Nginx (engine x)是一个高性能的HTTP和反向代理服务器,也是一款轻量级的Web 服务器

关于http协议的相关概念:

URL统一资源定位符的形式:



shceme://username:password@host:port/path;params?query#frag


http事务:一次请求和一次响应构成一次事务

request请求格式:
 
  
        <method><URL><VERSION>
        HEADERS

        <body>
 
  
response响应格式:
 
  
        <VERSION><STATUS><REASON-PHTASE>
        HEADERS
        <body>


Method请求方法: GET/HEAD/POST,PUT/DELETE,TRACES,OPTIONS

Status code:



        1xx:         2xx:成功响应码         3xx:重定向类的响应码         4xx:客户端错误         5xx:服务器端错误



Nginx配置文件nginx.conf的结构:

不被花括号所包含的是main block 配置段,也是全局配置段



 event{  } 与事件驱动相关的配置段  http{  } 与http/https相关的配置段  mail{  }与邮件代理相关的配置段  stream{  }与负载均衡相关的配置段



作为web服务器http的配置段的结构


http{
      ... 配置各个server的全局配置段
      server{
          listen  80; 监听的端口
          server_name www.example.com
          root  /web/hosts/
          alias 
          location {OPERATOR} URL{
          ... 
              if CONDITION{
              ...
              }
          }
      }每一个server是一个虚拟站点
  }


nginx配置main block段相关指令及含义

指定work进程的运行身份:



    user nginx group;



指明pid文件的存放路径



    pid /var/run/nginx.pid;



包含其他配置文件片段



include file_name|mask;



指明要动态装载的模块



load_module file_name;



错误日志:



    error_log /var/log/nginx/error.log varn;



与系统优化相关的配置:

worker进程能够打开文件描述符的数量上限:



    worker_rlimit_nofile  20;   配置最好与ulimit -n 数值相同,修改文件描述符的数量ulimit -HSn 180000



生成work进程数



    worker_processes 3 | auto;



woker进程的优先级:默认为0



    worker_priority -9;



nginx的worker进程与cpu绑定



 wokrer_cpu_affinity  1000 0100 0010| auto;      cpu mask所代表的含义:           1000  : 四核心cpu的最后一个           0100  : 四核心cpu的倒数第二个           ...



用于debug使用的配置:

是否以守护进程的方式运行



     daemon on|off;



是否以master/worker模型运行



      master_process  on| off;



指定错误日志路径及级别



 error_log     file warn; 指明错误日志路径及名称时不可引用变量



与events配置相关的配置段:

每个worker进程所能响应的最大并发数



 worker_connetctions  65535;      一台服务器所能承载的并发响应总数      worker_processes  * worker_iconnections



指明并发链接请求的处理方法:



 use  epoll;



worker进程接受新请求的方法



 accept_mutex on|off;      如果为on则worker进程轮流接受新的请求      如果为off则worker进程都会接收到通知,空闲的接受请求



与站点套接字相关的配置

server{
    listen  address:port default_server  ssl http2 backlog=123 rcvbuf=512 sndbuf=512;
        #default_server:指定为默认虚拟站点
       #ssl : 限制仅能通过ssl间接站点
        #http2: 指明http协议的版本
        #backlog=number: 后援队列长度
        #rcvbuf=接收缓冲区大小
        #sndbuf=发送缓冲区大小
    server_name SERVER_NAME;
        #SERVER_NAME 支持通配符通配;
            #例如*.abc.com
                    #支持~以字符开头的正则表达式
            #例如~^www.*\.abc.com$
        #匹配的优先次序:
            #1.精确匹配
            #2.左侧匹配
            #3.右侧匹配
            #4.正则表达式匹配    
    root  /PATH/DOCUMENT_ROOT; 指明站点的根目录
}

在keepalived模式下的连接是否启用TCP_NODELAY功能



tcp_nodelay  on|off;



是否启用sendfile功能:



sendfile on|off;



在sendfile 模式下是否开启TCP_CORK功能:



tcp_nopush on|off;



路径相关的配置段

指定站点的根目录,用于文件系统与url的映射关系



root path;



匹配URL所映射的系统路径的关系

location [ = | ~ | ~* | ^~ ] url {...}
    在一个server配置段中可以有多个location的配置段
    nginx根据匹配的不同的url将其资源与不同的路径进行映射    
    =  : 对url做精确匹配
        例如:location  =  / {
            ...
        }
    ~  : 对url做正则表达式匹配,区分字符大小写;
    ~* : 对rul正则表达式匹配,不区分大小写;
    ^~ : 对rul左半部分正则表达式匹配,不区分大小写
    无符号: 对此url为开头的所有url的做匹配
        匹配的优先级:
            = , ^~ , ~/~* , 无符号

示例:

server{
    root  /web/hosts/vhsost1
    location /wcdma {
    root /web/hosts/wcdma/
    index index.html index index.php
        }
    }

定义路径的别名



location /p_w_picpaths/ { alias /web/data/p_w_picpaths/; }



定义站点的默认首页资源:


index file;
     例如: index index.html index.htm index
 
  
定义错误的返回页面
 
  
error_page 404 =  200 /eror_page   #相对路径
 
  
接受多个路径作为参数,当一个资源 无法找到时自动寻找下一个,否则找默认位置
 
  
try_files file  ... url;


示例:



  

location / {
            try_files index.html index.htm @default;
            }

            location @default {
            root /web/hosts/error;
            index index.html;
            }

与客户端请求相关的配置

配置保持链接的超时时长, 0表示进制长连接模式

keepalive_timeout  75;



单个长连接上所能请求的最大资源数

keepalive_requests 100;
 
  
对哪种浏览器禁用长连接模式
 
  
keepalive_disable none|browser;
 
  
向客户端发送响应报文的超时时长,指两次写操作之间的时间间隔
 
  
send_timeout  20;



用于接受客户端请求报文body部分的缓冲区大小,如果超出此大小则将被存储在磁盘上由client_body_temp_path所指定的位置

client_body_buffer_size size;
 
  
指定用于存储接受客户端请求报文的body部分的位置
 
  
client_body_temp_path /var/tmp/client_body 2 1 1;
        2:第一个数字2表示用2位16进制数个作为1级目录
        1:第二个数字1表示用1位16进制数个作为2级目录
        ...


与客户端限制相关的配置

限制响应给客户端的传输速率,单位为bytes/ second , 0 表示无限制



limit_rate 500;
 
  
限制除了指定方法的客户端
 
  
    例如: limit_except GET {
        allow 110.11.223.0/24;
        deny all;
    }



文件操作的优化:

是否开启aio机制



aio on|off | threads [=pool];
 
  
是否启用directio机制,在LINUX主机启用O_DIRECT标记,当请求大于设定值时,
直接跳过内核的缓存的进程直接读取硬盘,用于命中率较差或较大文件. 
  
   directio size | off;



是否启用打开文件缓存:

open_file_cache off;
  open_file_cache max=200  inactive=60;

nginx 可以缓存的三种信息:



1.文件描述符.文件大小,最近一次修改时间;
            2.打开目录的结构
            3.没有找到的或没有权限访问的文件相关信息;
        max=200  缓存项的上限,达到上限则使用LRU算法管理
        inactive=time 缓存项的非活动时长,指定时间内没有被访问的,或命中次数少于open_file_cache_min_uses指令所指定的次数的缓存项


缓存有效性检查频率,时间



open_file_cache_valid 60;


在open_file_cache inactive所指定的时间内,缓存所访问的次数少于该数的被归类为非活动项



open_file_cache_min_users 1;


是否缓存查找错误的信息



open_file_cache_errors  on| off;


ngx_http_access_module模块相关的配置:


allow ipaddress;
   deny  ipaddress;


ngx_http_auth_basic_module模块

实现基于访问控制,basic认证方式(需要借助hdpasswd生成用户文件)



auth_basic string|off;
    auth_basic_user_file file_name;



示例:



location /admin/ {
           alias  /web/vhosts/app1/data;
           auth_basic "Admin Area";
           auth_basic_user_file /etc/nginx/.ngxpasswd;
       }
           ~]# htpasswd -c -m /etc/nginx/.ngxpasswd tom


ngx_http_stub_status_module模块配置:

用于输出nginx的基本状态信息:



Active connections: 活动状态的连接数;
   accepts : 已经接受的客户端的请求总数;
   handled : 已经处理完成的请求总数;
   requests : 客户端发来的总的请求总数;        
   reading : 处于读取客户端请求报文首部的链接总数;
   writing : 处于向客户端发送响应的过程的连接数;
   waiting : 处于等待客户端发出请求的空闲连接数;



示例:


stub_status;
      location /basic_status {
          stub_status;
      }

ngx_http_log_module日志模块

日志格式:


log_format name string;
       string可以使用nginx核心模块的吃内置变量

   access_log /var/log/nginx/access.log  format buffer=512  gzip=1 flush=time if=condition;
   access_log off;
     buffer=512  定义缓冲区的大小
     flush=time  刷新时间
   open_log_file_cache max=100  inactive=60  min_uses=1 valid=60;
   open_log_file_cache off;
   缓存各日志文件相关的元数据;
       max 缓存的文件描述符的最大个数
       min_uses 在inactive时间内最少被访问的次数
       inactive  非活动时长数;
       valid 验证缓冲项是否为活动项的时间间隔;


ngx_http_gzip_module压缩模块;

传输数据时压缩传输之用



   gzip on|off;



压缩级别:



   gzip_com_level 1;



指明哪些客户端不进行压缩:



   gzip_disable regex...;



指明压缩传输的最小值



   gzip_min_length 60k;



指明压缩传输的缓冲区个数及每个的大小



   gzip_buffers 20 100;



nginx作为代理服务器时,接受到从被代理服务器发送的响应报文后,以何种的条件启用压缩



gzip_proxied off | expired |no-cache |nostore | private | no_last_modified | no_etag |auth | any ;
       off:对代理的请求不启用
       no-cache,no-store,private:表示从被代理服务器收的响应报首部的Cahce_control的值为三者中的一个时启用压缩;



针对某些类型启用压缩:


gzip_types mime-type;
   是一种压缩过滤器,仅对该类型的压缩
           示例:
               gzip  on;
               gzip_comp_level 6;
               gzip_min_length 64;
               gzip_proxied  any;
               gzip_types text/xml text/css application/javascript;


ngx_http_ssl_module安全模块:

启用https功能


ssl on|off;
 
  
指定主机使用的ped格式的证书文件
 
  
 ssl_certificate file;
 
  
指明主机证书与之对应的私钥文件
 
  
 ssl_certificate_key file;
 
  
指明ssl 协议的版本
 
  
  ssl_protols [SSLv2] [SSLv3] TLSv1 TLSv1.1 TLSv2 ;
 
  
指明openssl内建的缓存,此缓存为每个worker进程私有以及共享的缓存名大小;
 
  
 ssl_session_cache off|none| builtin 500 shared:name:500
 
  
指明客户端的链接可以复用ssl session cache中缓存的ssl参数的有效时长
 
  
 ssl_session_timeout 60;


示例:

server{
          listen 443 ssl;
          server_name www.abc.com;
          root /web/vhsts/ssl/;
          ssl on;
          ssl_certificate /etc/nginx/ssl/nginx.crt;
          ssl_certificate_key /nginx/ssl/nginx.key;
  ssl_protocols TLSv1 tlsv1.1 tlsv2 sslv2 sslv3;
         ssl_session_cache shared:sslcache:20m;
          }

ngx_http_rewrite_module模块:

将用户请求的URL基于regex所描述的模式进行检查,匹配到的url将重新替换为新的url;



rewrite regex replacement flag



此模式值得注意的是:如果在同一级别下配置多个rewrite规则, 自上而下逐个匹配,完成匹配之后再次进行新的url继续进行匹配,具有循环的机制



[flag]的标志位用于控制此循环机制;     last:重写完成后停止对当前URL在当前location中的后续的其他重写机制,而后对新的URL启动新训创业的重写机制;     break:重写完成后停止对当前URL在当前location中后续的重写操作,直接跳出重写模块     redirect:重写完成之后临时重定向方式直接返回给客户端,客户端重新请求新的URL不能以http://或https://开头


如果replacement 是以http://或者htts://开头,则替换后的结果会直接以重定向的方返回给客户端



301:永久重定向
return 返回给客户端状态码
    return code text;
    return code URL;
    return URL;


是否开启重写日志:



return_log on|off;



if (condition) {...}语句,一个新的配置条件满足时,执行配置块中的配置指令:



condition:
    比较操作符:
        ==
        !=
        ~: 模式匹配,区分大小写;
        ~*:模式匹配,不区分大小写;
        !~:模式不匹配, 区分大小写;
        !~:模式不匹配, 不区分字符大小写;
文件及目录存在性判断:
                    -e, !-e
                    -f, !-f
                    -d, !-d
                    -x, !-x


用户自定义变量:


set $variable value;



ngx_http_referer_module 模块:跳转模块配置

定义referer首部的合法可用值;


valid_referers none | blocked | server_names| string ..;
    none: 请求报文首部没有referer首部;
    blocked: 请求报文的referer首部没有值;
    server_name: 参数, 有值做为主机名或主机名模式;
        arbitrary_string: 直接字符串,但可使用*作通配符;
        regular expression:指定的正则表达式模式匹配到的字符串; 要使用~开头,
             例如 : ~.*\.acb\.com;


配置示例:



valid_referers none block server_names *.abc.com  abc.com ~\.abc\.com;
    if($invalid_referer) {
        return 403;
    }

转载于:https://blog.51cto.com/cityx/1939543