Nginx配置文件及模塊

• 2019 年 12 月 12 日
• 筆記

1

Nginx是什麼？

Nginx是一個基於c語言開發的高性能http服務器及反向代理服務器。由俄羅斯的程序設計師Igor Sysoev所開發，官方測試nginx能夠支支撐5萬並發鏈接，並且cpu、內存等資源消耗卻非常低，運行非常穩定。

2

為什麼要用Nginx？

理由一

✦傳統的小型網站並發量小，用戶使用的少，所以在低並發的情況下，用戶可以直接訪問tomcat服務器，然後tomcat服務器返回消息給用戶。為了解決並發，可以使用負載均衡，也就是多增加幾個tomcat服務器，當用戶訪問的時候，請求可以提交到空閑的tomcat服務器上。

✦但是這種情況下可能會出現一種問題：假設把圖片上傳到了tomcat1上了，當要訪問這個圖片的時候，tomcat1正好在工作，所以訪問的請求就交給其他的tomcat操作，而tomcat之間的數據沒有進行同步，所以就發生了我們要請求的圖片找不到。

✦為了解決這種情況，我們專門建立一個圖片服務器，用來存儲圖片。這樣當都把圖片上傳的時候，不管是哪個服務器接收到圖片，都把圖片上傳到圖片服務器。而圖片服務器上需要安裝一個http服務，可以使用tomcat、apache、nginx。

理由二

nginx常用做靜態內容服務和代理服務器，直面外來請求轉發給後面的應用服務（tomcat，django什麼的），tomcat更多用來做做一個應用容器，讓java web app跑在裏面的東西。

理由三

✦nginx作反向代理：

✦反向代理就是後端服務不直接對外暴露,請求首先發送到nginx,然後nginx將請求轉發到後端服務器,比如tomcat等.如果後端服務只有一台服務器,nginx在這裡只有一個作用就是起到了代理後端服務接收請求的作用.稱之為反向代理.

理由四

✦nginx作負載均衡：

✦在現實的應用場景中,一台後端服務器出現單點故障的概率很大或者單台機器的吞吐量有限,無法承擔過多請求.這時候就需要在nginx後端配置多台服務器,利用nginx內置的規則講請求轉發到後端不同的機器上.這時候就起到了負載均衡的作用.

3

Nginx配置文件

主要組成部分

◆main（全局設置）

main部分設置的指令將影響其它所有部分的設置；

◆server（主機設置）

server部分的指令主要用於指定虛擬主機域名、IP和端口；

◆upstream

upstream的指令用於設置一系列的後端服務器，設置反向代理及後端服務器的負載均衡；

◆location

location部分用於匹配網頁位置（比如，根目錄「/」,「/images」,等等）；

它們之間的關係

server繼承main，location繼承server；upstream既不會繼承指令也不會被繼承。它有自己的特殊指令，不需要在其他地方的應用。

舉例說明

下面的nginx.conf簡單的實現nginx在前端做反向代理服務器的例子，處理js、png等靜態文件，jsp等動態請求轉發到其它服務器tomcat：

user www www;  worker_processes 2;  error_log logs/error.log;  #error_log logs/error.log notice;  #error_log logs/error.log info;  pid logs/nginx.pid;  events {  use epoll;  worker_connections 2048;  }  http {  include mime.types;  default_type application/octet-stream;  #log_format main '$remote_addr - $remote_user [$time_local] "$request" '  # '$status $body_bytes_sent "$http_referer" '  # '"$http_user_agent" "$http_x_forwarded_for"';  #access_log logs/access.log main;  sendfile on;  # tcp_nopush on;  keepalive_timeout 65;  # gzip壓縮功能設置  gzip on;  gzip_min_length 1k;  gzip_buffers 4 16k;  gzip_http_version 1.0;  gzip_comp_level 6;  gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;  gzip_vary on;  # http_proxy 設置  client_max_body_size 10m;  client_body_buffer_size 128k;  proxy_connect_timeout 75;  proxy_send_timeout 75;  proxy_read_timeout 75;  proxy_buffer_size 4k;  proxy_buffers 4 32k;  proxy_busy_buffers_size 64k;  proxy_temp_file_write_size 64k;  proxy_temp_path /usr/local/nginx/proxy_temp 1 2;  # 設定負載均衡後台服務器列表  upstream backend {  #ip_hash;  server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ;  server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ;  }  # 很重要的虛擬主機配置  server {  listen 80;  server_name itoatest.example.com;  root /apps/oaapp;  charset utf-8;  access_log logs/host.access.log main;  #對 / 所有做負載均衡+反向代理  location / {  root /apps/oaapp;  index index.jsp index.html index.htm;  proxy_pass http://backend;  proxy_redirect off;  # 後端的Web服務器可以通過X-Forwarded-For獲取用戶真實IP  proxy_set_header Host $host;  proxy_set_header X-Real-IP $remote_addr;  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;  }  #靜態文件，nginx自己處理，不去backend請求tomcat  location ~* /download/ {  root /apps/oa/fs;  }  location ~ .*.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$  {  root /apps/oaapp;  expires 7d;  }  location /nginx_status {  stub_status on;  access_log off;  allow 192.168.10.0/24;  deny all;  }  location ~ ^/(WEB-INF)/ {  deny all;  }  #error_page 404 /404.html;  # redirect server error pages to the static page /50x.html  #  error_page 500 502 503 504 /50x.html;  location = /50x.html {  root html;  }  }  ## 其它虛擬主機，server 指令開始  }

4

常用指令說明

4.1

main全局配置

woker_processes 2;

在配置文件的頂級main部分，worker角色的工作進程的個數，master進程是接收並分配請求給worker處理。這個數值簡單一點可以設置為cpu的核數grep ^processor /proc/cpuinfo | wc -l，也是 auto 值，如果開啟了ssl和gzip更應該設置成與邏輯CPU數量一樣甚至為2倍，可以減少I/O操作。如果nginx服務器還有其它服務，可以考慮適當減少。

worker_cpu_affinity;

也是寫在main部分。在高並發情況下，通過設置cpu粘性來降低由於多CPU核切換造成的寄存器等現場重建帶來的性能損耗。如worker_cpu_affinity 0001 0010 0100 1000; （四核）。

worker_connections 2048;

寫在events部分。每一個worker進程能並發處理（發起）的最大連接數（包含與客戶端或後端被代理服務器間等所有連接數）。nginx作為反向代理服務器，計算公式 最大連接數 = worker_processes *

worker_rlimit_nofile 10240;

寫在main部分。默認是沒有設置，可以限制為操作系統最大的限制65535。

use epoll;

寫在events部分。在Linux操作系統下，nginx默認使用epoll事件模型，得益於此，nginx在Linux操作系統下效率相當高。同時Nginx在OpenBSD或FreeBSD操作系統上採用類似於epoll的高效事件模型kqueue。在操作系統不支持這些高效模型時才使用select。

4.2

http服務器

sendfile on;

開啟高效文件傳輸模式，sendfile指令指定nginx是否調用sendfile函數來輸出文件，減少用戶空間到內核空間的上下文切換。對於普通應用設為 on，如果用來進行下載等應用磁盤IO重負載應用，可設置為off，以平衡磁盤與網絡I/O處理速度，降低系統的負載；

keepalive_timeout 65;

長連接超時時間，單位是秒，這個參數很敏感，涉及瀏覽器的種類、後端服務器的超時設置、操作系統的設置，可以另外起一片文章了。長連接請求大量小文件的時候，可以減少重建連接的開銷，但假如有大文件上傳，65s內沒上傳完成會導致失敗。如果設置時間過長，用戶又多，長時間保持連接會佔用大量資源；

send_timeout ;

用於指定響應客戶端的超時時間。這個超時僅限於兩個連接活動之間的時間，如果超過這個時間，客戶端沒有任何活動，Nginx將會關閉連接；

client_max_body_size 10m;

允許客戶端請求的最大單文件位元組數。如果有上傳較大文件，請設置它的限制值；

client_body_buffer_size 128k;

緩衝區代理緩衝用戶端請求的最大位元組數；

4.3

模塊http_proxy

proxy_read_timeout 60;

連接成功後，與後端服務器兩個成功的響應操作之間超時時間(代理接收超時)

proxy_buffer_size 4k;

設置代理服務器（nginx）從後端realserver讀取並保存用戶頭信息的緩衝區大小，默認與proxy_buffers大小相同，其實可以將這個指令值設的小一點

proxy_buffers 4 32k;

proxy_buffers緩衝區，nginx針對單個連接緩存來自後端realserver的響應，網頁平均在32k以下的話，這樣設置

proxy_busy_buffers_size 64k;

高負荷下緩衝大小（proxy_buffers*2）

proxy_max_temp_file_size;

當 proxy_buffers 放不下後端服務器的響應內容時，會將一部分保存到硬盤的臨時文件中，這個值用來設置最大臨時文件大小，默認1024M，它與 proxy_cache 沒有關係。大於這個值，將從upstream服務器傳回。設置為0禁用。

proxy_temp_file_write_size 64k;

當緩存被代理的服務器響應到臨時文件時，這個選項限制每次寫臨時文件的大小。proxy_temp_path（可以在編譯的時候）指定寫到哪那個目錄。

4.4

模塊http_gzip：

gzip on :

開啟gzip壓縮輸出，減少網絡傳輸。

gzip_min_length 1k ：

設置允許壓縮的頁面最小位元組數，頁面位元組數從header頭得content-length中進行獲取。默認值是20。建議設置成大於1k的位元組數，小於1k可能會越壓越大。

gzip_buffers 4 16k ：

設置系統獲取幾個單位的緩存用於存儲gzip的壓縮結果數據流。4 16k代表以16k為單位，安裝原始數據大小以16k為單位的4倍申請內存。

gzip_http_version 1.0 ：

用於識別 http 協議的版本，早期的瀏覽器不支持 Gzip 壓縮，用戶就會看到亂碼，所以為了支持前期版本加上了這個選項，如果你用了 Nginx 的反向代理並期望也啟用 Gzip 壓縮的話，由於末端通信是 http/1.0，故請設置為 1.0。

gzip_comp_level 6 ：

gzip壓縮比，1壓縮比最小處理速度最快，9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)

gzip_types ：

匹配mime類型進行壓縮，無論是否指定,」text/html」類型總是會被壓縮的。

gzip_proxied any ：

Nginx作為反向代理的時候啟用，決定開啟或者關閉後端服務器返回的結果是否壓縮，匹配的前提是後端服務器必須要返回包含」Via」的 header頭。

gzip_vary on ：

和http頭有關係，會在響應頭加個 Vary: Accept-Encoding ，可以讓前端的緩存服務器緩存經過gzip壓縮的頁面，例如，用Squid緩存經過Nginx壓縮的數據。

4.5

server虛擬主機

listen;

監聽端口，默認80，小於1024的要以root啟動。可以為listen *:80、listen 127.0.0.1:80等形式。

server_name;

服務器名，如localhost、www.example.com，可以通過正則匹配。

4.6

模塊http_stream

host:port options;

這個模塊通過一個簡單的調度算法來實現客戶端IP到後端服務器的負載均衡，upstream後接負載均衡器的名字，後端realserver以 host:port options; 方式組織在 {} 中。如果後端被代理的只有一台，也可以直接寫在 proxy_pass 。

4.7

location

root /var/www/html;

定義服務器的默認網站根目錄位置。如果locationURL匹配的是子目錄或文件，root沒什麼作用，一般放在server指令裏面或/下。

index index.jsp index.html index.htm;

定義路徑下默認訪問的文件名，一般跟着root放

proxy_pass http:/backend;

請求轉向backend定義的服務器列表，即反向代理，對應upstream負載均衡器。也可以proxy_pass http://ip:port。

4.8

訪問控制 allow/deny

Nginx 的訪問控制模塊默認就會安裝，而且寫法也非常簡單，可以分別有多個allow,deny，允許或禁止某個ip或ip段訪問，依次滿足任何一個規則就停止往下匹配。如：

location /nginx-status {  stub_status on;  access_log off;  # auth_basic "NginxStatus";  # auth_basic_user_file /usr/local/nginx-1.6/htpasswd;  allow 192.168.10.100;  allow 172.29.73.0/24;  deny all;  }

也常用 httpd-devel 工具的 htpasswd 來為訪問的路徑設置登錄密碼：

# htpasswd -c htpasswd admin  New passwd:  Re-type new password:  Adding password for user admin  # htpasswd htpasswd admin //修改admin密碼  # htpasswd htpasswd sean //多添加一個認證用戶

這樣就生成了默認使用CRYPT加密的密碼文件。打開上面nginx-status的兩行注釋，重啟nginx生效。

4.9

列出目錄 autoindex

Nginx默認是不允許列出整個目錄的。如需此功能，打開nginx.conf文件，在location，server 或 http段中加入autoindex on;，另外兩個參數最好也加上去:

autoindex_exact_size off;

默認為on，顯示出文件的確切大小，單位是bytes。改為off後，顯示出文件的大概大小，單位是kB或者MB或者GB

autoindex_localtime on;

默認為off，顯示的文件時間為GMT時間。改為on後，顯示的文件時間為文件的服務器時間

location /images {  root /var/www/nginx-default/images;  autoindex on;  autoindex_exact_size off;  autoindex_localtime on;  }

參考資料：

http://nginx.org/en/docs/ngx_core_module.html#worker_cpu_affinity

這個世界的問題就是聰明人總是懷疑自己，而愚蠢的人總是充滿自信。by 布考斯基