|
5 k0 o# y8 A/ }, f
本文章来自网络Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名Nginx是一款轻量级的Web 服务器/反向代理服务器,其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
' H6 @5 `/ Q# p 下面我们就来详细介绍下nginx的常用配置,该配置均为我们生产环境中检验过的,大家可放心使用如在使用过程中遇到问题或者疑惑,可以在我们的网站下留言,我们会尽快回复一、主配置文件user nobody nobody; #nginx用户、用户组 & f+ i7 K* ?8 N
worker_processes 8; #开启8个工作进程worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000; #0001表示启用第一个CPU内核,0010表示启用第二个CPU内核,依此类推 , I( |7 K" p; N/ |, E* D6 C
error_log logs/error.log; #错误日志存放路径 #error_log logs/error.log notice;#error_log logs/error.log info;pid logs/nginx.pid; #pid文件存放路径
5 W4 ~5 f1 f x1 x. v worker_rlimit_nofile 100000; #指定进程可以打开的最大描述符号,这个指令是指当一个nginx进程打开的最多文件描述符数量,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是很均匀,建议与ulimit -n的值保持一致。 7 Z0 D/ T9 x+ L5 q9 k4 T
当然设置比ulimit -n大也可以,设置后你的操作系统和Nginx可以处理比ulimit -n更多的文件google_perftools_profiles /tmp/tcmalloc; # google-perftools中TCMalloc库在内存分配效率和速度上要高很多,这在很大程度上提高了服务器在高并发情况下的性能,从而降低系统负载 6 R. T% P) H. Q! b9 @
events {use epoll; #使用epoll的I/O 模型linux建议epoll,FreeBSD建议采用kqueue#accept_mutex off; #multi_accept on;worker_connections 100000; #每个工作进程的最大连接数量。
- u% _1 k O$ m 根据硬件调整,和前面工作进程配合起来用,尽量大,但是别把cpu跑到100%就行每个进程允许的最多连接数,理论上每台nginx服务器的最大连接数为worker_processes*worker_connections。 - P9 r$ }, ~% P
}http { #nginx代理http协议,还可以代理ftp/mail等协议 include mime.types; #设定mime类型,类型由mime.type文件定义default_type application/octet-stream; 5 b% Y" v/ U2 e% I" R1 U
log_format main $http_x_forwarded_for - "$upstream_cache_status" $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $remote_addr ;
4 c C @. K& n$ _4 R! A) q #log_format log1 $realip - "$upstream_cache_status" $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $remote_addr;
) ]; Q& T9 [3 x2 w #日志格式设置$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;$remote_user:用来记录客户端用户名称;$time_local: 用来记录访问时间与时区;
/ E# p: `: t' c4 I $request: 用来记录请求的url与http协议;$status: 用来记录请求状态;成功是200,$body_bytes_sent :记录发送给客户端文件主体内容大小;$http_referer:用来记录从那个页面链接访问过来的;
2 i0 K! d o* s0 r- A $http_user_agent:记录客户浏览器的相关信息;通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。
# H ?/ u) I ?9 U: L( u- e1 K1 t1 Y #access_log logs/access.log main;sendfile on; #使用高效的文件传输,可以让sendfile()发挥作用sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。
# e* Q; i7 I) [4 n" L6 h Pre-sendfile是传送数据之前在用户空间申请数据缓冲区之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络sendfile()是立即将数据从磁盘读到OS缓存因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效。
( W' {( x6 j, E, Z" h tcp_nopush on; #防止TCP阻塞, 告诉nginx在一个数据包里发送所有头文件,而不一个接一个的发送 tcp_nodelay on; #告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。
1 W" `: b1 k5 R4 Z1 J' V5 z server_tokens off; #彻底隐藏nginx版本号,提高安全性#charset utf-8;keepalive_timeout 75; #保持连接超时时间gzip on; #是否启用压缩功能,实时压缩输出数据流
2 O: K( z1 m) T- x gzip_min_length 1k; #允许压缩的页面的最小字节数,建议设置成大于 1K 的字节数 ( 页面字节数从header 头的Content-Length 中获取的,默认值为 0 ,不管页面多大都进行压缩)
6 H* }7 k0 q1 j2 d7 y* {3 M, V gzip_buffers 4 16k; # 申请4 个单位为 16K 的内存作为压缩数结果的缓存(默认是申请与原始数据大小相同的内存空间来存储gzip的压缩结果)gzip_http_version 1.0; #设置识别HTTP协议的版本,默认是1.1,大部分浏览器已经支持gzip解压。
y) \1 n5 w5 T) n; w% J& E gzip_comp_level 3; #设置压缩比(1 压缩比最小,9 压缩比最大)gzip_types text/plain application/x-javascript text/css text/javascript application/x-httpd-php image/jpeg image/gif image/png application/xml; #指定压缩的类型(无论是否指定, "text/html" 类型一定是会被压缩的)
* {! J1 H/ b$ B( y. S #gzip_vary on; #可以让前端缓存服务器缓存经过 gzip 压缩的页面,如:Squidserver_names_hash_bucket_size 128; #保存服务器名字的hash表是由指令
. ] a" o; J# n+ {1 ?+ F server_names_hash_max_size 和server_names_hash_bucket_size所控制的参数hash bucket size总是等于hash表的大小,并且是一路处理器缓存大小的倍数。 , u g9 E1 `' q6 s" F
在减少了在内存中的存取次数后,使在处理器中加速查找hash表键值成为可能如果hash bucket size等于一路处理器缓存的大小,那么在查找键的时候,最坏的情况下在内存中查找的次数为2第一次是确定存储单元的地址,第二次是在存储单元中查找键 值。 ) e" U( [" t. I I% y M, Q t
因此,如果Nginx给出需要增大hash max size 或 hash bucket size的提示,那么首要的是增大前一个参数的大小.fastcgi_intercept_errors on; #这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。
/ {& r/ G+ N* x client_max_body_size 50m; #允许客户端请求的最大单文件字节数client_body_buffer_size 512k; #指定用户请求体所使用的buffer的最大值client_header_buffer_size 32k; #设置用户请求头所使用的buffer大小
4 D; K2 Z. y/ f% v% x large_client_header_buffers 4 32k; #注意:(1)对绝大多数请求来说,1k足以满足请求头所需的buffer;(2)对于携带有较大cookie或来自于wap用户的请求头来说,1k的buffer一般不够,这时可以使用指令
5 {5 {/ d% D7 A8 s* p( n. D large_client_header_buffers#proxy_ignore_client_abort on;proxy_connect_timeout 10s; #nginx跟后端服务器连接超时时间(代理连接超时)。 ! j% E4 d9 {9 @
proxy_read_timeout 60s; #连接成功后,后端服务器响应时间(代理接收超时)proxy_send_timeout 60s; #后端服务器数据回传时间(代理发送超时)proxy_buffer_size 16k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
- v" t0 n) G( x6 Z proxy_buffers 4 64k; # proxy_buffers缓冲区,网页平均在64k以下的话,这样设置proxy_busy_buffers_size 128k; #高负荷下缓冲大小proxy_temp_file_write_size 128k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传 # I& w- N/ h$ y# T0 D
proxy_temp_path /dev/shm/nginx_temp_mem; #代理缓存目录open_file_cache max=204800 inactive=20s; #这个将为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。
8 f/ O0 i( W' f' r% ` open_file_cache_min_uses 1; # open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个文件在inactive时间内一次没被使用,它将被移除 ) T& M$ t: h, S$ ?% q. ?5 y
open_file_cache_valid 30s; #这个是指多长时间检查一次缓存的有效信息#limit_req_zone $binary_remote_addr zone=allips:10m rate=5r/m; #速率限制。
; Y2 K- V; M) {" M( j6 p1 p+ g5 f #limit_req_zone $http_x_forwarded_for zone=allips:100m rate=1r/m;server {server_name _; #defaultreturn 403; / }- h4 K& z% J; m
access_log off;} #禁止IP直接访问80端口或者禁止非本站的域名绑定我们的IP################# demoproject #################### include nginx-demo.conf; #虚拟主机配置,每个虚拟主机写个单独配置文件,便于管理
5 L9 ]: F1 Z2 L2 y0 ? } 二、子配置文件[user@www conf]$ cat nginx-demo.confproxy_temp_path /dev/shm/nginx_temp_mem; # 指定存放的缓存目录proxy_cache_path /dev/shm/nginx_cache_mem/www levels=2:2 keys_zone=cache_nginx_www:200m max_size=5000m inactive=3d;
" W7 h2 Y$ c9 n- G- g# f proxy_cache_path /tmp/cache_dir1/www levels=1:2:2 keys_zone=danye_s:8000m max_size=2000G inactive=5d; #指定缓存的路径;levels=1:2:2 代表第一级目录有16个目录;第二级有256个,第三级也是有256个;所有活动的key和元数据存储在共享的内存区域中,这个区域用keys_zone参数指定,内存占据8000m;最大的磁盘占用空间为2000G;inactive=5d 如果在 inactive参数指定的5天内缓存的数据没有被请求则被删除; ( |2 B4 Y2 O6 `
upstream www_demo_com #代理被调用的名称为:www_demo_com { server 192.168.1.100:8080 max_fails=3 fail_timeout=30s weight=2; 4 t/ O! `8 R# ~# v
server 192.168.1.101:8080 max_fails=3 fail_timeout=30s weight=3; #max_fails = NUMBER - 在一定时间内(这个时间在fail_timeout参数中设置)检查这个服务器是 否可用时产生的最多失败请求数,默认为1,将其设置为0可以关闭检查; 4 z3 p2 C; A6 N# w) n5 R2 r
weight = NUMBER - 设置服务器权重,默认为1; fail_timeout = TIME - 在这个时间内产生了max_fails所设置大小的失败尝试连接请求后这个服务 器可能不可用,同样它指定了服务器不可用的时间(在下一次尝试连接请求发起之前)
+ N' F! E$ C- c+ {# o! Y7 L2 V } geo $whiteiplist { #白名单default 1;8.8.8.8 0;127.0.0.1 0; }map $whiteiplist $limit { 1 $binary_remote_addr;
r, E6 o6 v: ^) ~5 P# L/ n 0 "";}limit_conn_zone $limit zone=wwwperip:10m; #连接数限制limit_req_zone $limit zone=www:10m rate=50r/s; #访问速率限制 ' \6 r2 E! [8 Q* o' J% ~# }
server{ server_name demo.com; rewrite "^/(.*)$" http://www.demo.com/$1 permanent; access_log off; }server
$ g: ` N( {, O! z! u% n5 l$ @; Q$ M { listen 80; server_name www.demo.com; # 配置访问的主机名proxy_set_header Host $host; #但是如果这个字段在客户端的请求头中不存在,那么不发送数据到被代理服务器。 Q/ P% g. i; Z3 }
这种情况下最好使用$Host变量,它的值等于请求头中的"Host"字段或服务器名,$host, 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名;proxy_set_header X-Real-IP $remote_addr; #$remote_addr, 客户端地址
3 V' V$ m9 e- L5 ^1 H5 Q" X2 z proxy_set_header X-Forwarded-For $remote_addr; #X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 4 g, z' e' u$ ^- y
set $realip ""; if ($proxy_add_x_forwarded_for ~ "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") { set $realip $1; ; ~6 q$ H% e. |8 e9 z
} if ($proxy_add_x_forwarded_for = "^([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)") { set $realip $proxy_add_x_forwarded_for;
+ m1 T3 O( n2 w# f } proxy_set_header ipip $realip; #proxy_set_header X-Forwarded-For $realip;proxy_set_header Accept-Encoding ;
- r4 s3 W* N. f C* P$ f proxy_ignore_headers "Set-Cookie" "Expires" "Cache-Control" "X-Accel-Redirect" "X-Accel-Expires"; #nginx缓存分成两部分,一部分是key,一部分是value;浏览器会有个cookie等会影响key的生成值。
2 y" J5 q) j0 o& d! j1 j& I 所以忽略掉这些cookie以及一些头部信息,使相同的页面生成的key值一样,促使命中率的提升limit_conn wwwperip 20; limit_req zone=www burst=120;limit_rate_after 500k;
. I# e9 [% A; Y& ?0 z. X limit_rate 300k;#Nginx的http核心模块ngx_http_core_module中提供limit_rate这个指令可以用于控制速度,limit_rate_after用于设置http请求传输多少字节后开始限速。 - z* Q6 M4 T' {& N
另外两个模块ngx_http_limit_conn_module和ngx_http_limit_req_module分别用于连接数和连接频率的控制location = /robots.txt {root /var/www/html/www.demo.com;。 # k. H5 ^1 e; H& K
}location ~ /purge_s(/.*) { proxy_cache_purge danye_s $host$1$is_args$args; } location ~ ^/(s|g|q)([0-9]*)\.html$ # Y( h, [. ?1 O0 v8 b
{ expires 1h; # 指定浏览器缓存时间为1小时,以减少不必要的请求;proxy_cache danye_s; #指定使用哪个keys_zone;proxy_cache_valid 200 304 7d; #配置nginx cache中的缓存文件的缓存时间;对于状态为200和304的缓存文件的缓存时间是7天,7天之后再访问该缓存文件时,文件会过期,从而去源服务器重新取数据; 9 {4 L" r4 \2 j9 g5 q
proxy_cache_key $host$uri$is_args$args; #以域名、URI、参数组合成Web缓存的Key值,Nginx根据Key值哈希,存储缓存内容到二级缓存目录内;proxy_hide_header Vary; #隐藏vary信息,这样,cache层就好处理多了,命中率也能有很大提升 * f% a2 v" G% H k2 G( K- S
proxy_pass http://www_demo_com; proxy_cache_min_uses 2; #多少次的查询后应答将被缓存add_header Cache "$upstream_cache_status";
5 F4 H. E( _. |4 x0 r } location ~ ^/wap/sendVerifyCode.shtml(.*) #访问速率限制{limit_req zone=allips_2 burst=1 nodelay; proxy_pass http://www_demo_com; & b% d; i/ C" n) o
}location ~ ^/wap/account!sendVerifyCode.do(.*) #拒绝指定地址访问{if ( $http_x_forwarded_for ~ 100.100.100.101|100.100.100.100 ){
* h" E2 _, f( f$ Y# V return 403;} location ~ ^/plane/app { rewrite "/plane/(.*)" /$1 break; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; 0 O$ ]5 X% \. a0 V% a
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Cookie $http_cookie; proxy_pass http://www_demo_com; 1 x$ k, y9 J: O2 W- E! t( |+ T/ _
}location ~ ^/plane/ {rewrite "/plane/(.*)" /$1 break;proxy_set_header Referer $http_referer;proxy_set_header Cookie $http_cookie; 9 i& M' r$ U) R6 B, `
proxy_pass http://www_demo_com;}location ~ .*\.(png|gif|jpg|jpeg|bmp|ico|js|css|swf)$ #关闭图片日志记录,减少日志写入 ' z L- c% e# E5 ^1 U
{expires 30m;proxy_cache cache_nginx_www;proxy_cache_valid 200 304 1h;proxy_cache_valid any 1m;proxy_cache_key $host$uri$is_args$args;
$ r4 F& n: h# i; ^0 J9 B8 B' D proxy_redirect off;proxy_hide_header Vary;proxy_pass http://www_demo_com;add_header Cache "$upstream_cache_status";
: h6 t; k3 @2 `8 L% S9 W7 X7 x, N/ W0 { access_log off;}location ~* ^/nginx-status { #开启nginx状态模块stub_status on;allow 192.168.0.0/18;deny all;
+ B: _' W p! f( O' \5 V' q access_log off;}location ~ ^/(WEB-INF)/ {deny all;}location ~ .*\.svn/(.*){deny all;}location / { proxy_pass http://www_demo_com;
9 D1 X2 i6 M& _. |1 q0 Q$ x: G } error_page 404 500 502 /404.htm; location = /404.htm { proxy_pass http://www_demo_com; } access_log logs/www.access.log main;
, I' a8 ~$ D. t: V2 b+ E1 t0 Q error_log logs/www.error.log; } 5 D# ]& {( l$ @5 b2 f
- n# w5 Q, j( @
- n5 [1 V" I) f! K. Z+ T2 R; f9 g$ B5 S* D; ^) X
' ]# [, X& q. }/ B% G |