nginx进阶_nginx-t //请求级别,类似于httpd中的,用于定义url与本地文件系统的映射关系

nginx进阶

1.nginx的配置文件详解

主配置文件：/usr/local/nginx/conf/nginx.conf

• 默认启动nginx时，使用的配置文件是：安装路径/conf/nginx.conf文件
• 可以在启动nginx时通过-c选项来指定要读取的配置文件

nginx常见的配置文件及其作用

说明

proxy.conf和sites.conf为yum安装的nginx才有的配置文件
而其他的为编译安装有的
1
2

1.1 nginx.conf配置详解e //定义反向代理

fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

### 1.8 常需要进行调整的参数
- worker_processes
- worker_connections 
- worker_cpu_affinitY
- worker_priority
### 1.9 nginx作为web服务器时使用的配置：http{}段的配置参数
http{...}：配置http相关，由ngx_http_core_module模块引入。nginx的HTTP配置主要包括四个区块，结构如下：
1
2
3
4
5
6
7

http {//协议级别
include mime.types;
default_type application/octet-stream;
keepalive_timeout 65;
gzip on;
upstream {//负载均衡配置
…
}
server {//服务器级别，每个server类似于httpd中的一个
listen80;
server_name localhost;
location / {//请求级别，类似于httpd中的，用于定义URL与本地文件系统的映射关系
root html;
index index.html index.htm;
}
}
}

**http{}段配置指令：**
server {}：定义一个虚拟主机，示例如下：
1
2

server {
listen 80;
server_name www.idfsoft.com;
root “/vhosts/web”;
}

listen：指定监听的地址和端口
1

listen address[:port];
listen port;

server_name NAME [...]; 后面可跟多个主机，名称可使用正则表达式或通配符
**当有多个server时，匹配顺序如下：**
- 先做精确匹配检查
- 左侧通配符匹配检查，如*.idfsoft.com
- 右侧通配符匹配检查，如mail.*
- 正则表达式匹配检查，如~ ^.*\.idfsoft\.com$
- default_server

root path; 设置资源路径映射，用于指明请求的URL所对应的资源所在的文件系统上的起始路径

alias path; 用于location配置段，定义路径别名

index file; 默认主页面
1
2
3
4
5
6
7
8
9
10
11
12
13

index index.php index.html;

error_page code [...] [=code] URI | @name 根据http响应状态码来指明特用的错误页面，例如 error_page 404 /404_customed.html

[=code]：以指定的响应码进行响应，而不是默认的原来的响应，默认表示以新资源的响应码为其响应码，例如 error_page 404 =200 /404_customed.html

log_format 定义日志格式

log_format  main  '$remo
1
2
3
4
5
6
7

log_format main '$remote_addr - $remot{e}_{u}ser[$time_local] “KaTeX parse error: Double superscript at position 32: … '̲status $bod{y}_{b}yte{s}_{s}ent"$http_referer” ’
‘“$htt{p}_{u}se{r}_{a}gent""$http_x_forwarded_for”’;
access_log logs/access.log main;

//注意：此处可用变量为nginx各模块内建变量

**location区段，通过指定模式来与客户端请求的URI相匹配**
1

//功能：允许根据用户请求的URI来匹配定义的各location，匹配到时，此请求将被相应的location配置块中的配置所处理，例如做访问控制等功能

//语法：location [ 修饰符 ] pattern {…}

**常用修饰符说明：**
|修饰符  |功能|
|---|---|
|=	|精确匹配|
|~	|正则表达式模式匹配，区分大小写|
|~*	|正则表达式模式匹配，不区分大小写|
|^~|前缀匹配，类似于无修饰符的行为，也是以指定模块开始，不同的是，如果模式匹配，那么就停止搜索其他模式了，不支持正则表达式
|@|	定义命名location区段，这些区段客户端不能访问，只可以由内部产生的请求来访问，如try_files或error_page等|
**没有修饰符表示必须以指定模式开始，如：**
1
2
3
4
5
6
7
8
9

server {
server_name www.idfsoft.com;
location /abc {
…
}
}

那么如下内容就可正确匹配：
- http://www.idfsoft.com/abc
- http://www.idfsoft.com/abc?p1=11&p2=22
- http://www.idfsoft.com/abc/

**=：表示必须与指定的模式精确匹配，如：**
1
2
3
4
5
6

server {
server_name www.idfsoft.com;
location = /abc {
…
}
}

那么如下内容就可正确匹配：
- http://www.idfsoft.com/abc
- http://www.idfsoft.com/abc?p1=11&p2=22

如下内容则无法匹配：
- http://www.idfsoft.com/abc/
- http://www.idfsoft.com/abc/abcde

**~：表示指定的正则表达式要区分大小写，如：**
1
2
3
4
5
6
7
8
9

server {
server_name www.idfsoft.com;
location ~ ^/abc$ {
…
}
}

那么如下内容就可正确匹配：
- http://www.idfsoft.com/abc
- http://www.idfsoft.com/abc?p1=11&p2=22

如下内容则无法匹配：
- http://www.idfsoft.com/abc/
- http://www.idfsoft.com/ABC
- http://www.idfsoft.com/abcde
 
**~*：表示指定的正则表达式不区分大小写，如：**
1
2
3
4
5
6
7
8
9
10

server {
server_name www.idfsoft.com;
location ~* ^/abc$ {
…
}
}

那么如下内容就可正确匹配：
- http://www.idfsoft.com/abc
- http://www.idfsoft.com/abc?p1=11&p2=22
- http://www.idfsoft.com/ABC

如下内容则无法匹配：

-http://www.idfsoft.com/abc/
- http://www.idfsoft.com/abcde
- 
**~：类似于无修饰符的行为，也是以指定模式开始，不同的是，如果模式匹配，则停止搜索其他模式**


**查找顺序和优先级：由高到底依次为**

1.带有=的精确匹配优先

2.正则表达式按照他们在配置文件中定义的顺序

3.带有^~修饰符的，开头匹配

4.带有~或~*修饰符的，如果正则表达式与URI匹配

5.没有修饰符的精确匹配

**优先级次序如下：**
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

( location = 路径 ) --> ( location ^~ 路径 ) --> ( location ~ 正则 ) --> ( location ~* 正则 ) --> ( location 路径 )

### 1.10 访问控制
**用于location段**

allow：设定允许哪台或哪些主机访问，多个参数间用空格隔开

deny：设定禁止哪台或哪些主机访问，多个参数间用空格隔开
示例：
1
2
3
4
5
6
7

allow 192.168.1.1/32 172.16.0.0/16;
deny all;

### 1.11 基于用户认证
1

auth_basic “欢迎信息”;
auth_basic_user_file “/path/to/user_auth_file”

user_auth_file内容格式为：
1

username:password

这里的密码为加密后的密码串，建议用htpasswd来创建此文件：
1

htpasswd -c -m /path/to/.user_auth_file USERNAME

1.12 https配置

生成私钥，生成证书签署请求并获得证书，然后在nginx.conf中配置如下内容：

server {
  listen       443 ssl;
  server_name  www.idfsoft.com;
  ssl_certificate      /etc/nginx/ssl/nginx.crt;
  ssl_certificate_key  /etc/nginx/ssl/nginx.key;
  ssl_session_cache    shared:SSL:1m;
  ssl_session_timeout  5m;
  ssl_ciphers  HIGH:!aNULL:!MD5;
  ssl_prefer_server_ciphers  on;
  location / {
    root   html;
    index  index.html index.htm;
  }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14

1.13 开启状态界面

开启status：

location /status {
  stub_status {on | off};
  allow 172.16.0.0/16;
  deny all;
}
1
2
3
4
5

访问状态页面的方式：http://server_ip/status
状态页面信息详解

1.14 rewrite

语法：rewrite regex replacement flag;，如：

rewrite ^/images/(.*\.jpg)$ /imgs/$1 break;
1

此处的$1用于引用(.*.jpg)匹配到的内容，又如：

rewrite ^/bbs/(.*)$ http://www.idfsoft.com/index.html redirect;
1

如上例所示，replacement可以是某个路径，也可以是某个URL
常见的flag

rewrite模块的作用是用来执行URL重定向。这个机制有利于去掉恶意访问的url，也有利于搜索引擎优化（SEO）

nginx使用的语法源于Perl兼容正则表达式（PCRE）库，基本语法如下：

捕获子表达式，可以捕获放在()之间的任何文本，比如：

^(hello|sir)$       //字符串为“hi sir”捕获的结果：$1=hi$2=sir

//这些被捕获的数据，在后面就可以当变量一样使用了
1
2
3

1.15 if

语法：if (condition) {…}

应用场景：

• server段
• location段
  常见的condition
• 变量名（变量值为空串，或者以“0”开始，则为false，其它的均为true）
• 以变量为操作数构成的比较表达式（可使用=，!=类似的比较操作符进行测试）
• 正则表达式的模式匹配操作
• ~：区分大小写的模式匹配检查
• ~*：不区分大小写的模式匹配检查
• !_和!*：对上面两种测试取反
• 测试指定路径为文件的可能性（-f，!-f)
• 测试指定路径为目录的可能性（-d，!-d）
• 测试文件的存在性（-e，!-e）
• 检查文件是否有执行权限（-x，!-x）

1…15.1 基于浏览器实现分离案例

if ($http_user_agent ~ Firefox) {
  rewrite ^(.*)$ /firefox/$1 break;
}

if ($http_user_agent ~ MSIE) {
  rewrite ^(.*)$ /msie/$1 break;
}

if ($http_user_agent ~ Chrome) {
  rewrite ^(.*)$ /chrome/$1 break;
}
1
2
3
4
5
6
7
8
9
10
11

1.15.2 防盗链案例

location ~* \.(jpg|gif|jpeg|png)$ {
  valid_referers none blocked www.idfsoft.com;
  if ($invalid_referer) {
    rewrite ^/ http://www.idfsoft.com/403.html;
  }
}
1
2
3
4
5
6

1.16 反向代理与负载均衡

nginx通常被用作后端服务器的反向代理，这样就可以很方便的实现动静分离以及负载均衡，从而大大提高服务器的处理能力。

nginx实现动静分离，其实就是在反向代理的时候，如果是静态资源，就直接从nginx发布的路径去读取，而不需要从后台服务器获取了。

但是要注意，这种情况下需要保证后端跟前端的程序保持一致，可以使用Rsync做服务端自动同步或者使用NFS、MFS分布式共享存储。

Http Proxy模块，功能很多，最常用的是proxy_pass和proxy_cache

如果要使用proxy_cache，需要集成第三方的ngx_cache_purge模块，用来清除指定的URL缓存。这个集成需要在安装nginx的时候去做，如：
./configure --add-module=…/ngx_cache_purge-1.0 …

nginx通过upstream模块来实现简单的负载均衡，upstream需要定义在http段内

在upstream段内，定义一个服务器列表，默认的方式是轮询，如果要确定同一个访问者发出的请求总是由同一个后端服务器来处理，可以设置ip_hash，如：

upstream idfsoft.com {
  ip_hash;
  server 127.0.0.1:9080 weight=5;
  server 127.0.0.1:8080 weight=5;
  server 127.0.0.1:1111;
}
1
2
3
4
5
6

注意：这个方法本质还是轮询，而且由于客户端的ip可能是不断变化的，比如动态ip，代理，翻墙等，因此ip_hash并不能完全保证同一个客户端总是由同一个服务器来处理。

定义好upstream后，需要在server段内添加如下内容：

server {
  location / {
    proxy_pass http://idfsoft.com;
  }
}
1
2
3
4
5