运维|运维笔记-nginx详解 nginx|apache

目录

1.简介
2.正向代理与反向代理
3.nginx的安装部署（基于Centos 8-stream操作系统）
4.nginx配置文件详解
5.高效的Web服务器-nginx
5.1nginx服务器基本配置
5.2nginx-基于IP的访问控制
5.2基于授权的访问控制
5.3apache与nginx的访问控制对比
6.反向代理服务器-nginx
6.1.配置环境说明
6. 2.反向代理配置
6.3.负载均衡
7.工作状态统计监控开启
8.nginx实现动静态文件分离
8.1匹配规则介绍
8.2动静态文件分离配置

1.简介 nginx因为它的稳定性、丰富的模块库、灵活的配置和低系统资源的消耗而得到广泛使用。当它用作Web服务器时，相比较于apache，它在处理静态文件方面效率更高，具有高并发、占用资源少的优点。其次它作为反向代理的时候，可以实现负载均衡。本篇文章主要从这两个主要功能来介绍nginx
2.正向代理与反向代理这里插播一条介绍，nginx一大功能是反向代理，什么是反向代理？而与之相对的正向代理又是什么？两者又有何区别？
正向代理与反向代理部署位置都是在客户端与服务端之间，正向代理代理的是客户端，反向代理代理的是服务端。正向代理可以隐藏客户端信息，解决访问限制的问题，可以用缓存提高访问效率，也可以访问一些正常无法访问的网站（譬如外网等）。反向代理隐藏服务端网络信息，起到一个安全保护的作用，且可以实现负载均衡。
3.nginx的安装部署（基于Centos 8-stream操作系统） nginx的安装很简单，这里介绍的是使用yum一键安装所需软件包，然后进行编译安装。所需要安装的软件有：zlib、zlib-devel、pcre、pcre-devel、openssl、openssl-devel、GCC
1、使用如下命令进行安装软件包

yum install -y zlib zlib-devel openssl openssl-devel gcc pcre pcre-devel

2、软件包安装完成后，从以下网站下载nginx的tar包，可自定义下载路径，然后解压

wget http://nginx.org/download/nginx-1.21.6.tar.gz

3、解压命令

tar -zxvf nginx-1.21.6.tar.gz

4、解压后进入nginx-1.21.6目录，由于后续可能需要用到安全认证和状态监控功能，所以可先执行如下命令安装两个模块http_stub_status_module 和http_ssl_module

./configure --with-http_stub_status_module --with-http_ssl_module

5、然后开始安装

make && make install

6、安装完成后，nginx服务默认安装路径在/usr/local/nginx/，如下命令启动nginx服务

/usr/local/nginx/sbin/nginx

7、nginx常用命令

/usr/local/nginx/sbin/nginx -s reload//重启nginx服务，配置文件修改后重新加载/usr/local/nginx/sbin/nginx -s stop//停止nginx服务/usr/local/nginx/sbin/nginx -t//检查nginx配置文件/usr/local/nginx/sbin/nginx -v//查看nginx版本号/usr/local/nginx/sbin/nginx -V//查看nginx已经编译的参数，可以看到这里有刚刚安装的两个模块http_stub_status和http_ssl

4.nginx配置文件详解以下是默认安装的nginx默认配置文件，nginx配置文件路径：/usr/local/nginx/conf/nginx.conf
nginx配置文件最外层的块是main，main包含events块、http块，而http块中有upstream和一个或多个server块，server块中又有一个或多个location块

//全局配置 #usernobody; //默认用户，nobody是一个不能登录的用户，只能看到所有人均可读可写的文件，用来完成特定的任务，不能登录是为了安全，防止入侵 worker_processes1; //工作进程，nginx一般是一个master进程加一个或多个工作进程，这里定义工作进程数量。该参数一般建议与CPU数量一致#error_loglogs/error.log; //错误日志路径，以下可定义错误日志级别，debug模式日志最详细 #error_loglogs/error.lognotice; #error_loglogs/error.loginfo; #pidlogs/nginx.pid; //进程id文件，nginx启动时记载进程号的文件events { useepoll//定义nginx工作模式，参数有select/poll/epoll/kqueue/等，epoll是高效的网络IO模式，一般在linux系统使用；kqueue一般在FreeBSD系统中使用 worker_connections1024; //每个工作进程允许的最大连接数，nginx的最大客户端连接数 =worker_connections*worker_processes }http { includemime.types; //引用mime.types文件中的mime类型定义 default_typeapplication/octet-stream; //定义默认类型为任意的二进制流#log_formatmain'$remote_addr - $remote_user [$time_local] "$request" ' #'$status $body_bytes_sent "$http_referer" ' #'"$http_user_agent" "$http_x_forwarded_for"'; //定义日志文件内容格式,main为此格式名称#access_loglogs/access.logmain; //日志文件路径并引用上面定义的名为main的日志格式sendfileon; //高效文件传输模式开关，提高文件读写效率，一般在做Web服务器时打开开关 #tcp_nopushon; //sendfile开关打开时使用，用来防止网络堵塞#keepalive_timeout0; keepalive_timeout65; //客户端连接保持的超时时间，超出该时间服务端断开与客户端的连接#gzipon; //压缩打包传输开关 //一个server块就是一个虚拟主机 server { listen80; //监听端口，默认80 server_namelocalhost; //服务名称ip或者域名#charset koi8-r; //网页编码格式#access_loglogs/host.access.logmain; //日志路径并引用日志格式 mainlocation / { roothtml; //网页发布文件的根目录 indexindex.html index.htm; //网页发布文件 }//下面一段额外添加，为nginx作为反向代理时的负载均衡配置，用upstream块实现 upstream test { ip_hash//负载均衡调度算法，默认为Weight轮询，还有ip_hash/url_hash/fair算法 server 192.168.91.128:80 weight=1; //服务器ip端口配置，Weight轮询算法权重值，值越 server 192.168.91.128:81 weight=2; 大被分配到的几率越高 server 192.168.91.128:82 weight=3; }#error_page404/404.html; # redirect server error pages to the static page /50x.html # error_page500 502 503 504/50x.html; location = /50x.html { roothtml; } //上面一段配置是指当网页访问报错500/502/503/504时，显示html目录下50x.html文件内容 # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ \.php$ { #proxy_passhttp://127.0.0.1; //被代理服务器ip #} //上面三行指做php格式的脚本文件的反向代理 # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # #location ~ \.php$ { #roothtml; #fastcgi_pass127.0.0.1:9000; #fastcgi_indexindex.php; #fastcgi_paramSCRIPT_FILENAME/scripts$fastcgi_script_name; #includefastcgi_params; #} //nginx支持fastcgi功能 # deny access to .htaccess files, if Apache's document root # concurs with nginx's one # #location ~ /\.ht { #denyall; //用作Web服务器时的访问控制，禁止访问.htxx格式文件 #} }# another virtual host using mix of IP-, name-, and port-based configuration # #server { #listen8000; #listensomename:8080; #server_namesomenamealiasanother.alias; #location / { #roothtml; #indexindex.html index.htm; #} #}# HTTPS server # #server { #listen443 ssl; #server_namelocalhost; #ssl_certificatecert.pem; #ssl_certificate_keycert.key; #ssl_session_cacheshared:SSL:1m; #ssl_session_timeout5m; #ssl_ciphersHIGH:!aNULL:!MD5; #ssl_prefer_server_cipherson; //支持ssl安全认证功能#location / { #roothtml; #indexindex.html index.htm; #} #}}

5.高效的Web服务器-nginx 5.1nginx服务器基本配置
nginx用作Web服务器时，主要关注如下配置

文章图片

安装完nginx后，启动nginx服务即可用浏览器访问http://localhost:80,有可能会遇到访问被拒绝，该情况下检查防火墙80端口是否被放通，防火墙放通使用如下命令

firewall-cmd --list-all//查看防火墙所有信息也可以分开查看端口和服务信息 firewall-cmd --list-ports//查看放行端口信息 firewall-cmd --list-services//查看放行服务信息若80端口未放行，使用下面命令放行80端口 firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload//防火墙重新加载策略若http服务未放行，使用下面命令放行http服务 firewall-cmd --permanent --add-services=http firewall-cmd --reload//防火墙重新加载策略

防火墙放通后，访问网页如下，表示nginx成功安装

关于修改默认发布文件以及发布目录，此处不再赘述，涉及的修改端口等问题可参考另一篇apache运维笔记讲解：CSDN

文章图片
https://mp.csdn.net/mp_blog/creation/editor/124062101
5.2nginx-基于IP的访问控制
nginx服务器跟apache服务器一样，通过内置模块http_access_module，通过在location块中设置allow和deny来实现IP的访问控制。配置如下

deny 192.168.91.131; allow all; //允许除192.168.91.131以外的客户端访问

此时浏览器访问显示连接被拒绝
5.2基于授权的访问控制
nginx服务器通过内置模块http_auth_basic_module来实现基于授权的访问控制
1./usr/local/nginx/conf/nginx.conf配置文件中添加如下配置：

auth_basic "secret"; auth_basic_user_file /usr/local/nginx/passwd;

2.htpasswd 命令生成用户认证文件,然后根据提示输入test1用户的密码，命令如下：

htpasswd -cm /usr/local/nginx/passwd test1

3.浏览器访问url，此时提示需要输入用户名密码
5.3apache与nginx的访问控制对比
apache与nginx的访问控制都可以基于ip和授权，两者配置也类似，apache的访问控制配置可参考一下链接：
CSDN

文章图片
https://mp.csdn.net/mp_blog/creation/editor/124062101
6.反向代理服务器-nginx 6.1.配置环境说明
之前部署apache时用到的ip和端口环境还在，所以我们这里用nginx作为之前安装的apache服务器的反向代理，环境如下:
apache服务器ip ：192.168.91.128
端口号：80
界面如下：

文章图片

6. 2.反向代理配置
配置如下（只需要在location块中加一行proxy_pass：被代理的服务器ip和端口：

配置完成后重启nginx服务，然后使用访问http://192.168.91.131:80,返回apache服务器网页发布文件内容

6.3.负载均衡
前面讲解配置文件时，提到upstream块，它就是nginx实现负载均衡配置的地方，此处只是最简配置，不涉及参数的修改，配置如下：

upstream test { server 192.168.91.128:80 weight=1; server 192.168.91.128:81 weight=2; server 192.168.91.128:82 weight=3; } //配置负载均衡，此处使用默认Weight轮询算法，并分别配置权重值，可见根据配置权重值越大，访问概率越高，第一次访问应该访问的是192.168.91.128:82端口server { listen8090; //该处为了与上面配置的80端口区分，此处修改为8090端口 server_namelocalhost; location / { proxy_pass http://test; proxy_set_headerHost$http_host; proxy_set_headerX-Real-IP$remote_addr; } //此处配置负载均衡，此处配置未涉及其它参数更改，基本可以算最简配置，proxy_set_header设置增加文件头，将真实的客户端信息传输到真实服务器上，要不然在真实服务器上收到的客户端信息永远都是代理服务器的ip与主机名。（此处配置了真实ip与主机名）

其中的upstream块中通过一台服务器三个端口来实现多站点访问，此处配置同样可参考：
CSDN

文章图片
https://mp.csdn.net/mp_blog/creation/editor/124062101
7.工作状态统计监控开启前面我们安装了http_stub_status_module模块，这里我们可以开启此模块功能，此模块可以统计nginx自上次启动以来工作状态信息，包含连接活跃数，处理响应请求数等信息
开启配置如下：

成功后访问：http://localhost:8090/status，查看状态统计信息如下：
Active connections：当前活跃连接数
第三行三个数字分别表示：当前总共处理了多少个连接/当前总共成功创建的握手次数/当前总共处理了多少次请求
Reading：表示Nginx读取到客户端Header信息数
Writing：Nginx返回给客户端的Header信息数
Waiting：表示Nginx已经处理完，正在等候下一次请求指令时的驻留连接数

8.nginx实现动静态文件分离
nginx在作为Web服务器时，可以高效的处理静态文件，但是它无法处理动态文件，当收到动态文件请求时，需要用到它的反向代理功能将请求转发给后台的tomcat服务器来处理，两者的搭配，既可以实现动态文件的处理，又可以高效的处理静态文件。
8.1匹配规则介绍
nginx实现动静态文件分离主要使用了location块的url匹配功能，简单介绍如下：
(location =) > (location完整url) > (location ^~) > (location ,*) > (lcoaltion部分起始路径) > (/)
location = 开头表示精确匹配
location ^~ 开头表示uri以某个常规字符串开头，理解为匹配 url路径即可。
location ~ 开头表示区分大小写的正则匹配
location ~* 开头表示不区分大小写的正则匹配
location !~和location !~*分别为区分大小写不匹配及不区分大小写不匹配的正则
location / 通用匹配，任何请求都会匹配到。

匹配优先级顺序：

首先精确匹配 = ；
其次前缀匹配 ^~；
其次是按照配置文件中的正则匹配；
然后匹配不带任何修饰符的前缀匹配；
最后/通用匹配；

8.2动静态文件分离配置

location / { proxy_pass http://x.x.x.x; } //所有的路径都是/开头,表示匹配所有 location ~ .*\.(php|php5)?$ { proxy_pass http://x.x.x.x; } //匹配所有以.php或者.php5的URL, ~表示区分大小写 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { proxy_pass http://x.x.x.x; } //匹配以.gif,.jpg,.jpeg,.png,.bmp,.swf结尾的url location ~ .*\.(js|css)?$ { proxy_pass http://x.x.x.x; } //匹配以.js或者.css结尾的url

【运维|运维笔记-nginx详解】上述配置文件表示，匹配上的静态文件分别走相应的代理的url，若都未匹配上则走匹配所有的url