nginx服務器安裝及配置文件詳解

nginx在工做中已經有好幾個環境在使用了，每次都是從新去網上扒博客，各類編譯配置，今天本身也整理一份安裝文檔和nginx.conf配置選項的說明，留做之後參考。像負載均衡配置（包括健康檢查）、緩存（包括清空緩存）配置實例，請參考http://segmentfault.com/a/1190000002873747 ，ssl加密請參考 http://seanlook.com/2015/05/28/nginx-ssl/ 。

1. 安裝nginx

1.1 選擇穩定版本

咱們編譯安裝nginx來定製本身的模塊，機器CentOS 6.2 x86_64。首先安裝缺乏的依賴包：

# yum -y install gcc gcc-c++ make libtool zlib zlib-devel openssl openssl-devel pcre pcre-devel 

這些軟件包若是yum上沒有的話能夠下載源碼來編譯安裝，只是要注意編譯時默認安裝的目錄，確保下面在安裝nginx時可以找到這些動態庫文件（ldconfig）。

從 http://nginx.org/en/download.html 下載穩定版nginx-1.6.3.tar.gz到/usr/local/src下解壓。

爲了後續準備咱們另外下載2個插件模塊：nginx_upstream_check_module-0.3.0.tar.gz —— 檢查後端服務器的狀態，nginx-goodies-nginx-sticky-module-ng-bd312d586752.tar.gz（建議在/usr/local/src下解壓後將目錄重命名爲nginx-sticky-module-ng-1.2.5） —— 後端作負載均衡解決session sticky問題。

請注意插件與nginx的版本兼容問題，通常插件越新越好，nginx不用追新，穩定第一。nginx-1.4.7，nginx-sticky-module-1.1，nginx_upstream_check_module-0.2.0，這個搭配也沒問題。sticky-1.1與nginx-1.6版本因爲更新沒跟上編譯出錯。（能夠直接使用Tengine，默認就包括了這些模塊）

[root@cachets nginx-1.6.3]# pwd /usr/local/src/nginx-1.6.3 [root@cachets nginx-1.6.3]# ./configure --prefix=/usr/local/nginx-1.6 --with-pcre \ > --with-http_stub_status_module --with-http_ssl_module \ > --with-http_gzip_static_module --with-http_realip_module \ > --add-module=../nginx-sticky-module-ng-1.2.5 --add-module=../nginx_upstream_check_module-0.3.0 [root@cachets nginx-1.6.3]# make && make install 

1.2 經常使用編譯選項說明

nginx大部分經常使用模塊，編譯時./configure --help以--without開頭的都默認安裝。

• --prefix=PATH ： 指定nginx的安裝目錄。默認 /usr/local/nginx
• --conf-path=PATH ： 設置nginx.conf配置文件的路徑。nginx容許使用不一樣的配置文件啓動，經過命令行中的-c選項。默認爲prefix/conf/nginx.conf
• --user=name： 設置nginx工做進程的用戶。安裝完成後，能夠隨時在nginx.conf配置文件更改user指令。默認的用戶名是nobody。--group=name相似
• --with-pcre ： 設置PCRE庫的源碼路徑，若是已經過yum方式安裝，使用--with-pcre自動找到庫文件。使用--with-pcre=PATH時，須要從PCRE網站下載pcre庫的源碼（版本4.4 - 8.30）並解壓，剩下的就交給Nginx的./configure和make來完成。perl正則表達式使用在location指令和 ngx_http_rewrite_module模塊中。
• --with-zlib=PATH ： 指定 zlib（版本1.1.3 - 1.2.5）的源碼解壓目錄。在默認就啓用的網絡傳輸壓縮模塊ngx_http_gzip_module時須要使用zlib 。
• --with-http_ssl_module ： 使用https協議模塊。默認狀況下，該模塊沒有被構建。前提是openssl與openssl-devel已安裝
• --with-http_stub_status_module ： 用來監控 Nginx 的當前狀態
• --with-http_realip_module ： 經過這個模塊容許咱們改變客戶端請求頭中客戶端IP地址值(例如X-Real-IP 或 X-Forwarded-For)，意義在於可以使得後臺服務器記錄原始客戶端的IP地址
• --add-module=PATH ： 添加第三方外部模塊，如nginx-sticky-module-ng或緩存模塊。每次添加新的模塊都要從新編譯（Tengine能夠在新加入module時無需從新編譯）

再提供一種編譯方案：

./configure \
> --prefix=/usr \ > --sbin-path=/usr/sbin/nginx \ > --conf-path=/etc/nginx/nginx.conf \ > --error-log-path=/var/log/nginx/error.log \ > --http-log-path=/var/log/nginx/access.log \ > --pid-path=/var/run/nginx/nginx.pid \ > --lock-path=/var/lock/nginx.lock \ > --user=nginx \ > --group=nginx \ > --with-http_ssl_module \ > --with-http_stub_status_module \ > --with-http_gzip_static_module \ > --http-client-body-temp-path=/var/tmp/nginx/client/ \ > --http-proxy-temp-path=/var/tmp/nginx/proxy/ \ > --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \ > --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \ > --with-pcre=../pcre-7.8 > --with-zlib=../zlib-1.2.3 

1.3 啓動關閉nginx

## 檢查配置文件是否正確 # /usr/local/nginx-1.6/sbin/nginx -t # ./sbin/nginx -V # 能夠看到編譯選項 ## 啓動、關閉 # ./sbin/nginx # 默認配置文件 conf/nginx.conf，-c 指定 # ./sbin/nginx -s stop 或 pkill nginx ## 重啓，不會改變啓動時指定的配置文件 # ./sbin/nginx -s reload 或 kill -HUP `cat /usr/local/nginx-1.6/logs/nginx.pid` 

固然也能夠將 nginx 做爲系統服務管理，下載 nginx 到/etc/init.d/，修改裏面的路徑而後賦予可執行權限。

# service nginx {start|stop|status|restart|reload|configtest} 

1.4 yum安裝

---- 2015-05-22更新
yum安裝rpm包會比編譯安裝簡單不少，默認會安裝許多模塊，但缺點是若是你想之後安裝第三方模塊那就沒辦法了。

# vi /etc/yum.repo.d/nginx.repo [nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=0 enabled=1 

剩下的就yum install nginx搞定，也能夠yum install nginx-1.6.3安裝指定版本（前提是你去packages裏看到有對應的版本，默認是最新版穩定版）。

2. nginx.conf配置文件

Nginx配置文件主要分紅四部分：main（全局設置）、server（主機設置）、upstream（上游服務器設置，主要爲反向代理、負載均衡相關配置）和 location（URL匹配特定位置後的設置），每部分包含若干個指令。main部分設置的指令將影響其它全部部分的設置；server部分的指令主要用於指定虛擬主機域名、IP和端口；upstream的指令用於設置一系列的後端服務器，設置反向代理及後端服務器的負載均衡；location部分用於匹配網頁位置（好比，根目錄「/」,「/images」,等等）。他們之間的關係式：server繼承main，location繼承server；upstream既不會繼承指令也不會被繼承。它有本身的特殊指令，不須要在其餘地方的應用。

當前nginx支持的幾個指令上下文：

2.1 通用

下面的nginx.conf簡單的實現nginx在前端作反向代理服務器的例子，處理js、png等靜態文件，jsp等動態請求轉發到其它服務器tomcat：

user www www; worker_processes 2; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; pid logs/nginx.pid; events { use epoll; worker_connections 2048; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; # tcp_nopush on; keepalive_timeout 65; # gzip壓縮功能設置 gzip on; gzip_min_length 1k; gzip_buffers 4 16k; gzip_http_version 1.0; gzip_comp_level 6; gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml; gzip_vary on; # http_proxy 設置 client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 75; proxy_send_timeout 75; proxy_read_timeout 75; proxy_buffer_size 4k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k; proxy_temp_file_write_size 64k; proxy_temp_path /usr/local/nginx/proxy_temp 1 2; # 設定負載均衡後臺服務器列表 upstream backend { #ip_hash; server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ; server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ; } # 很重要的虛擬主機配置 server { listen 80; server_name itoatest.example.com; root /apps/oaapp; charset utf-8; access_log logs/host.access.log main; #對 / 全部作負載均衡+反向代理 location / { root /apps/oaapp; index index.jsp index.html index.htm; proxy_pass http://backend; proxy_redirect off; # 後端的Web服務器能夠經過X-Forwarded-For獲取用戶真實IP proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504; } #靜態文件，nginx本身處理，不去backend請求tomcat location ~* /download/ { root /apps/oa/fs; } location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$ { root /apps/oaapp; expires 7d; } location /nginx_status { stub_status on; access_log off; allow 192.168.10.0/24; deny all; } location ~ ^/(WEB-INF)/ { deny all; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } ## 其它虛擬主機，server 指令開始 } 

2.2 經常使用指令說明

2.2.1 main全局配置

nginx在運行時與具體業務功能（好比http服務或者email服務代理）無關的一些參數，好比工做進程數，運行的身份等。

• woker_processes 2
  在配置文件的頂級main部分，worker角色的工做進程的個數，master進程是接收並分配請求給worker處理。這個數值簡單一點能夠設置爲cpu的核數grep ^processor /proc/cpuinfo | wc -l，也是 auto 值，若是開啓了ssl和gzip更應該設置成與邏輯CPU數量同樣甚至爲2倍，能夠減小I/O操做。若是nginx服務器還有其它服務，能夠考慮適當減小。

• worker_cpu_affinity
  也是寫在main部分。在高併發狀況下，經過設置cpu粘性來下降因爲多CPU核切換形成的寄存器等現場重建帶來的性能損耗。如worker_cpu_affinity 0001 0010 0100 1000; （四核）。

• worker_connections 2048
  寫在events部分。每個worker進程能併發處理（發起）的最大鏈接數（包含與客戶端或後端被代理服務器間等全部鏈接數）。nginx做爲反向代理服務器，計算公式 最大鏈接數 = worker_processes * worker_connections/4，因此這裏客戶端最大鏈接數是1024，這個能夠增到到8192都不要緊，看狀況而定，但不能超事後面的worker_rlimit_nofile。當nginx做爲http服務器時，計算公式裏面是除以2。

• worker_rlimit_nofile 10240
  寫在main部分。默認是沒有設置，能夠限制爲操做系統最大的限制65535。

• use epoll
  寫在events部分。在Linux操做系統下，nginx默認使用epoll事件模型，得益於此，nginx在Linux操做系統下效率至關高。同時Nginx在OpenBSD或FreeBSD操做系統上採用相似於epoll的高效事件模型kqueue。在操做系統不支持這些高效模型時才使用select。

2.2.2 http服務器

與提供http服務相關的一些配置參數。例如：是否使用keepalive啊，是否使用gzip進行壓縮等。

• sendfile on
  開啓高效文件傳輸模式，sendfile指令指定nginx是否調用sendfile函數來輸出文件，減小用戶空間到內核空間的上下文切換。對於普通應用設爲 on，若是用來進行下載等應用磁盤IO重負載應用，可設置爲off，以平衡磁盤與網絡I/O處理速度，下降系統的負載。

• keepalive_timeout 65 : 長鏈接超時時間，單位是秒，這個參數很敏感，涉及瀏覽器的種類、後端服務器的超時設置、操做系統的設置，能夠另外起一片文章了。長鏈接請求大量小文件的時候，能夠減小重建鏈接的開銷，但假若有大文件上傳，65s內沒上傳完成會致使失敗。若是設置時間過長，用戶又多，長時間保持鏈接會佔用大量資源。

• send_timeout : 用於指定響應客戶端的超時時間。這個超時僅限於兩個鏈接活動之間的時間，若是超過這個時間，客戶端沒有任何活動，Nginx將會關閉鏈接。

• client_max_body_size 10m
  容許客戶端請求的最大單文件字節數。若是有上傳較大文件，請設置它的限制值

• client_body_buffer_size 128k
  緩衝區代理緩衝用戶端請求的最大字節數

模塊http_proxy：
這個模塊實現的是nginx做爲反向代理服務器的功能，包括緩存功能（另見文章）

• proxy_connect_timeout 60
  nginx跟後端服務器鏈接超時時間(代理鏈接超時)

• proxy_read_timeout 60
  鏈接成功後，與後端服務器兩個成功的響應操做之間超時時間(代理接收超時)

• proxy_buffer_size 4k
  設置代理服務器（nginx）從後端realserver讀取並保存用戶頭信息的緩衝區大小，默認與proxy_buffers大小相同，其實能夠將這個指令值設的小一點

• proxy_buffers 4 32k
  proxy_buffers緩衝區，nginx針對單個鏈接緩存來自後端realserver的響應，網頁平均在32k如下的話，這樣設置

• proxy_busy_buffers_size 64k
  高負荷下緩衝大小（proxy_buffers*2）

• proxy_max_temp_file_size
  當proxy_buffers放不下後端服務器的響應內容時，會將一部分保存到硬盤的臨時文件中，這個值用來設置最大臨時文件大小，默認1024M，它與proxy_cache沒有關係。大於這個值，將從upstream服務器傳回。設置爲0禁用。

• proxy_temp_file_write_size 64k
  當緩存被代理的服務器響應到臨時文件時，這個選項限制每次寫臨時文件的大小。proxy_temp_path（能夠在編譯的時候）指定寫到哪那個目錄。

proxy_pass，proxy_redirect見 location 部分。

模塊http_gzip：

• gzip on : 開啓gzip壓縮輸出，減小網絡傳輸。
  
  
  • gzip_min_length 1k ： 設置容許壓縮的頁面最小字節數，頁面字節數從header頭得content-length中進行獲取。默認值是20。建議設置成大於1k的字節數，小於1k可能會越壓越大。
  • gzip_buffers 4 16k ： 設置系統獲取幾個單位的緩存用於存儲gzip的壓縮結果數據流。4 16k表明以16k爲單位，安裝原始數據大小以16k爲單位的4倍申請內存。
  • gzip_http_version 1.0 ： 用於識別 http 協議的版本，早期的瀏覽器不支持 Gzip 壓縮，用戶就會看到亂碼，因此爲了支持前期版本加上了這個選項，若是你用了 Nginx 的反向代理並指望也啓用 Gzip 壓縮的話，因爲末端通訊是 http/1.0，故請設置爲 1.0。
  • gzip_comp_level 6 ： gzip壓縮比，1壓縮比最小處理速度最快，9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)
  • gzip_types ：匹配mime類型進行壓縮，不管是否指定,」text/html」類型老是會被壓縮的。
  • gzip_proxied any ： Nginx做爲反向代理的時候啓用，決定開啓或者關閉後端服務器返回的結果是否壓縮，匹配的前提是後端服務器必需要返回包含」Via」的 header頭。
  • gzip_vary on ： 和http頭有關係，會在響應頭加個 Vary: Accept-Encoding ，可讓前端的緩存服務器緩存通過gzip壓縮的頁面，例如，用Squid緩存通過Nginx壓縮的數據。。

2.2.3 server虛擬主機

http服務上支持若干虛擬主機。每一個虛擬主機一個對應的server配置項，配置項裏面包含該虛擬主機相關的配置。在提供mail服務的代理時，也能夠創建若干server。每一個server經過監聽地址或端口來區分。

• listen
  監聽端口，默認80，小於1024的要以root啓動。能夠爲listen *:80、listen 127.0.0.1:80等形式。

• server_name
  服務器名，如localhost、www.example.com，能夠經過正則匹配。

模塊http_stream
這個模塊經過一個簡單的調度算法來實現客戶端IP到後端服務器的負載均衡，upstream後接負載均衡器的名字，後端realserver以host:port options; 方式組織在 {} 中。若是後端被代理的只有一臺，也能夠直接寫在 proxy_pass 。

2.2.4 location

http服務中，某些特定的URL對應的一系列配置項。

• root /var/www/html
  定義服務器的默認網站根目錄位置。若是locationURL匹配的是子目錄或文件，root沒什麼做用，通常放在server指令裏面或/下。

• index index.jsp index.html index.htm
  定義路徑下默認訪問的文件名，通常跟着root放

• proxy_pass http:/backend
  請求轉向backend定義的服務器列表，即反向代理，對應upstream負載均衡器。也能夠proxy_pass http://ip:port。

• proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  這四個暫且這樣設，若是深究的話，每個都涉及到很複雜的內容，也將經過另外一篇文章來解讀。

關於location匹配規則的寫法，能夠說尤其關鍵且基礎的，參考文章 nginx配置location總結及rewrite規則寫法;

2.3 其它

2.3.1 訪問控制 allow/deny

Nginx 的訪問控制模塊默認就會安裝，並且寫法也很是簡單，能夠分別有多個allow,deny，容許或禁止某個ip或ip段訪問，依次知足任何一個規則就中止往下匹配。如：

location /nginx-status { stub_status on; access_log off; # auth_basic "NginxStatus"; # auth_basic_user_file /usr/local/nginx-1.6/htpasswd; allow 192.168.10.100; allow 172.29.73.0/24; deny all; } 

咱們也經常使用 httpd-devel 工具的 htpasswd 來爲訪問的路徑設置登陸密碼：

# htpasswd -c htpasswd admin New passwd: Re-type new password: Adding password for user admin # htpasswd htpasswd admin //修改admin密碼 # htpasswd htpasswd sean //多添加一個認證用戶 

這樣就生成了默認使用CRYPT加密的密碼文件。打開上面nginx-status的兩行註釋，重啓nginx生效。

2.3.2 列出目錄 autoindex

Nginx默認是不容許列出整個目錄的。如需此功能，打開nginx.conf文件，在location，server 或 http段中加入autoindex on;，另外兩個參數最好也加上去:

• autoindex_exact_size off; 默認爲on，顯示出文件的確切大小，單位是bytes。改成off後，顯示出文件的大概大小，單位是kB或者MB或者GB
• autoindex_localtime on;
  默認爲off，顯示的文件時間爲GMT時間。改成on後，顯示的文件時間爲文件的服務器時間

location /images { root /var/www/nginx-default/images; autoindex on; autoindex_exact_size off; autoindex_localtime on; } 

參考

• http://liuqunying.blog.51cto.com/3984207/1420556
• http://nginx.org/en/docs/ngx_core_module.html#worker_cpu_affinity
• http://wiki.nginx.org/HttpCoreModule#sendfile

---

原文連接地址：http://seanlook.com/2015/05/17/nginx-install-and-config/