nginx配置文件:/etc/nginx/nginx.conf

main配置段:全局配置

    event {}:定义event模型工作特性

http {}:定义http协议相关的配置

配置指令:要以分号结尾,语法格式:directive  value1 [value2…]

支持使用变量:

    内置变量:模块会提供内建变量定义

    自定义变量:set  var_name  value

主配置段的指令:

     用于调试、定位问题

     正常运行必备的配置

     优化性能的配置

     事件相关的配置

主配置段的指令:

1)正常运行的必备设置:

1user  USERNAME  [GROUPNAME]:用于指定worker进程的用户【组】

如:user  nginx  nginx

2pid  /path/to/pid_file:指定nginx守护进程的pid文件,例如:

pid   /var/run/nginx/nginx.pid

3worker_rlimit_nofile  数字:指定所有worker进程所能开打的最大文件句柄数,默认是1024

4worker_rlimit_core  数字:指定所有worker进程所能够使用的核心文件最大数量

2)性能优化相关的配置:

1worker_processes 数量:worker进程的个数,通常应该略少于CPU物理核心数。

2worker_cpu_affinity  cpumask:提升缓存的命中率

   context swith:会产生CPU的不必要的消耗

cpumask:cpu掩码,用8位二进制表示

例如使用3cpu:

worker_cpu_affinity  00000001  00000010  00000100

3timer_resolution:计时器解析度,降低此值,可以减少gettimeofday()系统调用的次数

4worker_priority  number:指明worker进程的nice值(-20-19,对应100-139),nice值越小,优先级越高

3)事件相关的配置:

1accept_mutex  on | offmaster调度用户请求至各worker进程时用的负载均衡锁,on表示能让多个worker轮流序列化地响应新请求。

2accept_mutex_delay   time

3lock_file fileaccept_ mutex用到的锁文件路径

4use  methodepollrtsigselectpoll):指明使用的事件模型,建议让nginx自行选择。

5worker_connections  number:设定单个worker进程所能够处理的最大并发连接数。

4)用于调试、定位相关的:

1daemon {on | off}:是否以守护进程的方式运行nginx,调试时设为off,其他情况设为on

2master_process {on | off}:是否以master/worker模型来运行nginx

3error_log  位置  级别。若要使用debug级别,需要在编译nginx使用–with-debug选项。

常需要进行调整的参数:

worker_processesworker_connectionswork_cpu_affinity

worker_priority

新修改的配置重新生效:nginx  -s  reload

三、Nginx作为web服务器时使用的配置:

http{}:nginx_http_core_module模块所引入。

配置框架:

http {

   upstream{

   }

   server {#每个server类似于httpd中的一个<VirtualHost>

      location  URL{#类似于httpd中的<Location>,用于定义URL与本地文件系统的映射关系

             root  "/path/to/somedir"

      }

      location  URL{

           if …{

           }

      }

   }

   server {

   }

}

http相关的指令仅能够放置于httpserverlocationupstreamif上下文中,但有些指令仅应用于这5种上下文中的某些,而非全部。

配置指令:

1server{}:定义一个虚拟主机

blob.png

2listen:指定监听的地址和端口

listen  address[:port];

listen  port;

3server_name:主机名,可以跟多个主机名,名称可以使用正则表达式(以~开头)或通配符。多个主机名匹配顺序:

1)先做精确匹配检查

2)左侧通配符检查:  例如:*.logmm.com

3)右侧通配符检查:    例如:mail.*

4)正则表达式检查:   例如:~^.*\.logmm\.com

5default_server

4root:设置资源路径映射,用于指明请求的URL所对应的资源所在的文件系统上的起始路径。

5location:允许根据用户请求的URL来匹配定义的各location,匹配到时,此请求将被相应的location配置块中的配置所处理,例如做访问控制等功能。

location [ = | ~ | ~* | ^~ ] uri { … }

location @name { … }

server {

    listen 80;

    server_name  www.logmm.org;

    location  /  {

        root  "/vhost/web1";

    }

  location  /images/  {

        root  "/vhost/images";

    }

   location  ~*\.php$  {

        fcgipass;

   }

}

匹配类型:

=:精确匹配检查

~:正则表达式模式匹配,区分字符大小写

~*:正则表达式模式匹配,不区分字符大小写

^~URL的前半部分匹配,不支持正则表达式

匹配优先级=  ^~  ~ ~*  、不带任何符号的location

blob.png

[root@system-1 ~]# vim   /vhost/text/a.txt

[root@system-1 ~]# vim   /vhost/images/a.txt

[root@system-1 ~]# vim   /vhost/web1/a.txt

http://192.168.10.201:8080/a.txt  

能被location  / location ~*\.(txt|text)匹配到,但由于后者优先级高,所以最终访问的是:/vhost/text/a.txt

http://192.168.10.201:8080/images/a.txt

能被location  / location  /images/ location ~*\.(txt|text)匹配到,但由于location ~*\.(txt|text)优先级高,所以最终匹配访问的是location  ~*\.(txt|text) { root "/vhost/text";},但由于/vhost/text中没有/images/a.txt,所以网页404错误

6alias  path:用于location中定义路径别名。

注意:root表示指明路径为对应的location/URLalias表示路径映射,即location指令后定义的URL是相对于alias所指明的路径而言。

location  /images/  {  root  "/vhost/web1"  }

http://192.168.10.201/images/a.jpg  <—-  /vhost/web1/images/a.jpg

location  /images/  {  alias  "/www/pic"  }

http://192.168.10.201/images/a.jpg  <—-  /www/pic /a.jpg

7index  file:默认主页

index  index.php  index  index.html;

8error_page  code

9、基于IP访问控制:allow  deny

blob.png

10、基于用户的访问控制:basic  digest

auth_basic:提示信息    auth_basic_user_file:账号密码文件

账号密码文件建议实验htpasswd来创建。

blob.png

[root@system-1 nginx]#  mkdir  user

创建帐号密码文件:

htpasswd  -c  -m  /etc/nginx/user/.htpasswd tom

-c:创建一个加密文件    -m:使用MD5加密

重读配置文件,浏览器打开:

blob.png

 

11SSL加密访问

服务端【192.168.10.202

[root@system-2 ~]# cd /etc/pki/CA/

 [root@system-2 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)

[root@system-2 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365

blob.png

[root@system-2 CA]# touch serial index.txt

[root@system-2 CA]# echo 01 > serial

把客户端传过来的证书进行签证:

[root@system-2 CA]# openssl ca -in nginx.csr -out nginx.crt -days 3655

把签好的证书nginx.crt发回给客户端

[root@system-2 CA]# scp  nginx.crt root@192.168.10.201:/etc/nginx/ssl

客户端【192.168.10.201

[root@system-1 ~]# cd  /etc/nginx/

[root@system-1 nginx]# mkdir  ssl

[root@system-1 nginx]# cd  ssl

[root@system-1 ssl]# (umask 077;openssl genrsa -out nginx.key 1024)

[root@system-1 ssl]# openssl req -new -key nginx.key -out nginx.csr

blob.png

将生成的nginx.csr发给服务端进行签证。

[root@system-1 ssl]# scp nginx.csr root@192.168.10.202:/etc/pki/CA

服务端发回签好的证书之后,查看一下证书:

blob.png

配置nginx vim /etc/nginx/nginx.conf

blob.png

重读配置文件:nginx  -s  reload

火狐浏览器打开:

blob.png

12stub_status {on | off }:仅用于location上下文

blob.png

location  /status 不是location  /status/

浏览器打开:

blob.png

Active connections: 4

server accepts handled requests

 4 4 2

(1)已经接受过的连接数

(2)已经处理过的连接数

(3)已经处理过的请求数,在“保持连接”模式下,请求数可能会多于连接数

Reading: 0 Writing: 1 Waiting: 3

Reading:正处于接收请求状态的连接数

Writing:请求已经接收完成,正处于处理请求或发送响应的过程中的连接数

Waiting:处于保持连接状态,且处于活动状态的连接数

13、rewrite  regex  repacement flag

如:rewrite  ^/images/(.*\.jpg)$  /imgs/$1  break;

flag:有last、break、redirect、permanent

last:一旦此rewrite规则重写完成后,不再被后面其他的rewrite规则进行处理,而是由User Agent重新对重写后的URL再一次发起请求,并从头开始执行类似的过程。

break:一旦次rewrite规则重写完成之后,由User Agent对新的URL重新发起请求,且不再会被当前location内的任何rewrite规则所检查。

redirect:以302响应码(临时重定向)返回新的URL

permanent: 以301响应码(永久重定向)返回新的URL

break演示:

blob.png

[root@system-1 ~]# mkdir  /vhost/web1/forum

[root@system-1 ~]# vim  /vhost/web1/forum/index.html

New URL(forum)

浏览器访问:http://192.168.10.201:8080/bbs/

blob.png访问的是/vhost/web1/forum/

而不是bbs

redirect演示:

blob.png

浏览器访问:http://192.168.10.201:8080/bbs/ 

14if

语法: if (condition) {…},应用环境:server,location

condition

1)变量名:变量值为空串,或者以"0"开始,则为false,其他的为true

2)以变量为操作数构成的比较表达式:可以使用=,!=类似的比较操作符进行测试

3)正则表达式的模式匹配操作

~:区分大小写

~*:不区分大小写

~和!~*:对上面两种测试取反

4)测试路径为文件可能性:-f!-f

5)测试指定路径为目录的可能性:-d,!-d

6)测试文件的存在性:-e,!-e

7)检查文件是否有执行权限:-x,!-x

例如: if ($http_user_agent  ~*  MSIE) {

    rewrite  ^(.*)$  /msie/$1  break;

}

15、防盗链

  location  ~* \.(jpg|gif|jepg|png)$ {

   valid_referer  none  blocked  www.logmm.org;

   if ($invalid_referer) {

        rewrite  ^/  http://192.168.10.201:8080/403.html;

    }

}

16、定制访问日志格式

blob.png

此处可用变量为nginx各模块内建变量。

网络连接相关的配置:

1keepalive_timeout:长连接的超时时长,默认是75s

2keepalive_request:在一个长连接上所能够允许请求的最大资源数

3keepalive_disable [msie6 | satari |none]:为指定类型的User Agent禁用长连接

4tcp_nodelay  on|off:是否对长连接使用tcp_nodelay

5client_header_timeout:读取http请求报文首部的超时时长

6client_body_ timeout: 读取http请求报文body部分的超时时长

7send_timeout:发送响应报文的超时时长

fastcgi的相关配置:

LNMPphp启用fpm模型

分类: Linux服务

发表评论

电子邮件地址不会被公开。 必填项已用*标注

5 × 1 =