目录
4.2 修改nginx.conf配置文件,指定访问位置并添加stub status配置
一、Nginx服务基础
1.1 关于Nginx
Nginx在国内的应用较为广泛,是一款高性能、轻量级web服务软件,性能是Apache的2-3倍
由俄罗斯人开发,目前已被美国公司收购
- 稳定性高
- 系统资源消耗低(内存)
- 对HTTP并发连接的处理能力高:单台物理服务器可支持30000~50000个并发请求(实际上2-3万)
1.2 Nginx相对于Apache的优点
- 轻显级,同样是web服务,比Apache 占用更少的内存及资源;
- 高并发,Nginx处理请求是异步非塞的,而Apache则是阻塞型的,在高并发下Nginx 能保持低资源低病耗高性能;
- 高度模块化的设计;
- 编写模块相对简单;
- 社区活跃,各种高性能模块出品迅速;
1.3 Apache 相对于Nginx的优点
- rewrite,比Nginx 的rewrite强大;
- 模块超多,基本想到的都可以找到;
- 少bug,Nginxbug相对较多;
- 超稳定存在就是理由,一般来说,需要性能的web服务,用Nginx。如果不需要性能只求稳定,那就Apache。Nginx处理动态请求是弱项,一般动态请求要Apache去做,Nginx只适处理静态网页或反向代理,
1.4 Nginx和Apache的差异
- ·Nginx是一个基于事件的Web服务器,Apache是一个基于流程的服务器;
- ·Nginx所有请求都由一个线程处理,Apache单个线程处理单个请求;
- ·Nginx避免子进程的概念,Apache是基于子进程的;
- ·Nginx在内存消耗和连接方面更好,Apache在内存消耗和连接方面一般;
- ·Nginx的性能和可伸缩性不依赖于硬件,Apache依赖于CPU和内存等硬件;
- ·Nginx支持热部著,Apache不支持热部著;
- ·Nginx对于静态文件处理具有更高效率,Apache相对一般;
- ·Nginx在反向代理场景具有明显优势,Apache相对一般。
二、Nginx部署
1.关闭防火墙,将安装nginx所需软件包传到/opt目录下
systemctl stop firewalld
systemctl disable firewalld
setenforce 0
nginx依赖包下载地址
链接:https://pan.baidu.com/s/1xPo60mP1bS18oiFTauEy1w
提取码:gk3o
2.安装依赖包
nginx的配置及运行需要pcre、zlib等软件包的支持,因此需要安装这些软件的开发包,以便提供相应的库和头文件
yum -y install pcre-devel zlib-devel gcc gcc-c++ make
#pcre提供正则表达式
#zlib提供压缩功能
#gcc gcc-c++ make编译安装工具
3.创建运行用户、组(Nginx服务程序默认以nobody身份运行,建议为其创建专门的用户账号,以便更准确地控制其访问权限)
useradd -M -s /sbin/nologin nginx
#创建nginx 用户,设置为不可登录
4.编译安装Nginx
cd/opt
tar zxvf nginx-1.12.0.tar.gz -C /opt/
cd nginx-1.12.0/
./configure \
--prefix=/usr/local/nginx \ #指定nginx的安装路径
--user=nginx \ #指定用户名(后期可以通过配置文件去改)
--group=nginx \ #指定组名
--with-http_stub_status_module #启用http stub status module模块以支持状态统计
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/ #让系统识别nginx的操作命令
遇到一个报错信息,原因是进行换行的时候\与前面的命令没有空格
5.检查、启动、重启、停止nginx服务
nginx -t #检查配置文件是否配置正确(语法)
#启动
nginx
#停止
cat /usr/local/nginx/logs/nginx.pid
kill -3 <PID号>
kill -s QUIT <PID号>
killall -3 nginx
killall -s QUIT nginx
#重载(不关闭进程重新读取服务)
kill -1 <PID号>
kill -s HUP <PID号>
killall -1 nginx
killall -s HUP nginx
#日志分割,重新打开日志文件
kill -USR1 <PID号>
#平滑升级
kill -USR2 <PID号> 升级方法1
新版本升级:
tar-zxvf nginx-1.xx.xx.tar.gz
cd nginx-1.xx.xx
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module \
--with-http_ssl_module
#ssl是一种安全认证模块
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_old
cp objs/nginx /usr/local/nginx/sbin/nginx
#kill -USR2 <PID号> 升级方法1
make upgrade 升级方法2
#或者先killall nginx,再/usr/local/nginx/sbin/nginx 升级方法3
Apache和nginx的默认端口都是80,所以他俩不可能同时开启,要么删一个,要么改端口
6.添加nginx服务
方法1:通过脚本
#!/bin/bash
#chkconfig:35 99 20
#desc: this is nginx control scprit
CMD="/usr/local/nginx/sbin/nginx"
PID="/usr/local/nginx/logs/nginx.pid"
#通过命令获取nginx的命令和PID
case "$1" in
start)
$CMD
;;
stop)
kill -s QUIT $(cat $PID)
;;
restart)
$0 stop
$0 start
;;
reload)
#重载
kill -s HUP $(cat $PID)
;;
*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1
esac
方法2:通过system中创建服务
vim /lib/systemd/system/nginx.service
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
-----------------------------------------------------------
[Unit]:服务的说明
Description:描述服务
After:依赖,当依赖的服务启动之后再启动自定义的服务
[Service]服务运行参数的设置
Type=forking是后台运行的形式,使用此启动类型应同时指定PIDFile=,以便systemd能够跟踪服务的主进程。
ExecStart为服务的具体运行命令
ExecReload为重启命令
ExecStop为停止命令
Privatermp=True表示给服务分配独立的临时空间
注意:启动、重启、停止命令全部要求使用绝对路径
[Install]服务安装的相关设置,可设置为多用户
此时服务已经起来
默认文件位置在/usr/local/nginx/html/
三、nginx配置文件解析
nginx.conf
1、全局块:全局配置,对全局生效;
2、events块:配置影响Nginx服务器与用户的网络连接;
3、http块:配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置;
4、server块:配置虚拟主机的相关参数,一个http块中可以有多个server块;
5、location块:用于配置匹配的uri;
6、upstream:配置后端服务器具体地址,负载均衡配置不可或缺的部分。
vim/usr/local/nginx/conf/nginx.conf
3.1 全局配置
#user nobody; #运行用户,若编译时未指定则默认为nobody
worker_processes 1; #工作进程数量,一般设置为和CPU核数一样
#error_log logs/error.log; #错误日志文件的位置
#pid logs/nginx.pid; #PID文件的位置
3.2 I/O事件配置
events{
use epol1; #使用epol1模型,2.6及以上版本的系统内核,建议使用epo11模型以提高性能,实现多路复用
worker_connections 4096; #每个进程处理4096个连接,默认值是1024
}
#修改nginx配置文件只是使得软件支持该并发量,如提高每个进程的连接数还需执行“ulimit -n 65535”命令临时修改本地每个进程可以同时打开的最大文件数,使得硬件支持该并发量
#在Linux平台上,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。
#可使用ulimit -a命令查看系统允许当前用户进程打开的文件数限制。
#epo11是Linux内核为处理大批句柄而作改进的po11,是Linux下多路复用ro接口select/po11的增强版本,它能显著的减少程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率。
要实现30000并发量,假设我是两核,worker_processes 2; worker_connections 15000;但一般而言,worker_connections设置为2的次方。
也就是说工作进程数量乘每个进程处理的链接数,就等于他的并发量,面试常问
* hard nofile 30000
#在最后一行添加如下内容
#第一列为用户和组
#第二列为磁盘限额,软硬限制
#第三列为项目
#第四列为相应项目的数量
上述设置的软硬并发量都是理论上的,真正并发量还得看CPU的性能,在投放到生产环境前,我们需要就行压测
3.3 HTTP配置
http{
##文件扩展名与文件类型映射表
include mime.types;
##默认文件类型
default_type application/octet-stream;
##日志格式设定
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
##访问日志位置
#access_log logs/access.log main;
##开启文件传输模式
sendfile on;
##减少网络报文段的数量
#tcp_nopush on;
##连接保持超时时间,单位是秒
#keepalive_timeout 0;
keepalive_timeout 65;
##gzip模设置,设置是否开启gzip压缩输出
#gzip on;
##Web服务的监听配置
server{
##监听地址及端口
listen 80;#没写IP地址默认所有地址
#站点域名,可以有多个,用空格隔开
server_name www.stevelu.com;
##网页的默认字符集
charset utf-8;
##根目录配置
location / {
root html; ##网站根目录的位置/usr/local/nginx/html
index index.html index.php; ##默认首页文件名
}
error_page 500 502 503 504 / 50x.html; ##内部错误的反馈页面
##错误页面配置
location = /50x.html{
root html;
}
}
}
-----------------------------------------------------------------------------------------------
日志格式设定:
$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;
$remote_user:用来记录客户端用户名称;
$time_local:用来记录访问时间与时区;
$request:用来记录请求的url与http协议;
$status:用来记录请求状态;成功是200,
$body_bytes_sent:记录发送给客户端文件主体内容大小;
$http_referer:用来记录从哪个页面链接访问过来的;
$http_user_agent:记录客户浏览器的相关信息;
通常web服务器放在反向代理的后面,这样就不能获取到客户的p地址了,通过$remote_add拿到的Ip地是反向代理服务器的ip地址。
反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。
location常见配置指令,root、alias、proxy_pass
root、alias不能同时配置
root(根路径配置):root /var/www/html 请求www.stevelu.com/test/1.html,会返回文件/var/www/html/test/1.html
alias(别名配置):alias /var/www/html 请求www.stevelu.com/test/1.html,会返回文件/var/www/html/1.html
proxy pass(反向代理配置)
关于访问的路径
location / {
root html;
index index.html index.htm;
}
location /test {
root data; #根路径的目录
index index.html index.htm;;
}
#如果在location /后面加上test,访问的目录是如下,root代表根,根还是html目录,不要被test迷惑
/usr/local/nginx/html/test/stevelu.html
location /test{
alias /var/www/html;
index index.html index.htm;
}
http://192.168.109.132/steve.html-->/usr/loca/nginx/html/stevelu.html 网页内容33333
http://192.168.109.132/test/stevelu.html -->/data/test/stevelu.html 网页内容11111
http://192.168.109.132/test/stevelu.html -->/var/www/html/test/stevelu.html 网页内容22222
测试
设置别名的时候
写/的话,表示http://192.168.109.132/ 匹配 /var/www/html
写/test的话,表示http://192.168.109.132/test 匹配/var/www/html
四、访问状态统计配置
4.1 查看安装的模块
先使用命令/usr/local/nginx/sbin/nginx -V查看已安装的Nginx是否包含HTTP_STUB_STATUS模块
查看安装了哪些模块
cat /opt/nginx-1.12.0/auto/options I grep YES
#可查看nginx已安装的所有模块
4.2 修改nginx.conf配置文件,指定访问位置并添加stub status配置
cd /usr/local/nginx/conf
cp nginx.conf nginx.conf.bak
#备份原配置文件
vim /usr/local/nginx/conf/nginx.conf
.......
http{
.......
server{
listen 80;
server_name www.stevelu.com;
charset utf-8;
location / {
root html;
index index.html index.php;
}
##添加stub status配置##
location /status {
#访问位置为/status,指定路径之后,我们就知道指定的路径去看状态统计
stub_status on; #打开状态统计功能
access_log off; #关闭此位置的日志记录
}
}
}
4.3 重启服务,访问测试
systemctl restart nginx
浏览器访问http://192.168.109.132/status
Active connections:表示当前的活动连接数;
server accepts handled requests:表示已经处理的连接信息,三个数字依次表示已处理的连接数、成功的TCP握手次数、已处理的请求数。
可curl -Ls http://192.168.109.132/status 结合awk与if语句进行性能监控。
CON=$(curl -Ls http://192.168.109.132/status | awk '/Active connections:/{print $3}')
if[ $CON -gt 25000 ];then
echo "警告!当前并发数量为$CON,超过预警值!"
五、基于授权的访问控制
设置只有指定用户才可以访问该网页,想要对哪个路径进行限制,就在location下添加路径,我直接在默认的目录下实验
5.1 生成用户密码认证文件
yum install -y httpd-tools
htpasswd -c /usr/local/nginx/userlist.txt zhangsan
密码自拟,就是访问网页时候的密码
#-c 创建文件,第二次加入用户不用加
chown nginx /usr/local/nginx/userlist.txt
chmod 400 /usr/local/nginx/userlist.txt
#修改权限,只有管理员可以查看
5.2 修改主配置文件相对应目录,添加认证配置项
vim /usr/local/nginx/conf/nginx.conf
......
server{
location / { ##添加认证配置##
......
auth_basic "secret"; #设置密码提示框文字信息
auth_basic_user_file /usr/local/nginx/userlist.txt;
}
5.3 重启服务,访问测试
nginx -t
systemctl restart nginx
浏览器访问http://192.168.109.132
六、基于客户端的访问控制
访问控制规则如下:
deny IP/IP段:拒绝某个IP或IP段的客户端访问。(黑名单)
allow IP/IP段:允许某个IP或IP段的客户端访问。(白名单)
规则从上往下执行,如匹配则停止,不再往下匹配。
vim /usr/local/nginx/conf/nginx.conf
......
server {
location / {
......
##添加控制规则##
allow 192.168.109.133;
#允许访问的客户端IP
deny all;
#拒绝其它IP客户端访问
}
}
systemctl restart nginx
七、基于域名的Nginx虚拟主机
首先在每个站点下指定网页的根目录,然后在nginx.conf文件中使用server块,指定不同的站点,location下指定不同的根目录的路径
7.1 为虚拟主机提供域名解析
echo "192.168.109.132 www.stevelu.com www.gyq.com" >> /etc/hosts
7.2 为虚拟主机准备网页文档
mkdir -p /var/www/html/stevelu
mkdir -p /var/www/html/gyq
echo "<hl>www.stevelu.com</h1>"> /var/www/html/stevelu/index.html
echo "<hl>www.gyq.com</hl>"> /var/www/html/gyq/index.html
7.3 修改Nginx的配置文件
vim /usr/local/nginx/conf/nginx.conf
......
http{
server{
listen 80;
server_name www.stevelu.com;#设置域名
charset utf-8;
access_log logs/www.stevelu.access.1og; #设置日志名
location / {
root /var/www/html/stevelu; #设置的工作目录
index index.html index.php;
}
error_page 500 502 503 504 /50x.html;
location = 50x.html{
root html;
}
}
server{
listen 80;
server_name www.gyq.com;#设置域名
charset utf-8;
access_log logs/www.gyq.access.log;
location / {
root /var/www/html/gyq;
index index.html index.php;
}
error_page 500 502 503 504 /50x.html;
location = 50x.html{
root html;
}
}
}
systemctl restart nginx
#重启并访问测试
八、基于IP的Nginx虚拟主机
设置监听地址即可,其他跟基于域名都一样
例如:
listen 192.168.109.30:80 www.stevelu.com
listen 192.168.109.40:80 www.gyq.com
#前提是保证IP地址存在,如果没有临时设置用ifconfig
systemctl restart nginx
#重启并访问测试
九、基于端口的Nginx虚拟主机
就是改IP地址后面的端口,这个就不演示了
总结
1.设置并发量nginx.conf文件中 worker_processes乘worker_connections
2.查看当前nginx的并发量:安装status模块,浏览器访问http://IP地址/status 即可看到