一、Nginx简介
Nginx是一款开源代码的高性能http服务器和反向代理服务器,同时支持IMAP/POP3代理服务,这是一款自由的软件。它采用了最新的网络I/O模型,支持高达5000个并发连接,该软件包可以在官方网站http://nginx.org下载。(本实验中的环境为redhat7.4,四台机器如下:
二、Nginx安装。
步骤一:构建Nginx服务器(实验中已有nginx源码包)
1)使用源码包安装nginx软件包
[root@proxy ~]# yum -y install gcc pcre-devel openssl-devel ##安装依赖包
[root@proxy ~]# useradd -s /sbin/nologin nginx ##添加本地不可登陆的nginx启动用户
[root@proxy ~]# tar -xf nginx-1.10.3.tar.gz
[root@proxy ~]# cd nginx-1.10.3
[root@proxy nginx-1.10.3]# ./configure \
> --prefix=/usr/local/nginx \ ##指定安装路径(可省略)
> --user=nginx \ ##指定用户(可省略,默认用户为nobody)
> --group=nginx \ ##指定组(可省略默认组为nobody)
> --with-http_ssl_module ##开启SSL加密功能
[root@proxy nginx-1.10.3]# make && make install ##编译并安装
2)nginx命令的用法
[root@proxy ~]#ln -s /usr/local/nginx/sbin/nginx /sbin ##建立软连接,可直接使用nginx命令起服
[root@proxy ~]# nginx ##启动服务
[root@proxy ~]# nginx -s stop ##关闭服务
[root@proxy ~]# nginx -s reload ##重新加载配置文件
[root@proxy ~]# nginx –V ##查看软件信息
步骤二:升级Nginx服务器
1)编译新版本nginx软件
[root@proxy ~]# tar -zxvf nginx-1.12.2.tar.gz
[root@proxy ~]# cd nginx-1.12.2
[root@proxy nginx-1.12.2]# ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module
[root@proxy nginx-1.12.2]# make
2) 备份老的nginx主程序,并使用编译好的新版本nginx替换老版本
[root@proxy nginx-1.12.2]# mv /usr/local/nginx/sbin/nginx >/usr/local/nginx/sbin/nginxold
[root@proxy nginx-1.12.2]# cp objs/nginx /usr/local/nginx/sbin/ ##拷贝新版本
[root@proxy nginx-1.12.2]# killall nginx
[root@proxy nginx-1.12.2]# nginx ##升级(通常使用的方法为先杀死nginx进程再重新启动即可完成升级)
[root@proxy ~]#nginx –v //查看版本
步骤三:客户端访问测试
[root@client ~]# firefox http://192.168.4.5
[root@client ~]# curl http://192.168.4.5
三、完成需要用户认证登陆的页面(延续上个实验)
1)修改/usr/local/nginx/conf/nginx.conf
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
auth_basic "Input Password:"; ##认证提示符
auth_basic_user_file "/usr/local/nginx/pass"; ##认证密码文件
location / {
root html;
index index.html index.htm;
}
}
2)生成密码文件,创建用户及密码,使用htpasswd命令创建账户文件,需要确保系统中已经安装了httpd-tools。
[root@proxy ~]# yum -y install httpd-tools
[root@proxy ~]# htpasswd -c /usr/local/nginx/pass tom ##创建密码文件
[root@proxy ~]# htpasswd /usr/local/nginx/pass jerry ##追加用户,不使用-c选项
[root@proxy ~]# cat /usr/local/nginx/pass ##可查看已建立用户信息
3)重启Nginx服务
[root@proxy ~]# nginx -s reload
四、创建基于域名的虚拟主机(延续上个实验)
1)修改Nginx服务配置,添加相关虚拟主机配置如下
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80; ##端口
server_name www.a.com; ##域名
auth_basic "Input Password:"; ##认证提示符
auth_basic_user_file "/usr/local/nginx/pass"; ##认证密码文件
location / {
root html; ##指定网站根路径
index index.html index.htm;
}
}
… …
server {
listen 80;
server_name www.b.com;
location / {
root www;
index index.html index.htm;
}
}
2)创建网站根目录及对应首页文件
[root@proxy ~]# mkdir /usr/local/nginx/www
[root@proxy ~]# echo "www" > /usr/local/nginx/www/index.html
3)重启nginx服务
[root@proxy ~]# nginx -s reload
4)修改客户端主机192.168.4.100的/etc/hosts文件,进行域名解析
[root@client ~]# echo “192.168.4.5 www.a.com www.b.com” >> /etc/hosts
5)客户端访问测试
[root@client ~]# firefox http://www.a.com ##输入密码后可以访问
[root@client ~]# firefox http://www.b.com ##直接访问
###############################################扩展:1.基于端口的虚拟主机(参考模板)
server {
listen 8080; //端口
server_name web1.example.com; //域名
......
}
server {
listen 8000;
server_name web1.example.com;
.......
}
2.基于IP的虚拟主机(参考模板)
server {
listen 192.168.0.1:80; //端口
server_name web1.example.com; //域名
... ...
}
server {
listen 192.168.0.2:80;
server_name web1.example.com;
... ...
}
五、SSL虚拟主机(通过https访问站点,通过私钥、证书对站点所有数据加密,此案例中加密文件自行创建,对外网不起作用,正常生产环境中去相应机构办理证书等文件)
1)生成私钥与证书
[root@proxy ~]# cd /usr/local/nginx/conf ##需要去往配置文件目录下
[root@proxy ~]# openssl genrsa > cert.key ##生成私钥
[root@proxy ~]# openssl req -new -x509 -key cert.key > cert.pem ##生成证书
2)修改Nginx配置文件,设置加密网站的虚拟主机(找到对应server去掉注释)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
server {
listen 443 ssl;
server_name www.c.com;
ssl_certificate cert.pem; ##这里是证书文件
ssl_certificate_key cert.key; ##这里是私钥文件
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
3)重启nginx服务
[root@proxy ~]# nginx -s reload
4)修改客户端主机192.168.4.100的/etc/hosts文件,进行域名解析
[root@client ~]# echo “192.168.4.5 www.c.com” >> /etc/hosts
[root@client ~]# firefox https://www.c.com ##信任证书后可以访问
六、部署LNMP环境(延续上个实验的nginx安装初始环境)
安装部署Nginx、MariaDB、PHP环境
安装部署Nginx、MariaDB、PHP、PHP-FPM;
启动Nginx、MariaDB、FPM服务;
并测试LNMP是否工作正常。
以上软件安装完成并起服后 继续执行以下操作:
步骤一:修改Nginx配置文件并启动服务(找到配置文件中php段的location,去掉注释并修改fastcgi配置文件名称,只有下文井号处不用去注释)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
location / {
root html;
index index.php index.html index.htm;
#设置默认首页为index.php,当用户在浏览器地址栏中只写域名或IP,不说访问什么页面时,服务器会把默认首页index.php返回给用户
}
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000; #将请求转发给本机9000端口,PHP解释器
fastcgi_index index.php;
#fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi.conf;
}
[root@proxy ~]# nginx -s reload
步骤二:创建PHP页面,测试LNMP架构能否解析PHP页面
[root@proxy ~]# vim /usr/local/nginx/html/test.php
>?php
echo 123
?>
[root@client ~]# firefox http://192.168.4.5/test.php
七、地址重写(关于Nginx服务器的地址重写,主要用到的配置参数是rewrite)
通过调整Nginx服务端配置,实现以下目标:
1、所有访问a.html的请求,重定向到b.html;
2、所有访问192.168.4.5的请求重定向至www.tmooc.cn;
3、所有访问192.168.4.5/下面子页面,重定向至www.tmooc.cn/下相同的页面;
4、实现firefox与curl访问相同页面文件,返回不同的内容。
步骤一:修改配置文件(访问a.html重定向到b.html)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
rewrite /a.html /b.html;
}
}
[root@proxy ~]# echo "BB" > /usr/local/nginx/html/b.html
[root@proxy ~]# nginx -s reload
[root@client ~]# firefox http://192.168.4.5/a.html
步骤二:访问a.html重定向到b.html(跳转地址栏)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
rewrite /a.html /b.html redirect;
}
}
[root@proxy ~]# nginx -s reload
[root@client ~]# firefox http://192.168.4.5/a.html
步骤三:修改配置文件(访问192.168.4.5的请求重定向至www.baidu.cn)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
rewrite ^/ http://www.baidu.cn/;
location / {
root html;
index index.html index.htm;
# rewrite /a.html /b.html redirect;
}
}
[root@proxy ~]# nginx -s reload
[root@client ~]# firefox http://192.168.4.5
步骤四:修改配置文件(访问192.168.4.5/下面子页面,重定向至www.baidu.cn/下相同的页面)
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
rewrite ^/(.*)$ http://www.baidu.cn/$1;
location / {
root html;
index index.html index.htm;
# rewrite /a.html /b.html redirect;
}
}
[root@proxy ~]# nginx -s reload
[root@client ~]# firefox http://192.168.4.5/test
步骤五:修改配置文件(实现curl和火狐访问相同链接返回的页面不同)
-
创建网页目录以及对应的页面文件:
[root@proxy ~]# echo “I am Normal page” > /usr/local/nginx/html/test.html
[root@proxy ~]# mkdir -p /usr/local/nginx/html/firefox/
[root@proxy ~]# echo “firefox page” > /usr/local/nginx/html/firefox/test.html -
修改Nginx服务配置
[root@proxy
~]#vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
##################这里,~符号代表正则匹配,*符号代表不区分大小写
if ($http_user_agent ~* firefox) { ##识别客户端firefox浏览器
rewrite ^(.*)$ /firefox/$1;
}
}
[root@proxy ~]# nginx -s reload
[root@client ~]# firefox http://192.168.4.5/test
[root@client ~]# curl http://192.168.4.5/test.html
PS:地址重写格式【总结】
rewrite 旧地址 新地址 [选项];
last 不再读其他rewrite
break 不再读其他语句,结束请求
redirect 临时重定向
permament 永久重定向
八、Nginx反向代理
使用Nginx实现Web反向代理功能,实现如下功能:
后端Web服务器两台,可以使用httpd实现
Nginx采用轮询的方式调用后端Web服务器
两台Web服务器的权重要求设置为不同的值
最大失败次数为1,失败超时时间为30秒
步骤一:部署实施后端Web服务器
[root@web1 ~]# yum -y install httpd
[root@web1 ~]# echo "192.168.2.100" > /var/www/html/index.html
[root@web1 ~]# systemctl restart httpd
[root@web1 ~]# firewall-cmd --set-default-zone=trusted
[root@web1 ~]# setenforce 0
[root@web2 ~]# yum -y install httpd
[root@web2 ~]# echo "192.168.2.200" > /var/www/html/index.html
[root@web2 ~]# systemctl restart httpd
[root@web2 ~]# firewall-cmd --set-default-zone=trusted
[root@web2 ~]# setenforce 0
步骤二:配置Nginx服务器,添加服务器池,实现反向代理功能
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
http {
.. ..
#使用upstream定义后端服务器集群,集群名称任意(如webserver)
#使用server定义集群中的具体服务器和端口
upstream webserver {
server 192.168.2.100:80;
server 192.168.2.200:80;
}
.. ..
server {
listen 80;
server_name localhost;
location / {
#通过proxy_pass将用户的请求转发给webserver集群
proxy_pass http://webserver;
}
}
[root@proxy ~]# nginx -s reload
[root@client ~]# curl http://192.168.4.5 //使用该命令多次访问查看效果
步骤三:配置upstream服务器集群池属性
1)设置失败次数,超时时间,权重
weight可以设置后台服务器的权重,max_fails可以设置后台服务器的失败次数,fail_timeout可以设置后台服务器的失败超时时间。
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
http {
.. ..
upstream webserver {
server 192.168.2.100 weight=1 max_fails=1 fail_timeout=30;
server 192.168.2.200 weight=2 max_fails=2 fail_timeout=30;
server 192.168.2.101 down;
}
#weight设置服务器权重值,默认值为1
#max_fails设置最大失败次数
#fail_timeout设置失败超时时间,单位为秒
#down标记服务器已关机,不参与集群调度
.. ..
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://webserver;
}
}
[root@proxy ~]# nginx -s reload
关闭一台后端服务器(如web1)
[root@web1 ~]# systemctl stop httpd
客户端使用浏览器访问代理服务器测试轮询效果
[root@client ~]# curl http://192.168.4.5
##客户端使用浏览器访问代理服务器测试轮询效果
步骤四:配置upstream服务器集群的调度算法
1)设置相同客户端访问相同Web服务器
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
http {
.. ..
upstream webserver {
#通过ip_hash设置调度规则为:相同客户端访问相同服务器
ip_hash;
server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
}
.. ..
server {
listen 80;
server_name www.tarena.com;
location / {
proxy_pass http://webserver;
}
}
[root@proxy ~]# nginx -s reload
[root@client ~]# curl http://192.168.4.5 //使用该命令多次访问查看效果
九、Nginx的TCP/UDP调度器
使用Nginx实现TCP/UDP调度器功能,实现如下功能:
后端SSH服务器两台
Nginx编译安装时需要使用--with-stream,开启ngx_stream_core_module模块
Nginx采用轮询的方式调用后端SSH服务器
步骤一:部署支持4层TCP/UDP代理的Nginx服务器
1)部署nginx服务器
编译安装必须要使用–with-stream参数开启4层代理模块。
[root@proxy ~]# yum –y install gcc pcre-devel openssl-devel //安装依赖包
[root@proxy ~]# tar -xf nginx-1.12.2.tar.gz
[root@proxy ~]# cd nginx-1.12.2
[root@proxy nginx-1.12.2]# ./configure \
> --with-http_ssl_module //开启SSL加密功能
> --with-stream //开启4层反向代理功能
[root@proxy nginx-1.12.2]# make && make install //编译并安装
步骤二:配置Nginx服务器,添加服务器池,实现TCP/UDP反向代理功能
1)修改/usr/local/nginx/conf/nginx.conf配置文件
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
stream {
upstream backend {
server 192.168.2.100:22; //后端SSH服务器的IP和端口
server 192.168.2.200:22;
}
server {
listen 12345; //Nginx监听的端口
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass backend;
}
}
http {
.. ..
}
[root@proxy ~]# nginx -s reload
[root@client ~]# ssh 192.168.4.5 -p 12345 ##使用该命令多次访问查看效果
十、补充设置各项优化
1、在配置文件中加入server_tokens off; 参数禁止版本信息泄漏:
vim /usr/local/nginx/conf/nginx.conf
server_tokens off; ##在http模块中,server外加入
2、优化Nginx并发量
1)优化前使用ab高并发测试
[root@proxy ~]# ab -n 2000 -c 2000 http://192.168.4.5/
Benchmarking 192.168.4.5 (be patient)
socket: Too many open files (24) ##提示打开文件数量过多
2)修改Nginx配置文件,增加并发量
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; ##与CPU核心数量一致
events {
worker_connections 65535; ##每个worker最大并发连接数
use epoll;
}
[root@proxy ~]# nginx -s reload
3)优化Linux内核参数(最大文件数量)
[root@proxy ~]# ulimit -a ##查看所有属性值
[root@proxy ~]# ulimit -Hn 100000 ##设置硬限制(临时规则)
[root@proxy ~]# ulimit -Sn 100000 ##设置软限制(临时规则)
[root@proxy ~]# vim /etc/security/limits.conf
.. ..
* soft nofile 100000
* hard nofile 100000
#该配置文件分4列,分别如下:
#用户或组 硬限制或软限制 需要限制的项目 限制的值
4)优化后测试服务器并发量(因为客户端没调内核参数,所以在proxy测试)
[root@proxy ~]# ab -n 2000 -c 2000 http://192.168.4.5/
3、优化Nginx数据包头缓存
1)优化前,使用脚本测试长头部请求是否能获得响应
[root@proxy ~]# cat lnmp_soft/buffer.sh
#!/bin/bash
URL=http://192.168.4.5/index.html?
for i in {1..5000}
do
URL=${URL}v$i=$i
done
curl $URL ##经过5000次循环后,生成一个长的URL地址栏
[root@proxy ~]# ./buffer.sh
.. ..
<center><h1>414 Request-URI Too Large</h1></center>##提示头部信息过大
2)修改Nginx配置文件,增加数据包头部缓存大小
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
http {
client_header_buffer_size 1k; ##默认请求包头信息的缓存
large_client_header_buffers 4 4k; ##大请求包头部信息的缓存个数与容量
.. ..
}
[root@proxy ~]# nginx -s reload
3)优化后,使用脚本测试长头部请求是否能获得响应
[root@proxy ~]#cat cat buffer.sh
#!/bin/bash
URL=http://192.168.4.5/index.html?
for i in {1..5000}
do
URL=${URL}v$i=$i
done
curl $URL
[root@proxy ~]# ./buffer.sh
4、浏览器本地缓存静态数据
1)修改Nginx配置文件,定义对静态页面的缓存时间
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
location ~* \.(jpg|jpeg|gif|png|css|js|ico|xml)$ {
expires 30d; ##定义客户端缓存时间为30天
}
}
[root@proxy ~]# cp /usr/share/backgrounds/day.jpg /usr/local/nginx/html
[root@proxy ~]# nginx -s reload
2)优化后,使用Firefox浏览器访问图片,再次查看缓存信息
[root@client ~]# firefox http://192.168.4.5/day.jpg
在Firefox地址栏内输入about:cache,查看本地缓存数据,查看是否有图片以及过期时间是否正确。
5、自定义报错页面
修改Nginx配置文件,自定义报错页面
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
error_page 404 /40x.html; ##找到此行进行自定义错误页面设置
[root@proxy ~]# vim /usr/local/nginx/html/40x.html ##生成错误页面
Oops,No NO no page …
[root@proxy ~]# nginx -s reload
PS:常见http状态码对应信息
201 一切正常
301 永久重定向
302 临时重定向
401 用户名或密码错误
403 禁止访问
404 文件不存在
414 请求URI头部过长
500 服务器内部错误
502 Bad Gateway
6、查看服务器状态信息
1)编译安装时使用–with-http_stub_status_module开启状态页面模块
[root@proxy ~]# yum -y install gcc pcre-devel openssl-devel ##安装常见依赖包
[root@proxy ~]# tar -zxvf nginx-1.12.2.tar.gz
[root@proxy ~]# cd nginx-1.12.2
[root@proxy nginx-1.12.2]# ./configure \
> --with-http_ssl_module ##开启SSL加密功能
> --with-stream ##开启TCP/UDP代理模块
> --with-http_stub_status_module ##开启status状态页面
[root@proxy nginx-1.12.2]# make && make install ##编译并安装
2)修改Nginx配置文件,定义状态页面
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf
location /status {
stub_status on; ##找到server并写入一个location
}
[root@proxy ~]# nginx
2)优化后,查看状态页面信息
[root@proxy ~]# curl http://192.168.4.5/status
Active connections: 1
server accepts handled requests
10 10 3
Reading: 0 Writing: 1 Waiting: 0
##Active connections:当前活动的连接数量。
##Accepts:已经接受客户端的连接总数量。
##Handled:已经处理客户端的连接总数量(一般与accepts一致,除非服务器限制了连接数量)。
##Requests:客户端发送的请求数量。
##Reading:当前服务器正在读取客户端请求头的数量。
##Writing:当前服务器正在写响应信息的数量。
##Waiting:当前多少客户端在等待服务器的响应。
7、对页面进行压缩处理
1)修改Nginx配置文件
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf
http {
.. ..
gzip on; ##开启压缩
gzip_min_length 1000; ##小文件不压缩
gzip_comp_level 4; ##压缩比率
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
##对特定文件压缩,类型参考mime.types
.. ..
}
8、服务器内存缓存(如果需要处理大量静态文件,可以将文件缓存在内存,下次访问会更快。)
http {
open_file_cache max=2000 inactive=20s;
##设置服务器最大缓存2000个文件句柄,关闭20秒内无请求的文件句柄
open_file_cache_valid 60s;
##文件句柄的有效时间是60秒,60秒后过期
open_file_cache_min_uses 5;
##只有访问次数超过5次会被缓存
open_file_cache_errors off;
}