web中間件之nginx

web中間件之nginx

1、nginx 

nginx缺點，負載均衡時，nginx和負載的tomcat集羣，session不共享。

apache+tomcat能夠實現session共享。

nginx五種負載均衡模式。

 

 

配置文件一：

uer nginx nginx ;  #Nginx用戶及組：用戶 組。window下不指定
worker_processes 8; #工做進程：數目。根據硬件調整，一般等於CPU數量。
#error_log  logs/error.log  notice;  
error_log  logs/error.log  info;  
pid logs/nginx.pid;
worker_rlimit_nofile 204800; #指定進程能夠打開的最大描述符：數目。 -n）與nginx進程數相除，可是nginx分配請求並非那麼均勻，因此最好與ulimit -n 的值保持一致。如今在Linux 2.6內核下開啓文件打開數爲65535，worker_rlimit_nofile就相應應該填寫65535。這是由於nginx調度時分配請求到進程並非那麼的均衡，因此假如填寫10240，總併發量達到3-4萬時就有進程可能超過10240了，這時會返回502錯誤。
 
events
{
use epoll; #使用epoll的I/O 模型。linux建議epoll，FreeBSD建議採用kqueue，window下不指定。
/* 
補充說明:
與apache相類，nginx針對不一樣的操做系統，有不一樣的事件模型
A）標準事件模型
Select、poll屬於標準事件模型，若是當前系統不存在更有效的方法，nginx會選擇select或poll
B）高效事件模型
Kqueue：使用於FreeBSD 4.1+, OpenBSD 2.9+, NetBSD 2.0 和 MacOS X.使用雙處理器的MacOS X系統使用kqueue可能會形成內核崩潰。
Epoll：使用於Linux內核2.6版本及之後的系統。
Eventport：使用於Solaris 10。 爲了防止出現內核崩潰的問題， 有必要安裝安全補丁。
*/
worker_connections 204800; #沒個工做進程的最大鏈接數量。根據硬件調整，和前面工做進程配合起來用，儘可能大，可是別把cpu跑到100%就行。每一個進程容許的最多鏈接數，理論上每臺nginx服務器的最大鏈接數爲。worker_processes*worker_connections
keepalive_timeout 60; #keepalive超時時間。
client_header_buffer_size 4k; #客戶端請求頭部的緩衝區大小。這個能夠根據你的系統分頁大小來設置，通常一個請求頭的大小不會超過1k，不過因爲通常系統分頁都要大於1k，因此這裏設置爲分頁大小。分頁大小能夠用命令getconf PAGESIZE 取得。但也有client_header_buffer_size超過4k的狀況，可是client_header_buffer_size該值必須設置爲「系統分頁大小」的整倍數。
open_file_cache max=65535 inactive=60s; #這個將爲打開文件指定緩存，默認是沒有啓用的，max指定緩存數量，建議和打開文件數一致，inactive是指通過多長時間文件沒被請求後刪除緩存。
open_file_cache_valid 80s; #這個是指多長時間檢查一次緩存的有效信息。
open_file_cache_min_uses 1; #open_file_cache指令中的inactive參數時間內文件的最少使用次數，若是超過這個數字，文件描述符一直是在緩存中打開的，如上例，若是有一個文件在inactive時間內一次沒被使用，它將被移除。
}


##負載均衡配置 
upstream bakend {
server 127.0.0.1:8027;
server 127.0.0.1:8028;
server 127.0.0.1:8029;
hash $request_uri;
}
/*
nginx的upstream目前支持5種方式的分配
1、輪詢（默認）
每一個請求按時間順序逐一分配到不一樣的後端服務器，若是後端服務器down掉，能自動剔除。
2、weight
指定輪詢概率，weight和訪問比率成正比，用於後端服務器性能不均的狀況。
例如：
upstream bakend {
server 192.168.0.14 weight=80;
server 192.168.0.15 weight=10;
}
3、ip_hash
每一個請求按訪問ip的hash結果分配，這樣每一個訪客固定訪問一個後端服務器，能夠解決session的問題。
例如：
upstream bakend {
ip_hash;
server 192.168.0.14:88;
server 192.168.0.15:80;
}
4、fair（第三方）
按後端服務器的響應時間來分配請求，響應時間短的優先分配。
upstream backend {
server server1;
server server2;
fair;
}
5、url_hash（第三方）
按訪問url的hash結果來分配請求，使每一個url定向到同一個後端服務器，後端服務器爲緩存時比較有效。
例：在upstream中加入hash語句，server語句中不能寫入weight等其餘的參數，hash_method是使用的hash算法
upstream backend {
server squid1:3128;
server squid2:3128;
hash $request_url;
hash_method crc32;
}

upstream bakend{#定義負載均衡設備的Ip及設備狀態}{
ip_hash;
server 127.0.0.1:9090 down;
server 127.0.0.1:8080 weight=2;
server 127.0.0.1:6060;max_fails：10 fail_timeout:10
server 127.0.0.1:7070 backup;
}
在須要使用負載均衡的server中增長
proxy_pass http://bakend/;

每一個設備的狀態設置爲:
1.down表示單前的server暫時不參與負載
2.weight爲weight越大，負載的權重就越大。
3.max_fails：容許請求失敗的次數默認爲1.當超過最大次數時，返回proxy_next_upstream模塊定義的錯誤
4.fail_timeout:max_fails次失敗後，暫停的時間。
5.backup： 其它全部的非backup機器down或者忙的時候，請求backup機器。因此這臺機器壓力會最輕。
nginx支持同時設置多組的負載均衡，用來給不用的server來使用。

client_body_in_file_only設置爲On 能夠講client post過來的數據記錄到文件中用來作debug
client_body_temp_path設置記錄文件的目錄 能夠設置最多3層目錄
location對URL進行匹配.能夠進行重定向或者進行新的代理 負載均衡  */
 
##設定http服務器，利用它的反向代理功能提供負載均衡支持

http

{
server_tokens off; #並不會讓nginx執行的速度更快，但它能夠關閉在錯誤頁面中的nginx版本數字，這樣對於安全性是有好處的。
sendfile on;      #可讓sendfile()發揮做用。sendfile()能夠在磁盤和TCP socket之間互相拷貝數據(或任意兩個文件描述符)。Pre-sendfile是傳送數據以前在用戶空間申請數據緩衝區。以後用read()將數據從 文件拷貝到這個緩衝區，write()將緩衝區數據寫入網絡。sendfile()是當即將數據從磁盤讀到OS緩存。由於這種拷貝是在內核完成 的，sendfile()要比組合read()和write()以及打開關閉丟棄緩衝更加有效(更多有關於sendfile)。
tcp_nopush on;   # 告訴nginx在一個數據包裏發送全部頭文件，而不一個接一個的發送。
tcp_nodelay on;   # 告訴nginx不要緩存數據，而是一段一段的發送--當須要及時發送數據時，就應該給應用設置這個屬性，這樣發送一小塊數據信息時就不能當即獲得返回值。

keepalive_timeout 10;     #給客戶端分配keep-alive連接超時時間。服務器將在這個超時時間事後關閉連接。咱們將它設置低些可讓ngnix持續工做的時間更長。
client_header_timeout 10;  # 設置請求頭和請求體(各自)的超時時間。咱們也能夠把這個設置低些。
client_body_timeout 10; 
reset_timedout_connection on; #告訴nginx關閉不響應的客戶端鏈接。這將會釋放那個客戶端所佔有的內存空間
send_timeout 10;        #指定客戶端的響應超時時間。這個設置不會用於整個轉發器，而是在兩次客戶端讀取操做之間。若是在這段時間內，客戶端沒有讀取任何數據，nginx就會關閉鏈接。

gzip on;              #是告訴nginx採用gzip壓縮的形式發送數據。這將會減小咱們發送的數據量。
gzip_disable "msie6"; #爲指定的客戶端禁用gzip功能。咱們設置成IE6或者更低版本以使咱們的方案可以普遍兼容
# gzip_static on;     # 告訴nginx在壓縮資源以前，先查找是否有預先gzip處理過的資源。這要求你預先壓縮你的文件，從而容許你使用最高壓縮比，這樣nginx就不用再壓縮這些文件了。
gzip_proxied any;     #容許或者禁止壓縮基於請求和響應的響應流。咱們設置爲any，意味着將會壓縮全部的請求。
gzip_min_length 1000; #設置對數據啓用壓縮的最少字節數。若是一個請求小於1000字節，咱們最好不要壓縮它，由於壓縮這些小的數據會下降處理此請求的全部進程的速度。
gzip_comp_level 4;    #設置數據的壓縮等級。這個等級能夠是1-9之間的任意數值，9是最慢可是壓縮比最大的。咱們設置爲4，這是一個比較折中的設置。
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript; #設置須要壓縮的數據格式


include mime.types; #設定mime類型,類型由mime.type文件定義

default_type application/octet-stream;
 
log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

log_format log404 '$status [$time_local] $remote_addr $host$request_uri $sent_http_location';

/*
#日誌格式設置。
$remote_addr與$http_x_forwarded_for用以記錄客戶端的ip地址；
$remote_user：用來記錄客戶端用戶名稱；
$time_local： 用來記錄訪問時間與時區；
$request： 用來記錄請求的url與http協議；
$status： 用來記錄請求狀態；成功是200，
$body_bytes_sent ：記錄發送給客戶端文件主體內容大小；
$http_referer：用來記錄從那個頁面連接訪問過來的；
$http_user_agent：記錄客戶瀏覽器的相關信息；
一般web服務器放在反向代理的後面，這樣就不能獲取到客戶的IP地址了，經過$remote_add拿到的IP地址是反向代理服務器的iP地址。反向代理服務器在轉發請求的http頭信息中，能夠增長x_forwarded_for信息，用以記錄原有客戶端的IP地址和原來客戶端的請求的服務器地址。
*/
access_log  logs/host.access.log  main;
access_log  logs/host.access.404.log  log404; #用了log_format指令設置了日誌格式以後，須要用access_log指令指定日誌文件的存放路徑；

server_names_hash_bucket_size 128; #保存服務器名字的hash表是由指令server_names_hash_max_size 和server_names_hash_bucket_size所控制的。參數hash bucket size老是等於hash表的大小，而且是一路處理器緩存大小的倍數。在減小了在內存中的存取次數後，使在處理器中加速查找hash表鍵值成爲可能。若是hash bucket size等於一路處理器緩存的大小，那麼在查找鍵的時候，最壞的狀況下在內存中查找的次數爲2。第一次是肯定存儲單元的地址，第二次是在存儲單元中查找鍵 值。所以，若是Nginx給出須要增大hash max size 或 hash bucket size的提示，那麼首要的是增大前一個參數的大小.

client_header_buffer_size 4k;  #客戶端請求頭部的緩衝區大小。這個能夠根據你的系統分頁大小來設置，通常一個請求的頭部大小不會超過1k，不過因爲通常系統分頁都要大於1k，因此這裏設置爲分頁大小。分頁大小能夠用命令getconf PAGESIZE取得。
  
large_client_header_buffers 8 128k;   #客戶請求頭緩衝大小。nginx默認會用client_header_buffer_size這個buffer來讀取header值，若是header過大，它會使用large_client_header_buffers來讀取。

open_file_cache max=102400 inactive=20s;  #這個指令指定緩存是否啓用。

client_max_body_size 300m;  #設定經過nginx上傳文件的大小

sendfile on;   #sendfile指令指定 nginx 是否調用sendfile 函數（zero copy 方式）來輸出文件，對於普通應用，必須設爲on。若是用來進行下載等應用磁盤IO重負載應用，可設置爲off，以平衡磁盤與網絡IO處理速度，下降系統uptime。
 
tcp_nopush on;   #此選項容許或禁止使用socke的TCP_CORK的選項，此選項僅在使用sendfile的時候使用
 
proxy_connect_timeout 90;   #後端服務器鏈接的超時時間_發起握手等候響應超時時間

proxy_read_timeout 180;   #鏈接成功後_等候後端服務器響應時間_其實已經進入後端的排隊之中等候處理（也能夠說是後端服務器處理請求的時間）

proxy_send_timeout 180;  #後端服務器數據回傳時間_就是在規定時間以內後端服務器必須傳完全部的數據
 
proxy_buffer_size 256k;  #設置從被代理服務器讀取的第一部分應答的緩衝區大小，一般狀況下這部分應答中包含一個小的應答頭，默認狀況下這個值的大小爲指令proxy_buffers中指定的一個緩衝區的大小，不過能夠將其設置爲更小

proxy_buffers 4 256k;  #設置用於讀取應答（來自被代理服務器）的緩衝區數目和大小，默認狀況也爲分頁大小，根據操做系統的不一樣多是4k或者8k

proxy_busy_buffers_size 256k;

proxy_temp_file_write_size 256k;   #設置在寫入proxy_temp_path時數據的大小，預防一個工做進程在傳遞文件時阻塞太長
 
proxy_temp_path /data0/proxy_temp_dir; #proxy_temp_path和proxy_cache_path指定的路徑必須在同一分區

proxy_cache_path /data0/proxy_cache_dir levels=1:2 keys_zone=cache_one:200m inactive=1d max_size=30g;  #設置內存緩存空間大小爲200MB，1天沒有被訪問的內容自動清除，硬盤緩存空間大小爲30GB。
keepalive_timeout 120;keepalive超時時間。
 
tcp_nodelay on;

client_body_buffer_size 512k;   #若是把它設置爲比較大的數值，例如256k，那麼，不管使用firefox仍是IE瀏覽器，來提交任意小於256k的圖片，都很正常。若是註釋該指令，使用默認的client_body_buffer_size設置，也就是操做系統頁面大小的兩倍，8k或者16k，問題就出現了。不管使用firefox4.0仍是IE8.0，提交一個比較大，200k左右的圖片，都返回500 Internal Server Error錯誤
 
proxy_intercept_errors on;   #表示使nginx阻止HTTP應答代碼爲400或者更高的應答。

 
##配置虛擬機
server
{
listen 80; #配置監聽端口

server_name image.***.com; #配置訪問域名
location ~* \.(mp3|exe)$ {對以「mp3或exe」結尾的地址進行負載均衡

proxy_pass http://img_relay$request_uri; #設置被代理服務器的端口或套接字，以及URL

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #以上三行，目的是將代理服務器收到的用戶的信息傳到真實服務器上

}

location /face {

if ($http_user_agent ~* "xnp") {

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

proxy_pass http://img_relay$request_uri;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

error_page 404 502 = @fetch;

}

location @fetch {

access_log /data/logs/face.log log404;

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

location /image {

if ($http_user_agent ~* "xnp") {

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

proxy_pass http://img_relay$request_uri;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

error_page 404 502 = @fetch;

}

location @fetch {

access_log /data/logs/image.log log404;

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

}

 #設定Nginx狀態訪問地址
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
#auth_basic_user_file conf/htpasswd;
}

}

配置文件二：

net.ipv4.tcp_max_tw_buckets = 6000 #timewait的數量，默認是180000。

net.ipv4.ip_local_port_range = 1024 65000 #容許系統打開的端口範圍。

net.ipv4.tcp_tw_recycle = 1 #啓用timewait快速回收。

net.ipv4.tcp_tw_reuse = 1 #開啓重用。容許將TIME-WAIT sockets從新用於新的TCP鏈接。

net.ipv4.tcp_syncookies = 1 #開啓SYN Cookies，當出現SYN等待隊列溢出時，啓用cookies來處理。

net.core.somaxconn = 262144 #web應用中listen函數的backlog默認會給咱們內核參數的net.core.somaxconn限制到128，而Nginx內核參數定義的NGX_LISTEN_BACKLOG默認爲511，因此有必要調整這個值。

net.core.netdev_max_backlog = 262144 #每一個網絡接口接收數據包的速率比內核處理這些包的速率快時，容許送到隊列的數據包的最大數目。

net.ipv4.tcp_max_orphans = 262144 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。若是超過這個數字，孤兒鏈接將即刻被複位並打印出警告信息。這個限制僅僅是爲了防止簡單的DoS攻擊，不能過度依靠它或者人爲地減少這個值，更應該增長這個值(若是增長了內存以後)。

net.ipv4.tcp_max_syn_backlog = 262144 #記錄的那些還沒有收到客戶端確認信息的鏈接請求的最大值。對於有128M內存的系統而言，缺省值是1024，小內存的系統則是128。

net.ipv4.tcp_timestamps = 0 #時間戳能夠避免序列號的卷繞。一個1Gbps的鏈路確定會遇到之前用過的序列號。時間戳可以讓內核接受這種「異常」的數據包。這裏須要將其關掉。

net.ipv4.tcp_synack_retries = 1 #爲了打開對端的鏈接，內核須要發送一個SYN並附帶一個迴應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄鏈接以前發送SYN+ACK包的數量。

net.ipv4.tcp_syn_retries = 1 #在內核放棄創建鏈接以前發送SYN包的數量。

net.ipv4.tcp_synack_retries = 1#爲了打開對端的鏈接，內核須要發送一個SYN 並附帶一個迴應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄鏈接以前發送SYN+ACK 包的數量。

net.ipv4.tcp_fin_timeout = 1 #若是套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。對端能夠出錯並永遠不關閉鏈接，甚至意外當機。缺省值是60秒。2.2 內核的一般值是180秒，你能夠按這個設置，但要記住的是，即便你的機器是一個輕載的WEB服務器，也有由於大量的死套接字而內存溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，由於它最多隻能吃掉1.5K內存，可是它們的生存期長些。

net.ipv4.tcp_keepalive_time = 30 #當keepalive起用的時候，TCP發送keepalive消息的頻度。缺省是2小時。

net.core.somaxconn = 262144 #web 應用中listen 函數的backlog 默認會給咱們內核參數的net.core.somaxconn限制到128，而nginx 定義的NGX_LISTEN_BACKLOG 默認爲511，因此有必要調整這個值。

net.core.netdev_max_backlog = 262144 #每一個網絡接口接收數據包的速率比內核處理這些包的速率快時，容許送到隊列的數據包的最大數目。

net.ipv4.tcp_max_orphans = 262144 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。若是超過這個數字，孤兒鏈接將即刻被複位並打印出警告信息。這個限制僅僅是爲了防止簡單的DoS攻擊，不能過度依靠它或者人爲地減少這個值，更應該增長這個值(若是增長了內存以後)。

net.ipv4.tcp_max_syn_backlog = 262144 #記錄的那些還沒有收到客戶端確認信息的鏈接請求的最大值。對於有128M內存的系統而言，缺省值是1024，小內存的系統則是128。