超全Nginx反向代理服务器原理+实战篇3-阿里云开发者社区

8.Nginx整合OpenResty+Lua脚本

8.1.OpenResty+Lua简介

（1）OpenResty介绍

基于Nginx和Lua的高性能web平台，内部集成精良的Lua库、第三方模块、依赖，开发者可以方便搭建能够处理高并发、扩展性极高的动态web应用、web服务、动态网关。
OpenResty将Nginx核心、LuaJIT、许多有用的Lua库和Nginx第三方模块打包在一起
Nginx是c语言开发，如果要二次扩展很麻烦，而基于OpenResty，开发人员可以使用Lua编程语言对Nginx核心模块进行二次扩展
性能强大，OpenResty可以快速构造出1万以上并发连接响应的超高性能web应用系统

（2）扩展

让web服务直接泡在Nginx内部服务器，充分利用Nginx的非阻塞I/O模型，不仅仅对HTTP客户端请求，甚至对于远程后端如MYSQL、Redis等都进行一直的高性能响应。所以对于一些高性能的服务来说，可以直接使用OpenResty访问MYSQL、Redis，而不需要通过第三方语言来访问，大大提高性能

（3）Lua脚本介绍

Lua由标准的c语言编写而成，没有提供强大的库，但可以很容易的被C/C++代码调用，也可以反过来调用C/C++的函数。
在应用程序中可以被广泛应用，不过Lua是一种脚本，不适合做复杂的业务场景。
LuaJIT是采用C和汇编语言写的Lua解释器与即使编译器

（4）什么是ngx_lua

ngx_lua是Nginx的一个模块，将Lua嵌入到Nginx中，从而可以使用Lua来编写脚本，部署到Nginx中运行，即Nginx变成了一个Web容器；开发人员就可以使用Lua语言开发高新跟那个Web应用了。

（5）OpenResty提供了常用的ngx_lua开发模块

lua-resty-memcached
lua-resty-mysql
lua-resty-redis
lua-resty-dns
lua-resty-limit-traffic

通过上述的模块，可以⽤来操作 mysql数据库、redis、memcached等，也可以⾃定义模块满⾜其他业务需求，很多经典的应⽤，⽐如开发缓存前置、数据过滤、API请求聚合、AB测试、灰度发布、降级、监控、限流、防⽕墙、⿊白名单等

（6）OpenResty安装

cd /etc/yum.repos.d/
wget https://openresty.org/package/centos/openresty.repo
yum check-update
yum clean all
yum makecache
yum install -y openresty
yum -y install openresty-resty
列出所有 openresty 仓库⾥的软件包
yum --disablerepo="*" --enablerepo="openresty" list available
查看版本
resty -V

8.2.Nginx+OpenResty简单案例

（1）Nginx+OpenResty开发

编辑：/usr/local/openresty/nginx/conf/nginx.conf
http{
  location /{
    content_by_lua_block{
      ngx.say("hello lixiang;李祥");
    }
  }
}

启动nginx：./nginx
curl 127.0.0.1
注意：如果需要指定配置⽂件 nginx -c 配置⽂件路径⽐如 ./nginx -c /usr/local/nginx/conf/nginx.conf

8.3.Nginx内置变量

Nginx内置变量

名称	说明
$arg_name	请求中的name参数
$args	请求中的参数

$content_length	HTTP请求信息里的“Content-Length”
$content_type	请求信息里的“Content-Type”
$host	请求信息中的Host，如果请求中没有Host行，则等于设置的服务器名

$hostname	机器名使用gethostname系统调用的值
$host_cookie	cookie信息
$http_referer	引用地址

$http_user_agent	客户端代理信息
$http_via	最后一个访问服务器的IP地址
$http_x_forwarded_for	相当于网络访问路径

$is_args	如果请求行带有参数，则返回”?“，则返回空字符串
$limit_rate	对连接速率的限制
$nginx_version	当前运行的nginx版本号

$pid	worker进程的pid
$query_string	与$args相同
$remote_port	客户端端口号

$remote_addr	客户端IP地址
$request_method	请求的⽅法，⽐如"GET"、"POST"等
$request_uri	请求的URI，带参数

$scheme	所⽤的协议，⽐如http或者是https
$server_name	请求到达的服务器名
$server_port	请求到达的服务器端⼝号
$server_protocol	请求的协议版本，“HTTP/1.0"或"HTTP/1.1”

$uri	请求的URI，可能和最初的值有不同，⽐如经过重定向之类的

Nginx对于请求的处理分为多个阶段，从而让第三方模块通过挂在行为在不同的阶段来控制，大致如下

初始化阶段（Initialization Phase）

init_by_lua_file

init_worker_by_lua_file

重写与访问阶段（Rewrite/Access Phase）

rewrite_by_lua_file
access_by_lua_file

内容生成阶段（Content Phase）

content_by_lua_file

日志记录阶段（Log Phase）

8.4.开发内网访问限制

Nginx+OpenResty+Lua开发内网访问限制
生产环境-管理后台一般需要指定的网络才可以访问，网段/ip等

http{
  #这里设置为off，为了避免每次修改之后都要重新reload的麻烦，缓存lua脚本，生产环境上设为on
  lua_code_cache off;
  #lua_package_path可以配置openrestry的文件寻址路径，$PERFIX为openrestry安装路径
  #文件名使用"?"作为通配符，多个路径使用";"分割。默认的查找路径用";;"
  #设置纯Lua扩展库的搜寻地址
  lua_package_path "$prefix/lualib/?.lua;;";
  #设置c编写的Lua加班呢的搜寻地址
  lua_package_cpath "$prefix/lualib/?.so;;";
  server {
    location /{
      access_by_lua_file lua/while_ip_list.lua;
      proxy_pass http://lbs;
    }
  }
}

编写lua脚本

local black_ips={["127.0.0.1"]=true}
local ip=ngx.var.remote_addr
if true == black_ips[ip] then
  ngx.exit(ngx.HTTP_FORBIDDEN)
  return;
end

ip封禁的架构

8.5.开发资源下载限速

Nginx+OpenResty开发资源下载限速

限速限流应用场景

下载限速：保护宽带及服务器的IO资源
请求限流：防止恶意攻击，保护服务器及资源安全

限制某个用户在一个给定时间段内能够产生的HTTP请求数
限流用在保护上游应用服务器不被在同一时刻的大用户量访问

openResty下载限速案例实操

Nginx有一个$limit_rate，这个反应的是但前请求每秒能响应的字节数，该字节数默认位配置文件中limit_rate指令的设置。

location /download/{
  access_by_lua_block{
    ngx.var.limit_rate = "300K"
  }
  alias /usr/local/software/;
}

8.6.漏桶算法和令牌桶算法

（1）什么是漏桶算法

如果是请求限流，请求先进入到漏桶里，漏桶以固定的速度出水，也就是处理请求，当水加的过快也就是请求过多，桶会直接溢出，也就是请求被丢弃拒绝，所以漏桶算法能清醒限制数据的传输速率或请求数

（2）什么是令牌桶算法

备注：只要突发并发量不⾼于桶⾥⾯存储的令牌数据，就可以充分利⽤好机器⽹络资源。如果桶内令牌数量⼩于被消耗的量，则产⽣的令牌的速度就是均匀处理请求的速度

9.Nginx高可用LVS+Keepalived

9.1.LVS+Keepalived架构

9.2.什么是LVS

LVS是Linux Virtual Server，Linux虚拟服务器，是一个虚拟的服务器集群系统
Linux2.4内核以后，LVS已经是Linux标准内核的一部分

LVS提供了10多种调度算法：轮询、加权轮询、最小连接、目标地址散列、源地址散列等

三种负载均衡转发技术

NAT：数据进出都通过LVS，前端的Master即要对客户端发出的请求做处理，又要对后台RealServer的响应信息做处理，将RealServer响应的信息再转发给客户端，容易成为整个集群系统性能那个的瓶颈 (⽀持任意系统且可以实现端⼝映射)

DR：移花接木，最高效的负载均衡规则，前端的Master只处理客户端的请求，将请求转发给RealServer，由后台的RealServer直接响应客户端，不在经过Master，性能要优于NAT，需要LVS和RS绑定同一个VIP（⽀持多数系统，不可以实现端⼝映射)

TUNL：隧道技术，前端的Master只处理客户端的请求，将请求转发给RealServer，然后由后台的RealServer直接响应客户端，不再经过Master；（⽀持少数系统，不可以实现端⼝映射)）

9.3.什么是keepalived

监控并管理LVS集群系统中各个服务节点的状态
keepalived是一个类似于交换机制的软件，核心是检测服务器的状态，如果有一台web服务器工作出现故障，keepalived将检测到并将有故障的服务器从系统中剔除，使用其他服务器代替该服务器的工作，当服务器工作正常后Keepalived自动将服务器加入到服务器集群中。
后来加入了vrrp（虚拟路由器冗余协议），除了为LVS提供高可用还可以为其他服务器如mysql等提供高可用方案

9.4.keepalived安装

#yum安装
yum -y install keepalived
#配置路径
/etc/keepalived/keepalived.conf
#启动命令
service keepalived start
#停止命令
service keepalived stop
#重启命令
service keepalived restart
#查看状态
service keepalived status

注意：如果缺少依赖可以执行下面命令

yum install -y gcc
yum install -y openssl-devel
yum install -y libnl libnl-devel
yum install -y libnfnetlink-devel
yum install -y net-tools
yum install -y vim wget

9.5.keepalived.conf核心配置

! Configuration File for keepalived
global_defs {
   router_id LVS_DEVEL # 设置lvs的id，在一个网络内应该是唯一的
   enable_script_security #允许执行外部脚本
}
#配置vrrp_script，主要用于健康检查及检查失败后执行的动作。
vrrp_script chk_real_server {
#健康检查脚本，当脚本返回值不为0时认为失败
    script "/usr/local/software/conf/chk_server.sh"
#检查频率，以下配置每2秒检查1次
    interval 2
#当检查失败后，将vrrp_instance的priority减小5
    weight -5
#连续监测失败3次，才认为真的健康检查失败。并调整优先级
    fall 3
#连续监测2次成功，就认为成功。但不调整优先级
    rise 2
    user root
}
#配置对外提供服务的VIP vrrp_instance配置
vrrp_instance VI_1 {
#指定vrrp_instance的状态，是MASTER还是BACKUP主要还是看优先级。
    state MASTER
#指定vrrp_instance绑定的网卡，最终通过指定的网卡绑定VIP
    interface ens33
#相当于VRID，用于在一个网内区分组播，需要组播域内内唯一。
    virtual_router_id 51
#本机的优先级，VRID相同的机器中，优先级最高的会被选举为MASTER
    priority 100
#心跳间隔检查，默认为1s，MASTER会每隔1秒发送一个报文告知组内其他机器自己还活着。
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
#定义虚拟IP(VIP)为192.168.159.100，可多设，每行一个
    virtual_ipaddress {
        192.168.159.100
    }
    #本vrrp_instance所引用的脚本配置，名称就是vrrp_script 定义的容器名
  track_script {
      chk_real_server
    }
}
# 定义对外提供服务的LVS的VIP以及port
virtual_server 192.168.159.100 80 {
    # 设置健康检查时间，单位是秒
    delay_loop 6
    # 设置负载调度的算法为rr
    lb_algo rr
    # 设置LVS实现负载的机制，有NAT、TUN、DR三个模式
    lb_kind NAT
    # 会话保持时间
    persistence_timeout 50
   #指定转发协议类型(TCP、UDP)
    protocol TCP
    # 指定real server1的IP地址
    real_server 192.168.159.146 80 {
        # 配置节点权值，数字越大权重越高
        weight 1
        # 健康检查方式
        TCP_CHECK {                  # 健康检查方式
            connect_timeout 10       # 连接超时
            retry 3           # 重试次数
            delay_before_retry 3     # 重试间隔
            connect_port 80          # 检查时连接的端口
        }
    }
}

配置注意

router_id后面跟的自定义的ID在同一个网络下是一致的
state后跟的MASTER和BACKUP必须大写
interface 虚拟网卡ID，只要是没有在用的IP即可
在BACKUP节点上，其keepalived.conf与Master上基本⼀致，修改state为BACKUP，priority值改⼩即可
authentication主备之间的认证⽅式，⼀般使⽤PASS即可；主备的配置必须⼀致，不能超过8位

9.6.启动keeplived验证

启动keeplived验证

当master宕机后虚拟IP就会飘逸到backup上

当nginx服务宕机后，但是对应的keepalived节点存活依旧可以转发过去，但是响应失败，需要配合shell脚本检测nginx服务，如果nginx服务宕机，就结束keepalived进程
脚本监听

#配置vrrp_script，主要用于健康检查及检查失败后执行的动作。
vrrp_script chk_real_server {
#健康检查脚本，当脚本返回值不为0时认为失败
    script "/usr/local/software/conf/chk_server.sh"
#检查频率，以下配置每2秒检查1次
    interval 2
#当检查失败后，将vrrp_instance的priority减小5
    weight -5
#连续监测失败3次，才认为真的健康检查失败。并调整优先级
    fall 3
#连续监测2次成功，就认为成功。但不调整优先级
    rise 2
    user root
}

chk_server.sh脚本内容(需要 chmod +x chk_server.sh)

#!/bin/bash
#检查nginx进程是否存在
counter=$(ps -C nginx --no-heading|wc -l)
if [ "${counter}" -eq "0" ]; then
    service keepalived stop
    echo 'nginx server is died.......'
fi

常见问题

vip能ping通，vip监听的端口不通: 第一个原因:nginx1和nginx2两台服务器的服务没有正常启动
vip ping不通: 核对是否出现裂脑,常见原因为防火墙配置所致导致多播心跳失败,核对keepalived的配置是否正确

特别注意：需要关闭selinux，不然sh脚本可能不生效

getenforce 查看
setenforce 0 关闭

10.Nginx基础架构模型剖析

高性能原理

nginx通过多进程+io多路复用（epoll）实现了高并发
采用多个worker进程实现对cpu的利用，通过eopll对多文件描述符事件回调机制

拓展：linux I/O多路复⽤有select，poll，epoll

超全Nginx反向代理服务器原理+实战篇3