• Nginx快速入门教程,域名转发、负载均衡


    1.Nginx简介

    Nginx是⽬前最流⾏的Web服务器,
    最开始是由⼀个叫做igor的俄罗斯的程序员开发的,
    2019年3⽉11⽇被美国的F5公司以6.7亿美元的价格收购,
    现在Nginx是F5公司旗下的⼀款产品了。

    2.Nginx的版本

    Nginx开源版本主要分为两种,⼀种是稳定版,⼀种是主线版。
    主线版(mainline):主线版是最新的版本,功能会⽐较多,会包含⼀些正在开发中的体
    验性模块功能,但是也可能会有⼀些新的bug。
    稳定版(Stable):稳定版是经过⻓时间测试的版本,不会有太多的bug,也不会包含⼀
    些新的功能。

    Nginx安装(预编译⼆进制包)
    这种⽅式⽐通过源码编译安装的⽅式要简单快捷得多,只需要输⼊⼀条install命令就可以了。
    不同Linux发⾏版的安装⽅式略有不同,下⾯分别介绍⼀下。

    3.Nginx安装(预编译⼆进制包)

    3.1 CentOS/RHEL/Oracle Linux/AlmaLinux/Rocky Linux repository.

    CentOS系Linux发⾏版可以使⽤yum来安装。
    也可以通过Nginx的官⽅仓库来安装,这样可以保证安装的是最新的版本。

    安装前置依赖

    添加nginx仓库

    添加以下内容

    # 1. 安装EPEL仓库
    
    sudo yum install epel-release
    
    # 2. 更新repo
    
    sudo yum update
    
    # 3. 安装nginx
    
    sudo yum install nginx
    
    # 4. 验证安装
    
    sudo nginx -V
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15

    也可以通过Nginx的官⽅仓库来安装,这样可以保证安装的是最新的版本。

    1. 安装前置依赖
    sudo yum install yum-utils
    
    2. 添加nginx仓库
    sudo vi /etc/yum.repos.d/nginx.repo
    
    3. 添加以下内容
    [nginx-stable] [nginx-stable]
    name=nginx stable repo
    baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
    gpgcheck=1
    enabled=1
    gpgkey=https://nginx.org/keys/nginx_signing.key
    module_hotfixes=true
    上⾯的 stable 和 mainline 就分别表示稳定版和主线版,可以根据⾃⼰的需要来选择。
    
    4. 更新repo
    sudo yum update
    
    5. 安装nginx
    sudo yum install nginx
    
    6. 验证安装
    除了使⽤ sudo nginx -V 之外,还可以使⽤下⾯的⽅式来验证:
    
    # 启动Nginx
    sudo nginx
    curl -I 127.0.0.1
    
    如果能够看到类似下⾯的输出,就表示安装成功了:
    qiye@ubuntu:~$ curl -I 127.0.0.1
    HTTP/1.1 200 OK
    Server: nginx/1.18.0 (Ubuntu)
    Date: Sun, 19 Nov 2023 08:24:00 GMT
    Content-Type: text/html
    Content-Length: 612
    Last-Modified: Sun, 19 Nov 2023 03:33:38 GMT
    Connection: keep-alive
    ETag: "65598212-264"
    Accept-Ranges: bytes
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40

    3.2 Debian/Ubuntu repository

    Debian、Ubuntu系列的Linux发⾏版可以使⽤apt来安装。

    # 1. 更新仓库信息
    sudo apt-get update
    # 2. 安装nginx
    sudo apt-get install nginx
    # 3. 验证安装
    sudo nginx -V
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    同样也可以从Nginx官⽅仓库来安装。

    # 1. 安装前置依赖
    sudo apt install curl gnupg2 ca-certificates lsb-release debian-archivekeyring
    # 2. 导⼊官⽅Nginx签名密钥
    curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor \
     | sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/null
    # 3. 验证下载的⽂件中包含了正确的密钥
    gpg --dry-run --quiet --no-keyring --import --import-options import-show
    /usr/share/keyrings/nginx-archive-keyring.gpg
    # 4. 设置稳定版或者主线版的Nginx包
    # 稳定版
    echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] \
    http://nginx.org/packages/debian `lsb_release -cs` nginx" \
     | sudo tee /etc/apt/sources.list.d/nginx.list
    # 主线版
    echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] \
    3.3 从源码编译安装
    从源码编译安装的⽅式可以让我们⾃定义Nginx的安装⽬录、模块等,但是安装过程⽐较繁
    琐,需要安装⼀些依赖库。
    3.3.1 安装PCRE库
    PCRE是Perl Compatible Regular Expressions的缩写,是⼀个Perl库,包括perl兼容的正则表
    达式库。
    http://nginx.org/packages/mainline/debian `lsb_release -cs` nginx" \
     | sudo tee /etc/apt/sources.list.d/nginx.list
    # 5. 设置仓库优先级,优先使⽤Nginx官⽅仓库
    echo -e "Package: *\nPin: origin nginx.org\nPin: release o=nginx\nPinPriority: 900\n" \
     | sudo tee /etc/apt/preferences.d/99nginx
    # 6. 安装nginx
    sudo apt update
    sudo apt install nginx
    # 7. 验证安装
    sudo nginx
    curl -I 127.0.0.1
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32

    3.3 从源码编译安装

    从源码编译安装的⽅式可以让我们⾃定义Nginx的安装⽬录、模块等,但是安装过程⽐较繁 琐,需要安装⼀些依赖库。

    3.3.1 安装PCRE库

    PCRE是Perl Compatible Regular Expressions的缩写,是⼀个Perl库,包括perl兼容的正则表 达式库。

    wget github.com/PCRE2Project/pcre2/releases/download/pcre2-10.42/pcre2-
    10.42.tar.gz
    tar -zxf pcre2-10.42.tar.gz
    cd pcre2-10.42
    ./configure
    make
    sudo make install
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    3.3.2 安装zlib库

    zlib是⼀个数据压缩库,⽤于Nginx的gzip模块。

    wget http://zlib.net/zlib-1.2.13.tar.gz
    tar -zxf zlib-1.2.13.tar.gz
    cd zlib-1.2.13
    ./configure
    make
    sudo make install
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    3.3.3 安装OpenSSL库

    OpenSSL是⼀个强⼤的安全套接字层密码库,⽤于Nginx的SSL模块。

    wget http://www.openssl.org/source/openssl-1.1.1t.tar.gz
    tar -zxf openssl-1.1.1t.tar.gz
    cd openssl-1.1.1t
    ./Configure darwin64-x86_64-cc --prefix=/usr
    make
    sudo make install
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    3.3.4 下载Nginx源码

    下载主线版的Nginx源码:

    wget https://nginx.org/download/nginx-1.23.4.tar.gz
    tar zxf nginx-1.23.4.tar.gz
    cd nginx-1.23.4
    
    
    • 1
    • 2
    • 3
    • 4

    下载稳定版的Nginx源码:

    wget https://nginx.org/download/nginx-1.24.0.tar.gz
    tar zxf nginx-1.24.0.tar.gz
    cd nginx-1.24.0
    
    • 1
    • 2
    • 3

    3.3.5 配置编译选项

    编译选项可以通过 ./configure --help 来查看。 下⾯是⼀个官⽹的例⼦:

    ./configure
    --sbin-path=/usr/local/nginx/nginx
    --conf-path=/usr/local/nginx/nginx.conf
    --pid-path=/usr/local/nginx/nginx.pid
    --with-pcre=../pcre2-10.42
    --with-zlib=../zlib-1.2.13
    --with-http_ssl_module
    --with-stream
    --with-mail=dynamic
    --add-module=/usr/build/nginx-rtmp-module
    --add-dynamic-module=/usr/build/3party_module
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    参数说明
    –prefix=指定安装目录
    –sbin-path=指定Nginx可执行文件路径
    –conf-path=指定配置文件位置
    –pid-path=指定pid文件位置
    –error-log-path=指定错误日志文件位置
    –http-log-path=指定HTTP日志文件位置
    –user=指定运行Nginx的用户
    –group=指定运行Nginx的组
    –with-pcre=指定PCRE库的位置
    –with-pcre-jit开启PCRE的JIT(Just-in-time compilation)支持
    –with-zlib=指定zlib库的位置

    4.Nginx的配置⽂件

    Nginx的配置⽂件是 nginx.conf ,⼀般位于 /etc/nginx/nginx.conf 。

    可以使⽤ nginx -t 来查看配置⽂件的位置和检查配置⽂件是否正确

    oot@ubuntu:/home/qiye# nginx -t
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful
    
    
    • 1
    • 2
    • 3
    • 4

    4.1 配置⽂件的结构

    Nginx的配置⽂件是由⼀系列的指令组成的,每个指令都是由⼀个指令名和⼀个或者多个参数 组成的。

    指令和参数之间使⽤空格来分隔,指令以分号 ; 结尾,参数可以使⽤单引号或者双引号来包 裹。

    配置⽂件分为以下⼏个部分:

    # 全局块
    worker_processes 1;
    
    events {
    # events块
    }
    http {
    # http块
     server {
    # server块
     location / {
    # location块
     }
     }
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15

    4.1.1 全局块

    全局块是配置⽂件的第⼀个块,也是配置⽂件的主体部分,主要⽤来设置⼀些影响Nginx服务
    器整体运⾏的配置指令,主要包括配置运⾏Nginx服务器的⽤户(组)、允许⽣成的worker
    process数、进程PID存放路径、⽇志存放路径和类型以及配置⽂件引⼊等

    # 指定运⾏Nginx服务器的⽤户,只能在全局块配置
    # 将user指令注释掉,或者配置成nobody的话所有⽤户都可以运⾏
    # user [user] [group]
    # user nobody nobody;
    user nginx;
    # 指定⽣成的worker进程的数量,也可使⽤⾃动模式,只能在全局块配置
    worker_processes 1;
    # 错误⽇志存放路径和类型
    error_log /var/log/nginx/error.log warn;
    # 进程PID存放路径
    pid /var/run/nginx.pid;
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12

    4.1.2 events块

    events {
    # 指定使⽤哪种⽹络IO模型,只能在events块中进⾏配置
    # use epoll
    # 每个worker process允许的最⼤连接数
     worker_connections 1024;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    4.1.3 http块

    http块是配置⽂件的主要部分,包括http全局块和server块。

    http {
        # nginx 可以使用include指令引入其他配置文件
        include /etc/nginx/mime.types;
    
        # 默认类型,如果请求的URL没有包含文件类型,会使用默认类型
        default_type application/octet-stream; # 默认类型
    
        # 开启高效文件传输模式
        sendfile on;
    
        # 连接超时时间
        keepalive_timeout 65;
    
        # access_log 日志存放路径和类型
        # 格式为:access_log  [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
        access_log /var/log/nginx/access.log main;
    
        # 定义日志格式
        log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                          '$status $body_bytes_sent "$http_referer" '
                          '"$http_user_agent" "$http_x_forwarded_for"';
    
        # 设置sendfile最大传输片段大小,默认为0,表示不限制
        # sendfile_max_chunk 1m;
    
        # 每个连接的请求次数
        # keepalive_requests 100;
    
        # keepalive超时时间
        keepalive_timeout 65;
    
        # 开启gzip压缩
        # gzip on;
    
        # 开启gzip压缩的最小文件大小
        # gzip_min_length 1k;
    
        # gzip压缩级别,1-9,级别越高压缩率越高,但是消耗CPU资源也越多
        # gzip_comp_level 2;
    
        # gzip压缩文件类型
        # gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
    
        # upstream指令用于定义一组服务器,一般用来配置反向代理和负载均衡
        upstream www.example.com {
            # ip_hash指令用于设置负载均衡的方式,ip_hash表示使用客户端的IP进行hash,
            # 这样可以保证同一个客户端的请求每次都会分配到同一个服务器,解决了session共享的问题
            ip_hash;
    
            # weight 用于设置权重,权重越高被分配到的机率越大
            server 192.168.50.11:80 weight=3;
            server 192.168.50.12:80;
            server 192.168.50.13:80;
        }
    
        server {
            # 参考server块的配置
        }
    }
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60

    4.1.4 server块

    server块是配置虚拟主机的,⼀个http块可以包含多个server块,每个server块就是⼀个虚拟主 机。

    server {
        # 监听IP和端口
        # listen的格式为:
        # listen [ip]:port [default_server] [ssl] [http2] [spdy] [proxy_protocol] [setfib=number] [fastopen=number] [backlog=number];
        # listen指令非常灵活,可以指定多个IP和端口,也可以使用通配符
        # 下面是几个实际的例子:
        # listen 127.0.0.1:80; # 监听来自127.0.0.1的80端口的请求
        # listen 80; # 监听来自所有IP的80端口的请求
        # listen *:80; # 监听来自所有IP的80端口的请求,同上
        # listen 127.0.0.1; # 监听来自来自127.0.0.1的80端口,默认端口为80
        listen 80;
    
        # server_name 用来指定虚拟主机的域名,可以使用精确匹配、通配符匹配和正则匹配等方式
        # server_name example.org www.example.org; # 精确匹配
        # server_name *.example.org; # 通配符匹配
        # server_name ~^www\d+\.example\.net$; # 正则匹配
        server_name localhost;
    
        # location块用来配置请求的路由,一个server块可以包含多个location块,每个 location块就是一个请求路由
        # location块的格式是:
        # location [=|~|~*|^~] /uri/ { ... }
        # = 表示精确匹配,只有完全匹配上才能生效
        # ~ 表示区分大小写的正则匹配
        # ~* 表示不区分大小写的正则匹配
        # ^~ 表示普通字符匹配,如果匹配成功,则不再匹配其他location
        # /uri/ 表示请求的URI,可以是字符串,也可以是正则表达式
        # { ... } 表示location块的配置内容
    
        location / {
            # root指令用于指定请求的根目录,可以是绝对路径,也可以是相对路径
            root /usr/share/nginx/html; # 根目录
    
            # index指令用于指定默认文件,如果请求的是目录,则会在目录下查找默认文件
            index index.html index.htm; # 默认文件
        }
    
        # 下面是一些location的示例:
        
        location = / { # 精确匹配请求
            root /usr/share/nginx/html;
            index index.html index.htm;
        }
    
        location ^~ /images/ { # 匹配以/images/开头的请求
            root /usr/share/nginx/html;
        }
    
        location ~* \.(gif|jpg|jpeg)$ { # 匹配以gif、jpg或者jpeg结尾的请求
            root /usr/share/nginx/html;
        }
    
        location !~ \.(gif|jpg|jpeg)$ { # 不匹配以gif、jpg或者jpeg结尾的请求
            root /usr/share/nginx/html;
        }
    
        location !~* \.(gif|jpg|jpeg)$ { # 不匹配以gif、jpg或者jpeg结尾的请求
            root /usr/share/nginx/html;
        }
    
        # error_page 用于指定错误页面,可以指定多个,按照优先级从高到低依次查找
        error_page 500 502 503 504 /50x.html; # 错误页面
    
        location = /50x.html {
            root /usr/share/nginx/html;
        }
    }
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60
    • 61
    • 62
    • 63
    • 64
    • 65
    • 66
    • 67

    5.Nginx的常⽤命令

    nginx # 启动Nginx
    nginx -c filename # 指定配置⽂件
    nginx -V # 查看Nginx的版本和编译参数等信息
    nginx -t # 检查配置⽂件是否正确,也可⽤来定位配置⽂件的位置
    nginx -s quit # 优雅停⽌Nginx
    nginx -s stop # 快速停⽌Nginx
    nginx -s reload # 重新加载配置⽂件
    nginx -s reopen # 重新打开⽇志⽂件
    
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10

    6.Nginx的常⽤模块

    模块名(Module Name)描述(Description)
    http_access_module接受或者拒绝特定的客户端请求
    http_auth_basic_moduleHTTP基本认证,使用用户名和密码来限制对资源的访问
    http_autoindex_module自动索引,用于显示目录列表
    http_browser_module从 User-Agent 请求头中获取和识别客户端浏览器
    http_charset_module添加特定的字符集到 Content-Type 响应头中
    http_empty_gif_module返回一个1像素的透明GIF图片
    http_fastcgi_moduleFastCGI支持
    http_geo_module从IP地址中获取地理位置信息
    http_gzip_moduleGzip压缩支持
    http_limit_conn_module限制并发连接数
    http_limit_req_module限制请求速率
    http_map_module从变量中获取值
    http_memcached_moduleMemcached支持
    http_proxy_module反向代理支持
    http_referer_module防盗链
    http_rewrite_moduleURL重写
    http_scgi_module转发请求到SCGI服务器
    http_ssi_module处理和支持SSI(Server Side Includes)
    http_split_clients_module根据客户端IP地址或者其他变量将客户端分配到组中,一般用于A/B测试
    http_upstream_hash_module启用一致性哈希负载均衡
    http_upstream_ip_hash_module启用IP哈希负载均衡
    http_upstream_keepalive_module启用长连接负载均衡
    http_upstream_least_conn_module启用最少连接负载均衡
    http_upstream_zone_module启用共享内存负载均衡
    http_userid_module为客户端设置一个唯一的ID(UID、cookie)
    http_uwsgi_module转发请求到uWSGI服务器,一般用于Python应用

    7.实际运行

    **1.**域名转到本地某个服务端口

    把来自 xxx.com 的请求反向代理到本地的 http://127.0.0.1:8888,并且对HTTPS进行了SSL配置。

    server
    {
        listen 80;
    		listen 443 ssl http2;
        server_name xxx.com;
        index index.html index.htm default.htm default.html;
        root /www/tts/azure_website;
    
        #SSL-START SSL相关配置
        #error_page 404/404.html;
        #HTTP_TO_HTTPS_START
        if ($server_port !~ 443){
            rewrite ^(/.*)$ https://$host$1 permanent;
        }
        #HTTP_TO_HTTPS_END
        ssl_certificate    /www/server/panel/vhost/cert/azure_website/fullchain.pem;
        ssl_certificate_key    /www/server/panel/vhost/cert/azure_website/privkey.pem;
        ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;
        add_header Strict-Transport-Security "max-age=31536000";
        error_page 497  https://$host$request_uri;
    
        
        #SSL-END
    
        #ERROR-PAGE-START  错误页相关配置
        #error_page 404 /404.html;
        #error_page 502 /502.html;
        #ERROR-PAGE-END
    
    
        #REWRITE-START 伪静态相关配置
        include /www/server/panel/vhost/rewrite/python_azure_website.conf;
        #REWRITE-END
    
        #禁止访问的文件或目录
        location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md|package.json|package-lock.json|\.env) {
            return 404;
        }
    
        #一键申请SSL证书验证目录相关设置
        location /.well-known/ {
            root /www/wwwroot/java_node_ssl;
        }
    
        #禁止在证书验证目录放入敏感文件
        if ( $uri ~ "^/\.well-known/.*\.(php|jsp|py|js|css|lua|ts|go|zip|tar\.gz|rar|7z|sql|bak)$" ) {
            return 403;
        }
    
        # HTTP反向代理相关配置开始 >>>
        location ~ /purge(/.*) {
            proxy_cache_purge cache_one 127.0.0.1$request_uri$is_args$args;
        }
    
        location / {
            proxy_pass http://127.0.0.1:8888;
            proxy_set_header Host 127.0.0.1:$server_port;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header REMOTE-HOST $remote_addr;
            add_header X-Cache $upstream_cache_status;
            proxy_set_header X-Host $host:$server_port;
            proxy_set_header X-Scheme $scheme;
            proxy_connect_timeout 30s;
            proxy_read_timeout 86400s;
            proxy_send_timeout 30s;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
        }
        # HTTP反向代理相关配置结束 <<<
    
        access_log  /www/wwwlogs/azure_website.log;
        error_log  /www/wwwlogs/azure_website.error.log;
    }
    
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60
    • 61
    • 62
    • 63
    • 64
    • 65
    • 66
    • 67
    • 68
    • 69
    • 70
    • 71
    • 72
    • 73
    • 74
    • 75
    • 76
    • 77
    • 78
    • 79
    • 80
    • 81
    1. 基础配置:
      • listen 80;: 监听HTTP请求的端口。
      • listen 443 ssl http2;: 监听HTTPS请求的端口,并启用SSL和HTTP/2。
      • server_name xxx.com;: 指定服务器的域名。
      • index index.html index.htm default.htm default.html;: 指定默认的索引文件。
      • root /www/tts/azure_website;: 指定网站根目录。
    2. SSL 配置:
      • SSL证书和密钥的路径。
      • ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;: 指定SSL协议版本。
      • ssl_ciphers ...: 指定支持的加密套件。
      • ssl_prefer_server_ciphers on;: 优先使用服务器端的加密套件。
      • ssl_session_cache shared:SSL:10m;: 配置SSL会话缓存。
      • ssl_session_timeout 10m;: 配置SSL会话超时时间。
      • add_header Strict-Transport-Security "max-age=31536000";: 启用HSTS,强制使用HTTPS。
      • error_page 497 https://$host$request_uri;: 处理HTTP到HTTPS的重定向。
    3. 错误页配置:
      • 错误页相关配置,包括404和502错误页。
    4. 伪静态相关配置:
      • 引入了一个外部配置文件 python_azure_website.conf,可能包含伪静态规则。
    5. 禁止访问文件或目录:
      • 禁止访问指定的敏感文件或目录。
    6. SSL证书验证目录相关设置:
      • 设置一个目录用于一键申请SSL证书的验证。
    7. 反向代理配置:
      • 配置了一个HTTP反向代理,将请求转发到本地的 http://127.0.0.1:8888
      • 设置了一些代理头,如 HostX-Real-IPX-Forwarded-For 等。
      • 配置了一些超时时间和版本信息。
      • 使用了proxy_cache_purge模块,允许通过 /purge 路径刷新缓存。
    8. 日志配置:
      • 配置了访问日志和错误日志的路径。

    2.负载均衡

    流量转移到两个服务中

    user www-data;
    worker_processes auto;
    pid /run/nginx.pid;
    include /etc/nginx/modules-enabled/*.conf;
    
    events {
    	worker_connections 768;
    	# multi_accept on;
    }
    
    http {
    
    	##
    	# Basic Settings
    	##
    
    	sendfile on;
    	tcp_nopush on;
    	tcp_nodelay on;
    	keepalive_timeout 65;
    	types_hash_max_size 2048;
    	# server_tokens off;
    
    	# server_names_hash_bucket_size 64;
    	# server_name_in_redirect off;
    
    	include /etc/nginx/mime.types;
    	default_type application/octet-stream;
    
    	##
    	# SSL Settings
    	##
    
    	ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
    	ssl_prefer_server_ciphers on;
    
    	##
    	# Logging Settings
    	##
    
    	access_log /var/log/nginx/access.log;
    	error_log /var/log/nginx/error.log;
    
    	##
    	# Gzip Settings
    	##
    
    	gzip on;
    
    	# gzip_vary on;
    	# gzip_proxied any;
    	# gzip_comp_level 6;
    	# gzip_buffers 16 8k;
    	# gzip_http_version 1.1;
    	# gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
    
    	##
    	# Virtual Host Configs
    	##
    
    	include /etc/nginx/conf.d/*.conf;
    	include /etc/nginx/sites-enabled/*;
    
    
        upstream backend {
            server localhost:8000;
            server localhost:8001;
            # 在实际生产环境中,你可能会有更多的后端服务器,可以根据需求添加
            # server 块来增加服务器数量,也可以设置权重来调整负载均衡的比例
            # 例如:
            # server localhost:8002 weight=2;
        }
    
        server {
            listen 80;
            server_name 192.168.31.131;
    
            location /app {
                proxy_pass http://backend;
                    proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST $remote_addr;
        add_header X-Cache $upstream_cache_status;
        proxy_set_header X-Host $host:$server_port;
        proxy_set_header X-Scheme $scheme;
        proxy_connect_timeout 30s;
        proxy_read_timeout 86400s;
        proxy_send_timeout 30s;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
                # 这里使用了upstream块中定义的负载均衡组"backend"
                # 请求会被均匀分发到定义的后端服务器中
            }
    
            # 可以根据需要添加其他 location 配置
    
            # 配置错误页面
            error_page 500 502 503 504 /50x.html;
            location = /50x.html {
                root /usr/share/nginx/html;
            }
        }
    }
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60
    • 61
    • 62
    • 63
    • 64
    • 65
    • 66
    • 67
    • 68
    • 69
    • 70
    • 71
    • 72
    • 73
    • 74
    • 75
    • 76
    • 77
    • 78
    • 79
    • 80
    • 81
    • 82
    • 83
    • 84
    • 85
    • 86
    • 87
    • 88
    • 89
    • 90
    • 91
    • 92
    • 93
    • 94
    • 95
    • 96
    • 97
    • 98
    • 99
    • 100
    • 101
    • 102
    • 103
    • 104
    • 105
    • 106

    简化版:

    worker_processes  1;
    events {
        worker_connections  1024;
    }
    http {
        include       mime.types;
        default_type  application/octet-stream;
        sendfile        on;
        keepalive_timeout  65;
    
        upstream backend {
        	server 192.168.31.131:8000;
        	server 192.168.31.131:8001;
    
        }
    
        server {
            listen       80;
            server_name  192.168.31.131;
            location /app {
                            proxy_pass http://backend;
            }
            error_page   500 502 503 504  /50x.html;
            location ^~ /api/ {
                proxy_pass http://backend/;
            }
        }
        }
    
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29

    3.配置最少连接策略
    到达 Nginx 的请求会被发送往最少数量的现有活动连接的服务器。

    在 upstream 中添加关键字 least_conn:

    upstream crmdev {
        least_conn;
        server 192.168.101.1:8080;
        server 192.168.101.2:8080;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5

    如果列出了多个服务器,并且有多台服务器都处于低数量连接状态,将在这些服务器中轮询。

    4.配置IP 哈希策略
    轮询和最少连接的不足在于来自客户端的连接会到达池中不同的服务器,这对于不依赖会话的应用程序来说还好。但是如果你的应用程序依赖,一旦与某台服务器建立了初始连接,你就想要来自那个客户端的所有连接都被转发到那台服务器。这样,IP 哈希算法就有用了:

    upstream crmdev {
        ip_hash;
        server 192.168.101.1:8080;
        server 192.168.101.2:8080;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5

    5. 单独服务器的权重选项
    也可以单独指定池中的某台服务器的权重。默认所有的服务器权重相同,都为1。

    upstream crmdev {
        server 192.168.101.1:8080;
        server 192.168.101.2:8080;
        server 192.168.101.3:8080 weight 2;
        server 192.168.101.4:8080;
        server 192.168.101.5:8080;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    这里总共5台服务器。但是第三台服务器的权重为2,意味着每6个请求中有两个会被转发到第三台,爱其他服务器一台分配一个。在更强劲的服务器分配更多的负载更为合理。

    6.超时选项
    给某台服务器设置 max_fails 和 fail_timeout:

    upstream crmdev {
        server 192.168.101.1:8080 max_fails=3 fail_timeout=30s;
        server 192.168.101.2:8080;
        server 192.168.101.3:8080 weight 2;
        server 192.168.101.4:8080;
        server 192.168.101.5:8080;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    默认的 fail_timeout 是10秒,10秒内如果有 n 次失败的尝试,服务器将被下线,但也仅仅是下线十秒。
    默认的 max_fails 是1次,配合 fail_timeout 暂时下线不可用的服务器。
    7. 在服务器池中预留一台备用服务器
    下面的例子中,第五台服务器被标记了 backup 关键字:

    upstream crmdev {
        server 192.168.101.1:8080 max_fails=3 fail_timeout=30s;
        server 192.168.101.2:8080;
        server 192.168.101.3:8080 weight 2;
        server 192.168.101.4:8080;
        server 192.168.101.5:8080 backup;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    Nginx 会暂时忽略这台服务器除非其他四台全都宕机。

  • 相关阅读:
    visual studio 安装包丢失或损坏
    一款mysql审计日志自动轮转自动清理工具:mysql-audit-extend
    Binder 域
    修改了字符集,好多软件不能正常使用,所以,慎重。。。。
    手工打造基于MM32F5微控制器的MicroPython开发板
    Final IK⭐一、简介及关键脚本 FullBodyBipedIK 讲解
    OpenHarmony 系统能力 SystemCapability 使用指南
    MySql8.0 驱动编译和使用 - Qt mingw73_32
    wait() ,notify(),notifyAll()以及wait()与sleep()比较
    dockerfile基于apline将JDK20打包成镜像
  • 原文地址:https://blog.csdn.net/m0_61634551/article/details/134492915