nginx在工做中已經有好幾個環境在使用了,每次都是從新去網上扒博客,各類編譯配置,今天本身也整理一份安裝文檔和nginx.conf配置選項的說明,留做之後參考。像負載均衡配置(包括健康檢查)、緩存(包括清空緩存)配置實例,請參考 http://seanlook.com/2015/05/17/nginx-install-and-config ,ssl加密請參考 http://seanlook.com/2015/05/28/nginx-ssl/ 。javascript
1. 安裝nginx
1.1 選擇穩定版本
咱們編譯安裝nginx來定製本身的模塊,機器CentOS 6.2 x86_64。首先安裝缺乏的依賴包:css
1
|
|
這些軟件包若是yum上沒有的話能夠下載源碼來編譯安裝,只是要注意編譯時默認安裝的目錄,確保下面在安裝nginx時可以找到這些動態庫文件(ldconfig)。html
從 http://nginx.org/en/download.html 下載穩定版nginx-1.6.3.tar.gz
到/usr/local/src
下解壓。前端
爲了後續準備咱們另外下載2個插件模塊:nginx_upstream_check_module-0.3.0.tar.gz —— 檢查後端服務器的狀態,nginx-goodies-nginx-sticky-module-ng-bd312d586752.tar.gz(建議在/usr/local/src下解壓後將目錄重命名爲nginx-sticky-module-ng-1.2.5
) —— 後端作負載均衡解決session sticky問題(與upstream_check模塊結合使用須要另外打補丁,請參考nginx負載均衡配置實戰)。java
請注意插件與nginx的版本兼容問題,通常插件越新越好,nginx不用追新,穩定第一。nginx-1.4.7,nginx-sticky-module-1.1,nginx_upstream_check_module-0.2.0,這個搭配也沒問題。sticky-1.1與nginx-1.6版本因爲更新沒跟上編譯出錯。(能夠直接使用Tengine,默認就包括了這些模塊)nginx
1
2
3
4
5
6
7
8
|
[root@cachets nginx-
1.6.3]# pwd
/usr/local/src/nginx-
1.6.3
[root@cachets nginx-
1.6.3]# ./configure --prefix=/usr/local/nginx-1.6 --with-pcre \
> --
with-http_stub_status_module --with-http_ssl_module \
> --
with-http_gzip_static_module --with-http_realip_module \
> --add-
module=../nginx_upstream_check_module-0.3.0
[root@cachets nginx-
1.6.3]# make && make install
|
1.2 經常使用編譯選項說明
nginx大部分經常使用模塊,編譯時./configure --help
以--without
開頭的都默認安裝。c++
--prefix=PATH
: 指定nginx的安裝目錄。默認/usr/local/nginx
--conf-path=PATH
: 設置nginx.conf配置文件的路徑。nginx容許使用不一樣的配置文件啓動,經過命令行中的-c選項。默認爲prefix/conf/nginx.conf--user=name
: 設置nginx工做進程的用戶。安裝完成後,能夠隨時在nginx.conf配置文件更改user指令。默認的用戶名是nobody。--group=name
相似--with-pcre
: 設置PCRE庫的源碼路徑,若是已經過yum方式安裝,使用--with-pcre
自動找到庫文件。使用--with-pcre=PATH
時,須要從PCRE網站下載pcre庫的源碼(版本4.4 - 8.30)並解壓,剩下的就交給Nginx的./configure
和make
來完成。perl正則表達式使用在location
指令和ngx_http_rewrite_module
模塊中。--with-zlib=PATH
: 指定 zlib(版本1.1.3 - 1.2.5)的源碼解壓目錄。在默認就啓用的網絡傳輸壓縮模塊ngx_http_gzip_module
時須要使用zlib 。--with-http_ssl_module
: 使用https協議模塊。默認狀況下,該模塊沒有被構建。前提是openssl與openssl-devel已安裝--with-http_stub_status_module
: 用來監控 Nginx 的當前狀態--with-http_realip_module
: 經過這個模塊容許咱們改變客戶端請求頭中客戶端IP地址值(例如X-Real-IP 或 X-Forwarded-For),意義在於可以使得後臺服務器記錄原始客戶端的IP地址--add-module=PATH
: 添加第三方外部模塊,如nginx-sticky-module-ng或緩存模塊。每次添加新的模塊都要從新編譯(Tengine能夠在新加入module時無需從新編譯)
再提供一種編譯方案:git
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
./configure
\
> --prefix=/usr
\
> --sbin-path=/usr/sbin/nginx
\
> --conf-path=/etc/nginx/nginx.conf
\
> --error-log-path=/
var/log/nginx/error.log \
> --http-log-path=/
var/log/nginx/access.log \
> --pid-path=/
var/run/nginx/nginx.pid \
> --lock-path=/
var/lock/nginx.lock \
> --user=nginx
\
> --group=nginx
\
> --
with-http_ssl_module \
> --
with-http_stub_status_module \
> --
with-http_gzip_static_module \
> --http-client-body-temp-path=
/var/tmp/nginx/client/ \
> --http-proxy-temp-path=
/var/tmp/nginx/proxy/ \
> --http-fastcgi-temp-path=
/var/tmp/nginx/fcgi/ \
> --http-uwsgi-temp-path=/
var/tmp/nginx/uwsgi \
> --
with-pcre=../pcre-7.8
> --
with-zlib=../zlib-1.2.3
|
1.3 啓動關閉nginx
1
2
3
4
5
6
7
8
9
10
11
12
|
或 pkill nginx
或 kill -HUP `cat /usr/local/nginx
-1.6/logs/nginx.pid`
|
固然也能夠將 nginx 做爲系統服務管理,下載 nginx 到/etc/init.d/
,修改裏面的路徑而後賦予可執行權限。github
1
|
# service nginx {start|
stop|status|restart|reload|configtest}
|
1.4 yum安裝
—- 2015-05-22更新
yum安裝rpm包會比編譯安裝簡單不少,默認會安裝許多模塊,但缺點是若是你想之後安裝第三方模塊那就沒辦法了。正則表達式
1
2
3
4
5
6
|
# vi /etc/yum.repo.d/nginx.repo
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1
|
剩下的就yum install nginx
搞定,也能夠yum install nginx-1.6.3
安裝指定版本(前提是你去packages裏看到有對應的版本,默認是最新版穩定版)。
2. nginx.conf配置文件
Nginx配置文件主要分紅四部分:main(全局設置)、server(主機設置)、upstream(上游服務器設置,主要爲反向代理、負載均衡相關配置)和 location(URL匹配特定位置後的設置),每部分包含若干個指令。main部分設置的指令將影響其它全部部分的設置;server部分的指令主要用於指定虛擬主機域名、IP和端口;upstream的指令用於設置一系列的後端服務器,設置反向代理及後端服務器的負載均衡;location部分用於匹配網頁位置(好比,根目錄「/」,「/images」,等等)。他們之間的關係式:server繼承main,location繼承server;upstream既不會繼承指令也不會被繼承。它有本身的特殊指令,不須要在其餘地方的應用。
當前nginx支持的幾個指令上下文:
2.1 通用
下面的nginx.conf
簡單的實現nginx在前端作反向代理服務器的例子,處理js、png等靜態文件,jsp等動態請求轉發到其它服務器tomcat:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
|
user www www;
worker_processes 2;
error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
pid logs/nginx.pid;
events {
use epoll;
worker_connections 2048;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
# tcp_nopush on;
keepalive_timeout 65;
# gzip壓縮功能設置
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 6;
gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
gzip_vary on;
# http_proxy 設置
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 75;
proxy_send_timeout 75;
proxy_read_timeout 75;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
proxy_temp_path /usr/local/nginx/proxy_temp 1 2;
# 設定負載均衡後臺服務器列表
upstream backend {
#ip_hash;
server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ;
server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ;
}
# 很重要的虛擬主機配置
server {
listen 80;
server_name itoatest.example.com;
root /apps/oaapp;
charset utf-8;
access_log logs/host.access.log main;
#對 / 全部作負載均衡+反向代理
location / {
root /apps/oaapp;
index index.jsp index.html index.htm;
proxy_pass http://backend;
proxy_redirect off;
# 後端的Web服務器能夠經過X-Forwarded-For獲取用戶真實IP
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
}
#靜態文件,nginx本身處理,不去backend請求tomcat
location ~* /download/ {
root /apps/oa/fs;
}
location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$
{
root /apps/oaapp;
expires 7d;
}
location /nginx_status {
stub_status on;
access_log off;
allow 192.168.10.0/24;
deny all;
}
location ~ ^/(WEB-INF)/ {
deny all;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
## 其它虛擬主機,server 指令開始
}
|
2.2 經常使用指令說明
2.2.1 main全局配置
nginx在運行時與具體業務功能(好比http服務或者email服務代理)無關的一些參數,好比工做進程數,運行的身份等。
-
woker_processes 2
在配置文件的頂級main部分,worker角色的工做進程的個數,master進程是接收並分配請求給worker處理。這個數值簡單一點能夠設置爲cpu的核數grep ^processor /proc/cpuinfo | wc -l
,也是 auto 值,若是開啓了ssl和gzip更應該設置成與邏輯CPU數量同樣甚至爲2倍,能夠減小I/O操做。若是nginx服務器還有其它服務,能夠考慮適當減小。 -
worker_cpu_affinity
也是寫在main部分。在高併發狀況下,經過設置cpu粘性來下降因爲多CPU核切換形成的寄存器等現場重建帶來的性能損耗。如worker_cpu_affinity 0001 0010 0100 1000;
(四核)。 -
worker_connections 2048
寫在events部分。每個worker進程能併發處理(發起)的最大鏈接數(包含與客戶端或後端被代理服務器間等全部鏈接數)。nginx做爲反向代理服務器,計算公式最大鏈接數 = worker_processes * worker_connections/4
,因此這裏客戶端最大鏈接數是1024,這個能夠增到到8192都不要緊,看狀況而定,但不能超事後面的worker_rlimit_nofile
。當nginx做爲http服務器時,計算公式裏面是除以2。 -
worker_rlimit_nofile 10240
寫在main部分。默認是沒有設置,能夠限制爲操做系統最大的限制65535。 -
use epoll
寫在events
部分。在Linux操做系統下,nginx默認使用epoll事件模型,得益於此,nginx在Linux操做系統下效率至關高。同時Nginx在OpenBSD或FreeBSD操做系統上採用相似於epoll的高效事件模型kqueue。在操做系統不支持這些高效模型時才使用select。
2.2.2 http服務器
與提供http服務相關的一些配置參數。例如:是否使用keepalive啊,是否使用gzip進行壓縮等。
-
sendfile on
開啓高效文件傳輸模式,sendfile指令指定nginx是否調用sendfile函數來輸出文件,減小用戶空間到內核空間的上下文切換。對於普通應用設爲 on,若是用來進行下載等應用磁盤IO重負載應用,可設置爲off,以平衡磁盤與網絡I/O處理速度,下降系統的負載。 -
keepalive_timeout 65
: 長鏈接超時時間,單位是秒,這個參數很敏感,涉及瀏覽器的種類、後端服務器的超時設置、操做系統的設置,能夠另外起一片文章了。長鏈接請求大量小文件的時候,能夠減小重建鏈接的開銷,但假若有大文件上傳,65s內沒上傳完成會致使失敗。若是設置時間過長,用戶又多,長時間保持鏈接會佔用大量資源。 -
send_timeout
: 用於指定響應客戶端的超時時間。這個超時僅限於兩個鏈接活動之間的時間,若是超過這個時間,客戶端沒有任何活動,Nginx將會關閉鏈接。 -
client_max_body_size 10m
容許客戶端請求的最大單文件字節數。若是有上傳較大文件,請設置它的限制值 client_body_buffer_size 128k
緩衝區代理緩衝用戶端請求的最大字節數
模塊http_proxy:
這個模塊實現的是nginx做爲反向代理服務器的功能,包括緩存功能(另見文章)
proxy_connect_timeout 60
nginx跟後端服務器鏈接超時時間(代理鏈接超時)-
proxy_read_timeout 60
鏈接成功後,與後端服務器兩個成功的響應操做之間超時時間(代理接收超時) -
proxy_buffer_size 4k
設置代理服務器(nginx)從後端realserver讀取並保存用戶頭信息的緩衝區大小,默認與proxy_buffers大小相同,其實能夠將這個指令值設的小一點 -
proxy_buffers 4 32k
proxy_buffers緩衝區,nginx針對單個鏈接緩存來自後端realserver的響應,網頁平均在32k如下的話,這樣設置 -
proxy_busy_buffers_size 64k
高負荷下緩衝大小(proxy_buffers*2) -
proxy_max_temp_file_size
當 proxy_buffers 放不下後端服務器的響應內容時,會將一部分保存到硬盤的臨時文件中,這個值用來設置最大臨時文件大小,默認1024M,它與 proxy_cache 沒有關係。大於這個值,將從upstream服務器傳回。設置爲0禁用。 -
proxy_temp_file_write_size 64k
當緩存被代理的服務器響應到臨時文件時,這個選項限制每次寫臨時文件的大小。proxy_temp_path
(能夠在編譯的時候)指定寫到哪那個目錄。
proxy_pass,proxy_redirect見 location 部分。
模塊http_gzip:
gzip on
: 開啓gzip壓縮輸出,減小網絡傳輸。gzip_min_length 1k
: 設置容許壓縮的頁面最小字節數,頁面字節數從header頭得content-length中進行獲取。默認值是20。建議設置成大於1k的字節數,小於1k可能會越壓越大。gzip_buffers 4 16k
: 設置系統獲取幾個單位的緩存用於存儲gzip的壓縮結果數據流。4 16k表明以16k爲單位,安裝原始數據大小以16k爲單位的4倍申請內存。gzip_http_version 1.0
: 用於識別 http 協議的版本,早期的瀏覽器不支持 Gzip 壓縮,用戶就會看到亂碼,因此爲了支持前期版本加上了這個選項,若是你用了 Nginx 的反向代理並指望也啓用 Gzip 壓縮的話,因爲末端通訊是 http/1.0,故請設置爲 1.0。gzip_comp_level 6
: gzip壓縮比,1壓縮比最小處理速度最快,9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)gzip_types
:匹配mime類型進行壓縮,不管是否指定,」text/html」類型老是會被壓縮的。gzip_proxied any
: Nginx做爲反向代理的時候啓用,決定開啓或者關閉後端服務器返回的結果是否壓縮,匹配的前提是後端服務器必需要返回包含」Via」的 header頭。gzip_vary on
: 和http頭有關係,會在響應頭加個 Vary: Accept-Encoding ,可讓前端的緩存服務器緩存通過gzip壓縮的頁面,例如,用Squid緩存通過Nginx壓縮的數據。。
2.2.3 server虛擬主機
http服務上支持若干虛擬主機。每一個虛擬主機一個對應的server配置項,配置項裏面包含該虛擬主機相關的配置。在提供mail服務的代理時,也能夠創建若干server。每一個server經過監聽地址或端口來區分。
-
listen
監聽端口,默認80,小於1024的要以root啓動。能夠爲listen *:80
、listen 127.0.0.1:80
等形式。 -
server_name
服務器名,如localhost
、www.example.com
,能夠經過正則匹配。
模塊http_stream
這個模塊經過一個簡單的調度算法來實現客戶端IP到後端服務器的負載均衡,upstream
後接負載均衡器的名字,後端realserver以 host:port options;
方式組織在 {} 中。若是後端被代理的只有一臺,也能夠直接寫在 proxy_pass 。
2.2.4 location
http服務中,某些特定的URL對應的一系列配置項。
-
root /var/www/html
定義服務器的默認網站根目錄位置。若是location
URL匹配的是子目錄或文件,root
沒什麼做用,通常放在server
指令裏面或/
下。 -
index index.jsp index.html index.htm
定義路徑下默認訪問的文件名,通常跟着root
放 -
proxy_pass http:/backend
請求轉向backend定義的服務器列表,即反向代理,對應upstream
負載均衡器。也能夠proxy_pass http://ip:port
。 -
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這四個暫且這樣設,若是深究的話,每個都涉及到很複雜的內容,也將經過另外一篇文章來解讀。
關於location匹配規則的寫法,能夠說尤其關鍵且基礎的,參考文章 nginx配置location總結及rewrite規則寫法;
2.3 其它
2.3.1 訪問控制 allow/deny
Nginx 的訪問控制模塊默認就會安裝,並且寫法也很是簡單,能夠分別有多個allow,deny,容許或禁止某個ip或ip段訪問,依次知足任何一個規則就中止往下匹配。如:
1
2
3
4
5
6
7
8
9
10
|
location /nginx-status {
stub_status on;
access_log off;
# auth_basic "NginxStatus";
# auth_basic_user_file /usr/local/nginx-1.6/htpasswd;
allow 192.168.10.100;
allow 172.29.73.0/24;
deny all;
}
|
咱們也經常使用 httpd-devel 工具的 htpasswd 來爲訪問的路徑設置登陸密碼:
1
2
3
4
5
6
7
|
New passwd:
Re-
type new password:
Adding password
for user admin
|
這樣就生成了默認使用CRYPT加密的密碼文件。打開上面nginx-status的兩行註釋,重啓nginx生效。
2.3.2 列出目錄 autoindex
Nginx默認是不容許列出整個目錄的。如需此功能,打開nginx.conf文件,在location,server 或 http段中加入autoindex on;
,另外兩個參數最好也加上去:
autoindex_exact_size off;
默認爲on,顯示出文件的確切大小,單位是bytes。改成off後,顯示出文件的大概大小,單位是kB或者MB或者GBautoindex_localtime on;
默認爲off,顯示的文件時間爲GMT時間。改成on後,顯示的文件時間爲文件的服務器時間123456location /images {root /var/www/nginx-default/images;autoindex on;autoindex_exact_size off;autoindex_localtime on;}