支付宝打赏 
微信打赏 
配置文件
| 配置块 | 功能描述 |
|---|---|
| 全局块 | 与Nginx运行相关的全局设置 |
| events块 | 与网络连接有关的设置 |
| http块 | 代理、缓存、日志、虚拟主机等的配置 |
| server块 | 虚拟主机的参数设置(一个http块可包含多个server块) |
| location块 | 定义请求路由及页面处理方式 |
配置文件示例:
# 全局段配置
# ------------------------------
# 指定运行nginx的用户或用户组,默认为nobody。
#user administrator administrators;
# 设置工作进程数,通常设置为等于CPU核心数。
#worker_processes 2;
# 指定nginx进程的PID文件存放位置。
#pid /nginx/pid/nginx.pid;
# 指定错误日志的存放路径和日志级别。
error_log log/error.log debug;
# events段配置信息
# ------------------------------
events {
# 设置网络连接序列化,用于防止多个进程同时接受到新连接的情况,这种情况称为"惊群"。
accept_mutex on;
# 设置一个进程是否可以同时接受多个新连接。
multi_accept on;
# 设置工作进程的最大连接数。
worker_connections 1024;
}
# http配置段,用于配置HTTP服务器的参数。
# ------------------------------
http {
# 包含文件扩展名与MIME类型的映射。
include mime.types;
# 设置默认的MIME类型。
default_type application/octet-stream;
# 定义日志格式。
log_format myFormat '$remote_addr–$remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for';
# 指定访问日志的存放路径和使用的格式。
access_log log/access.log myFormat;
# 允许使用sendfile方式传输文件。
sendfile on;
# 限制每次调用sendfile传输的数据量。
sendfile_max_chunk 100k;
# 设置连接的保持时间。
keepalive_timeout 65;
# 定义一个上游服务器组。
upstream mysvr {
server 127.0.0.1:7878;
server 192.168.10.121:3333 backup; #此服务器为备份服务器。
}
# 定义错误页面的重定向地址。
error_page 404 https://www.baidu.com;
# 定义一个虚拟主机。
server {
# 设置单个连接上的最大请求次数。
keepalive_requests 120;
# 设置监听的端口和地址。
listen 4545;
server_name 127.0.0.1;
# 定义location块,用于匹配特定的请求URI。
location ~*^.+$ {
# 设置请求的根目录。
#root path;
# 设置默认页面。
#index vv.txt;
# 将请求转发到上游服务器组。
proxy_pass http://mysvr;
# 定义访问控制规则。
deny 127.0.0.1;
allow 172.18.5.54;
}
}
}
location 路径映射:
=:精确匹配,如果匹配成功,立即停止搜索并处理此请求。
~:执行正则匹配,区分大小写。
~*:执行正则匹配,不区分大小写。
!~:正则匹配,区分大小写不匹配。
!~*:正则匹配,不区分大小写不匹配。
^~:前缀匹配,如果匹配成功,不再匹配其他location,且不查询正则表达式。
@:指定命名的location,主要用于内部重定向请求,如error_page和try_files。
uri:待匹配的请求字符串,可以是普通字符串或包含正则表达式。优先级顺序:无特定标识 <
^~<=< 正则匹配 (~,~*,!~,!~*)
location [ = | ~ | ~* | !~ | !~* | ^~ | @ ] uri {...}
location = / {
# 精确匹配 /,主机名后面不能带任何字符串
# http://abc.com [匹配成功]
# http://abc.com/index [匹配失败]
}
location ^~ /img/ {
# 以 /img/ 开头的请求,都会匹配上
# http://abc.com/img/a.jpg [匹配成功]
# http://abc.com/img/b.mp4 [匹配成功]
}
location ~* /Example/ {
# 忽略 uri 部分的大小写
# http://abc.com/test/Example/ [匹配成功]
# http://abc.com/example/ [匹配成功]
}
location /documents {
# 如果有正则表达式可以匹配,则优先匹配正则表达式
# http://abc.com/documentsabc [匹配成功]
}
location / {
# http://abc.com/abc [匹配成功]
}
内置变量
nginx的配置文件中可以使用的内置变量以美元符
$开始。
- 其中,大部分预定义的变量的值由客户端发送携带。
| 变量名 | 描述 |
|---|---|
$args |
请求行中的参数,同$query_string |
$content_length |
请求头中的Content-length字段 |
$content_type |
请求头中的Content-Type字段 |
$document_root |
当前请求在root指令中指定的值 |
$host |
请求行的主机名,或请求头字段 Host 中的主机名 |
$http_user_agent |
客户端agent信息 |
$http_cookie |
客户端cookie信息 |
$limit_rate |
可以限制连接速率的变量 |
$request_method |
客户端请求的动作,如GET或POST |
$remote_addr |
客户端的IP地址 |
$remote_port |
客户端的端口 |
$remote_user |
已经经过Auth Basic Module验证的用户名 |
$request_filename |
当前请求的文件路径 |
$scheme |
HTTP方法(如http,https) |
$server_protocol |
请求使用的协议,如HTTP/1.0或HTTP/1.1 |
$server_addr |
服务器地址 |
$server_name |
服务器名称 |
$server_port |
请求到达服务器的端口号 |
$request_uri |
包含请求参数的原始URI |
$uri |
不带请求参数的当前URI |
$document_uri |
与$uri相同 |
基本配置
反向代理
允许Nginx将来自客户端的请求转发到后端服务器,并将后端服务器的响应返回给客户端。
使用
location块中的proxy_pass指令:
proxy_pass:定义后端服务器的地址。
proxy_set_header:修改从客户端传递到代理服务器的请求头。
proxy_hide_header:隐藏从代理服务器返回的响应头。
proxy_redirect:修改从代理服务器返回的响应头中的Location和Refresh头字段。注意事项
当使用
proxy_pass指令时,确保后端服务器是可用的,否则Nginx将返回错误。使用
proxy_set_header确保后端服务器接收到正确的请求头。
location /some/path/ {
proxy_pass http://your_backend_address;
}
例子:所有发送到
example.com的请求都被代理到localhost:8080。
server {
listen 80;
server_name example.com;
location / {
proxy_pass http://localhost:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
负载均衡
当有多台服务器时,代理服务器根据规则将请求分发到指定的服务器上处理。
| 策略名称 | 描述 | 示例 |
|---|---|---|
| RR (round robin) | 默认的负载均衡方法,按时间顺序逐一分配到不同的后端服务器 | upstream web_servers { server localhost:8081; server localhost:8082; } |
| 热备 | 当主服务器发生故障时,才将流量转发到备用服务器 | upstream web_servers { server 127.0.0.1:7878; server 192.168.10.121:3333 backup; } |
| 权重 | 根据预设权重分配请求,权重越高的服务器接收的请求越多 | upstream web_servers { server localhost:8081 weight=1; server localhost:8082 weight=2; } |
| ip_hash | 根据客户端IP地址的hash结果分配请求,确保特定客户端IP的请求总是发给同一个后端服务器 | upstream test { ip_hash; server localhost:8080; server localhost:8081; } |
| fair (第三方) | 根据后端服务器的响应时间分配请求,响应时间短的优先分配 | upstream backend { fair; server localhost:8080; server localhost:8081; } |
| url_hash (第三方) | 根据请求的URL的hash结果分配请求,确保同一个URL的请求总是发给同一个后端服务器 | upstream backend { hash_method crc32; hash $request_uri; server localhost:8080; server localhost:8081; } |
权重:weight 越高,被分配的请求越多,默认为 1。
upstream myserver {
server 192.167.4.32:5000 weight=10;
server 192.168.4.32:8080 weight=5;
}
动静分离
动静分离是指将动态内容和静态内容分开处理。
静态内容通常包括:图片、CSS、JavaScript、HTML文件等,这些内容不需要经常更改。
而动态内容则是经常变化的,如:PHP、ASP、JSP、Servlet等生成的内容。
注意事项:
- 确保静态文件路径配置正确,避免404错误。
- 使用
expires指令为静态内容设置缓存,这可以减少服务器的负载并提高页面加载速度。
直接为静态内容设置一个别名或根目录。
所有的静态文件都被存放在
/path/to/static/files目录下。
expires指令设置了静态文件的缓存时间。
location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
root /path/to/static/files;
expires 30d; # 设置缓存时间
}
使用alias别名。
如果静态文件不在项目的主目录下,可以使用
alias来指定静态文件的实际路径。URL中的
/static/会映射到文件系统的/path/to/static/files/。
location /static/ {
alias /path/to/static/files/;
代理动态内容:
- 对于动态内容,可能需要将请求代理到后端的应用服务器,如Tomcat、uWSGI等。
location / {
proxy_pass http://backend_server_address;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
跨域
跨域资源共享(CORS)是一种安全策略,用于控制哪些网站可以访问资源。
当前端应用程序和后端API位于不同的域上时,通常会遇到跨域问题。
- Nginx可以通过设置响应头来帮助解决这个问题。
在生产环境中,出于安全考虑,建议不要使用
'Access-Control-Allow-Origin' '*',而是指定确切的域名。
location / {
# 其他配置...
# 设置允许来自所有域名请求。如果需要指定域名,将'*'替换为您的域名。
add_header 'Access-Control-Allow-Origin' '*';
# 允许的请求方法。
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
# 允许的请求头。
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
# 允许浏览器缓存预检请求的结果,单位为秒。
add_header 'Access-Control-Max-Age' 1728000;
# 允许浏览器在实际请求中携带用户凭证。
add_header 'Access-Control-Allow-Credentials' 'true';
# 设置响应类型为JSON。
add_header 'Content-Type' 'application/json charset=UTF-8';
# 针对OPTIONS请求单独处理,因为预检请求使用OPTIONS方法。
if ($request_method = 'OPTIONS') {
return 204;
}
}
防盗链
防盗链是指防止其他网站直接链接到你的网站资源(如图片、视频等),从而消耗服务器带宽。
- Nginx提供了一个非常方便的模块——
ngx_http_referer_module,用于实现防盗链功能。
valid_referers:
- 定义了合法的来源页面:
none表示直接访问,blocked表示没有Referer头的访问,www.example.com和example.com是合法的来源域名,*.example.net表示example.net的所有子域名都是合法的来源。
$invalid_referer:
- 会在来源不在
valid_referers列表中时变为"true"。
- 如果来源不合法,服务器将返回403禁止访问的状态码。
防盗链配置可能会影响搜索引擎的爬虫,因此在实施防盗链策略时要小心。
如果网站使用了CDN,确保CDN的服务器也在
valid_referers列表中,否则CDN可能无法正常工作。
location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers none blocked www.example.com example.com *.example.net;
if ($invalid_referer) {
return 403;
}
}
使用错误图片代替原图片。
如果不想显示403错误,而是想显示一个错误图片(例如:“禁止外链”的图片),可以这样配置。
location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers none blocked www.example.com example.com *.example.net;
if ($invalid_referer) {
rewrite ^/.*$ /path/to/error/image.jpg;
}
基本原理
Nginx 启动之后,在 Linux 系统中有两个进程,一个为 master,一个为 worker。
master 作为管理员不参与任何工作,只负责给多个 worker 分配不同的任务(worker一般有多个)。
worker是如何工作的?
客户端发送一个请求首先要经过 master,管理员收到请求后会将请求通知给 worker,多个 worker 以争抢的机制来抢夺任务,得到任务的 worker 会将请求经由 tomcat 等做请求转发、反向代理等。
一个 master 和多个 worker 的好处?
- 可以使用
nginx -s reload进行热部署。 - 每个 worker 是独立的进程,如果其中一个 worker 出现问题,其它 worker 是独立运行的,会继续争抢任务,实现客户端的请求过程,而不会造成服务中断。
设置多少个 worker 合适?
Nginx 和 redis 类似,都采用 io 多路复用机制,每个 worker 都是一个独立的进程,每个进程里只有一个主线程,通过异步非阻塞的方式来处理请求,每个 worker 的线程可以把一个 cpu 的性能发挥到极致,因此,worker 数和服务器的 cpu 数相等是最为适宜的。