目录
一、nignx配置
1、nginx的配置文件
2、使用server语句块构建虚拟主机
3、alias别名
4、location语句
二、nginx模块
access模块
验证模块
自定义错误页面
日志存放位置
检测文件是否存在
长连接设置
ngx_http_autoindex_module 模块
三、nginx的高级配置
1、网页的状态页
2、变量
3、自定义访问日志
4、nginx压缩功能
5、https功能
nignx的配置文件也称nginx的全局配置文件(也叫主配置文件)
使用yum安装nginx服务,其配置文件所在位置/etc/nginx/nginx.conf,如果使用编译安装,可以指定安装路径
主配置文件详解:
#user nobody; worker_processes 1; //默认master进程可以启动的worker进程的数量,优化1:将其修改成auto,表示为根据cpu核数启动worker进程的数量 //错误日志存放位置及错误日志的等级 #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; //nginx的pid号存放文件路径,建议将其修改为其他文件夹,或创建新文件夹存放pid号 #pid logs/nginx.pid; //event事件 events { //单个工作(worker)进程的最大并发连接数,优化2:建议修改成65536,最大值65536 worker_connections 1024; } //http模块 http { //导入支持的文件类型,是相对于/apps/nginx/conf的目录 include mime.types; //除mime.types中文件类型外,设置其它文件默认类型,访问其它类型时会提示下载不匹配的类型文件 default_type application/octet-stream; //日志格式 #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; //自定义优化参数 sendfile on; //在开启了sendfile的情况下,合并请求后统一发送给客户端。 #tcp_nopush on; #keepalive_timeout 0; //长连接超时时间,65秒 keepalive_timeout 65; //开启文件压缩 #gzip on; //server语句 server { //监听的端口, listen 80; //虚拟主机名 server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; //location语句,作用:指定URL的特性 location / { //此处的“/”指的是下方定义的安装路劲下的html文件夹 root html; //默认在html文件夹下找index文件,若没有依次往后找index.html,若也没有index.html,找index.htm,若都没有,返回错误页面 index index.html index.htm; } //错误页面设置 //404错误页面,客户端造成的,如客户端输错地址 #error_page 404 /404.html; # redirect server error pages to the static page /50x.html # //服务器端错误,返回的错误页面设置 error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } }
建立独立配置文件,及子配置文件
构建不同虚拟主机PC端和手机端
1)修改主配置文件
2)创建子配置文件夹,及编写子配置文件
3)复制pc端的子配置文件,生成手机端的子配置文件
4)创建pc端和手机端的默认网页
5)修改第二台机器的hosts文件,不修改的话会有问题
6)开启nginx服务,使用另一台机器测试访问
其中nginx支持的虚拟主机有基于端口,基于IP地址,基于域名。
root与alias的区别:
location /nwes { root /data/html/pc/; #相当于追加 将 文件夹news追加到/data/nginx/html/pc/news } location /study{ alias /mnt/nginx/sports/; #相当于替换 你访问 study 就是访问/mnt/nginx/sports }
在一个server中可以有多个location配置段,用于实现从uri到文件系统的路径映射;ngnix会根据用户请求的URI来检查定义的所有location,按一定的优化级找出一个最佳匹配,而后应用其配置在没有使用正则表达式的时候,nginx会先在server中的多个location选取匹配度最高的一个uri,uri是用户请求的字符串,即域名后面的web文件路径,然后使用该location模块中的正则url和字符串,如果匹配成功就结束搜索,并使用此location处理此请求。
语法规则:
location [ = | ~ | ~* | ^~ ] uri { ... } = #用于标准uri前,需要请求字串与uri精确匹配,大小敏感,如果匹配成功就停止向下匹配并立即处理请求 ^~ #用于标准uri前,表示包含正则表达式,并且匹配以指定的正则表达式开头,对URI的最左边部分做匹配检查,不区分字符大小写 ~ #用于标准uri前,表示包含正则表达式,并且区分大小写 ~* #用于标准uri前,表示包含正则表达式,并且不区分大写 不带符号 #匹配起始于此uri的所有的uri \ #用于标准uri前,表示包含正则表达式并且转义字符。可以将 . * ?等转义为普通符号 #匹配优先级从高到低: =, ^~, ~/~*, 不带符号
~* 虽然 不区分大小写 但是Linux系统中的文件系统区分大小写
nginx 有多种模块
核心模块:是 Nginx 服务器正常运行必不可少的模块,提供错误日志记录 、配置文件解析 、事件驱动机制 、进程管理等核心功能
标准HTTP模块:提供 HTTP 协议解析相关的功能,比如: 端口配置 、 网页编码设置 、 HTTP响应头设置 等等
可选HTTP模块:主要用于扩展标准的 HTTP 功能,让 Nginx 能处理一些特殊的服务,比如:Flash 多媒体传输 、解析 GeoIP 请求、 网络传输压缩 、 安全协议 SSL 支持等
邮件服务模块:主要用于支持 Nginx 的 邮件服务 ,包括对 POP3 协议、 IMAP 协议和 SMTP协议的支持
Stream服务模块: 实现反向代理功能,包括TCP协议代理
第三方模块:是为了扩展 Nginx 服务器应用,完成开发者自定义功能,比如: Json 支持、 Lua 支持等
access模块属于四层控制,是默认安装的
作用:设置允许访问或不允许访问的主机,及黑白名单
可以使用如下命令进行查看
[root@server1 nginx-1.18.0]#./configure --help |grep access
设置白名单
[root@server1 ~]#vim /apps/nginx/conf.d/pc.conf
[root@server1 ~]#nginx -s reload
使用主机测试,一台IP为192.168.3.100,另一台IP为192.168.3.102
验证配置模块需要使用httpd-tools中的工具,所以需要先下载httpd-tools
修改子配置文件
创建存放用户名和密码的隐藏文件
[root@server1 ~]#htpasswd -bc /apps/nginx/conf.d/.httpuser heitui 123456
重新加载nginx服务,并测试
格式:
error_page code ... [=[response]] uri;
页面错误代码
error_page 固定写法
code 响应码
= 可以将响应码转换
uri 访问连接
修改子配置文件
创建错误页面,及错误页面的内容
重新加载nginx服务,并测试
默认存放位置在安装路径下的logs文件夹中,存在access_log和error_log
在子配置文件中定义错误日志
测试
try_files会按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示为文件夹),如果所有文件或文件夹都找不到,会进行一个内部重定向到最后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误。
语法格式:
Syntax: try_files file ... uri;
try_files file ... =code;
Default: —
Context: server, location
修改子配置文件,做测试
重新加载nginx服务,并测试
我的访问是路径下的abc文件,那按照设置,先会去找abc,没有abc会在后面加上abc.html,再没有会在路径后补上abc/index.html,最后没找到会有一个兜底的/default.html。
一个三次握手,多次下载
keepalive_timeout timeout [header_timeout]; #设定保持连接超时时长,0表示禁止长连接,默认为75s,通常配置在http字段作为站点全局配置 例子: keepalive_timeout 60 65; #只能有一个空格 #开启长连接后,返回客户端的会话保持时间为60s,单次长连接累计请求达到指定次数请求或65秒就会被断开,后面的60为发送给客户端应答报文头部中显示的超时时间设置为60s:如不设置客户端将不显示超时时间。 keepalive_requests number; #在一次长连接上所允许请求的资源的最大数量,默认为100次,建议适当调大,比如:500 可以加在全局或者 server 例子: keepalive_requests 3; #最大下载三个资源就会断开连接
ngx_http_autoindex_module 模块用于设置下载服务相关的配置。
ngx_http_autoindex_module 模块处理以斜杠字符 "/" 结尾的请求,并生成目录列表,可以做为下载服务,且是自带的模块
autoindex on | off; #自动文件索引功能,默为off autoindex_exact_size on | off; #计算文件确切大小(单位bytes),off 显示大概大小(单位K、M),默认on autoindex_localtime on | off ; #显示本机时间而非GMT(格林威治)时间,默认off autoindex_format html | xml | json | jsonp; #显示索引的页面文件风格,默认html limit_rate rate; #限制响应客户端传输速率(除GET和HEAD以外的所有方法),单位B/s,即bytes/second,默认值0,表示无限制,此指令由ngx_http_core_module提供 set $limit_rate #变量提供 限制 变量优先级高
基于nginx 模块 ngx_http_stub_status_module 实现,在编译安装nginx的时候需要添加编译参数 --with-http_stub_status_module,否则配置完成之后监测会是提示语法错误注意: 状态页显示的是整个服务器的状态,而非虚拟主机的状态
echo模块
开源的echo模块 https://github.com/openresty/echo-nginx-module
需要先从github上下载echo模块的压缩包,再重新编译安装nginx
yum install git -y 安装git
git clone https://github.com/openresty/echo-nginx-module.git
#可能需要科学上网,才能够下载。在此文章顶部已放置echo安装模块压缩包,可直接下载
./configure --prefix=/apps/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_stub_status_module --with-http_gzip_static_module --with-pcre --with-stream --with-stream_ssl_module --with-stream_realip_module --add-module=/opt/echo-nginx-module-master
#添加echo模块,/opt/echo-nginx-module-master是你下载echo模块所在的目录
make && make install #编译安装
安装完成后,修改子配置文件测试
[root@heitui a]#vim /apps/nginx/conf.d/a.conf
server {
listen 80;
server_name www.aaa.com;
root /apps/nginx/html/a;
location /main {
index index.html;
default_type text/html;
echo "hello world,main-->";
echo $remote_addr;
echo $args;
echo $document_root;
echo $document_uri;
echo $host;
echo $http_user_agent;
echo $http_cookie;
echo $request_filename;
echo $scheme;
echo $scheme://$host$document_uri?$args;
}
}
内置变量
$remote_addr; #存放了客户端的地址,注意是客户端的公网IP $proxy_add_x_forwarded_for #此变量表示将客户端IP追加请求报文中X-Forwarded-For首部字段,多个IP之间用逗号分隔,如果请求中没有X-Forwarded-For,就使用$remote_addrthe “X-Forwarded-For” client request header field with the $remote_addr variable appended to it, separated by a comma. If the “X-Forwarded-For” field is not present in the client request header, the $proxy_add_x_forwarded_for variable is equal to the $remote_addr variable. 客户机 代理1 代理2 nginx服务器 $proxy_add_x_forwarded_for: 在代理1 上存的是 客户机的ip $proxy_add_x_forwarded_for: 在代理2 上存的是 客户机的ip,代理1的ip 用逗号隔开 $proxy_add_x_forwarded_for: nginx 上存的是 客户机的ip,代理1的ip,代理2的ip $args; #变量中存放了URL中的参数,例如:http://www.kgc.org/main/index.do?id=20190221&partner=search #返回结果为: id=20190221&partner=search 存放的就是这个 $document_root; #保存了针对当前资源的请求的系统根目录,例如:/apps/nginx/html。 $document_uri; #保存了当前请求中不包含参数的URI,注意是不包含请求的指令,比 如:http://www.kgc.org/main/index.do?id=20190221&partner=search会被定义为/main/index.do #返回结果为:/main/index.do $host; #存放了请求的host名称 limit_rate 10240; echo $limit_rate; #如果nginx服务器使用limit_rate配置了显示网络速率,则会显示,如果没有设置, 则显示0 $remote_port; #客户端请求Nginx服务器时随机打开的端口,这是每个客户端自己的端口 $remote_user; #已经经过Auth Basic Module验证的用户名 $request_body_file; #做反向代理时发给后端服务器的本地资源的名称 $request_method; #请求资源的方式,GET/PUT/DELETE等 $request_filename; #当前请求的资源文件的磁盘路径,由root或alias指令与URI请求生成的文件绝对路径,如:/apps/nginx/html/main/index.html $request_uri; #包含请求参数的原始URI,不包含主机名,相当于:$document_uri?$args,例如:/main/index.do?id=20190221&partner=search $scheme; #请求的协议,例如:http,https,ftp等 $server_protocol; #保存了客户端请求资源使用的协议的版本,例如:HTTP/1.0,HTTP/1.1,HTTP/2.0等 $server_addr; #保存了服务器的IP地址 $server_name; #请求的服务器的主机名 $server_port; #请求的服务器的端口号 $http_#name为任意请求报文首部字段,表示记录请求报文的首部字段 arbitrary request header field; the last part of a variable name is the field name converted to lower case with dashes replaced by underscores #用下划线代替横线 #示例: echo $http_User_Agent; $http_user_agent; #客户端浏览器的详细信息 $http_cookie; #客户端的cookie信息 $cookie_ #name为任意请求报文首部字部cookie的key名 $http_ #name为任意请求报文首部字段,表示记录请求报文的首部字段,ame的对应的首部字段名需要为小写,如果有 横线需要替换为下划线 arbitrary request header field; the last part of a variable name is the field name converted to lower case with dashes replaced by underscores #用下划线代替横线 #示例: echo $http_user_agent; echo $http_host; $sent_http_ #name为响应报文的首部字段,name的对应的首部字段名需要为小写,如果有横线需要替换为下划线,此变量有问题 echo $sent_http_server; $arg_ #此变量存放了URL中的指定参数,name为请求url中指定的参数 #对比 变量 $arg 是全部, 如果 要id 如下 echo $arg_id;
自定义变量
假如需要自定义变量名称和值,使用指令set $variable value;
语法格式:
Syntax: set $variable value;
Default: —
Context: server, location, if
日志格式可以自由定义,使用上免得变量,自由的组合定义。
注意如果开启 include 注意定义自配置文件与 日志格式的上下关系 , 日志格式一定要在 include 之前 否则会不生效。
自定义json格式日志,方便ELK收集日志。
log_format access_json '{"@timestamp":"$time_iso8601",' '"host":"$server_addr",' '"clientip":"$remote_addr",' '"size":$body_bytes_sent,' '"responsetime":$request_time,' '"upstreamtime":"$upstream_response_time",' '"upstreamhost":"$upstream_addr",' '"http_host":"$host",' '"uri":"$uri",' '"xff":"$http_x_forwarded_for",' '"referer":"$http_referer",' '"tcp_xff":"$proxy_protocol_addr",' '"http_user_agent":"$http_user_agent",' '"status":"$status"}'; 返回结果如下: '"http_user_agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTMLe/101.0.4951.54 Safari/537.36",' '"status":"304"}'
支持对指定类型的文件进行压缩然后再传输给客户端,而且压缩还可以设置压缩比例,压缩后的文件大小将比源文件显著变小,这样有助于降低出口带宽的利用率,降低企业的IT支出,不过会占用相应的CPU资源。Nginx对文件的压缩功能是依赖于模块 ngx_http_gzip_module。
配置指令如下:
#启用或禁用gzip压缩,默认关闭 gzip on | off; #压缩比由低到高从1到9,默认为1 gzip_comp_level level; #禁用IE6 gzip功能 gzip_disable "MSIE [1-6]\."; #gzip压缩的最小文件,小于设置值的文件将不会压缩 gzip_min_length 1k; #启用压缩功能时,协议的最小版本,默认HTTP/1.1 gzip_http_version 1.0 | 1.1; #指定Nginx服务需要向服务器申请的缓存空间的个数和大小,平台不同,默认:32 4k或者16 8k; gzip_buffers number size; #指明仅对哪些类型的资源执行压缩操作;默认为gzip_types text/html,不用显示指定,否则出错 gzip_types mime-type ...; #如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”,一般建议打开 gzip_vary on | off; #预压缩 gzip_static on | off;
Web网站的登录页面都是使用https加密传输的,加密数据以保障数据的安全,HTTPS能够加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议,HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。
nginx 的https 功能基于模块ngx_http_ssl_module实现,因此如果是编译安装的nginx要使用参数ngx_http_ssl_module开启ssl功能,但是作为nginx的核心功能,yum安装的nginx默认就是开启的,编译安装的nginx需要指定编译参数--with-http_ssl_module开启。
详细内容请看官方文档:https://nginx.org/en/docs/http/ngx_http_ssl_module.html
相关参数如下:
listen 443 ssl; #为指定的虚拟主机配置是否启用ssl功能,此功能在1.15.0废弃,使用listen [ssl]替代 ssl_certificate /path/to/file; #指向包含当前虚拟主机和CA的两个证书信息的文件,一般是crt文件 ssl_certificate_key /path/to/file; #当前虚拟主机使用的私钥文件,一般是key文件 ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; #支持ssl协议版本,早期为ssl现在是TLS,默认为后三个 ssl_session_cache off | none | [builtin[:size]] [shared:name:size]; #配置ssl缓存 off: #关闭缓存 none: #通知客户端支持ssl session cache,但实际不支持 builtin[:size]:#使用OpenSSL内建缓存,为每worker进程私有 [shared:name:size]:#在各worker之间使用一个共享的缓存,需要定义一个缓存名称和缓存空间 大小,一兆可以存储4000个会话信息,多个虚拟主机可以使用相同的缓存名称 ssl_session_timeout time; #客户端连接可以复用ssl session cache中缓存的有效时长,默认5m
自签名证书,必须要将所有文件放在一起,否则会报错
可以使用以下自签名脚本生成自签名认证,当然还是不安全的
CA_SUBJECT="/O=aaa/CN=ca.aaa.com" SUBJECT="/C=CN/ST=js/L=nj/O=aaa/CN=www.aaa.com" SERIAL=34 EXPIRE=202002 FILE=aaa.com openssl req -x509 -newkey rsa:2048 -subj $CA_SUBJECT -keyout ca.key -nodes -days 202002 -out ca.crt openssl req -newkey rsa:2048 -nodes -keyout ${FILE}.key -subj $SUBJECT -out ${FILE}.csr openssl x509 -req -in ${FILE}.csr -CA ca.crt -CAkey ca.key -set_serial $SERIAL -days $EXPIRE -out ${FILE}.crt chmod 600 ${FILE}.key ca.key
使用谷歌浏览器访问会出现如下现象,因为是自签证,所以还是不安全的,点继续前往即可