Nginx 伺服器安裝及配置檔案詳解
1. 安裝nginx
1.1 選擇穩定版本
我們編譯安裝nginx來定製自己的模組,機器CentOS 6.2 x86_64。首先安裝缺少的依賴包:
# yum -y install gcc gcc-c++ make libtool zlib zlib-devel openssl openssl-devel pcre pcre-devel
這些軟體包如果yum上沒有的話可以下載原始碼來編譯安裝,只是要注意編譯時預設安裝的目錄,確保下面在安裝nginx時能夠找到這些動態庫檔案(ldconfig)。
從 http://nginx.org/en/download.html 下載穩定版nginx-1.6.3.tar.gz到/usr/local/src下解壓。
為了後續準備我們另外下載2個外掛模組:nginx_upstream_check_module-0.3.0.tar.gz —— 檢查後端伺服器的狀態,nginx-goodies-nginx-sticky-module-ng-bd312d586752.tar.gz(建議在/usr/local/src下解壓後將目錄重新命名為nginx-sticky-module-ng-1.2.5) —— 後端做負載均衡解決session sticky問題(與upstream_check模組結合使用需要另外打補丁,請參考nginx負載均衡配置實戰)。
請注意外掛與nginx的版本相容問題,一般外掛越新越好,nginx不用追新,穩定第一。nginx-1.4.7,nginx-sticky-module-1.1,nginx_upstream_check_module-0.2.0,這個搭配也沒問題。sticky-1.1與nginx-1.6版本由於更新沒跟上編譯出錯。(可以直接使用Tengine,預設就包括了這些模組)
[root@cachets nginx-1.6.3]# pwd /usr/local/src/nginx-1.6.3 [root@cachets nginx-1.6.3]# ./configure --prefix=/usr/local/nginx-1.6 --with-pcre / > --with-http_stub_status_module --with-http_ssl_module / > --with-http_gzip_static_module --with-http_realip_module / > --add-module=../nginx_upstream_check_module-0.3.0 [root@cachets nginx-1.6.3]# make && make install
1.2 常用編譯選項說明
nginx大部分常用模組,編譯時./configure –help以–without開頭的都預設安裝。
- –prefix=PATH : 指定nginx的安裝目錄。預設 /usr/local/nginx
- –conf-path=PATH : 設定nginx.conf配置檔案的路徑。nginx允許使用不同的配置檔案啟動,通過命令列中的-c選項。預設為prefix/conf/nginx.conf
- –user=name: 設定nginx工作程式的使用者。安裝完成後,可以隨時在nginx.conf配置檔案更改user指令。預設的使用者名稱是nobody。–group=name類似
- –with-pcre : 設定PCRE庫的原始碼路徑,如果已通過yum方式安裝,使用–with-pcre自動找到庫檔案。使用–with-pcre=PATH時,需要從PCRE網站下載pcre庫的原始碼(版本4.4 – 8.30)並解壓,剩下的就交給Nginx的./configure和make來完成。perl正規表示式使用在location指令和 ngx_http_rewrite_module模組中。
- –with-zlib=PATH : 指定 zlib(版本1.1.3 – 1.2.5)的原始碼解壓目錄。在預設就啟用的網路傳輸壓縮模組ngx_http_gzip_module時需要使用zlib 。
- –with-http_ssl_module : 使用https協議模組。預設情況下,該模組沒有被構建。前提是openssl與openssl-devel已安裝
- –with-http_stub_status_module : 用來監控 Nginx 的當前狀態
- –with-http_realip_module : 通過這個模組允許我們改變客戶端請求頭中客戶端IP地址值(例如X-Real-IP 或 X-Forwarded-For),意義在於能夠使得後臺伺服器記錄原始客戶端的IP地址
- –add-module=PATH : 新增第三方外部模組,如nginx-sticky-module-ng或快取模組。每次新增新的模組都要重新編譯(Tengine可以在新加入module時無需重新編譯)
再提供一種編譯方案:
./configure / > --prefix=/usr / > --sbin-path=/usr/sbin/nginx / > --conf-path=/etc/nginx/nginx.conf / > --error-log-path=/var/log/nginx/error.log / > --http-log-path=/var/log/nginx/access.log / > --pid-path=/var/run/nginx/nginx.pid / > --lock-path=/var/lock/nginx.lock / > --user=nginx / > --group=nginx / > --with-http_ssl_module / > --with-http_stub_status_module / > --with-http_gzip_static_module / > --http-client-body-temp-path=/var/tmp/nginx/client/ / > --http-proxy-temp-path=/var/tmp/nginx/proxy/ / > --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ / > --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi / > --with-pcre=../pcre-7.8 > --with-zlib=../zlib-1.2.3
1.3 啟動關閉nginx
## 檢查配置檔案是否正確 # /usr/local/nginx-1.6/sbin/nginx -t # ./sbin/nginx -V # 可以看到編譯選項 ## 啟動、關閉 # ./sbin/nginx # 預設配置檔案 conf/nginx.conf,-c 指定 # ./sbin/nginx -s stop 或 pkill nginx ## 重啟,不會改變啟動時指定的配置檔案 # ./sbin/nginx -s reload 或 kill -HUP `cat /usr/local/nginx-1.6/logs/nginx.pid`
當然也可以將 nginx 作為系統服務管理,下載 nginx 到/etc/init.d/,修改裡面的路徑然後賦予可執行許可權。
# service nginx {start|stop|status|restart|reload|configtest}
1.4 yum安裝
yum安裝rpm包會比編譯安裝簡單很多,預設會安裝許多模組,但缺點是如果你想以後安裝第三方模組那就沒辦法了。
# vi /etc/yum.repo.d/nginx.repo [nginx] name=nginx repo baseurl=http://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck=0 enabled=1
剩下的就yum install nginx搞定,也可以yum install nginx-1.6.3安裝指定版本(前提是你去packages裡看到有對應的版本,預設是最新版穩定版)。
2. nginx.conf配置檔案
Nginx配置檔案主要分成四部分:main(全域性設定)、server(主機設定)、upstream(上游伺服器設定,主要為反向代理、負載均衡相關配置)和 location(URL匹配特定位置後的設定),每部分包含若干個指令。main部分設定的指令將影響其它所有部分的設定;server部分的指令主要用於指定虛擬主機域名、IP和埠;upstream的指令用於設定一系列的後端伺服器,設定反向代理及後端伺服器的負載均衡;location部分用於匹配網頁位置(比如,根目錄“/”,“/images”,等等)。他們之間的關係式:server繼承main,location繼承server;upstream既不會繼承指令也不會被繼承。它有自己的特殊指令,不需要在其他地方的應用。
當前nginx支援的幾個指令上下文:
2.1 通用
下面的nginx.conf簡單的實現nginx在前端做反向代理伺服器的例子,處理js、png等靜態檔案,jsp等動態請求轉發到其它伺服器tomcat:
user www www; worker_processes 2; error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; pid logs/nginx.pid; events { use epoll; worker_connections 2048; } http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; # tcp_nopush on; keepalive_timeout 65; # gzip壓縮功能設定 gzip on; gzip_min_length 1k; gzip_buffers 4 16k; gzip_http_version 1.0; gzip_comp_level 6; gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml; gzip_vary on; # http_proxy 設定 client_max_body_size 10m; client_body_buffer_size 128k; proxy_connect_timeout 75; proxy_send_timeout 75; proxy_read_timeout 75; proxy_buffer_size 4k; proxy_buffers 4 32k; proxy_busy_buffers_size 64k; proxy_temp_file_write_size 64k; proxy_temp_path /usr/local/nginx/proxy_temp 1 2; # 設定負載均衡後臺伺服器列表 upstream backend { #ip_hash; server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ; server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ; } # 很重要的虛擬主機配置 server { listen 80; server_name itoatest.example.com; root /apps/oaapp; charset utf-8; access_log logs/host.access.log main; #對 / 所有做負載均衡+反向代理 location / { root /apps/oaapp; index index.jsp index.html index.htm; proxy_pass http://backend; proxy_redirect off; # 後端的Web伺服器可以通過X-Forwarded-For獲取使用者真實IP proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504; } #靜態檔案,nginx自己處理,不去backend請求tomcat location ~* /download/ { root /apps/oa/fs; } location ~ .*/.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$ { root /apps/oaapp; expires 7d; } location /nginx_status { stub_status on; access_log off; allow 192.168.10.0/24; deny all; } location ~ ^/(WEB-INF)/ { deny all; } #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } ## 其它虛擬主機,server 指令開始 }
2.2 常用指令說明
2.2.1 main全域性配置
nginx在執行時與具體業務功能(比如http服務或者email服務代理)無關的一些引數,比如工作程式數,執行的身份等。
- woker_processes 2
在配置檔案的頂級main部分,worker角色的工作程式的個數,master程式是接收並分配請求給worker處理。這個數值簡單一點可以設定為cpu的核數grep ^processor /proc/cpuinfo | wc -l,也是 auto 值,如果開啟了ssl和gzip更應該設定成與邏輯CPU數量一樣甚至為2倍,可以減少I/O操作。如果nginx伺服器還有其它服務,可以考慮適當減少。 - worker_cpu_affinity
也是寫在main部分。在高併發情況下,通過設定cpu粘性來降低由於多CPU核切換造成的暫存器等現場重建帶來的效能損耗。如worker_cpu_affinity 0001 0010 0100 1000; (四核)。 - worker_connections 2048
寫在events部分。每一個worker程式能併發處理(發起)的最大連線數(包含與客戶端或後端被代理伺服器間等所有連線數)。nginx作為反向代理伺服器,計算公式 最大連線數 = worker_processes * worker_connections/4,所以這裡客戶端最大連線數是1024,這個可以增到到8192都沒關係,看情況而定,但不能超過後面的worker_rlimit_nofile。當nginx作為http伺服器時,計算公式裡面是除以2。 - worker_rlimit_nofile 10240
寫在main部分。預設是沒有設定,可以限制為作業系統最大的限制65535。 - use epoll
寫在events部分。在Linux作業系統下,nginx預設使用epoll事件模型,得益於此,nginx在Linux作業系統下效率相當高。同時Nginx在OpenBSD或FreeBSD作業系統上採用類似於epoll的高效事件模型kqueue。在作業系統不支援這些高效模型時才使用select。
2.2.2 http伺服器
與提供http服務相關的一些配置引數。例如:是否使用keepalive啊,是否使用gzip進行壓縮等。
- sendfile on
開啟高效檔案傳輸模式,sendfile指令指定nginx是否呼叫sendfile函式來輸出檔案,減少使用者空間到核心空間的上下文切換。對於普通應用設為 on,如果用來進行下載等應用磁碟IO重負載應用,可設定為off,以平衡磁碟與網路I/O處理速度,降低系統的負載。 - keepalive_timeout 65 : 長連線超時時間,單位是秒,這個引數很敏感,涉及瀏覽器的種類、後端伺服器的超時設定、作業系統的設定,可以另外起一片文章了。長連線請求大量小檔案的時候,可以減少重建連線的開銷,但假如有大檔案上傳,65s內沒上傳完成會導致失敗。如果設定時間過長,使用者又多,長時間保持連線會佔用大量資源。
- send_timeout : 用於指定響應客戶端的超時時間。這個超時僅限於兩個連線活動之間的時間,如果超過這個時間,客戶端沒有任何活動,Nginx將會關閉連線。
- client_max_body_size 10m
允許客戶端請求的最大單檔案位元組數。如果有上傳較大檔案,請設定它的限制值 - client_body_buffer_size 128k
緩衝區代理緩衝使用者端請求的最大位元組數
模組http_proxy:
這個模組實現的是nginx作為反向代理伺服器的功能,包括快取功能(另見文章)
- proxy_connect_timeout 60
nginx跟後端伺服器連線超時時間(代理連線超時) - proxy_read_timeout 60
連線成功後,與後端伺服器兩個成功的響應操作之間超時時間(代理接收超時) - proxy_buffer_size 4k
設定代理伺服器(nginx)從後端realserver讀取並儲存使用者頭資訊的緩衝區大小,預設與proxy_buffers大小相同,其實可以將這個指令值設的小一點 - proxy_buffers 4 32k
proxy_buffers緩衝區,nginx針對單個連線快取來自後端realserver的響應,網頁平均在32k以下的話,這樣設定 - proxy_busy_buffers_size 64k
高負荷下緩衝大小(proxy_buffers*2) - proxy_max_temp_file_size
當 proxy_buffers 放不下後端伺服器的響應內容時,會將一部分儲存到硬碟的臨時檔案中,這個值用來設定最大臨時檔案大小,預設1024M,它與 proxy_cache 沒有關係。大於這個值,將從upstream伺服器傳回。設定為0禁用。 - proxy_temp_file_write_size 64k
當快取被代理的伺服器響應到臨時檔案時,這個選項限制每次寫臨時檔案的大小。proxy_temp_path(可以在編譯的時候)指定寫到哪那個目錄。
proxy_pass,proxy_redirect見 location 部分。
模組http_gzip:
- gzip on : 開啟gzip壓縮輸出,減少網路傳輸。
- gzip_min_length 1k : 設定允許壓縮的頁面最小位元組數,頁面位元組數從header頭得content-length中進行獲取。預設值是20。建議設定成大於1k的位元組數,小於1k可能會越壓越大。
- gzip_buffers 4 16k : 設定系統獲取幾個單位的快取用於儲存gzip的壓縮結果資料流。4 16k代表以16k為單位,安裝原始資料大小以16k為單位的4倍申請記憶體。
- gzip_http_version 1.0 : 用於識別 http 協議的版本,早期的瀏覽器不支援 Gzip 壓縮,使用者就會看到亂碼,所以為了支援前期版本加上了這個選項,如果你用了 Nginx 的反向代理並期望也啟用 Gzip 壓縮的話,由於末端通訊是 http/1.0,故請設定為 1.0。
- gzip_comp_level 6 : gzip壓縮比,1壓縮比最小處理速度最快,9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)
- gzip_types :匹配mime型別進行壓縮,無論是否指定,”text/html”型別總是會被壓縮的。
- gzip_proxied any : Nginx作為反向代理的時候啟用,決定開啟或者關閉後端伺服器返回的結果是否壓縮,匹配的前提是後端伺服器必須要返回包含”Via”的 header頭。
- gzip_vary on : 和http頭有關係,會在響應頭加個 Vary: Accept-Encoding ,可以讓前端的快取伺服器快取經過gzip壓縮的頁面,例如,用Squid快取經過Nginx壓縮的資料。。
2.2.3 server虛擬主機
http服務上支援若干虛擬主機。每個虛擬主機一個對應的server配置項,配置項裡面包含該虛擬主機相關的配置。在提供mail服務的代理時,也可以建立若干server。每個server通過監聽地址或埠來區分。
- listen
監聽埠,預設80,小於1024的要以root啟動。可以為listen *:80、listen 127.0.0.1:80等形式。 - server_name
伺服器名,如localhost、www.example.com,可以通過正則匹配。
模組http_stream
這個模組通過一個簡單的排程演算法來實現客戶端IP到後端伺服器的負載均衡,upstream後接負載均衡器的名字,後端realserver以 host:port options; 方式組織在 {} 中。如果後端被代理的只有一臺,也可以直接寫在 proxy_pass 。
2.2.4 location
http服務中,某些特定的URL對應的一系列配置項。
- root /var/www/html
定義伺服器的預設網站根目錄位置。如果locationURL匹配的是子目錄或檔案,root沒什麼作用,一般放在server指令裡面或/下。 - index index.jsp index.html index.htm
定義路徑下預設訪問的檔名,一般跟著root放 - proxy_pass http:/backend
請求轉向backend定義的伺服器列表,即反向代理,對應upstream負載均衡器。也可以proxy_pass http://ip:port。 - proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這四個暫且這樣設,如果深究的話,每一個都涉及到很複雜的內容,也將通過另一篇文章來解讀。
關於location匹配規則的寫法,可以說尤為關鍵且基礎的,參考文章 nginx配置location總結及rewrite規則寫法;
2.3 其它
2.3.1 訪問控制 allow/deny
Nginx 的訪問控制模組預設就會安裝,而且寫法也非常簡單,可以分別有多個allow,deny,允許或禁止某個ip或ip段訪問,依次滿足任何一個規則就停止往下匹配。如:
location /nginx-status { stub_status on; access_log off; # auth_basic "NginxStatus"; # auth_basic_user_file /usr/local/nginx-1.6/htpasswd; allow 192.168.10.100; allow 172.29.73.0/24; deny all; }
我們也常用 httpd-devel 工具的 htpasswd 來為訪問的路徑設定登入密碼:
# htpasswd -c htpasswd admin New passwd: Re-type new password: Adding password for user admin # htpasswd htpasswd admin //修改admin密碼 # htpasswd htpasswd sean //多新增一個認證使用者
這樣就生成了預設使用CRYPT加密的密碼檔案。開啟上面nginx-status的兩行註釋,重啟nginx生效。
2.3.2 列出目錄 autoindex
Nginx預設是不允許列出整個目錄的。如需此功能,開啟nginx.conf檔案,在location,server 或 http段中加入autoindex on;,另外兩個引數最好也加上去:
- autoindex_exact_size off; 預設為on,顯示出檔案的確切大小,單位是bytes。改為off後,顯示出檔案的大概大小,單位是kB或者MB或者GB
- autoindex_localtime on;
預設為off,顯示的檔案時間為GMT時間。改為on後,顯示的檔案時間為檔案的伺服器時間
location /images { root /var/www/nginx-default/images; autoindex on; autoindex_exact_size off; autoindex_localtime on; }
參考
- http://liuqunying.blog.51cto.com/3984207/1420556
- http://nginx.org/en/docs/ngx_core_module.html#worker_cpu_affinity
- http://wiki.nginx.org/HttpCoreModule#sendfile
相關文章
- nginx伺服器安裝及配置檔案詳解Nginx伺服器
- Nginx安裝及配置詳解Nginx
- Nginx 伺服器主配置檔案詳解Nginx伺服器
- nginx配置檔案詳解Nginx
- Nginx的配置檔案詳解Nginx
- Nginx伺服器配置檔案nginx.conf例項詳解Nginx伺服器
- Nginx 配置檔案 nginx.conf 詳解Nginx
- Nginx 配置檔案引數詳解Nginx
- nginx安裝及配置Nginx
- Nginx 配置檔案 nginx.conf 中文詳解Nginx
- /etc/nginx/nginx.conf配置檔案詳解Nginx
- Nginx配置檔案nginx.conf中文詳解Nginx
- nginx.conf 配置檔案詳解Nginx
- hadoop配置檔案詳解、安裝及相關操作補充版Hadoop
- 附:Nginx配置檔案nginx.conf中文詳解Nginx
- Nginx配置檔案nginx.conf中文詳解(轉)Nginx
- Nginx配置檔案nginx.conf中文詳解(總結)Nginx
- Docker的安裝配置及使用詳解Docker
- Nginx目錄結構與配置檔案詳解Nginx
- Nginx配置檔案詳解與優化建議Nginx優化
- linux安裝nginx及配置(一)LinuxNginx
- nginx伺服器access_log日誌分析及配置詳解Nginx伺服器
- Nginx配置檔案詳細說明Nginx
- 安裝和配置Nginx Web伺服器NginxWeb伺服器
- 詳解Nginx如何配置Web伺服器NginxWeb伺服器
- Nginx配置檔案(反向代理伺服器)Nginx伺服器
- mac下安裝nginx及相關配置MacNginx
- 詳解Linux(Centos)之安裝Nginx及注意事項LinuxCentOSNginx
- CentOS 7伺服器下Nginx安裝配置CentOS伺服器Nginx
- nginx 文件地址及配置檔案入門Nginx
- 轉:Git伺服器安裝詳解及安裝遇到問題解決方案Git伺服器
- Nagios伺服器端配置檔案詳解(2)iOS伺服器
- nginx配置詳解Nginx
- Nginx實用指南V1(連載之二:Nginx配置檔案詳解)Nginx
- redis 配置檔案詳解Redis
- haproxy配置檔案詳解
- redis配置檔案詳解Redis
- SSH配置檔案詳解