Nginx基础应用

目录索引

当找不到首页文件内容时， 会展示目录结构，这个功能一般不用除非有特殊需求-->autoindex on;

1.Nginx默认是不允许列出整个目录浏览下载。

2.当Nginx配置文件中指定了autoindex on；参数：当首页文件不存在时。浏览网页会显示站点目录下所有文件或重要目录3.可以被Nginx服务处理的文件资源，点击后直接显示文件内容 4.不可以被Nginx服务处理的文件资源，会通过浏览器直接下载5.Nginx资源识别文件 /etc/nginx/mime.types

扩展 Apache软件，没有首页文件，默认会把目录下面的信息显示出来

官网说明

Syntax: autoindex on | off;

Default: autoindex off;Context: http, server, location

autoindex常用参数

autoindex_exact_size off;

默认为on， 显示出文件的确切大小，单位是bytes。修改为off，显示出文件的大概大小，单位是kB或者MB或者GB。

autoindex_localtime on;

默认为off，显示的文件时间为GMT时间。修改为on， 显示的文件时间为文件的服务器时间。

charset utf-8,gbk;

默认中文目录乱码，添加上解决乱码。

2.配置站点目录浏览功能

//开启目录浏览location / {    root html;    autoindex on;    autoindex_localtime on;    autoindex_exact_size off;}

Nginx状态监控

1.ngx_http_stub_status_module用于展示Nginx连接状态信息,

需要--with-http_stub_status_module模块支持

官网说明

Syntax: stub_status;

Default: —Context: server, location

2.配置Nginx status

location /nginx_status {    stub_status;    access_log off;}

3.使用浏览器访问http://IP/nginx_status访问后得到的结果

Active connections:2    #当前活动的连接数server accepts handled requests16     16     19accepts 16              # 总的tcp连接数connectionhandled 16              # 成功tcp连接数connection(失败连接=(总连接数-成功连接数))                          这个值如果优化的好一般是和accepts的值相同的  除非达到资源限制                          worker_connections  连接数限制requests 19              # 总共处理的http请求数requests#keepalive_timeout 0;    # 每次连接都会产生一次请求(短连接)#keepalive_timeout 60;   # 在60s以内的请求建立在一个连接基础之上(长连接)Reading:2 Writing:1 Waiting: 19Reading                  # 当前Nginx正在读取请求头的连接数Writing                  # 当前Nginx将响应写回客户机的连接数Waiting                  # 等待连接数 开启TCP长连接后才有

​

Nginx访问控制

基于IP的访问控制 http_access_module

基于用户登陆认证 http_auth_basic_module

#1.Nginx基于IP的访问控制

官方说明

//允许配置语法Syntax: allow address | CIDR | unix: | all;Default:    —Context:    http, server, location, limit_except//拒绝配置语法Syntax: deny address | CIDR | unix: | all;Default:    —Context:    http, server, location, limit_except

1.访问控制配置示例, 拒绝指定的IP, 其他全部允许

location /nginx_status {    stub_status;    access_log off;    deny 10.0.0.1;    allow all;}

2.访问控制配置示例, 只允许谁能访问, 其它全部拒绝

location / {    root   html;    index  index.php index.html index.htm;    allow   10.0.0.0/24;    allow   127.0.0.1;    deny    all;}

3.http_access_module局限性

下图是使用http_x_forwarded_for记录真实客户端IP地址以及代理服务器IP

解决方式

1.采用HTTP头信息控制访问, 代理以及web服务开启http_x_forwarded_for2.结合geo模块作3.通过HTTP自定义变量传递

#2.Nginx基于用户登陆认证

//配置语法Syntax: auth_basic string| off;Default:    auth_basic off;Context:    http, server, location, limit_except//用户密码记录配置文件Syntax: auth_basic_user_file file;Default:    -Context:    http, server, location, limit_except

//需要安装依赖组件[root@xuliangwei ~]# yum install httpd-tools[root@xuliangwei ~]# htpasswd -b -c /etc/nginx/auth_conf bgx xuliangwei//可在http,server,location下添加如下信息auth_basic "Auth access Blog Input your Passwd!";auth_basic_user_file /etc/nginx/auth_conf;

用户认证局限性

1.用户信息依赖文件方式2.用户管理文件过多, 无法联动3.操作管理机械，效率低下

解决办法

1.Nginx结合LUA实现高效验证2.Nginx结合LDAP利用nginx-auth-ldap模块

Nginx访问限制

经常会遇到这种情况，服务器流量异常，负载过大等等。对于大流量恶意的×××访问， 会带来带宽的浪费，服务器压力，影响业务，往往考虑对同一个ip的连接数，并发数进行限制。

ngx_http_limit_conn_module模块可以根据定义的key来限制每个键值的连接数，如同一个IP来源的连接数。

limit_conn_module 连接频率限制limit_req_module 请求频率限制

http协议的连接与请求

HTTP是建立在TCP, 在完成HTTP请求需要先建立TCP三次握手（称为TCP连接）,在连接的基础上在HTTP请求。

HTTP请求建立在一次TCP连接基础上，一次TCP请求至少产生一次HTTP`请求

注:客户端的IP地址作为键。

$remote_addr 变量的长度为7字节到15字节

$binary_remote_addr 变量的长度是固定的4字节

如果共享内存空间被耗尽，服务器将会对后续所有的请求返回 503错误 (Service Temporarily Unavailable)

1.Nginx连接限制配置

//Nginx连接限制语法Syntax:  limit_conn_zone key zone=name:size;Default: —Context: httpSyntax: limit_conn zone number;Default: —Context: http, server, location

//具体配置如下:http {//http段配置连接限制, 同一时刻只允许一个客户端IP连接limit_conn_zone $binary_remote_addr zone=conn_zone:10m;    ...    server {    ...          location / {        //同一时刻只允许一个客户端IP连接            limit_conn conn_zone 1;        }

//压力测试yum install -y httpd-toolsab -n 50 -c 20  http://127.0.0.1/index.html

2.Nginx请求限制配置

//Nginx请求限制语法Syntax:  limit_req_zone key zone=name:size rate=rate;Default: —Context: httpSyntax: limit_conn zone number [burst=number] [nodelay];Default: —Context: http, server, location

//具体配置如下:http {//http段配置请求限制, rate限制速率，限制一秒钟最多一个IP请求limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;...server {...  location / {//1r/s只接收一个请求,其余请求拒绝处理并返回错误码给客户端limit_req zone=req_zone;//请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量, 多余的请求返回503#limit_req zone=req_zone burst=3 nodelay;}//压力测试yum install -y httpd-toolsab -n 50 -c 20  http://127.0.0.1/index.html

​

连接限制没有请求限制有效?

我们前面说过, 多个请求可以建立在一次的TCP连接之上, 那么我们对请求的精度限制，当然比对一个连接的限制会更加的有效。因为同一时刻只允许一个连接请求进入。但是同一时刻多个请求可以通过一个连接进入。所以请求限制才是比较优的解决方案。

Nginx日志配置

在学习日志之前, 我们需要先回顾下HTTP请求和返回

curl -v http://www.baidu.com

Nginx有非常灵活的日志记录模式。每个级别的配置可以有各自独立的访问日志。日志格式 通过log_format命令定义格式。

1.log_format指令

#配置语法: 包括: error.log access.logSyntax: log_format name [escape=default|json] string ...;Default: log_format combined "...";Context: http#默认Nginx定义日志语法    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '                      '$status $body_bytes_sent "$http_referer" '                      '"$http_user_agent" "$http_x_forwarded_for"';#Nginx日志格式允许包含的变量：$remote_addr        # 记录客户端IP地址$remote_user        # 记录客户端用户名$time_local         # 记录通用的本地时间$time_iso8601       # 记录ISO8601标准格式下的本地时间$request            # 记录请求的方法以及请求的http协议$status             # 记录请求状态码(用于定位错误信息)$body_bytes_sent    # 发送给客户端的资源字节数，不包括响应头的大小$bytes_sent         # 发送给客户端的总字节数$msec               # 日志写入时间。单位为秒，精度是毫秒。$http_referer       # 记录从哪个页面链接访问过来的$http_user_agent    # 记录客户端浏览器相关信息$http_x_forwarded_for #记录客户端IP地址$request_length     # 请求的长度（包括请求行， 请求头和请求正文）。$request_time       # 请求花费的时间，单位为秒，精度毫秒#注:如果Nginx位于负载均衡器，nginx反向代理之后， web服务器无法直接获取到客 户端真实的IP地址。#$remote_addr获取的是反向代理的IP地址。 反向代理服务器在转发请求的http头信息中，#增加X-Forwarded-For信息，用来记录客户端IP地址和客户端请求的服务器地址。

2.access_log指令

Syntax: access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];access_log off;Default: access_log logs/access.log combined;Context: http, server, location, if in location, limit_exceptExample:server {    ...    access_log /var/log/nginx/www.bgx.com.log;    ...

​

Nginx虚拟站点

所谓虚拟主机，及在一台服务器上配置多个网站

如: 公司主页、博客、论坛看似三个网站, 实则可以运行在一台服务器上。

1.基于域名虚拟主机配置实战

1.创建web站点目录

[root@bgx ~]# mkdir /soft/code/{www,bbs}[root@bgx ~]# echo "www" > /soft/code/www/index.html[root@bgx ~]# echo "bbs" > /soft/code/bbs/index.html

2.配置不同域名的虚拟主机

[root@bgx ~]# cat /etc/nginx/conf.d/www.confserver {    listen       80;    server_name  www.xuliangwei.com;    root /soft/code/www;    index index.html;    ...}[root@bgx ~]# cat /etc/nginx/conf.d/bbs.confserver {    ...    listen       80;    server_name  bbs.xuliangwei.com;    root /soft/code/bbs;    index index.html;}

2.基于端口虚拟主机配置实战

//仅修改listen监听端口即可, 但不能和系统端口出现冲突server {    ...    listen       8001;    ...}server {    ...    listen       8002;    ...

}

3.基于虚拟主机别名配置实战

实现用户访问多个域名对应同一个网站, 比如用户访问www.xuliangwei.com和访问xuliangwei.com内容一致

#1.默认配置方式[root@bgx ~]# vim /etc/nginx/conf.d/www.confserver {    listen       80;    server_name www.bgx.com;}server {    listen       80;    server_name bgx.com;}

#2.使用别名配置方式[root@bgx ~]# vim /etc/nginx/conf.d/www.confserver {    listen       80;    server_name  www.bgx.com bgx.com;    ...}#3.测试访问, 带www和不带www是一样的[root@bgx ~]# curl bgx.comGo[root@bgx ~]# curl www.bgx.comGo

Nginx Location

使用Nginx Location控制访问网站规则一个server可以有多个location配置，但多个location配置的优先级又该如何划分Location语法规则:location [=|^~|~|~*|!~|!~*|/] /uri/ { ...}# Location优先级如[]号显示匹配符 匹配规则    优先级=   精确匹配    1^~  以某个字符串开头    2~   区分大小写的正则匹配  3~*  不区分大小写的正则匹配 4!~  区分大小写不匹配的正则 5!~* 不区分大小写不匹配的正则    6/   通用匹配，任何请求都会匹配到  7

1.实例准备

[root@Nginx conf.d]# cat testserver.conf server {listen 80;server_name bgx.com;  location / {    return 200 "location /";  }  location =/ {    return 200 "location =/";  }  location ~ / {    return 200 "location ~/";  } # location ^~ / { #  return 200 "location ^~"; # }}

2.测试效果

[root@Nginx conf.d]# curl bgx.comlocation =///注释掉精确匹配=, 重启Nginx[root@Nginx ~]# curl bgx.comlocation ~///注释掉~, 重启Nginx[root@Nginx ~]# curl bgx.comlocation /