Nginx

nginx架构

进程模型

nginx在启动后，在unix系统中会以daemon的方式在后台运行，后台进程包含一个master进程和多个worker进程。

我们也可以手动地关掉后台模式，让nginx在前台运行，并且通过配置让nginx取消master进程，从而可以使nginx以单进程方式运行。很显然，生产环境下我们肯定不会这么做，所以关闭后台模式，一般是用来调试用的。

所以，我们可以看到，nginx是以多进程的方式来工作的，当然nginx也是支持多线程的方式的，只是我们主流的方式还是多进程的方式，也是nginx的默认方式。nginx采用多进程的方式有诸多好处，所以我就主要讲解nginx的多进程模式吧。

刚才讲到，nginx在启动后，

• 会有一个master进程和多个worker进程。

• master进程主要用来管理worker进程，包含：接收来自外界的信号，向各worker进程发送信号，监控worker进程的运行状态，当worker进程退出后(异常情况下)，会自动重新启动新的worker进程。

• 而基本的网络事件，则是放在worker进程中来处理了。多个worker进程之间是对等的，他们同等竞争来自客户端的请求，各进程互相之间是独立的。一个请求，只可能在一个worker进程中处理，一个worker进程，不可能处理其它进程的请求。

• worker进程的个数是可以设置的，一般我们会设置与机器cpu核数一致，这里面的原因与nginx的进程模型以及事件处理模型是分不开的。nginx的进程模型，可以由下图来表示：
  在nginx启动后，如果我们要操作nginx，要怎么做呢？从上文中我们可以看到，master来管理worker进程，所以我们只需要与master进程通信就行了。master进程会接收来自外界发来的信号，再根据信号做不同的事情。所以我们要控制nginx，只需要通过kill向master进程发送信号就行了。比如kill -HUP pid，则是告诉nginx，从容地重启nginx，我们一般用这个信号来重启nginx，或重新加载配置，因为是从容地重启，因此服务是不中断的。master进程在接收到HUP信号后是怎么做的呢？首先master进程在接到信号后，会先重新加载配置文件，然后再启动新的worker进程，并向所有老的worker进程发送信号，告诉他们可以光荣退休了。新的worker在启动后，就开始接收新的请求，而老的worker在收到来自master的信号后，就不再接收新的请求，并且在当前进程中的所有未处理完的请求处理完成后，再退出。当然，直接给master进程发送信号，这是比较老的操作方式，nginx在0.8版本之后，引入了一系列命令行参数，来方便我们管理。比如，./nginx -s reload，就是来重启nginx，./nginx -s stop，就是来停止nginx的运行。如何做到的呢？我们还是拿reload来说，我们看到，执行命令时，我们是启动一个新的nginx进程，而新的nginx进程在解析到reload参数后，就知道我们的目的是控制nginx来重新加载配置文件了，它会向master进程发送信号，然后接下来的动作，就和我们直接向master进程发送信号一样了。
  在nginx启动后，如果我们要操作nginx，要怎么做呢？从上文中我们可以看到，master来管理worker进程，所以我们只需要与master进程通信就行了。master进程会接收来自外界发来的信号，再根据信号做不同的事情。所以我们要控制nginx，只需要通过kill向master进程发送信号就行了。比如kill -HUP pid，则是告诉nginx，从容地重启nginx，我们一般用这个信号来重启nginx，或重新加载配置，因为是从容地重启，因此服务是不中断的。master进程在接收到HUP信号后是怎么做的呢？首先master进程在接到信号后，会先重新加载配置文件，然后再启动新的worker进程，并向所有老的worker进程发送信号，告诉他们可以光荣退休了。新的worker在启动后，就开始接收新的请求，而老的worker在收到来自master的信号后，就不再接收新的请求，并且在当前进程中的所有未处理完的请求处理完成后，再退出。

  当然，直接给master进程发送信号，这是比较老的操作方式，nginx在0.8版本之后，引入了一系列命令行参数，来方便我们管理。比如，./nginx -s reload，就是来重启nginx，./nginx -s stop，就是来停止nginx的运行。如何做到的呢？我们还是拿reload来说，我们看到，执行命令时，我们是启动一个新的nginx进程，而新的nginx进程在解析到reload参数后，就知道我们的目的是控制nginx来重新加载配置文件了，它会向master进程发送信号，然后接下来的动作，就和我们直接向master进程发送信号一样了。

worker进程又是如何处理请求的呢？

我们前面有提到，worker进程之间是平等的，每个进程，处理请求的机会也是一样的。

当我们提供80端口的http服务时，一个连接请求过来，每个进程都有可能处理这个连接，怎么做到的呢？首先，每个worker进程都是从master进程fork过来，在master进程里面，先建立好需要listen的socket（listenfd）之后，然后再fork出多个worker进程。所有worker进程的listenfd会在新连接到来时变得可读，为保证只有一个进程处理该连接，所有worker进程在注册listenfd读事件前抢accept_mutex(避免惊群效应)，抢到互斥锁的那个进程注册listenfd读事件，在读事件里调用accept接受该连接。

当一个worker进程在accept这个连接之后，就开始读取请求，解析请求，处理请求，产生数据后，再返回给客户端，最后才断开连接，这样一个完整的请求就是这样的了。我们可以看到，一个请求，完全由worker进程来处理，而且只在一个worker进程中处理。

事件模型

事件模型：非阻塞io，异步通知
现在，知道了nginx为什么会选择这样的进程模型与事件模型了。对于一个基本的web服务器来说，事件通常有三种类型，网络事件、信号、定时器。从上面的讲解中知道，网络事件通过异步非阻塞可以很好的解决掉。如何处理信号与定时器？

定时

来看看定时器。由于epoll_wait等函数在调用的时候是可以设置一个超时时间的，所以nginx借助这个超时时间来实现定时器。nginx里面的定时器事件是放在一颗维护定时器的红黑树里面，每次在进入epoll_wait前，先从该红黑树里面拿到所有定时器事件的最小时间，在计算出epoll_wait的超时时间后进入epoll_wait。所以，当没有事件产生，也没有中断信号时，epoll_wait会超时，也就是说，定时器事件到了。这时，nginx会检查所有的超时事件，将他们的状态设置为超时，然后再去处理网络事件。由此可以看出，当我们写nginx代码时，在处理网络事件的回调函数时，通常做的第一个事情就是判断超时，然后再去处理网络事件。

Nginx的安装，启停控制

Nginx服务的信号控制

在Linux平台下，控制Nginx服务的启停有不止一种方法。

在Nginx服务的启停办法中，有一类是通过信号机制来实现的，因此，我们先来介绍一下Nginx服务器的信号控制。

Nginx服务在运行时，会保持一个主进程和一个或多个worker process工作进程。

• 我们通过给Nginx服务的主进程发送信号就可以控制服务的启停了。

那么，如何给主进程发送信号呢？首先要知道主进程的进程号PID。获取PID有两个途径。

• 一个是，在Nginx服务启动以后，默认在Nginx服务器安装目录下的logs目录中会产生文件名为nginx.pid的文件，此文件中保持的就是Nginx服务主进程的PID。这个文件的存放路径和文件名都可以在Nginx服务器的配置文件中进行配置，我们在下一节中可以看到详细过程。
• 第二个获取Nginx服务主进程PID的办法是使用Linux平台下查看进程的工具ps

Nginx服务主进程能够接收的信号如表

可以使用kill [SIGNAL] pid

服务的停止

停止Nginx服务有两种方法：一种是快速停止；一种是平缓停止。快速停止是指立即停止当前Nginx服务正在处理的所有网络请求，马上丢弃连接，停止工作；平缓停止是指允许Nginx服务将当前正在处理的网络请求处理完成，但不再接收新的请求，之后关闭连接，停止工作

重启

基本概念

connection

在nginx中connection就是对tcp连接的封装，其中包括连接的socket，读事件，写事件。利用nginx封装的connection，我们可以很方便的使用nginx来处理与连接相关的事情，比如，建立连接，发送与接受数据等。而nginx中的http请求的处理就是建立在connection之上的，所以nginx不仅可以作为一个web服务器，也可以作为邮件服务器。当然，利用nginx提供的connection，我们可以与任何后端服务打交道。

在nginx中，每个进程会有一个连接数的最大上限，这个上限与系统对fd的限制不一样。在操作系统中，通过ulimit -n，我们可以得到一个进程所能够打开的fd的最大数，即nofile，因为每个socket连接会占用掉一个fd，所以这也会限制我们进程的最大连接数，当然也会直接影响到我们程序所能支持的最大并发数，当fd用完后，再创建socket时，就会失败。nginx通过设置worker_connectons来设置每个进程支持的最大连接数。如果该值大于nofile，那么实际的最大连接数是nofile，nginx会有警告。nginx在实现时，是通过一个连接池来管理的，每个worker进程都有一个独立的连接池，连接池的大小是worker_connections。这里的连接池里面保存的其实不是真实的连接，它只是一个worker_connections大小的一个ngx_connection_t结构的数组。并且，nginx会通过一个链表free_connections来保存所有的空闲ngx_connection_t，每次获取一个连接时，就从空闲连接链表中获取一个，用完后，再放回空闲连接链表里面。

在这里，很多人会误解worker_connections这个参数的意思，认为这个值就是nginx所能建立连接的最大值。其实不然，这个值是表示每个worker进程所能建立连接的最大值，所以，一个nginx能建立的最大连接数，应该是worker_connections * worker_processes。当然，这里说的是最大连接数，对于HTTP请求本地资源来说，能够支持的最大并发数量是worker_connections * worker_processes，而如果是HTTP作为反向代理来说，最大并发数量应该是worker_connections * worker_processes/2。因为作为反向代理服务器，每个并发会建立与客户端的连接和与后端服务的连接，会占用两个连接。

request

这节我们讲request，在nginx中我们指的是http请求，具体到nginx中的数据结构是ngx_http_request_t。ngx_http_request_t是对一个http请求的封装。 我们知道，一个http请求，包含请求行、请求头、请求体、响应行、响应头、响应体。

功能特性

剖析conf文件

Nginx 配置文件模块以及包含关系

• 全局块：配置影响nginx全局的指令。一般有运行nginx服务器的用户组，nginx进程pid存放路径，日志存放路径，配置文件引入，允许生成worker process数等。
• events块：配置影响nginx服务器或与用户的网络连接。有每个进程的最大连接数，选取哪种事件驱动模型处理连接请求，是否允许同时接受多个网路连接，开启多个网络连接序列化等。
• http块：可以嵌套多个server，配置代理，缓存，日志定义等绝大多数功能和第三方模块的配置。如文件引入，mime-type定义，日志自定义，是否使用sendfile传输文件，连接超时时间，单连接请求数等。
  • server（主机设置）：server 部分的指令主要用于制定虚拟主机域名、IP 和端口号；
    • location（URL匹配特定位置后的设置），location 部分用于匹配网页位置（比如，根目录“/”，“/images”，等等）。
  • upstream（上游服务器设置）upstream 的指令用于设置一系列的后端服务器，设置反向代理及后端服务器的负载均衡；

注意：

• upstream是上游服务，即后台服务，可以对应多个server。在这里进行负载均衡和反向代理

      upstream backend_server {
          server   10.254.244.20:81 weight=1 max_fails=2 fail_timeout=30s;
          server   10.254.242.40:81 weight=1 max_fails=2 fail_timeout=30s;
          }
  

• 如何实现根据不同域名找到不同的服务？

  • 配置不同的server，根据不同的域名，进入不同的server块
  • server块中的location块里的proxy_pass 转发到具体的服务中。

        location / {
            proxy_pass http://127.0.0.1:9001;
        }

• 如何配置网关：将某个域名下的服务所有路径映射到一个服务实例上就好了location / {...}

• 如何绕过网关：对于某个url路径进行具体配置到某个服务路径下，然后重写url。

      server {
          listen       80;
          server_name  api.leyou.com;
          proxy_set_header X-Forwarded-Host $host;
          proxy_set_header X-Forwarded-Server $host;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          # 上传路径的映射
          location /api/upload {  
              proxy_pass http://127.0.0.1:8082;
              proxy_connect_timeout 600;
              proxy_read_timeout 600;
              
              rewrite "^/api/(.*)$" /$1 break; 
          }
          
          location / {
              proxy_pass http://127.0.0.1:10010;
              proxy_connect_timeout 600;
              proxy_read_timeout 600;
          }
      }
  

  简单版配置

########### 每个指令必须有分号结束。#################
#user administrator administrators;  #配置用户或者组，默认为nobody nobody。
#worker_processes 2;  #允许生成的进程数，默认为1
#pid /nginx/pid/nginx.pid;   #指定nginx进程运行文件存放地址
error_log log/error.log debug;  #制定日志路径，级别。这个设置可以放入全局块，http块，server块，级别以此为：debug|info|notice|warn|error|crit|alert|emerg
events {
    accept_mutex on;   #设置网路连接序列化，防止惊群现象发生，默认为on
    multi_accept on;  #设置一个进程是否同时接受多个网络连接，默认为off
    #use epoll;      #事件驱动模型，select|poll|kqueue|epoll|resig|/dev/poll|eventport
    worker_connections  1024;    #最大连接数，默认为512
}
http {
    include       mime.types;   #文件扩展名与文件类型映射表
    default_type  application/octet-stream; #默认文件类型，默认为text/plain
    #access_log off; #取消服务日志    
    log_format myFormat '$remote_addr–$remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for'; #自定义格式
    access_log log/access.log myFormat;  #combined为日志格式的默认值
    sendfile on;   #允许sendfile方式传输文件，默认为off，可以在http块，server块，location块。
    sendfile_max_chunk 100k;  #每个进程每次调用传输数量不能大于设定的值，默认为0，即不设上限。
    keepalive_timeout 65;  #连接超时时间，默认为75s，可以在http，server，location块。

    upstream mysvr {   
      server 127.0.0.1:7878;
      server 192.168.10.121:3333 backup;  #热备
    }
    error_page 404 https://www.baidu.com; #错误页
    server {
        keepalive_requests 120; #单连接请求上限次数。
        listen       4545;   #监听端口
        server_name  127.0.0.1;   #监听地址       
        location  ~*^.+$ {       #请求的url过滤，正则匹配，~为区分大小写，~*为不区分大小写。
           #root path;  #根目录
           #index vv.txt;  #设置默认页
           proxy_pass  http://mysvr;  #请求转向mysvr 定义的服务器列表
           deny 127.0.0.1;  #拒绝的ip
           allow 172.18.5.54; #允许的ip           
        } 
    }
}

复杂版的，功能很全

########### 每个指令必须有分号结束。#################
#配置用户或者组，默认为nobody nobody。
#user administrator administrators;  
#允许生成的进程数，默认为1
#worker_processes 2;  
#指定nginx进程运行文件存放地址
#pid /nginx/pid/nginx.pid;   
#制定日志路径，级别。这个设置可以放入全局块，http块，server块，级别以此为：#debug|info|notice|warn|error|crit|alert|emerg
error_log logs/error.log debug;  
#最大文件打开数（连接），可设置为系统优化后的ulimit -HSn的结果
worker_rlimit_nofile 51200;
 
events {
    #设置网路连接序列化，防止惊群现象发生，默认为on
    accept_mutex on;   
    #设置一个进程是否同时接受多个网络连接，默认为off
    multi_accept on;  
     #事件驱动模型，select|poll|kqueue|epoll|resig|/dev/poll|eventport
    #use epoll; 
    #最大连接数，默认为512    
    worker_connections  1024;    
}
http {
    #文件扩展名与文件类型映射表
    include       mime.types;   
    #默认文件类型
    default_type  application/octet-stream; 
 
    #limit模块，可防范一定量的DDOS攻击
    #用来存储session会话的状态，如下是为session分配一个名为one的10M的内存存储区，限制了每秒只接        受一个ip的一次请求 1r/s
    #limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    #limit_conn_zone $binary_remote_addr zone=addr:10m;
    #第三方模块lua防火墙
    #lua_need_request_body on;
    #lua_shared_dict limit 50m;
    #lua_package_path "/application/nginx/conf/waf/?.lua";
    #init_by_lua_file "/application/nginx/conf/waf/init.lua";
    #access_by_lua_file "/application/nginx/conf/waf/access.lua";
     #设定请求缓存    
    server_names_hash_bucket_size 128;
    client_header_buffer_size 512k;
    large_client_header_buffers 4 512k;
    client_max_body_size 100m;
    #隐藏响应header和错误通知中的版本号
    server_tokens off;
    #取消服务日志    
    #access_log off;
    #自定义格式
    log_format myFormat '$remote_addr–$remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for'; 
    #combined为日志格式的默认值
    access_log logs/access.log myFormat;  
    #开启高效传输模式,允许sendfile方式传输文件，默认为off，可以在http块，server块，location块。
    sendfile on;   
    #每个进程每次调用传输数量不能大于设定的值，默认为0，即不设上限。
    sendfile_max_chunk 100k; 
    #连接超时时间，默认为75s，可以在http，server，location块。
    keepalive_timeout 65;  
    #激活tcp_nopush参数可以允许把httpresponse header和文件的开始放在一个文件里发布，积极的作用是减少网络报文段的数量
    #tcp_nopush     on;
    #激活tcp_nodelay，内核会等待将更多的字节组成一个数据包，从而提高I/O性能
    #tcp_nodelay on;
 
    #FastCGI相关参数：为了改善网站性能：减少资源占用，提高访问速度
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 128k;
    #开启gzip压缩功能
    gzip on；
    #设置允许压缩的页面最小字节数，页面字节数从header头的Content-Length中获取。默认值是0，表示不管页面多大都进行压缩。建议设置成大于1K。如果小于1K可能会越压越大。
    gzip_min_length  1k;
    #压缩缓冲区大小。表示申请4个单位为16K的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。
    gzip_buffers     4 16k;
    #压缩版本（默认1.1，前端为squid2.5时使用1.0）用于设置识别HTTP协议版本，默认是1.1，目前大部分浏览器已经支持GZIP解压，使用默认即可。
    gzip_http_version 1.0;
    #压缩比率。用来指定GZIP压缩比，1压缩比最小，处理速度最快；9压缩比最大，传输速度快，但处理最慢，也比较消耗cpu资源。
    gzip_comp_level 9;
    #用来指定压缩的类型，“text/html”类型总是会被压缩
    gzip_types       text/plain application/x-javascript text/css application/xml;
    #vary header支持。该选项可以让前端的缓存服务器缓存经过GZIP压缩的页面，例如用Squid缓存经过Nginx压缩的数据。
 
    gzip_vary off;
    #开启ssi支持，默认是off
    ssi on;
    ssi_silent_errors on;
        
    #反向代理负载均衡设定部分
    #upstream表示负载服务器池，定义名字为backend_server的服务器池
    upstream backend_server {
        server   10.254.244.20:81 weight=1 max_fails=2 fail_timeout=30s;
        server   10.254.242.40:81 weight=1 max_fails=2 fail_timeout=30s;
        server   10.254.245.19:81 weight=1 max_fails=2 fail_timeout=30s;
        server   10.254.243.39:81 weight=1 max_fails=2 fail_timeout=30s;
       #设置由 fail_timeout 定义的时间段内连接该主机的失败次数，以此来断定 fail_timeout 定义的时间段内该主机是否可用。默认情况下这个数值设置为 1。零值的话禁用这个数量的尝试。
       #设置在指定时间内连接到主机的失败次数，超过该次数该主机被认为不可用。
       #这里是在30s内尝试2次失败即认为主机不可用！
  }
    #定义的服务器列表
    upstream mysvr {   
      server 127.0.0.1:7878;
      server 192.168.10.121:3333 backup;  #热备
    }
 
    error_page 404 https://www.baidu.com; #错误页
    server {
        #单连接请求上限次数。
        keepalive_requests 120; 
        #监听端口
        listen       4545;   
        #监听地址  
        server_name  127.0.0.1;      
        #server_name  www.abc.com abc.com;   
        #error_page 500 502 404 /templates/kumi/phpcms/404.html;   #错误页面
        # 或者重定向405错误
        error_page 405 =200 @405;
        location @405 {
            root  $rootpath;
            proxy_method GET;
            proxy_pass http://static_backend;
            allow all;
        }  
        #伪静态   将www.abc.com/list....html的文件转发到index.php。。。
        #rewrite ^/list-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)-([0-9]+)\.html$ /index.php?m=content&c=index&a=lists&catid=$1&types=$2&country=$3&language=$4&age=$5&startDate=$6&typeLetter=$7&type=$8&page=$9 last;
        
 
        #请求的url过滤，正则匹配，~为区分大小写，~*为不区分大小写。
        location  ~*^.+$ {   '
           #根目录   
           #root path;
  
           #设置默认页
           #index vv.txt;  
           #请求转向mysvr 定义的服务器列表
           proxy_pass  http://mysvr;  
           #拒绝的ip
           deny 127.0.0.1;  
           #禁止其他ip访问
           #deny all;            
           #允许的ip  
           allow 172.18.5.54;          
        } 
        #将符合js,css文件的等设定expries缓存参数，要求浏览器缓存。
        location~ .*\.(js|css)?$ {
           #客户端缓存上述js,css数据30天
           expires 30d; 
        }
        # 故障转移
        location ~ ^/list {
            #如果后端的服务器返回502、504、执行超时等错误，自动将请求转发到upstream负载均衡池中的另一台服务器，实现故障转移。
            proxy_next_upstream http_502 http_504 error timeout invalid_header;
            proxy_cache cache_one;
            #对不同的HTTP状态码设置不同的缓存时间
            proxy_cache_valid  200 301 302 304 1d;
            #proxy_cache_valid  any 1d;
           #以域名、URI、参数组合成Web缓存的Key值，Nginx根据Key值哈希，存储缓存内容到二级缓存目录内
            proxy_cache_key $host$uri$is_args$args;
            proxy_set_header Host  $host;
            proxy_set_header X-Forwarded-For  $remote_addr;
            proxy_ignore_headers "Cache-Control" "Expires" "Set-Cookie";
            #proxy_ignore_headers Set-Cookie;
            #proxy_hide_header Set-Cookie;
            proxy_pass http://backend_server;
            add_header      Nginx-Cache     "$upstream_cache_status  from  km";
            expires      1d;
        }
 
 
        ##add by 20140321#######nginx防sql注入##########
        ###start####
        if ( $query_string ~* ".*[\;'\<\>].*" ){
            return 444;
        }
        if ($query_string  ~* ".*                    (insert|select|delete|update|count|\*|%|master|truncate|declare|\'|\;|and|or|\(|\)|exec).* ") 
        {  
            return 444; 
        }
        if ($request_uri ~* "(cost\()|(concat\()") {
            return 444;
        }
        if ($request_uri ~* "[+|(%20)]union[+|(%20)]") {
           return 444;
        }
        if ($request_uri ~* "[+|(%20)]and[+|(%20)]") {
           return 444;
        }
        if ($request_uri ~* "[+|(%20)]select[+|(%20)]") {
           return 444;
        }
        set $block_file_injections 0;
        if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") {
            set $block_file_injections 1;
        }
        if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") {
            set $block_file_injections 1;
        }
        if ($block_file_injections = 1) {
            return 448;
        }
        set $block_common_exploits 0;
        if ($query_string ~ "(<|%3C).*script.*(>|%3E)") {
            set $block_common_exploits 1;
        }
        if ($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})") {
            set $block_common_exploits 1;
        }
        if ($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})") {
            set $block_common_exploits 1;
        }
        if ($query_string ~ "proc/self/environ") {
            set $block_common_exploits 1;
        }
        if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)") {
            set $block_common_exploits 1;
        }
        if ($query_string ~ "base64_(en|de)code\(.*\)") {
            set $block_common_exploits 1;
        }
        if ($block_common_exploits = 1) {
            return 444;
        }
        set $block_spam 0;
        if ($query_string ~ "\b(ultram|unicauca|valium|viagra|vicodin|xanax|ypxaieo)\b")         {
        set $block_spam 1;
        }
        if ($query_string ~ "\b(erections|hoodia|huronriveracres|impotence|levitra|libido)\b") {
            set $block_spam 1;
        }
        if ($query_string ~ "\b(ambien|blue\spill|cialis|cocaine|ejaculation|erectile)\b") {
            set $block_spam 1;
        }
        if ($query_string ~ "\b(lipitor|phentermin|pro[sz]ac|sandyauer|tramadol|troyhamby)\b") {
            set $block_spam 1;
        }
        if ($block_spam = 1) {
            return 444;
        }
        set $block_user_agents 0;
        if ($http_user_agent ~ "Wget") {
             set $block_user_agents 1;
        }
        # Disable Akeeba Remote Control 2.5 and earlier
        if ($http_user_agent ~ "Indy Library") {
            set $block_user_agents 1;
        }
        # Common bandwidth hoggers and hacking tools.
        if ($http_user_agent ~ "libwww-perl") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "GetRight") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "GetWeb!") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "Go!Zilla") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "Download Demon") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "Go-Ahead-Got-It") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "TurnitinBot") {
            set $block_user_agents 1;
        }
        if ($http_user_agent ~ "GrabNet") {
            set $block_user_agents 1;
        }
        if ($block_user_agents = 1) {
            return 444;
        }
        ###end########
    }
 
    -----------------------ssl（https）相关------------------------------------
 
    server {
　　    listen 13820; #监听端口
　　    server_name localhost;
　　    charset utf-8; #gbk,utf-8,gb2312,gb18030 可以实现多种编码识别
　　    ssl on; #开启ssl
　　    ssl_certificate /ls/app/nginx/conf/mgmtxiangqiankeys/server.crt; #服务的证书
　　    ssl_certificate_key /ls/app/nginx/conf/mgmtxiangqiankeys/server.key; #服务端key
　　    ssl_client_certificate /ls/app/nginx/conf/mgmtxiangqiankeys/ca.crt; #客户端证书
　　    ssl_session_timeout 5m; #session超时时间
　　    ssl_verify_client on; # 开户客户端证书验证 
　　    ssl_protocols SSLv2 SSLv3 TLSv1; #允许SSL协议 
　　    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; #加密算法
　　    ssl_prefer_server_ciphers on; #启动加密算法
　　    access_log /lw/logs/nginx/dataadmin.test.com.ssl.access.log access ; #日志格式及日志存放路径
　　    error_log /lw/logs/nginx/dataadmin.test.com.ssl.error.log; #错误日志存放路径
 
    }
    -------------------------------------------------------------------------
}

在我的秒杀项目中：

#user  nobody;
worker_processes  1;
​
events {
    worker_connections  1024;
}
​
http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
   
    keepalive_timeout  65;
​
    gzip  on;
    server {
        listen       80;
        server_name  manage.leyou.com;
​
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
​
        location / {
            proxy_pass http://127.0.0.1:9001;
            proxy_connect_timeout 600;
            proxy_read_timeout 600;
        }
    }
    server {
        listen       80;
        server_name  api.leyou.com;

        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
​
        location / {
            proxy_pass http://127.0.0.1:10010;
            proxy_connect_timeout 600;
            proxy_read_timeout 600;
        }
    }
}

上面是nginx的基本配置，需要注意的有以下几点：

1、1.$remot{e}_{a}ddr与$http_x_forwarded_for 用以记录客户端的ip地址； 2.$remot{e}_{u}ser：用来记录客户端用户名称；3.$time_local ： 用来记录访问时间与时区；4.$request ： 用来记录请求的url与http协议；

5.$status：用来记录请求状态；成功是200，6.$body_bytes_s ent ：记录发送给客户端文件主体内容大小；7.$htt{p}_{r}eferer：用来记录从那个页面链接访问过来的；8.$http_user_agent ：记录客户端浏览器的相关信息；

2、惊群现象：一个网路连接到来，多个睡眠的进程被同事叫醒，但只有一个进程能获得链接，这样会影响系统性能。

3、每个指令必须有分号结束。

nginx可以干什么用？

将Nginx提供的基本功能服务从大体上归纳为基本HTTP服务、高级HTTP服务和邮件服务等三大类。

■ Nginx提供基本HTTP服务。

• 可以作为HTTP代理服务器和反向代理服务器，
• 支持通过缓存加速访问，
• 可以完成简单的负载均衡和容错，
• 支持包过滤功能，
• 支持SSL等。

■ Nginx提供高级HTTP服务，可以进行

• 自定义配置，
• 支持虚拟主机，
• 支持URL重定向，
• 支持网络监控，
• 支持流媒体传输等。

■ Nginx作为邮件代理服务器是最早开发这个产品的目的之一，它支持IMAP/POP3代理服务功能，支持内部SMTP代理服务功能。

反向代理用nginx有什么优势，怎么用？

在提供反向代理服务方面，Nginx服务器转发前端请求性能稳定，并且后端转发与业务配置相互分离，配置相当灵活。

在进行Nginx服务器配置时，配置后端转发请求完全不用关心网络环境如何，可以指定任意的IP地址和端口号，或其他类型的链接、请求等。

Nginx服务器的反向代理服务功能并不只有这些，它提供的配套功能相当丰富。

• 首先，它支持判断表达式。通过使用正则表达式进行相关配置，可以实现根据不同的表达式，采取不同的转发策略，
• 其次，它对后端返回情况进行了异常判断，如果返回结果不正常，则重新请求另一台主机（即将前端请求转向另一后端IP），并自动剔除返回异常的主机。
• 它还支持错误页面跳转功能。

负载均衡有什么优势，怎么用？

负载均衡，一般包含两方面的含义。

• 一方面是，将单一的重负载分担到多个网络节点上做并行处理，每个节点处理结束后将结果汇总返回给用户，这样可以大幅提高网络系统的处理能力；
• 第二个方面的含义是，将大量的前端并发访问或数据流量分担到多个后端网络节点上分别处理，这样可以有效减少前端用户等待响应的时间。

Nginx服务器的负载均衡策略可以划分为两大类：即内置策略和扩展策略。内置策略主要包含轮询、加权轮询和IPhash三种；扩展策略主要通过第三方模块实现，种类比较丰富，常见的有url hash、fair等。

• IP hash策略，是将前端的访问IP进行hash操作，然后根据hash结果将请求分配给不同的后端节点。事实上，这种策略可以看作是一种特殊的轮询策略。通过Nginx的实现，每个前端访问IP会固定访问一个后端节点。这样做的好处是避免考虑前端用户的session在后端多个节点上共享的问题。
• 扩展策略中的url hash在形式上和IP hash相近，不同之处在于，IP hash策略是对前端访问IP进行了hash操作，而url hash策略是对前端请求的url进行了hash操作。urlhash策略的优点在于，如果后端有缓存服务器，它能够提高缓存效率，同时也解决了session的问题；但其缺点是，如果后端节点出现异常，它不能自动排除该节点。在实际使用过程中笔者发现，后端节点出现异常会导致Nginx服务器返回503错误。

Web缓存

Nginx服务器的Web缓存服务主要由Proxy_Cache相关指令集和FastCGI_Cache相关指令集构成。其中，Proxy_Cache主要用于在Nginx服务器提供反向代理服务时，对后端源服务器的返回内容进行URL缓存；FastCGI_Cache主要用于对FastCGI的动态程序进行缓存。另外还有一款常用的第三方模块ngx_cache_purge也是Nginx服务器Web缓存功能中经常用到的。它主要用于清除Nginx服务器上指定的URL缓存。到Nginx 0.8.32版本，Proxy_Cache和FastCGI_Cache两部分的功能已经比较完善，再配合第三方的ngx_cache_purge模块，Nginx服务器已经具备了Squid所拥有的Web缓存加速功能和清除指定URL缓存的功能；同时，Nginx服务器对多核CPU的调度比Squid更胜一筹，性能高于Squid，而在反向代理、负载均衡等其他方面，Nginx也不逊于Squid。这使得Nginx服务器可以同时作为负载均衡服务器和Web缓存服务器来使用，基本可以取代Squid。

Nginx的模块

共分为4种：分别是core、http、event和mail

1. 全局块全局块是默认配置文件从开始到events块之间的一部分内容，主要设置一些影响Nginx服务器整体运行的配置指令，因此，这些指令的作用域是Nginx服务器全局。
   通常包括配置运行Nginx服务器的用户（组）、允许生成的worker process数、Nginx进程PID存放路径、日志的存放路径和类型以及配置文件引入等。
2. events块events块涉及的指令主要影响Nginx服务器与用户的网络连接。常用到的设置包括是否开启对多worker process下的网络连接进行序列化，是否允许同时接收多个网络连接，选取哪种事件驱动模型处理连接请求，每个worker process可以同时支持的最大连接数等。这一部分的指令对Nginx服务器的性能影响较大，在实际配置中应该根据实际情况灵活调整。相关的详细分析我们在本书后面的相关章节会陆续学习。3. http块http块是Nginx服务器配置中的重要部分，代理、缓存和日志定义等绝大多数的功能和第三方模块的配置都可以放在这个模块中。前面已经提到，
3. http块中可以包含自己的全局块，也可以包含server块，server块中又可以进一步包含location块，在本书中我们使用“http全局块”来表示http中自己的全局块，即http块中不包含在server块中的部分。可以在http全局块中配置的指令包括文件引入、MIME-Type定义、日志自定义、是否使用sendfile传输文件、连接超时时间、单连接请求数上限等。
4. server块server块和“虚拟主机”的概念有密切联系。为了加深对相关配置的理解，在介绍server块之前，我们简单了解一下虚拟主机的相关内容。虚拟主机，又称虚拟服务器、主机空间或是网页空间，它是一种技术。该技术是为了节省互联网服务器硬件成本而出现的。这里的“主机”或“空间”是由实体的服务器延伸而来，硬件系统可以基于服务器群，或者单个服务器等。虚拟主机技术主要应用于HTTP、FTP及EMAIL等多项服务，将一台服务器的某项或者全部服务内容逻辑划分为多个服务单位，对外表现为多个服务器，从而充分利用服务器硬件资源。从用户角度来看，一台虚拟主机和一台独立的硬件主机是完全一样的。

在使用Nginx服务器提供Web服务时，利用虚拟主机的技术就可以避免为每一个要运行的网站提供单独的Nginx服务器，**也无需为每个网站对应运行一组Nginx进程。虚拟主机技术使得Nginx服务器可以在同一台服务器上只运行一组Nginx进程，就可以运行多个网站。**那么，如何对Nginx进行配置才能达到这种效果呢？本节介绍的server块就是用来完成这个功能的。在前面提到过，每一个http块都可以包含多个server块，而每个server块就相当于一台虚拟主机，它内部可有多台主机联合提供服务，一起对外提供在逻辑上关系密切的一组服务（或网站）。我们先来学习server全局块中常见的指令及其配置。server全局块指令的作用域为本server块，其不会影响到其他的server块。

基本数据结构

介绍下Nginx中常见的数据结构

1. ngx_module_s结构体

该结构体是整个Nginx模块化架构最基本的数据结构体，它描述了Nginx程序中一个模块应该包含的基本属性。

• 分类标识ctx_indexNginx

程序的模块分为4种：分别是core、http、event和mail，每个模块在实现过程中使用的技术都不尽相同。“分类标识”就是用来表示该模块属于4种模块中的哪一类。

• 模块计数器index
• 模块上下文
• 回调函数

2. ngx_command_s结构体

进程

Nginx服务器工作进程主体工作的源码实现

Nginx服务器进程间通信机制是怎么实现的