一、Nginx

简介：

nginx [engine x]是Igor Sysoev编写的一个高性能的HTTP和反向代理服务器，另外它也可以作为邮件代理服务器。

在大多数情况下都是用来做静态web服务器和反向代理服务器,在作为反向代理服务器的时候,Nginx可以对后端的real server做负载均衡,基于应用层的负载均衡,但是他仅支持一些常见的协议，如：http、mysql、ftp、smtp。

特性：

Nginx是一款面向性能设计的HTTP服务器，相较于Apache、lighttpd具有占有内存少，稳定性高等优势。与旧版本（<=2.2）的Apache不同，nginx不采用每客户机一线程的设计模型，而是充分使用异步逻辑，削减了上下文调度开销，所以并发服务能力更强。整体采用模块化设计，有丰富的模块库和第三方模块库，配置灵活。 在Linux操作系统下，nginx使用epoll事件模型，得益于此，nginx在Linux操作系统下效率相当高。同时Nginx在OpenBSD或FreeBSD操作系统上采用类似于epoll的高效事件模型kqueue。

相较apache来说,Nginx在静态web,反向代理,性能,高并发等功能上比apache要强大,但是apache在稳定性,动态网站的方面比Nginx优秀.随着互联网的规模越来越大,apache已经解决不了C10k(并发访问量超过10k)的问题了,所以出现了新的应用程序,就如Nginx,目前Nginx的稳定版是1.4.x系列.

Nginx在官方测试的结果中，能够支持五万个平行连接，而在实际的运作中，是可以支持二万至四万个平行链接。

整体采用模块化设计是nginx的一个重大特点，甚至http服务器核心功能也是一个模块。要注意的是：nginx的模块是静态的，添加和删除模块都要对nginx进行重新编译，这一点与Apache的动态模块完全不同。

自PHP-5.3.3起，PHP-FPM加入到了PHP核心，编译时加上--enable-fpm即可提供支持。 PHP-FPM以守护进程在后台运行，Nginx响应请求后，自行处理静态请求，PHP请求则经过fastcgi_pass交由PHP-FPM处理，处理完毕后返回。 Nginx和PHP-FPM的组合，是一种稳定、高效的PHP运行方式，效率要比传统的Apache和mod_php高出不少。

二、Nginx的HTTP特性

基本的HTTP服务器特性：

• 静态资源的web服务器,能缓存打开的文件描述符

• 可以做反向代理服务器,缓存加速反向代理,简单的负载均衡以及容错

• 支持FastCGI，uwsgi，SCGI，和memcached服务的缓存加速支持

• 静态模块化架构,非DSO机制,支持多种过滤器,如gzip,SSI和图像大小调整等

• 支持SSL

扩展的HTTP服务器特性：

• 支持基于名称和IP做虚拟主机

• 支持keepalive

• 支持平滑的升级,平滑的配置文件更新

• 支持定制访问日志,支持日志缓存以提高性能，快速的日志轮转

• 3xx-5xx错误代码重定向

• 支持url rewrite

• 根据客户端地址执行不同的功能支持路径别名

• 支持基于IP和用户认证

• 支持速率限制,并发限制

三、Nginx的基本架构

Nginx会启动一个master进程和多个worker线程/进程,每个worker进程可以响应多个请求,启动的worker数量可以自行设置。worker进程以非特权用户(ngnix)运行。

一般而言,设置的worker数量应该比cpu的核心数少一到两个,如24个核心的cpu,应该设置22-23个worker进程数。

Nginx是基于事件驱动:kqueue,epoll(Linux),/dev/poll；支持消息通知机制：select,pool,rt signals；支持sendfile:服务器响应请求时,由内核直接响应,而不用经过用户空间。支持文件AIO,异步IO,支持mmap,内存映射。

四、Ngnix配置文件解析

1.配置文件层次

main {      //全局配置
}
http{server{  //虚拟主机location ** {  //URI访问属性}}
}

2.main段

基础设置

# user  username [groupname];                     //指定运行worker进程的用户和组
# worker_processes  1;                //启动的worker的数量,性能优化关键点
#error_log  logs/error.log;         //错误日志文件及其级别；默认为error级别；调试时可以使用debug级别，但要求在编译时必须使用--with-debug启用debug功能；
#error_log  logs/error.log  notice; //同上,但是级别为notice
#error_log  logs/error.log  info;  //同上,但是级别为 info
#pid        logs/nginx.pid;         //指定Nginx的pid文件
#events {
#    worker_connections  1024;       //worker进程的个数；通常其数值应该为CPU的物理核心数减1或减2；Nginx的最大并发数为worker_processes*worker_connections
# }

扩展设置：与性能优化相关

# worker_rlimit_nofile 9999;          //指定一个worker进程所能够打开的最大文件句柄数,可以使用ulimit -n查看单个文件可以打开的最大句柄数,(socket连接也算在里面)。系统默认值1024,此值需大于等于worker_connections,但是如果是代理服务器,此值应大于等于worker_connections的两倍
# worker_rlimit_sigpending  12;       //设定每个用户能够发往worker进程的信号的数量
# worker_cpu_affinity cpumask;        //与上面的worker_processes有关,让worker运行在指定的cpu上,如有4颗cpu,4个process,那就分别是0001,0010,0100,1000,表示第0,1,2,3颗cpu,性能优化关键点
# ssl_engine ssldevice;               //在存在ssl硬件加速器的服务器上，指定所使用的ssl硬件加速设备；
# timer_resolution t;                 //每次内核事件调用返回时，都会使用gettimeofday()来更新nginx缓存时钟；timer_resolution用于定义每隔多久才会由gettimeofday()更新一次缓存时钟；x86-64系统上，gettimeofday()代价已经很小，可以忽略此配置；
# worker_priority number;             //worker的优先级,值越小,优先级越高,对于性能的增强也是很关键的(-20,20),默认是0,对系统的性能增强很关键

扩展设置：与事件相关

//需要定义在 events { } 里面# accept_mutex [on|off];              //是否打开Ningx的负载均衡锁；此锁能够让多个worker进轮流地、序列化地与新的客户端建立连接；而通常当一个worker进程的负载达到其上限的7/8，master就尽可能不再将请求调度此worker；默认为on# lock_file /path/to/lock_file;       //这是accept_mutex的锁文件,如果accept_mutex为off,这项就没用了# accept_mutex_delay #ms;             //在accept锁模式中，一个worker进程为取得accept锁的等待时长；如果某worker进程在某次试图取得锁时失败了，至少要等待#ms才能再一次请求锁；默认是500毫秒# multi_accept on|off;                //是否允许worker一次性地响应多个用户请求；默认为Off,一个连接一个连接的建立;# use [epoll|rtsig|select|poll];      //定义使用的事件模型，建议让nginx自动选择；在Linux中一般(默认)都选择epoll

扩展设置：用于调试、定位问题

// 只在调试时使用
# daemon on|off;                      //是否让ningx运行后台；默认为on，调试时可以设置为off，使得所有信息去接输出控制台；
# master_process on|off;              //是否以master/worker模式运行nginx；默认为on；调试时可设置off以方便追踪；

3.http段

# http {
#     include       mime.types;
#     default_type  application/octet-stream;
#
#     #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
#       #                '$status $body_bytes_sent "$http_referer" '
#       #                '"$http_user_agent" "$http_x_forwarded_for"';
#     #access_log  logs/access.log  main;
#     sendfile        on;
#     #tcp_nopush     on;
#     #keepalive_timeout  0;
#     keepalive_timeout  65;
#     #gzip  on;
#    server {                         //定义虚拟主机
#      listen       80;             //监听的端口listen address[:port];listen port
#      server_name  localhost;      //定义基于主机名或IP的虚拟主机,可跟多个主机名
#      server_name_hash_bucket_size //快速主机名查找使用hash主机名
#      #charset koi8-r;
#      #access_log  logs/host.access.log  main;
#    location / {
#       root   html;      //设置web资源的路径,可以放在http,server和location中
#         index  index.html index.htm; #定义默认主页,自左向右匹配
#         }
#
#         #error_page  404 [=200]        /404.html;        #错误页面重定向,[=200表示请求状态码也编程200]
#       # redirect server error pages to the static page /50x.html
#         error_page   500 502 503 504  /50x.html;
#         location = /50x.html {
#             root   html;
#         }
# }

server段：

# listen address[:port];
或 # listen port;
#default_server//定义此server为http中默认的server；如果所有的server中没有任何一个listen使用此参数，那么第一个server即为默认server;
# rcvbuf=SIZE//接收缓冲大小；
# sndbuf=SIZE//发送缓冲大小；
# ssl: https server；
# server_name [...];//server_name可以跟多个主机名，名称中可以使用通配符和正则表达式(通常以~开头)；当nginx收到一个请求时，会取出其首部的server的值，而后跟众server_name进行比较；比较方式：//(1) 先做精确匹配；www.magedu.com//(2) 左侧通配符匹配；*.magedu.com//(3) 右侧通配符匹配；www.abc.com, www.*//(4) 正则表达式匹配: ~^.*\.magedu\.com$
# server_name_hash_bucket_size 32|64|128;//为了实现快速主机查找，nginx使用hash表来保存主机名；系统默认没有此项,也不是太重要

location段

# location [ = | ~ | ~* | ^~ ] uri { ... } //只能在server和location中,一个server中可以有多个location// =：精确匹配；优先级最高// ~：正则表达式模式匹配，匹配时区分字符大小写//~*：正则表达式模式匹配，匹配时忽略字符大小写//^~: URI前半部分匹配，不检查正则表达式
# location @name { ... }//功能：允许根据用户请求的URI来匹配指定的各location以进行访问配置；匹配到时，将被location块中的配置所处理；
# location /i/ {
#        alias /data/w3/p_w_picpaths/;//路径别名,访问/i/top.gif时将由/data/w3/p_w_picpaths/top.gif文件来响应
# }
# location ~* ^/documents/(.*)$ {
#        root /www/htdocs;
#        try_files $uri /docu/$1 /temp.html;//try_files path1 [path2 ...] uri;自左至右尝试读取由path所指定路径，在第一次找到即停止并返回；如果所有path均不存在，则返回最后一个uri;
#  }

其他参数设置：网络连接相关

# keepalive_timeout time;                      //保持连接的超时时长；默认为75秒；可以定义在http, server, location中
# keepalive_requests n;                        //在一次长连接上允许承载的最大请求数；上下文:http,server,location
# keepalive_disable [msie6 | safari | none ];  //对指定的浏览器禁止使用长连接；有些浏览器不支持长连接
# tcp_nodelay on|off;                          //对keepalive连接是否使用TCP_NODELAY选项；默认on;把多个确认报文合成一个响应,确认延迟
# client_header_timeout time;                  //读取http请求首部的超时时长；
# client_body_timeout time;                    //读取http请求包体的超时时长；
# send_timeout time; //发送响应的超时时长；

其他参数设置：对客户端请求限制

# limit_except method ... { ... }    //指定对范围之外的其它方法的访问控制；指定method为GET方法的同时，nginx会自动添加HEAD方法。上下文:location如: limit_except GET {allow 192.168.1.0/32;deny all;}请留意上面的例子将对除GET和HEAD方法以外的所有HTTP方法的请求进行访问限制。
# client_max_body_size SIZE;         //http请求包体的最大值；常用于限定客户所能够请求的最大包体；根据请求首部中的Content-Length来检测，以避免无用的传输；上下文:http, server, location
# limit_rate speed;                 //限制客户端每秒钟传输的字节数；默认为0，表示没有限制；上下文:http, server, location,
# limit_rate_after time;             //nginx向客户发送响应报文时，如果时长超出了此处指定的时长，则后续的发送过程开始限速；如:下载站上下文:http, server, location,

其他参数设置：对客户端请求的特殊处理

# ignore_invalid_headers on|off//是否忽略不合法的http首部；默认为on; off意味着请求首部中出现不合规的首部将拒绝响应；只能用于server和http;
# log_not_found on|off;//是否将文件找不到的信息也记录进错误日志中；默认为on;上下文:http, server, location
# resolver address;//指定nginx使用的dns服务器地址；上下文:   http, server, location
# resover_timeout time;//指定DNS解析超时时长，默认为30s,建议5秒; 上下文:http, server, location
# server_tokens on|off;//是否在错误页面中显示nginx的版本号；默认on,上下文:http, server, location

其他参数设置：文件操作的优化

# sendfile on|off//是否启用sendfile功能；由内核直接响应用户请求,默认off上下文:http, server, location, if in location
# aio on|off//是否启用aio功能；完全异步
# open_file_cache max=N [inactive=time]|off//是否打开文件缓存功能；上下文:   http, server, locationmax: 缓存条目的最大值；当满了以后将根据LRU(最近最少使用)算法进行置换；inactive: 某缓存条目在指定时长时没有被访问过时，将自动被删除；默认为60s;缓存的信息包括： 文件句柄、文件大小和上次修改时间；已经打开的目录结构；没有找到或没有访问权限的信息；
# open_file_cache_errors on|off//是否缓存文件找不到或没有权限访问等相关信息；默认off;上下文:http, server, location
# open_file_cache_valid time;//多长时间检查一次缓存中的条目是否超出非活动时长，默认为60s; 上下文:http, server, location
# open_file_cache_min_use #;//在inactive指定的时长内被访问超此处指定的次数地，才不会被删除；默认1分钟;上下文:http, server, location

http核心模块的内置变量

# $uri:               #当前请求的uri，不带参数；参数 ?=12等之类的
# $request_uri:       #请求的uri，带完整参数；
# $host:              #http请求报文中host首部；如果请求中没有host首部，则以处理此请求的虚拟主机的主机名代替；
# $hostname:          #nginx服务运行在的主机的主机名；
# $remote_addr:       #客户端IP
# $remote_port:       #客户端Port
# $remote_user:       #使用用户认证时客户端用户输入的用户名；
# $request_filename:  #用户请求中的URI经过本地root或alias转换后映射的本地的文件路径；用的很多
# $request_method:    #请求方法
# $server_addr:       #服务器地址
# $server_name:       #服务器名称
# $server_port:       #服务器端口
# $server_protocol:   #服务器向客户端发送响应时的协议，如http/1.1, http/1.0
# $scheme:            #在请求中使用scheme, 如https://www.magedu.com/中的https；
# $http_HEADER:       #匹配请求报文中指定的HEADER，$http_host匹配请求报文中的host首部
# $sent_http_HEADER:  #匹配响应报文中指定的HEADER，例如$http_content_type匹配响应报文中的content-type首部；
# $document_root：    #当前请求映射到的root配置；

五、Nginx编译安装

1）部署开发环境
# yum -y install "Development tools" "Server Platform Development"
2）解决依赖 pcre-devel  openssl-devel
# yum -y install pcre-devel openssl-devel
3) 设置用户
# groupadd -r nginx
# useradd -r -g nginx nginx
4）编译安装nginx-1.4.7
# tar xf nginx-1.4.7.tar.gz
# cd nginx-1.4.7
# ./configure --prefix=/usr --sbin-path=/usr/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf --error-log-path=\ /var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock \--user=nginx --group=nginx --with-http_ssl_module \
--with-http_flv_module --with-http_stub_status_module \
--with-http_gzip_static_module --http-client-body-temp-path=\ /var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ \ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi --http-scgi-temp-path=\
/var/tmp/nginx/scgi --with-pcre
# make && make install
5）检测配置文件语法
# /usr/sbin/nginx -t
6) 提供启动脚本
# vim  /etc/rc.d/init.d/nginx内容如下
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   - 85 15
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /etc/nginx/nginx.conf
# config:      /etc/sysconfig/nginx
# pidfile:     /var/run/nginx.pid# Source function library.
. /etc/rc.d/init.d/functions# Source networking configuration.
. /etc/sysconfig/network# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0nginx="/usr/sbin/nginx"
prog=$(basename $nginx)NGINX_CONF_FILE="/etc/nginx/nginx.conf"[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginxlockfile=/var/lock/subsys/nginxmake_dirs() {# make required directoriesuser=`nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`options=`$nginx -V 2>&1 | grep 'configure arguments:'`for opt in $options; doif [ `echo $opt | grep '.*-temp-path'` ]; thenvalue=`echo $opt | cut -d "=" -f 2`if [ ! -d "$value" ]; then# echo "creating" $valuemkdir -p $value && chown -R $user $valuefifidone
}start() {[ -x $nginx ] || exit 5[ -f $NGINX_CONF_FILE ] || exit 6make_dirsecho -n $"Starting $prog: "daemon $nginx -c $NGINX_CONF_FILEretval=$?echo[ $retval -eq 0 ] && touch $lockfilereturn $retval
}stop() {echo -n $"Stopping $prog: "killproc $prog -QUITretval=$?echo[ $retval -eq 0 ] && rm -f $lockfilereturn $retval
}restart() {configtest || return $?stopsleep 1start
}reload() {configtest || return $?echo -n $"Reloading $prog: "killproc $nginx -HUPRETVAL=$?echo
}force_reload() {restart
}configtest() {$nginx -t -c $NGINX_CONF_FILE
}rh_status() {status $prog
}rh_status_q() {rh_status >/dev/null 2>&1
}case "$1" instart)rh_status_q && exit 0$1;;stop)rh_status_q || exit 0$1;;restart|configtest)$1;;reload)rh_status_q || exit 7$1;;force-reload)force_reload;;status)rh_status;;condrestart|try-restart)rh_status_q || exit 0;;*)echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"exit 2
esac
7）添加到系统服务并开机启动
# chkconfig --add nginx
# chkconfig nginx on
# chkconfig --list nigx
8) 设置nginx配置文件的语法高亮
# mkdir ./vim/syntax -pv
# cd  .vim/syntax
# wget http://www.vim.org/scripts/download_script.php?src_id=19394
# cd .vim
# vim filetype.vim 内容如下au BufRead,BufNewFile /etc/nginx/*,/usr/local/nginx/conf/* if &ft == '' | setfiletype nginx | endif
9）启动服务
# service nginx start
# pa aux | grep nginx

六、配置使用Nginx

1.配置虚拟主机

server {listen         80;server_name    www.a.com;root           /web/a       }

2.设置访问控制access模块，只有两个选项：allow和deny

server {listen 80;server_name www.a.com;root /web/a;allow 192.168.0.0/16;deny all;}

3.用户认证

location /admin/ {auth_basic "admin";auth_basic_user_file /etc/nginx/.htpasswd;root /web/a/;}
# 使用htpasswd -c -m /path/to/somefile username 创建密码文件

4.下载点设置

#建立下载站点autoindex,只需autoindex为on就行了,在/web/a/down目录下的不可识别的文件都会被以列表的形式列出来location /down/ {autoindex on;root /web/b/;}

5.SSL示例

server {listen       443;server_name  localhost;ssl                  on;        #开启ssl引擎ssl_certificate      cert.pem;  #证书ssl_certificate_key  cert.key;  #私钥文件ssl_session_timeout  5m;        #ssl的超时时间,ssl会话的建立还释放比保持连接更消耗时间,所以如果内存够大并且你网站的粘性比较大,建议时间调长一点ssl_protocols  SSLv2 SSLv3 TLSv1; #支持的协议ssl_ciphers  HIGH:!aNULL:!MD5;    #加密算法ssl_prefer_server_ciphers   on;   #服务端选择倾向的算法
}

6.stub_status状态页

location /server-status {stub_status on;}

7.gzip压缩

http {gzip on;                  #开启压缩功能,可以放在http,servergzip_http_version 1.0;    #压缩后使用那种http协议构建响应报文gzip_comp_level 2;        #压缩级别gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript application/json; #仅对这些格式的内容进行压缩gzip_disable msie6;       #对IE6不使用压缩机制}

8.URL rewrite, 地址重写

# rewrite regex replacement [flag];  //上下文 server,location,ifflag参数：last：停止执行当前这一轮的ngx_http_rewrite_module指令集，然后查找匹配改变后URI的新location；break：停止执行当前这一轮的ngx_http_rewrite_module指令集；redirect：在replacement字符串未以“http://”或“https://”开头时，使用返回状态码为302的临时重定向；permanent：返回状态码为301的永久重定向。
# rewrite_log on|off   //开启或者关闭将ngx_http_rewrite_module模块指令的处理日志以notice级别记录到错误日志中。默认为off；
# return code         //用于结束rewrite规则，并且为客户返回状态码；可以使用的状态码有204, 400, 402-406, 500-504等；
location /down/ {  #可以没有down1文件夹root /web/b;rewrite ^/down1/(.*\.(jpg|gif|png))$ /p_w_picpath/$1 last;#访问网址是www.a.com/down1,实际目录是www.a.com/p_w_picpath}

9.防盗链

#ngx_http_referer_module//此模块允许拦截“Referer”请求头中含有非法值的请求，阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的， 因此这个模块的预期目的不在于彻底地阻止这些非法请求，而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意，即使正常浏览器发送的合法请求，也可能没有“Referer”请求头。
定义：
# location /photos/ {
#    valid_referers none blocked server_names
#               *.example.com example.* www.example.org/galleries/
#               ~\.google\.;
# if ($invalid_referer) {//如果是以上指定范围外的,则返回 403错误
#     return 403;
#  }
# }
该指令的参数：none              # 缺少“Referer”请求头；blocked           # “Referer” 请求头存在，但是它的值被防火墙或者代理服务器删除； 这些值都不以“http://” 或者 “https://”字符串作为开头；server_names      # “Referer” 请求头包含某个虚拟主机名；