Nginx是目前很火的服务器web和反向代理服务器,反向代理是指以代理服务器来接受internet上的连接请求,将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外表现为一个反向代理服务器。且Nginx在高并发方面,有比较优异的特点。
Nginx是一款轻量级的Web服务器、反向代理服务器,基于 REST 架构风格,以统一资源描述符URI 或者统一资源定位符URL 作为沟通的依据,通过 HTTP 协议提供各种网络服务。由于它的内存占用少,启动快,高并发能力强,在互联网项目中广泛应用。
本文档由浅入深,主要从安装配置、Nginx基本模块和语法、流量限制、Nginx黑白名单、Nginx负载均衡等几方面进行说明。
目录
总体说明
Nginx作为一个高性能的Http和反向代理web服务器,接下来从概念、架构和特点三个方面整体介绍Nginx。
1.概述
Nginx是一款轻量级的Web 服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上Nginx的并发能力确实在同类型网页服务器中表现较好,中国大陆使用Nginx网站的用户有:百度、京东、新浪、网易、腾讯、淘宝等。
2.反向代理
反向代理服务器,其实客户端对代理是无感知的,因为客户端不需要任何配置就可以访问,我们只需要将请求发送到反向代理服务器,由反向代理服务器去选择目标服务器获取数据,在把数据返回给客户端,此时反向代理服务器和目标服务器对外就是一个服务器,暴露代理服务器的地址,隐藏真实服务器IP地址。
3.Nginx特点
1.稳定性高:用于反向代理,宕机的概率微乎其微。
2.内存消耗小:在3万并发连接下,开启10个Nginx进程仅消耗150M内存 (15M*10=150M)。
3.高并发:一个Nginx服务器在不做任何配置的情况下,并发量可达1000左右。在硬件条件允许的前提下,Nginx可以支持高达5-10万的并发量。
4.支持热部署:Nginx支持热部署,它的自动特别容易,且几乎可以7天*24小时不间断地运行,即使运行数月也不需要重新启动,还能在不间断服务的情况下,对软件版本进行升级。
安装配置
本次安装需要安装到Linux系统上,并且需要部署一个AEAI UMC产品才可以浏览运行。
1.前置条件
安装make:
安装g++:
安装pcre和pcre-devel:
安装zlib,zlib可以提供很多压缩和解方式,Nginx需要zlib对http进行gzip:
安装openssl,openssl是一个安全套接字层密码库,Nginx要支持https,需要使用openssl:
2.安装步骤
下载Nginx:
进入文件夹:
解压:
打开文件路径:
编译文件:
安装:
3.浏览运行
浏览运行的前提是启动AEAI UMC产品,在Nginx文件中写入如下内容:
蓝色为产品ip+端口,红色为Nginx端口,绿色为Nginx所在的服务器ip。
配置完成后执行如下命令,启动Nginx:
在浏览器输入192.168.1.234:81/UMC,如下如:
Nginx基本模块和语法
Nginx基本分为五个模块:分别为全局模块、events模块、http模块、server模块和location模块。
1.模块介绍
1.全局块:配置影响Nginx全局的指令。一般有运行Nginx服务器的用户组,Nginx进程pid存放路径,日志存放路径,配置文件引入,允许生成worker process数等。
2.events块:配置影响Nginx服务器或与用户的网络连接。有每个进程的最大连接数,选取哪种事件驱动模型处理连接请求,是否允许同时接收多个网路连接,开启多个网络连接序列化等。
3.http块:可以嵌套多个server,配置代理,缓存,日志定义等绝大多数功能和第三方模块的配置。如文件引入、mime-type定义、日志自定义、是否使用sendfile传输文件、连接超时时间、单连接请求数等。
4.server块:配置虚拟主机的相关参数,一个http中可以有多个server。
5.location块:配置请求的路由,以及各种页面的处理情况。
2.Nginx常用全局变量
3.Nginx常用配置
流量限制
流量限制可用作安全处理,可以减缓暴力密码破解的速率,流量限制主要配置的两个指令:limit_req_zone和limit_req。
1.限制访问频率(正常)
语法:limit_req_zone key zone rate。
模块:http。
1.Key:定义限流对象,$binary_remote_addr 针对客户端ip限流。
2.Zone:定义共享内存区来存储访问信息,例:zone=ip_limit:10m 限流规则名称为ip_limit,允许使用10MB的内存空间来记录ip对应的限流状态。
3.Rate:用于设置最大访问速率,rate=10r/s 表示每秒最多处理10个请求。
2.限制访问频率(突发)
语法:limit_req zone burst。
模块:server。
1.Zone:上文定义的名称。
2.Burst:解决突发流量,表示在超过设定的处理速率后能额外处理的请求数。
3.限制并发连接数
语法:limit_conn_zone key。
模块:http。
语法:limit_conn keyname 20。
模块:server。
1.Key:定义限流对象,$binary_remote_addr 针对客户端ip限流,$server_name限制server连接数。
2.Keyname:如果key为$binary_remote_addr表示限制单个ip同时最多能有几个连接,如果key为$server_name表示表示虚拟主机(server) 同时能处理并发连接的总数。
Nginx黑白名单
Nginx利用deny和allow指令来实现黑白名单的配置,利用黑白名单进行安全配置。
语法:
模块:http/server/location
1.allow:允许访问。
2.deny:禁止访问。
3.address:具体的ip地址。
4.CIDR:ip加掩码形式地址。
5.all:所有ip地址。
1.黑名单
配置策略:黑名单配置逻辑是配置禁止的ip访问,允许其他所有的地址访问。
配置详解:在这个配置下,234、235和236的ip访问不了服务器,会显示403 Forbidden,而其他ip都可以访问。
2.白名单
配置策略:白名单配置逻辑是配置允许的ip访问,禁止其他所有的地址访问。
配置详解:在这个配置下,234、235和236的ip可以访问服务器,而其他所有ip都不允许访问,显示403 Forbidden。
Nginx负载均衡
Nginx默认的负载均衡策略是轮询法,顾名思义,所有请求都按照时间顺序分配到不同的服务上。
1.加权轮询法
指定每个服务的权重比例,weight和访问比率成正比,通常用于后端服务机器性能不统一,将性能好的分配权重高,来发挥服务器的最大性能。
配置详解:如上配置235的访问频率为234的二倍。
2.最少连接
将请求分配到连接数最少的服务上。
3.IP Hash
每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题。
灰度升级
灰度升级是指从黑到白之间,能够平滑过渡的一种发布方式,让大部分用户继续用A,少部分用户使用B,如果B不出现问题再将所有用户移植到B上。
1.来路Ip
根据$remote_addr变量进行灰度发布:
配置详解:如果ip为234访问测试环境,如果不为234则访问生产环境。
2.Cookie
根据$http_cookie变量进行灰度发布。
配置详解:如果cookie为version=V1访问测试环境,如果不为version=V1则访问生产环境。
3.浏览器UserAgent
根据$http_user_agent变量进行灰度发布。
配置详解:如果浏览器为Chrome/93.0.4577.63访问测试环境,如果不为Chrome/93.0.4577.63则访问生产环境。
浏览器版本可在设置中查看:
心得体会
本次主要在开发umc接入配置中学习到了Nginx,对Nginx有了一个简单的了解,以下是本次的心得体会。
1.知识收获
在本次的开发中,学习了Nginx的相关知识和基础操作,了解了Nginx相关模块的功能和使用,也让我感受到Nginx的强大和方便之处,为我后续的学习打下坚实的基础。
2.项目理解
本次主要开发了基于Nginx接入配置的功能,相比之前编写的Nginx指令,接入配置功能可以方便灵活地配置Nginx文件,更加的快速高效,可以和UMC产品有更好地融合。
3.心得总结
在本次开发UMC接入配置中,学习并使用了Nginx。此次开发接入配置的过程并不是一帆风顺的,期间遇到了不少问题,也让我感觉到了自身的不足之处,但我并没有感到沮丧,在工作中稳扎稳打一步步的摸索,最终找到解决的方法。
此次开发使我进一步认识到学习的重要性和迫切性。加强学习,是提高自身工作能力最直接的手段之一,也是我们提高业务水平的迫切需要。只有通过加强学习,才能取他人之长补己之短,也只有这样才能不负公司的重望,完成公司交给自己的工作任务。
本文由@数通畅联原创,欢迎转发,仅供学习交流使用,引用请注明出处!谢谢~