你好呀,我是赵兴晨,文科程序员。
最近一段时间,我一直在和大家一起探讨Nginx的相关话题。期间,我收到了很多小伙伴的私信,他们好奇地问我:在生产环境中,Nginx应该如何配置?
他们在日常的开发工作中,大多只接触到了增删改查等基础操作,对于Nginx的部署并不熟悉。
今天,就让我们来一起深入了解一下,打破“Java程序员不能部署Nginx”的刻板印象。我们来动手实践,看看如何将Nginx部署到生产环境中。
文章篇幅过长建议先收藏后再细品。
实验环境:Centos7.9 4核8g SSD 100G
步骤1: 安装依赖
yum -y install gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel make wget
• gcc: 这是GNU编译器集合(GNU Compiler Collection),用于编译C、C++等语言编写的源代码。它是开发新程序和编译现有程序的核心工具
• pcre: PCRE(Perl Compatible Regular Expressions)是一个Perl库,用于正则表达式模式匹配。它提供了对正则表达式的实现,这在文本处理和字符串分析中非常有用。
• pcre-devel: 这是PCRE的开发版本,包含了头文件和库文件,用于开发需要使用PCRE功能的程序。
• zlib: zlib是一个提供数据压缩功能的库。它支持DEFLATE压缩算法,广泛用于网络传输和文件压缩。
• zlib-devel: 与zlib类似,但这是开发版本,包含了开发新软件时所需的头文件和开发库。
• openssl: OpenSSL是一个强大的开源工具包,用于实现安全套接层(SSL)和传输层安全(TLS)协议,以及加密、解密、证书生成等安全功能。
• openssl-devel: 这是OpenSSL的开发版本,包含了用于开发支持SSL/TLS功能的应用程序的开发库和头文件。
• make: Make是一个构建自动化工具,它自动编译和链接程序,根据依赖关系来确定哪些部分需要重新编译。它通常用于大型项目,其中源代码分布在多个文件中。
步骤2: 创建nginx用户
# 创建名为nginx的新用户组
groupadd nginx
# 创建名为nginx的用户 指定用户的主目录为/home/nginx 并添加到nginx用户组
useradd nginx -m -d /home/nginx -g nginx
# 设置用户 nginx的密码为 nginx 生产环境可以设置的再复杂一些
echo nginx:nginx|chpasswd
步骤3: 创建nginx相关目录
# 创建相关目录
mkdir -p /usr/local/nginx/{cache,log,conf/conf.d}
# 授权/usr/local/nginx目录 所属nginx用户
chown -R nginx:nginx /usr/local/nginx
步骤4: 下载nginx包并解压
# 创建目录 用于保存下载的nginx压缩包
mkdir /opt/software/
# 切换到 /opt/software/ 目录
cd /opt/software/
# 下载 nginx-1.20.1.tar.gz
wget http://nginx.org/download/nginx-1.20.1.tar.gz
# 解压
tar -zxvf nginx-1.20.1.tar.gz
步骤5: 编译并安装 nginx
# 切换到刚解压的 nginx-1.20.1目录
cd nginx-1.20.1
# 设置预编译
./configure \
--prefix=/usr/local/nginx \
--sbin-path=/usr/sbin/nginx \
--conf-path=/usr/local/nginx/conf/nginx.conf \
--error-log-path=/usr/local/nginx/log/error.log \
--http-log-path=/usr/local/nginx/log/access.log \
--pid-path=/usr/local/nginx/nginx.pid \
--lock-path=/usr/local/nginx/nginx.lock \
--http-client-body-temp-path=/usr/local/nginx/cache/client_temp \
--http-proxy-temp-path=/usr/local/nginx/cache/proxy_temp \
--http-fastcgi-temp-path=/usr/local/nginx/cache/fastcgi_temp \
--http-uwsgi-temp-path=/usr/local/nginx/cache/uwsgi_temp \
--http-scgi-temp-path=/usr/local/nginx/cache/scgi_temp \
--user=nginx \
--group=nginx \
--with-file-aio \
--with-threads \
--with-http_addition_module \
--with-http_auth_request_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_mp4_module \
--with-http_random_index_module \
--with-http_realip_module \
--with-http_secure_link_module \
--with-http_slice_module \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_sub_module \
--with-http_v2_module \
--with-mail \
--with-mail_ssl_module \
--with-stream \
--with-stream_realip_module \
--with-stream_ssl_module \
--with-stream_ssl_preread_module
# 开始编译并安装
make && make install
以下是对预编译配置相关模块的解释,都是常用的nginx模块,按需安装即可
–prefix=/usr/local/nginx 设置Nginx安装的基本目录。
–sbin-path=/usr/sbin/nginx 指定Nginx二进制文件的安装路径。
–conf-path=/usr/local/nginx/conf/nginx.conf 指定Nginx主配置文件的路径。
–error-log-path=/usr/local/nginx/log/error.log 指定错误日志文件的存放路径。
–http-log-path=/usr/local/nginx/log/access.log 指定HTTP访问日志文件的存放路径。
–pid-path=/usr/local/nginx/nginx.pid 指定存放Nginx进程ID文件的路径。
–lock-path=/usr/local/nginx/nginx.lock 指定存放Nginx锁定文件的路径。
–http-client-body-temp-path=/usr/local/nginx/cache/client_temp 指定存放客户端请求体的临时文件目录。
–http-proxy-temp-path=/usr/local/nginx/cache/proxy_temp 指定存放代理请求的临时文件目录。
–http-fastcgi-temp-path=/usr/local/nginx/cache/fastcgi_temp 指定FastCGI进程的临时文件目录。
–http-uwsgi-temp-path=/usr/local/nginx/cache/uwsgi_temp 指定uWSGI进程的临时文件目录。
–http-scgi-temp-path=/usr/local/nginx/cache/scgi_temp 指定SCGI进程的临时文件目录。
–user=nginx 指定运行Nginx进程的用户名。
–group=nginx 指定运行Nginx进程的用户组名。
–with-file-aio 启用文件异步I/O支持。
–with-threads 启用线程支持。
–with-http_addition_module 启用HTTP addition模块。
–with-http_auth_request_module 启用HTTP auth request模块。
–with-http_dav_module 启用HTTP DAV模块。
–with-http_flv_module 启用HTTP FLV模块。
–with-http_gunzip_module 启用HTTP gunzip模块。
–with-http_gzip_static_module 启用HTTP gzip static模块。
–with-http_mp4_module 启用HTTP MP4模块。
–with-http_random_index_module 启用HTTP random index模块。
–with-http_realip_module 启用HTTP realip模块。
–with-http_secure_link_module 启用HTTP secure link模块。
–with-http_slice_module 启用HTTP slice模块。
–with-http_ssl_module 启用HTTP SSL模块。
–with-http_stub_status_module 启用HTTP stub status模块。
–with-http_sub_module 启用HTTP sub模块。
–with-http_v2_module 启用HTTP/2模块。
–with-mail 启用邮件支持。
–with-mail_ssl_module 启用邮件SSL模块。
–with-stream 启用RTMP或WebRTC流模块。
–with-stream_realip_module 启用流realip模块。
–with-stream_ssl_module 启用流SSL模块。
–with-stream_ssl_preread_module 启用流SSL预读取模块。
步骤6: 修改nginx配置文件,并调优,整段复制下面的内容到终端回车。
根据自身业务需求去调整配置文件,相关配置均以注释。
cat << EOF | tee /usr/local/nginx/conf/nginx.conf
# 配置 worker 进程所属用户,用户组
user nginx nginx;
# 配置 worker 进程数量,为避免 cpu 切换损耗,配置和系统内核数一样即可,或者 auto
worker_processes auto;
#nginx pid文件
pid /usr/local/nginx/nginx.pid;
# 配置 cpu 亲和,auto 代表自动绑定
worker_cpu_affinity auto;
# nginx 进程打开文件描述符数目,此值覆盖 ulimit -n 的值,最好与优化后的ulimit -n的值相同。
worker_rlimit_nofile 1024000;
events {
# 用这个模型来高效处理异步事件
use epoll;
# 设置为 on worker 进程轮流接受新链接,官方推荐设置为 off.高负载的情况下设置为 on.
accept_mutex on;
# worker进程是否同时接受连接所有新请求。默认为off,表示一次只接受一个新的请求。官方推荐 off
multi_accept on;
# 配置 一个 woker 进程处理的连接数;nginx最大的连接数:Maxclient = work_processes * worker_connections
worker_connections 65535;
}
http {
include mime.types;
# 关闭日志
access_log off;
# 隐藏响应头中的有关操作系统和web server(Nginx)版本号的信息,这样对于安全性是有好处的。
server_tokens off;
sendfile on;
# 设置为非零值时,可限制单个 sendfile() 调用时传输的数据量。如果没有限制,一个快速 连接可能会完全占用工作进程。
#sendfile_max_chunk 5m;
# tcp_nopush 和 tcp_nodeny 可以一起生效
# 等数据包累计到一定大小发送,启用 sendfile 生效
tcp_nopush on;
# 该选项仅在连接转换到 keep-alive ,长连接状态时启用。让 tcp 尽快发包。
tcp_nodelay on;
# 为了尽快释放连接,可以设置小点. 15 至 30
keepalive_timeout 30;
gzip on;
# 在响应头中增加,Vary: Accept-Encoding
#gzip_vary on;
# gzip压缩级别1-9,数字越大压缩效果越好,压缩时间也就越长CPU越高
#gzip_comp_level 5;
# 申请内存时大小,如果源文件 9k,超过了 8K,那会申请 16*8K。
#gzip_buffers 8 128k;
#gzip_min_length 5K;
#gzip_proxied any;
#gzip_disable msie6;
#gzip_http_version 1.1;
# 文本(js、text、css、xml、json)压缩比较好,图片已经进行过压缩,在压缩,效果不是很明显,还浪费 cpu
#gzip_types text/plain text/css text/xml text/javascript application/javascript application/json application/xml+rss application/rss+xml application/atom+xml image/svg+xml;
# 安全相关 header
#add_header X-Frame-Options "SAMEORIGIN" always;
#add_header Feature-Policy "autoplay 'none'; camera 'none'" always;
#add_header X-XSS-Protection "1; mode=block" always;
#add_header X-Content-Type-Options "nosniff" always;
#add_header Referrer-Policy "no-referrer-when-downgrade" always;
#add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
#add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
include /usr/local/nginx/conf/conf.d/*.conf;
}
EOF
步骤7: 设置nginx开机自启
以下内容整段复制到终端回车即可。
cat << EOF |tee /etc/systemd/system/nginx.service
[Unit]
Description=The NGINX HTTP and reverse proxy server
After=syslog.target network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/nginx.pid
ExecStartPre=/usr/sbin/nginx -t
ExecStart=/usr/sbin/nginx
ExecReload=/usr/sbin/nginx -s reload
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
EOF
设置开机自启,并启动nginx
systemctl daemon-reload && systemctl enable --now nginx
查看nginx启动状态
systemctl status nginx
到这nginx部署结束,nginx配置建议写在 /usr/local/nginx/conf/conf.d 以 .conf 结尾的文件即可
补充几个命令
# nginx 语法检测 (用于修改nginx配置文件之后 验证配置格式是否正确)
nginx -t
# nginx 加载配置文件(推荐使用)
systemctl reload nginx
# 或者
nginx -s reload
# 停止nginx服务
systemctl stop nginx
# 重启nginx服务
systemctl restart nginx
# 启动nginx服务
systemctl rtart nginx
最后,我想说的是:点赞和分享不仅仅是一种美德,更是对未来美好生活的投资。愿每一个点在看的朋友,未来都能收获满满的幸福和成功!
你好,我是赵兴晨,一名文科程序员。我期待在文章下方看到你的留言,让我们一起交流,共同进步。