首页 > 系统相关 >Nginx 服务

Nginx 服务

时间:2023-07-26 18:32:08浏览次数:46  
标签:服务 nginx local server Nginx usr zerbufan root

什么是 Nginx ?

Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP(邮件服务)。

Nginx可作为负载均衡服务:Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务,也可以支持作为 HTTP代理服务对外进行服务。

Nginx服务功能:
访问控制、虚拟主机、地址跳转、反向代理、负载均衡

高性能的HTTP服务器  

反向代理服务器、七层负载均衡器  

邮件代理服务器
特点

善于处理静态请求

擅长处理高并发

nginx服务开启时,会生成一个master(控制)进程,然后 master 进程会分出多个 worker(工作进程) ,最后每个用户的请求都由 worker 的子线程处理。

用线程处理客户请求,而线程是共享内存的,只需要开启少量的进程,多个线程就可以共享进程的内存。所以占用的内存小

工作模式 master - worker 模式

特点:

Nginx启动后,会有一个master和一个worker进程

Master进程负责处理系统信号、加载配置、管理worker进程

Worker进程负责处理具体的业务逻辑

优点:

工作进程可设置

稳定性好

充分利用多核cpu、提高性能

工作模式

一个请求进来,会有一个worker进程去处理;处理发生阻塞时,worker进程不会一直等,而是处理其他事情,等有结果回来再继续处理这个请求


Nginx 处理客户端请求的过程

Nginx 服务_反向代理

1、客户端发起访问
2、nginx通过客户端输入的URL判断客户端是要访问动态资源还是静态资源
3、如果是静态资源,那么nginx直接将结果返回给客户端
4、如果是动态资源,那么nginx将请求的数据发送给 fastCGI(快速通用网关接口) ,然后通过 fastcgi_pass 将用户的请求发给 php-fpm。 php-fpm 将动态资源转换成静态后在返回给 Nginx 。Nginx将结果返回给客户端


fastCGI

FastCGI由CGI(通用网关接口)发展而来、采用C/S结构

FastCGI是一种可伸缩的、高速的在HTTP服务器和动态脚本间通信的接口,包括PHP

FastCGI可以将HTTP服务器和脚本解析服务器分离,同时在脚本解析服务器上启动一个或多个脚本解析守护进程,如php-fpm

当HTTP服务器每次遇到动态请求时,直接交付FastCGI进程执行,然后把结果返回给浏览器


php-fpm

Nginx将php动态请求发送给fastcgi管理进程来处理

Php-fpm是一个php fastcgi管理器,只用于PHP解析

Php-fpm提供了更好的PHP进程管理方式,有效控制内存、进程等

PHP编译安装时需要添加—enable-fpm选项

PHP编译安装后需要加载php-fpm配置、启动进程


nginx处理并发

nginx 以 epoll 作为开发模型,处理请求的方式为 异步非阻塞;

epoll 是 Linux 内核的可扩展 I/O 事件通知机制,为系统中基于事件驱动的模型。此模式下nginx可轻松处理百万级的并发连接。

异步非阻塞:调用发出后,该进程继续其他任务,让 I/O 线程去处理,等结果返回时再回来继续执行.

同步阻塞:调用发出后,一直等待消息结果


相关配置

Nginx 服务_访问控制_02


安装 Nginx

1、安装基础依赖、解压openssl源码包 

[root@zerbufan ~]# yum -y install zlib zlib-devel pcre pcre-devel openssl-devel

2、查看 openssl 的版本 
[root@zerbufan ~]# openssl version  #查看版本 
OpenSSL 1.0.2k-fips  26 Jan 2017    #openssl的版本需要在1.0.2e以上,当前版本满足要求

#若openssl的版本不满足要求可以去下载源码包:https://www.openssl.org/source/
#下载后解压重新安装 1.0.2e以上版本的 openssl 

3、创建 Nginx 用户
[root@zerbufan ~]# useradd -M -s /sbin/nologin nginx

4、安装 Nginx ,若想要Nginx 支持http2协议,那么需要nginx的版本在1.9.5以上

[root@zerbufan nginx-1.13.8]# pwd
/lnmp/nginx-1.13.8      #进入到解压后的目录中 当前nginx的版本为1.13.8  满足要求

# 指定安装位置,开启指定功能
[root@zerbufan nginx-1.13.8]# ./configure --user=nginx --group=nginx --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-stream
#若刚才重新安装了 openssl 则在执行 ./configure 的时候还需要添加  --with-openssl=/root/lnmp/openssl-1.0.2h  这条选项,没有重新安装则不需要

[root@zerbufan nginx-1.13.8]# echo $?
[root@zerbufan nginx-1.13.8]# make && make install
[root@zerbufan nginx-1.13.8]# echo $?

5、查看nginx的安装信息
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -V   #查看nginx的安装信息
nginx version: nginx/1.13.8
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --user=nginx --group=nginx --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-stream
[root@zerbufan ~]# 



6、安装完成后 启动服务、测试 
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t   #检测配置文件
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx  #开启服务
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s stop  #停止服务

/usr/local/nginx/sbin/nginx  -s  reload   (热重启,不停止服务)

[root@zerbufan ~]# ss -anpt | grep :80      #查看端口

[root@zerbufan ~]# curl localhost   #访问默认网页测试

配置文件结构

[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf
	
	.....     #全局块,配置影响nginx全局的属性,如用户信息、worker数等
	worker_processes  1;    #控制 worker 进程的数量 一般按照CPU的内核数量设置
        
        pid        /usr/local/nginx/logs/nginx.pid;#主进程PID保存文件
	
	events {  #events块,配置nginx与用户的允许同时建立的网络连接数
		....#使用epoll模型,对于2.6以上的内核,建议使用epoll模型以提高性能
		worker_connections 51200;#工作进程的最大连接数量
	}
	
	http {    #http块,配置代理、缓存等参数
		....       #http全局块
		server {   #server块,配置虚拟主机参数,一个http可有多server
			....
			location [pattern]{ #location块,配置请求路由及对应处理
				...
			}
		
			location (.*)\.php$ {
			    用正则匹配具体的访问对象;
		}

			location [pattern]{
				...#跳转等规则
			}
		}
		
		
		server {   #配置多个server块
			....
			location [pattern]{
				...
			}
			location [pattern]{
				...
			}
		}
	}
	
一个http可以有多个server 、一个 server 就是一个虚拟主机,一个server 可以有多个 location

统计模块 (监控 Nginx 的整体访问情况)

#安装时添加模块选项:--with-http_stub_status_module,nginx内置的状态监控页面,可用于监控nginx的整理访问情况

#在主配置文件的 server 中添加location ,在 location中开启统计模块
[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf
        
        location /nginx_status {
            stub_status on;
        }
修改配置文件后重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t   #检测配置文件

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload #重启服务(热重启)

页面访问:http://域名或IP/nginx_status
#结果分析:
	"Active connections"表示当前的活动连接数;
	"server accepts handled requests"表示已经处理的连接信息;
	三个数字依次表示已经处理的连接数、成功的TCP握手次数、已处理的请求数
	"Reading: 0 Writing: 1 Waiting: 0" 表示正在读取客户端的连接数、响应数据到客户端的数、等待再次请求的连接数

Nginx 服务_安装nginx_03

测试

Nginx 服务_反向代理_04

访问控制

基于 用户名、密码的验证访问

1、修改配置文件 
[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf
#在想验证的location下面添加,以根区域为例
        location / {
            root   html;
            index  index.html index.htm index.php;
            #添加下面这两行信息
            auth_basic "welcome you here";
            auth_basic_user_file /usr/local/nginx/html/a.psd;
        }

2、创建认证文件,htpasswd命令是安装包httpd-tools拥有的命令

[root@zerbufan ~]# cd /usr/local/nginx/     #先进入到目录下
[root@zerbufan nginx]# htpasswd -c /usr/local/nginx/html/a.psd user88   #执行命令创建用户名设置用户密码 
New password:           #设置用户密码
Re-type new password:   #再次输入刚才的密码
Adding password for user user88 #创建用户成功

注意:只用第一次创建用户使用 -c 选项;以后再次创建用户需使用 -m 选项

[root@zerbufan nginx]# htpasswd -m /usr/local/nginx/html/a.psd user99
New password: 
Re-type new password: 
Adding password for user user99


3、重启服务
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t   #检测配置文件

设置访问控制后不要使用热重启
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s stop
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx

Nginx 服务_访问控制_05

验证

Nginx 服务_nginx_06

基于IP地址的访问控制 (顺序优先)

拒绝个别,允许所有
1、编辑配置文件
[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf

        location / {
            root   html;
            index  index.html index.htm index.php;
            deny 192.168.56.101;    #拒绝访问的IP   #注意 deny 和 allow 的顺序
            allow 192.168.56.0/24;  #允许访问的IP
        }

2、重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

Nginx 服务_统计模块_07

允许个别,拒绝所有

1、编辑配置文件

[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf
        location / {
            root   html;
            index  index.html index.htm index.php;
            allow 192.168.56.101;   #允许访问的IP
            deny 192.168.56.0/24;   #拒绝访问的IP #注意allow和deny的顺序
        }


2、重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

Nginx 服务_nginx_08


虚拟主机 (基于域名)

1、#在配置文件中添加不同的 server 区域(一个server 就是一个虚拟主机)
[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf

    server {
        listen       80;
        server_name  www.new.com;

        location / {
            root   html/new;
            index  index.html index.htm;
        }
    }

    server {
        listen       80;
        server_name  www.old.com;

        location / {
            root   html/old;
            index  index.html index.htm;
        }
    }

2、创建虚拟主机网页主目录存放目录
[root@zerbufan ~]# cd /usr/local/nginx/html/    #进入到网页主目录下
[root@zerbufan html]# mkdir ./new   #创建第一个虚拟主机的网页目录存放位置
[root@zerbufan html]# mkdir ./old   #创建第二个虚拟主机的网页目录存放位置
[root@zerbufan html]# echo "new linux" > ./new/index.html   #写 index.html文件
[root@zerbufan html]# echo "old linux" > ./old/index.html

3、重启服务
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

Nginx 服务_反向代理_09


验证

Nginx 服务_反向代理_10


域名跳转 ( old 跳转到 new )

1、基于上面的虚拟主机进行域名跳转实验

[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf     #编辑配置文件
    server {
        listen       80;
        server_name  www.new.com;

        location / {
            root   html/new;
            index  index.html index.htm;
        }
    }

    server {
        listen       80;
        server_name  www.old.com;

        location / {
             rewrite .*  http://www.new.com permanent;
        }
    }

2、重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

Nginx 服务_nginx_11

实现 https 加密

1、生成证书,默认路径在PREFIX/conf目录下

[root@zerbufan ~]# cd /usr/local/nginx/conf/    #进入目录准备生成证书

#建立服务器私钥,生成RSA密钥
[root@zerbufan conf]# openssl genrsa -out ./cert.key 1024

#需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书
[root@zerbufan conf]# openssl req -new -key ./cert.key -out ./cert.csr


#模拟交给 CA机构签名
[root@zerbufan conf]# openssl x509 -req -days 365 -sha256 -in ./cert.csr -signkey ./cert.key -out ./cert.pem

2、修改主配置文件,修改server端口为443、添加验证配置

    #HTTPS server   #这条注释注意不要取消

    server {
        listen       443 ssl;
        server_name  www.new.com;   #要加密的域名
        ssl_certificate      cert.pem;  #证书
        ssl_certificate_key  cert.key;  #证书密钥

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html/new;    #加密的网页主目录存放位置
            index  index.html index.htm;
        }
    }

}

3、重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

验证时手动输入 https://域名

Nginx 服务_安装nginx_12

Nginx 服务_访问控制_13

端口自动跳转 (80 端口 自动跳转到 443 端口)

1、修改配置文件

[root@zerbufan ~]# vim /usr/local/nginx/conf/nginx.conf
    server {
        listen       80;
        server_name  www.old.com;

        location / {
             rewrite .*  http://www.new.com permanent;      #先从old跳转到new
        }
    }
-------------------------------------------
    server {
        listen       80;
        server_name  www.new.com;

        location / {
            rewrite .*  https://www.new.com permanent;  # new 从http跳转到 https
        }
    }

---------------------------------------------

 #开启https的配置
    server {
        listen       443 ssl;          
        server_name  www.new.com;
        ssl_certificate      cert.pem;
        ssl_certificate_key  cert.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html/new;
            index  index.html index.htm;
        }
    }

}

2、重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

Nginx 服务_反向代理_14

Nginx 服务_访问控制_15

http2 协议

1、生成证书,默认路径在PREFIX/conf目录下(上面在做端口跳转时已经由证书了,就不用再次生成证书了)

[root@zerbufan ~]# cd /usr/local/nginx/conf/    #进入目录准备生成证书

#建立服务器私钥,生成RSA密钥
[root@zerbufan conf]# openssl genrsa -out ./cert.key 1024

#需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书
[root@zerbufan conf]# openssl req -new -key ./cert.key -out ./cert.csr


#模拟交给 CA机构签名
[root@zerbufan conf]# openssl x509 -req -days 365 -sha256 -in ./cert.csr -signkey ./cert.key -out ./cert.pem


2、修改配置文件(基于上面的端口跳转)

    #HTTPS server

    server {
        listen       443 ssl http2;     #在这里直接添加 http2 即可 
        server_name  www.new.com;
        ssl_certificate      cert.pem;
        ssl_certificate_key  cert.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html/new;
            index  index.html index.htm;
        }
    }

}

3、重启服务
[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

Nginx 服务_nginx_16

反向代理

1、搭建真实服务,确保真实服务可以正常访问

2、修改nginx 代理服务器的配置文件


    server {
        listen       80;
        server_name  www.xxxx.com;  #客户端访问的域名

        location / {
           proxy_pass http://192.168.56.101:80;     #真实服务器的IP
        }                                           代理其他主机也可填其他域名,实现跳转

2、修改配置文件后重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload

验证

访问代理服务器的域名,展现出真实机的服务页面

Nginx 服务_访问控制_17


负载均衡

1、配置两个被代理的真实服务器

#服务器 1 :192.168.56.101

[root@zerbufan ~]# yum -y install httpd
[root@zerbufan ~]# echo "zhangsan 192.168.56.101" > /var/www/html/index.html
[root@zerbufan ~]# systemctl start httpd

#服务器 2 :192.168.56.10

[root@ngls-lisi ~]# yum -y install httpd
[root@ngls-lisi ~]# echo "lisi 192.168.56.10" > /var/www/html/index.html
[root@ngls-lisi ~]# systemctl start httpd


#这里配置了两个不同的页面 是为了方便区分实验效果。

----------------------

2、配置 nginx 代理服务器的配置文件
        
        #upstream标签需要添加在 server 标签的前面 
    upstream lisi {
                                    #weight 表示权重,数字越大,权重越大。    
        server 192.168.56.101:80 weight=3;  #真实服务器1的ip
        server 192.168.56.10:80 weight=2;   #真实服务器2的IP

        }

    server {
        listen       80;
        server_name  www.xxxx.com;

        location / {
            proxy_pass http://lisi;     #添加反向代理,代理的地址写上面 upstream 声明的名字
            proxy_set_header Host $host;    #重写请求头部,保证网站所有页面都可以访问成功
        }


3、重启服务

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -t

[root@zerbufan ~]# /usr/local/nginx/sbin/nginx -s reload


验证

多次请求 www.xxxx.com 可以看到得到的数据 3次来自服务器1 两次来自服务器2

Nginx 服务_反向代理_18

这里 内容不一样是为了区分实验效果,实际的生产环境中内容应该是一样的


标签:服务,nginx,local,server,Nginx,usr,zerbufan,root
From: https://blog.51cto.com/u_16184585/6858900

相关文章

  • 应用服务
    tcpdum和wireshark使用tcpdump命令[root@node01~]#tcpdump--helptcpdumpversion4.9.2libpcapversion1.5.3OpenSSL1.0.2k-fips26Jan2017Usage:tcpdump[-aAbdDefhHIJKlLnNOpqStuUvxX#][-Bsize][-ccount][-Cfile_size][-Ealgo:s......
  • 微服务平台厂家:提供一对一框架定制服务,创造增价值!
    随着低代码开发市场的旺盛发展,低代码开发平台也拥有了一席之地,获得众多新老客户朋友的青睐和喜欢。使用低代码技术平台,其可视化+灵活易操作+多元化部署方式+主流开源框架等优势特点也使得各中大型企业的办公效率得到提升,并且微服务平台厂家可提供一对一的框架定制服务,可以给企业创......
  • 记录一次线上服务CPU飙高问题
    2023.07.2020:01:38线上一个服务发生了CPU过高的告警,看告警信息当前的CPU使用率已经达到了82.65%,问题已经很严重,赶紧开始排查起来。来复盘下如何排查这类问题,一、排查方法1、找到cpu过高的进程ID收到告警后,第一件事要做的就是找到CPU过高的程序的线程id(pid),可以使用jps或ps......
  • nginx配置IP访问限制策略
    早晨例行巡检的时候,登录zabbix查看网络带宽、服务器负载等信息时,主页弹出了"发生了11次失败的登陆尝试。最后一次失败的登陆尝试发生在2023/06/29日07:19客户端IP地址是45.14.226.17。"这样一条弹窗,查了这个ip地址的归属地,发现这个ip来自于欧洲。这是帝国主义亡我之心......
  • 基于boost服务器逻辑层设计
    服务器架构设计通常的Session(会话层)  Asio底层的通信过程,如下图实际服务器结优化的架构如下具体逻辑可以查看:  https://llfc.club/category?catid=225RaiVNI8pFDD5L4m807g7ZwmF#!aid/2QbUASZ5jV8jgKYFngRHrG8pu7z代码如下:const.h#pragmaonce#defineMAX_LENGT......
  • 分布式服务如何保证幂等性,幂等性如何设计
    1)建唯一索引:唯一索引或唯一组合索引来防止新增数据存在脏数据(当表存在唯一索引,并发时新增异常时,再查询一次就可以了,数据应该已经存在了,返回结果即可)。2)token机制:token机制的幂等保障的主要流程就是:服务端提供了发送token的接口。我们在分析业务的时候,哪些业务是......
  • 服务器数据恢复-重建MDisk导致VDisk丢失的数据恢复案例
    服务器数据恢复环境:IBM某型号存储;Solaris操作系统,部署Oracle数据库。服务器故障:重建MDisk导致对应的存储池中的VDisk丢失,导致Solaris操作系统中的Oracle数据库无法使用。服务器数据恢复过程:1、将所有涉及到Oracle数据库的VDisk以只读模式连接到北亚企安备份服务器上,在只读模......
  • 微服务13:云基础场景下流量策略实现原理
    ★微服务系列微服务1:微服务及其演进史微服务2:微服务全景架构微服务3:微服务拆分策略微服务4:服务注册与发现微服务5:服务注册与发现(实践篇)微服务6:通信之网关微服务7:通信之RPC微服务8:通信之RPC实践篇(附源码)微服务9:服务治理来保证高可用微服务10:系统服务熔断、限流微服务11......
  • 时间同步 ntp服务器
    目录一.定义二.项目要求三.部署服务端四.部署客户端一.定义#01简介:ntp全名networktimeprotocol。NTP服务器可以为其他主机提供时间校对服务#02ntp和ntpdate区别1)两个服务都是centos自带的(centos7中不自带ntp)。ntp的安装包名是ntp;ntpdate的安装包是ntpdate。他们......
  • 流媒体协议之WebRTC简易服务器搭建20230726
    流媒体协议之WebRTC简易服务器搭建1.简介        由于官网的peerconnection_server和apprtc对SDP以及登录流程有特定要求,不便于调试自己实现的WebRTC,所以计划自己搭建服务器,网上开源的服务器有很多:licode/janus/kurento/mediasoup/jitsi等等,但是这些服务器的搭建又比较......