您可以捐助,支持我们的公益事业。

1元 10元 50元





认证码:  验证码,看不清楚?请点击刷新验证码 必填



  求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
   
 
     
   
 订阅
  捐助
Nginx基本功能及其原理
 
作者:joyitsai
   次浏览      
 2020-1-19
 
编辑推荐:
本文详细介绍了如何使用nginx实现负载均衡,nginx如何解决跨域的问题,希望对您的学习有所帮助。
本文来自于简书,由火龙果软件Alice编辑推荐。

一、什么是正向代理和反向代理:

A同学在大众创业的大时代背景下开启他的创业之路,目前他遇到的最大的一个问题就是启动资金,于是他决定去找马云爸爸借钱,可想而知,最后碰一鼻子灰回来了,情急之下,他想到一个办法,找关系开后门,经过一番消息打探,原来A同学的大学老师王老师是马云的同学,于是A同学找到王老师,托王老师帮忙去马云那借500万过来,当然最后事成了。不过马云并不知道这钱是A同学借的,马云是借给王老师的,最后由王老师转交给A同学。这里的王老师在这个过程中扮演了一个非常关键的角色,就是代理,也可以说是正向代理,王老师代替A同学办这件事,这个过程中,真正借钱的人是谁,马云是不知道的,这点非常关键。

我们常说的代理也就是只正向代理,正向代理的过程,它隐藏了真实的请求客户端,服务端不知道真实的客户端是谁,客户端请求的服务都被代理服务器代替来请求,某些科学上网工具扮演的就是典型的正向代理角色。用浏览器访问http://www.google.com时,被残忍的block,于是你可以在国外搭建一台代理服务器,让代理帮我去请求google.com,代理把请求返回的相应结构再返回给我。

大家都有过这样的经历,拨打10086客服电话,可能一个地区的10086客服有几个或者几十个,你永远都不需要关心在电话那头的是哪一个,叫什么,男的,还是女的,漂亮的还是帅气的,你都不关心,你关心的是你的问题能不能得到专业的解答,你只需要拨通了10086的总机号码,电话那头总会有人会回答你,只是有时慢有时快而已。那么这里的10086总机号码就是我们说的反向代理。客户不知道真正提供服务人的是谁。反向代理隐藏了真实的服务端,当我们请求ww.baidu.com 的时候,就像拨打10086一样,背后可能有成千上万台服务器为我们服务,但具体是哪一台,你不知道,也不需要知道,你只需要知道反向代理服务器是谁就好了,www.baidu.com 就是我们的反向代理服务器,反向代理服务器会帮我们把请求转发到真实的服务器那里去。Nginx就是性能非常好的反向代理服务器,用来做负载均衡。

两者的区别在于代理的对象不一样: 正向代理是为客户端代理,反向代理是为服务端代理。

nginx能实现负载均衡,什么是负载均衡呢?就是我的项目部署在不同的服务器上,但是通过统一的域名进入,nginx则对请求进行分发,减轻了服务器的压力。

在上面这两种情况下,nginx服务器的作用都只是作为分发服务器,真正的内容,我们可以放在其他的服务器上,这样来,还能起到一层安全隔壁的作用,nginx作为隔离层。

其次,nginx还能解决跨域的问题。

二、Nginx配置文件的整体结构

1. 从图中可以看出主要包含以下几大部分内容:

全局块

该部分配置主要影响Nginx全局,通常包括下面几个部分:

配置运行Nginx服务器用户(组)

worker process数

Nginx进程PID存放路径

错误日志的存放路径

配置文件的引入

events块

该部分配置主要影响Nginx服务器与用户的网络连接,主要包括:

设置网络连接的序列化

是否允许同时接收多个网络连接

事件驱动模型的选择

最大连接数的配置

http块

定义MIMI-Type

自定义服务日志

允许sendfile方式传输文件

连接超时时间

单连接请求数上限

server块

配置网络监听

基于名称的虚拟主机配置

基于IP的虚拟主机配置

location块

location配置

请求根目录配置

更改location的URI

网站默认首页配置

2. 一份配置清单例析

按照前面文章,给出一份简要的清单配置举例:

图2.1:nginx配置举例

3. 配置运行Nginx服务器用户(组)

指令格式:user user [group];

user:指定可以运行Nginx服务器的用户

group:可选项,可以运行Nginx服务器的用户组

如果user指令不配置或者配置为 user nobody nobody ,则默认所有用户都可以启动Nginx进程

4. worker_process数配置

Nginx服务器实现并发处理服务的关键,指令格式:worker_processes number | auto;

number:Nginx进程最多可以产生的worker process数

auto:Nginx进程将自动检测

按照上文中的配置清单的实验,我们给worker_processes配置的数目是:3,启动Nginx服务器后,我们可以后台看一下主机上的Nginx进程情况:

ps -aux | grep nginx

很明显,理解 worker_processes 这个指令的含义就很容易了

图2.2:查看nginx进程情况

5. Nginx进程PID存放路径

Nginx进程是作为系统守护进程在运行,需要在某文件中保存当前运行程序的主进程号,Nginx支持该保存文件路径的自定义

指令格式:pid file;

file:指定存放路径和文件名称

如果不指定默认置于路径 logs/nginx.pid

6. 错误日志的存放路径

指定格式:error_log file | stderr;

file:日志输出到某个文件file

stderr:日志输出到标准错误输出

7. 配置文件的引入

指令格式:include file;

该指令主要用于将其他的Nginx配置或者第三方模块的配置引用到当前的主配置文件中

8. 设置网络连接的序列化

指令格式:accept_mutex on | off;

该指令默认为on状态,表示会对多个Nginx进程接收连接进行序列化,防止多个进程对连接的争抢。

说到该指令,首先得阐述一下什么是所谓的"惊群问题",可以参考 WIKI百科的解释。就Nginx的场景来解释的话大致的意思就是:当一个新网络连接来到时,多个worker进程会被同时唤醒,但仅仅只有一个进程可以真正获得连接并处理之。如果每次唤醒的进程数目过多的话,其实是会影响一部分性能的。

所以在这里,如果accept_mutex on,那么多个worker将是以串行方式来处理,其中有一个worker会被唤醒;反之若accept_mutex off,那么所有的worker都会被唤醒,不过只有一个worker能获取新连接,其它的worker会重新进入休眠状态

这个值的开关与否其实是要和具体场景挂钩的。

9. 是否允许同时接收多个网络连接

指令格式:multi_accept on | off;

该指令默认为off状态,意指每个worker process 一次只能接收一个新到达的网络连接。若想让每个Nginx的worker process都有能力同时接收多个网络连接,则需要开启此配置

10. 事件驱动模型的选择

指令格式:use model;

model模型可选择项包括:select、poll、kqueue、epoll、rtsig等......

11. 最大连接数的配置

指令格式:worker_connections number;

number默认值为512,表示允许每一个worker process可以同时开启的最大连接数

12. 定义MIME-Type

指令格式:

include mime.types;default_type mime-type;

MIME-Type指的是网络资源的媒体类型,也即前端请求的资源类型

include指令将mime.types文件包含进来

cat mime.types 来查看mime.types文件内容,我们发现其就是一个types结构,里面包含了各种浏览器能够识别的MIME类型以及对应类型的文件后缀名字,如下所示:

13. 自定义服务日志

指令格式:

access_log path [format];

path:自定义服务日志的路径 + 名称

format:可选项,自定义服务日志的字符串格式。其也可以使用 log_format 定义的格式

14. 允许sendfile方式传输文件

指令格式:

sendfile on | off;sendfile_max_chunk size;

前者用于开启或关闭使用sendfile()传输文件,默认off

后者指令若size>0,则Nginx进程的每个worker process每次调用sendfile()传输的数据了最大不能超出此值;若size=0则表示不限制。默认值为0

15. 连接超时时间配置

指令格式:

keepalive_timeout timeout [header_timeout];

timeout 表示server端对连接的保持时间,默认75秒

header_timeout 为可选项,表示在应答报文头部的 Keep-Alive 域设置超时时间:"Keep-Alive : timeout = header_timeout"

16. 单连接请求数上限

指令格式:

keepalive_requests number;

该指令用于限制用户通过某一个连接向Nginx服务器发起请求的次数

17. 配置网络监听

指令格式:

第一种:配置监听的IP地址:listen IP[:PORT];

第二种:配置监听的端口:listen PORT;

实际举例:

listen 192.168.31.177:8080; # 监听具体IP和具体端口上的连接
listen 192.168.31.177; # 监听IP上所有端口上的连接
listen 8080; # 监听具体端口上的所有IP的连接

18. 基于名称和IP的虚拟主机配置

指令格式:

server_name name1 name2 ...

name可以有多个并列名称,而且此处的name支持正则表达式书写

实际举例:

server_name ~^www\d+\.myserver\.com$

此时表示该虚拟主机可以接收类似域名 www1.myserver.com 等的请求而拒绝 www.myserver.com 的域名请求,所以说用正则表达式可以实现更精准的控制

至于基于IP的虚拟主机配置比较简单,不再太赘述:

指令格式:

server_name IP地址

19. location配置

指令格式为:

location [ = | ~ | ~* | ^~ ] uri {...}

这里的uri分为标准uri和正则uri,两者的唯一区别是uri中是否包含正则表达式(URI,是uniform resource identifier,统一资源标识符,用来唯一的标识一个资源。而URL是uniform resource locator,统一资源定位器,它是一种具体的URI,即URL可以用来标识一个资源,而且还指明了如何locate这个资源。)

uri前面的方括号中的内容是可选项,解释如下:

"=":用于标准uri前,要求请求字符串与uri严格匹配,一旦匹配成功则停止

"~":用于正则uri前,并且区分大小写

"~*":用于正则uri前,但不区分大小写

"^~":用于标准uri前,要求Nginx找到标识uri和请求字符串匹配度最高的location后,立即使用此location处理请求,而不再使用location块中的正则uri和请求字符串做匹配

20. 请求根目录配置

指令格式:

root path;

path:Nginx接收到请求以后查找资源的根目录路径

当然,还可以通过alias指令来更改location接收到的URI请求路径,指令为:

alias path; # path为修改后的根路径

21. 设置网站的默认首页

指令格式:

index file ......

file可以包含多个用空格隔开的文件名,首先找到哪个页面,就使用哪个页面响应请求

其实Nginx的配置真的是很简单,对于新手们来说其实最大的问题就是Nginx所有的配置都是基于配置文件和各个模块语法的,这些看着给人的感觉好复杂的样子,其实理解了各个模块的意义和基本语法后就变的尤为简单了!

三、Nginx配置SSL及HTTP跳转到HTTPS

随着微信小程序和appstore对ssl安全的需求,越来越多的网站和app需要支持SSL功能,需要开启https的方式来打开网站或传输数据。

ssl证书网上可以找到收费和免费的申请,nginx配置如下:

Nginx配置SSL并把Http跳转到Https,需要修改Nginx.conf配置文件:

# Settings for a TLS enabled server.
# 如果是http请求默认访问80端口,此时return强行301
重定向到https://www.joyitsai.com
server {
listen 80;
server_name www.joyitsai.com;
return 301 https://www.joyitsai.com$request_uri;
# 把http重定向到https使用了nginx的重定向命令,
之前老版本的nginx可能使用了以下类似的格式:
# rewrite ^/(.*)$ http://www.joyitsai.com/$1 permanent;
# 或者:
# rewrite ^ http://www.joyitsai.com$request_uri?
permanent;
# 现在nginx新版本已经换了种写法,上面这些已经不再推荐。
现在网上可能还有很多文章写的是第一种。
# 新的写法比较推荐方式是:return 301 https://www.joyitsai.com$request_uri;
}
server {
listen 443;
server_name www.joyitsai.com;
root /data/release/weapp/uploadFiles;
# 开启ssl功能
ssl on;
# 配置ssl证书,直接用.pem和.key文件的绝对路径
ssl_certificate/data/release/nginx/1535530361992.pem;
ssl_certificate_key/data/release/nginx/1535530361992.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE - RSA - AES128 - GCM - SHA256:
ECDHE: ECDH: AES: HIGH: !NULL: !aNULL: !MD5: !ADH: !RC4;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://app_weapp;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
location /images/ {
autoindex on;
}
# 配置uri, ~用于正则uri前,其中.(png|jpg)为正则表达式,
如果后缀是.png或.jpg的url请求,则匹配成功
# root用于配置接收到请求以后查找资源的根目录路径
location ~ \.(png|jpg) {
root /data/release/weapp/uploadFiles;
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

   
次浏览       
????

HTTP????
nginx??????
SD-WAN???
5G?????
 
????

??????????
IPv6???????
??????????
???????
????

????????
????????
???????????????
??????????