Nginx.conf配置,安全优化[ 2 ]
2012-12-18 20:18
555 查看
log_format access2 '[$time_local] $remote_addr $status $request_time $body_bytes_sent "$request" "$http_referer"';
log_format main '$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$gzip_ratio"';
log_format download '$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$http_range" "$sent_http_content_range"';
=====================每天定时切割nginx日志脚本
vim /usr/local/webserver/nginx/sbin/cut_nginx_log.sh
#!/bin/bash
# This script run at 00:00
# The Nginx logs path
logs_path="/usr/local/webserver/nginx/logs/";
mkdir -p ${logs_path}$(date -d "yesterday" + "%Y")/$(date -d "yesterday" + "%m")/
mv ${logs_path}access.log ${logs_path}$(date -d "yesterday" + "%Y")/$(date -d "yesterday" + "%m")/access_$(date -d "yesterday" + "%Y%m%d").log
kill -USR1 'cat /usr/local/webserver/nginx/nginx.pid'
chown -R www:www cut_nginx_log.sh
chmod +x cut_nginx_log.sh
crontab -e
00 00 * * * /bin/bash /usr/local/webserver/nginx/sbin/cut_nginx_log.sh
#/sbin/service crond restart
=============================== conf 配置头文件
user www www;
worker_processes 1;
error_log /usr/local/nginx/logs/nginx_error.log crit;
pid /usr/local/nginx/logs/nginx.pid;
#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 51200;
events
{
use epoll;
worker_connections 51200;
}
=================================== http核心模块
user www www;
worker_processes 8;
error_log /data/logs/nginx/nginx_error.log crit;
pid /usr/local/webserver/nginx/nginx.pid;
#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 65535;
events
{
use epoll;
worker_connections 65535;
}
http
{
include mime.types;
default_type application/octet-stream;
charset utf-8;
server_names_hash_bucket_size 128;
client_header_buffer_size 128k;
large_client_header_buffers 4 128k;
client_max_body_size 8m; #指令指定允许客户端连接的最大请求实体大小,它出现在请求头部的Content-Length字段。
sendfile on;
tcp_nopush on;
keepalive_timeout 60; #参数的第一个值指定了客户端与服务器长连接的超时时间,超过这个时间,服务器将关闭连接。
tcp_nodelay on;
fastcgi_connect_timeout 60;
fastcgi_send_timeout 60;
fastcgi_read_timeout 60;
fastcgi_buffer_size 256k;
fastcgi_buffers 8 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
语法:fastcgi_intercept_errors on|off
默认值:fastcgi_intercept_errors off
使用字段:http, server, location
这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。
你必须明确的在error_page中指定处理方法使这个参数有效,正如Igor所说“如果没有适当的处理方法,nginx不会拦截一个错误,这个错误不会显示自己的默认页面,这里允许通过某些方法拦截错误。
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 2;
gzip_types text/plain application/x-javascript text/css application/xml;
gzip_vary on;
#limit_zone crawler $binary_remote_addr 10m;
log_format access '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';
#upstream member {
# server 192.168.1.203:80;
# }
#include vhost/*.conf;
----------------- server核心模块
server
{
listen 80;
server_name www.***.com ;
index index.html index.htm index.php;
root /data/www/***/webroot;
location / {
index index.php index.html index.htm;
if (-f $request_filename) {
break;
}
if (-d $request_filename) {
break;
}
rewrite ^(.+)$ /index.php?q=$1 last;
}
location / {
return 404;
}
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
# rewrite ^(.+)$ index.php?q=$1 last;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
access_log off;
expires 30d;
}
location ~ .*\.(js|css)$
{
access_log off;
expires 30d;
}
#access_log /data/logs/nginx/binhaixian.access.log access;
}
----------------FastCGI模块
fastcgi_connect_timeout 60;#默认值为60.指定同FastCGI服务器的连接超时时间,这个值不能超过75秒 。
fastcgi_send_timeout 300;#指令为上游服务器设置等待一个FastCGI进程的传送数据时间,如果有一些直到它们运行完才有输出的长时间运行的FastCGI进程,那么可以修改这个值,如果你在上游服务器的error log里面发现一些超时错误,那么可以恰当的增加这个值。指令指定请求服务器的超时时间,指完成了2次握手的连接,而不是完整的连接 ,如果在这期间客户端没有进行数据传递,那么服务器将关闭这个连接。
fastcgi_read_timeout 300;#默认值为60.前端FastCGI服务器的响应超时时间,如果有一些直到它们运行完才有输出的长时间运行的FastCGI进程,或者在错误日志中出现前端服务器响应超时错误,可能需要调整这个值。
fastcgi_buffer_size 64k; #这个参数指定将用多大的缓冲区来读取从FastCGI进程到来应答头。默认的缓冲区大小为fastcgi_buffers指令中的每块大小 ,可以将这个值设置更小。
fastcgi_buffers 4 64k; #这个参数指定了从FastCGI进程到来的应答,本地将用多少和多大的缓冲区读取。
默认这个参数等于分页大小 ,根据环境的不同可能是4K, 8K或16K。
#getconf PAGESIZE 得到分页大小,返回的单位为bytes
4096
例如fastcgi_buffers 256 4k; # 设置缓冲区大小为4k + 256 * 4k = 1028k。这意味着所有FastCGI返回的应答,nginx将超过1M的部分写入磁盘,1M以内的部分写入内存。
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
fastcgi_pass 127.0.0.1:9000; #指定FastCGI服务器监听端口与地址,可以是本机或者其它
fastcgi_index index.php;
include fcgi.conf;
------------------------------------------ location设置优先级
(location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)
只要匹配到,其它的都会忽略,然后返回到改匹配。
如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。
------------------------------------------ 一个error对应一个slow log
#php-fpm.log
May 27 11:50:44. 120263 [ERROR ] fpm_trace_get_long(), line 78: ptrace(PEEKDATA) failed: Input/output error (5)
#php-fpm-slow.log
May 27 11:50:44. 120041 pid 25314 (pool default)
script_filename = /data/www/***/webroot/index.php
[0xbf923f60] closedir() /data/www/cakephp/cake/libs/folder.php:191
[0xbf9241b0] read() /data/www/cakephp/cake/libs/folder.php:465
[0xbf924610] __tree() /data/www/cakephp/cake/libs/folder.php:441
[0xbf924c80] tree() /data/www/cakephp/cake/libs/configure.php:1029
[0xbf9259e0] __find(
) /data/www/cakephp/cake/libs/configure.php:954
[0xbf925b60] import() /data/www/***/config/bootstrap.php:52
[0xbf9263a0] +++ dump failed
--------------nginx 配置 gzip压缩
一般情况下压缩后的html、css、js、php、jhtml等文件,大小能降至原来的25%,也就是说,原本一个100k的html,压缩后只剩下25k。这无疑能节省很多带宽,也能降低服务器的负载。
在nginx中配置gzip比较简单
一般情况下只要在nginx.conf的http段中加入下面几行配置即可
引用
gzip on;
gzip_min_length 1024;# 设置被压缩的最小请求,单位为bytes。少于这个值大小的请求将不会被压缩,这个值由请求头中的Content-Length字段决定。 建议值为1k;
gzip_buffers 4 8k; #指定缓存压缩应答的缓冲区数量和大小,如果不设置,一个缓存区的大小为分页大小,根据环境的不同可能是4k或8k。以8k为单位,按照原始数据大小以8k为单位的4倍申请内存。
gzip_http_version 1.0;
gzip_types text/plain application/x-javascript text/css text/html application/xml;#为除“text/html”之外的MIME类型启用压缩,“text/html”总是会被压缩 。
gzip_comp_level 2;#指定压缩等级,其值从1到9,1为最小化压缩(处理速度快),9为最大化压缩(处理速度慢)。
gzip_vary on;#启用应答头“Vary: Accept-Encoding”,注意,由于一个bug将导致IE 4-6无法缓存内容。
重启nginx
可以通过网页gzip检测工具来检测网页是否启用了gzip
http://gzip.zzbaike.com/ ---------------重定向nginx错误页面的方法
error_page 404 /404.html;
error_page 403 /error.html;
这个404.html保证在nginx主目录下的html目录中即可,如果需要在出现404错误后直接跳转到另外一个地址,可以直接设置如下:
error_page 404 http://www.***.net ;
同样的方式可以定义常见的403、500等错误。
特别注意的是404.html文件页面大小要超过512k,不然会被ie浏览器替换为ie默认的错误页面。
#502 等错误可以用同样的方法来配置。
error_page 500 502 503 504 = /50x.html;
------------------------------虚拟主机配置
server {
listen 80;
server_name localhost;
access_log /var/log/nginx/localhost.access.log;
location / {
root /var/www/nginx-default;
index index.php index.html index.htm;
}
location /doc {
root /usr/share;
autoindex on;
allow 127.0.0.1;
deny all;
}
location /images {
root /usr/share;
autoindex on;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/nginx-default$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
}
}
server {
listen 80;
server_name sdsssdf.localhost.com;
access_log /var/log/nginx/localhost.access.log;
location / {
root /var/www/nginx-default/console;
index index.php index.html index.htm;
}
location /doc {
root /usr/share;
autoindex on;
allow 127.0.0.1;
deny all;
}
location /images {
root /usr/share;
autoindex on;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/nginx-default$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
}
}
----------------------监控
location ~ ^/NginxStatus/ {
stub_status on; #Nginx 状态监控配置
}
这样通过 http://localhost/NginxStatus/(最后的/不能掉) 监控到 Nginx 的运行信息:
Active connections: 1
server accepts handled requests
1 1 5
Reading: 0 Writing: 1 Waiting: 0
NginxStatus 显示的内容意思如下:
active connections – 当前 Nginx 正处理的活动连接数。
server accepts handled requests -- 总共处理了 14553819 个连接 , 成功创建 14553819 次握手 ( 证明中间没有失败的 ), 总共处理了 19239266 个请求 ( 平均每次握手处理了 1.3 个数据请求 )。
reading -- nginx 读取到客户端的 Header 信息数。
writing -- nginx 返回给客户端的 Header 信息数。
waiting -- 开启 keep-alive 的情况下,这个值等于 active - (reading + writing),意思就是 Nginx 已经处理完正在等候下一次请求指令的驻留连接。
-------------------------------静态文件处理
通过正则表达式,我们可让 Nginx 识别出各种静态文件
location ~ \.(htm|html|gif|jpg|jpeg|png|bmp|ico|css|js|txt)$ {
root /var/www/nginx-default/html;
access_log off;
expires 24h;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)?$
{
#root /var/www/ttt/www/static/cache/;
access_log off;
expires 30d;
}
location ~ .*\.(js|css|html)?$
{
#root /var/www/ttt/www/static/cache/;
access_log off;
expires 7d;
}
对于例如图片、静态 HTML 文件、js 脚本文件和 css 样式文件等,我们希望 Nginx 直接处理并返回给浏览器,这样可以大大的加快网页浏览时的速度。因此对于这类文件我们需要通过 root 指令来指定文件的存放路径 ,同时因为这类文件并不常修改,通过
expires 1 January, 1970, 00:00:01 GMT;
expires 60s;
expires 30m;
expires 24h;
expires 1d;
expires max;
expires off;
这样当你输入http://192.168.200.100/1.html的时候会自动跳转到var/www/nginx-default/html/1.html
例如 images 路径下的所有请求可以写为:
location ~ ^/images/ {
root /opt/webapp/images;
}
------------------------动态页面请求处理[集群]
Nginx 本身并不支持现在流行的 JSP、ASP、PHP、PERL 等动态页面,但是它可以通过反向代理将请求发送到后端的服务器,例如 Tomcat、Apache、IIS 等来完成动态页面的请求处理。前面的配置示例中,我们首先定义了由 Nginx 直接处理的一些静态文件请求后,其他所有的请求通过 proxy_pass 指令传送给后端的服务器 (在上述例子中是 Tomcat)。最简单的
location / {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
}
这里我们没有使用到集群,而是将请求直接送到运行在 8080 端口的 Tomcat 服务上来完成类似 JSP 和 Servlet 的请求处理。
当页面的访问量非常大的时候,往往需要多个应用服务器来共同承担动态页面的执行操作,这时我们就需要使用集群的架构。 Nginx 通过
# 集群中的所有后台服务器的配置信息
upstream tomcats {
server 192.168.0.11:8080 weight=10;
server 192.168.0.11:8081 weight=10;
server 192.168.0.12:8080 weight=10;
server 192.168.0.12:8081 weight=10;
server 192.168.0.13:8080 weight=10;
server 192.168.0.13:8081 weight=10;
}
location / {
proxy_pass http://tomcats;# 反向代理
include proxy.conf;
}
----------------------压力测试
wget http://blog.s135.com/soft/linux/webbench/webbench-1.5.tar.gz
tar zxvf webbench-1.5.tar.gz
cd webbench-1.5
make && make install
#webbench -c 100 -t 10 http://192.168.200.100/info.php 参数说明:-c表示并发数,-t表示持续时间(秒)
root@ubuntu-desktop:/etc/nginx/sites-available# webbench -c 100 -t 10 http://192.168.200.100/info.php
Webbench - Simple Web Benchmark 1.5
Copyright (c) Radim Kolar 1997-2004, GPL Open Source Software.
Benchmarking: GET http://192.168.200.100/info.php
100 clients, running 10 sec.
Speed=19032 pages/min, 18074373 bytes/sec.
Requests: 3172 susceed, 0 failed.
-------------------------------PPC提供nginx详细配置说明
#运行用户
user nobody nobody;
#启动进程
worker_processes 2;
#全局错误日志及PID文件
error_log logs/error.log notice;
pid logs/nginx.pid;
#工作模式及连接数上限
events{use epoll;
worker_connections 1024;}#设定http服务器,利用它的反向代理功能提供负载均衡支持
http{#设定mime类型
include conf/mime.types;
default_type application/octet-stream;
#设定日志格式
log_format main'$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$gzip_ratio"';
log_format download'$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$http_range" "$sent_http_content_range"';
#设定请求缓冲
client_header_buffer_size 1k;
large_client_header_buffers 4 4k;
#开启gzip模块
gzip on;
gzip_min_length 1100;
gzip_buffers 4 8k;
gzip_types text/plain;
output_buffers 1 32k;
postpone_output 1460;
#设定access log
access_log logs/access.log main;
client_header_timeout 3m;
client_body_timeout 3m;
send_timeout 3m;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
#设定负载均衡的服务器列表
upstream mysvr{#weigth参数表示权值,权值越高被分配到的几率越大
#本机上的Squid开启3128端口
server 192.168.8.1:3128 weight=5;
server 192.168.8.2:80 weight=1;
server 192.168.8.3:80 weight=6;
}
#设定虚拟主机
server{listen 80;
server_name 192.168.8.1 www.okpython.com;
charset gb2312;
#设定本虚拟主机的访问日志
access_log logs/www.yejr.com.access.log main;
#如果访问 /img/*, /js/*, /css/* 资源,则直接取本地文件,不通过squid
#如果这些文件较多,不推荐这种方式,因为通过squid的缓存效果更好
location ~ ^/(img|js|css)/ {
root /data3/Html;
expires 24h;
}
#对 "/" 启用负载均衡
location / {
proxy_pass http://mysvr;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
#设定查看Nginx状态的地址
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd; #conf/htpasswd 文件的内容用 apache 提供的 htpasswd 工具来产生即可
}
}
}
log_format main '$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$gzip_ratio"';
log_format download '$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$http_range" "$sent_http_content_range"';
=====================每天定时切割nginx日志脚本
vim /usr/local/webserver/nginx/sbin/cut_nginx_log.sh
#!/bin/bash
# This script run at 00:00
# The Nginx logs path
logs_path="/usr/local/webserver/nginx/logs/";
mkdir -p ${logs_path}$(date -d "yesterday" + "%Y")/$(date -d "yesterday" + "%m")/
mv ${logs_path}access.log ${logs_path}$(date -d "yesterday" + "%Y")/$(date -d "yesterday" + "%m")/access_$(date -d "yesterday" + "%Y%m%d").log
kill -USR1 'cat /usr/local/webserver/nginx/nginx.pid'
chown -R www:www cut_nginx_log.sh
chmod +x cut_nginx_log.sh
crontab -e
00 00 * * * /bin/bash /usr/local/webserver/nginx/sbin/cut_nginx_log.sh
#/sbin/service crond restart
=============================== conf 配置头文件
user www www;
worker_processes 1;
error_log /usr/local/nginx/logs/nginx_error.log crit;
pid /usr/local/nginx/logs/nginx.pid;
#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 51200;
events
{
use epoll;
worker_connections 51200;
}
=================================== http核心模块
user www www;
worker_processes 8;
error_log /data/logs/nginx/nginx_error.log crit;
pid /usr/local/webserver/nginx/nginx.pid;
#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 65535;
events
{
use epoll;
worker_connections 65535;
}
http
{
include mime.types;
default_type application/octet-stream;
charset utf-8;
server_names_hash_bucket_size 128;
client_header_buffer_size 128k;
large_client_header_buffers 4 128k;
client_max_body_size 8m; #指令指定允许客户端连接的最大请求实体大小,它出现在请求头部的Content-Length字段。
sendfile on;
tcp_nopush on;
keepalive_timeout 60; #参数的第一个值指定了客户端与服务器长连接的超时时间,超过这个时间,服务器将关闭连接。
tcp_nodelay on;
fastcgi_connect_timeout 60;
fastcgi_send_timeout 60;
fastcgi_read_timeout 60;
fastcgi_buffer_size 256k;
fastcgi_buffers 8 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
语法:fastcgi_intercept_errors on|off
默认值:fastcgi_intercept_errors off
使用字段:http, server, location
这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。
你必须明确的在error_page中指定处理方法使这个参数有效,正如Igor所说“如果没有适当的处理方法,nginx不会拦截一个错误,这个错误不会显示自己的默认页面,这里允许通过某些方法拦截错误。
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 2;
gzip_types text/plain application/x-javascript text/css application/xml;
gzip_vary on;
#limit_zone crawler $binary_remote_addr 10m;
log_format access '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';
#upstream member {
# server 192.168.1.203:80;
# }
#include vhost/*.conf;
----------------- server核心模块
server
{
listen 80;
server_name www.***.com ;
index index.html index.htm index.php;
root /data/www/***/webroot;
location / {
index index.php index.html index.htm;
if (-f $request_filename) {
break;
}
if (-d $request_filename) {
break;
}
rewrite ^(.+)$ /index.php?q=$1 last;
}
location / {
return 404;
}
location ~ .*\.(php|php5)?$
{
#fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
# rewrite ^(.+)$ index.php?q=$1 last;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
access_log off;
expires 30d;
}
location ~ .*\.(js|css)$
{
access_log off;
expires 30d;
}
#access_log /data/logs/nginx/binhaixian.access.log access;
}
----------------FastCGI模块
fastcgi_connect_timeout 60;#默认值为60.指定同FastCGI服务器的连接超时时间,这个值不能超过75秒 。
fastcgi_send_timeout 300;#指令为上游服务器设置等待一个FastCGI进程的传送数据时间,如果有一些直到它们运行完才有输出的长时间运行的FastCGI进程,那么可以修改这个值,如果你在上游服务器的error log里面发现一些超时错误,那么可以恰当的增加这个值。指令指定请求服务器的超时时间,指完成了2次握手的连接,而不是完整的连接 ,如果在这期间客户端没有进行数据传递,那么服务器将关闭这个连接。
fastcgi_read_timeout 300;#默认值为60.前端FastCGI服务器的响应超时时间,如果有一些直到它们运行完才有输出的长时间运行的FastCGI进程,或者在错误日志中出现前端服务器响应超时错误,可能需要调整这个值。
fastcgi_buffer_size 64k; #这个参数指定将用多大的缓冲区来读取从FastCGI进程到来应答头。默认的缓冲区大小为fastcgi_buffers指令中的每块大小 ,可以将这个值设置更小。
fastcgi_buffers 4 64k; #这个参数指定了从FastCGI进程到来的应答,本地将用多少和多大的缓冲区读取。
默认这个参数等于分页大小 ,根据环境的不同可能是4K, 8K或16K。
#getconf PAGESIZE 得到分页大小,返回的单位为bytes
4096
例如fastcgi_buffers 256 4k; # 设置缓冲区大小为4k + 256 * 4k = 1028k。这意味着所有FastCGI返回的应答,nginx将超过1M的部分写入磁盘,1M以内的部分写入内存。
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
fastcgi_pass 127.0.0.1:9000; #指定FastCGI服务器监听端口与地址,可以是本机或者其它
fastcgi_index index.php;
include fcgi.conf;
------------------------------------------ location设置优先级
(location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)
只要匹配到,其它的都会忽略,然后返回到改匹配。
如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。
------------------------------------------ 一个error对应一个slow log
#php-fpm.log
May 27 11:50:44. 120263 [ERROR ] fpm_trace_get_long(), line 78: ptrace(PEEKDATA) failed: Input/output error (5)
#php-fpm-slow.log
May 27 11:50:44. 120041 pid 25314 (pool default)
script_filename = /data/www/***/webroot/index.php
[0xbf923f60] closedir() /data/www/cakephp/cake/libs/folder.php:191
[0xbf9241b0] read() /data/www/cakephp/cake/libs/folder.php:465
[0xbf924610] __tree() /data/www/cakephp/cake/libs/folder.php:441
[0xbf924c80] tree() /data/www/cakephp/cake/libs/configure.php:1029
[0xbf9259e0] __find(
) /data/www/cakephp/cake/libs/configure.php:954
[0xbf925b60] import() /data/www/***/config/bootstrap.php:52
[0xbf9263a0] +++ dump failed
--------------nginx 配置 gzip压缩
一般情况下压缩后的html、css、js、php、jhtml等文件,大小能降至原来的25%,也就是说,原本一个100k的html,压缩后只剩下25k。这无疑能节省很多带宽,也能降低服务器的负载。
在nginx中配置gzip比较简单
一般情况下只要在nginx.conf的http段中加入下面几行配置即可
引用
gzip on;
gzip_min_length 1024;# 设置被压缩的最小请求,单位为bytes。少于这个值大小的请求将不会被压缩,这个值由请求头中的Content-Length字段决定。 建议值为1k;
gzip_buffers 4 8k; #指定缓存压缩应答的缓冲区数量和大小,如果不设置,一个缓存区的大小为分页大小,根据环境的不同可能是4k或8k。以8k为单位,按照原始数据大小以8k为单位的4倍申请内存。
gzip_http_version 1.0;
gzip_types text/plain application/x-javascript text/css text/html application/xml;#为除“text/html”之外的MIME类型启用压缩,“text/html”总是会被压缩 。
gzip_comp_level 2;#指定压缩等级,其值从1到9,1为最小化压缩(处理速度快),9为最大化压缩(处理速度慢)。
gzip_vary on;#启用应答头“Vary: Accept-Encoding”,注意,由于一个bug将导致IE 4-6无法缓存内容。
重启nginx
可以通过网页gzip检测工具来检测网页是否启用了gzip
http://gzip.zzbaike.com/ ---------------重定向nginx错误页面的方法
error_page 404 /404.html;
error_page 403 /error.html;
这个404.html保证在nginx主目录下的html目录中即可,如果需要在出现404错误后直接跳转到另外一个地址,可以直接设置如下:
error_page 404 http://www.***.net ;
同样的方式可以定义常见的403、500等错误。
特别注意的是404.html文件页面大小要超过512k,不然会被ie浏览器替换为ie默认的错误页面。
#502 等错误可以用同样的方法来配置。
error_page 500 502 503 504 = /50x.html;
------------------------------虚拟主机配置
server {
listen 80;
server_name localhost;
access_log /var/log/nginx/localhost.access.log;
location / {
root /var/www/nginx-default;
index index.php index.html index.htm;
}
location /doc {
root /usr/share;
autoindex on;
allow 127.0.0.1;
deny all;
}
location /images {
root /usr/share;
autoindex on;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/nginx-default$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
}
}
server {
listen 80;
server_name sdsssdf.localhost.com;
access_log /var/log/nginx/localhost.access.log;
location / {
root /var/www/nginx-default/console;
index index.php index.html index.htm;
}
location /doc {
root /usr/share;
autoindex on;
allow 127.0.0.1;
deny all;
}
location /images {
root /usr/share;
autoindex on;
}
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/nginx-default$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
}
}
----------------------监控
location ~ ^/NginxStatus/ {
stub_status on; #Nginx 状态监控配置
}
这样通过 http://localhost/NginxStatus/(最后的/不能掉) 监控到 Nginx 的运行信息:
Active connections: 1
server accepts handled requests
1 1 5
Reading: 0 Writing: 1 Waiting: 0
NginxStatus 显示的内容意思如下:
active connections – 当前 Nginx 正处理的活动连接数。
server accepts handled requests -- 总共处理了 14553819 个连接 , 成功创建 14553819 次握手 ( 证明中间没有失败的 ), 总共处理了 19239266 个请求 ( 平均每次握手处理了 1.3 个数据请求 )。
reading -- nginx 读取到客户端的 Header 信息数。
writing -- nginx 返回给客户端的 Header 信息数。
waiting -- 开启 keep-alive 的情况下,这个值等于 active - (reading + writing),意思就是 Nginx 已经处理完正在等候下一次请求指令的驻留连接。
-------------------------------静态文件处理
通过正则表达式,我们可让 Nginx 识别出各种静态文件
location ~ \.(htm|html|gif|jpg|jpeg|png|bmp|ico|css|js|txt)$ {
root /var/www/nginx-default/html;
access_log off;
expires 24h;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)?$
{
#root /var/www/ttt/www/static/cache/;
access_log off;
expires 30d;
}
location ~ .*\.(js|css|html)?$
{
#root /var/www/ttt/www/static/cache/;
access_log off;
expires 7d;
}
对于例如图片、静态 HTML 文件、js 脚本文件和 css 样式文件等,我们希望 Nginx 直接处理并返回给浏览器,这样可以大大的加快网页浏览时的速度。因此对于这类文件我们需要通过 root 指令来指定文件的存放路径 ,同时因为这类文件并不常修改,通过
expires指令来控制其在浏览器的缓存,以减少不必要的请求。
expires指令可以控制 HTTP 应答中的“ Expires ”和“ Cache-Control ”的头标(起到控制页面缓存的作用)。您可以使用例如以下的格式来书写 Expires:
expires 1 January, 1970, 00:00:01 GMT;
expires 60s;
expires 30m;
expires 24h;
expires 1d;
expires max;
expires off;
这样当你输入http://192.168.200.100/1.html的时候会自动跳转到var/www/nginx-default/html/1.html
例如 images 路径下的所有请求可以写为:
location ~ ^/images/ {
root /opt/webapp/images;
}
------------------------动态页面请求处理[集群]
Nginx 本身并不支持现在流行的 JSP、ASP、PHP、PERL 等动态页面,但是它可以通过反向代理将请求发送到后端的服务器,例如 Tomcat、Apache、IIS 等来完成动态页面的请求处理。前面的配置示例中,我们首先定义了由 Nginx 直接处理的一些静态文件请求后,其他所有的请求通过 proxy_pass 指令传送给后端的服务器 (在上述例子中是 Tomcat)。最简单的
proxy_pass用法如下:
location / {
proxy_pass http://localhost:8080;
proxy_set_header X-Real-IP $remote_addr;
}
这里我们没有使用到集群,而是将请求直接送到运行在 8080 端口的 Tomcat 服务上来完成类似 JSP 和 Servlet 的请求处理。
当页面的访问量非常大的时候,往往需要多个应用服务器来共同承担动态页面的执行操作,这时我们就需要使用集群的架构。 Nginx 通过
upstream指令来定义一个服务器的集群,最前面那个完整的例子中我们定义了一个名为 tomcats 的集群,这个集群中包括了三台服务器共 6 个 Tomcat 服务。而 proxy_pass 指令的写法变成了:
# 集群中的所有后台服务器的配置信息
upstream tomcats {
server 192.168.0.11:8080 weight=10;
server 192.168.0.11:8081 weight=10;
server 192.168.0.12:8080 weight=10;
server 192.168.0.12:8081 weight=10;
server 192.168.0.13:8080 weight=10;
server 192.168.0.13:8081 weight=10;
}
location / {
proxy_pass http://tomcats;# 反向代理
include proxy.conf;
}
----------------------压力测试
wget http://blog.s135.com/soft/linux/webbench/webbench-1.5.tar.gz
tar zxvf webbench-1.5.tar.gz
cd webbench-1.5
make && make install
#webbench -c 100 -t 10 http://192.168.200.100/info.php 参数说明:-c表示并发数,-t表示持续时间(秒)
root@ubuntu-desktop:/etc/nginx/sites-available# webbench -c 100 -t 10 http://192.168.200.100/info.php
Webbench - Simple Web Benchmark 1.5
Copyright (c) Radim Kolar 1997-2004, GPL Open Source Software.
Benchmarking: GET http://192.168.200.100/info.php
100 clients, running 10 sec.
Speed=19032 pages/min, 18074373 bytes/sec.
Requests: 3172 susceed, 0 failed.
-------------------------------PPC提供nginx详细配置说明
#运行用户
user nobody nobody;
#启动进程
worker_processes 2;
#全局错误日志及PID文件
error_log logs/error.log notice;
pid logs/nginx.pid;
#工作模式及连接数上限
events{use epoll;
worker_connections 1024;}#设定http服务器,利用它的反向代理功能提供负载均衡支持
http{#设定mime类型
include conf/mime.types;
default_type application/octet-stream;
#设定日志格式
log_format main'$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$gzip_ratio"';
log_format download'$remote_addr - $remote_user [$time_local] ''"$request" $status $bytes_sent ''"$http_referer" "$http_user_agent" ''"$http_range" "$sent_http_content_range"';
#设定请求缓冲
client_header_buffer_size 1k;
large_client_header_buffers 4 4k;
#开启gzip模块
gzip on;
gzip_min_length 1100;
gzip_buffers 4 8k;
gzip_types text/plain;
output_buffers 1 32k;
postpone_output 1460;
#设定access log
access_log logs/access.log main;
client_header_timeout 3m;
client_body_timeout 3m;
send_timeout 3m;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
#设定负载均衡的服务器列表
upstream mysvr{#weigth参数表示权值,权值越高被分配到的几率越大
#本机上的Squid开启3128端口
server 192.168.8.1:3128 weight=5;
server 192.168.8.2:80 weight=1;
server 192.168.8.3:80 weight=6;
}
#设定虚拟主机
server{listen 80;
server_name 192.168.8.1 www.okpython.com;
charset gb2312;
#设定本虚拟主机的访问日志
access_log logs/www.yejr.com.access.log main;
#如果访问 /img/*, /js/*, /css/* 资源,则直接取本地文件,不通过squid
#如果这些文件较多,不推荐这种方式,因为通过squid的缓存效果更好
location ~ ^/(img|js|css)/ {
root /data3/Html;
expires 24h;
}
#对 "/" 启用负载均衡
location / {
proxy_pass http://mysvr;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
#设定查看Nginx状态的地址
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd; #conf/htpasswd 文件的内容用 apache 提供的 htpasswd 工具来产生即可
}
}
}
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Nginx.conf配置,安全优化
- Nginx.conf配置,安全优化
- Nginx 1.10.1 版本nginx.conf优化配置及详细注释
- Nginx 之二: nginx.conf 配置及基本优化
- Nginx 1.10.1 版本nginx.conf优化配置及详细注释
- Nginx 1.10.1 版本nginx.conf优化配置及详细注释
- Nginx 之二: nginx.conf 配置及基本优化
- Nginx 1.10.1 版本nginx.conf优化配置及详细注释
- Magento Nginx安全配置conf文件
- nginx-optimize.conf优化配置注释
- [Nginx] – 安全优化 – 配置文件优化 [二]
- nginx.conf配置及优化相关
- NGINX的主配置文件(nginx.conf)优化
- [NGINX] - 配置文件优化 - NGINX.CONF
- nginx 配置文件解释及优化安全
- nginx.conf的完整配置说明 及 优化
- Nginx 1.10.1 版本nginx.conf优化配置及详细注释
- [Nginx] – 安全优化 – 配置文件优化
- Nginx 之二: nginx.conf 配置及基本优化
- Nginx 1.10.1 版本nginx.conf优化配置及详细注释