转载–Nginx基本功能及其原理

一、什么是正向代理和反向代理:

A同学在大众创业的大时代背景下开启他的创业之路,目前他遇到的最大的一个问题就是启动资金,于是他决定去找马云爸爸借钱,可想而知,最后碰一鼻子灰回来了,情急之下,他想到一个办法,找关系开后门,经过一番消息打探,原来A同学的大学老师王老师是马云的同学,于是A同学找到王老师,托王老师帮忙去马云那借500万过来,当然最后事成了。不过马云并不知道这钱是A同学借的,马云是借给王老师的,最后由王老师转交给A同学。这里的王老师在这个过程中扮演了一个非常关键的角色,就是代理,也可以说是正向代理,王老师代替A同学办这件事,这个过程中,真正借钱的人是谁,马云是不知道的,这点非常关键。

我们常说的代理也就是只正向代理,正向代理的过程,它隐藏了真实的请求客户端,服务端不知道真实的客户端是谁,客户端请求的服务都被代理服务器代替来请求,某些科学上网工具扮演的就是典型的正向代理角色。用浏览器访问 http://www.google.com 时,被残忍的block,于是你可以在国外搭建一台代理服务器,让代理帮我去请求google.com,代理把请求返回的相应结构再返回给我。

img

图1.1: 正向代理示意图

大家都有过这样的经历,拨打10086客服电话,可能一个地区的10086客服有几个或者几十个,你永远都不需要关心在电话那头的是哪一个,叫什么,男的,还是女的,漂亮的还是帅气的,你都不关心,你关心的是你的问题能不能得到专业的解答,你只需要拨通了10086的总机号码,电话那头总会有人会回答你,只是有时慢有时快而已。那么这里的10086总机号码就是我们说的反向代理。客户不知道真正提供服务人的是谁。反向代理隐藏了真实的服务端,当我们请求ww.baidu.com 的时候,就像拨打10086一样,背后可能有成千上万台服务器为我们服务,但具体是哪一台,你不知道,也不需要知道,你只需要知道反向代理服务器是谁就好了,www.baidu.com 就是我们的反向代理服务器,反向代理服务器会帮我们把请求转发到真实的服务器那里去。Nginx就是性能非常好的反向代理服务器,用来做负载均衡。

两者的区别在于代理的对象不一样: 正向代理是为客户端代理,反向代理是为服务端代理。

img

图1.2: 反向代理示意图

nginx能实现负载均衡,什么是负载均衡呢?就是我的项目部署在不同的服务器上,但是通过统一的域名进入,nginx则对请求进行分发,减轻了服务器的压力。

在上面这两种情况下,nginx服务器的作用都只是作为分发服务器,真正的内容,我们可以放在其他的服务器上,这样来,还能起到一层安全隔壁的作用,nginx作为隔离层。

其次,nginx还能解决跨域的问题。

二、Nginx配置文件的整体结构

img

图2.1: nginx配置文件的整体结构

1. 从图中可以看出主要包含以下几大部分内容:

  • 全局块

该部分配置主要影响Nginx全局,通常包括下面几个部分:

配置运行Nginx服务器用户(组)
worker process数
Nginx进程PID存放路径
错误日志的存放路径
配置文件的引入

  • events块

该部分配置主要影响Nginx服务器与用户的网络连接,主要包括:

设置网络连接的序列化
是否允许同时接收多个网络连接
事件驱动模型的选择
最大连接数的配置

  • http块

定义MIMI-Type
自定义服务日志
允许sendfile方式传输文件
连接超时时间
单连接请求数上限

  • server块

配置网络监听
基于名称的虚拟主机配置
基于IP的虚拟主机配置

  • location块

location配置
请求根目录配置
更改location的URI
网站默认首页配置

2. 一份配置清单例析

按照前面文章,给出一份简要的清单配置举例:

img

图2.1:nginx配置举例

3. 配置运行Nginx服务器用户(组)

指令格式:user user [group];

user:指定可以运行Nginx服务器的用户

group:可选项,可以运行Nginx服务器的用户组

如果user指令不配置或者配置为 user nobody nobody ,则默认所有用户都可以启动Nginx进程

4. worker_process数配置

Nginx服务器实现并发处理服务的关键,指令格式:worker_processes number | auto;

number:Nginx进程最多可以产生的worker process数

auto:Nginx进程将自动检测

按照上文中的配置清单的实验,我们给worker_processes配置的数目是:3,启动Nginx服务器后,我们可以后台看一下主机上的Nginx进程情况:

ps -aux | grep nginx

很明显,理解 worker_processes 这个指令的含义就很容易了

img

图2.2:查看nginx进程情况

5. Nginx进程PID存放路径

Nginx进程是作为系统守护进程在运行,需要在某文件中保存当前运行程序的主进程号,Nginx支持该保存文件路径的自定义

指令格式:pid file;

file:指定存放路径和文件名称

如果不指定默认置于路径 logs/nginx.pid

6. 错误日志的存放路径

指定格式:error_log file | stderr;

file:日志输出到某个文件file

stderr:日志输出到标准错误输出

7. 配置文件的引入

指令格式:include file;

该指令主要用于将其他的Nginx配置或者第三方模块的配置引用到当前的主配置文件中

8. 设置网络连接的序列化

指令格式:accept_mutex on | off;

该指令默认为on状态,表示会对多个Nginx进程接收连接进行序列化,防止多个进程对连接的争抢。

说到该指令,首先得阐述一下什么是所谓的”惊群问题”,可以参考 WIKI百科的解释。就Nginx的场景来解释的话大致的意思就是:当一个新网络连接来到时,多个worker进程会被同时唤醒,但仅仅只有一个进程可以真正获得连接并处理之。如果每次唤醒的进程数目过多的话,其实是会影响一部分性能的。

所以在这里,如果accept_mutex on,那么多个worker将是以串行方式来处理,其中有一个worker会被唤醒;反之若accept_mutex off,那么所有的worker都会被唤醒,不过只有一个worker能获取新连接,其它的worker会重新进入休眠状态

这个值的开关与否其实是要和具体场景挂钩的。

9. 是否允许同时接收多个网络连接

指令格式:multi_accept on | off;

该指令默认为off状态,意指每个worker process 一次只能接收一个新到达的网络连接。若想让每个Nginx的worker process都有能力同时接收多个网络连接,则需要开启此配置

10. 事件驱动模型的选择

指令格式:use model;

model模型可选择项包括:select、poll、kqueue、epoll、rtsig等……

11. 最大连接数的配置

指令格式:worker_connections number;

number默认值为512,表示允许每一个worker process可以同时开启的最大连接数

12. 定义MIME-Type

指令格式:

include mime.types;default_type mime-type;

MIME-Type指的是网络资源的媒体类型,也即前端请求的资源类型

include指令将mime.types文件包含进来

cat mime.types 来查看mime.types文件内容,我们发现其就是一个types结构,里面包含了各种浏览器能够识别的MIME类型以及对应类型的文件后缀名字,如下所示:

img

13. 自定义服务日志

指令格式:

access_log path [format];

path:自定义服务日志的路径 + 名称

format:可选项,自定义服务日志的字符串格式。其也可以使用 log_format 定义的格式

14. 允许sendfile方式传输文件

指令格式:

sendfile on | off;sendfile_max_chunk size;

前者用于开启或关闭使用sendfile()传输文件,默认off

后者指令若size>0,则Nginx进程的每个worker process每次调用sendfile()传输的数据了最大不能超出此值;若size=0则表示不限制。默认值为0

15. 连接超时时间配置

指令格式:

keepalive_timeout timeout [header_timeout];

timeout 表示server端对连接的保持时间,默认75秒

header_timeout 为可选项,表示在应答报文头部的 Keep-Alive 域设置超时时间:”Keep-Alive : timeout = header_timeout”

16. 单连接请求数上限

指令格式:

keepalive_requests number;

该指令用于限制用户通过某一个连接向Nginx服务器发起请求的次数

17. 配置网络监听

指令格式:

第一种:配置监听的IP地址:listen IP[:PORT];

第二种:配置监听的端口:listen PORT;

实际举例:

listen 192.168.31.177:8080;   # 监听具体IP和具体端口上的连接
listen 192.168.31.177; # 监听IP上所有端口上的连接
listen 8080; # 监听具体端口上的所有IP的连接

18. 基于名称和IP的虚拟主机配置

指令格式:

server_name name1 name2 ...

name可以有多个并列名称,而且此处的name支持正则表达式书写

实际举例:

server_name ~^www\d+\.myserver\.com$

此时表示该虚拟主机可以接收类似域名 www1.myserver.com 等的请求而拒绝 www.myserver.com 的域名请求,所以说用正则表达式可以实现更精准的控制

至于基于IP的虚拟主机配置比较简单,不再太赘述:

指令格式:

server_name IP地址

19. location配置

指令格式为:

location [ = | ~ | ~* | ^~ ] uri {...}

这里的uri分为标准uri和正则uri,两者的唯一区别是uri中是否包含正则表达式(URI,是uniform resource identifier,统一资源标识符,用来唯一的标识一个资源。而URL是uniform resource locator,统一资源定位器,它是一种具体的URI,即URL可以用来标识一个资源,而且还指明了如何locate这个资源。)

uri前面的方括号中的内容是可选项,解释如下:

"=":用于标准uri前,要求请求字符串与uri严格匹配,一旦匹配成功则停止

"~":用于正则uri前,并且区分大小写

"~*":用于正则uri前,但不区分大小写

"^~":用于标准uri前,要求Nginx找到标识uri和请求字符串匹配度最高的location后,立即使用此location处理请求,而不再使用location块中的正则uri和请求字符串做匹配

20. 请求根目录配置

指令格式:

root path;

path:Nginx接收到请求以后查找资源的根目录路径

当然,还可以通过alias指令来更改location接收到的URI请求路径,指令为:

alias path; # path为修改后的根路径

21. 设置网站的默认首页

指令格式:

index file ......

file可以包含多个用空格隔开的文件名,首先找到哪个页面,就使用哪个页面响应请求

其实Nginx的配置真的是很简单,对于新手们来说其实最大的问题就是Nginx所有的配置都是基于配置文件和各个模块语法的,这些看着给人的感觉好复杂的样子,其实理解了各个模块的意义和基本语法后就变的尤为简单了!

三、Nginx配置SSL及HTTP跳转到HTTPS

随着微信小程序和appstore对ssl安全的需求,越来越多的网站和app需要支持SSL功能,需要开启https的方式来打开网站或传输数据。

ssl证书网上可以找到收费和免费的申请,nginx配置如下:

Nginx配置SSL并把Http跳转到Https,需要修改Nginx.conf配置文件:

# Settings for a TLS enabled server.

# 如果是http请求默认访问80端口,此时return强行301重定向到https://www.joyitsai.com

server {

listen 80;

server_name www.joyitsai.com;

return 301 https://www.joyitsai.com$request_uri;

# 把http重定向到https使用了nginx的重定向命令,之前老版本的nginx可能使用了以下类似的格式:
# rewrite ^/(.*)$ http://www.joyitsai.com/$1 permanent;
# 或者:
# rewrite ^ http://www.joyitsai.com$request_uri? permanent;
# 现在nginx新版本已经换了种写法,上面这些已经不再推荐。现在网上可能还有很多文章写的是第一种。
# 新的写法比较推荐方式是:return 301 https://www.joyitsai.com$request_uri;
}

server {

listen 443;
server_name www.joyitsai.com;
root /data/release/weapp/uploadFiles;

# 开启ssl功能
ssl on;

# 配置ssl证书,直接用.pem和.key文件的绝对路径

ssl_certificate/data/release/nginx/1535530361992.pem;

ssl_certificate_key/data/release/nginx/1535530361992.key;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE - RSA - AES128 - GCM - SHA256: ECDHE: ECDH: AES: HIGH: !NULL: !aNULL: !MD5: !ADH: !RC4;

ssl_prefer_server_ciphers on;

location / {

proxy_pass http://app_weapp;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection 'upgrade';

proxy_set_header Host $host;

proxy_cache_bypass $http_upgrade;

}

location /images/ {
autoindex on;
}

# 配置uri, ~用于正则uri前,其中.(png|jpg)为正则表达式,如果后缀是.png或.jpg的url请求,则匹配成功
# root用于配置接收到请求以后查找资源的根目录路径

location ~ \.(png|jpg) {
root /data/release/weapp/uploadFiles;
}

error_page 404 /404.html;

location = /40x.html {
}

error_page 500 502 503 504 /50x.html;

location = /50x.html {
}
}

作者:0mei
链接:https://www.jianshu.com/p/d8bd75c0fb1b
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。