nginx基础指令及初始配置解析
superleeyom opened this issue · 0 comments
superleeyom commented
nginx 常用命令
-
./nginx -s stop:强制停止nginx -
./nginx -s quit: 优雅停止nginx,即处理完所有请求后再停止服务 -
./nginx -t:检测配置文件是否有语法错误 -
./nginx -v: 查看nginx的版本号 -
./nginx -V:查看版本号和配置选项信息 -
./nginx -c:设置配置文件(默认是:/etc/nginx/nginx.conf) -
./nginx -s reload: 重新加载配置文件
nginx docker 相关指令
- 拉取 nginx 镜像:
docker pull nginx - 启动 nginx 容器实例:
docker run -itd --name nginx-demo -p 8080:80 nginx-itd:-t选项让 Docker 分配一个伪终端(pseudo-tty)并绑定到容器的标准输入上,-i则让容器的标准输入保持打开,-d是后台运行--name nginx-demo:指定容器实例名称nginx-demo-p 8080:80:将本机 8080 端口映射为容器的 80 端口
- 进入容器:
docker exec -it nginx-demo bash - 终止容器:
docker container stop nginx-demo - 删除容器:
docker container rm nginx-demo - 启动已终止的容器:
docker container start nginx-demo - 查询当前运行的容器:
docker container ls - 查询所有的容器:
docker container ls -a - 更多的docker指令见《Docker — 从入门到实践》
nginx 默认配置文件解析
# 设置worker进程的用户,指的linux中的用户,会涉及到nginx操作目录或文件的一些权限
user nginx;
# worker进程工作数设置,一般来说CPU有几个,就设置几个
worker_processes 1;
# 设置日志级别,debug | info | notice | warn | error | crit | alert | emerg,错误级别从左到右越来越大
error_log /var/log/nginx/error.log warn;
# 设置nginx进程 pid
pid /var/run/nginx.pid;
# 设置工作模式
events {
# 每个worker允许连接的客户最大连接数
worker_connections 1024;
}
# http 是指令块,针对http网络传输的一些指令配置
http {
# include 引入外部配置,提高可读性,避免单个配置文件过大
include /etc/nginx/mime.types;
# 设置HTTP默认的 content-type
default_type application/octet-stream;
# 设置日志格式,各项含义如下:
# $remote_addr:客户端ip
# $remote_user:远程客户端用户名,一般为:’-’
# $time_local:时间和时区
# $request:请求的url以及method
# $status:响应状态码
# $body_bytes_send:响应客户端内容字节数
# $http_referer:记录用户从哪个链接跳转过来的
# $http_user_agent:用户所使用的代理,一般来时都是浏览器
# $http_x_forwarded_for:通过代理服务器来记录客户端的ip
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
# sendfile 使用高效的文件传输,提升传输性能,启用后才能使用tcp_nopush,指当数据表累积到一定的大小后才发送,提高效率
sendfile on;
#tcp_nopush on;
# 设置客户端与服务端请求的超时时间,保证客户端多次请求的时候不会重复建立新的连接,节约资源损耗
keepalive_timeout 65;
# 开启gzip压缩功能,提高传输效率,节约带宽
#gzip on;
# include 引入外部配置,提高可读性,避免单个配置文件过大
include /etc/nginx/conf.d/*.conf;
}root 与 alias
假如服务器路径为:/home/leeyom/files/img/header.png
-
root 路径完全匹配访问:
location /leeyom { root /home }
用户访问的请求为:
url:port/leeyom/files/img/header.png -
alias 可以为你的路径做一个别名,对用户透明:
location /hello { alias /home/leeyom }
用户访问的请求为:
url:port/hello/files/img/header.png,相当于给leeyom目录做一个别名。
location 的匹配规则
-
空格:默认匹配,普通匹配location / { root /home }
用户可以访问
home目录下的所有文件。 -
=:精确匹配location = /leeyom/files/img/header.png { root /home; }
用户只能访问此路径
/home/leeyom/files/img/header.png下的header.png图片。 -
~*:匹配正则表达式,不区分大小写location ~* \.(GIF|jpg|png|jpeg|gif) { root /home; }
用户可以访问
home目录下的只要后缀为GIF|jpg|png|jpeg|gif的文件,由于不区分大小写,如果访问的是header.GIF图片,会重定向访问header.gif图片。 -
~:匹配正则表达式,区分大小写location ~ \.(GIF|jpg|png|jpeg|gif) { root /home; }
用户可以访问
home目录下的只要后缀为GIF|jpg|png|jpeg|gif的文件。 -
^~:以某个字符路径开头请求location = ^~ /leeyom/files/img { root /home; }
用户只能访问此路径
/home/leeyom/files/img/下的文件。
nginx 跨域配置
在 server 块里面增加:
# 允许跨域请求的域,*代表允许所有的域
add_header 'Access-Control-Allow-Origin' *;
# 允许带上cookie请求
add_header 'Access-Control-Allow-Credentials' 'true';
# 允许请求的header,比如:Authorization,Content-Type,Accept,Origin,User-Agent 等
add_header 'Access-Control-Allow-Headers' *;
# 允许请求的方法,比如:GET、POST、PUT、DELETE
add_header 'Access-Control-Allow-Methods' *;nginx 防盗链
# 对源站点进行验证(白名单),多个域名用空格隔开
valid_referers *.leeyom.com;
# 非法访问则返回403
if($invalid_referer){
return 403;
}nginx 搭建 Tomcat 集群简版配置
upstream tomcats {
server 192.168.1.174:8080;
server 192.168.1.175:8080;
server 192.168.1.176:8080;
}
server {
listen 80;
server_name www.tomcats.com;
location / {
proxy_pass: http://tomcats;
}
}访问www.tomcats.com,将以轮询方式,分别访问三台 Tomcat,当然也可以使用加权轮询,例如:
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=2;
server 192.168.1.176:8080 weight=5;weight的值越大,当前服务器的 Tomcat 被访问的几率越大。
upstream 指令
server 192.168.1.174:8080 max_conns=2;
server 192.168.1.175:8080 max_conns=2;
server 192.168.1.176:8080 max_conns=2;max_conns:限制每台server的连接数,用于保护避免过载,可起到限流作用;
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=2;
server 192.168.1.176:8080 weight=5 slow_start=60s;slow_start:缓慢启动,weight逐渐增大,使某台服务器慢慢加入集群,方便该服务器完成一些前置化的操作,该指令需要注意:- 只能在商业版中使用;
- 该参数不能使用在
hash和random load balancing中; - 如果upstream中只有一台 server,则该参数无效;
down:标记服务节点不可用backup:表示当前服务器节点是备用机, 只有在其他的服务器都宕机以后, 自己才会加入到集群中, 被用户访问到backup参数不能使用在hash和random load balancing中;
max_fails:表示失败几次,则标记 server 已宕机,踢出服务,默认值为1fail_timeout:表示失败的重试时间,默认值 10s- 示例:
max_fails=2 fail_timeout=15s:15 秒内,请求某一 server 失败达 2 次后,则认为此 server 已经宕机,随后再过 15 秒,这 15 秒内不会有新的请求到达刚宕机的节点,会请求到正常的运行的 server,15秒后会有新请求再次请求挂掉的 server,如果还是失败,重复之前的操作;
- 示例:
Keepalived 提高吞吐量
upstream tomcats {
server 192.168.1.174:8080;
server 192.168.1.175:8080;
server 192.168.1.176:8080;
# 设置长连接处理的数量
keepalive 32;
}
server {
listen 80;
server_name www.tomcats.com;
location / {
proxy_pass: http://tomcats;
# 设置长连接http的版本号
proxy_http_version 1.1;
# 清除 connection header 信息
proxy_set_header Connection "";
}
}nginx的反向代理缓存
# proxy_cache_path 设置缓存目录
# keys_zone 设置共享内存以及占用空间大小
# max_size 设置缓存大小
# inactive 超过此时间则被清理
# use_temp_path 临时目录,使用后会影响nginx性能
proxy_cache_path /usr/local/nginx/upstream_cache keys_zone=mycache:5m max_size=1g inactive=1m use_temp_path=off;location / {
proxy_pass http://tomcats;
# 启用缓存,和keys_zone一致
proxy_cache mycache;
# 针对200和304状态码缓存时间为8小时
proxy_cache_valid 200 304 8h;
}配置ssl证书
-
安装
ssl模块 -
将 ssl 证书
*.crt和私钥*.key拷贝到/usr/local/nginx/conf目录中 -
新增 server 监控 443 端口:
server{ listen 443; server_name www.leeyom.me; # 开启ssl ssl on; # 配置ssl证书 ssl_certificate yourdomain.com.crt; # 配置证书秘钥 ssl_certificate_key yourdomain.com.key; # ssl会话cache ssl_session_cache shared:SSL:1m; # ssl会话超时时间 ssl_session_timeout 5m; # 配置加密套件,写法遵循 openssl 标准 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-G }