linux環境下nginx的配置可參考http://blog.csdn.net/liqi_q/article/details/72965128
nginx主配置檔案詳細介紹内容如下:
Nginx配置檔案主要分成四部分:main(全局設定)、server(主機設定)、upstream(上遊伺服器設定,主要為反向代理、負載均衡相關配置)和 location(URL比對特定位置後的設定),每部分包含若幹個指令。main部分設定的指令将影響其它所有部分的設定;server部分的指令主要用于指定虛拟主機域名、IP和端口;upstream的指令用于設定一系列的後端伺服器,設定反向代理及後端伺服器的負載均衡;location部分用于比對網頁位置(比如,根目錄“/”,“/images”,等等)。他們之間的關系式:server繼承main,location繼承server;upstream既不會繼承指令也不會被繼承。它有自己的特殊指令,不需要在其他地方的應用。
1 main全局配置
nginx在運作時與具體業務功能(比如http服務或者email服務代理)無關的一些參數,比如工作程序數,運作的身份等。
-
在配置檔案的頂級main部分,worker角色的工作程序的個數,master程序是接收并配置設定請求給worker處理。這個數值簡單一點可以設定為cpu的核數woker_processes 2
,也是 auto 值,如果開啟了ssl和gzip更應該設定成與邏輯CPU數量一樣甚至為2倍,可以減少I/O操作。如果nginx伺服器還有其它服務,可以考慮适當減少。grep ^processor /proc/cpuinfo | wc -l
-
也是寫在main部分。在高并發情況下,通過設定cpu粘性來降低由于多CPU核切換造成的寄存器等現場重建帶來的性能損耗。如worker_cpu_affinity
(四核)。worker_cpu_affinity 0001 0010 0100 1000;
-
寫在events部分。每一個worker程序能并發處理(發起)的最大連接配接數(包含與用戶端或後端被代理伺服器間等所有連接配接數)。nginx作為反向代理伺服器,計算公式worker_connections 2048
,是以這裡用戶端最大連接配接數是1024,這個可以增到到8192都沒關系,看情況而定,但不能超過後面的最大連接配接數 = worker_processes * worker_connections/4
。當nginx作為http伺服器時,計算公式裡面是除以2。worker_rlimit_nofile
-
寫在main部分。預設是沒有設定,可以限制為作業系統最大的限制65535。worker_rlimit_nofile 10240
-
寫在use epoll
部分。在Linux作業系統下,nginx預設使用epoll事件模型,得益于此,nginx在Linux作業系統下效率相當高。同時Nginx在OpenBSD或FreeBSD作業系統上采用類似于epoll的高效事件模型kqueue。在作業系統不支援這些高效模型時才使用select。events
2 http伺服器
與提供http服務相關的一些配置參數。例如:是否使用keepalive啊,是否使用gzip進行壓縮等。
-
開啟高效檔案傳輸模式,sendfile指令指定nginx是否調用sendfile函數來輸出檔案,減少使用者空間到核心空間的上下文切換。對于普通應用設為 on,如果用來進行下載下傳等應用磁盤IO重負載應用,可設定為off,以平衡磁盤與網絡I/O處理速度,降低系統的負載。sendfile on
-
: 長連接配接逾時時間,機關是秒,這個參數很敏感,涉及浏覽器的種類、後端伺服器的逾時設定、作業系統的設定,可以另外起一片文章了。長連接配接請求大量小檔案的時候,可以減少重建連接配接的開銷,但假如有大檔案上傳,65s内沒上傳完成會導緻失敗。如果設定時間過長,使用者又多,長時間保持連接配接會占用大量資源。keepalive_timeout 65
-
: 用于指定響應用戶端的逾時時間。這個逾時僅限于兩個連接配接活動之間的時間,如果超過這個時間,用戶端沒有任何活動,Nginx将會關閉連接配接。send_timeout
-
允許用戶端請求的最大單檔案位元組數。如果有上傳較大檔案,請設定它的限制值client_max_body_size 10m
-
緩沖區代理緩沖使用者端請求的最大位元組數client_body_buffer_size 128k
子產品http_proxy:
這個子產品實作的是nginx作為反向代理伺服器的功能,包括緩存功能(另見文章)
-
nginx跟後端伺服器連接配接逾時時間(代理連接配接逾時)proxy_connect_timeout 60
-
連接配接成功後,與後端伺服器兩個成功的響應操作之間逾時時間(代理接收逾時)proxy_read_timeout 60
-
設定代理伺服器(nginx)從後端realserver讀取并儲存使用者頭資訊的緩沖區大小,預設與proxy_buffers大小相同,其實可以将這個指令值設的小一點proxy_buffer_size 4k
-
proxy_buffers緩沖區,nginx針對單個連接配接緩存來自後端realserver的響應,網頁平均在32k以下的話,這樣設定proxy_buffers 4 32k
-
高負荷下緩沖大小(proxy_buffers*2)proxy_busy_buffers_size 64k
-
當 proxy_buffers 放不下後端伺服器的響應内容時,會将一部分儲存到硬碟的臨時檔案中,這個值用來設定最大臨時檔案大小,預設1024M,它與 proxy_cache 沒有關系。大于這個值,将從upstream伺服器傳回。設定為0禁用。proxy_max_temp_file_size
-
當緩存被代理的伺服器響應到臨時檔案時,這個選項限制每次寫臨時檔案的大小。proxy_temp_file_write_size 64k
(可以在編譯的時候)指定寫到哪那個目錄。proxy_temp_path
proxy_pass,proxy_redirect見 location 部分。
子產品http_gzip:
-
: 開啟gzip壓縮輸出,減少網絡傳輸。gzip on
-
: 設定允許壓縮的頁面最小位元組數,頁面位元組數從header頭得content-length中進行擷取。預設值是20。建議設定成大于1k的位元組數,小于1k可能會越壓越大。gzip_min_length 1k
-
: 設定系統擷取幾個機關的緩存用于存儲gzip的壓縮結果資料流。4 16k代表以16k為機關,安裝原始資料大小以16k為機關的4倍申請記憶體。gzip_buffers 4 16k
-
: 用于識别 http 協定的版本,早期的浏覽器不支援 Gzip 壓縮,使用者就會看到亂碼,是以為了支援前期版本加上了這個選項,如果你用了 Nginx 的反向代理并期望也啟用 Gzip 壓縮的話,由于末端通信是 http/1.0,故請設定為 1.0。gzip_http_version 1.0
-
: gzip壓縮比,1壓縮比最小處理速度最快,9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)gzip_comp_level 6
-
:比對mime類型進行壓縮,無論是否指定,”text/html”類型總是會被壓縮的。gzip_types
-
: Nginx作為反向代理的時候啟用,決定開啟或者關閉後端伺服器傳回的結果是否壓縮,比對的前提是後端伺服器必須要傳回包含”Via”的 header頭。gzip_proxied any
-
: 和http頭有關系,會在響應頭加個 Vary: Accept-Encoding ,可以讓前端的緩存伺服器緩存經過gzip壓縮的頁面,例如,用Squid緩存經過Nginx壓縮的資料。。gzip_vary on
-
3 server虛拟主機
http服務上支援若幹虛拟主機。每個虛拟主機一個對應的server配置項,配置項裡面包含該虛拟主機相關的配置。在提供mail服務的代理時,也可以建立若幹server。每個server通過監聽位址或端口來區分。
-
監聽端口,預設80,小于1024的要以root啟動。可以為listen
、listen *:80
等形式。listen 127.0.0.1:80
-
伺服器名,如server_name
、localhost
,可以通過正則比對。www.example.com
子產品http_stream
這個子產品通過一個簡單的排程算法來實作用戶端IP到後端伺服器的負載均衡,
upstream
後接負載均衡器的名字,後端realserver以
host:port options;
方式組織在 {} 中。如果後端被代理的隻有一台,也可以直接寫在 proxy_pass 。
4 location
http服務中,某些特定的URL對應的一系列配置項。
-
定義伺服器的預設網站根目錄位置。如果root /var/www/html
URL比對的是子目錄或檔案,location
沒什麼作用,一般放在root
指令裡面或server
下。/
-
定義路徑下預設通路的檔案名,一般跟着index index.jsp index.html index.htm
放root
-
請求轉向backend定義的伺服器清單,即反向代理,對應proxy_pass http:/backend
負載均衡器。也可以upstream
。proxy_pass http://ip:port
-
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
這四個暫且這樣設,如果深究的話,每一個都涉及到很複雜的内容,也将通過另一篇文章來解讀。proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
關于location比對規則的寫法,可以說尤為關鍵且基礎的,參考文章 nginx配置location總結及rewrite規則寫法;
5 其它
5.1 通路控制 allow/deny
Nginx 的通路控制子產品預設就會安裝,而且寫法也非常簡單,可以分别有多個allow,deny,允許或禁止某個ip或ip段通路,依次滿足任何一個規則就停止往下比對。如:
1 2 3 4 5 6 7 8 9 10 | |
我們也常用 httpd-devel 工具的 htpasswd 來為通路的路徑設定登入密碼:
1 2 3 4 5 6 7 | |
這樣就生成了預設使用CRYPT加密的密碼檔案。打開上面nginx-status的兩行注釋,重新開機nginx生效。
5.2 列出目錄 autoindex
Nginx預設是不允許列出整個目錄的。如需此功能,打開nginx.conf檔案,在location,server 或 http段中加入
autoindex on;
,另外兩個參數最好也加上去:
-
預設為on,顯示出檔案的确切大小,機關是bytes。改為off後,顯示出檔案的大概大小,機關是kB或者MB或者GBautoindex_exact_size off;
-
預設為off,顯示的檔案時間為GMT時間。改為on後,顯示的檔案時間為檔案的伺服器時間autoindex_localtime on;
1 2 3 4 5 6 | |
6.1 nginx配置demo
下面的nginx.conf簡單的實作nginx在前端做反向代理伺服器的例子,處理js、png等靜态檔案,jsp等動态請求轉發到其它伺服器tomcat:
user www www;
worker_processes 2;
error_log logs/error.log;
#error_log logs/error.log info;
pid logs/nginx.pid;
events {
use epoll;
worker_connections 2048;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
# tcp_nopush on;
keepalive_timeout 65;
# gzip壓縮功能設定
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 6;
gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
gzip_vary on;
# http_proxy 設定
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 75;
proxy_send_timeout 75;
proxy_read_timeout 75;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
proxy_temp_path /usr/local/nginx/proxy_temp 1 2;
# 設定負載均衡背景伺服器清單
upstream backend {
#ip_hash;
server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ;
server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ;
}
# 很重要的虛拟主機配置
server {
listen 80;
server_name itoatest.example.com;
root /apps/oaapp;
charset utf-8;
access_log logs/host.access.log main;
#對 / 所有做負載均衡+反向代理
location / {
root /apps/oaapp;
index index.jsp index.html index.htm;
proxy_pass http://backend;
proxy_redirect off;
# 後端的Web伺服器可以通過X-Forwarded-For擷取使用者真實IP
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
}
#靜态檔案,nginx自己處理,不去backend請求tomcat
location ~* /download/ {
root /apps/oa/fs;
}
location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$
{
root /apps/oaapp;
expires 7d;
}
location /nginx_status {
stub_status on;
access_log off;
allow 192.168.10.0/24;
deny all;
}
location ~ ^/(WEB-INF)/ {
deny all;
}
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
## 其它虛拟主機,server 指令開始
}