nginx基础应用

nginx简介nginx是一款轻量级的web服务器和反向代理服务器，不同于传统的通过每进程或每线程处理并发连接请求的web服务器，nginx采用了模块化、事件驱动、异步、单线程及非阻塞的架构，并大量采用了多路复用及事件通知机制，通过单线程进程worker以高效的回环（run-loop）机制并行处理数千个并发连接请求。nginx的工作模式：一个主进程（master）和多个工作进程（worker），master以root身份运行，worker以普通用户身份运行（nginx）。工作进程worker为单线程进程，进程与进程之间通过“共享内存”的机制实现通信。

nginx的代码由一个核心和一系列的模块组成。这一系列模块包括标准http模块，可选http模块，邮件模块及第三方扩展模块。在编译过程中核心模块和标准http模块，其余需要的模块需要手动指定。
安装nginx1）添加nginx用户，工作进程以该用户的身份运行。

[root@node1 ~]# groupadd -r nginx
[root@node1 ~]# useradd -r -g nginx nginx

2）从官网http://nginx.org下载适合的包，根据自己需要的功能编译安装。

[root@node1 ~]# tar xf nginx-1.8.0.tar.gz
[root@node1 ~]# cd nginx-1.8.0
[root@node1 nginx-1.8.0]#   --prefix=/usr/local/nginx \
>   --conf-path=/etc/nginx/nginx.conf \
>   --error-log-path=/var/log/nginx/error.log \
>   --http-log-path=/var/log/nginx/access.log \
>   --pid-path=/var/run/nginx/nginx.pid  \
>   --lock-path=/var/lock/nginx.lock \
>   --user=nginx \
>   --group=nginx \
>   --with-http_ssl_module \
>   --with-http_flv_module \
>   --with-http_stub_status_module \
>   --with-http_gzip_static_module \
>   --http-client-body-temp-path=/usr/local/nginx/client/ \
>   --http-proxy-temp-path=/usr/local/nginx/proxy/ \
>   --http-fastcgi-temp-path=/usr/local/nginx/fcgi/ \
>   --http-uwsgi-temp-path=/usr/local/nginx/uwsgi \
>   --http-scgi-temp-path=/usr/local/nginx/scgi \
>   --with-pcre
####################################
[root@node1 nginx-1.8.0]# make && make install

3）为nginx提供SysV init脚本（简单起见可以从epel源安装的nginx中获取）

[root@node1 nginx-1.8.0]# chmod +x /etc/rc.d/init.d/nginx
[root@node1 nginx-1.8.0]# chkconfig --add nginx

4）检查配置文件，启动服务。

[root@node1 ~]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@node1 ~]# service nginx start

基本应用
虚拟主机
在server中定义虚拟服务器的相关属性，常见的指令有backlog、rcvbuf、bind及sndbuf等。不同于apache，nginx没有中心主机的概念，所有的服务都需要定义在虚拟主机中。

server {
listen       80;
server_name  www.xiaoxiao.com;

location / {
root   /www;
index  index.html index.htm;
}
}

访问控制，用户认证

访问控制功能由Access模块提供，allow和deny允许在http、server、location上下文中进行配置。在匹配过程中，由上而下进行匹配。如下示例，若需要对192.168.1.0这个网段中的192.168.1.1这台主机的访问进行限制，需要将deny 192.168.1.1写在allow 192.168.1.0/24之前，若写在后面，会先与allow 192.168.1.0/24进行匹配，匹配通过之后将直接允许访问。

location / {
deny  192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny  all;
}

用户认证功能由Auth Basic模块提供。对某些敏感目录需要限制用户的访问，示例如下：

location /admin {
root   /www;
index  index.html index.htm;
auth_basic "admin dir";
auth_basic_user_file /etc/nginx/.htpasswd;
}

auth_basic_user_file指定认证文件，通过htpasswd命令可生成该文件。

[root@node1 nginx]# htpasswd -m -c /etc/nginx/.htpasswd shaw    #生成认证文件，添加用户
[root@node1 nginx]# htpasswd -m /etc/nginx/.htpasswd Tom         #添加用户

autoindex模块
当访问的路径下没有默认页面时，可以通过添加autoindex on这一项，显示改路径下的所有文件。

location /download {
root /www;
index  index.html index.htm;
autoindex on;
}

压缩
将nginx响应给客户端的报文进行压缩，能够节约带宽并提高响应速度。要使用压缩功能，需要在编译安装时添加Gzip Precompression模块（--with-http_gzip_static_module）。

server {
listen       80;
server_name  www.xiaoxiao.com *.xiaoxiao.com;
gzip on;
gzip_http_version 1.0;
gzip_comp_level 6;
gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript application/json;
gzip_disable msie6;
}

防盗链
通过referer模块实现。通过请求的referer首部判断该请求来自哪个页面。若是其他网站的页面来引用本站点的资源则拒绝响应。
定义格式：valid_referers none | blocked | server_names | string ...;
none：请求报文的首部中没有“Referer”首部（在地址栏中直接输入资源地址）。
blocked：请求报文中有“Referer”首部，但其内容被防火墙或代理服务器清除。
server_names：指定允许引用本站资源的主机名。
如下示例，仅允许.xiaoxiao.com这个域内的主机引用本站的图片资源。若是非法引用则直接转向错误页面。

location ~* \.(jpg|png|gif|jpeg)$ {
root /www;
rewrite ^/images/(.*)$ /img/$1 last;
valid_referers none blocked www.xiaoxiao.com *.xiaoxiao.com;
if  ($invalid_referer) {
rewrite ^/.*$ http://www.xiaoxiao.com/404.html; }
}

[b]Rewrite[/b]
Rewrite为地址重写模块，示例如下：

location / {
root /www;
rewrite ^/images/(.*)$ /imgs/$1 last;
}

对被该location匹配到的uri进行重写。如： http://www.xiaoxiao.com/images/a.jpg --> http://www.xiaoxiao.com/imgs/a.jpg 最后面的last为flags（标签）。常用的flags有：
last #一旦被当前规则匹配并重写后立即停止检查后续的其它rewrite的规则，而后通过重写后的规则重新
#发起请求；
break #一旦被当前规则匹配并重写后立即停止后续的其它rewrite的规则，而后继续由nginx进行后续操作；
redirect #返回302临时重定向；
permanent #返回301永久重定向；

相关的参数：
rewrite_log on|off #是否把重写过程记录在错误日志中（默认为off），默认为notice级别。
return code #用于结束rewrite规则，并且为客户返回状态码；可以使用的状态码有204, 400, 402-406,
# 500-504等；

nginx限速配置
limit Req模块用于限制客户端的访问速度。实现针对每个IP定义一个存储session状态的容器，根据状态信息对客户端的访问作出限制。
语法：limit_req_zone $session_variable zone=name_of_zone:size rate=rate

http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
...
server {
...
location /search/ {
limit_req zone=one burst=5;
}

如上示例中，one为区域名称，以便在下面的limit_req中引用，10M为该区域所占内存大小，rate指定访问速度（每秒最多一个请求）。

Limit Conn模块用于限制客户端的并发连接数。配置与上述类似。

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server {
...
limit_conn perip 10;
limit_conn perserver 100;
}

limit_conn perip 10表示对应的容器中的ip在同一时间最多仅允许10个并发请求。

反向代理，负载均衡
Nginx通过proxy模块实现反向代理功能。在作为web反向代理服务器时，nginx负责接收客户端请求，并能够根据URI、客户端参数或其它的处理逻辑将用户请求调度至上游服务器上(upstream server)。nginx在实现反向代理功能时的最重要指令为proxy_pass，它能够将location定义的某URI代理至指定的上游服务器(组)上。
配置格式如下：

location /uri {
proxy_pass http://www.xiaoxiao.com:8080/newuri; }

通过upstream模块可定义一个上游服务器组，在反向代理时，将请求代理至这个服务器组，实现负载均衡。upstream模块的负载均衡算法主要有三种，轮调(round-robin)、ip哈希(ip_hash)和最少连接(least_conn)三种。

http {
upstream dynamic {
least_conn;
server node1.xiaoxiao.com max_fails=3 fail_timeout=30s;
server node2.xiaoxiao.com max_fails=3 fail_timeout=30s;
}
server {
location / {
index  index.html index.htm;
proxy_pass http://dynamic; proxy_set_header       Host $host;
}
}
}

在负载均衡过程中nginx会自动检测上游服务器的健康状况。若上游的某台服务器down了或者服务停止了，nginx会自动识别，不再将请求调度至该服务器。故障服务器重新上线后，也能够马上加入到组中，恢复正常工作。

缓存的应用
nginx作为反向代理服务器时，可以将上游服务器的响应数据暂存在本地，以加快响应客户端的速度。

proxy_cache zone|off：定义一个用于缓存的共享内存区域，其可被多个地方调用；缓存将遵从upstream服务器的响应报文首部中关于缓存的设定，如 "Expires"、"Cache-Control: no-cache"、 "Cache-Control: max-age=XXX"、"private"和"no-store" 等。

在响应报文中含有以下首部或指定标志的报文将不会被缓存。
1）Set-Cookie
2）Cache-Control containing "no-cache", "no-store", "private", or a "max-age" with a non-numeric or 0 value
3）Expires with a time in the past
4）X-Accel-Expires: 0

proxy_cache_path：定义一个用于保存缓存响应报文的目录，及一个保存缓存对象的键及响应元数据的共享内存区域(keys_zone=name:size)，其可选参数有：
levels #每级子目录名称的长度，有效值为1或2，每级之间使用冒号分隔，最多为3级；
inactive #非活动缓存项从缓存中剔除之前的最大缓存时长；
max_size #缓存空间大小的上限，当需要缓存的对象超出此空间限定时，缓存管理器将基于LRU算
#法对其进行清理；

proxy_cache_use_stale：在无法联系到upstream服务器时的情形下(如error、timeout或http_500等)让nginx使用本地缓存的过期的缓存对象直接响应客户端请求。如下：
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_404 | off
proxy_cache_valid [ code ...] time：用于为不同的响应设定不同时长的有效缓存时长。
例如：proxy_cache_valid 200 302 10m;

使用示例：

http {
proxy_cache_path  /data/nginx/cache  levels=1:2    keys_zone=STATIC:10m
inactive=24h  max_size=1g;
server {
location / {
index  index.html index.htm;
proxy_pass http://dynamic; proxy_set_header       Host $host;
proxy_cache            STATIC;
proxy_cache_valid      200  1h;
proxy_cache_valid     301 302 1m;
proxy_cache_valid     any 1m;
proxy_cache_use_stale  error timeout invalid_header updating
http_500 http_502 http_503 http_504;
}
}
}

以上仅是nginx的基础应用，若需要关于各模块更详细的说明，可参考官方文档http://wiki.nginx.org/Modules。.................^_^