nginx作为http服务器常用模块

视频的容积

1.nginx核心功能模块(Core functionality)
　　accept_mutex on|off; #Context:events
　　这个指令的意义：当一个新连接或者说用户请求到达nginx服务时，如果accept_mutex为on，
　　那么多个worker将以串行方式来处理，其中一个worker会被激活，其他worker继续保持休眠状态，
　　如果accept_mutex为off,那么所有的worker将会被唤醒，但只有一个worker会获取新连接，其他worker会重新休眠。
　　这可以算是惊群问题吧。当网站并发量很大时，可以设置为off，
　　error_log
　　错误日志文件路径，错误记录等级，等级从低到高为debug, info, notice, warn, error, crit, alert, emerg
　　例：error_log /var/log/nginx/error.log warn;
　　events
　　用来指定nginx的工作模式及连接数上限
　　

例：events {　　
use epoll; #使用epoll I/O传输模型
　　
worker_connections 1024; #每个worker允许的最大用户请求数
　　
}
　　

　　worker_connections #Context:events
　　每一个worker进程能并发处理（发起）的最大连接数，并不是越大越好
　　需要深入理解的优化选项
　　worker_cpu_affinity
　　将worker进程固定在指定的CPU(或核心)中，因为nginx默认是随机分配cpu(或核心)的，
　　此设置可将nginx进程固定在指定的CPU(或核心)上，以加快处理速度降低出错率。
　　

例：worker_processes 4;　　
worker_cpu_affinity 0001 0010 0100 1000;
　　

　　worker_priority
　　让worker以指定nice值工作,-20~19 nice值越高就会优先获取CPU资源;
　　nginx默认状态下的nice值为0
　　worker_processes
　　设置nginx的work process的数量，推荐设置为等于或略小于CPU的核心数，
　　因为若设置为大于CPU的核心数时会产生拥挤，范围会影响性能，若设置成auto，默认数量为CPU的核心数
　　include file | mask;
　　将指定的文件包含在配置中，nginx运行时会自动加载
　　

例：include vhost/*.conf　　

　　master_process on | off;
　　确认master process的开启状态。
　　multi_accept on | off; #Context:events
　　当multi_accept为on时，所有的新连接情求将同时被worker process同时接收处理，
　　当multi_accept为off时，worker process一次只接收处理一个新连接
　　默认为off
　　pid
　　设置nginx主进程ID文件位置
　　

例：pid log/nginx.pid;　　

　　use
　　设置进程连接的方式。值得注意的是此项一般不做设置，因为nginx会自动选择最适合系统的方式。
　　There is normally no need to specify it explicitly, because nginx will by default use the most efficient method.
　　user
　　指定nginx主进程的用户及组

2.http核心功能模块(ngx_http_core_module)
　　alias #Context:location
　　alias表示路径别名，alias后面接路径，也就是用户访问的真正路径，一般用在location环境下
　　

例：location /i/ {　　
alias /data/w3/images/; #一定要记得结尾加/
　　
}
　　

　　当用户请求为路径URI/i/时，实际访问的是URI/data/w3/images/

　　此处可深入对比root与alias的区别：
　　1.root指定的是location匹配访问的path目录的上一级目录，也可以理解为location匹配访问的起始根目录
　　2.alias指定的是location匹配访问的path目录的真正目录路径，而location后是path目录别名
　　3.对于root来说，location后的path目录必须真实存在
　　4.对于alias来说，location后的path目录可以不存在
　　5.alias只能用在location中，而root可用在 http,server,location,if in location中
　　6.有网友建议
　　1）在location /中配置root目录；
　　2）在location /path中配置alias虚拟目录。

　　listen #Context:server
　　设置监听IP的地址和端口，一般只需设置ip和端口
　　

例：　　
listen 127.0.0.1:8000;
　　
listen 127.0.0.1;
　　
listen 8000;
　　
listen *:8000;
　　
listen localhost:8000;
　　

　　扩展设置：listen address[:port] [default_server] [ssl] [http2 | spdy] [backlog=number] [rcvbuf=size] [sndbuf=size]
　　default_server：设定为默认虚拟主机；
　　ssl：限制仅能够通过ssl连接提供服务；
　　backlog=number：后援队列长度；
　　rcvbuf=size：接收缓冲区大小；
　　sndbuf=size：发送缓冲区大小；

　　server #Context:http
　　用来定义虚拟主机，格式为server { … }
　　server_name #Context:server
　　设置虚拟主机的主机名，可使用正则表达式进行匹配
　　

例：server {　　
server_name ~^(www\.)?(.+)$;
　　
index index.php index.html;
　　
root /nginx/$2;
　　
}
　　

　　这里用到了正则表达式后向引用的知识，可以实现在一个server中配置多个站点，
　　当输入站点www.fff.com时对应站点的主目录为/nginx/fff.com目录
　　当输入站点www.ddd.org时对应站点的主目录为/nginx/ddd.com目录
　　目录必须存在

　　tcp_nodelay on|off; #Context:http, server, location
　　只在keepalived下开启有效,长连接时不做报文打包发送，不产生延迟(delay)
　　tcp_nopush on|off; #Context:http, server, location
　　在 nginx 中，tcp_nopush 配置和 tcp_nodelay “互斥”。它可以配置一次发送数据的包大小。也就是说，它不是按时间累计 0.2 秒后发送包，而是当包累计到一定大小后就发送。
　　在 nginx 中，tcp_nopush 必须和 sendfile 搭配使用。

　　有一点不明白，tcp_nopush和tcp_nodelay为何是互斥却可以在实例中同时为on

　　sendfile #Context:http, server, location, if in location
　　此选项可提高web服务器的传输性能，不使用sendfile的传统网络传输：
　　read(file,tmp_buf, len);
　　write(socket,tmp_buf, len);
　　硬盘 –> kernel buffer –> user buffer –> kernel socket buffer –> 协议栈
　　使用sendfile的网络传输：
　　sendfile(socket,file, len);
　　硬盘 –> kernel buffer (快速拷贝到kernelsocket buffer) –> 协议栈
　　sendfile省去了很多中间过程，从而提高了传输速度
　　keepalive_timeout
　　keepalive的超时时间
　　

例：keepalive 75s;　　

　　root #Context：http, server, location, if in location
　　设置站点的根目录
　　location #Context: server, location
　　根据用户请求的URI做访问逻辑的设置，location下的root比server下的root有更高的优先权？
　　

例：　　
location = / {
　　
[ configuration A ]
　　
}
　　

　　
location / {
　　
[ configuration B ]
　　
}
　　

　　
location /documents/ {
　　
[ configuration C ]
　　
}
　　

　　
location ^~ /images/ {
　　
[ configuration D ]
　　
}
　　

　　
location ~* \.(gif|jpg|jpeg)$ {
　　
[ configuration E ]
　　
}
　　

　　error_page #Context:http, server, location, if in location
　　设置当用户请求发生错误时nginx反馈给用户错误显示的URI
　　设置方法有多种：
　　例：1. error_page 502 503 /50x.html; #当访问出现502 503错误时，就向用户反馈50x.html的内容
　　2. error_page 502 503 =200 /50x.html; #当访问出现502 503时，向用户反馈状态码为200，并反馈50x.html的内容50x.html可替换为其他内容，如jpg，gif，php文件
　　3. error_page 404 = http://www.baidu.com; #当访问出现404错误时，将用户请求跳转至百度主页
　　

4. location / {　　
error_page 404 = @fallback;
　　
}
　　

　　
location @fallback {
　　
proxy_pass http://backend;
　　
}
　　

　　keepalive_timeout
　　设置长连接的超时时间，设置0时表示关闭长连接，默认为75s
　　

例：keepalive_timeout 40s;　　

　　keepalive_disable none | browser …;
　　设置禁止长连接的浏览器
　　keepalive_requests
　　设置一次长连接允许的最大请求数，默认为100
　　client_body_buffer_size # Context:http, server, location
　　body是指报文的主体部分，此选项用于设置接收客户端请求报文的body部分的缓冲区大小，
　　默认为16k，一旦超过设置的值，便会发起磁盘I/O，影响站点性能，
　　只有在允许用户请求或上传大于16k数据时，才有必要调整此项，
　　但当用户上传数据大到不得不直接储存在磁盘上时则需使用client_body_temp_path
　　client_body_temp_path # Context:http, server, location
　　这里涉及到了当用户较多且用户存放文件较多时，各用户如何快速准确的找到各自存放在站点的文件的问题。
　　此选项可设置文件分级存放，
　　

例：client_body_temp_path /var/tmp/client_body 2 1 1　　
#用户存放主目录为/var/tmp/client_body 创建16*16个一级子目录，
　　
每个一级子目录下创建16个二级子目录，每个二级子目录下创建16个三级子目录
　　
这是一种算法机制，为用户访问磁盘数据时提供一种快捷的路径路由机制
　　

　　aio on|off
　　aio是指异步非阻塞IO模型，在nginx第一讲中有详细介绍
　　open_file_cache Context:http, server, location
　　用于设置服务器访问频率较高文件的元数据缓存，将访问频率较高的文件缓存至内存中，
　　当用户访问时不需要再进行磁盘查找，可直接根据文件的元数据找到文件进行下一步操作，
　　大大提升了用户访问效率。
　　

例：open_file_cache off;　　
open_file_cache max=1000 inactive=20s; #最大缓存1000个缓存项 缓存项的非活动时长20s，受open_file_cache_min_uses选项的影响,在设定时间内访问命中数少于open_file_cache_min_uses设置数时，缓存将被清理
　　

　　open_file_cache_uses
　　参照open_file_cache
　　

例：open_file_cache max=1000 inactive=20s;　　
open_file_cache_valid 30s;
　　
open_file_cache_min_uses 2;
　　
open_file_cache_error on; #是否缓存查找时发生错误的文件信息的
　　

3.基于IP的访问控制模块(ngx_http_access_module)
　　allow
　　允许访问
　　deny
　　拒绝访问
　　

例：location / {　　
deny 192.168.1.1;
　　
allow 192.168.1.0/24;
　　
allow 10.1.1.0/16;
　　
allow 2001:0db8::/32;
　　
deny all; }
　　

4.基于用户登录的访问控制模块(ngx_http_auth_basic_module)
　　auth_basic #Context:http, server, location, limit_except
　　反馈给用户的服务器认证信息，必须与auth_basic_user_file配合使用
　　auth_basic_user_file
　　设置用户认证文件的路径，配置用户认证的用户名与密码可用httpd-tools来实现
　　yum -y install httpd-tools #安装httpd-tools
　　htpasswd -c -m /etc/nginx/.ngxpwd ready #指定密码文件路径与文件名，用户名为ready
　　

例：server {　　
server_name www.hhh.com;
　　
root /nginx/test2/;
　　
location ~* ^/(login|admin) {
　　
#alias /admin/; #为何加此项会访问不成功，改为location /login/却会访问成功？
　　
auth_basic “why?”;
　　
auth_basic_user_file /etc/nginx/.ngxpwd;
　　
} #root路径下用户请求以admin或login开头时，都会出现用户认证
　　

5.nginx访问状态模块(ngx_http_stub_status_module) }
　　stub_status
　　可以查看nginx的状态信息，此信息一定要保密，可单独创建一个location再配合auth_basic_user_file与auth_basic使用
　　

例：　　
location /abc {
　　
stub_status;
　　
auth_basic “why?”;
　　
auth_basic_user_file /etc/nginx/.ngxpwd;
　　
}
　　

　　输出示例：
　　Active connections: 3 #当前的活动链接数
　　server accepts handled requests #accept已经接受的用户请求数，handled已经处理完成的用户请求数，requests总请求数
　　303 303 2533
　　Reading: 0 Writing: 1 Waiting: 2 #Reading：处于读取客户端请求报文首部的连接的连接数；
　　#Writing：处于向客户端发送响应报文过程中的连接数；
　　#Waiting：处于等待客户端发出请求的空闲连接数

6.nginx访问日志模块(ngx_http_log_module)
　　access_log #Context:http, server, location, if in location, limit_except
　　设置访问日志路径，可在全局设置，也可在server，location等中做精细设置，便于不同主机的访问精细管理
　　也可压缩打包处理
　　

例：access_log /path/to/log.gz combined gzip buffer=16k flush=5m;buffer可设置访问日志的缓冲区大小，flush为刷新周期　　

　　

　　log_format
　　定义访问日志的格式
　　

例：log_format main ‘$remote_addr – $remote_user [$time_local] “$request” ‘　　
‘$status $body_bytes_sent “$http_referer” ‘
　　
‘”$http_user_agent” “$http_x_forwarded_for”‘;
　　

7.ngx_http_gzip_module
　　nginx中gzip的主要作用就是用来减轻服务器的带宽问题，经过gzip压缩后的页面大小可以变为原来的30%甚至更小，
　　这样用户浏览页面时的速度会快很多。gzip的压缩页面需要浏览器和服务器双方都支持，实际上就是服务器端压缩，
　　传到浏览器后浏览器解压缩并解析。目前的大多数浏览器都支持解析gzip压缩过的页面。默认为off
　　

例：gzip on;　　
gzip_comp_level 2; #压缩等级，默认为1
　　
gzip_min_length 1000; #启用压缩功能的临界值
　　
gzip_proxied expired no-cache no-store private auth;
　　
gzip_types text/plain application/xml;
　　

8.https服务模块(ngx_http_ssl_module)
　　ssl on | off;
　　开启/关闭ssl服务
　　

例：　　
server {
　　
listen 443 ssl;
　　
server_name www.hhh.com;
　　
root /nginx/test2/;
　　
access_log /var/log/nginx/ssl_access.log main;
　　

　　
ssl on;
　　
ssl_certificate /etc/pki/nginx/server.crt; #证书存放路径
　　
ssl_certificate_key /etc/pki/nginx/private/server.key; #私钥存放路径
　　
ssl_session_cache shared:SSL:1m; #在各worker之间启用大小为1m的共享缓存，可提高缓存利用率，1m可缓存4000个回话
　　
ssl_protocols sslv3 TLSv1 tlsv1.1 tlsv1.2; #设置支持的ssl协议
　　
ssl_session_timeout 10m; #设置共享缓存的超时时间
　　

9.nginx URL重写模块，rewrite模块(ngx_http_rewrite_module)
　　根据用户请求的URL按一定规则进行重新替换或定向，使用户请求跳转至规则定制的URL
　　

例：server {　　
server_name www.fff.com;
　　
location /alais/ {
　　
alias /nginx/ta/;
　　
index index.html index.htm;
　　
rewrite /(.*)\.png$ http://www.fff.com/$1.jpg; #将用户输入以.png结尾的请求全部替换为.jpg结尾的请求
　　
rewrite /(.*)$ https://www.fff.com/$1; #将用户请求全部重写为https协议并返回请求
　　
}
　　
}
　　

　　rewrite规则默认会自上而下一次匹配执行，当第一条rewrite执行后，会将新URL再重新在location中检查一遍，直到没有匹配的rewrite，
　　这样可能会产生死循环，因为rewrite结尾默认有一个last标识，也可在结尾改为其他标识实现不提功能
　　1.last #只要有新URL就会使用此标识结尾的规则检查一次
　　2.break #检查若匹配就执行并不再执行后面的rewrite规则
　　3.redirect #反馈给用户302响应码并将新定向的URL，让客户端自己请求新定向的URL
　　4.permanent #与redirect不同的是，permanent是永久重定向

10.防盗链模块(ngx_http_referer_module)

　　再打开某些网站时，会出现类似”此图片仅允许xx网内部使用”的图片提示，这就是基于此模块来实现防盗链的一种方法
　　valid_referers none | blocked | server_names | string …;
　　定义referer首部的合法可用值；

　　none：请求报文首部没有referer首部；
　　blocked：请求报文的referer首部没有值；
　　server_names：参数，其可以有值作为主机名或主机名模式；
　　arbitrary_string：直接字符串，但可使用作通配符；
　　regular expression：被指定的正则表达式模式匹配到的字符串；要使用~打头，例如 ~..magedu.com；
　　

例：　　
valid_referers none block server_names *.magedu.com *.mageedu.com magedu.* mageedu.* ~\.magedu\.;
　　

　　
if($invalid_referer) {
　　
return http://www.magedu.com/invalid.jpg;