nginx配置讲解

admin

一、nginx配置文件
     nginx主配置文件/etc/nginx/nginx.conf是一个纯文本类型的文件，整个配置文件是以区块的形式组织的。一般，每个区块以一对大括号{}来表示开始与结束。
1、nginx配置文件层次划分
     1）Main位于nginx.conf配置文件的最高层
     2）Main层下可以有Event、HTTP层
     3）HTTP层下面有允许有多个Server层, 用于对不同的网站做不同的配置
     4）Server层也允许有多个Location, 用于对不同的路径进行不同模块的配置
2、nginx配置文件注释

1. //nginx默认配置语法
   
2. worker_processes    //工作进程, 配置和CPU个数保持一致
   
3. error_log           //错误日志, 后面接入的是路径
   
4. pid                 //Nginx服务启动时的pid
   
5. 
   
6. //events事件模块
   
7. events {     
   
8.     worker_connections  1024;   //每个worker进程支持的最大连接数
   
9.     use                         //内核模型,select,poll,epoll
   
10. }
    
11. 
    
12. //非虚拟主机的配置或公共配置定义在http{}段内, server{}段外
    
13. http {
    
14. ...   
    
15.     //必须使用虚拟机配置站点, 每个虚拟机使用一个server{}段
    
16.     server {
    
17.         listen       80;    //监听端口, 默认80
    
18.         server_name  localhost; //提供服务的域名或主机名
    
19.         
    
20.         //控制网站访问路径
    
21.         location / {
    
22.             root   /usr/share/nginx/html;   //存放网站路径
    
23.             index  index.html index.htm;    //默认访问首页文件
    
24.         }
    
25.         //错误页面,统一定义错误页面,定义请求错误, 指定错误代码则。
    
26.         error_page   500 502 503 504  /50x.html;
    
27. 
    
28.         //错误代码重定向到新的Locaiton
    
29.         location = /50x.html {
    
30.             root   html;
    
31.         }
    
32.     }
    
33. }

复制代码

3、nginx日志配置规范

1. //配置语法: 包括: error.log access.log
   
2. Syntax: log_format name [escape=default|json] string ...;
   
3. Default:    log_format combined "...";
   
4. Context:    http
   
5. 
   
6. //Nginx默认配置
   
7. log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
   
8.                    '$status $body_bytes_sent "$http_referer" '
   
9.                   '"$http_user_agent" "$http_x_forwarded_for"';
   
10. 
    
11. $remote_addr    //表示客户端地址
    
12. $remote_user    //http客户端请求nginx认证用户名
    
13. $time_local     //Nginx的时间
    
14. $request        //Request请求行, GET等方法、http协议版本
    
15. $status         //respoence返回状态码
    
16. $body_bytes_sent    //从服务端响应给客户端body信息大小
    
17. $http_referer       //http上一级页面, 防盗链、用户行为分析
    
18. $http_user_agent    //http头部信息, 客户端访问设备
    
19. $http_x_forwarded_for   //http请求携带的http信息

复制代码

4、nginx配置状态监控

1. –with-http_stub_status_module记录Nginx客户端基本访问状态信息
   
2. 
   
3. location /mystatus {
   
4.     stub_status on;
   
5.     access_log off;
   
6. }
   
7. 
   
8. //Nginx_status概述
   
9. Active connections:2    //Nginx当前活跃连接数
   
10. server accepts handled requests
    
11. 16     16     19
    
12. server表示Nginx启动到现在共处理了16个连接。
    
13. accepts表示Nginx启动到现在共成功创建16次握手。
    
14. 请求丢失数=(握手数-连接数)可以看出,本次状态显示没有丢失请求。
    
15. handled requests，表示总共处理了19次请求。
    
16. Reading     Nginx读取到客户端的 Header 信息数。
    
17. Writing     Nginx返回给客户端的 Header 信息数。
    
18. Waiting    Nginx开启keep-alive长连接情况下, 既没有读也没有写, 建立连接情况

复制代码

5、nginx配置下载站点

1. //开启目录浏览
   
2. server {
   
3.         listen 8888;
   
4.         server_name localhost;
   
5.         charset utf-8;                     #设置中文字符集
   
6. 
   
7.         location / {
   
8.         root  /data;                                                                                                
   
9.              autoindex on;                     #打开目录浏览功能
   
10.              autoindex_exact_size off;         #关闭字节显示（会以MB的方式显示）
    
11.              autoindex_localtime on;           #打开会显示文件上传的本地的时间（默认格林威治时间-8h）
    
12.         }
    
13.     }
    
14. 
    
15. //autoindex常用参数
    
16. autoindex_exact_size off;
    
17. 默认为on， 显示出文件的确切大小，单位是bytes。
    
18. 修改为off，显示出文件的大概大小，单位是kB或者MB或者GB。
    
19. 
    
20. autoindex_localtime on;
    
21. 默认为off，显示的文件时间为GMT时间。
    
22. 修改为on， 显示的文件时间为文件的服务器时间。
    
23. 
    
24. charset utf-8,gbk;
    
25. 默认中文目录乱码，添加上解决乱码。

复制代码

6、nginx配置访问限制

1. 连接频率限制 limit_conn_module
   
2. 请求频率限制 limit_req_module
   
3. http协议的连接与请求：HTTP是建立在TCP, 在完成HTTP请求需要先建立TCP三次握手（称为TCP连接）,在连接的基础上在HTTP请求。
   
4. HTTP请求建立在一次TCP连接基础上，一次TCP请求至少产生一次HTTP请求。
   
5. HTTP协议版本           连接关系
   
6. HTTP1.0         TCP不能复用
   
7. HTTP1.1                顺序性TCP复用
   
8. HTTP2.0        多路复用TCP复用

复制代码

连接限制配置：

1. //全局定义连接限制
   
2. Syntax:  limit_conn_zone key zone=name:size;
   
3. Default: —
   
4. Context: http
   
5. //引用连接限制
   
6. Syntax: limit_conn zone number;
   
7. Default: —
   
8. Context: http, server, location
   
9. 
   
10. //具体配置如下:
    
11. http {
    
12. //http段配置连接限制, 同一时刻只允许一个客户端IP连接
    
13. limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
    
14.     ...
    
15.     server {
    
16.     ...  
    
17.         location / {
    
18.         //同一时刻只允许一个客户端IP连接
    
19.             limit_conn conn_zone 1;
    
20.         }
    
21. 
    
22. //压力测试
    
23. yum install -y httpd-tools
    
24. ab -n 50 -c 20 http://127.0.0.1/index.html

复制代码

请求限制配置:

1. //全局定义请求限制
   
2. Syntax:  limit_conn_zone key zone=name:size rate=rate;
   
3. Default: —
   
4. Context: http
   
5. //引用请求限制
   
6. Syntax: limit_conn zone number [burst=number] [nodelay];
   
7. Default: —
   
8. Context: http, server, location
   
9. 
   
10. //具体配置如下:
    
11. http {
    
12. //http段配置请求限制, rate限制速率，限制一秒钟最多一个IP请求
    
13. limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
    
14.     ...
    
15.     server {
    
16.     ...  
    
17.         location / {
    
18.         //1r/s只接收一个请求,其余请求拒绝处理并返回错误码给客户端
    
19.             limit_req zone=req_zone;
    
20.         //请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量, 多余的请求返回503
    
21.             #limit_req zone=req_zone burst=3 nodelay;
    
22.         }
    
23. 
    
24. //压力测试
    
25. yum install -y httpd-tools
    
26. ab -n 50 -c 20  http://127.0.0.1/index.html

复制代码

     备注：多个请求可以建立在一次的TCP连接之上, 那么我们对请求的精度限制，当然比对一个连接的限制会更加的有效。 因为同一时刻只允许一个连接请求进入。但是同一时刻多个请求可以通过一个连接进入。所以请求限制才是比较优的解决方案。

7、nginx访问控制

1. 基于IP的访问控制 http_access_module
   
2. 基于用户登陆认证 http_auth_basic_module
   
3. 基于IP的访问控制：
   
4. 
   
5. //允许配置语法
   
6. Syntax: allow address | CIDR | unix: | all;
   
7. Default:    —
   
8. Context:    http, server, location, limit_except
   
9. //拒绝配置语法
   
10. Syntax: deny address | CIDR | unix: | all;
    
11. Default:    —
    
12. Context:    http, server, location, limit_except
    
13. 
    
14. //配置拒绝某一个IP, 其他全部允许
    
15. location ~ ^/index.html {
    
16.     root /usr/share/nginx/html;
    
17.     index index.html;
    
18.     deny 192.168.0.1;
    
19.     allow all;
    
20. }
    
21. 
    
22. //只允许某一个网段访问,其它全部拒绝
    
23. location / {
    
24.     root   html;
    
25.     index  index.php index.html index.htm;
    
26.     allow   192.168.0.0/24;
    
27.     deny    all;
    
28. }
    
29. http_access_module局限性:如果经过多个中间代理服务器，如Nginx、7lay LSB、CDN，会导致客户端访问被拒绝问题。因为IP3获得的是代理服务器的IP2地址，不是真正发起http请求的客户端IP1地址。

复制代码

解决方式
1）采用HTTP头信息控制访问, 代理以及web服务开启http_x_forwarded_for
2）结合geo模块作
3）通过HTTP自动以变量传递


基于用户登陆认证：

1. /配置语法
   
2. Syntax: auth_basic string| off;
   
3. Default:    auth_basic off;
   
4. Context:    http, server, location, limit_except
   
5. //用户密码记录配置文件
   
6. Syntax: auth_basic_user_file file;
   
7. Default:    -
   
8. Context:    http, server, location, limit_except
   
9. 
   
10. 
    
11. //需要安装依赖组件
    
12. [root@xuliangwei ~]# yum install httpd-tools
    
13. [root@xuliangwei ~]# htpasswd -c /etc/nginx/auth_conf xuliangwei
    
14. 
    
15. //可在http,server,location下添加如下信息
    
16. auth_basic "Auth access Blog Input your Passwd!";
    
17. auth_basic_user_file /etc/nginx/auth_conf;

复制代码

用户认证局限性
1.用户信息依赖文件方式
2.操作管理机械，效率低下

解决办法
1.Nginx结合LUA实现高效验证
2.Nginx结合LDAP, 利用nginx-auth-ldap模块