运维 --- Nginx中的概念和配置详解(二)

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 运维 --- Nginx中的概念和配置详解

Nginx最小配置

安全的服务器是只配置所需内容的服务器。

理想情况下,应基于最小配置构建服务器,不要配置多余的选项。

使用最小的配置也有助于调试。如果错误在最小配置中,可以通过增加或减少配置来排查错误。

下面是运行 nginx 所需的最低配置:

# /etc/nginx/nginx.conf  
events {}         # event context have to be defined to consider config valid  
http {  
 server {  
    listen 80;  
    server_name  cainiaojc.com;  
    return 200 "Hello";  
  }  
}  

Nginx目录结构

使用yum安装的nginx的目录一般在/usr/local/nginx

[root@localhost ~]# tree /usr/local/nginx
/usr/local/nginx
├── client_body_temp                 # POST 大文件暂存目录
├── conf                             # Nginx所有配置文件的目录
│   ├── fastcgi.conf                 # fastcgi相关参数的配置文件
│   ├── fastcgi.conf.default         # fastcgi.conf的原始备份文件
│   ├── fastcgi_params               # fastcgi的参数文件
│   ├── fastcgi_params.default       
│   ├── koi-utf
│   ├── koi-win
│   ├── mime.types                   # 媒体类型
│   ├── mime.types.default
│   ├── nginx.conf                   #这是Nginx默认的主配置文件,日常使用和修改的文件
│   ├── nginx.conf.default
│   ├── scgi_params                  # scgi相关参数文件
│   ├── scgi_params.default  
│   ├── uwsgi_params                 # uwsgi相关参数文件
│   ├── uwsgi_params.default
│   └── win-utf
├── fastcgi_temp                     # fastcgi临时数据目录
├── html                             # Nginx默认站点目录
│   ├── 50x.html                     # 错误页面优雅替代显示文件,例如出现502错误时会调用此页面
│   └── index.html                   # 默认的首页文件
├── logs                             # Nginx日志目录
│   ├── access.log                   # 访问日志文件
│   ├── error.log                    # 错误日志文件
│   └── nginx.pid                    # pid文件,Nginx进程启动后,会把所有进程的ID号写到此文件
├── proxy_temp                       # 临时目录
├── sbin                             # Nginx 可执行文件目录
│   └── nginx                        # Nginx 二进制可执行程序
├── scgi_temp                        # 临时目录
└── uwsgi_temp                       # 临时目录

所有结尾为 default 的文件都是备份文件,其他未做注释的目录,为在生产环境中较少用到的目录。

Nginx主配置文件解析

Nginx 主配置文件 /etc/nginx/nginx.conf 是一个纯文本类型的文件,整个配置文件是以区块的形式组织,通常每一个区块以一对大括号{}来表示开始与结束。

如果使用yum安装主配置文件就在/etc/nginx/nginx.conf ,如果是编译安装的,那么配置文件在编译时所指定的目录。

  • Main 位于 nginx.conf 配置文件的最高层;
  • Main 层下可以有 Event、HTTP 层;
  • Http 层下面允许有多个 Server 层,用于对不同的网站做不同的配置;
  • Server 层下面允许有多个 Location,用于对不同的路径进行不同模块的配置。

可使用如下命令对配置文件进行查看

$ cat nginx.conf文件路径

如使用yum安装就是

$ cat /etc/nginx/nginx.conf

各层配置

Main层配置

Main层配置的参数对所有Server都生效,在这一层主要会设置一些影响 nginx 服务器整体运行的配置指令,主要包括配置运行 Nginx 服务器的用户(组)、允许生成的 worker process 数,进程 PID 存放路径、日志存放路径和类型以 及配置文件的引入等。

例如:

user  nginx;                  #进程用户
  worker_processes  1;                #工作进程,配合和CPU个数保持一致
  error_log  /var/log/nginx/error.log warn;         #错误日志路径及级别
  pid        /var/run/nginx.pid;      #Nginx服务启动的pid

events层配置

events 块涉及的指令主要影响 Nginx 服务器与用户的网络连接,常用的设置包括是否开启对多 worker process 下的网络连接进行序列化,是否允许同时接收多个网络连接,选取哪种事件驱动模型来处理连接请求,每个 worker process 可以同时支持的最大连接数等。

例如:

events {
      worker_connections  1024;     #每个worker进程支持的最大连接数
      use epoll;        #内核模型,select、poll、epoll
  }

http层配置

http 全局块配置的指令包括文件引入、MIME-TYPE 定义、日志自定义、连接超时时间、单链接请求数上限等。

例如:

http {
    include       /etc/nginx/mime.types;  #指定在当前文件中包含另一个文件的指令
    default_type  application/octet-stream; #指定默认处理的文件类型可以是二进制
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"'; #日志格式
    access_log  /var/log/nginx/access.log  main;      #访问日志
    sendfile        on;   #优化静态资源
    #tcp_nopush     on;   #nginx不要缓存数据,而是一段一段发送
    keepalive_timeout  65;  #给客户端分配连接超时时间,服务器会在这个时间过后关闭连接。
    #gzip  on;      #压缩
}

server层配置

提示:通常 Server 配置在独立的/etc/nginx/conf.d/*.conf中,通过引用的方式调用,如下/etc/nginx/conf.d/default.conf:

Server 块也被叫做“虚拟主机”部分,它描述的是一组根据不同 server_name 指令逻辑分割的资源,这些虚拟服务器响应 HTTP 请求,因此都包含在 http 部分。最常见的配置是本虚拟机主机的监听配置和本虚拟主机的名称或 IP 配置。一个 server 块可以配置多个 location 块,同时一个location也有匹配规则来匹配多个URL。

server {
        listen       80;              #监听端口,默认80
        server_name  localhost;     #提供服务的域名或主机名
        #charset koi8-r;
        #access_log  logs/host.access.log  main;
        location / {        #控制网站访问路径
            root   /usr/share/nginx/html;         #存放网站的路径
            index  index.html index.htm;          #默认访问的首页
        }
        #error_page  404              /404.html;  #错误页面
        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;  #定义请求错误,指定错误代码
        location = /50x.html {      #错误代码重定向到新的location
            root   html;
        }
    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {         #server段配置
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;
    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}
    # HTTPS server
    #
    #server {         #server段配置
    #    listen       443 ssl;
    #    server_name  localhost;
    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;   #SSL证书配置
    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;
    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;
    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

location(详细)

语法规则

location 前缀 路径

前缀 匹配规则
没有前缀 普通匹配(遵循最大前缀匹配规则)
= 精确(严格)匹配
^~ 非正则匹配(依然遵循最大前缀匹配规则)
~ 开头表示区分大小写的正则匹配
~* 开头表示不区分大小写的正则匹配
!~ 和 !~* 分别为区分大小写不匹配及不区分大小写不匹配的正则
/ 通用匹配,任何请求都会匹配到。
匹配的优先级

location的匹配的优先级与配置文件中的顺序无关。

先将所有匹配前缀分为两类

  1. 正则类:~~*!~!~*
  2. 普通类:=^~@无任何前缀

大致的匹配规则为

“=”匹配 > “^~”匹配(不是用正则,最大前缀匹配) > 正则匹配 > 普通(最大前缀匹配)> 默认(/)

location处理逻辑
  1. =前缀的指令严格匹配这个查询。如果找到,停止搜索。
  2. 所有剩下的常规字符串,最长的匹配。如果这个匹配使用^〜前缀,搜索停止。
  3. 正则表达式,在配置文件中定义的顺序。
  4. 如果第3条规则产生匹配的话,结果被使用。否则,使用第2条规则的结果。

如果想要了解更多有关location可以去看:

nginx location匹配规则

途径日暮不赏丶的博客

Nginx网站配置

在默认虚拟机 default.conf 基础上新建虚拟机。

[root@nginx01 ~]# vi /etc/nginx/conf.d/mystie.conf
server {
    server_name  www.ceshi.com;
    error_page  404 403 500 502 503 504  /error.html; #配置错误页
    location / {
        root   /usr/share/nginx/base;
        index  index.html;
    }
}
[root@cainiaojc ~]# mkdir -p /usr/share/nginx/base
[root@cainiaojc ~]# echo '<h1>cainiaojc</h1>' > /usr/share/nginx/base/index.html
[root@cainiaojc ~]# echo '<h1>Error</h1>' > /usr/share/nginx/error.html
[root@cainiaojc ~]# nginx -t -c /etc/nginx/nginx.conf   #检查配置文件
[root@cainiaojc ~]# nginx -s reload       #重载配置文件

查看80端口是否打开

$ firewall-cmd --query-port=80/tcp

如果是yes则可以根据ifconfig查询的ip进行访问

如果没有打开可使用如下命令将80端口打开

$ firewall-cmd --zone=public --add-port=80/tcp --permanent
$ systemctl restart firewalld.service

再次进行查看就应该是打开状态,可进行正常访问。

访问默认页面

随意访问不存在页面

Nginx相关安全策略

禁止访问 htaccess

location ~/\.ht {
     deny all;
}

禁止访问多个目录

location ~ ^/(picture|move)/ {
      deny all;
      break;
 }

禁止访问 /data 开头的文件

location ~ ^/data {
      deny all;
  }

禁止访问单个目录

location /imxhy/images/ {
      deny all;
 }

允许特定 ip 访问

root /usr/share/nginx/rewrite/;
allow 208.97.167.194;
allow 222.33.1.2;
allow 231.152.49.4;
deny all; 

Niginx日志配置

相关配置

access_log:访问日志;

log_format:日志格式;

rewrite_log:重定向日志;

error_log:错误日志;

nginx 具备非常灵活的日志记录模式,每个级别的配置可以有各自独立的访问日志。日志格式通过 log_format 命令来定义。

access_log 配置

语法:

  • access_log path [format [buffer=size [flush=time]]];
  • access_log path format gzip[=level] [buffer=size] [flush=time];
  • access_log syslog:server=address[,parameter=value] [format];
  • access_log off; #不记录日志

默认值: access_log logs/access.log combined;

使用默认 combined 格式记录日志:access_log logs/access.log 或 access_log logs/access.log combined;

配置段: http, server, location, if in location, limit_except

参数解释:

  • gzip:压缩等级。
  • buffer:设置内存缓存区大小。
  • flush:保存在缓存区中的最长时间。

log_format配置

语法:log_format name string ……;

默认值: log_format combined “……”;

配置段: http

释义:name 表示格式名称,string 表示等义的格式。log_format 有一个默认的无需设置的 combined 日志格式,相当于 apache 的 combined 日志格式。

示例1:

log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent"';

示例2:

log_format  proxy  '$remote_addr - $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent" "$http_user_agent" ';

配置相关变量释义:

$remote_addr:表示客户端地址;

$remote_user:表示http客户端请求Nginx认证的用户名;

$time_local:Nginx通用日志格式下的本地时间;

$request:request请求行,请求的URL、GET等方法、HTTP协议版本;

$request_length:请求的长度;

$request_time:请求处理时间,单位为秒,精度为毫秒;

$status:response返回状态码;

$body_bytes_sent:发送给客户端的字节数,不包括响应头的大小,即服务端响应给客户端body信息大小;

$http_referer:http上一级页面,即从哪个页面链接访问过来的,用于防盗链、用户行为分析;

$http_user_agent:http头部信息,记录客户端浏览器相关信息;

$connection:连接的序列号;

$connection_requesta:当前通常一个连接获得的请求数量;

$msec:日志写入时间,单位为秒,精度为毫秒;

$pipe:如果请求是通过HTTP流水线(pipelined)发送,pipe值为‘p’,否则为“.”;

$http_x_forwarded_for:http请求携带的http信息。

提示:如果nginx位于负载均衡器,squid,nginx反向代理之后,web服务器无法直接获取到客户端真实的IP地址了。 $remote_addr获取反向代理的IP地址。反向代理服务器在转发请求的http头信息中,可以增加X-Forwarded-For信息,用来记录客户端IP地址和客户端请求的服务器地址。

rewrite_log配置

语法: rewrite_log on | off;

默认值:rewrite_log off;

配置段:http,server,location,if

作用:由ngx_http_rewrite_module模块提供的。用来记录重写日志的,对于调试重写规则建议开启。启用时将在error log中记录notice级别的重写日志。

error_log配置

语法:error_log file | stderr | syslog:server=address[,parameter=value] [debug | info | notice | warn | error | crit | alert | emerg];

默认值:error_log logs/error.log error;

配置段:main,http,server,location

作用:配置错误日志。

日志切割脚本(以access.log为例)

目地:每天的0点0分把nginx日志重命名为日期后缀格式,并重新生成新日志文件。

脚本:

#nginx日志切割脚本
#author: http://www.nginx.cn
#!/bin/bash
#日志文件存放目录
logs_path='/usr/local/nginx/logs/'
#pid文件位置
pid_path='/usr/local/nginx/nginx.pid'
#重命名日志文件
mv ${logs_path}access.log ${logs_path}access_$(date -d 'yesterday' +'%Y%m%d').log
#向nginx主进程发信号重新打开日志
kill -USR1 `cat ${pid_path}`

设置corntab定时任务

0 0 * * * bash /usr/local/nginx/nginx_log.sh

参考文档:

菜鸟教程

nginx中文文档

Nginx要好好学啊!加油,尽然都看到这了,不如点个赞如何

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
27天前
|
缓存 应用服务中间件 网络安全
Nginx中配置HTTP2协议的方法
Nginx中配置HTTP2协议的方法
65 7
|
2月前
|
应用服务中间件 BI nginx
Nginx的location配置详解
【10月更文挑战第16天】Nginx的location配置详解
|
2月前
|
运维 Linux Apache
Puppet 作为一款强大的自动化运维工具,被广泛应用于配置管理领域。通过定义资源的状态和关系,Puppet 能够确保系统始终处于期望的配置状态。
Puppet 作为一款强大的自动化运维工具,被广泛应用于配置管理领域。通过定义资源的状态和关系,Puppet 能够确保系统始终处于期望的配置状态。
66 3
|
2月前
|
缓存 负载均衡 安全
Nginx常用基本配置总结:从入门到实战的全方位指南
Nginx常用基本配置总结:从入门到实战的全方位指南
313 0
|
23天前
|
缓存 负载均衡 算法
如何配置Nginx反向代理以实现负载均衡?
如何配置Nginx反向代理以实现负载均衡?
|
28天前
|
存储 负载均衡 中间件
Nginx反向代理配置详解,图文全面总结,建议收藏
Nginx 是大型架构必备中间件,也是大厂喜欢考察的内容,必知必会。本篇全面详解 Nginx 反向代理及配置,建议收藏。
Nginx反向代理配置详解,图文全面总结,建议收藏
|
15天前
|
负载均衡 前端开发 应用服务中间件
负载均衡指南:Nginx与HAProxy的配置与优化
负载均衡指南:Nginx与HAProxy的配置与优化
37 3
|
1月前
|
应用服务中间件 API nginx
nginx配置反向代理404问题
【10月更文挑战第18天】本文介绍了使用Nginx进行反向代理的配置方法,解决了404错误、跨域问题和302重定向问题。关键配置包括代理路径、请求头设置、跨域头添加以及端口转发设置。通过调整`proxy_set_header`和添加必要的HTTP头,实现了稳定的服务代理和跨域访问。
220 1
nginx配置反向代理404问题
|
23天前
|
负载均衡 监控 应用服务中间件
配置Nginx反向代理时如何指定后端服务器的权重?
配置Nginx反向代理时如何指定后端服务器的权重?
40 4
|
23天前
|
安全 应用服务中间件 网络安全
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
47 3