开发笔记:企业级nginx使用

1.信号参数&＃xff1a;

• kill命令传输信号给进程 nginx的主进程
  
• 以上几个信号命令都是发送给master主进程的

• 此时此刻我的nginx是运行着的
• 发送个INT信号给主进程&＃xff0c;就停止了nginx了

• 重新开启nginx
  
• 当我们再去访问nginx的时候&＃xff0c;就会一直转圈圈&＃xff0c;但是进不去了&＃xff0c;那我们该怎么重新启动worker子进程呢
• 发送个hup信号即可
• 就又能正常访问了

2.平滑升级&＃xff1a;

• 升级软件版本后&＃xff0c;需要启动新的版本&＃xff0c;启动不了&＃xff0c;端口已经被占用
• 如果直接把旧版本的服务停止掉&＃xff0c;会影响线上业务的使用
  

• 源码编译安装1.16版本的nginx
  通过-V获取参数
  
• 然后编译安装make && make install
• 当完成后&＃xff0c;旧版本的nginx就自动改名成了nginx.old
  
• 但是这个时候新的nginx是运行不起来的&＃xff0c;因为我旧的nginx运行着&＃xff0c;会提示端口被占用
  
• 这时候我们用kil发送一个usr2的信号就可以了
  
  
• 然后把旧的服务停掉即可&＃xff08;先关闭旧的子进程&＃xff0c;再关闭旧的主进程&＃xff09;

• 在nginx中&＃xff0c;默认提供了平滑升级的操作&＃xff0c;只需执行以下命令&＃xff1a;
  在nginx的源码包中执行
  注意先configure&＃xff0c;然后make install && make upgrade

3.配置文件介绍&＃xff1a;

vim /usr/local/nginx/conf/nginx.conf

#nginx子进程启动用户
#user nobody;
#子进程数量 一般调整为cpu核数或者倍数
worker_processes 1;
#错误日志定义
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#进程pid 存储文件
#pid logs/nginx.pid;
#事件
events {
#每个子进程的连接数 nginx当前并发量 worker_processes * worker_connections
worker_connections 1024;
}
#http协议段
http {
#引入 文件扩展名和与文件类型映射表
include mime.types;
#默认文件类型
default_type application/octet-stream;
#访问日志access.log的格式
#log_format main &＃39;$remote_addr - $remote_user [$time_local] "$request" &＃39;
# &＃39;$status $body_bytes_sent "$http_referer" &＃39;
# &＃39;"$http_user_agent" "$http_x_forwarded_for"&＃39;;
#访问日志存储路径
#access_log logs/access.log main;
#linux内核 提供文件读写的机制
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
#长连接超时时间 单位为s
keepalive_timeout 65;
#gzip压缩
#gzip on;
#server虚拟主机的配置
server {
#监听端口
listen 80;
#域名 可以有多个 用空格分隔
server_name localhost;
#默认编码
#charset koi8-r;
#access_log logs/host.access.log main;
#location 用来匹配url
location / {
#默认访问的网站路径
root html;
#默认访问页面 从前往后的顺序查找
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location &＃61; /50x.html {
root html;
}
# proxy the php scripts to Apache listening on 127.0.0.1:80
#
#location ~ \\.php$ {
# proxy_pass http://127.0.0.1;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \\.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}
# deny access to .htaccess files, if Apache&＃39;s document root
# concurs with nginx&＃39;s one
#
#location ~ /\\.ht {
# deny all;
#}
}
# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
# listen 8000;
# listen somename:8080;
# server_name somename alias another.alias;
# location / {
# root html;
# index index.html index.htm;
# }
#}
# HTTPS server
#
#server {
# listen 443 ssl;
# server_name localhost;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 5m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
}

二、企业中常见使用方式

①基于域名&＃xff0c;将域名配置到server_name上

②基于IP&＃xff0c;将IP配置到server_name上

③基于端口&＃xff0c;将端口配置到listen

1.server配置&＃xff1a;

1).基于域名的虚拟主机配置&＃xff1a;

• 将域名配置到
  server_name上
  

server{
#监听端口
listen 80;
#绑定域名
server_name shop.lnmp.com;
#网站目录
root html/shop;
#默认访问页面
index index.html;
}


• 然后重载以下nginx
  service nginx reload
  
• 然后在shop这里目录下&＃xff0c;自己写一个index.html的文件
• 但是这样子我们在Windows上并不能访问这个域名&＃xff0c;我们得解析域名&＃xff0c;我们我们修改C:\\Windows\\System32\\drivers\\etc目录下的hosts文件
  添加一行这个
  

• 第一步&＃xff1a;上传这两文件
  
• 解压完成后
• 第二步&＃xff1a;配置server虚拟机&＃xff0c;客户端配置host解析
  vim /usr/local/nginx/conf/nginx.conf
• 然后重载以下nginx
  service nginx reload
• 但是这样子的话我去访问这个域名可以吗&＃xff1f;
  
  会出现403&＃xff0c;为什么会这样呢&＃xff1f;
  
• nginx默认访问index.html&＃xff0c;没有这个文件&＃xff0c;就会列出目录列表结构&＃xff0c;没有权限列出&＃xff0c;就会出现403
  所以我们需要再对nginx.conf这个配置文件进行修改
  
  
• 至少现在不会出现403的错误了&＃xff0c;但是还是报错&＃xff0c;因为这里咱们数据库还没弄呢&＃xff01;
• 第三步&＃xff1a;创建数据库并导入数据
  
• 但是现在有了数据库还是不够&＃xff0c;还得修改项目的连接数据库配置文件
• 第四步&＃xff1a;配置项目连接数据库
  
• 这个文件里的内容根据实际情况自行修改
• 修改完了之后还是不行
  
• 这是因为需要在runtime文件夹中写入缓存信息&＃xff08;需要写权限&＃xff09;
  
• 所以添加权限即可
  
• ok&＃xff0c;完美

1.Gzip压缩&＃xff1a;

• 压缩文件&＃xff0c;使文件变小&＃xff0c;传输更快了。目前市场上大部分浏览器是支持GZIP的。IE6以下支持不好&＃xff0c;会出现乱码情况。

• 配置到http段里&＃xff0c;使整个http服务都启用gzip压缩(/usr/local/nginx/conf/nginx.conf)
  
• 代码奉上&＃xff1a;

#开启gzip压缩
gzip on;
#http协议版本
gzip_http_version 1.0;
#IE浏览器不开启gzip IE6以下会乱码
gzip_disable &＃39;MSIE [1-6].&＃39;;
#开启gzip 文件的格式
gzip_types image/jpeg image/jpg image/png text/plain text/css;


• 咱们先看看没压缩之前图片的大小
  
• 额&＃xff0c;好像效果不太明显&＃xff0c;不过大致过程就是这样&＃xff0c;图片就不展示了
• 看到这个就代表开启了gzip压缩

2.客户端缓存&＃xff1a;

• B/S架构里 browser浏览器 就是客户端
• 告知浏览器获取的信息是在某个区间时间段是有效的
• 官方文档&＃xff1a;http://nginx.org/en/docs/http/ngx_http_headers_module.html#expires

location ~ \\.(js|css)$ { #只想让js和css生效
#单位参数 d day 天|H hour 小时 M 分
expires 1h;
}
#在整个http中生效 配置到http段里
expires 1h


3.基于ip的访问控制&＃xff1a;

• 基于ngx_http_access_module模块&＃xff0c;默认可使用
• 官方文档&＃xff1a;http://nginx.org/en/docs/http/ngx_http_access_module.html

语法&＃xff1a;
>
> &＃61;&＃61;deny ip&＃61;&＃61; 禁止ip访问
>
> allow ip 允许访问


• 在我没有禁止本机ip访问的时候&＃xff0c;是可以访问这个页面的
  
• 当我添加了这一行之后
  

4.基于用户的访问控制&＃xff1a;

• 基于ngx_http_auth_basic_module模块&＃xff0c;默认可用
• 官方文档&＃xff1a;http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html

语法&＃xff1a;
>
> auth_basic "提示信息"
>
> auth_basic_user_file /etc/nginx/htpasswd;


• 配置实现&＃xff1a;
• 第一步&＃xff1a;创建用户名和密码存储文件
  htpasswd 如果不存在就通过 yum -y install httpd-tools安装
  
  
• 第二步&＃xff1a;在配置文件中进行配置

#根据业务需求&＃xff0c;配置到server段里
#登录框显示的标题提示
auth_basic "test login"
#加载用户名称和密码校验文件
auth_basic_user_file /usr/local/nginx/conf/passwd.db;


• 当配置好了之后&＃xff0c;再登入这个网页的时候就需要你输入账号和密码了&＃xff08;这里我设置的用户名为lnmp&＃xff0c;密码为******&＃xff09;
  

5.反向代理&＃xff1a;

• 正向代理&＃xff1a;
  特点&＃xff1a;知道自己使用了代理&＃xff0c;需要填写代理服务器的IP等相关连接信息
• 反向代理&＃xff1a;
  特点&＃xff1a;用户是无感知的&＃xff0c;不知道使用了代理服务器。反向代理服务器是和真实访问的服务器是在一起的&＃xff0c;有关联的
  作用&＃xff1a;可以根据实际业务需求&＃xff0c;分发代理页面到不同的解释器&＃xff1b;可以隐藏真实服务器的路径
• 官方文档&＃xff1a;http://nginx.org/en/docs/http/ngx_http_proxy_module.html

• 配置反向代理&＃xff1a;
• 第一步&＃xff1a;安装apache
• 第二步&＃xff1a;更改监听端口为8080
  vim /etc/httpd/conf/httpd.conf
  
• 第三步&＃xff1a;配置nginx的server并进行转发
  
• 当我在访问192.168.74.30的时候&＃xff0c;是Apache页面&＃xff0c;但是服务却是用nginx访问的
  
• 修改一下
  
  

• Nginx官方没有的功能&＃xff0c;开源开发者定制开发一些功能&＃xff0c;把代码公布出来&＃xff0c;可以通过编译加载第三方模块的方式&＃xff0c;使用新的功能。
• 第三方模块网址&＃xff1a;https://www.nginx.com/resources/wiki/modules

• 找到这两个&＃xff0c;下载下来
• 如图所示这两软件包
• 在添加第三方模块前&＃xff0c;在执行一遍配置
  
• 然后使用–add-module添加第三方模块为之前上传的那两个软件包的解压包
  
• 最后编译安装即可
  make && make install && make upgrade

1.fancy-index模块&＃xff1a;

• fancy-index模块美化列表效果
• 文档介绍&＃xff1a;
  https://www.nginx.com/resources/wiki/modules/fancy_index/
  https://github.com/aperezdc/ngx-fancyindex

2.echo模块&＃xff1a;

• echo模块常用来进行调试用&＃xff0c;比如输出打印Nginx默认系统变量

1.Tengine&＃xff1a;

• tengine是alibaba公司&＃xff0c;在Nginx的基础上&＃xff0c;开发定制&＃xff0c;更加服务自己业务的服务器软件。后来进行了开源。
• 参考文档&＃xff1a;http://tengine.taobao.org/

• 下载好软件包后上传到虚拟机上
• 接着解压并编译安装
  ./configure --prefix&＃61;/usr/local/tengine
  make && make install
• tengine默认提供-m参数&＃xff0c;查看已经编译加载的模块
  
• ./configure --prefix&＃61;/usr/local/tengine/ --add-module&＃61;/root/soft/tengine-2.3.0/modules/ngx_http_footer_filter_module/
• make && make install && make upgrade

1).案例&＃xff1a;通过tengine内置模块&＃xff0c;自动添加页脚信息&＃xff0c;标识服务器信息

• 查看文档
• 在/usr/local/tengine/conf/nginx.conf配置文件中加了这两行
  
  

语法规则&＃xff1a;
#可定义在http、server、location中&＃xff0c;建议在server中
#定义需要插入footer的响应类型&＃xff08;Response Content-Type&＃xff09;。
footer_types "text/plain" "text/css" "application/x-Javascript";
#在上面定义的HTTP响应的正文结尾插入指定的format内容。如果format中含有变量&＃xff0c;会被替换为变量当前的值。
footer "$host_comment";


2.openresty&＃xff1a;

• openresty 在Nginx的基础上&＃xff0c;结合lua脚本实现高并发的web平台。
• WAF nginx&＃43;lua&＃43;redis 实现应用型防火墙 动态把IP加入黑名单
• 官方网址&＃xff1a;http://openresty.org/cn/

• 将下载的软件包上传到虚拟机上&＃xff0c;进行解压然后编译安装
• ./configure --prefix&＃61;/usr/local/openresty
  
• 出现这个继续编译安装即可
  make && make install

1).openresty使用lua语法&＃xff1a;

• vim /usr/local/openresty/nginx/conf/nginx.conf
  

示例配置&＃xff1a;
location / {
root html;
index index.html index.htm;
#默认返回类型
default_type text/html;
#调用lua模块的语法
content_by_lua &＃39;ngx.say("hello openresty")&＃39;;
}

七、URL匹配之location

• location配置语法参考文档&＃xff1a;
• http://nginx.org/en/docs/http/ngx_http_core_module.html#location

1.location匹配规则&＃xff1a;

① &＃61; 精确匹配

location &＃61; / {
#规则
}
则匹配到 http://www.example.com/ 这种请求&＃xff0c;到/就结束


② ~ 大小写敏感

location ~ /example/ {
#规则
}
http://www.example.com/Example/ [成功]
http://www.example.com/example/ [失败]


③ ~* 大小写忽略

location ~* /example/ {
#规则
}
http://www.example.com/Example/ [成功]
http://www.example.com/example/ [成功]


④ ^~ 只匹配以 uri 开头

location ^~ /img/ {
#规则
}
http://www.example.com/img/a.jpg [成功]
http://www.example.com/img/b.mp4 [成功]
http://www.example.com/bimg/b.mp4 [失败]
http://www.example.com/Img/b.mp4 [失败]


⑤ / 其他匹配都不成功 就匹配此项

location / {
#规则
}


• location匹配优先级:
• (location &＃61;) > (location 完整路径) > (location ^~ 路径) > (location _,* 正则顺序) > (location 部分起始路径) > (/)

2.匹配规则操作&＃xff1a;

• &＃61; 精确匹配
• 当匹配上了才能显示
  
  
• 大小写敏感
  
  
  
• 忽略大小写
  
• 匹配以uri开头的
  
  
• 还要下载文件&＃xff0c;好麻烦
  
  
  

• 为什么之前匹配Index.html的时候就不用加default_type text/plain呢&＃xff1f;
  
  

3.location匹配跳转&＃xff1a;

• 这样子我们就可以实现将匹配到/img/的时候&＃xff0c;跳转到error_img这个页面&＃xff0c;然后下面再用location匹配这个页面&＃xff0c;输出img page 404

• 官方文档地址&＃xff1a;

1.return&＃xff1a;

• 该指令用于结束规则的执行并返回状态码给客户端

2.rewrite&＃xff1a;

• rewrite 匹配到请求URI&＃xff0c;重写到新的URI
• rewrite语法 匹配到&＃xff0c;替换为其他内容
• 语法 rewrite 匹配内容 替代内容 标记
• 官方文档地址&＃xff1a;http://nginx.org/en/docs/http/ngx_http_rewrite_module.html#rewrite

• flag标记说明&＃xff1a;
  
  • last #本条规则匹配完成后&＃xff0c;继续向下匹配新的location URI规则&＃xff0c;客户端URL地址不会发生跳转
  • break #本条规则匹配完成即终止&＃xff0c;不再匹配后面的任何规则&＃xff0c;客户端URL地址不会发生跳转
  • redirect #返回302临时重定向&＃xff0c;浏览器地址会显示跳转后的URL地址
  • permanent #返回301永久重定向&＃xff0c;浏览器地址栏会显示跳转后的URL地址

1).资源重定向实现伪静态&＃xff1a;

2).防盗链原理和实现&＃xff1a;

• 业务需求描述&＃xff1a;
  域名A的资源文件&＃xff0c;经常被域名B直接调用访问。
  而用户经常访问域名B&＃xff0c;看到的资源&＃xff08;图片等&＃xff09;以为是域名B的&＃xff0c;实际则是域名A的。
  但是域名A没有从中获得任何收益&＃xff0c;缺要给域名B来源的访问耗费服务器资源和带宽。
  所以&＃xff0c;禁止域名B直接访问和调用域名A的资源的方式&＃xff0c;就被称为"防止盗链"

语法&＃xff1a;
定义允许访问的域名来源
valid_referers none blocked servername
none blocked 没有referer的情况&＃xff0c;直接访问资源的情况
if ($invalid_referer) {}


• 1、在ip的虚拟主机&＃xff0c;静态文件调用图片
• 2、shop的虚拟主机&＃xff0c;禁止ip的虚拟主机调用图片
• ①ip虚拟主机目录建立静态文件访问shop虚拟主机的图片资源
  
• ②在shop虚拟主机配置中&＃xff0c;防止其他虚拟机主机盗链

#定义在server里 shop的server
#图片请求防盗链
location ~* \\.(jpg|png|jpeg|gif|bmp) {
valid_referers www.shop.com;
if ($invalid_referer) {
return 404;
}
}

九、安全

1.隐藏版本号&＃xff1a;