nginx配置和监控nginx状态页面
nginx配置
一、代理模式
正向代理
正向代理是一种代理服务器,它代表客户端发送请求到目标服务器。客户端向代理服务器发送请求,然后代理服务器将请求转发给目标服务器,并将响应返回给客户端。正向代理隐藏了客户端的真实IP地址和身份,增加了安全性和隐私保护。它还可以用于加速访问速度,缓存数据,过滤内容等功能。常见的正向代理软件有Squid、Nginx等。
正向代理具有以下功能:
- 隐藏客户端的真实IP地址和身份:正向代理服务器代表客户端发送请求,目标服务器只能看到代理服务器的IP地址和身份,而无法获取到客户端的真实信息,增加了隐私和安全性。
- 访问控制和过滤:正向代理可以根据设定的规则对请求进行过滤和访问控制,例如限制特定IP地址或用户的访问,屏蔽恶意网站或内容等。
- 加速访问速度:正向代理服务器可以缓存静态内容,当客户端再次请求相同的内容时,代理服务器可以直接返回缓存的内容,减少了对目标服务器的请求,提高了访问速度。
- 突破访问限制:正向代理可以帮助用户突破网络访问限制,例如访问被封锁的网站或服务,通过代理服务器转发请求,绕过访问限制。
- 访问日志记录和统计:正向代理可以记录客户端的请求日志,用于统计分析和网络管理。
反向代理
反向代理是一种代理服务器,它代表服务器接收客户端的请求,并将请求转发给后端的真实服务器。客户端发送请求到反向代理服务器,反向代理服务器根据一定的规则将请求转发给后端的真实服务器,然后将后端服务器返回的响应返回给客户端。与正向代理不同的是,反向代理隐藏了后端服务器的真实IP地址和身份,增加了安全性和隐私保护。反向代理还可以用于负载均衡、缓存、SSL加密等功能。常见的反向代理软件有Nginx、Apache、HAProxy等。
反向代理具有以下功能:
- 负载均衡:反向代理可以将客户端的请求分发到多个后端服务器上,实现负载均衡,提高系统的性能和可靠性。通过智能地选择后端服务器,可以根据服务器的负载情况进行请求分发,确保各个服务器的负载均衡。
- 缓存和加速:反向代理可以缓存后端服务器返回的内容,当客户端再次请求相同的内容时,代理服务器可以直接返回缓存的内容,减少对后端服务器的请求,提高访问速度。
- SSL加密和安全性:反向代理可以作为SSL终端,与客户端建立加密连接,然后再将请求转发给后端服务器。这样可以增加数据传输的安全性,保护客户端和后端服务器之间的通信。
- 隐藏后端服务器的真实IP地址和身份:反向代理服务器代表后端服务器接收客户端的请求,客户端只能看到代理服务器的IP地址和身份,无法获取到后端服务器的真实信息,增加了安全性和隐私保护。
- 防火墙和安全过滤:反向代理可以作为防火墙的一部分,对请求进行安全过滤和策略控制,例如防止恶意请求、DDoS攻击等。
透明代理
透明代理是一种特殊类型的代理服务器,它在客户端和目标服务器之间进行中转,但对于客户端和目标服务器来说,它是透明的,即客户端和目标服务器不知道自己与代理服务器之间存在代理。透明代理通常是在网络层面上实现的,可以通过网络配置或路由设置来实现。
当客户端发送请求时,透明代理会自动拦截并转发请求到目标服务器,目标服务器将响应返回给代理服务器,代理服务器再将响应返回给客户端。客户端和目标服务器之间的通信完全不知道代理的存在。
透明代理通常用于网络管理和安全控制目的,例如监控和过滤网络流量、实施访问控制策略等。但由于它的透明性,客户端和目标服务器无法感知代理的存在,因此无法主动选择是否使用代理。
透明代理的功能包括:
- 缓存和加速:透明代理服务器可以缓存静态内容,当客户端再次请求相同的内容时,代理服务器可以直接返回缓存的内容,减少对目标服务器的请求,提高访问速度。
- 访问控制和过滤:透明代理服务器可以根据设定的规则对请求进行访问控制和过滤,例如限制特定IP地址或用户的访问,屏蔽恶意网站或内容等。
- 网络安全和隐私保护:透明代理可以作为防火墙的一部分,对请求进行安全过滤和策略控制,例如防止恶意请求、DDoS攻击等。同时,透明代理也可以隐藏客户端的真实IP地址和身份,增加安全性和隐私保护。
- 日志记录和统计:透明代理可以记录客户端的请求日志,用于统计分析和网络管理。
二、nginx简介
Nginx(发音为"engine x")是一款开源的高性能的Web服务器和反向代理服务器。它最初由俄罗斯的工程师Igor Sysoev开发,于2004年首次发布。Nginx被设计为轻量级、高性能、高并发的服务器,特别适用于处理静态资源和高负载的网络应用。
Nginx是一个功能强大、高性能的Web服务器和反向代理服务器,被广泛应用于各种规模的网站和应用程序中。它的简单配置和高性能使得它成为了许多互联网公司和网站的首选服务器。
Nginx的主要特点包括:
- 高性能:Nginx采用异步、非阻塞的事件驱动架构,能够处理大量并发连接而不会消耗过多的系统资源。它具有出色的性能和响应速度,能够处理数千个并发连接。
- 反向代理和负载均衡:Nginx可以作为反向代理服务器,将客户端的请求转发给后端的多个服务器,实现负载均衡和高可用性。它支持多种负载均衡算法,如轮询、IP哈希、最少连接等。
- 静态文件服务:Nginx非常擅长处理静态文件,通过配置简单的指令,可以快速地提供静态资源的访问,例如HTML、CSS、JavaScript、图片等。
- 动态内容处理:Nginx也可以与后端的应用服务器(如PHP、Python、Java等)配合使用,通过FastCGI、uWSGI等协议,实现动态内容的处理和响应。
- SSL/TLS支持:Nginx支持SSL/TLS协议,可以对传输的数据进行加密,提供更安全的通信。
- 日志记录和监控:Nginx能够记录访问日志和错误日志,方便进行故障排查和性能监控。
三、nginx的特性与优点
nginx的特性:
- 在高连接并发的情况下,nginx是Apache服务器不错的替代品,能够支持高达50000个并发连接数的响应
- 使用epoll and kqueue作为开发模型
- nginx作为负载均衡服务器:nginx既可在内部直接支持和PHP程序对外进行服务,也可支持作为HTTP代理服务器对外进行服务
- nginx采用C进行编写,不论系统资源开销还是CPU使用效率都比Perlbal要好很多
nginx的优点:
- 高并发连接:官方测试能够支撑5万并发连接,在实际生产环境中跑到2-3万并发连接数
- 内存消耗少:在3万并发连接下,开启的10个nginx进程才消耗150M内存(15M*10=150M)
- 配置文件非常简单:风格跟程序一样通俗易懂
- 成本低廉:nginx为开源软件,可以免费使用。而购买F5 BIG-IP、NetScaler等硬件负载均衡交换机则需要十多万至几十万人民币
- 支持Rewrite重写规则:能够根据域名、URL的不同,将HTTP请求分到不同的后端服务器群组
- 内置的健康检查功能:如果Nginx Proxy后端的某台Web服务器宕机了,不会影响前端访问
- 节省带宽:支持GZIP压缩,可以添加浏览器本地缓存的Header头
- 稳定性高:用于反向代理,宕机的概率微乎其微
- 模块化设计:模块可以动态编译
- 外围支持好:文档全,二次开发和模块较多
- 支持热部署:可以不停机重载配置文件
- 支持事件驱动、AIO(AsyncIO,异步IO)、mmap(Memory Map,内存映射)等性能优化
四、nginx的功能及应用类别
nginx的基本功能
- 静态文件服务:提供快速且有效的静态文件(如HTML、CSS、JavaScript、图像等)的传递。
- 反向代理:将客户端的请求转发到后端的多个服务器,实现负载均衡和高可用性。
- 负载均衡:将流量分发给多个后端服务器,平衡服务器的负载。
- 支持FastCGI(fpm,LNMP),uWSGI(Python)等
- 模块化(非DSO机制),过滤器zip、SSI及图像的大小调整
- SSL/TLS加密:支持配置和管理SSL/TLS协议,提供安全的通信通道。
nginx的扩展功能
- 基于名称和IP的虚拟主机
- 支持keepalive
- 支持平滑升级
- 定制访问日志、支持使用日志缓冲区提高日志存储性能
- URL重写和重定向:修改URL结构或将请求重定向到其他地址。
- 支持路径别名
- 支持基于IP及用户的访问控制
- 支持速率限制,支持并发数限制
nginx的应用类别
- 使用nginx结合FastCGI运行PHP、JSP、Perl等程序
- 使用nginx作反向代理、负载均衡、规则过滤
- 使用nginx运行静态HTML网页、图片
- nginx与其他新技术的结合应用
五、nginx的模块与工作原理
nginx由内核和模块组成。其中,内核的设计非常微小和简洁,完成的工作也非常简单,仅仅通过查找配置文件将客户端请求映射到一个location block(location是nginx配置中的一个指令,用于URL匹配),而在这个location中所配置的每个指令将会启动不同的模块去完成相应的工作。
nginx的模块
nginx的模块从结构上分为核心模块、基础模块和第三方模块
- HTTP模块、EVENT模块和MAIL模块等属于核心模块
- HTTP Access模块、HTTP FastCGI模块、HTTP Proxy模块和HTTP Rewrite模块属于基本模块
- HTTP Upstream模块、Request Hash模块、Notice模块和HTTP Access Key模块属于第三方模块
- 用户根据自己的需要开发的模块都属于第三方模块。正是有了如此多模块的支撑,nginx的功能才会如此强大
nginx模块从功能上分为三类,分别是:
- Handlers(处理器模块)。此类模块直接处理请求,并进行输出内容和修改headers信息等操作。handlers处理器模块一般只能有一个
- Filters(过滤器模块)。此类模块主要对其他处理器模块输出的内容进行修改操作,最后由nginx输出
- Proxies(代理器模块)。就是nginx的HTTP Upstream之类的模块,这些模块主要与后端一些服务比如fastcgi等操作交互,实现服务代理和负载均衡等功能
- nginx模块分为:核心模块、事件模块、标准Http模块、可选Http模块、邮件模块、第三方模块和补丁等
- nginx基本模块:所谓基本模块,指的是nginx默认的功能模块,它们提供的指令,允许你使用定义nginx基本功能的变量,在编译时不能被禁用,包括:
- 核心模块:基本功能和指令,如进程管理和安全。常见的核心模块指令,大部分是放置在配置文件的顶部
- 事件模块:在Nginx内配置网络使用的能力。常见的events(事件)模块指令,大部分是放置在配置文件的顶部
- 配置模块:提供包含机制
nginx的工作原理
-
nginx的模块直接被编译进nginx,因此属于静态编译方式。
-
启动nginx后,nginx的模块被自动加载,与Apache不一样,首先将模块编译为一个so文件,然后在配置文件中指定是否进行加载。
-
在解析配置文件时,nginx的每个模块都有可能去处理某个请求,但是同一个处理请求只能由一个模块来完成。
六、nginx安装与配置
配置yum源
[root@node1 ~]# curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 2318 100 2318 0 0 12010 0 --:--:-- --:--:-- --:--:-- 12010
[root@node1 ~]#
[root@node1 ~]# ls /etc/yum.repos.d/
CentOS-Base.repo
[root@node1 ~]#
关闭防火墙和selinux
[root@node1 ~]# systemctl disable --now firewalld
Removed /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@node1 ~]# setenforce 0
创建nginx用户
[root@node1 ~]# useradd -r -M -s /sbin/nologin nginx
[root@node1 ~]#
[root@node1 ~]# id nginx
uid=994(nginx) gid=991(nginx) groups=991(nginx)
[root@node1 ~]#
安装依赖包
[root@node1 ~]# yum -y install pcre-devel openssl openssl-devel gd-devel gcc gcc-c++ wget make
Last metadata expiration check: 0:04:46 ago on Wed 18 Oct 2023 02:40:06 PM CST.
...
libxcb-devel-1.13.1-1.el8.x86_64 openssl-devel-1:1.1.1k-5.el8_5.x86_64 pcre2-devel-10.32-2.el8.x86_64
pcre2-utf16-10.32-2.el8.x86_64 pcre2-utf32-10.32-2.el8.x86_64 xorg-x11-proto-devel-2020.1-3.el8.noarch
zlib-devel-1.2.11-17.el8.x86_64
Complete!
[root@node1 ~]#
创建日志存放目录,给目录添加属主和属组
[root@node1 ~]# mkdir /var/log/nginx
[root@node1 ~]# chown -R nginx.nginx /var/log/nginx
[root@node1 ~]# ll /var/log/
total 2816
...
-rw-------. 1 root root 1417506 Sep 24 17:32 messages-20230924
drwxr-xr-x 2 nginx nginx 6 Oct 18 14:47 nginx
drwx------. 2 root root 6 Jul 28 10:38 private
...
[root@node1 ~]#
下载并解压nginx软件包
[root@node1 ~]# cd /usr/src/
[root@node1 src]# wget http://nginx.org/download/nginx-1.24.0.tar.gz
--2023-10-18 15:06:38-- http://nginx.org/download/nginx-1.24.0.tar.gz
...
Saving to: ‘nginx-1.24.0.tar.gz’
nginx-1.24.0.tar.gz 100%[===========================================================>] 1.06M 968KB/s in 1.1s
2023-10-18 15:06:40 (968 KB/s) - ‘nginx-1.24.0.tar.gz’ saved [1112471/1112471]
[root@node1 src]#
[root@node1 src]# tar xf nginx-1.24.0.tar.gz
[root@node1 src]# ls
debug kernels nginx-1.24.0 nginx-1.24.0.tar.gz
[root@node1 src]#
编译安装nginx
[root@node1 src]# cd nginx-1.24.0
[root@node1 nginx-1.24.0]#
[root@node1 nginx-1.24.0]# ./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-debug \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_image_filter_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module \
--http-log-path=/var/log/nginx/access.log \
--error-log-path=/var/log/nginx/error.log
[root@node1 nginx-1.24.0]# ls
auto CHANGES CHANGES.ru conf configure contrib html LICENSE Makefile man objs README src
[root@node1 nginx-1.24.0]#
[root@node1 nginx-1.24.0]# make install
[root@node1 ~]# ls /usr/local/nginx/
conf html logs sbin
[root@node1 ~]#
配置环境变量
[root@node1 ~]# echo 'export PATH=/usr/local/nginx/sbin:$PATH' > /etc/profile.d/nginx.sh
[root@node1 ~]# source /etc/profile.d/nginx.sh
[root@node1 ~]#
[root@node1 ~]# ls /usr/local/nginx/sbin/
nginx
[root@node1 ~]#
配置system功能
[root@node1 ~]# cp /usr/lib/systemd/system/sshd.service /usr/lib/systemd/system/nginx.service
[root@node1 ~]# vi /usr/lib/systemd/system/nginx.service
[root@node1 ~]# cat /usr/lib/systemd/system/nginx.service
[Unit]
Description=nginx server daemon
After=network.target
[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx
ExecStop=/usr/local/nginx/sbin/nginx -s stop
ExecReload=/usr/local/nginx/sbin/nginx -s reload
[Install]
WantedBy=multi-user.target
[root@node1 ~]#
启动nginx
[root@node1 ~]# systemctl daemon-reload
[root@node1 ~]# systemctl enable --now nginx
Created symlink /etc/systemd/system/multi-user.target.wants/nginx.service → /usr/lib/systemd/system/nginx.service.
[root@node1 ~]#
[root@node1 ~]# systemctl status nginx
● nginx.service - nginx server daemon
Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: active (running) since Wed 2023-10-18 15:42:23 CST; 4s ago
Process: 32802 ExecStart=/usr/local/nginx/sbin/nginx (code=exited, status=0/SUCCESS)
...
[root@node1 ~]#
[root@node1 ~]#
[root@node1 ~]# ss -anlt
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 0.0.0.0:80 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
[root@node1 ~]#
网页访问测试
七、nginx的配置文件详解
主配置文件:/usr/local/nginx/conf/nginx.conf
- 默认启动nginx时,使用的配置文件是:安装路径/conf/nginx.conf文件
- 可以在启动nginx时通过-c选项来指定要读取的配置文件
nginx常见的配置文件及其作用
| 配置文件 | 作用 |
|---|---|
| nginx.conf | nginx的基本配置文件 |
| mime.types | MIME类型关联的扩展文件 |
| fastcgi.conf | 与fastcgi相关的配置 |
| proxy.conf | 与proxy相关的配置,编译proxy或者yum装的时候有 |
| sites.conf | 配置nginx提供的网站,包括虚拟主机,编译proxy或者yum装的时候有 |
1.nginx.conf配置详解
nginx.conf的内容分为以下几段:
-
- main配置段:全局配置段。其中main配置段中可能包含event配置段
- event {}:定义event模型工作特性
- http {}:定义http协议相关的配置
配置指令:要以分号结尾,语法格式如下:
derective value1 [value2 ...];
支持使用变量:
- 内置变量:模块会提供内建变量定义
$remote_addr 远程地址
$remote_user 远程用户
$time_local 本地时间
$request 请求资源
$status 状态
$body_bytes_sent 发送主体的字节数
$http_referer 从哪里跳转过来的
$http_user_agent 是什么浏览器
$http_x_forwarded_for 从哪里转发过来的
- 自定义变量:set var_name value
2.用于调试、定位问题的配置参数
daemon {on|off}; //是否以守护进程方式运行nginx,调试时应设置为off
master_process {on|off}; //是否以master/worker模型来运行nginx,调试时可以设置为off
error_log 位置 级别; //配置错误日志
如果你想将nginx放到前台运行可以将daemon参数设置为off
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
[root@localhost ~]# head /usr/local/nginx/conf/nginx.conf
#user nobody;
worker_processes 1;
daemon off;
...
[root@localhost ~]#
重启nginx会卡在这里不动,其实nginx已经开启了,我们开启一个新的终端
[root@localhost ~]# systemctl restart nginx
[root@localhost ~]# ss -anlt
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:80 0.0.0.0:*
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
[root@localhost ~]#
[root@localhost ~]# ps -ef |grep nginx
root 32184 1236 0 16:19 pts/0 00:00:00 systemctl restart nginx
root 32186 1 0 16:19 ? 00:00:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx 32187 32186 0 16:19 ? 00:00:00 nginx: worker process
root 32190 32151 0 16:19 pts/1 00:00:00 grep --color=auto nginx
[root@localhost ~]#
将master_process设置为off
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
master_process off;
...
[root@localhost ~]# nginx -s stop
[root@localhost ~]#
[root@localhost ~]# nginx
[root@localhost ~]#
[root@localhost ~]# ss -anlt
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:80 0.0.0.0:*
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
[root@localhost ~]#
这里nginx就不会分master进程和worker进程了
[root@localhost ~]# ps -ef |grep nginx
root 32210 1 0 16:27 ? 00:00:00 nginx
root 32223 1236 0 16:28 pts/0 00:00:00 grep --color=auto nginx
[root@localhost ~]#
设置错误日志
这三个日志选项只能开启一个
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
...
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
...
[root@localhost ~]#
开启之后就会在nginx目录的logs目录生成日志文件
[root@localhost ~]# nginx -s stop
[root@localhost ~]#
[root@localhost ~]# systemctl restart nginx
[root@localhost ~]#
[root@localhost ~]# cd /usr/local/nginx/logs/
[root@localhost logs]# ls
error.log nginx.pid
[root@localhost logs]#
3.正常运行必备的配置参数
指定用户开启nginx进程,默认为nginx用户
指定student用户开启进程
[root@localhost ~]# useradd -r -M -s /sbin/nologin student
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
[root@localhost ~]# head /usr/local/nginx/conf/nginx.conf
#user nobody;
user student;
worker_processes 1;
...
[root@localhost ~]#
[root@localhost ~]# nginx -s stop
[root@localhost ~]# nginx
[root@localhost ~]# ps -ef |grep nginx
root 32311 1 0 16:50 ? 00:00:00 nginx: master process nginx
student 32312 32311 0 16:50 ? 00:00:00 nginx: worker process
root 32315 1236 0 16:52 pts/0 00:00:00 grep --color=auto nginx
[root@localhost ~]#
4.优化性能的配置参数
worker_processes n; //启动n个worker进程,这里的n为了避免上下文切换,通常设置为cpu总核心数-1或等于总核心数
worker_cpu_affinity cpumask ...; //将进程绑定到某cpu中,避免频繁刷新缓存
//cpumask:使用8位二进制表示cpu核心,如:
0000 0001 //第一颗cpu核心
0000 0010 //第二颗cpu核心
0000 0100 //第三颗cpu核心
0000 1000 //第四颗cpu核心
0001 0000 //第五颗cpu核心
0010 0000 //第六颗cpu核心
0100 0000 //第七颗cpu核心
1000 0000 //第八颗cpu核心
timer_resolution interval; //计时器解析度。降低此值,可减少gettimeofday()系统调用的次数
worker_priority number; //指明worker进程的nice值
示例
启动四个进程,绑定四个核心
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
[root@localhost ~]# head /usr/local/nginx/conf/nginx.conf
#user nobody;
#worker_processes 1;
user nginx;
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;
...
[root@localhost ~]#
[root@localhost ~]# nginx -s stop
[root@localhost ~]#
[root@localhost ~]# nginx
[root@localhost ~]#
[root@localhost ~]# ps -ef |grep nginx
root 32323 1 0 16:56 ? 00:00:00 nginx: master process nginx
nginx 32324 32323 0 16:56 ? 00:00:00 nginx: worker process
nginx 32325 32323 0 16:56 ? 00:00:00 nginx: worker process
nginx 32326 32323 0 16:56 ? 00:00:00 nginx: worker process
nginx 32327 32323 0 16:56 ? 00:00:00 nginx: worker process
root 32329 1236 0 16:56 pts/0 00:00:00 grep --color=auto nginx
[root@localhost ~]#
5.事件相关的配置:event{}段中的配置参数
accept_mutex {off|on}; //master调度用户请求至各worker进程时使用的负载均衡锁;on表示能让多个worker轮流地、序列化地去响应新请求
lock_file file; //accept_mutex用到的互斥锁锁文件路径
use [epoll | rtsig | select | poll]; //指明使用的事件模型,建议让nginx自行选择
worker_connections #; //每个进程能够接受的最大连接数
6.网络连接相关的配置参数
keepalive_timeout number; //长连接的超时时长,默认为65s
keepalive_requests number; //在一个长连接上所能够允许请求的最大资源数
keepalive_disable [msie6|safari|none]; //为指定类型的UserAgent禁用长连接
tcp_nodelay on|off; //是否对长连接使用TCP_NODELAY选项,为了提升用户体验,通常设为on
client_header_timeout number; //读取http请求报文首部的超时时长
client_body_timeout number; //读取http请求报文body部分的超时时长
send_timeout number; //发送响应报文的超时时长
7.fastcgi的相关配置参数
lnmp:php要启用fpm模型
示例
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
...
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}
...
[root@localhost ~]#
8.常需要进行调整的参数
- worker_processes
- worker_connections
- worker_cpu_affinity
- worker_priority
9.nginx作为web服务器时使用的配置:http{}段的配置参数
http{…}:配置http相关,由ngx_http_core_module模块引入。nginx的HTTP配置主要包括四个区块,结构如下:
http {//协议级别
include mime.types;
default_type application/octet-stream;
keepalive_timeout 65;
gzip on;
upstream {//负载均衡配置
...
}
server {//服务器级别,每个server类似于httpd中的一个<VirtualHost>
listen 80;
server_name localhost;
location / {//请求级别,类似于httpd中的<Location>,用于定义URL与本地文件系统的映射关系
root html;
index index.html index.htm;
}
}
}
http{}段配置指令:
server {}:定义一个虚拟主机,示例如下:
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
...
server {
listen 80;
server_name www.idfsoft.com;
root "/vhosts/web";
}
...
[root@localhost ~]#
指定监听的地址和端口
listen address[:port];
listen port;
server_name NAME [...]; 后面可跟多个主机,名称可使用正则表达式或通配符
server_name NAME […]; 后面可跟多个主机,名称可使用正则表达式或通配符
当有多个server时,匹配顺序如下:
- 先做精确匹配检查
- 左侧通配符匹配检查,如
*.idfsoft.com - 右侧通配符匹配检查,如
mail.* - 正则表达式匹配检查,如
~ ^.*\.idfsoft\.com$ - default_server
各种参数说明:
-
root path; 设置资源路径映射,用于指明请求的URL所对应的资源所在的文件系统上的起始路径
-
alias path;用于location配置段,定义路径别名
-
index file;默认主页面
-
index index.php index.html; //这样默认访问的是php的界面
-
error_page code […] [=code] URI | @name 根据http响应状态码来指明特用的错误页面,例如 error_page 404 /404_customed.html
-
将error_page 404 /404.html; 取消注释,/404.html这个文件名可以自定义
在html目录下创建一个名为404.html的文件,里面写入自己想展示的html界面
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
...
error_page 404 /404.html;
...
[root@localhost ~]# systemctl restart nginx
[root@localhost ~]#
[root@localhost ~]# cd /usr/local/nginx/html/
[root@localhost html]# ls
50x.html index.html
[root@localhost html]#
[root@localhost html]# echo "error" >> 404.html
[root@localhost html]#
[root@localhost html]# ls
404.html 50x.html index.html
[root@localhost html]#
访问网页
log_format 定义日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
远程地址 远程用户 本地时间 请求的资源
'$status $body_bytes_sent "$http_referer" '
状态码 主体发送的字节数 是否跳转
'"$http_user_agent" "$http_x_forwarded_for"';
http的用户代理 记录链路中所有代理服务器的请求
access_log logs/access.log main;
注意:此处可用变量为nginx各模块内建变量
找到server下access_log logs/host.access.log main;这一行,取消注释 然后在http中找到下面这三行,全部取消注释
[root@localhost ~]# vi /usr/local/nginx/conf/nginx.conf
...
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main;
...
access_log logs/host.access.log main;
...
[root@localhost html]#
[root@localhost html]# systemctl restart nginx
[root@localhost html]#
[root@localhost html]# cd ../logs/
[root@localhost logs]#
[root@localhost logs]# ls
access.log error.log host.access.log nginx.pid
[root@localhost logs]#
logs目录中多了一个host.access.log文件,用tail命令实时查看日志,用ip访问出页面,然后就会看到这些日志
[root@localhost logs]# tail -f host.access.log
192.168.200.1 - - [22/Oct/2023:17:46:40 +0800] "GET /404.html HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36" "-"
192.168.200.1 - - [22/Oct/2023:17:46:41 +0800] "GET /404.html HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36" "-"
[root@localhost logs]#
10.访问控制
用于location段
allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开
deny:设定禁止哪台或哪些主机访问,多个参数间用空格隔开
示例
allow 192.168.200.22/24 192.168.200.33/24;
deny all;
11.基于用户认证
auth_basic "欢迎信息";
auth_basic_user_file "/path/to/user_auth_file"
user_auth_file内容格式为:
username:password
这里的密码为加密后的密码串,建议用htpasswd来创建此文件:
htpasswd -c -m /path/to/.user_auth_file USERNAME
修改页面
[root@localhost html]# vi index.html
[root@localhost html]# cat index.html
hello world
<a href="/mhy/mhy.html">xinge</a>
[root@localhost html]#
我们要实现点击跳转页面之后,需要身份验证
[root@localhost html]# mkdir mhy
[root@localhost html]# ls
404.html 50x.html index.html mhy
[root@localhost html]# cd mhy/
[root@localhost mhy]#
[root@localhost mhy]# echo "666" >> mhy.html
[root@localhost mhy]#
编辑配置文件,重启服务
[root@localhost ~]# cd /usr/local/nginx/conf/
[root@localhost conf]# touch pass
[root@localhost conf]# vi /usr/local/nginx/conf/nginx.conf
...
location /mhy {
auth_basic "aaa";
auth_basic_user_file "/usr/local/nginx/conf/pass";
root html;
index mhy.html;
}
...
[root@localhost ~]# systemctl restart nginx
[root@localhost ~]#
下载命令依赖包
[root@localhost ~]# yum -y install httpd-tools
生成密码文件
[root@localhost conf]# htpasswd -c -m pass mhy
New password:
Re-type new password:
Adding password for user mhy
[root@localhost conf]#
[root@localhost conf]# cat pass
mhy:$apr1$6nOS0OUx$e3LSwYjbJRIL183yOVZDg.
[root@localhost conf]#
用ip访问页面测试
访问mhy目录下的mhy.html需要密码
12.https配置
生成私钥,生成证书签署请求并获得证书,然后在nginx.conf中配置如下内容
server {
listen 443 ssl;
server_name www.idfsoft.com;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
13.开启状态界面
[root@localhost ~]# cd /usr/local/nginx/conf/
[root@localhost conf]# vi nginx.conf
...
location /status {
stub_status on;
}
...
[root@localhost conf]# systemctl restart nginx
访问status页面
状态页面信息详解:
| 状态码 | 表示的意义 |
|---|---|
| Active connections 2 | 当前所有处于打开状态的连接数 |
| accepts | 总共处理了多少个连接 |
| handled | 成功创建多少握手 |
| requests | 总共处理了多少个请求 |
| Reading | nginx读取到客户端的Header信息数,表示正处于接收请求状态的连接数 |
| Writing | nginx返回给客户端的Header信息数,表示请求已经接收完成, 且正处于处理请求或发送响应的过程中的连接数 |
zabbix监控nginx状态页面
环境准备
| 主机名 | ip地址 | 环境说明 |
|---|---|---|
| controller | 192.168.200.10 | zabbix_server |
| node1 | 192.168.200.20 | zabbix_agentd、nginx |
zabbix_server部署请参考:zabbix监控部署-优快云博客
zabbix_agentd部署请参考:zabbix监控配置流程
nginx部署请参考:lnmp部署-优快云博客
开启状态界面
[root@node1 ~]# cd /usr/local/nginx/conf/
[root@node1 conf]# vi nginx.conf
...
location /status {
stub_status on;
}
...
[root@node1 conf]# systemctl restart nginx
访问状态页面
在客户端开启自定义监控功能
[root@node1 ~]# cd /usr/local/etc/
[root@node1 etc]#
[root@node1 etc]# vi zabbix_agentd.conf
...
# UnsafeUserParameters=0
UnsafeUserParameters=1
[root@node1 etc]#
创建一个目录用来存放脚本,编写查看状态页面的脚本
[root@node1 ~]# mkdir /scripts
[root@node1 ~]# cd /scripts/
[root@node1 scripts]#
[root@node1 scripts]# vi nginx.sh
[root@node1 scripts]# cat nginx.sh
#!/bin/bash
case $1 in
"reading")
curl -s http://192.168.200.20/status | awk 'NR==4{print $2}'
;;
"writing")
curl -s http://192.168.200.20/status | awk 'NR==4{print $4}'
;;
"waiting")
curl -s http://192.168.200.20/status | awk 'NR==4{print $6}'
;;
esac
[root@node1 scripts]#
[root@node1 scripts]# chmod +x nginx.sh
[root@node1 scripts]#
[root@node1 scripts]# ll
total 20
...
-rwxr-xr-x 1 root root 314 Oct 18 22:53 nginx.sh
[root@node1 scripts]#
添加自定义监控项,重启服务
[root@node1 ~]# cd /usr/local/etc/
[root@node1 etc]#
[root@node1 etc]# vi zabbix_agentd.conf
...
# ListenBacklog=
UserParameter=nginx_agentd[*],/bin/bash /scripts/nginx.sh $1
[root@node1 etc]#
[root@node1 etc]# systemctl restart zabbix_agentd
在服务端测试
[root@controller ~]# zabbix_get -s 192.168.200.20 -k nginx_agentd[reading]
0
[root@controller ~]#
添加nginx主机
添加监控项
添加 reading 监控项
添加 Writing 监控项
添加 Waiting 监控项
添加触发器
添加 reading 触发器
添加 Writing 触发器
添加Waiting 触发器
手动触发测试
[root@controller ~]# curl -s http://192.168.200.20/status
Active connections: 1
server accepts handled requests
324 324 364
Reading: 0 Writing: 1 Waiting: 0
[root@controller ~]#
成功触发报警
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
