nginx配置文件:/etc/nginx/nginx.conf
main配置段:全局配置
event {}:定义event模型工作特性
http {}:定义http协议相关的配置
配置指令:要以分号结尾,语法格式:directive value1 [value2…]
支持使用变量:
内置变量:模块会提供内建变量定义
自定义变量:set var_name value
主配置段的指令:
用于调试、定位问题
正常运行必备的配置
优化性能的配置
事件相关的配置
主配置段的指令:
(1)正常运行的必备设置:
1、user USERNAME [GROUPNAME]:用于指定worker进程的用户【组】
如:user nginx nginx
2、pid /path/to/pid_file:指定nginx守护进程的pid文件,例如:
pid /var/run/nginx/nginx.pid
3、worker_rlimit_nofile 数字:指定所有worker进程所能开打的最大文件句柄数,默认是1024
4、worker_rlimit_core 数字:指定所有worker进程所能够使用的核心文件最大数量
(2)性能优化相关的配置:
1、worker_processes 数量:worker进程的个数,通常应该略少于CPU物理核心数。
2、worker_cpu_affinity cpumask:提升缓存的命中率
context swith:会产生CPU的不必要的消耗
cpumask:cpu掩码,用8位二进制表示
例如使用3颗cpu:
worker_cpu_affinity 00000001 00000010 00000100
3、timer_resolution:计时器解析度,降低此值,可以减少gettimeofday()系统调用的次数
4、worker_priority number:指明worker进程的nice值(-20-19,对应100-139),nice值越小,优先级越高
(3)事件相关的配置:
1、accept_mutex on | off:master调度用户请求至各worker进程时用的负载均衡锁,on表示能让多个worker轮流序列化地响应新请求。
2、accept_mutex_delay time:
3、lock_file file:accept_ mutex用到的锁文件路径
4、use method(epoll、rtsig、select、poll):指明使用的事件模型,建议让nginx自行选择。
5、worker_connections number:设定单个worker进程所能够处理的最大并发连接数。
(4)用于调试、定位相关的:
1、daemon {on | off}:是否以守护进程的方式运行nginx,调试时设为off,其他情况设为on。
2、master_process {on | off}:是否以master/worker模型来运行nginx
3、error_log 位置 级别。若要使用debug级别,需要在编译nginx使用–with-debug选项。
常需要进行调整的参数:
worker_processes,worker_connections,work_cpu_affinity
worker_priority
新修改的配置重新生效:nginx -s reload
三、Nginx作为web服务器时使用的配置:
http{}:由nginx_http_core_module模块所引入。
配置框架:
http {
upstream{
}
server {#每个server类似于httpd中的一个<VirtualHost>
location URL{#类似于httpd中的<Location>,用于定义URL与本地文件系统的映射关系
root "/path/to/somedir"
}
location URL{
if …{
}
}
}
server {
}
}
与http相关的指令仅能够放置于http、server、location、upstream、if上下文中,但有些指令仅应用于这5种上下文中的某些,而非全部。
配置指令:
1、server{}:定义一个虚拟主机
2、listen:指定监听的地址和端口
listen address[:port];
listen port;
3、server_name:主机名,可以跟多个主机名,名称可以使用正则表达式(以~开头)或通配符。多个主机名匹配顺序:
(1)先做精确匹配检查
(2)左侧通配符检查: 例如:*.logmm.com
(3)右侧通配符检查: 例如:mail.*
(4)正则表达式检查: 例如:~^.*\.logmm\.com
(5)default_server
4、root:设置资源路径映射,用于指明请求的URL所对应的资源所在的文件系统上的起始路径。
5、location:允许根据用户请求的URL来匹配定义的各location,匹配到时,此请求将被相应的location配置块中的配置所处理,例如做访问控制等功能。
location [ = | ~ | ~* | ^~ ] uri { … }
location @name { … }
server {
listen 80;
server_name www.logmm.org;
location / {
root "/vhost/web1";
}
location /images/ {
root "/vhost/images";
}
location ~*\.php$ {
fcgipass;
}
}
匹配类型:
=:精确匹配检查
~:正则表达式模式匹配,区分字符大小写
~*:正则表达式模式匹配,不区分字符大小写
^~:URL的前半部分匹配,不支持正则表达式
匹配优先级:= 、^~ 、~ 、 ~* 、不带任何符号的location
[root@system-1 ~]# vim /vhost/text/a.txt
[root@system-1 ~]# vim /vhost/images/a.txt
[root@system-1 ~]# vim /vhost/web1/a.txt
http://192.168.10.201:8080/a.txt
能被location /、 location ~*\.(txt|text)匹配到,但由于后者优先级高,所以最终访问的是:/vhost/text/a.txt
http://192.168.10.201:8080/images/a.txt
能被location /、 location /images/ 、location ~*\.(txt|text)匹配到,但由于location ~*\.(txt|text)优先级高,所以最终匹配访问的是location ~*\.(txt|text) { root "/vhost/text";},但由于/vhost/text中没有/images/a.txt,所以网页404错误
6、alias path:用于location中定义路径别名。
注意:root表示指明路径为对应的location“/”URL;alias表示路径映射,即location指令后定义的URL是相对于alias所指明的路径而言。
location /images/ { root "/vhost/web1" }
http://192.168.10.201/images/a.jpg <—- /vhost/web1/images/a.jpg
location /images/ { alias "/www/pic" }
http://192.168.10.201/images/a.jpg <—- /www/pic /a.jpg
7、index file:默认主页
index index.php index index.html;
8、error_page code
9、基于IP访问控制:allow deny
10、基于用户的访问控制:basic digest
auth_basic:提示信息 auth_basic_user_file:账号密码文件
账号密码文件建议实验htpasswd来创建。
[root@system-1 nginx]# mkdir user
创建帐号密码文件:
htpasswd -c -m /etc/nginx/user/.htpasswd tom
-c:创建一个加密文件 -m:使用MD5加密
重读配置文件,浏览器打开:
11、SSL加密访问
服务端【192.168.10.202】
[root@system-2 ~]# cd /etc/pki/CA/
[root@system-2 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
[root@system-2 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
[root@system-2 CA]# touch serial index.txt
[root@system-2 CA]# echo 01 > serial
把客户端传过来的证书进行签证:
[root@system-2 CA]# openssl ca -in nginx.csr -out nginx.crt -days 3655
把签好的证书nginx.crt发回给客户端
[root@system-2 CA]# scp nginx.crt root@192.168.10.201:/etc/nginx/ssl
客户端【192.168.10.201】
[root@system-1 ~]# cd /etc/nginx/
[root@system-1 nginx]# mkdir ssl
[root@system-1 nginx]# cd ssl
[root@system-1 ssl]# (umask 077;openssl genrsa -out nginx.key 1024)
[root@system-1 ssl]# openssl req -new -key nginx.key -out nginx.csr
将生成的nginx.csr发给服务端进行签证。
[root@system-1 ssl]# scp nginx.csr root@192.168.10.202:/etc/pki/CA
服务端发回签好的证书之后,查看一下证书:
配置nginx : vim /etc/nginx/nginx.conf
重读配置文件:nginx -s reload
火狐浏览器打开:
12、stub_status {on | off }:仅用于location上下文
location /status 不是location /status/
浏览器打开:
Active connections: 4
server accepts handled requests
4 4 2
(1)已经接受过的连接数
(2)已经处理过的连接数
(3)已经处理过的请求数,在“保持连接”模式下,请求数可能会多于连接数
Reading: 0 Writing: 1 Waiting: 3
Reading:正处于接收请求状态的连接数
Writing:请求已经接收完成,正处于处理请求或发送响应的过程中的连接数
Waiting:处于保持连接状态,且处于活动状态的连接数
13、rewrite regex repacement flag
如:rewrite ^/images/(.*\.jpg)$ /imgs/$1 break;
flag:有last、break、redirect、permanent
last:一旦此rewrite规则重写完成后,不再被后面其他的rewrite规则进行处理,而是由User Agent重新对重写后的URL再一次发起请求,并从头开始执行类似的过程。
break:一旦次rewrite规则重写完成之后,由User Agent对新的URL重新发起请求,且不再会被当前location内的任何rewrite规则所检查。
redirect:以302响应码(临时重定向)返回新的URL
permanent: 以301响应码(永久重定向)返回新的URL
break演示:
[root@system-1 ~]# mkdir /vhost/web1/forum
[root@system-1 ~]# vim /vhost/web1/forum/index.html
New URL(forum)
浏览器访问:http://192.168.10.201:8080/bbs/
访问的是/vhost/web1/forum/
而不是bbs
redirect演示:
浏览器访问:http://192.168.10.201:8080/bbs/
14、if
语法: if (condition) {…},应用环境:server,location
condition:
(1)变量名:变量值为空串,或者以"0"开始,则为false,其他的为true
(2)以变量为操作数构成的比较表达式:可以使用=,!=类似的比较操作符进行测试
(3)正则表达式的模式匹配操作
~:区分大小写
~*:不区分大小写
!~和!~*:对上面两种测试取反
(4)测试路径为文件可能性:-f,!-f
(5)测试指定路径为目录的可能性:-d,!-d
(6)测试文件的存在性:-e,!-e
(7)检查文件是否有执行权限:-x,!-x
例如: if ($http_user_agent ~* MSIE) {
rewrite ^(.*)$ /msie/$1 break;
}
15、防盗链
location ~* \.(jpg|gif|jepg|png)$ {
valid_referer none blocked www.logmm.org;
if ($invalid_referer) {
rewrite ^/ http://192.168.10.201:8080/403.html;
}
}
16、定制访问日志格式
此处可用变量为nginx各模块内建变量。
网络连接相关的配置:
1、keepalive_timeout:长连接的超时时长,默认是75s
2、keepalive_request:在一个长连接上所能够允许请求的最大资源数
3、keepalive_disable [msie6 | satari |none]:为指定类型的User Agent禁用长连接
4、tcp_nodelay on|off:是否对长连接使用tcp_nodelay
5、client_header_timeout:读取http请求报文首部的超时时长
6、client_body_ timeout: 读取http请求报文body部分的超时时长
7、send_timeout:发送响应报文的超时时长
fastcgi的相关配置:
LNMP:php启用fpm模型