一、Nginx配置文件
main配置段:全局配置
events段:定义event工作模式
http {}:定义http协议配置
支持使用变量:
内置变量:模块会提供内建变脸定义
自定义变量:set var_name value
二、 主配置段的指令
1、正常运行的必备配置
1、user USERNAME [GROUPNAME]; #指定运行worker进程的用户 和组,例如:user nginx nginx;
2、pid /path/to/pid_file; #指定nginx的pid文件;
3、worker_rlimit_nofile; #指定一个worker进程所能够打开的最大文件句柄数;
4、worker_rlimit_sigpending; #指定每个用户能够发往worker的信号的数量;
2、优化性能相关的配置
1、worker_processes #: #worker线程的个数;通常应该为物理CPU核心个数减1;
2、worker_cpu_affinity cpumask ...;
- CPUMASK
- 0001
- 0010
- 0100
- 1000
- 例如: worker_cpu_affinity 00000001 00000010 00000100;
3、timer_resolution t ; # 计时器解析度,降低此值,柯减少gettimeofday()系统调用次数
4、worker_priority nice; #对应的nice值-20 - 19,优先级对应100-139
3、事件相关的配置
1、pt_mutex {on|off} ; (互斥锁)内部调用用户 请求至各worker时用的负载均衡锁;on时表示能让多个worker轮流地、序列化地与响应新请求;
2、lock_file /path/to/lock_file ; #accept_mutex用到的锁文件
3、accept_mutex_delay #ms; #work进程繁忙时锁等待多长事件
4、use [epoll|rgsig|select|poll];; #定义使用的事件模型;建议让Nginx自动选择;
5、worker_connections; #每个worker进程所能够响应的最大并发请求数;
4、用于调试
1、daemon {off|on}; #是否以守护进程的方式运行nginx,调试时应该设置为off
2、master_process {on|off}; #是否以master/worker模型来运行nginx
3、error_log /path/to/error_log level; #错误日志文件及其级别;处于调试目的,可以使用debug级别,但此级别只有在编译nginx时手机用--with-debug选项才有效;
三、Nginx作为Web服务器使用配置
http{}:由ngx_http_core_module模块来引入
配置格式
http配置:http core 配置一个静态web服务器
ngx_http_core_module
配置框架:
http {
upstream {
.,..
}
server {
listen IP:PORT;
# 虚拟主机
location /URL {
root "/path/to/dir"
……
if ...{
...
}
}
} #每个Srever类似于httpd中的<VirtualHost>
server {
……
}
}
#注意:与httpd相关的指令仅能通够放置于http、server、location、upstream、if上下文指令仅应用于这5中上下文四、虚拟主机配置相关指令
1、server{} 定义一个虚拟主机
server{
listen 8080;
server_name www.hongyang.com;
root "/vhosts/web1";
}
访问:
2、listen 监听端口
完整格式:listen address[:port] [default_server] ssl
backlog=number: 指明TCP协议backlog队列的大小。默认为-1,表示不设置;
rcvbuf=size:设定监听句柄的SO_RCVBUF参数;
server{
listen 8080;
server_name www.hongyang.com;
root "/vhosts/web1";
}
3、server_name 主机名
server{
listen 8080;
server_name www.hongyang.com;
root "/vhosts/web1";
}
# (1) 先做精确匹配;www.hongyang.com:
# (2) 左侧通配符匹配,例如:*.hongyang.com;
# (3) 右侧通配符匹配,例如:www.*;
# (4) 正则表达式匹配,例如: ~^.*\.hongyang\.com$
# (5) default_server
4、root Path 设置资源路径映射
root:用于指明请求的URL所对应的文档的根目录路径
location /imag/ {
root "/web/imgs/";
}5、location 根据用户请求的URL匹配定义的location
允许根据用户请求的URI来匹配定义的各location,匹配到时,此请求将被相应的location块中的配置所处理;
# =: 精确匹配检查;
# ~: 正则表达式模式匹配,区分字符大小写;
# ~*:正则表达式模式 匹配,不区分字符大小写;
# ^~:URI的前半部分匹配,不检查正则表达式;
匹配优先级:精确匹配(=)、^~、~和~*、由不带符号的URL进行左侧匹配;6、aliias path 用于配置段,定义路径别名
location /imags/ {
root "/web/imgs/";
}
#访问上面的地址就相当于访问
# http://www.hongyang.com/imags/a.jpg --> /vhosts/web/images/a.jpg
location /imags/ {
alias /www/pictures/;
}
# http://www.hongyang.com/imags/a.jpg --> /www/pictures/a.jpg
# 注意:root表示指明路径为对应location的“ /” URL;alias表示路径映射,即location中的URL是相对于alias所指明的路径而言;7、index 默认页面配置
location / {
index index.html index.htm;
}
# 当index.html 没有影响的时候,就会用index.htm来响应8、err_page 根据http状态码重定向错误页面
location{
error_page 404 /404.html
}
# 当index.html 没有影响的时候,就会用index.htm来响应
# =[code]: 以指定的响应码进行响应;省略code表示以新资源的响应码为响应码;
location{
error_page 404 = 200 /404.html
}
9、基于IP访问控制
server{
listen 8080;
server_name www.hongyang.com;
location{
root "/vhosts/web1";
# deny all;
allow 192.158.5.128/16;
}
}
# deny禁止哪些IP进行访问:格式 IP/Network
# allow允许哪些IP进行访问 格式 IP/NetWork10、基于用户的访问控制
server{
listen 8080;
server_name www.hongyang.com;
location / {
root "/vhosts/web1";
auth_basic "Only For VIP"
auth_basic_user_file /app/nginx/users/.htpasswd;
}
}
# 自己生成密钥 需要安装htttpd
# htpasswd -c -m /app/nginx/users/.htpasswd tom
效果
11、SSL配置
#生成私钥->生成CA证书
# cd /etc/pki/CA
# (umask 077; openssl genrsa -out private/cakey.pem 2048)
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
# touch serial index.txt
# echo 01 > serial
#生成Nginx私钥
# (umask 077; openssl genrsa -out nginx.key 1024)
# openssl req -new -key nginx.key -out nginx.csr
#使用CA证书签署
# openssl ca -in nginx.csr -out nginx.crt -days 3655
server {
listen 443 ssl;
server_name wwww.hongyang.com;
ssl_certificate /app/nginx/ssl/nginx.crt;
ssl_certificate_key /app/nginx/ssl/nginx.key;
ssl_session_cache shared:SSL:1m; #会话中缓存放在什么位置,使用多大内存
ssl_session_timeout 5m; #超时时间
ssl_ciphers HIGH:!aNULL:!MD5; #使用那种加密方式
ssl_prefer_server_ciphers on;指定使用 SSLv3 和 TLS 协议时,服务器密码应优先于客户端密码。
location / {
root "/vhosts/web1";
}
}
}
Chrom浏览器导入nginx.crt证书后访问
12、stub_status 状态页
location /status {
stub_status on;
allow 192.168.0.0/16
deny all;
}
}
#仅能用于location 中
Active connections: 2 # 当前所有处于打开状态的连接数
server accepts handled requests
65 65 64
#1、已经连接的连接数
#2、已经处理过的连接数
#3、已经处理过的请求数;在“保持连接”模式下,请求数量可能会多于连接数量
Reading: 0 Writing: 1 Waiting: 1
# Reading 正处于接收请求状态的连接数
# Writing 请求已经接收完成,正处于处理请求活发送响应的过程中的连接数
# Waiting 保持连接模式下,且处于活动状态的连接数
13、rewrite regex replacement flag URL重写标志
# rewirte ^/images/(.*\.jgp)$ /imgs/$1 break;
# 相当于访问:http://www.hongyang.com/imges/a/b/c/1.jpg --> http://www.hongyang.com/imgs/a/b/c/1.jpg
# flag
# last:一旦此rewrite规则重写完成后,就不再被后面其他的rewrite规则进行处理,而是由User_Agent重新对重写后的URL再一次发起请求,并从头开始执行类似的过程
# break:一旦此rewrite规则重写完成后,由User_Agent对新的URL重新发起请求,且不在会被当前locationg内的任何rewrite规则所检查
# redirect:以302响应码(临时重定向)返回新的URL
# permanent: 以301响应码(永久重定向)返回新的URL
location / {
root "/vhosts/web1";
rewrite ^/bbs/(.*)$ /forum/$1 break;
rewrite ^/bbs/(.*)$ https://www.hongyang.com/index.html redirect;
}
14、if 上下文
# 语法 if (condition) {}
# 应用环境:server , location
# condition
# 1、变量名:
变量值为空串,或者以“0” 开始,则为false; 其他的均为true
# 2、以变量为操作数构成的比较表达式
可使用=(等于)、!=(不等于)类似的比较操作符进行测试
# 3、正则表达式的模式匹配检查
~:区分大小写的模式匹配检查
~*:不区分大小写的模式匹配检查
!~和!~*:对上面两种的取反
# 4、测试路径为文件可能性:-f和!-f
# 5、测试指定路径为目录的可能性:-d, !-d
# 6、测试文件的存在性:-e, !-e
# 7、检查文件是否有执行权限:x, !-x
if ($http_user_agent ~* MSIE) {
rewrite ^(.*)$ /mise/$1 break;
}
15、防盗链
# refere 模块提供invalid_referer(不合法的)变量,valid_referer(合法的)
location ~* \.(jpg|gif|jpeg|png)$ {
valid_referer none blocked www.hongyang.com
if ($invalid_referer) {
rewirte ^/ http://www.hongyang.com/403.html
}
}
16、定制访问日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main;
# 此处可用变量为nginx各模块内建变量
五、网络相关的配置
1、eepalive_timeout time; #保持连接的超时时长,默认为75s;
2、keepalive_requests; #在一次保持连接上允许承载最大资源请求数;
3、keepalive_disable [msie6|safari|none]; #为指定类型的浏览器禁用长连接;
4、tcp_nodelay on|off; #对长连接是否使用TCP_NODELAY选项;(TCP开销比较大,所以TCP在拥塞算法上对开销较小的请求合并成一次请求,延迟响应)
5、client_header_timeout time; #读取http请求报文首部的超时时长;
6、client_body_timeout time; #读取http请求报文body部分的超时时长;
7、send_timeout time; #发送响应报文的超时时长;
