一、nginx配置相關概念
Nginx的代碼是由一個核心和一系列的模塊組成, 核心主要用於提供Web Server的基本功能,以及Web和Mail反向代理的功能;還用於啓用網絡協議,創建必要的運行時環境以及確保不同的模塊之間平滑地進行交互。不過,大多跟協議相關的功能和某應用特有的功能都是由nginx的模塊實現的。這些功能模塊大致可以分爲事件模塊、階段性處理器、輸出過濾器、變量處理器、協議、upstream和負載均衡幾個類別,這些共同組成了nginx的http功能。事件模塊主要用於提供OS獨立的(不同操作系統的事件機制有所不同)事件通知機制如kqueue或epoll等。協議模塊則負責實現nginx通過http、tls/ssl、smtp、pop3以及imap與對應的客戶端建立會話。
Nginx的核心模塊爲Main和Events,此外還包括標準HTTP模塊、可選HTTP模塊和郵件模塊,其還可以支持諸多第三方模塊。Main用於配置錯誤日誌、進程及權限等相關的參數,Events用於配置IO模型,如epoll、kqueue、select或poll等,它們是必備模塊。
Nginx的主配置文件由幾個段組成,這個段通常也被稱爲nginx的上下文,每個段的定義格式如下所示。需要注意的是,其每一個指令都必須使用分號(;)結束,否則爲語法錯誤。
<section> {
<directive> <parameters>;
}
配置文件結構:
user nobody nobody; worker_processes 4; worker_rlimit_nofile 51200; error_log logs/error.log notice; pid /var/run/nginx.pid; events { use epoll; worker_connections 51200; } http { http服務的相關配置upstream tomcat { 實現負載均衡 } server { location / { } }
二、各服務模塊配置(模塊中均給出重要參數)
1、配置main、Events模塊
2、HTTP相關配置
3、虛擬服務器相關配置
4、location相關的配置
5、反向代理
6、負載均衡
7、反向代理性能優化
8、壓縮
9、nginx限速配置
1、配置main模塊和event模塊
#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
pid /var/run/nginx.pid;
worker_rlimit_nofile 65535;
events {
use epoll;
worker_connections 1024;
}1.1.1 error_log
用於配置錯誤日誌,可用於main、http、server及location上下文中;語法格式爲:
error_log file | stderr [ debug | info | notice | warn | error | crit | alert | emerg ]
如果在編譯nginx時使用了--with-debug選項,還可以使用如下格式打開調試功能。
error_log LOGFILE [debug_core | debug_alloc | debug_mutex | debug_event | debug_http | debug_imap];
要禁用錯誤日誌,不能使用“error_log off;”,而要使用類似如下選項:
error_log /dev/null crit;
1.1.2 timer_resolution
用於降低gettimeofday()系統調用的次數。默認情況下,每次從kevent()、epoll、/dev/poll、select()或poll()返回時都會執行此係統調用。語法格式爲:
timer_resolution interval
例如:
timer_resolution 100ms;
1.1.3 worker_cpu_affinity
通過sched_setaffinity()將worker綁定至CPU上,只能用於main上下文。語法格式爲:
worker_cpu_affinity cpumask ...
例如:
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000;1.1.4 worker_priority
爲worker進程設定優先級(指定nice值),此參數只能用於main上下文中,默認爲0;語法格式爲:
worker_priority number
1.1.5 worker_processes
worker進程是單線程進程。如果Nginx用於CPU密集型的場景中,如SSL或gzip,且主機上的CPU個數至少有2個,那麼應該將此參數值設定爲與CPU核心數相同;如果Nginx用於大量靜態文件訪問的場景中,且所有文件的總大小大於可用內存時,應該將此參數的值設定得足夠大以充分利用磁盤帶寬。
此參數與Events上下文中的work_connections變量一起決定了maxclient的值:
maxclients = work_processes * work_connections1.1.6 worker_rlimit_nofile
設定worker進程所能夠打開的文件描述符個數的最大值。語法格式:
worker_rlimit_nofile number
2.2 配置Events模塊
2.2.1 worker_connections
設定每個worker所處理的最大連接數,它與來自main上下文的worker_processes一起決定了maxclients的值。
max clients = worker_processes * worker_connections
而在反向代理場景中,其計算方法與上述公式不同,因爲默認情況下瀏覽器將打開2個連接,而nginx會爲每一個連接打開2個文件描述符,因此,其maxclients的計算方法爲:
max clients = worker_processes * worker_connections
示例:
user nginx; # the load is CPU-bound and we have 16 cores worker_processes 16; error_log /var/log/nginx/error.log; pid /var/run/nginx.pid; events { use epoll; worker_connections 2048; }
2、http服務的相關配置
http上下文專用於配置用於http的各模塊,此類指令非常的多,每個模塊都有其專用指定,具體請參數nginx官方wiki關於模塊部分的說明。大體上來講,這些模塊所提供的配置指令還可以分爲如下幾個類別。 客戶端類指令:如client_body_buffer_size、client_header_buffer_size、client_header_timeout和keepalive_timeout等; 文件IO類指令:如aio、directio、open_file_cache、open_file_cache_min_uses、open_file_cache_valid和sendfile等; hash類指令:用於定義Nginx爲某特定的變量分配多大的內存空間,如types_hash_bucket_size、server_names_hash_bucket_size和variables_hash_bucket_size等; 套接字類指令:用於定義Nginx如何處理tcp套接字相關的功能,如tcp_nodelay(用於keepalive功能啓用時)和tcp_nopush(用於sendfile啓用時)等;
3、虛擬服務器相關配置server {
<directive> <parameters>;
}
用於定義虛擬服務器相關的屬性,常見的指令有backlog、rcvbuf、bind及sndbuf等。4、location相關的配置
location [modifier] uri {...} 或 location @name {…}
通常用於server上下文中,用於設定某URI的訪問屬性。location可以嵌套。
The prefix "@" specifies a named location. Such locations are not used during normal processing of requests, they are intended only to process internally redirected requests (see error_page, try_files). 如下面關於memcached的相關配置。
server {
location / {
set $memcached_key $uri;
memcached_pass name:11211;
default_type text/html;
error_page 404 @fallback;
}
location @fallback {
proxy_pass http://backend;
}
}5、反向代理
Nginx通過proxy模塊實現反向代理功能。在作爲web反向代理服務器時,nginx負責接收客戶請求,並能夠根據URI、客戶端參數或其它的處理邏輯將用戶請求調度至上游服務器上(upstream server)。nginx在實現反向代理功能時的最重要指令爲proxy_pass,它能夠將location定義的某URI代理至指定的上游服務器(組)上。如下面的示例中,location的/uri將被替換爲上游服務器上的/newuri。
location /uri {
proxy_pass http://www.magedu.com:8080/newuri;}
不過,這種處理機制中有兩個例外。一個是如果location的URI是通過模式匹配定義的,其URI將直接被傳遞至上游服務器,而不能爲其指定轉換的另一個URI。例如下面示例中的/forum將被代理爲http://www.magedu.com/forum。location ~ ^/bbs {
proxy_pass http://www.magedu.com;}
第二個例外是,如果在loation中使用的URL重定向,那麼nginx將使用重定向後的URI處理請求,而不再考慮上游服務器上定義的URI。如下面所示的例子中,傳送給上游服務器的URI爲/index.php?page=<match>,而不是/index。
location / {
rewrite /(.*)$ /index.php?page=$1 break;
proxy_pass http://localhost:8080/index;}proxy模塊的可用配置指令非常多,它們分別用於定義proxy模塊工作時的諸多屬性,如連接超時時長、代理時使用http協議版本等。下面對常用的指令做一個簡單說明。
proxy_connect_timeout:nginx將一個請求發送至upstream server之前等待的最大時長;
proxy_cookie_domain:將upstream server通過Set-Cookie首部設定的domain屬性修改爲指定的值,其值可以爲一個字符串、正則表達式的模式或一個引用的變量;
proxy_cookie_path: 將upstream server通過Set-Cookie首部設定的path屬性修改爲指定的值,其值可以爲一個字符串、正則表達式的模式或一個引用的變量;
proxy_hide_header:設定發送給客戶端的報文中需要隱藏的首部;
proxy_pass:指定將請求代理至upstream server的URL路徑;
proxy_set_header:將發送至upsream server的報文的某首部進行重寫;
proxy_redirect:重寫location並刷新從upstream server收到的報文的首部;
proxy_send_timeout:在連接斷開之前兩次發送至upstream server的寫操作的最大間隔時長;
proxy_read_timeout:在連接斷開之前兩次從接收upstream server接收讀操作的最大間隔時長;
如下面的一個示例:
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 30;
proxy_send_timeout 15;
proxy_read_timeout 15;6、反向代理後,往往還需要做負載均衡,需要對後端服務器做負載均衡
負載均衡用到了 upstram模塊upstream模塊常用的指令有: ip_hash:基於客戶端IP地址完成請求的分發,它可以保證來自於同一個客戶端的請求始終被轉發至同一個upstream服務器; keepalive:每個worker進程爲發送到upstream服務器的連接所緩存的個數; least_conn:最少連接調度算法; server:定義一個upstream服務器的地址,還可包括一系列可選參數,如: weight:權重; max_fails:最大失敗連接次數,失敗連接的超時時長由fail_timeout指定; fail_timeout:等待請求的目標服務器發送響應的時長; backup:用於fallback的目的,所有服務均故障時才啓動此服務器; down:手動標記其不再處理任何請求; 例如: upstream backend { server www.magedu.com weight=5; server www2.magedu.com:8080 max_fails=3 fail_timeout=30s; } upstream模塊的負載均衡算法主要有三種,輪調(round-robin)、ip哈希(ip_hash)和最少連接(least_conn)三種。 此外,upstream模塊也能爲非http類的應用實現負載均衡,如下面的示例定義了nginx爲memcached服務實現負載均衡之目的。 upstream memcachesrvs { server 172.16.100.6:11211; server 172.16.100.7:11211; } server { location / { set $memcached_key "$uri?$args"; memcached_pass memcachesrvs; error_page 404 = @fallback; } location @fallback { proxy_pass http://127.0.0.1:8080;} }
7、反向代理性能優化
緩衝區設定nginx在默認情況下在將其響應給客戶端之前會儘可能地接收來upstream服務器的響應報文,它會將這些響應報文存暫存於本地並儘量一次性地響應給客戶端。然而,在來自於客戶端的請求或來自upsteam服務器的響應過多時,nginx會試圖將之存儲於本地磁盤中,這將大大降低nginx的性能。因此,在有着更多可用內存的場景中,應該將用於暫存這些報文的緩衝區調大至一個合理的值。 proxy_buffer_size size:設定用於暫存來自於upsteam服務器的第一個響應報文的緩衝區大小; proxy_buffering on|off:啓用緩衝upstream服務器的響應報文,否則,如果proxy_max_temp_file_size指令的值爲0,來自upstream服務器的響應報文在接收到的那一刻將同步發送至客戶端;一般情況下,啓用proxy_buffering並將proxy_max_temp_file_size設定爲0能夠啓用緩存響應報文的功能,並能夠避免將其緩存至磁盤中; proxy_buffers 8 4k|8k:用於緩衝來自upstream服務器的響應報文的緩衝區大小;
緩存
nginx做爲反向代理時,能夠將來自upstream的響應緩存至本地,並在後續的客戶端請求同樣內容時直接從本地構造響應報文。 proxy_cache zone|off:定義一個用於緩存的共享內存區域,其可被多個地方調用;緩存將遵從upstream服務器的響應報文首部中關於緩存的設定,如 "Expires"、"Cache-Control: no-cache"、 "Cache-Control: max-age=XXX"、"private"和"no-store" 等,但nginx在緩存時不會考慮響應報文的"Vary"首部。爲了確保私有信息不被緩存,所有關於用戶的私有信息可以upstream上通過"no-cache" or "max-age=0"來實現,也可在nginx設定proxy_cache_key必須包含用戶特有數據如$cookie_xxx的方式實現,但最後這種方式在公共緩存上使用可能會有風險。因此,在響應報文中含有以下首部或指定標誌的報文將不會被緩存。 Set-Cookie Cache-Control containing "no-cache", "no-store", "private", or a "max-age" with a non-numeric or 0 valueExpires with a time in the past X-Accel-Expires: 0 proxy_cache_key:設定在存儲及檢索緩存時用於“鍵”的字符串,可以使用變量爲其值,但使用不當時有可能會爲同一個內容緩存多次;另外,將用戶私有信息用於鍵可以避免將用戶的私有信息返回給其它用戶; proxy_cache_lock:啓用此項,可在緩存未命令中阻止多個相同的請求同時發往upstream,其生效範圍爲worker級別; proxy_cache_lock_timeout:proxy_cache_lock功能的鎖定時長; proxy_cache_min_uses:某響應報文被緩存之前至少應該被請求的次數; proxy_cache_path:定義一個用記保存緩存響應報文的目錄,及一個保存緩存對象的鍵及響應元數據的共享內存區域(keys_zone=name:size),其可選參數有: levels:每級子目錄名稱的長度,有效值爲1或2,每級之間使用冒號分隔,最多爲3級; inactive:非活動緩存項從緩存中剔除之前的最大緩存時長; max_size:緩存空間大小的上限,當需要緩存的對象超出此空間限定時,緩存管理器將基於LRU算法對其進行清理; loader_files:緩存加載器(cache_loader)的每次工作過程最多爲多少個文件加載元數據; loader_sleep:緩存加載器的每次迭代工作之後的睡眠時長; loader_threashold:緩存加載器的最大睡眠時長; 例如: proxy_cache_path /data/nginx/cache/one levels=1 keys_zone=one:10m; proxy_cache_path /data/nginx/cache/two levels=2:2 keys_zone=two:100m; proxy_cache_path /data/nginx/cache/three levels=1:1:2 keys_zone=three:1000m; proxy_cache_use_stale:在無法聯繫到upstream服務器時的哪種情形下(如error、timeout或http_500等)讓nginx使用本地緩存的過期的緩存對象直接響應客戶端請求;其格式爲: proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_404 | off proxy_cache_valid [ code ...] time:用於爲不同的響應設定不同時長的有效緩存時長,例如:proxy_cache_valid 200 302 10m; proxy_cache_methods [GET HEAD POST]:爲哪些請求方法啓用緩存功能; proxy_cache_bypass string:設定在哪種情形下,nginx將不從緩存中取數據;例如: proxy_cache_bypass $cookie_nocache $arg_nocache $arg_comment; proxy_cache_bypass $http_pragma $http_authorization;
8、壓縮
nginx將響應報文發送至客戶端之前可以啓用壓縮功能,這能夠有效地節約帶寬,並提高響應至客戶端的速度。通常編譯nginx默認會附帶gzip壓縮的功能,因此,可以直接啓用之。
http {
gzip on;
gzip_http_version 1.0;
gzip_comp_level 2;
gzip_types text/plain text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript application/json;
gzip_disable msie6;
}
gzip_proxied指令可以定義對客戶端請求哪類對象啓用壓縮功能,如“expired”表示對由於使用了expire首部定義而無法緩存的對象啓用壓縮功能,其它可接受的值還有“no-cache”、“no-store”、“private”、“no_last_modified”、“no_etag”和“auth”等,而“off”則表示關閉壓縮功能。9、nginx限速配置
nginx的限速功能通過limit_zone、limit_conn和limit_rate指令進行配置。首先需要在http上下文配置一個limit_zone,然後在需要的地方使用limit_conn和limit_rate 進行限速設置。下面是一個簡單的例子。
http {
limit_zone first $binary_remote_addr 10m;
server {
location /downloads/ {
limit_conn first 1;
limit_rate 50k;
}
}
}
說明:
limit_zone:語法格式“limit_req_zone $variable zone=name:size rate=rate;”,實現針對每個IP定義一個存儲session狀態的容器。這個示例中定義了一個名叫first的10m大小的容器,這個名字會在後面的limit_conn中使用。
limit_conn first 1; 限制在first中記錄狀態的每個IP只能發起一個併發連接。
limit_rate 50k; 對每個連接限速50k. 注意,這裏是對連接限速,而不是對IP限速。如果一個IP允許三個併發連接,那麼這個IP就是限速爲limit_rate×3,在設置的時候要根據自己的需要做設置調整,要不然會達不到自己希望的目的。
限制連接數的配置如下所示。
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server {
...
limit_conn perip 10;
limit_conn perserver 100;
}