Nginx配置
配置文件结构
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| ... #全局块
events { #events块
...
}
http #http块
{
... #http全局块
server #server块
{
... #server全局块
location [PATTERN] #location块
{
...
}
location [PATTERN]
{
...
}
}
server
{
...
}
... #http全局块
}
|
可以转化为下面的图
全局块
整个conf文件是一个全局块下
配置影响nginx全局的指令。一般有运行nginx服务器的用户组,nginx进程pid存放路径,日志存放路径,配置文件引入,允许生成worker process数等。
events块
配置影响nginx服务器或与用户的网络连接。有每个进程的最大连接数,选取哪种事件驱动模型处理连接请求,是否允许同时接受多个网路连接,开启多个网络连接序列化等
http块
可以嵌套多个server,配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置。如文件引入,mime-type定义,日志自定义,是否使用sendfile传输文件,连接超时时间,单连接请求数等。
server块
配置虚拟主机的相关参数,一个http块中可以有多个server。
location块
配置请求的路由,以及各种页面的处理情况。一个server块中可以配置多个location块
nginx.conf详解
全局块
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
# 指定可以Nginx的用户和用户组
# 将user指令注释掉,或者配置成nobody的话所有用户都可以运行
user nobody nobody ;
# nginx进程数,建议设置为等于CPU总核心数。
# 这种情况下会生成一个master进程和4个worker进程
worker_processes 4;
# 配置全局错误日志。类型,[ debug | info | notice | warn | error | crit | alert | emerg ]
error_log /usr/local/nginx/logs/error.log info;
#进程pid文件
pid /usr/local/nginx/logs/nginx.pid;
#指定进程可以打开的最大描述符:数目
#工作模式与连接数上限
#这个指令是指当一个nginx进程打开的最多文件描述符数目,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是那么均匀,所以最好与ulimit -n 的值保持一致。
#现在在linux 2.6内核下开启文件打开数为65535,worker_rlimit_nofile就相应应该填写65535。
#这是因为nginx调度时分配请求到进程并不是那么的均衡,所以假如填写10240,总并发量达到3-4万时就有进程可能超过10240了,这时会返回502错误。
worker_rlimit_nofile 65535;
|
events块
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
| events {
# 当某一时刻只有一个网络连接到来时,多个睡眠进程会被同时叫醒,但只有一个进程可获得连接。如果每次唤醒的进程数目太多,会影响一部分系统性能。在Nginx服务器的多进程下,就有可能出现这样的问题。
# 开启的时候,将会对多个Nginx进程接收连接进行序列化,防止多个进程对连接的争抢
# 默认是开启状态,只能在events块中进行配置
accept_mutex on | off
# 如果multi_accept被禁止了,nginx一个工作进程只能同时接受一个新的连接。否则,一个工作进程可以同时接受所有的新连接。
# 如果nginx使用kqueue连接方法,那么这条指令会被忽略,因为这个方法会报告在等待被接受的新连接的数量。
# 默认是off状态,只能在event块配置
# multi_accept on | off;
# 指定使用哪种网络IO模型,method可选择的内容有:select、poll、kqueue、epoll、rtsig、/dev/poll以及eventport,一般操作系统不是支持上面所有模型的。
#如果是Linux 2.6以上版本内核中,建议epoll,如果跑在FreeBSD上面,就用kqueue模型。
use epoll;
# 单个进程最大连接数(最大连接数=连接数*进程数)
# 根据硬件调整,和前面工作进程配合起来用,尽量大,但是别把cpu跑到100%就行。
# 当所有的工作进程都接收满时,连接进入logback,logback满后连接被拒绝
worker_connections 65535;
#keepalive超时时间。
keepalive_timeout 60;
#客户端请求头部的缓冲区大小。这个可以根据你的系统分页大小来设置,一般一个请求头的大小不会超过1k,不过由于一般系统分页都要大于1k,所以这里设置为分页大小。
#分页大小可以用命令getconf PAGESIZE 取得。
# # getconf PAGESIZE
#4096
#但也有client_header_buffer_size超过4k的情况,但是client_header_buffer_size该值必须设置为“系统分页大小”的整倍数。
client_header_buffer_size 4k;
#这个将为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。
open_file_cache max=65535 inactive=60s;
#这个是指多长时间检查一次缓存的有效信息。
#语法:open_file_cache_valid time 默认值:open_file_cache_valid 60 使用字段:http, server, location 这个指令指定了何时需要检查open_file_cache中缓存项目的有效信息.
open_file_cache_valid 80s;
#open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个文件在inactive时间内一次没被使用,它将被移除。
#语法:open_file_cache_min_uses number 默认值:open_file_cache_min_uses 1 使用字段:http, server, location 这个指令指定了在open_file_cache指令无效的参数中一定的时间范围内可以使用的最小文件数,如果使用更大的值,文件描述符在cache中总是打开状态.
open_file_cache_min_uses 1;
#语法:open_file_cache_errors on | off 默认值:open_file_cache_errors off 使用字段:http, server, location 这个指令指定是否在搜索一个文件是记录cache错误.
open_file_cache_errors on;
}
|
http全局块
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
| http
{
# 使用include加载其他配置文件
# 一般都需要先include一下mine.types。让ng可以识别前端请求的资源类型
# 指定不同文件扩展名和内容类型之间的映射关系。如 text/html .html .htm
# 另外,include时也可以用相对路径,但是需要和该配置文件同级目录,建议还是用绝对路径靠谱。
include /etc/nginx/mime.types;
# 配置默认类型
# 默认值是text/plain
default_type application/octet-stream;
#默认编码
#charset utf-8;
# access_log配置,此指令可以在http块、server块或者location块中进行设置
# 在全局块中,我们介绍过errer_log指令,其用于配置Nginx进程运行时的日志存放和级别,此处所指的日志与常规的不同,它是指记录Nginx服务器提供服务过程应答前端请求的日志
# access_log path [format [buffer=size]]
# 如果你要关闭access_log,你可以使用下面的命令
# access_log off;
# log_format指令,用于定义日志格式,此指令只能在http块中进行配置
# log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
# 定义了上面的日志格式后,可以以下面的形式使用日志
# access_log logs/access.log main;
# 开启或关闭sendfile方式传输文件,可以在http块、server块或者location块中进行配置
# sendfile指令指定 nginx 是否调用sendfile 函数(zero copy 方式)来输出文件
# 默认是off
# sendfile on | off;
# 设置sendfile最大数据量,此指令可以在http块、server块或location块中配置
# sendfile_max_chunk size;
# 其中,size值如果大于0,Nginx进程的每个worker process每次调用sendfile()传输的数据量最大不能超过这个值(这里是128k,所以每次不能超过128k);如果设置为0,则无限制。默认值为0。
# sendfile_max_chunk 128k;
#服务器名字的hash表大小
#保存服务器名字的hash表是由指令server_names_hash_max_size 和server_names_hash_bucket_size所控制的。参数hash bucket size总是等于hash表的大小,并且是一路处理器缓存大小的倍数。在减少了在内存中的存取次数后,使在处理器中加速查找hash表键值成为可能。如果hash bucket size等于一路处理器缓存的大小,那么在查找键的时候,最坏的情况下在内存中查找的次数为2。第一次是确定存储单元的地址,第二次是在存储单元中查找键 值。因此,如果Nginx给出需要增大hash max size 或 hash bucket size的提示,那么首要的是增大前一个参数的大小.
server_names_hash_bucket_size 128;
#客户端请求头部的缓冲区大小。这个可以根据你的系统分页大小来设置,一般一个请求的头部大小不会超过1k,不过由于一般系统分页都要大于1k,所以这里设置为分页大小。分页大小可以用命令getconf PAGESIZE取得。
client_header_buffer_size 32k;
#客户请求头缓冲大小。nginx默认会用client_header_buffer_size这个buffer来读取header值,如果header过大,它会使用large_client_header_buffers来读取。
large_client_header_buffers 4 64k;
#设定通过nginx上传文件的大小
client_max_body_size 8m;
#开启目录列表访问,合适下载服务器,默认关闭。
autoindex on;
#此选项允许或禁止使用socke的TCP_CORK的选项,此选项仅在使用sendfile的时候使用
tcp_nopush on;
tcp_nodelay on;
# 长连接超时时间,单位是秒。默认值为75s;
# 可以在http块、server块或location块中配置。
keepalive_timeout 120;
# keepalive_timeout timeout [header_timeout]
# header_timeout,可选项,在应答报文头部的Keep-Alive域设置超时时间:“Keep-Alive:timeout= header_timeout”。报文中的这个指令可以被Mozilla或者Konqueror识别。
# 下面配置的含义是,在服务器端保持连接的时间设置为120 s,发给用户端的应答报文头部中Keep-Alive域的超时时间设置为100 s。
# keepalive_timeout 120s 100s
# 配置单连接请求数上限,可以在http块、server块或location块中配置。
# Nginx服务器端和用户端建立会话连接后,用户端通过此连接发送请求。指令keepalive_requests用于限制用户通过某一连接向Nginx服务器发送请求的次数。默认是100
# 也就是说一个长连接下,用户端和ng之间发送超过100次请求后,就会自动断掉重连
# 这样的好处是可以周期性的释放内存。不推荐把这个值设置的太大。
# keepalive_requests number;
#FastCGI相关参数是为了改善网站的性能:减少资源占用,提高访问速度。下面参数看字面意思都能理解。
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
#gzip模块设置
gzip on; #开启gzip压缩输出
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 16k; #压缩缓冲区
gzip_http_version 1.0; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 2; #压缩等级
gzip_types text/plain application/x-javascript text/css application/xml; #压缩类型,默认就已经包含textml,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn。
gzip_vary on;
#开启限制IP连接数的时候需要使用
#limit_zone crawler $binary_remote_addr 10m;
#这边可以有多个server块
server {
...
}
|
server块
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
| server {
# 监听的端口。用来划分server
# 这是server中最重要的配置。配置也很灵活。
# 监听所有来源的,对80端口的请求
listen 80;
#listen *:8000; #和上面效果一样
#listen 127.0.0.1:8000; #只监听来自127.0.0.1这个IP,请求8000端口的请求
#listen localhost:8000; #和上面效果一致
#listen 127.0.0.1; #只监听来自127.0.0.1这个IP,请求80端口的请求(不指定端口,默认80)
# 匹配的域名。可以有多个,用空格隔开
server_name x.y.com;
# log日志位置
access_log xxxpath/access.log
# 默认错误页
error_page /404.html
# 路由规则
location / {
root html;
index index.html index.htm;
}
}
server {
# 监听端口 HTTPS
listen 443 ssl;
server_name ably.com;
# 配置域名证书
ssl_certificate xxxxxxxxx;
# 具体的配置再查
}
|
其实listen 也可以配上ip。ip:port的形式。当listen出现了ip时,server_name就失去了意义。我们一般不会这么用。
location
代理静态资源。
匹配的请求会转到root指定的路径。
这里root可以用相对路径,也可以是绝对路径。
相对路径是相对ng的安装目录的,最好不要用,就用绝对路径,不容易出错。
1
2
3
4
5
6
7
| location / {
root /data/ng/html;
index index.html index.htm;
}
location /img {
root /data/ng; #注意这里的写法
}
|
当一个请求,多个location都可以匹配时,会选择匹配长度最长的那个。
测试
创建对应的数据目录
/data/ng/html目录用来放网页
/data/ng/img目录用来放图片
1
| mkdir -p /data/ng/html /data/ng/img
|
注意上面localtion中的写法。root /data/ng;写成/data/ng/也是可以的
我们的请求是/img/xx.jpg
ng会到/data/ng/img下去找xx.jpg。也就是说路径会进行拼接。
如果root写成/data/ng/img,那就找不到了。404
做代理转发
location代理转发时,使用proxy_pass转发到真实的后端服务
把上面的例子改为
1
2
3
4
5
6
| location / {
proxy_pass http://127.0.0.1:8080/; #一个后端服务
}
location /img {
root /data/ng;
}
|
如果在proxy_pass后面的url加/,表示绝对根路径;如果没有/,表示相对路径,把匹配的路径部分也带上。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
第一种:代理到URL:http://127.0.0.1:8080/test.html
location /api/ {
proxy_pass http://127.0.0.1:8080/;
}
第二种(相对于第一种,最后少一个 / )
代理到URL:http://127.0.0.1:8080/api/test.html
location /api/ {
proxy_pass http://127.0.0.1:8080;
}
第三种:代理到URL:http://127.0.0.1:8080/aaa/test.html
location /api/ {
proxy_pass http://127.0.0.1:8080/aaa/;
}
第四种(相对于第三种,最后少一个 / )
代理到URL:http://127.0.0.1:8080/aaatest.html
location /api/ {
proxy_pass http://127.0.0.1:8080/aaa;
}
|
更常用的用法是转发到upstream
1
2
3
4
5
6
7
8
9
| location /api/ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
add_header Access-Control-Allow-Methods *;
add_header Access-Control-Allow-Origin $http_origin;
proxy_pass http://upstream-app/;
}
|
upstream
upstream里可以写多个后端服务地址,这才是负载均衡的核心
1
2
3
4
5
6
7
8
| # 负载均衡配置,定义一个upstream
upstream upstream-app {
#upstream的负载均衡,weight是权重,可以根据机器配置定义权重。weigth参数表示权值,权值越高被分配到的几率越大。
server 192.168.80.121:80 weight=3;
server 192.168.80.122:80 weight=2;
server 192.168.80.123:80 weight=3;
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
| #nginx的upstream目前支持4种方式的分配
#1、轮询(默认)
#每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除。
#2、weight
#指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况。
#例如:
#upstream bakend {
# server 192.168.0.14 weight=10;
# server 192.168.0.15 weight=10;
#}
#2、ip_hash
#每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题。
#例如:
#upstream bakend {
# ip_hash;
# server 192.168.0.14:88;
# server 192.168.0.15:80;
#}
#3、fair(第三方)
#按后端服务器的响应时间来分配请求,响应时间短的优先分配。
#upstream backend {
# server server1;
# server server2;
# fair;
#}
#4、url_hash(第三方)
#按访问url的hash结果来分配请求,使每个url定向到同一个后端服务器,后端服务器为缓存时比较有效。
#例:在upstream中加入hash语句,server语句中不能写入weight等其他的参数,hash_method是使用的hash算法
#upstream backend {
# server squid1:3128;
# server squid2:3128;
# hash $request_uri;
# hash_method crc32;
#}
#tips:
#upstream bakend{#定义负载均衡设备的Ip及设备状态}{
# ip_hash;
# server 127.0.0.1:9090 down;
# server 127.0.0.1:8080 weight=2;
# server 127.0.0.1:6060;
# server 127.0.0.1:7070 backup;
#}
#在需要使用负载均衡的server中增加 proxy_pass http://bakend/;
#每个设备的状态设置为:
#1.down表示单前的server暂时不参与负载
#2.weight为weight越大,负载的权重就越大。
#3.max_fails:允许请求失败的次数默认为1.当超过最大次数时,返回proxy_next_upstream模块定义的错误
#4.fail_timeout:max_fails次失败后,暂停的时间。
#5.backup: 其它所有的非backup机器down或者忙的时候,请求backup机器。所以这台机器压力会最轻。
#nginx支持同时设置多组的负载均衡,用来给不用的server来使用。
#client_body_in_file_only设置为On 可以讲client post过来的数据记录到文件中用来做debug
#client_body_temp_path设置记录文件的目录 可以设置最多3层目录
#location对URL进行匹配.可以进行重定向或者进行新的代理 负载均衡
|
分文件
如果把各个域名的配置全部放在一起会很乱。通常我们会每个域名的配置单独作为一个配置文件
新建文件夹(用来存放nginx自定义配置文件)
1
| mkdir -p /usr/local/nginx/conf/conf.d
|
在nginx的配置文件(默认/usr/local/nginx/conf/nginx.conf)中加入
1
| include /usr/local/nginx/conf/conf.d/*.conf
|
配置https
- 首先确认是否已经安装ssl模块
1
| /usr/local/nginx/sbin/nginx -V
|
有这个说明已经有了ssl模块。
上传ssl证书
目录随意
配置nginx.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| server {
#监听443端口
listen 443;
#你的域名
server_name meyley.com;
ssl on;
#ssl证书的pem文件路径
ssl_certificate /root/ssl/xxx.com_bundle.pem;
#ssl证书的key文件路径
ssl_certificate_key /root/ssl/xxx.com.key;
location /api {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
rewrite ^/api/(.*)$ /$1 break; #重写
proxy_pass http://127.0.0.1:8080/;
}
}
|