echo "creating" $value mkdir -p $value && chown -R $user $value fi fi done } start() { [ -x $nginx ] || exit 5 [ -f $NGINX_CONF_FILE ] || exit 6 make_dirs echo -n $"Starting $prog: " daemon $nginx -c $NGINX_CONF_FILE retval=$? echo [ $retval -eq 0 ] && touch $lockfile return $retval } stop() { echo -n $"Stopping $prog: " killproc $prog -QUIT retval=$? echo [ $retval -eq 0 ] && rm -f $lockfile return $retval } restart() { configtest || return $? stop sleep 1 start } reload() { configtest || return $? echo -n $"Reloading $prog: " killproc $nginx -HUP RETVAL=$? echo } force_reload() { restart } configtest() { $nginx -t -c $NGINX_CONF_FILE } rh_status() { status $prog } rh_status_q() { rh_status >/dev/null 2>&1 } case "$1" in start) rh_status_q && exit 0 $1 ;; stop) rh_status_q || exit 0 $1 ;; restart|configtest) $1 ;; reload) rh_status_q || exit 7 $1 ;; force-reload) force_reload ;; status) rh_status ;; condrestart|try-restart) rh_status_q || exit 0 ;; *) echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}" exit 2 esac 7)添加到系统服务并开机启动 # chkconfig --add nginx # chkconfig nginx on # chkconfig --list nigx 8) 设置nginx配置文件的语法高亮 # mkdir ./vim/syntax -pv # cd .vim/syntax # wget http://www.vim.org/scripts/download_script.php?src_id=19394 # cd .vim # vim filetype.vim 内容如下 au BufRead,BufNewFile /etc/nginx/*,/usr/local/nginx/conf/* if &ft == '' | setfiletype nginx | endif 9)启动服务 # service nginx start # pa aux | grep nginx 至此,编译及后续工作完成