设为首页 收藏本站
查看: 1851|回复: 0

[经验分享] nginx详细配置教程

[复制链接]

尚未签到

发表于 2018-11-14 10:41:12 | 显示全部楼层 |阅读模式
  一.安装nginx
  安装nginx之前首先需要安装"Development Tools"和 "Development Libraries"两个基本组包。yum groupinstall "Development Tools" "Development Libraries"。另外还需要安装pcre-devel包。
  安装pcre-devel:
  yum install pcre-devel
  安装nginx:
  添加nginx账号groupadd -g 4000 nginx;useradd -g 4000 -u 4000 nginx -s /sbin/nologin
./configure \  --prefix=/usr/local/nginx \
  --sbin-path=/usr/local/nginx/sbin/nginx \
  --conf-path=/etc/nginx/nginx.conf \
  --error-log-path=/var/log/nginx/error.log \
  --http-log-path=/var/log/nginx/access.log \
  --pid-path=/var/run/nginx/nginx.pid  \
  --lock-path=/var/lock/nginx.lock \
  --user=nginx \
  --group=nginx \
  --with-http_ssl_module \
  --with-http_flv_module \
  --with-http_stub_status_module \
  --with-http_gzip_static_module \
  --http-client-body-temp-path=/var/tmp/nginx/client/ \
  --http-proxy-temp-path=/var/tmp/nginx/proxy/ \
  --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
  --with-pcre
  make
  make install
  这下可以启动nginx了。执行/usr/local/ngin/sbin/nginx会报错因为我们需要事先创建上面编译的时候需要的目录。
  mkdir -p /var/tmp/nginx/client/
  mkdir -p /var/tmp/nginx/proxy/
  mkdir -p /var/tmp/nginx/fcgi/
  再次执行上述命令后执行netstat -tunpl | grep 80发现nginx已经监听在tcp的80端口上了。
  二.为nginx提供SysV init脚本:
  新建文件/etc/rc.d/init.d/nginx内容如下
#!/bin/bash  
#
  
# nginx - this script starts and stops the nginx daemon
  
#
  
# chkconfig:   - 85 15
  
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \
  
#               proxy and IMAP/POP3 proxy server
  
# processname: nginx
  
# config:      /etc/nginx/nginx.conf
  
# config:      /etc/sysconfig/nginx
  
# pidfile:     /var/run/nginx.pid
  
# Source function library.
  
. /etc/rc.d/init.d/functions
  
# Source networking configuration.
  
. /etc/sysconfig/network
  
# Check that networking is up.
  
[ "$NETWORKING" = "no" ] && exit 0
  
nginx="/usr/local/nginx/sbin/nginx"
  
prog=$(basename $nginx)
  
NGINX_CONF_FILE="/etc/nginx/nginx.conf"
  
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
  
lockfile=/var/lock/subsys/nginx
  
make_dirs() {
  # make required directories
  user=`nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
  options=`$nginx -V 2>&1 | grep 'configure arguments:'`
  for opt in $options; do
  if [ `echo $opt | grep '.*-temp-path'` ]; then
  value=`echo $opt | cut -d "=" -f 2`
  if [ ! -d "$value" ]; then
  # echo "creating" $value
  mkdir -p $value && chown -R $user $value
  fi
  fi
  done
  
}
  
start() {
  [ -x $nginx ] || exit 5
  [ -f $NGINX_CONF_FILE ] || exit 6
  make_dirs
  echo -n $"Starting $prog: "
  daemon $nginx -c $NGINX_CONF_FILE
  retval=$?
  echo
  [ $retval -eq 0 ] && touch $lockfile
  return $retval
  
}
  
stop() {
  echo -n $"Stopping $prog: "
  killproc $prog -QUIT
  retval=$?
  echo
  [ $retval -eq 0 ] && rm -f $lockfile
  return $retval
  
}
  
restart() {
  configtest || return $?
  stop
  sleep 1
  start
  
}
  
reload() {
  configtest || return $?
  echo -n $"Reloading $prog: "
  killproc $nginx -HUP
  RETVAL=$?
  echo
  
}
  
force_reload() {
  restart
  
}
  
configtest() {
  $nginx -t -c $NGINX_CONF_FILE
  
}
  
rh_status() {
  status $prog
  
}
  
rh_status_q() {
  rh_status >/dev/null 2>&1
  
}
  
case "$1" in
  start)
  rh_status_q && exit 0
  $1
  ;;
  stop)
  rh_status_q || exit 0
  $1
  ;;
  restart|configtest)
  $1
  ;;
  reload)
  rh_status_q || exit 7
  $1
  ;;
  force-reload)
  force_reload
  ;;
  status)
  rh_status
  ;;
  condrestart|try-restart)
  rh_status_q || exit 0
  ;;
  *)
  echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
  exit 2
  
esac
  而后为此脚本赋予执行权限chmod +x /etc/rc.d/init.d/nginx
  添加至服务管理列表并让其开机自动启动
  chkconfig --add nginx
  chkconfig nginx on

  service nginx>  三.nginx基本配置文件介绍
#user  nobody;  //定义Nginx运行的用户和用户组  
worker_processes  1;  //Nginx运行时的工作进程数
  
#error_log  logs/error.log;  //错误日志,nginx的日志可以直接发给远程服务器
  
#error_log  logs/error.log  notice;
  
#error_log  logs/error.log  info;
  
#pid        logs/nginx.pid;
  
events { //用来设置影响nginx工作属性和连接数上线的总配置
  use epoll;//使用基于epoll的事件驱动模型
  worker_connections  1024; //每一个work进程连接数的限制根据服务器的带宽和脚本的大小来评估
  worker_cpu_affinity 0001 0100; //将wock进程绑定在第一颗和第四颗cpu上这是以掩码的方式来计算的
  worker_rlimit_nofile 51200;//限定nginx最多能够打开的文件数也可以在limits.conf文件中配置
  worker_priority_number -10; //定义work进程的优先级取值为-20到20默认为0。给进程一样值越低优先级越高
  
}
  
http {
  include       mime.types;
  default_type  application/octet-stream; //默认的mime类型
  #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
  #                  '$status $body_bytes_sent "$http_referer" '
  #                  '"$http_user_agent" "$http_x_forwarded_for"'; //日志格式
  #access_log  logs/access.log  main; //访问日志的位置access_log off可以关闭访问日志
  sendfile        on; //服务器应该开启的功能可以避免将数据转到应用程序进程做转换
  #tcp_nopush     on;
  #keepalive_timeout  0;
  keepalive_timeout  65; #长连接的超时时间应该设置的小点例如5
  #gzip  on; //开启gzip压缩功能
  server {  //虚拟主机的设置
  listen       80; //监听的端口
  server_name  localhost; //主机的名称
  #charset koi8-r; //设置字符集
  #access_log  logs/host.access.log  main; //设置访问日志
  location / {
  root   html;  //定义网页文件目录可以使用绝对路径不使用绝对路径的时候--prefix的选项作为相对路径
  index  index.html index.htm; //该url下的默认访问文件
  }
  #error_page  404              /404.html;
  # redirect server error pages to the static page /50x.html
  #
  error_page   500 502 503 504  /50x.html; //自定义错误指令并且定义到对应的错误文件
  location = /50x.html {
  root   html;
  }
  # proxy the PHP scripts to Apache listening on 127.0.0.1:80
  #
  #location ~ \.php$ {
  #    proxy_pass   http://127.0.0.1;
  
#}
  # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
  #
  #location ~ \.php$ {
  #    root           html;
  #    fastcgi_pass   127.0.0.1:9000;
  #    fastcgi_index  index.php;
  #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
  #    include        fastcgi_params;
  #}
  # deny access to .htaccess files, if Apache's document root
  # concurs with nginx's one
  #
  #location ~ /\.ht {
  #    deny  all;
  #}
  }
  # another virtual host using mix of IP-, name-, and port-based configuration
  #
  #server {
  #    listen       8000;
  #    listen       somename:8080;
  #    server_name  somename  alias  another.alias;
  #    location / {
  #        root   html;
  #        index  index.html index.htm;
  #    }
  #}
  # HTTPS server
  #
  #server {
  #    listen       443;
  #    server_name  localhost;
  #    ssl                  on;
  #    ssl_certificate      cert.pem;
  #    ssl_certificate_key  cert.key;
  #    ssl_session_timeout  5m;
  #    ssl_protocols  SSLv2 SSLv3 TLSv1;
  #    ssl_ciphers  HIGH:!aNULL:!MD5;
  #    ssl_prefer_server_ciphers   on;
  #    location / {
  #        root   html;
  #        index  index.html index.htm;
  #    }
  #}
  
}
  四.nginx虚拟主机配置
server {  listen       127.0.0.1:80;
  server_name  www.qiguo1.com;
  location / {
  root /web/htmlone
  index index.html
  }
  
}
  
server{
  listen       127.0.0.1:80;
  server_name  www.qiguo2.com;
  location / {
  root /web/htmltwo
  index index.html
  }
  
}
  在/etc/hosts文件中输入
  127.0.0.1     www.qiguo1.com
  127.0.0.1     www.qiguo2.com
  在/web/htmlone和/web/htmltwo中分别建立2个index.html文件:
  echo "this is htmlone" > /web/htmlone/index.html
  echo "this is htmltwo" > /web/htmltwo/index.html
  然后在shell命令行测试nginx虚拟主机:
  elinks -dump www.qiguo1.com 显示this is htmlone
  elinks -dump www.qiguo2.com 显示this is htmltwo
  五.nginx访问控制授权
  nginx的访问控制需要通过模块来设定默认提供了2个模块Access和Auth Basic。Access是基于地址来做限制的而Auth Basic是基于http页面来做限制的。
  基于Access模块认证的时候官方给出的例子是
location / {  deny 192.168.1.1;
  allow 192.168.1.0/24;
  allow 10.1.0.0/16;
  deny all;
  
}
  基于Auth Basic模块认证的时候官方给出的例子是
location / {  auth_basic"closed site" #表示启动了auth认证auth_name的值为closed site
  auth_basic_user_fileconf/htpasswd #用户认证的文件所在的地方
  
}
  下面测试Auth Basic模块基于http认证的方式
  需要首先创建一个密码文件这里需要借助apache提供的htpasswd命令,执行htpasswd后输入密码即可
  htpasswd -c -m /etc/nginx/nginx.passwd qiguo
  编辑/etc/nginx/nginx.conf文件加入下面代码
location = /test.html {  root html;
  auth_basic "限制登陆需要账号和密码";
  auth_basic_user_file  /etc/nginx/nginx.passwd;ed
  index  index.html index.htm;
  
}
  重新启动nginx,在浏览器中输入localhost/test.html会弹出让你输入用户和密码的信息证明nginx访问控制授权成功
  六.nginx页面索引文件的指定
  apache在配置主机的时候可以使用Options Indexes对当访问的目录页面不存在时可以以索引的列表方式显示nginx也提供了同样的功能需要通过Auto_Index模块来实现。实现的方法比较简单官网给出的例子是:
location / {  autoindex on;
  autoindex_exact_size; #这个选项指定以列表的方式显示的时候精确的匹配文件的大小否则会做文件大小转换
  autoindex_localtime;  #显示的文件的时间是以运行nginx的服务器的时间为标准来显示的
  
}
  七.nginx自定义响应报文
  nginx自定义响应报文需要通过Headers这个模块来实现.而且最好添加http协议所支持的响应报文首部。使用的方法很简单官方给出的简单示例如下
  add_header Cache_Control private; //自定义Cache_Control的值为private
  例如我们可以自己为一个页面自定义一个响应报文配置如下
location = /test.html {  root html;
  index index.html;
  add_header HTTP_X_FORWARD_FOR 192.168.1.250;
  
}
  保存后重新启动nginx后打开test.html这个文件会看到响应头中多出来了一个HTTP_X_FORWARD_FOR的信息并且其值为192.168.1.250
  八.nginx的URL重写功能
  nginx的URL重写功能是依靠ngx_http_rewrite_module这个模块来实现的nginx常用的rewrite语法用5个
  set主要是用来设置变量用的,没什么特别的
  ifif主要用来判断一些在rewrite语句中无法直接匹配的条件,比如检测文件存在与否,http header,cookie等
  returnreturn可用来直接设置HTTP返回状态,比如403,404等
  break立即停止rewrite检测
  rewrite设置url重写时最重要的功能其语法使用格式为rewrite 正则 替换 标志位
  rewrite的重写功能和apache基本上是一样但是这里主要说明下rewrite标志位的使用默认的标志位有4个
  break:停止rewrite检测,也就是说当含有break flag的rewrite语句被执行时,该语句就是rewrite的最终结果
  last:停止rewrite检测,但是跟break有本质的不同,last的语句不一定是最终结果
  redirect:返回302临时重定向,一般用于重定向到完整的URL(包含http:部分)
  permanent:返回301永久重定向,一般用于重定向到完整的URL(包含http:部分)
  if语句中的判断条件:
  正则表达式匹配
  ~ 为区分大小写匹配
  ~* 为不区分大小写匹配
  !~和!~*分别为区分大小写不匹配及不区分大小写不匹配
  文件及目录匹配匹配
  -f和!-f用来判断是否存在文件
  -d和!-d用来判断是否存在目录
  -e和!-e用来判断是否存在文件或目录
  -x和!-x用来判断文件是否可执行
  nginx常用的全局变量
  $args
  $content_length
  $content_type
  $document_root
  $document_uri
  $host
  $http_user_agent
  $http_cookie
  $limit_rate
  $request_body_file
  $request_method
  $remote_addr
  $remote_port
  $remote_user
  $request_filename
  $request_uri
  $query_string
  $scheme
  $server_protocol
  $server_addr
  $server_name
  $server_port
  $uri
  这里给出官方的一些URL重写示例
  if ($http_user_agent ~ MSIE) {
  rewrite ^(.*)$ /msie/$1 break;
  }
  rewrite ^/users/(.*)$ /show?user=$1? last;
  rewrite ^(/download/.*)/media/(.*)\..*$ $1/mp3/$2.mp3 break;
  九.nginx的status功能
  nginx与apache一样Apache有一个mod_status的模块可以查看服务器的运行状况nginx提供了类似的功能并且是通过http_stub_status_module这个模块来完成的。nginx启动status也比较简单但是前提是在编译的时候要安装http_stub_status_module这个模块。要启动nginx的status模块只需要做下面的简单配置即可
  location /status {
  stub_status on;
  access_log off;
  }
  重新启动nginx,访问localhots/status,可以得到下面的内容
  Active connections: 1
  server accepts handled requests
  2 2 35
  Reading: 0 Writing: 1 Waiting: 0
  官网介绍如下
  active connections -- number of all open connections  #打开的活动连接数
  server accepts handled requests -- nginx accepted 16630948 connections, handled 16630948 connections (no one was closed just it was accepted), and handles 31070465 requests (1.8 requests per connection) #服务器已经接受的连接数accepted 16630948表示已经处理过的连接数handled 16630948表示已经处理的连接数handles 31070465表示处理的请求数。在启用了keepalive的情况下连接数一般应该大于请求数
  reading -- nginx reads request header #nginx正在读取的请求报文数
  writing -- nginx reads request body, processes request, or writes response to a client #nginx正在发送的请求报文数
  waiting -- keep-alive connections, actually it is active - (reading + writing) #长连接的活动连接数
  十.nginx的压缩功能
  nginx的gzio模块可以启动压缩功能在访问量高带宽不大的情况下可以显著提高服务器的性能。gzip是通过with-http_gzip_static_module这个模块来完成工作的。给status模块一样也需要在编译的时候编译http_gzip_static_module这个模块。gzip的常用命令如下:
  gzip on; //开启或者关闭gzip模块
  gzip_buffers: 4 4k; //设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流.例如4 4k 代表以4k为单位按照原始数据大小以4k为单位的4倍申请内存。4 8k 代表以8k为单位按照原始数据大小以8k为单位的4倍申请内存。如果没有设置默认值是申请跟原始数据相同大小的内存空间去存储gzip压缩结果。
  gzip_comp_level4; //gzip压缩比1压缩比最小处理速度最快9 压缩比最大但处理最慢传输快但比较消耗cpu。
  gzip_min_length1024; //设置允许压缩的页面最小字节数页面字节数从header头中的Content-Length中进行获取。默认值是0不管页面多大都压缩。建议设置成大于1k的字节数小于1k可能会越压越大。
  gzip_proxied off; //Nginx作为反向代理的时候启用开启或者关闭后端服务器返回的结果匹配的前提是后端服务器必须要返回包含"Via"的header头。
  默认的取值有off|expired|no-cache|no-store|private|no_last_modified|no_etag|auth|any;具体解释如下
  off - 关闭所有的代理结果数据的压缩
  expired - 启用压缩如果header头中包含"Expires" 头信息
  no-cache - 启用压缩如果header头中包含"Cache-Control:no-cache" 头信息
  no-store - 启用压缩如果header头中包含"Cache-Control:no-store" 头信息
  private - 启用压缩如果header头中包含"Cache-Control:private" 头信息
  no_last_modified - 启用压缩,如果header头中不包含"Last-Modified" 头信息
  no_etag - 启用压缩,如果header头中不包含"ETag" 头信息
  auth - 启用压缩, 如果header头中包含"Authorization" 头信息
  any - 无条件启用压缩
  gzip_types匹配MIME类型进行压缩无论是否指定"text/html"类型总是会被压缩的。
  下面是常规的gzip配置压缩
  http{
  include conf/mime.types;
  gzip on;
  gzip_min_length 1000;
  gzip_buffers 4 8k;
  gzip_http_version 1.1;
  gzip_types text/plain application/x-javascript text/css text/html application/xml;
  }
  这里借鉴地址http://wenku.baidu.com/link?url=6hkmzQjgGsNqYsHSaa9MceJQ_JPjtSLpBKowi2XnRHvjGRMWzJbBIIEhMSGIx2NGTChFkDhBo6YHonOn2hGbXy0XrgtDuVK5HvP_Uq5EXq3
  十一.nginx的SSL功能
  nginx要支持SSL功能需要编译的时候指定--with-http_ssl_module选项。nginx的SSL功能就是依靠ngx_http_ssl_module来完成的。要完成对SSL的支持需要生成证书这里我们使用linux默认的CA来生成自签证书并且为我们的nginx颁发一个证书。CA证书的生成这里不再说明这里以本台服务器为例来生成证书。这里不再演示CA的基本配置情况只是给出简单的生成证书的过程。
  进入/etc/pki/CA目录下创建3个文件certs crl newcerts3个目录创建index.txt serial 2个文件往serial文件中写入01
  openssl genrsa -out private/cakey.pem 1024
  openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
  然后创建自己的信息注意这里的信息要和等下给我们nginx服务器颁发证书的时候的信息一样输入完成以后就可以为nginx颁发证书。
  进入/etc/nginx目录后
  openssl genrsa -out nginx.key 1024
  openssl req -new -key nginx.key -out nginx.csr -days 3650  输入后填写信息
  openssl ca -in nginx.csr -out nginx.crt
  输入全部完成以后我们的证书就已经生成完毕nginx.crt这个文件就是我们的证书文件颁证机构就为我们的CA即前面的cacert.pem。下面开始配置nginx让其支持https:
  server {
  listen       443;
  server_name  localhost;
  ssl                  on;
  ssl_certificate      /etc/nginx/nginx.crt;
  ssl_certificate_key  /etc/nginx/nginx.key;
  ssl_session_timeout  5m;
  ssl_protocols  SSLv2 SSLv3 TLSv1;
  ssl_ciphers  HIGH:!aNULL:!MD5;
  ssl_prefer_server_ciphers   on;
  location / {
  root   html;
  index  index.html index.htm;
  }
  }
  配置完成以后在浏览器中输入https://127.0.0.1中可以看到https协议已经可以使用了但是需要认证因为我们的当前客户端上没有安装我们自己CA服务器的证书。只需要把cacert.pem服务器到一台客户端的机器改成以crt的后缀安装我们的https协议就可以正常使用了。





运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-634908-1-1.html 上篇帖子: nginx日志文件格式转换 下篇帖子: nginx作为web容器之性能优化
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表