Nginx网络服务

Nginx概述

????????一款高性能、轻量级Web服务软件。稳定性高，系统资源消耗低，对HTTP并发连接的处理能力高。单台物理服务器可支持30 000~50 000个并发请求。他实现非常高效的反向代理、负载平衡，现在中国使用nginx网站用户有很多，例如: 新浪、网易、腾讯等。

Nginx 有哪些优点

• 跨平台、配置简单。
• 非阻塞、高并发连接: 处理 2-3 万并发连接数，官方监测能支持 5 万并发
• 内存消耗小: 开启 10 个 Nginx 才占 150M 内存
• 成本低廉，且开源。
• 稳定性高，宕机的概率非常小。
• 内置的健康检查功能: 如果有一个服务器宕机，会做一个健康检查，再发送的请求就不会发送到宕机的服务器了。重新将请求提交到其他的节点上。

Nginx应用场景

• http服务器。Nginx是一个http服务可以独立提供http服务。可以做网页静态服务器。
• 虚拟主机。可以实现在一台服务器虚拟出多人网站，例如个人网站使用的虚拟机。
• 反向代理，负载均衡。当网站的访问量达到一定程度后，单台服务器不能满足用户的请求时，需要用多台服务器集群可以使用nginx做反向代理。并且多台服务器可以平均分担负载，不会应为某台服务器负载高岩机而某台服务器闲置的情况。
• nginz 中也可以配置安全管理、比如可以使用Nginx搭建API接口网关,对每个接口服务进行拦截。

Nginx 为什么不使用多线程

Apache: 创建多个进程或线程，而每个进程或线程都会为其分配 cpu 和内存(线程要比进程小的多，所以 worker 支持比 perfork 高的并发) ，并发过大会榨干服务器资源。
Nginx: 采用单线程来异步非阻塞处理请求 (管理员可以配置 Nginx 主进程的工作进程的数量)(epoll)，不会为每个请求分配 cpu 和内存资源，节省了大量资源，同时也减少了大量的 CPU 的上下文切换。所以才使得 Nginx 支持更高的并发。

Nginx和apache的区别

• 轻量级，同样起web服务，比apache占用更少的内存和资源。
• 抗并发，nginx处理请求是异步非阻塞的，而apache则是阻塞性的，在高并发下nginx能保持低资源，低消耗高性能。
• 高度模块化的设计，编写模块相对简单。
• 最核心的区别在于apache是同步多进程模型，一个连接对应一个进程，nginx是异步的，多个连接可以对应一个进程。

Nginx	Apache
nginx是一个基于事件的web服务器	apache是一个基于流程的服务器
所有请求都由一个线程处理	单个线程处理单个请求
nginx避免子进程的概念	apache是基于子进程的

• ?静态处理，Nginx静态处理性能比Apache高。
• Nginx可以实现无缓存的反向代理加速，提高网站运行速度。
• Nginx的性能和可伸缩性不依赖于硬件，Apache依赖于硬件。
• nqinx支持热部署，启动速度迅速，可以在不间断服务的情况下，对软件版本或者配置进行升级。
• nginx是异步进程，多个连接可以对应一个进程 ;apache是同步多进程，一个连接对应一个进程。
• Nginx高度模块化，编写模块相对简单，且组件比Apache少。
• 高并发下nginx能保持低资源低消耗高性能。
• Nginx配置简洁，Apache配置复杂。

Nginx的异步非阻塞机制

首先理解同步和异步的概念，这两个概念是从客户端与服务端通信交互方式来说。

同步：指服务端接收到客户端请求后，必须处理完该请求后 (发送处理结果给客户端)才会接收客户端发送来的下一个请求
异步：指服务端还没有处理完客户端请求 (没有发送处理结果给客户端)，就已经接收下个客户端发来的请求了
再来理解阻塞和非阻塞的概念。这两个概念是从服务器内部处理请求的方式来说的。
阻塞：指服务器接收到请求后，如果遇到I0阳塞，当前线程会被挂起，直到IO完成后唤醒当前线程，当前线程期间不会去处理其他事情。
非阳塞：指服务器接收到请求后，如果遇到IO阻塞，当前线程不会挂起，而是会立即返回去执行下一个调用。
同步与异步，重点在于消息通知的方式。阻塞与非阻塞，重点在于等消息时候的行为。

编译安装 Nginx 服务

在 nginx官网 上下载包，关闭防火墙，将安装nginx所需软件包传到/opt目录下。

systemctl stop firewalld

setenforce 0

nginx-1.24.0.tar.gz

安装依赖包。nginx的配置及运行需要pcre、zlib、openssl等软件包的支持，因此需要安装这些软件的开发包，以便提供相应的库和头文件。

yum -y install pcre-devel zlib-devel openssl-devel gcc gcc-c++ make

创建运行用户、组（Nginx 服务程序默认以 nobody 身份运行，建议为其创建专门的用户账号，以便更准确地控制其访问权限）。

useradd -M -s /sbin/nologin nginx

编译安装Nginx

cd /opt
tar zxvf nginx-1.24.0.tar.gz?

cd nginx-1.24.0/

./configure?
--prefix=/usr/local/nginx? ?? ? ? ? ? ? ? ? ? ? ? ? ? #指定nginx的安装路径
--user=nginx??? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? #指定用户名
--group=nginx ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?#指定组名
--with-http_stub_status_module?? ??? ??? ??? ?#启用 http_stub_status_module 模块

以支持状态统计

make && make install

ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/?? ??? ?#让系统识别nginx的操作命令

检查、启动、重启、停止 nginx服务

nginx -t?? ??? ??? ??? ??? ??? ??? ??? ?#检查配置文件是否配置正确
#启动 nginx
/usr/local/nginx/sbin/nginx ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
#停止
cat /usr/local/nginx/logs/nginx.pid?? ??? ?#先查看nginx的PID号

也可以用 ps aux|grep nginx 或??netstat -lntp|grep nginx? 或 lsof? -i? ：80? 查看
kill -3 <PID号>
kill -s QUIT <PID号>
killall -3 nginx
killall -s QUIT nginx
#重载
kill -1 <PID号>
kill -s HUP <PID号>
killall -1 nginx
killall -s HUP nginx
#日志分割，重新打开日志文件
kill -USR1 <PID号>? ? ? ? ? ? ?不关闭nginx进程下，重新生成nginx日志

master process 为nginx主进程，master process在nginx启动时读取配置文件里的配置信息；? master process产生管理worker process。worker process 做为工作进程来读取用户的连接请求。

nginx 平滑升级

kill -USR2 <PID号>

先下载新版本升级：
tar -zxvf nginx-1.xx.xx.tar.gz?
cd nginx-1.xx.xx
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module
--with-http_ssl_module

make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx_old
cp objs/nginx /usr/local/nginx/sbin/nginx
make upgrade ?或 kill -USR2 <PID号> ?#要保证当前 nginx 进程是通过 /usr/local/nginx/sbin/nginx 启动的，而不是通过查找环境变量中那个 nginx 命令启动的
#或者先 killall nginx ，再? /usr/local/nginx/sbin/nginx

nginx? -V? ?可以查看配置

添加 Nginx 系统服务

方法一：
vim /etc/init.d/nginx
#!/bin/bash
#chkconfig: - 99 20
#description:Nginx Service Control Script
COM="/usr/local/nginx/sbin/nginx"
PID="/usr/local/nginx/logs/nginx.pid"
case "$1" in
start)
? $COM
;;

stop)
? kill -s QUIT $(cat $PID)
;;

restart)
? $0 stop
? $0 start
;;

reload)
? kill -s HUP $(cat $PID)
;;

*)
echo "Usage: $0 {start|stop|restart|reload}"
exit 1

esac
exit 0

chmod +x /etc/init.d/nginx
chkconfig --add nginx?? ??? ??? ??? ??? ??? ??? ?#添加为系统服务

systemctl stop nginx
systemctl start nginx

方法二：
vim /lib/systemd/system/nginx.service
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target

chmod 754 /lib/systemd/system/nginx.service
systemctl start nginx.service
systemctl enable nginx.service

---

[Unit]:服务的说明
Description:描述服务
After:依赖，当依赖的服务启动之后再启动自定义的服务

[Service]服务运行参数的设置
Type=forking是后台运行的形式，使用此启动类型应同时指定PIDFile=，以便systemd能够跟踪服务的主进程。
ExecStart为服务的具体运行命令
ExecReload为重启命令
ExecStop为停止命令
PrivateTmp=True表示给服务分配独立的临时空间
注意：启动、重启、停止命令全部要求使用绝对路径

[Install]服务安装的相关设置，可设置为多用户

方法二：

Nginx服务的主配置文件 nginx.conf

1、全局块：全局配置，对全局生效；
2、events块：配置影响 Nginx 服务器与用户的网络连接；
3、http块：配置代理，缓存，日志定义等绝大多数功能和第三方模块的配置；
4、server块：配置虚拟主机的相关参数，一个 http 块中可以有多个 server 块；
5、location块：用于配置匹配的 uri ；
6、upstream：配置后端服务器具体地址，负载均衡配置不可或缺的部分。

vim /usr/local/nginx/conf/nginx.conf?
1．全局配置
#user nobody; ?? ??? ??? ??? ??? ?#运行用户，若编译时未指定则默认为 nobody
worker_processes 1;? ? ? ? ? ?#工作进程数量，一般设置为和 CPU 核数一样；设置为auto，nginx将会自己获取这个数值
#error_log logs/error.log; ?? ??? ?#错误日志文件的位置
#pid logs/nginx.pid;? ? ? ? ? ? ? ? ?#PID 文件的位置
worker_rlimit_nofile 60000;?? ??? ?#设置所有worker进程最大可以打开的文件数，默认为1024

2．I/O 事件配置
events {
? ? use epoll; ?? ??? ??? ??? ??? ?#使用 epoll I/O模型，2.6及以上版本的系统内核，建议使用epoll模型以提高性能
? ? worker_connections 60000; ?? ?#每个进程处理 60000 个连接
? ? multi_accept on; ? ? ? ? ? ?#是否一次性将监听到的连接全接收进来，默认为off，关闭时一次接收一条连接
? ? accept_mutex on; ? ? ? ? ? ?#默认为on，开启时表示以串行方式接入新连接，否则将通报给所有worker。这可能会浪费资源并产生不可预计的后果，例如惊群问题
}
#如提高每个进程的连接数还需执行“ulimit -n 65535”命令临时修改本地每个进程可以同时打开的最大文件数。
#在Linux平台上，在进行高并发TCP连接处理时，最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄，每个socket句柄同时也是一个文件句柄)。
#可使用ulimit -a命令查看系统允许当前用户进程打开的文件数限制。
#epoll是Linux内核为处理大批句柄而作改进的poll，是Linux下多路复用IO接口select/poll的增强版本，它能显著的减少程序在大量并发连接中只有少量活跃的情况下的系统CPU利用率。
#worker_processes的值和work_connections的值决定了最大并发数量，最大并发数计算方式为：worker_processes*worker_connections。但在反向代理场景中计算方法不同，因为nginx既要维持和客户端的连接，又要维持和后端服务器的连接，因此处理一次连接要占用2个连接，所以最大并发数计算方式为：worker_processes*worker_connections/2。

3.HTTP 配置
http {
?? ?##文件扩展名与文件类型映射表
? ? include ? ? ? mime.types;
?? ?##默认文件类型
? ? default_type ?application/octet-stream;
?? ?##日志格式设定
? ? #log_format ?main ?'$remote_addr - $remote_user [$time_local] "$request" '
? ? # ? ? ? ? ? ? ? ? ?'$status $body_bytes_sent "$http_referer" '
? ? # ? ? ? ? ? ? ? ? ?'"$http_user_agent" "$http_x_forwarded_for"';
?? ?##访问日志位置
? ? #access_log ?logs/access.log ?main;
?? ?##开启文件传输模式
? ? sendfile ? ? ? ?on;
?? ?##只在sendfile on时有效。调用tcp_cork方法，让数据包不会马上传送出去，等到数据包最大时，一次性的传输出去，这样有助于解决网络堵塞。默认为off。
? ? #tcp_nopush ? ? on;
?? ?##连接保持超时时间，单位是秒
? ? #keepalive_timeout ?0;
? ? keepalive_timeout ?65;
?? ?##gzip模块设置，设置是否开启gzip压缩输出
? ? #gzip ?on;
?? ?
?? ?##Web 服务的监听配置
?? ?server {
?? ??? ?##监听地址及端口
?? ??? ?listen 80;?
?? ??? ?##站点域名，可以有多个，用空格隔开
?? ??? ?server_name www.kgc.com;
?? ??? ?##网页的默认字符集
?? ??? ?charset utf-8;
?? ??? ?##根目录配置
?? ??? ?location / {
?? ??? ??? ?##网站根目录的位置/usr/local/nginx/html
?? ??? ??? ?root html;
?? ??? ??? ?##默认首页文件名
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?##内部错误的反馈页面
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?##错误页面配置
?? ??? ?location = /50x.html {
?? ??? ??? ?root html;
?? ??? ?}
?? ?}
}
?

日志格式设定：
$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址；
$remote_user：用来记录客户端用户名称；
$time_local： 用来记录访问时间与时区；
$request： 用来记录请求的url与http协议；
$status： 用来记录请求状态；成功是200，
$body_bytes_sent ：记录发送给客户端文件主体内容大小；
$http_referer：用来记录从哪个页面链接访问过来的；
$http_user_agent：记录客户浏览器的相关信息；
通常web服务器放在反向代理的后面，这样就不能获取到客户的IP地址了，通过$remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中，可以增加x_forwarded_for信息，用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。

location常见配置指令，root、alias、proxy_pass
root（根路径配置）：root /var/www/html
请求www.kgc.com/test/1.html，会返回文件/var/www/html/test/1.html

alias（别名配置）：alias /var/www/html
请求www.kgc.com/test/1.html，会返回文件/var/www/html/1.html

proxy_pass（反向代理配置）

root 和alias 的区别

root （根目录）
location /test ?{
??? ?root /var/www;
}
处理方式: root路径+location路径 ? http://192.168.80.15/test/abc.html ?--> /var/www/test/abc.html
alias (别名日录、虚拟目录)
location /test {
??? ?alias var/www;
}
处理方式: alias路径替换location路径 ?http://192.168.80.15/test/abc.html ?--> /var/www/abc.html

访问状态统计配置

1.先使用命令/usr/local/nginx/sbin/nginx -V 查看已安装的 Nginx 是否包含 HTTP_STUB_STATUS 模块
cat /opt/nginx-1.12.0/auto/options | grep YES ? ? #可查看 nginx 已安装的所有模块

2.修改 nginx.conf 配置文件，指定访问位置并添加 stub_status 配置
cd /usr/local/nginx/conf
cp nginx.conf nginx.conf.bak
vim /usr/local/nginx/conf/nginx.conf

......
http {
......
	server {
		listen 80;
		server_name www.kgc.com;
		charset utf-8;
		location / {
			root html;
			index index.html index.php;
		}
		##添加 stub_status 配置##
		location /status { 					#访问位置为/status
			stub_status on; 				#打开状态统计功能
			access_log off; 				#关闭此位置的日志记录
		}
	}
}

3.重启服务，访问测试
systemctl restart nginx

浏览器访问 http://172.16.26.5/status
Active connections：表示当前的活动连接数，即当前与 Nginx 服务器建立的连接数。
server accepts handled requests ：表示已经处理的连接信息
三个数字依次表示服务器已接收的连接数；服务器成功处理的连接数；服务器累计处理的总请求数（在保持连接模式下，请求数量可能会大于连接数量）
Reading：表示当前正在从客户端读取数据的连接数。
Writing：表示当前正在向客户端写入数据的连接数。
Waiting：表示当前空闲并等待请求的连接数。

可 curl -Ls http://172.16.26.5/status 结合 awk与if 语句进行性能监控。

基于授权的访问控制

1.生成用户密码认证文件
yum install -y httpd-tools
htpasswd -c /usr/local/nginx/passwd.db zhangsan
chown nginx /usr/local/nginx/passwd.db
chmod 400 /usr/local/nginx/passwd.db

2.修改主配置文件相对应目录，添加认证配置项
vim /usr/local/nginx/conf/nginx.conf
......
?? ?server {
?? ??? ?location / {
?? ??? ??? ?......
?? ??? ??? ?##添加认证配置##
?? ??? ??? ?auth_basic "secret";?? ??? ??? ??? ?#设置密码提示框文字信息
?? ??? ??? ?auth_basic_user_file /usr/local/nginx/passwd.db;
?? ??? ?}
?? ?}

3.重启服务，访问测试
nginx -t
systemctl restart nginx

浏览器访问 http://172.16.26.5

基于客户端的访问控制

访问控制规则如下：
deny IP/IP 段：拒绝某个 IP 或 IP 段的客户端访问。
allow IP/IP 段：允许某个 IP 或 IP 段的客户端访问。
规则从上往下执行，如匹配则停止，不再往下匹配。

vim /usr/local/nginx/conf/nginx.conf
......
?? ?server {
?? ??? ?location / {
?? ??? ??? ?......
?? ??? ??? ?##添加控制规则##
?? ??? ??? ?allow 172.16.26.200; ?? ??? ??#允许访问的客户端 IP
?? ??? ??? ?deny all;?? ??? ??? ??? ??? ??? ??? ???#拒绝其它IP客户端访问
?? ??? ?}
?? ?}

systemctl restart nginx

基于域名的 Nginx 虚拟主机

1．为虚拟主机提供域名解析
echo "172.16.26.5 www.kgc.com www.benet.com" >> /etc/hosts

2.为虚拟主机准备网页文档
mkdir -p /var/www/html/benet
mkdir -p /var/www/html/kgc
echo "<h1>www.kgc.com</h1>" > /var/www/html/kgc/index.html
echo "<h1>www.benet.com</h1>" > /var/www/html/benet/index.html

3.修改Nginx的配置文件
vim /usr/local/nginx/conf/nginx.conf
......
http {
......
?? ?server {
?? ??? ?listen 80;
?? ??? ?server_name www.kgc.com;?? ??? ??? ??? ??? ?#设置域名www.kgc.com
?? ??? ?charset utf-8;
?? ??? ?access_log logs/www.kgc.access.log; ?? ??? ?#设置日志名
?? ??? ?location / {
?? ??? ??? ?root /var/www/html/kgc;?? ??? ??? ??? ??? ?#设置www.kgc.com 的工作目录
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?location = 50x.html{
?? ??? ??? ?root html;
?? ??? ?}
?? ?}
?? ?
?? ?server {
?? ??? ?listen 80;
?? ??? ?server_name www.benet.com;?? ??? ??? ??? ??? ?#设置域名www.benet.com
?? ??? ?charset utf-8;
?? ??? ?access_log logs/www.benet.access.log;?
?? ??? ?location / {
?? ??? ??? ?root /var/www/html/benet;
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?location = 50x.html{
?? ??? ??? ?root html;
?? ??? ?}
?? ?}?? ?
}

4.重启服务，访问测试
systemctl restart nginx

浏览器访问
http://www.kgc.com
http://www.benet.com
?

基于IP 的 Nginx 虚拟主机

ifconfig ens33:0 192.168.80.11 netmask 255.255.255.0?

vim /usr/local/nginx/conf/nginx.conf
......
http {
......
?? ?server {
?? ??? ?listen 192.168.80.10:80;?? ??? ??? ??? ??? ?#设置监听地址192.168.80.10
?? ??? ?server_name www.kgc.com;
?? ??? ?charset utf-8;
?? ??? ?access_log logs/www.kgc.access.log;?
?? ??? ?location / {
?? ??? ??? ?root /var/www/html/kgc;
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?location = 50x.html{
?? ??? ??? ?root html;
?? ??? ?}
?? ?}
?? ?
?? ?server {
?? ??? ?listen 192.168.80.11:80;?? ??? ??? ??? ??? ?#设置监听地址192.168.80.11
?? ??? ?server_name www.benet.com;
?? ??? ?charset utf-8;
?? ??? ?access_log logs/www.benet.access.log;?
?? ??? ?location / {
?? ??? ??? ?root /var/www/html/benet;
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?location = 50x.html{
?? ??? ??? ?root html;
?? ??? ?}
?? ?}?? ?
}

systemctl restart nginx

浏览器访问
http://192.168.80.10
http://192.168.80.11

基于端口的 Nginx 虚拟主机

vim /usr/local/nginx/conf/nginx.conf
......
http {
......
?? ?server {
?? ??? ?listen 192.168.80.10:8080;?? ??? ??? ??? ??? ?#设置监听 8080 端口
?? ??? ?server_name www.kgc.com;
?? ??? ?charset utf-8;
?? ??? ?access_log logs/www.kgc.access.log;?
?? ??? ?location / {
?? ??? ??? ?root /var/www/html/kgc;
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?location = 50x.html{
?? ??? ??? ?root html;
?? ??? ?}
?? ?}
?? ?
?? ?server {
?? ??? ?listen 192.168.80.10:8888;?? ??? ??? ??? ??? ?#设置监听 8888 端口
?? ??? ?server_name www.benet.com;
?? ??? ?charset utf-8;
?? ??? ?access_log logs/www.benet.access.log;?
?? ??? ?location / {
?? ??? ??? ?root /var/www/html/benet;
?? ??? ??? ?index index.html index.php;
?? ??? ?}
?? ??? ?error_page 500 502 503 504 /50x.html;
?? ??? ?location = 50x.html{
?? ??? ??? ?root html;
?? ??? ?}
?? ?}?? ?
}

systemctl restart nginx

浏览器访问
http://192.168.80.11:8080
http://192.168.80.11:8888
?