0%

Nginx配置详解

Nginx配置详解

Nginx的配置是在nginx.conf中进行配置的

主要由三部分组成

  • 全局块
  • events块
  • http块

全局块

从配置文件开始到events块之间的内容是全局块,主要用来配置Nginx服务器整体运行的配置指令,主要包括配置运行Nginx的用户组、允许生成的worker process数,进行PID存放路径、日志存放路径和类型以及配置文件的引入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
#nginx的用户和用户组
#user nobody;
# nginx处理并发的数量,值越大,处理并发数量越多
# 通常为cpu数量
worker_processes 1;
#全局错误日志定义 位置 级别([ debug | info | notice | warn | error | crit ])
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#进程文件
#pid logs/nginx.pid;

#一个nginx进程打开的最多文件描述符数目,理论值应该是最多打开文件数(系统的值ulimit -n)与nginx进程数相除,但是nginx分配请求并不均匀,所以建议与ulimit -n的值保持一致.
worker_rlimit_nofile 65535;

events块

主要是影响Nginx服务器与用户网络的连接,常用的配置包括是否开启对多worker process下的网络连接进行序列化,是否允许同时接受多个网络连接,选取那种事件驱动模型来处理连接请求,每个worker process可以同时支持的并发数

1
2
3
4
5
6
7
8
9
events {
#use [ kqueue | rtsig | epoll | /dev/poll | select | poll ];
#epoll模型是Linux内核中的高性能网络I/O模型,如果在mac上面,就用kqueue模型。
use kqueue;
# 每个worker process可以同时支持的连接数为1024
# nginx支持的最大并发数是worker_processes*worker_connections
#如果是作为反向代理服务器的话,最大并发数是worker_processes*worker_connections/2,因为反向代理服务器,每个并发会建立与客户端的连接和与后端的连接,会占用两个连接
worker_connections 1024;
}

http块

Nginx配置中修改最频繁的配置就是http块的配置

http块又分为了http全局块和server块

http全局块

主要配置的是文件的引入、MIME-TYPE定义、日志自定义、连接超时时间、单链接请求上限等

server块主要是虚拟主机的配置

又分为了server全局块和location块

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
http {
# 文件扩展名与文件类型映射表
include mime.types;
# 默认文件类型
default_type application/octet-stream;

#默认编码
#charset utf-8;
#服务器名字的hash表大小
server_names_hash_bucket_size 128;
#上传文件大小限制
client_header_buffer_size 32k;
#设定请求缓冲
large_client_header_buffers 4 64k;
#设定请求缓冲
client_max_body_size 8m;

# 开启目录列表访问,合适下载服务器,默认关闭.
# 显示目录
autoindex on;
# 显示文件大小 默认为on,显示出文件的确切大小,单位是bytes 改为off后,显示出文件的大概大小,单位是kB或者MB或者GB
autoindex_exact_size on;
# 显示文件时间 默认为off,显示的文件时间为GMT时间 改为on后,显示的文件时间为文件的服务器时间
autoindex_localtime on;


#日志格式化
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
# 日志保存 日志的格式使用main
#access_log logs/access.log main;


# sendfile 高效传输文件的模式
sendfile on;
# 将文件一次性一起传输给客户端,提高网络包的传输效率
#tcp_nopush on;
# 开启实时传输,与tcp_nopush相反,只在长连接下有效
#tcp_nodelay on;

#连接超时时间
#keepalive_timeout 0;
keepalive_timeout 65;

# FastCGI相关参数是为了改善网站的性能:减少资源占用,提高访问速度.下面参数看字面意思都能理解.
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;

#gzip压缩
#gzip on;
#允许压缩的页面的最小字节数,页面字节数从header偷得content-length中获取.默认是0,不管页面多大都进行压缩.建议设置成大于1k的字节数,小于1k可能会越压越大
gzip_min_length 1k;
#表示申请4个单位为16k的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果
gzip_buffers 4 16k;
#压缩版本(默认1.1,目前大部分浏览器已经支持gzip解压.前端如果是squid2.5请使用1.0)
gzip_http_version 1.1;
#压缩等级.1压缩比最小,处理速度快.9压缩比最大,比较消耗cpu资源,处理速度最慢,但是因为压缩比最大,所以包最小,传输速度快
gzip_comp_level 2;
#压缩类型,默认就已经包含text/html,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn.
gzip_types text/plain application/x-javascript text/css application/xml;
#选项可以让前端的缓存服务器缓存经过gzip压缩的页面.例如:用squid缓存经过nginx压缩的数据
gzip_vary on;

#实际的服务器列表
#upstream myserver {
# server 127.0.0.1:8080;
# server 127.0.0.1:8082;
#}

# 虚拟主机设置
server {
#监听的端口号
listen 8080;
#访问域名
server_name localhost;
#编码格式
#charset koi8-r;
#虚拟主机访问日志定义
#access_log logs/host.access.log main;
# url匹配
location / {
root html;
index index.html index.htm;
}

#error_page 404 /404.html;

# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
# 禁止访问.ht文件
#location ~ /\.ht {
# 禁止下载
# deny all;
#}
}

server
{
# 监听端口 HTTPS
listen 443 ssl;
server_name ably.com;

# 配置域名证书
ssl_certificate /server/Certs/certificate.crt;
ssl_certificate_key /WebServer/Certs/private.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;

index index.html index.htm index.php;
root /data/www/;
location ~ .*\.(php|php5)?$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf;
}

# 配置地址拦截转发,解决跨域验证问题
location /oauth/{
proxy_pass https://localhost:13580/oauth/;
proxy_set_header HOST $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

# 图片缓存时间设置
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
expires 10d;
}

# JS和CSS缓存时间设置
location ~ .*\.(js|css)?$ {
expires 1h;
}

# 日志格式设定
log_format access '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';
# 定义本虚拟主机的访问日志
access_log /var/log/nginx/access.log access;

# 设定查看Nginx状态的地址.StubStatus模块能够获取Nginx自上次启动以来的工作状态,此模块非核心模块,需要在Nginx编译安装时手工指定才能使用
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd;
#htpasswd文件的内容可以用apache提供的htpasswd工具来产生.
}
}
include servers/*;
}
location配置
匹配规则

location有多种匹配规则[=||*|^~] /url/

  • =表示精确匹配,优先级最高
  • ^~表示uri以某个字符串开头,即^~/spring/ 可以被所有以/spring/开头的匹配到
  • ~为区分大小写的正则匹配,如果使用!~则表示取反,不匹配的正则
  • ~为不区分大小写的正则匹配,如果使用!~\则表示取反,不匹配的正则
  • /通用匹配,任何请求都会匹配到
静态文件路径

可以使用root或alias来指定静态资源文件路径,root可以配置在http块、server块、location块以及if块中,alias只能配置在location块中

root

使用root来表示请求的url时会进行完整的拼接,即如果请求使用的uri是/pic/index.html的话,使用root实际获取的是/data/www/web/pic/index.html

1
2
3
location /pic/ {
root /data/www/web;
}
alias

alias会将location中配置的路径丢弃掉,即即如果请求使用的uri是/pic/index.html的话,使用alias实际获取的是/data/www/web/index.html

1
2
3
location /pic/ {
alias /data/www/web;
}

Nginx常见配置参数

  • server_names_hash_max_size 1024;
  • server_names_hash_bucket_size 512;
  • client_header_buffer_size 32k; # 客户端请求头部的缓冲区大
  • large_client_header_buffers 4 32k;
  • client_max_body_size 10m;#设置最大的允许客户端请求主体的大小(上传文件大小限制), 默认为1m
  • client_body_buffer_size 128k;
  • keepalive_timeout 60; #客户端连接超时时间,单位是秒, 默认是75秒
  • sendfile on; # 开启高效传输模式,默认为off
  • tcp_nopush on;
  • tcp_nodelay on;
  • ssi on; # 开启ssi支持,默认为false
  • ssi_silent_errors on; # 设置为on表示在处理ssi文件时不输出错误信息,默认为false
  • ssi_types text/html; # 默认支持html ,如果需要支持shtml(服务器执行脚本),需要设置为ssi_types text/shtml
  • server_tokens off; # 关闭nginx版本号的显示,默认为on

Nginx优化相关参数

  • worker_processes 2; # 配置生成的worker process数量,一般为cpu核数
  • worker_rlimit_nofile 65536; # 一个nginx进程打开的最多文件描述符数目,一般设置为与系统设定的值相同(ulimit -n)
  • worker_cpu_affinity 01 10;# 为每个进程分配CPU的工作内核
  • use epoll; # 事务模型
1
2
3
4
events {
use epoll; # 事务模型
worker_connections 20000; # 一个nginx进程的连接数,nginx服务器允许的同事连接的客户端最大数量Client = worker_processes * worker_connections/2;
}

Nginx常见用法

依据UA屏蔽爬虫

1
2
3
4
if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou
spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot") {
return 403;
}

屏蔽IP访问

1
2
3
4
allow 133.27.182.82;
allow 113.106.18.0/24;
allow 121.201.104.0/24;
deny all;

使用Auth权限访问

1
2
auth_basic "bbs-auth";
auth_basic_user_file /usr/local/nginx/conf/bbsauthpwd;

限制带宽

1
2
3
4
5
# 用户下载达到 500k 后,便控制其速度在 50k 以内
location /download/ {
limit_rate_after 500k;
limit_rate 50k;
}

限制连接

1
2
3
4
5
6
7
8
9
10
# 定义了一个名为“down”,10M大小,以连接IP为key的连接数据存储空间
limit_conn_zone $binary_remote_addr zone=down:10m;

# 读取名为`down`连接数据存储空间的数据,限制每个key(上面是以ip作为IP) 最大同时连接数为4
location ~ .*\.(rar|zip|apk)?$ {
limit_conn down 4;
limit_rate 150k;
}

limit_conn_log_level notice: 指定当触发limit的时候日志打印级别

限制请求

1
2
3
4
5
6
# 定义一个名为”one”, 10M大小,每秒1个请求的请求数据存储空间
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

# 引用名为“one”的存储空间,burst为等待请求数量数,当等待请求数量超过50个时,则抛出503错误,nodelay 针对的是 burst 参数,burst=50 nodelay 表示这50个请求立马处理,不能延迟,相当于特事特办。不过,即使这20个突发请求立马处理结束,后续来了请求也不会立马处理。burst=50 相当于缓存队列中占了50个坑,即使请求被处理了,这20个位置这只能按 100ms一个来释放
limit_req zone=one burst=50 nodelay;
limit_req_log_level notice: 指定当触发limit的时候日志打印级别

实时显示Nginx运行状况

在安装nginx是编译http_stub_status_module即可,使用参数为–with-http_stub_status_module

1
2
3
4
location /ngx_status {
stub_status on;
access_log on;
}

设置错误页面

1
error_page 404 /404.html

Nginx 常见错误码

  • 301 永久重定向
  • 302 临时重定向
  • 403 禁止访问
  • 404 文件不存在
  • 413 文件上传超过限制
  • 500 服务器错误
  • 502 后台服务器无响应
  • 504 Nginx超时,请求过多,工作进程不足