1. Nginx
http://www.jianshu.com/p/e24d676060c1
Nginx(发音:engine X)是一款轻量级的HTTP服务器(相比于 Apache、Lighttpd 而言),同时是一个高性能的HTTP和反向代理服务器,如今国内主流网站基本搭建于Nginx之上,诸如新浪、腾讯、网易、豆瓣。
Nginx 主要以事件驱动的方式编写,有兴趣可以移步这里看他们的源码,这让它拥有非常好的性能,同时也是一个非常高效的反向代理、负载均衡。
官方站点也指出了Nginx作为 HTTP 服务器的几项基本特性:
- 处理静态文件,索引文件以及自动索引;打开文件描述符缓冲
- 无缓存的反向代理加速,简单的负载均衡和容错
- FastCGI,简单的负载均衡和容错
- 模块化的结构,包括 gzipping, byte ranges, chunked responses 以及 SSI-filter 等 filter。
- 支持 SSL 和 TLSSNI.
1.1. 安装并启动 Nginx
由于我是用 Mac 办公的,所以安装Nginx是采用brew进行的,在终端输入下面命令安装好Nginx:
# 强烈建议每次 brew 安装软件的时候先执行 rew update 保持软件依赖包都是最新的
brew install nginx
安装后 path:/usr/local/etc/nginx/nginx.conf
紧接着就可以用浏览器打开http://localhost:8080看到 Nginx 的欢迎信息。
跟Linux系统有些不同,在Mac下面Nginx默认监听了8080端口号,若强迫症(比如我)不希望每次打开网页都要输入端口号的话,那么请在终端执行下面命令:
# 下面的1.12.0请根据最新安装版本号对应修改
sudo chown root:wheel /usr/local/Cellar/nginx/1.12.0/bin/nginx
sudo chmod u+s /usr/local/Cellar/nginx/1.12.0/bin/nginx
# 用vi编辑器打开nginx配置文件,找到server字段的listen字段并将其值修改为80
vi /usr/local/etc/nginx/nginx.conf
修改完上面配置信息之后,执行下面命令检查配置文件语法是否有误并且重新加载配置:
nginx -t && nginx -s reload
如果遇到问题 nginx: [emerg] open() "/usr/local/Cellar/nginx/1.12.1/logs/access.log" failed (2: No such file or directory) 手动创建 logs 文件夹和 access.log 文件
在 Mac 上用 brew 安装 Nginx,然后修改 Nginx 配置文件,再重启时报出如下错误: nginx: [error] invalid PID number "" in "/usr/local/var/run/nginx/nginx.pid" 解决办法: sudo nginx -c /usr/local/etc/nginx/nginx.conf sudo nginx -s reload
更多关于Nginx命令的帮助可以输入nginx -h查看,若想每次开机自动开启Nginx,在终端执行下面命令即可:
ln -sfv /usr/local/opt/nginx/*.plist ~/Library/LaunchAgents
launchctl load ~/Library/LaunchAgents/homebrew.mxcl.nginx.plist
1.2. Nginx 配置不完全详解
下面是我机器上的Nginx的配置文件:
强烈建议大家先打开自己的默认 Nginx 配置跟我的对比来看可以在
终端执行cat /usr/local/etc/nginx/nginx.conf.default查看默认配置文件
# user字段表明了Nginx服务是由哪个用户哪个群组来负责维护进程的,默认是nobody
# 我这里用了cainengtian用户,staff组来启动并维护进程
# 查看当前用户命令: whoami
# 查看当前用户所属组命令: groups ,当前用户可能有多个所属组,选第一个即可
user cainengtian staff;
# worker_processes字段表示Nginx服务占用的内核数量
# 为了充分利用服务器性能你可以直接写你本机最高内核
# 查看本机最高内核数量命令: sysctl -n hw.ncpu
worker_processes 4;
# error_log字段表示Nginx错误日志记录的位置
# 模式选择:debug/info/notice/warn/error/crit
# 上面模式从左到右记录的信息从最详细到最少
error_log /usr/local/var/logs/nginx/error.log debug;
# Nginx执行的进程id,默认配置文件是注释了
# 如果上面worker_processes的数量大于1那Nginx就会启动多个进程
# 而发信号的时候需要知道要向哪个进程发信息,不同进程有不同的pid,所以写进文件发信号比较简单
# 你只需要手动创建,比如我下面的位置: touch /usr/local/var/run/nginx.pid
pid /usr/local/var/run/nginx.pid;
events {
# 每一个worker进程能并发处理的最大连接数
# 当作为反向代理服务器,计算公式为: `worker_processes * worker_connections / 4`
# 当作为HTTP服务器时,公式是除以2
worker_connections 2048;
}
http {
# 关闭错误页面的nginx版本数字,提高安全性
server_tokens off;
include mime.types;
default_type application/octet-stream;
# 日志记录格式,如果关闭了access_log可以注释掉这段
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
# 关闭access_log可以让读取磁盘IO操作更快
# 当然如果你在学习的过程中可以打开方便查看Nginx的访问日志
access_log off;
sendfile on;
# 在一个数据包里发送所有头文件,而不是一个接一个的发送
tcp_nopush on;
# 不要缓存
tcp_nodelay on;
keepalive_timeout 65;
gzip on;
client_max_body_size 10m;
client_body_buffer_size 128k;
# 关于下面这段在后面紧接着来谈!
include /usr/local/etc/nginx/sites-enabled/*;
}
1.3. Nginx 配置最佳实践
上面的配置文件最后一行include关键词会将/usr/local/etc/nginx/sites-enabled/文件夹下面的所有文件都加载进当前的配置文件,这样子就可以将配置文件分离,nginx.conf这个配置文件修改之后以后基本不会修改,配置不同站点的时候只需要在/usr/local/etc/nginx/sites-enabled/不断增加新的文件即可,这是比较好的配置方式。
比如我在/usr/local/etc/nginx/sites-enabled/下面增加了两个文件,用来配置普通的HTTP服务还有HTTPS服务:
touch /usr/local/etc/nginx/sites-enabled/default
touch /usr/local/etc/nginx/sites-enabled/default-ssl
1.4. default 配置解析
Nginx整个配置的结构大致如下:
...
events {
...
}
http {
...
server {
...
location xxx {
...
}
}
}
对比上面我的nginx.conf文件可以知道default文件的内容就是配置server部分的,下面先弄一份最基本的配置(带有详细说明):
server {
# Nginx监听端口号
listen 80;
# 服务器的名字,默认为localhost,你也可以写成 aotu.jd.com,这样子就可以通过 aotu.jd.com来访问
server_name localhost;
# 代码放置的根目录
root /var/www/;
# 编码
charset utf-8;
location / {
# index字段声明了解析的后缀名的先后顺序
# 下面匹配到/的时候默认找后缀名为php的文件,找不到再找html,再找不到就找htm
index index.php index.html index.htm;
# 自动索引
autoindex on;
# 这里引入了解析PHP的东西
include /usr/local/etc/nginx/conf.d/php-fpm;
}
# 404页面跳转到404.html,相对于上面的root目录
error_page 404 /404.html;
# 403页面跳转到403.html,相对于上面的root目录
error_page 403 /403.html;
# 50x页面跳转到50x.html
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
上面的配置的意思就是:访问http://localhost『80 端口号可以直接省略』的时候会在/var/www/下面找index.php文件,如果没有找到就找index.html,如果再没有找到那就找index.htm,如果还是没有找到的话就404跳转到404.html,如果你刚好将/var/www/设置为root用户访问的话,那么就会直接无访问权限403跳转到403.html。
# 当用root配置的时候,root后面指定的目录是上级目录
# 并且该上级目录必须含有和location后指定的名称的同名目录,否则404
# root末尾的"/"加不加无所谓
# 下面的配置如果访问站点http://localhost/test1访问的就是/var/www/test1目录下的站点信息
location /test1/ {
root /var/www/;
}
# 如果用alias配置,其后面跟的指定目录是准确的,并且末尾必须加"/",否则404
# 下面的配置如果访问站点http://localhost/test2访问的就是/var/www/目录下的站点信息
location /test2/ {
alias /var/www/;
}
大家在实践过程中注意区分即可,配置之后要是碰到404可以先考虑是否是这个原因。
1.5. 配置反向代理
对于前端工程师而言,可能最容易成为全栈的技能就是NodeJS了,当我们用express框架写好了一个Node应用之后,比如启动的时候的访问地址是:http://localhost:3000/,但是在部署到服务器上去之后,我们当然不希望别人这样子访问,最好的情况肯定是隐藏掉端口号。
例如我有一个Node服务的名字是o2blog_wx,在启动Node的时候访问的地址是:http://localhost:3000/,但是对外网我们希望是:http://aotu.jd.com/o2blog_wx,接下来我们将通过 Nginx 进行配置(带有详细注释)。
server {
listen 80;
server_name aotu.jd.com;
root /var/www/;
location /o2blog_wx/ {
# 反向代理我们通过proxy_pass字段来设置
# 也就是当访问http://aotu.jd.com/o2blog_wx的时候经过Nginx反向代理到服务器上的http://127.0.0.1:3000
# 同时由于解析到服务器上的时候o2blog_wx这个字段都要处理
# 所以通过rewrite字段来进行正则匹配替换
# 也就是http://aotu.jd.com/o2blog_wx/hello经过Nginx解析到服务器变成http://127.0.0.1:3000/hello
proxy_pass http://127.0.0.1:3000;
rewrite ^/o2blog_wx/(.*) /$1 break;
}
}
1.6. 配置临时跳转
有时候我们觉得一开始配置的 URL 不好想换掉,但又不想原先的链接失效,比如一开始对外网的链接是:http://aotu.jd.com/o2blog_wx/,后来想改成http://aotu.jd.com/wxblog,又不想原先的失效。
这个时候可以在Nginx上配置一个302临时跳转,如下(server部分跟前面的一样):
location /o2blog_wx/ {
# 当匹配到http://aotu.jd.com/o2blog_wx/的时候会跳转到http://aotu.jd.com/wxblog
return 302 http://aotu.jd.com/wxblog
}
1.7. 配置限制访问
在一台服务器上的资源不全部都是对外开放的,这个时候就需要通过Nginx配置一个限制访问,比如查看本服务器的 PHP 信息,我们就可以通过下面配置来实现限制访问:
# 当匹配到/info的时候只允许10.7.101.224访问,其它的全部限制
# 同时改写为/info.php
location = /info {
allow 10.7.101.224;
deny all;
rewrite (.*) /info.php
}
这个时候只有 IP 为10.7.101.224的机器才可以访问:http://aotu.jd.com/info,其它机器都会403拒绝访问!
当然最佳的实践是将IP抽取出来变成白名单,这样子就可以实现部分IP可以访问,其它的不能访问。
1.8. default-ssl 配置解析
我们都知道HTTP在传输的过程中都是明文的,这直接导致了在传输的任何一个过程中都容易被窃取信息,所以才有了SSL(安全套接层)以及升级版TLS(传输层安全协议)的出现,其实就是在HTTP应用层给TCP/IP传输层的中间增加了TLS/SSL层,统称为HTTPS。
那如何通过Nginx配置HTTPS站点呢,下面就是default-ssl配置文件的内容(详细解析):
server {
# 默认情况下HTTPS监听443端口
listen 443 ssl;
server_name localhost;
root /var/www/;
# 下面这些都是配置SSL需要的
ssl on;
# 下面两个字段需要的crt利用openssl生成,具体可以看[这里](http://nginx.org/en/docs/http/configuring_https_servers.html)
ssl_certificate ssl/localhost.crt;
ssl_certificate_key ssl/localhost.key;
ssl_session_timeout 10m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location = /info {
allow 127.0.0.1;
deny all;
rewrite (.*) /info.php;
}
location /phpmyadmin/ {
root /usr/local/share/phpmyadmin;
index index.php index.html index.htm;
}
location / {
include /usr/local/etc/nginx/conf.d/php-fpm;
}
error_page 403 /403.html;
error_page 404 /404.html;
}
上面配置之后,就可以通过https://localhost/访问我们的Nginx首页了。
当然若要在对外网使用,必须购买第三方信任证书才行,有兴趣的童鞋可以谷歌了解,这里不细谈。
1.9. 小结
写到这里,最基本的Nginx配置就基本介绍完了,若按照我上面的配置一步步跟着改,基本上都可以跑起来Nginx服务了吧,若想更加深入学习Nginx的配置,强烈建议看官方文档,写得很清晰明了,还是那句老话:授之以鱼不如授之以渔。
1.10. 反向代理
提到反向代理,必然先提到正向代理,正向代理(forward)是一个位于客户端【用户 A】和原始服务器(origin server)【服务器 B】之间的服务器【代理服务器 Z】,为了从原始服务器取得内容,用户 A 向代理服务器 Z 发送一个请求并指定目标(服务器 B),然后代理服务器 Z 向服务器 B 转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。
正向代理示意图
从上图可以看出,所谓的正向代理就是代理服务器替代访问方【用户A】去访问目标服务器【服务器B】,在现实中的例子就是『翻墙』!但如果代理服务器 Z 被完全控制(或不完全控制),就变成了『肉鸡』了。
而反向代理与正向代理相反,对客户端而言代理服务器就像是原始服务器,并且客户端不需要进行任何特别的设置。客户端向反向代理的命名空间(name-space)中的内容发送普通请求,接着反向代理将判断向何处(原始服务器)转交请求,并将获得的内容返回给客户端。
使用反向代理服务器主要核心作用如下:
保护和隐藏原始资源服务器
反向代理原理图
从上图可以看出,用户 A 始终认为它访问的是原始服务器 B 而不是代理服务器 Z,但实际上反向代理服务器接受用户 A 的应答,从原始资源服务器 B 中取得用户 A 的需求资源,然后发送给用户 A。由于防火墙的作用,只允许代理服务器 Z 访问原始资源服务器 B。尽管在这个虚拟的环境下,防火墙和反向代理的共同作用保护了原始资源服务器 B,但用户 A 并不知情。
负载均衡
反向代理负载均衡示例图
当反向代理服务器不止一个的时候,我们甚至可以把它们做成集群,当更多的用户访问资源服务器 B 的时候,让不同的代理服务器 Z(x)去应答不同的用户,然后发送不同用户需要的资源。
当然反向代理服务器像正向代理服务器一样拥有 CACHE 的作用,它可以缓存原始资源服务器 B 的资源,而不是每次都要向原始资源服务器 B 请求数据,特别是一些静态的数据,比如图片和文件,如果这些反向代理服务器能够做到和用户 X 来自同一个网络,那么用户 X 访问反向代理服务器 X,就会得到很高质量的速度。这正是CDN技术的核心。如下图:
CDN 原理图