Nginx详解安装配置以及应用实例

314598340

Nginx详解安装配置以及应用实例
一、Nginx简介
　　Nginx（发音同 engine x）是一款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发，供俄国大型的入口网站及搜索引擎Rambler（俄文：Рамблер）使用。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用nginx网站用户有：新浪、网易、 腾讯。
　　Nginx支持高并发连接．官方测试的是５ｗ并发连接但在实际生产中可制成2-4w并发连接数,得益于nginx使用最新的epoll(linux 2.6内核)和kqueue(freebsd)网络I/O模型.而apache使用的则是传统的select模型,其比较稳定的prefork模式为多进程模式,需要经常派生子进程,所消耗的CPU等服务器资源要比nginx高的多.
二、Nginx优点
　　(1)Nginx 可以在大多数 Unix like OS 上编译运行，并有 Windows 移植版。 Nginx 的1.2.6稳定版已经于2012年12月11日发布，[1]1.3.10开发版已经于2012年12月25日发布，如果新建站点，建议使用最新稳定版作为生产版本，已有站点升级急迫性不高。Nginx 的源代码使用 2-clause BSD-like license。
　　(2)Nginx 是一个很强大的高性能Web和反向代理服务器，它具有很多非常优越的特性：在高连接并发的情况下，Nginx是Apache服务器不错的替代品：Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一。能够支持高达 50,000 个并发连接数的响应，感谢Nginx为我们选择了 epoll and kqueue作为开发模型。
　　(3)Nginx作为负载均衡服务器：Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。Nginx采用C进行编写，不论是系统资源开销还是CPU使用效率都比 Perlbal 要好很多。作为邮件代理服务器：Nginx 同时也是一个非常优秀的邮件代理服务器（最早开发这个产品的目的之一也是作为邮件代理服务器），Last. fm 描述了成功并且美妙的使用经验。
　　(4)Nginx 是一个安装非常的简单，配置文件非常简洁（还能够支持perl语法），Bugs非常少的服务器：Nginx 启动特别容易，并且几乎可以做到7*24不间断运行，即使运行数个月也不需要重新启动。你还能够不间断服务的情况下进行软件版本的升级。
三、Nginx安装配置
　　Nginx的官方网站是http://nginx.org/cn/，英文主页为http://nginx.net，从这里可以获得Nginx的最新版本信息。Nginx有三个版本：稳定版、开发版和历史稳定版。开发版更新较快，包含最新的功能和bug的修复，但同时也可能会遇到新的bug，开发版一旦更新稳定下来，就会被加入稳定版分支中。然而有些新功能不一定会被加到旧的稳定版中去。稳定版本更新较慢，但是bug较少，可以作为生产环境的首选，因此通常建议使用稳定版。历史稳定版本为以往稳定版本的汇总，不包含最新的功能。这里选择当前的稳定版本nginx-1.6.0作为介绍对象，开始介绍编译安装，具体步骤如下：
　　⑴ 在安装Nginx之前，确保系统已经安装了pcre-devel软件库。因此，先安装该库文件，把光盘挂在上安装。
　　//挂在光盘
　　[root@huangzhong ~]# mount /dev/cdrom /media/cdrom
　　//使用yum进行安装
　　[root@huangzhong Packages]# yum install pcre-devel-7.8-6.el6.x86_64.rpm
　　⑵ 安装libevent库文件
　　//解压安装包
　　[root@huangzhong ~]# tar -zxvf libevent-2.0.21-stable.tar.gz -C /usr/local/src/
　　//进入解压后目录下进行编译
　　[root@huangzhong ~]# cd /usr/local/src/libevent-2.0.21-stable/
　　[root@huangzhong libevent-2.0.21-stable]# ./configure --prefix=/usr/local/libevent
　　//执行make和make install
　　[root@huangzhong libevent-2.0.21-stable]# make && make install
　　//编辑/etc/ld.so.conf.d/libevent.conf指明/usr/local/libevent/lib路径
　　[root@huangzhong lib]# vim /etc/ld.so.conf.d/libevent.conf
　　//编辑完后重新加载读取
　　[root@huangzhong lib]# ldconfig
　　//查看是否生效
　　[root@huangzhong lib]# ldconfig -pv |grep libevent
　　⑶ 安装配置nginx
　　//解压安装包
　　[root@huangzhong ~]# tar -zxvf nginx-1.6.0.tar.gz -C /usr/local/src/
　　//进入解压后的目录进行编译
　　[root@huangzhong lib]# cd /usr/local/src/nginx-1.6.0/
　　[root@huangzhong nginx-1.6.0]# ./configure \
　　> --conf-path=/etc/nginx/nginx.conf \
　　> --error-log-path=/var/log/nginx/error.log \
　　> --http-log-path=/var/log/nginx/access.log \
　　> --pid-path=/var/run/nginx/nginx.pid \
　　> --lock-path=/var/lock/nginx.lock \
　　> --user=nginx \
　　> --group=nginx \
　　> --with-http_ssl_module \
　　> --with-http_flv_module \
　　> --with-http_stub_status_module \
　　> --with-http_gzip_static_module \
　　> --http-client-body-temp-path=/var/tmp/nginx/client/ \
　　> --http-proxy-temp-path=/var/tmp/nginx/proxy/ \
　　> --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
　　> --with-pcre   //这些参数可以用help帮助，也可以到官网上看样例。
　　//执行make和make install
　　[root@huangzhong nginx-1.6.0]# make && make install
　　//为了能够启动服务因此要把控制脚本放到搜索路径去，因此要编辑/etc/profile文件
　　[root@huangzhong nginx]# vim /etc/profile

　　//重新读取该文件
　　[root@huangzhong nginx]# . /etc/profile
　　//测试有没有语法错误
　　[root@huangzhong ~]# nginx -t
　　nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
　　nginx: [emerg] getpwnam("nginx") failed
　　nginx: configuration file /etc/nginx/nginx.conf test failed
　　从上面看出现错误，原因是没有创建用户和组
　　//创建用户和组
　　[root@huangzhong ~]# groupadd -r nginx
　　[root@huangzhong ~]# useradd -r -g nginx nginx
　　//由于编译过程中指明了/var/tmp/nginx/client/目录和/var/tmp/nginx/proxy/目录，因此要创建这两个目录。
　　[root@huangzhong ~]# mkdir -pv /var/tmp/nginx/client
　　[root@huangzhong ~]# mkdir -pv /var/tmp/nginx/proxy
　　//启动nginx服务，并查看端口
　　[root@huangzhong ~]# nginx
　　[root@huangzhong ~]# netstat -tupln |grep nginx
　　tcp       0      0 0.0.0.0:80         0.0.0.0:*         LISTEN      10868/nginx   //这显示端口号为80表明nginx已经启动
　　//通过网页进行访问，看nginx是否成功，结果如下：

　　到此nginx整个安装配置已经完成。
四、Nginx应用实例
1、地址虚拟主机
　　（1）基于IP地址的虚拟主机
　　① 实例要求：
　　192.168.2.100  /usr/local/nginx/html  主站点  www.tyedus.com
　　192.168.2.101    /usr/local/nginx/tec 技术部门  tec.tyedus.com
　　② 设施：
　　由于nginx已经搭建成功，所以直接编辑/etc/nginx/nginx.conf文件，编辑结果如下：

　　复制第36行到67行，然后在68行粘贴，然后进行编辑，编辑内容如下：

　　//添加一个IP地址
　　[root@huangzhong ~]# ifconfig eth0:0 192.168.2.101
　　//创建主目录
　　[root@huangzhong ~]# mkdir /usr/local/nginx/tec
　　//然后在主目录下创建一个测试网页
　　[root@huangzhong tec]# echo "tec hello !!! " > index.html
　　然后打开C盘下windows/system32/Drivers/etc目录下hosts文件，然后把192.168.2.100   www.tyedus.com和192.168.2.101   tec.tyedus.com加入该文件中。
　　③ 测试：
　　在windows下ping www.tyedus.com 和tec.tyedus.com查看ping的结果如下图所示：

　　也可以通过网页进行测试。
　　⑵ 基于端口的虚拟主机
　　① 要求：
　　192.168.2.100 /usr/local/nginx/html 主站点  www.tyedus.com  80
　　192.168.2.100  /usr/local/nginx/tec 技术部门  www.tyedus.com  800
　　② 实施：
　　//去掉IP地址
　　[root@huangzhong tec]# ifconfig eth0:0 down
　　//编辑配置文件
　　[root@huangzhong tec]# vim /etc/nginx/nginx.conf

　　//关闭nginx，然后重新启动
　　[root@huangzhong tec]# pkill -9 nginx
　　[root@huangzhong tec]# nginx
　　③ 测试
　　通过网页访问进行测试，首先访问www.tyedus.com  80，访问结果如下：

　　然后访问www.tyedus.com  800结果如下：

2、站点安全
　　（1）实施环境：Centos 64为，PC机
　　（2）案例要求：
　　现有一个网站站点，要求允许某个网段的人访问，不允许其他人访问，并且访问要通过用户验证访问。
　　(3)实施拓扑图：
　　根据实施的要求使用绘图工具绘制出网络拓扑图，如图4所示：

　　图4：网络拓扑图
　　（4）案例实施：
　　案例的实施大致可以按照以下步骤实施：
　　① 来源控制
　　//编辑配置文件
　　[root@huangzhong ~]# vim /etc/nginx/nginx.conf

　　②身份验证：
　　//编辑配置文件
　　[root@huangzhong ~]# vim /etc/nginx/nginx.conf

　　//因为在上面编辑时用到了账号库，因此接下来创建账号库。
　　//查看账号库htpasswd所在的位置
　　[root@huangzhong html]# which htpasswd
　　/usr/bin/htpasswd   //显示出了账号所在的位置
　　//查看账号库所属的软件包
　　[root@huangzhong html]# rpm -qf `which htpasswd`
　　httpd-tools-2.2.15-26.el6.centos.x86_64  //显示出账号库所属的软件包
　　//所以安装httpd-tools工具
　　[root@huangzhong ~]# yum install httpd-tools
　　//创建账号和密码

　　//查看账号库文件的内容
　　[root@huangzhong ~]# cd /usr/local/nginx/
　　[root@huangzhong nginx]# cat .htpasswd
　　user1:UHtXM2qrLL2Dk
　　user2:BCsopVrG9Su3E   //已创建的账号和密码
　　③利用非对称加密算法实现加密访问
　　加密包括非对称加密和对称加密，在上面的加密算法中已提到了两者加密算法的特点，我在这讲的是利用非对称加密算法实现的加密算法，非对称加密算法包括CA的实现和站点证书的生成，具体实现如下操作：
　　编辑配置文件，操作如下：
　　//进入配置文件所在的目录下
　　[root@huangzhong ~]# cd /etc/pki/tls
　　//查看有没有要找的配置文件
　　[root@huangzhong tls]# ll
　　-rw-r--r--. 1 root root 10906 Oct 12  2012 openssl.cnf  //可以看到这个就是我们要找的配置文件
　　//打开配置文件
　　[root@huangzhong tls]# vim openssl.cnf
　　//查看该配置文件内容如下：
　　打开文件后输入：，进入底行模式，在底行模式下输入set nu     //显示行号，查看需要配置的内容如下：

　　从上面的配置文件中可以看到首先在/etc/pki/CA目录下创建两个文件index.txt和serial，然后再产生私钥和公钥。
　　//创建index.txt文件
　　[root@huangzhong CA]# touch index.txt
　　//创建serial文件，并给予一个初始值
　　[root@huangzhong CA]# touch serial
　　[root@huangzhong CA]# echo "01" >serial
　　//先产生私钥
　　[root@huangzhong CA]# openssl  genrsa  1024  >private/cakey.pem
　　//查看该私钥文件
　　[root@huangzhong CA]# ll private/cakey.pem
　　-rw-r--r--. 1 root root 891 May 14 21:37 private/cakey.pem
　　//查看该私钥的内容
　　[root@huangzhong CA]# cat private/cakey.pem
　　//从查看私钥文件可以看出是不安全的，在这里要修改权限
　　[root@huangzhong CA]# chmod 600 private/cakey.pem
　　//从私钥中提取产生公钥，操作如下：

　　编辑完后公钥就产生了导出CA就实现了，接下来就是站点证书以及私钥的产生，操作如下：
　　//首先创建站点私钥、请求和证书存放目录
　　[root@huangzhong CA]# mkdir -pv /usr/local/nginx/certs
　　//产生站点私钥
　　[root@huangzhong certs]# openssl genrsa 1024 >nginx.key
　　//生成站点请求文件

　　//让CA进行颁发证书
　　[root@huangzhong certs]# openssl ca -in nginx.req -out nginx.cert
　　//将证书与站点绑定
　　[root@huangzhong certs]# vim /etc/nginx/nginx.conf

　　把监听80端口也关闭。
　　//关闭nginx服务，然后重新启动
　　[root@huangzhong ~]# pkill nginx
　　[root@huangzhong ~]# nginx
　　//查看端口
　　[root@huangzhong ~]# netstat -tupln |grep nginx
　　tcp        0      0 0.0.0.0:443                 0.0.0.0:*                   LISTEN      1821/nginx
　　//通过网页访问，进行安装证书

　　然后点击安装此证书，然后就完成了。
　　⑸ 测试验证
　　① 在客户机192.168.2.1上访问该网站，结果如下图：

　　输入用户名user1和密码123，登陆结果如下：

　　如果不用user1和user2登陆则显示结果如下：

　　② 在192.168.2.102机器上访问结果如下：

　　从上图可以看出只允许192.168.2.1的机器访问，其他机器不允许访问。