Nginx 伺服器主配置檔案詳解

linux環境下nginx的配置可參考http://blog.csdn.net/liqi_q/article/details/72965128

nginx主配置檔案詳細介紹内容如下：

Nginx配置檔案主要分成四部分：main（全局設定）、server（主機設定）、upstream（上遊伺服器設定，主要為反向代理、負載均衡相關配置）和 location（URL比對特定位置後的設定），每部分包含若幹個指令。main部分設定的指令将影響其它所有部分的設定；server部分的指令主要用于指定虛拟主機域名、IP和端口；upstream的指令用于設定一系列的後端伺服器，設定反向代理及後端伺服器的負載均衡；location部分用于比對網頁位置（比如，根目錄“/”,“/images”,等等）。他們之間的關系式：server繼承main，location繼承server；upstream既不會繼承指令也不會被繼承。它有自己的特殊指令，不需要在其他地方的應用。

1 main全局配置

nginx在運作時與具體業務功能（比如http服務或者email服務代理）無關的一些參數，比如工作程序數，運作的身份等。

• woker_processes 2

  在配置檔案的頂級main部分，worker角色的工作程序的個數，master程序是接收并配置設定請求給worker處理。這個數值簡單一點可以設定為cpu的核數

  grep ^processor /proc/cpuinfo | wc -l

  ，也是 auto 值，如果開啟了ssl和gzip更應該設定成與邏輯CPU數量一樣甚至為2倍，可以減少I/O操作。如果nginx伺服器還有其它服務，可以考慮适當減少。

• worker_cpu_affinity

  也是寫在main部分。在高并發情況下，通過設定cpu粘性來降低由于多CPU核切換造成的寄存器等現場重建帶來的性能損耗。如

  worker_cpu_affinity 0001 0010 0100 1000;

   （四核）。

• worker_connections 2048

  寫在events部分。每一個worker程序能并發處理（發起）的最大連接配接數（包含與用戶端或後端被代理伺服器間等所有連接配接數）。nginx作為反向代理伺服器，計算公式 

  最大連接配接數 = worker_processes * worker_connections/4

  ，是以這裡用戶端最大連接配接數是1024，這個可以增到到8192都沒關系，看情況而定，但不能超過後面的

  worker_rlimit_nofile

  。當nginx作為http伺服器時，計算公式裡面是除以2。

• worker_rlimit_nofile 10240

  寫在main部分。預設是沒有設定，可以限制為作業系統最大的限制65535。

• use epoll

  寫在

  events

  部分。在Linux作業系統下，nginx預設使用epoll事件模型，得益于此，nginx在Linux作業系統下效率相當高。同時Nginx在OpenBSD或FreeBSD作業系統上采用類似于epoll的高效事件模型kqueue。在作業系統不支援這些高效模型時才使用select。

2 http伺服器

與提供http服務相關的一些配置參數。例如：是否使用keepalive啊，是否使用gzip進行壓縮等。

• sendfile on

  開啟高效檔案傳輸模式，sendfile指令指定nginx是否調用sendfile函數來輸出檔案，減少使用者空間到核心空間的上下文切換。對于普通應用設為 on，如果用來進行下載下傳等應用磁盤IO重負載應用，可設定為off，以平衡磁盤與網絡I/O處理速度，降低系統的負載。

• keepalive_timeout 65

   : 長連接配接逾時時間，機關是秒，這個參數很敏感，涉及浏覽器的種類、後端伺服器的逾時設定、作業系統的設定，可以另外起一片文章了。長連接配接請求大量小檔案的時候，可以減少重建連接配接的開銷，但假如有大檔案上傳，65s内沒上傳完成會導緻失敗。如果設定時間過長，使用者又多，長時間保持連接配接會占用大量資源。

• send_timeout

   : 用于指定響應用戶端的逾時時間。這個逾時僅限于兩個連接配接活動之間的時間，如果超過這個時間，用戶端沒有任何活動，Nginx将會關閉連接配接。

• client_max_body_size 10m

  允許用戶端請求的最大單檔案位元組數。如果有上傳較大檔案，請設定它的限制值

• client_body_buffer_size 128k

  緩沖區代理緩沖使用者端請求的最大位元組數

子產品http_proxy：

這個子產品實作的是nginx作為反向代理伺服器的功能，包括緩存功能（另見文章）

• proxy_connect_timeout 60

  nginx跟後端伺服器連接配接逾時時間(代理連接配接逾時)

• proxy_read_timeout 60

  連接配接成功後，與後端伺服器兩個成功的響應操作之間逾時時間(代理接收逾時)

• proxy_buffer_size 4k

  設定代理伺服器（nginx）從後端realserver讀取并儲存使用者頭資訊的緩沖區大小，預設與proxy_buffers大小相同，其實可以将這個指令值設的小一點

• proxy_buffers 4 32k

  proxy_buffers緩沖區，nginx針對單個連接配接緩存來自後端realserver的響應，網頁平均在32k以下的話，這樣設定

• proxy_busy_buffers_size 64k

  高負荷下緩沖大小（proxy_buffers*2）

• proxy_max_temp_file_size

  當 proxy_buffers 放不下後端伺服器的響應内容時，會将一部分儲存到硬碟的臨時檔案中，這個值用來設定最大臨時檔案大小，預設1024M，它與 proxy_cache 沒有關系。大于這個值，将從upstream伺服器傳回。設定為0禁用。

• proxy_temp_file_write_size 64k

  當緩存被代理的伺服器響應到臨時檔案時，這個選項限制每次寫臨時檔案的大小。

  proxy_temp_path

  （可以在編譯的時候）指定寫到哪那個目錄。

proxy_pass，proxy_redirect見 location 部分。

子產品http_gzip：

• gzip on

   : 開啟gzip壓縮輸出，減少網絡傳輸。

  • gzip_min_length 1k

     ： 設定允許壓縮的頁面最小位元組數，頁面位元組數從header頭得content-length中進行擷取。預設值是20。建議設定成大于1k的位元組數，小于1k可能會越壓越大。

  • gzip_buffers 4 16k

     ： 設定系統擷取幾個機關的緩存用于存儲gzip的壓縮結果資料流。4 16k代表以16k為機關，安裝原始資料大小以16k為機關的4倍申請記憶體。

  • gzip_http_version 1.0

     ： 用于識别 http 協定的版本，早期的浏覽器不支援 Gzip 壓縮，使用者就會看到亂碼，是以為了支援前期版本加上了這個選項，如果你用了 Nginx 的反向代理并期望也啟用 Gzip 壓縮的話，由于末端通信是 http/1.0，故請設定為 1.0。

  • gzip_comp_level 6

     ： gzip壓縮比，1壓縮比最小處理速度最快，9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)

  • gzip_types

     ：比對mime類型進行壓縮，無論是否指定,”text/html”類型總是會被壓縮的。

  • gzip_proxied any

     ： Nginx作為反向代理的時候啟用，決定開啟或者關閉後端伺服器傳回的結果是否壓縮，比對的前提是後端伺服器必須要傳回包含”Via”的 header頭。

  • gzip_vary on

     ： 和http頭有關系，會在響應頭加個 Vary: Accept-Encoding ，可以讓前端的緩存伺服器緩存經過gzip壓縮的頁面，例如，用Squid緩存經過Nginx壓縮的資料。。

3 server虛拟主機

http服務上支援若幹虛拟主機。每個虛拟主機一個對應的server配置項，配置項裡面包含該虛拟主機相關的配置。在提供mail服務的代理時，也可以建立若幹server。每個server通過監聽位址或端口來區分。

• listen

  監聽端口，預設80，小于1024的要以root啟動。可以為

  listen *:80

  、

  listen 127.0.0.1:80

  等形式。

• server_name

  伺服器名，如

  localhost

  、

  www.example.com

  ，可以通過正則比對。

子產品http_stream

這個子產品通過一個簡單的排程算法來實作用戶端IP到後端伺服器的負載均衡，

upstream

後接負載均衡器的名字，後端realserver以 

host:port options;

 方式組織在 {} 中。如果後端被代理的隻有一台，也可以直接寫在 proxy_pass 。

4 location

http服務中，某些特定的URL對應的一系列配置項。

• root /var/www/html

  定義伺服器的預設網站根目錄位置。如果

  location

  URL比對的是子目錄或檔案，

  root

  沒什麼作用，一般放在

  server

  指令裡面或

  /

  下。

• index index.jsp index.html index.htm

  定義路徑下預設通路的檔案名，一般跟着

  root

  放

• proxy_pass http:/backend

  請求轉向backend定義的伺服器清單，即反向代理，對應

  upstream

  負載均衡器。也可以

  proxy_pass http://ip:port

  。

• proxy_redirect off;

  proxy_set_header Host $host;

  proxy_set_header X-Real-IP $remote_addr;

  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  這四個暫且這樣設，如果深究的話，每一個都涉及到很複雜的内容，也将通過另一篇文章來解讀。

關于location比對規則的寫法，可以說尤為關鍵且基礎的，參考文章 nginx配置location總結及rewrite規則寫法;

5 其它

5.1 通路控制 allow/deny

Nginx 的通路控制子產品預設就會安裝，而且寫法也非常簡單，可以分别有多個allow,deny，允許或禁止某個ip或ip段通路，依次滿足任何一個規則就停止往下比對。如：

1 2 3 4 5 6 7 8 9 10

location /nginx-status { stub_status on; access_log off; # auth_basic "NginxStatus"; # auth_basic_user_file /usr/local/nginx-1.6/htpasswd; allow 192.168.10.100; allow 172.29.73.0 /24 ; deny all; }

我們也常用 httpd-devel 工具的 htpasswd 來為通路的路徑設定登入密碼：

1 2 3 4 5 6 7

# htpasswd -c htpasswd admin New passwd : Re- type new password: Adding password for user admin # htpasswd htpasswd admin //修改admin密碼 # htpasswd htpasswd sean //多添加一個認證使用者

這樣就生成了預設使用CRYPT加密的密碼檔案。打開上面nginx-status的兩行注釋，重新開機nginx生效。

5.2 列出目錄 autoindex

Nginx預設是不允許列出整個目錄的。如需此功能，打開nginx.conf檔案，在location，server 或 http段中加入

autoindex on;

，另外兩個參數最好也加上去:

• autoindex_exact_size off;

   預設為on，顯示出檔案的确切大小，機關是bytes。改為off後，顯示出檔案的大概大小，機關是kB或者MB或者GB

• autoindex_localtime on;

  預設為off，顯示的檔案時間為GMT時間。改為on後，顯示的檔案時間為檔案的伺服器時間

1 2 3 4 5 6

location /images { root /var/www/nginx-default/images ; autoindex on; autoindex_exact_size off; autoindex_localtime on; }

6.1 nginx配置demo

下面的nginx.conf簡單的實作nginx在前端做反向代理伺服器的例子，處理js、png等靜态檔案，jsp等動态請求轉發到其它伺服器tomcat：

user www www;

worker_processes 2;

error_log logs/error.log;

#error_log logs/error.log info;

pid logs/nginx.pid;

events {

use epoll;

worker_connections 2048;

}

http {

include mime.types;

default_type application/octet-stream;

#log_format main '$remote_addr - $remote_user [$time_local] "$request" '

# '$status $body_bytes_sent "$http_referer" '

# '"$http_user_agent" "$http_x_forwarded_for"';

#access_log logs/access.log main;

sendfile on;

# tcp_nopush on;

keepalive_timeout 65;

# gzip壓縮功能設定

gzip on;

gzip_min_length 1k;

gzip_buffers 4 16k;

gzip_http_version 1.0;

gzip_comp_level 6;

gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;

gzip_vary on;

# http_proxy 設定

client_max_body_size 10m;

client_body_buffer_size 128k;

proxy_connect_timeout 75;

proxy_send_timeout 75;

proxy_read_timeout 75;

proxy_buffer_size 4k;

proxy_buffers 4 32k;

proxy_busy_buffers_size 64k;

proxy_temp_file_write_size 64k;

proxy_temp_path /usr/local/nginx/proxy_temp 1 2;

# 設定負載均衡背景伺服器清單

upstream backend {

#ip_hash;

server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ;

server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ;

}

# 很重要的虛拟主機配置

server {

listen 80;

server_name itoatest.example.com;

root /apps/oaapp;

charset utf-8;

access_log logs/host.access.log main;

#對 / 所有做負載均衡+反向代理

location / {

root /apps/oaapp;

index index.jsp index.html index.htm;

proxy_pass http://backend;

proxy_redirect off;

# 後端的Web伺服器可以通過X-Forwarded-For擷取使用者真實IP

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;

}

#靜态檔案，nginx自己處理，不去backend請求tomcat

location ~* /download/ {

root /apps/oa/fs;

}

location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$

{

root /apps/oaapp;

expires 7d;

}

location /nginx_status {

stub_status on;

access_log off;

allow 192.168.10.0/24;

deny all;

}

location ~ ^/(WEB-INF)/ {

deny all;

}

# redirect server error pages to the static page /50x.html

#

error_page 500 502 503 504 /50x.html;

location = /50x.html {

root html;

}

}

## 其它虛拟主機，server 指令開始

}