高性能的web服务器nginx-linux学习之路

常青树

　　一、nginx简介
　　Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器，也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的，第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布，因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。
　　Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用nginx网站用户有：新浪、网易、腾讯等。
　　二、nginx的结构
　　一个master主进程和多个worker工作进程。工作进程是单线程的，且不需要特殊授权即可运行；一个worker线程响应多个请求；
　　以非阻塞、事件驱动机制工作；
　　支持多种事件驱动机制。如kqueue (FreeBSD 4.1+),epoll (Linux 2.6+),rt signals (Linux 2.2.19+),/dev/poll (Solaris 7 11/99+),select，以及 poll；
　　支持sendfile (FreeBSD 3.1+),sendfile (Linux 2.2+),sendfile64 (Linux 2.4.21+），和 sendfilev (Solaris 8 7/01+)
　　支持文件AIO（异步I/O）
　　支持mmap（将磁盘上的数据直接以页面的形式映射到用户进程内存中）
　　三、nginx的功能和特性
　　nginx具备的基础功能有：
　　可用于处理静态资源的web服务器，可以缓存打开的文件描述符；
　　可用于反向代理服务器，并且可以缓存静态资源，能够实现负载均衡功能以及实现后端服务器的健康状态监测；
　　模块化的设计，不支持非DSO机制（即不能动态加载模块，但apache支持该功能）
　　支持多种过滤器如gzip；
　　支持SSL和TLS SNI；
　　nginx其他扩展功能：
　　支持基于名称和基于IP的虚拟服务器；
　　Flexible configuration；灵活的配置；
　　支持保持活动连接（keepalive）和支持管线连接
　　支持重载配置，无间断程序升级（即在线升级）
　　支持rewrite重写功能
　　支持基于IP地址访问控制和基于用户的访问控制
　　支持3xx的- 5xx错误代码重定向
　　支持FLV视频流
　　支持限制同个IP地址请求数量（并发数）和速率限制
　　支持嵌入式的Perl
　　支持可定制的访问日志，日志写入缓存，以及快捷的日志回卷
　　支持缓存功能
　　四、nginx作为web服务器的应用
　　实验前提：
　　1、本次实验我使用的系统平台为RHEL5.8
　　2、由于在测试时是基于域名来访问的，因此，需要修改系统上的hosts文件，如：
　　www.xsl.com     192.168.0.104
　　www.a.org       192.168.0.104
　　nginx作为web服务器的应用
　　1、创建非特权用户
　　由于nginx在运行时是以非特权用户的方式进行的，因此，在编译安装前需要创建一个非特权用户
　　[root@localhost ~]#groupadd -r -g 200 nginx
　　[root@localhost ~]#useradd -r -g 200 -u 200 nginx
　　2、编译安装nginx
　　在这里我使用的linux平台为RHEL5.8，大家可以根据自己的平台选择相应的nginx版本。
　　nginx的下载地址：http://nginx.org/en/download.html
　　[root@localhost ~]# tar xf nginx-1.6.2.tar.gz
　　[root@localhost ~]# cd nginx-1.6.2
　　[root@localhost nginx-1.6.2]# ./configure \
　　--prefix=/usr \
　　--sbin-path=/usr/sbin/nginx \
　　--conf-path=/etc/nginx/nginx.conf \
　　--error-log-path=/var/log/nginx/error.log \
　　--http-log-path=/var/log/nginx/access.log \
　　--pid-path=/var/run/nginx/nginx.pid  \
　　--lock-path=/var/lock/nginx.lock \
　　--user=nginx \
　　--group=nginx \
　　--with-http_ssl_module \
　　--with-http_flv_module \
　　--with-http_stub_status_module \
　　--with-http_gzip_static_module \
　　--http-client-body-temp-path=/var/tmp/nginx/client/ \
　　--http-proxy-temp-path=/var/tmp/nginx/proxy/ \
　　--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
　　--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \
　　--http-scgi-temp-path=/var/tmp/nginx/scgi \
　　--with-pcre
　　在这里对几个参数说明一下，前面的几个参数都比较好理解就不解释了。
　　--lock-path=/var/lock/nginx.lock 设定nginx的锁文件
　　--user=nginx表示以哪个非特权用户的身份运行nginx程序，这里的nginx就是我们刚刚创建的非特权用户
　　--group=nginx表示程序运行时的非特权用户组
　　--with-http_ssl_module表示启用ssl模块，使其支持https功能。如果想支持ssl的话，还需要安装openssl。这里我已经安装了。
　　--with-http_stub_status_module启用http_stub_status_module模块，可以获取nginx自上次启用以来的工作状态
　　--with-http_gzip_static_module启用这个模块可以支持gzip压缩功能，对于响应的文件比较大时，可以先压缩在传输，有利于节省带宽。
　　--http-client-body-temp-path=/var/tmp/nginx/client设定http客户端请求临时文件路径
　　-http-proxy-temp-path=/var/tmp/nginx/proxy/ 设定http代理临时文件路径
　　--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/设定http fastcgi临时文件路径
　　--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi设定http  uwsgi临时文件路径
　　--http-scgi-temp-path=/var/tmp/nginx/scgi设定http scgi临时文件路径
　　--with-pcre   启用pcre库。如果想支持正则表达式，需要安装pcre。由于我的系统上已经安装了pcre，因此，这里就不需要安装了.
　　然后安装相应的模块
　　[root@localhost nginx-1.6.2]#   make && make install
　　3、为nginx提供SysV风格的脚本
　　[root@localhost ~]# vim /etc/rc.d/init.d/nginx
　　#!/bin/sh
　　#
　　# nginx - this script starts and stops the nginx daemon
　　#
　　# chkconfig:   - 85 15
　　# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \
　　#               proxy and IMAP/POP3 proxy server
　　# processname: nginx
　　# config:      /etc/nginx/nginx.conf
　　# config:      /etc/sysconfig/nginx
　　# pidfile:     /var/run/nginx.pid
　　# Source function library.
　　. /etc/rc.d/init.d/functions
　　# Source networking configuration.
　　. /etc/sysconfig/network
　　# Check that networking is up.
　　[ "$NETWORKING" = "no" ] && exit 0
　　nginx="/usr/sbin/nginx"
　　prog=$(basename $nginx)
　　NGINX_CONF_FILE="/etc/nginx/nginx.conf"
　　[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
　　lockfile=/var/lock/subsys/nginx
　　make_dirs() {
　　# make required directories
　　user=`nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
　　options=`$nginx -V 2>&1 | grep 'configure arguments:'`
　　for opt in $options; do
　　if [ `echo $opt | grep '.*-temp-path'` ]; then
　　value=`echo $opt | cut -d "=" -f 2`
　　if [ ! -d "$value" ]; then
　　# echo "creating" $value
　　mkdir -p $value && chown -R $user $value
　　fi
　　fi
　　done
　　}
　　start() {
　　[ -x $nginx ] || exit 5
　　[ -f $NGINX_CONF_FILE ] || exit 6
　　make_dirs
　　echo -n $"Starting $prog: "
　　daemon $nginx -c $NGINX_CONF_FILE
　　retval=$?
　　echo
　　[ $retval -eq 0 ] && touch $lockfile
　　return $retval
　　}
　　stop() {
　　echo -n $"Stopping $prog: "
　　killproc $prog -QUIT
　　retval=$?
　　echo
　　[ $retval -eq 0 ] && rm -f $lockfile
　　return $retval
　　}
　　restart() {
　　configtest || return $?
　　stop
　　sleep 1
　　start
　　}
　　reload() {
　　configtest || return $?
　　echo -n $"Reloading $prog: "
　　killproc $nginx -HUP
　　RETVAL=$?
　　echo
　　}
　　force_reload() {
　　restart
　　}
　　configtest() {
　　$nginx -t -c $NGINX_CONF_FILE
　　}
　　rh_status() {
　　status $prog
　　}
　　rh_status_q() {
　　rh_status >/dev/null 2>&1
　　}
　　case "$1" in
　　start)
　　rh_status_q && exit 0
　　$1
　　;;
　　stop)
　　rh_status_q || exit 0
　　$1
　　;;
　　restart|configtest)
　　$1
　　;;

　　>　　rh_status_q || exit 7
　　$1
　　;;
　　force-reload)
　　force_reload
　　;;
　　status)
　　rh_status
　　;;
　　condrestart|try-restart)
　　rh_status_q || exit 0
　　;;
　　*)
　　echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
　　exit 2
　　esac
　　为脚本添加执行权限
　　[root@localhost ~]# chmod +x /etc/init.d/nginx
　　将这个脚本加入到服务列表中
　　[root@localhost ~]# chkconfig  --add nginx
　　设定为开机自启动
　　[root@localhost ~]# chkconfig nginx on
　　然后，就可以启动nginx服务了
　　[root@localhost ~]# service nginx start
　　Starting nginx: [  OK  ]
　　注意：如果将nginx作为web服务器的话，千外不能启动httpd服务，否则，两个服务会争用套接字的。会出现如下错误：
　　Starting nginx: nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
　　nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
　　nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
　　nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
　　nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
　　nginx: [emerg] still could not bind()
　　[FAILED]
　　4、修改nginx的配置文件
　　user  nginx  nginx;                运行nginx程序的属主和属组
　　worker_processes  1;
　　error_log  logs/error.log  info;
　　pid        logs/nginx.pid;
　　events {
　　worker_connections  1024;     表示一个worker进程可以处理多少个连接请求
　　}
　　httpd相关的配置
　　http {
　　include       mime.types; 表示http支持多种类型的文件
　　default_type  application/octet-stream;
　　#日志格式
　　log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
　　'$status $body_bytes_sent "$http_referer" '
　　'"$http_user_agent" "$http_x_forwarded_for"';
　　access_log  logs/access.log  main;
　　sendfile        on;
　　tcp_nopush     on;
　　tcp_nodelay    on;
　　keepalive_timeout  1;
　　下面是用来配置服务器段的，每一个server表示一个虚拟主机。在nginx中虚拟主机只有2种：即基于域名的虚拟主机和基于ip的虚拟主机。没有基于端口的虚拟主机。
　　server {
　　listen       80;
　　server_name  www.xsl.com;
　　#charset koi8-r;
　　#access_log  logs/host.access.log  main;
　　location / {
　　root   /www/xsl.com;
　　autoindex off;
　　index  index.html index.htm;
　　}
　　}
　　}
　　5、配置文件修改后，先创建相应的目录，再检查下配置文件的语法是否正确，然后再启动nginx服务。
　　创建目录
　　[root@localhost ~]# mkdir  /www/xsl.com
　　[root@localhost ~]# vim   /www/xsl.com/index.html
　　test nginx
　　检查nginx配置文件的语法是否正确，可以使用如下命令：
　　[root@localhost ~]# nginx  -t
　　如果配置文件没有任何问题，则可以启动服务了。
　　[root@localhost ~]# service nginx start
　　6、测试，访问默认主页是否正常
　　如果是在浏览器中输入的是服务器的主机名称，则还需要在本机的hosts文件添加主机名称和ip的对应条目才行。在这里我是在window主机上进行测试的，因此，需要在windows系统上的hosts文件中添加如下对应行：
　　www.xsl.com    192.168.0.104
　　添加完成后，在进行页面测试，测试结果如下：

　　7、基于ip的认证
　　有时候我们需要设定特定的ip才可以访问，以保证服务器的安全性。
　　基于ip的访问规则是从上到下来检查，一旦匹配则立即终止检查。
　　设定基于ip的认证命令需要在location中设定，如：
　　location  / {
　　root   /www/xsl.com;
　　autoindex off;
　　index  index.html index.htm;
　　deny  192.168.0.0/24;
　　allow 127.0.0.1;
　　allow all;
　　}
　　默认是允许所有ip访问。这里我的ip是位于192.168.0.0/24的网络中的。
　　测试结果如下：

　　8、基于用户的认证
　　基于用户的认证命令也可以在location中设定，如：
　　location  / {
　　root   /www/xsl.com;
　　index  index.html index.htm;
　　auth_basic  "Restrice..."    这个命令是用来设置提示语的
　　auth_basic_user_file  /etc/nginx/userfile
　　这个命令是用来设定基于用户认证时的用户和密码所在文件
　　}
　　在nginx中，基于用户认证方式中的用户和密码文件是通过htpasswd这个命令来创建的，而htpasswd是httpd自带的程序，因此，要想使用htpasswd来创建用户和密码，需要先安装httpd程序。
　　# yum  -y  install  httpd
　　# chkconfig httpd off
　　# service httpd  stop
　　使用htpasswd命令创建用户和密码
　　# htpasswd -c -m /etc/nginx/userfile xsl
　　注意，第一次创建用户时需要指定-c参数，以后就不需要了。
　　创建完成之后，还需要重新加载nginx。不需要重启。

　　[root@localhost ~]# service  nginx >　　测试访问http://ww.xsl.com,测试结果如下：

　　将用户和密码输入后，显示的结果为：

　　9、错误页面重定向
　　错误重定向指的是当访问错误时，nginx的响应状态码如果属于error_page指令中定义的话，则将后续定义的uri中的信息响应给客户端。通常用于提示功能。
　　可以在location中添加如下信息：
　　error_page  404       404.html;
　　当错误页面指令定义在location中时，其错误页面（这里是404.html）文件必须要位于指定目录下。
　　或者在server{}段添加如下信息也可以：
　　error_page   404  500 502 503 504 /404.html;
　　location = /404.html {
　　root   /html/error;
　　}
　　404.html文件必须要位于指定的url下，在这里位于"/"目录下
　　测试访问一个不存在的页面如http://www.xsl.com/20.html。测试结果如下：

　　10、 开启nginx的工作状态监控功能
　　如果需要查看nginx的工作状态信息，还可以设置相关的状态指令。
　　location  /status {
　　stub_status  on;
　　}
　　开启nginx的状态监控功能。不过需要注意的时，如果要设置查看nginx工作状态信息，除了需要启动这个命令之外，更重要的是启用http_stub_status_module这个模块。不过我们在编译时已经启用了这个模块。
　　测试访问http://www.xsl.com/status,测试结果如下：

　　其中这些参数意思如下：
　　Active connection：#  表示所有的活动连接数。
　　server后面有三个数字（如5 5 6）分别表示如下意思：
　　第一个数字（如5）表示已经接受的连接数
　　第二个数字（如5）表示已经成功处理的连接数
　　第三个数字（如6）表示已经处理的总请求数
　　因此，平均每个连接处理的请求数=总请求数/接受的连接数
　　Reading：#    表示nginx正在读取其客户端报文中的header个数
　　Writing：#    表示正在处理请求个数或正在响应给客户端的header个数
　　Waiting：#  在keep-alive中，该值=活动连接数-（reading+writing），表示nginx已经处理完，等待下一个请求指令的驻留连接数。
　　11、启用压缩功能
　　nginx的压缩功能是由http_gzip_static_module这个模块提供的，如果你在编译安装nginx时，提供了--with-http_gzip_static_module的话，那么你的nginx就支持压缩功能。在nginx上启用压缩功能，可以在响应报文给客户端时，可以对某些文件进行压缩然后在响应给客户端，这样可以节省网络带宽及减少网络IO。
　　gzip压缩指令可以工作在http段、server段和location段中。
　　在http{}段内添加如下功能，以启用压缩功能
　　http {
　　...
　　gzip  on;
　　gzip_buffers 4 8K;
　　gzip_min_length 1k;
　　gzip_http_version 1.1;
　　gzip_comp_level 6;
　　gzip_types text/plain application/x-javascript text/css text/html application/xml;
　　12、定义基于ssl协议的虚拟主机。即https协议的配置。
　　首先服务器端创建CA证书
　　[root@localhost CA]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem  2048)   创建私钥
　　[root@localhost CA]# openssl req -new -x509  -key /etc/pki/CA/private/cakey.pem  -out /etc/pki/CA/cacert.pem -days 3650   创建CA证书
　　[root@localhost CA]# echo 01 > serial
　　[root@localhost CA]# touch index.txt
　　[root@localhost CA]# mkdir  cert  crl  newcerts
　　在服务器端创建私钥
　　[root@localhost ~]# mkdir /etc/nginx/ssl
　　[root@localhost ~]# cd /etc/nginx/ssl/
　　[root@localhost ssl]# (umask 077;openssl genrsa -out nginx.key 2048 )
　　生成颁发请求文件
　　[root@localhost ssl]# openssl req -new -key nginx.key -out nginx.csr
　　CA为颁发请求文件签署成为证书
　　[root@localhost ssl]# openssl ca -in nginx.csr -out nginx.crt -days 3650
　　编辑配置文件/etc/nginx/nginx.conf
　　将鼠标定位到最后一个server段所在行，使用如下命令来去掉前面的"#"号
　　.,$-1s/^\([[:space:]]*\)#/\1/g
　　下面是关于https的配置部分
　　server {
　　listen       443 ssl;     监听端口
　　server_name  www.a.org;   服务器名称
　　ssl_certificate      /etc/nginx/ssl/nginx.crt;   证书
　　ssl_certificate_key  /etc/nginx/ssl/nginx.key;  私钥
　　ssl_session_cache    shared:SSL:1m;  ssl会话缓存时长
　　ssl_session_timeout  5m;             会话超时时间
　　ssl_ciphers  HIGH:!aNULL:!MD5;  加密算法
　　ssl_prefer_server_ciphers  on;  是否允许服务器端选择倾向性的加密算法
　　location / {
　　root   /www/a.org;
　　index  index.html index.htm;
　　}
　　}
　　然后，创建/www/a.org文件，并创建index.html文件
　　[root@localhost ~]# mkdir /www/a.org
　　[root@localhost ~]# vim  /www/a.org/index.html
　　team
　　I am fine.
　　what are you dong?
　　测试访问https://www.a.org,测试结果如下：

　　至此，nginx作为web服务器的配置已经完成了！！！