|
3 I1 o3 U9 Z6 K+ J% X& p# N Nginx全局变量Nginx中有很多的全局变量,可以通过$变量名来使用。下面列举一些常用的全局变量:
' A3 A( z" a5 s( W2 L c) J8 z Nginx locationlocation作用location指令的作用是根据用户请求的URI来执行不同的应用即根据用户请求的网站地址URL进行匹配,匹配成功就进行相应的操作语**ocation的语法规则:location [=|~|~*|^~] /uri/ { … }。 0 T2 O1 K, ^5 l/ h7 H( y
location匹配的变量是$uri关于几种字符的说明
5 p$ |/ ]6 |6 K: A; W 规则优先级= 高于 ^~ 高于 ~* 等于 ~ 高于 /示例1location = "/12.jpg" { ... }9 C, z! n* V$ _8 S
如:# _! D4 b( H' C4 [, X
www.syushin.com/12.jpg 匹配
' v( _: }) G! p& L( g; ^ www.syushin.com/abc/12.jpg 不匹配* ^( o6 w% s. {
/ E( L4 @& k" b$ o5 Z* C
location ^~ "/abc/" { ... }
. u+ K4 F) z/ }. g, B* k 如:
( D9 J5 o4 h7 S4 g# m6 p9 v www.syushin.com/abc/123.html 匹配& @* B/ z9 V% q. l/ U
www.syushin.com/a/abc/123.jpg 不匹配; x3 a7 I8 [; K$ Z
1 s; ~0 v9 u, r
location ~ "png" { ... }+ E$ c+ f! v* \0 `/ a
如:
$ `3 V1 f" W5 D( h www.syushin.com/aaa/bbb/ccc/123.png 匹配
' R7 W/ v' h* n0 y8 w! w) d& A www.syushin.com/aaa/png/123.html 匹配
. x( Q( M" q' ~
* d2 e& v0 q& i* U location ~* "png" { ... }
4 u) ], X3 b& P( h0 R6 V 如:
8 F5 P. _! a6 B9 D" v: J www.syushin.com/aaa/bbb/ccc/123.PNG 匹配& H2 `9 e/ y8 ^- j
www.syushin.com/aaa/png/123.html 匹配 r, C# N' p5 W ~
0 y# `( u0 p3 l- g
4 _. Y& F% L; S9 d9 w% k. M) w location /admin/ { ... }
- u; Q$ S$ {9 O2 b: j 如:
: e1 I1 T" x G: p4 H3 t www.syushin.com/admin/aaa/1.php 匹配. `4 Z8 y8 W( F! E4 |3 r& X0 I
www.syushin.com/123/admin/1.php 不匹配
0 [7 x" ^* M1 B* V' @& [5 k! V 注意:有些资料上介绍location支持不匹配 !~如: location !~ png{ ... }这是错误的,location不支持 !~如果有这样的需求,可以通过if(location优先级小于if )来实现,如: if ($uri !~ png) { ... } 5 G( }7 J3 o: m
访问控制web2.0时代,很多网站都是以用户为中心,网站允许用户发布内容到服务器由于为用户开放了上传功能,因此有很大的安全风险,比如黑客上传木马程序等等因此,访问控制就很有必要配置了deny与allow。
; M2 X; A8 w7 Y+ J7 { 字面上很容易理解就是拒绝和允许Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块语法语法:allow/deny address | CIDR | unix: | all。 $ i0 f$ d& O- d- t5 A% w) J! H, z
它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问注意:unix在1.5.1中新加入的功能在nginx中,allow和deny的规则是按顺序执行的 示例1:location
5 f1 l! ?6 W. N0 V /{allow192.168.0.0/24;allow127.0.0.1;denyall;}说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝示例2:location & Q- N3 \& h1 R5 Z7 a3 z* f! J
~"admin"{allow192.168.30.7;denyall}说明:访问的uri中包含admin的请求,只允许192.168.30.7这个IP的请求基于location的访问控制日常上,访问控制基本是配合location来做配置的,直接例子吧。
/ e0 Q1 I8 {% I M6 x 示例1:location/blog/{denyall;}说明:针对/blog/目录,全部禁止访问,这里的deny all;可以改为return 403;.示例2location~".bak|\.ht"{ & T* e3 N& `) E. M4 m
return403;}说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码测试链接举例:· http://www.syushin.com/abc.bak· http://www.syushin.com/blog/123/.h
6 O3 k( W" a/ r" G! O3 B talskdjf如果用户输入的URL是上面其中之一都会返回403示例3location~(data|cache|tmp|image|attachment).*\.php${denyall;}说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。 4 o+ J* D$ ^) f7 J- r; o+ B, K7 y3 t6 H
测试链接举例:· http://www.xxxxxx.com/aming/cache/1.php· http://www.xxxxxxx.com/image/123.phps· http://www.xxxxxx.com/aming/datas/ 8 b8 k% X1 O- _) v5 b3 U
1.php基于$document_uri的访问控制前面介绍了内置变量$document_uri含义是当前请求中不包含指令的URI如http://www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的参数。
+ A" e$ [! v/ E. Z) O1 V 我们可以针对这个变量做访问控制示例1if($document_uri~"/admin/"){return403;}说明:当请求的uri中包含/admin/时,直接返回403.注意:if结构中不支持使用allow和deny。 0 \2 ~$ A7 c. j2 \: S
测试链接:1. http://www.xxxxx.com/123/admin/1.html 匹配2. http://www.xxxxx.com/admin123/1.html 不匹配3. http://www.
! W" W0 U6 ^2 R! z9 ?! q2 A xxxxx.com/admin.php 不匹配示例2if($document_uri=/admin.php){return403;}说明:请求的uri为/admin.php时返回403状态码测试链接:。
, s' p6 _3 z" ~3 O* V+ I6 D/ v 1. http://www.xxxxx.com/admin.php# 匹配2. http://www.xxxxx.com/123/admin.php# 不匹配示例3if($document_uri~/data
( \0 f7 U- p( j- k /|/cache/.*\.php$){return403;}说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码测试链接:1. www.xxxxx.com/data/123.php # 匹配2. www.xxxxx.。 . e% {. z" B) y# E; P
com/cache1/123.php # 不匹配基于$request_uri访问控制$request_uri比$docuemnt_uri多了请求的参数主要是针对请求的uri中的参数进行控制示例if($request_uri & V6 \2 ~! C0 e' E8 H5 R8 w
~"gid=\d{9,12}"){return403;}说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求测试链接:1. http://www.xxxxx.com/index.php?。 9 s/ ~; H+ B' \ \5 L* X7 z3 B& C
gid=1234567890&pid=111 匹配2. http://www.xxxxx.com/gid=123 不匹配背景知识:曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html
, V8 `, v0 `6 ]# x. O* q9 s5 T: V 实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在所以,可以直接针对这样的请求,return 403状态码基于$http_user_agent的访问控制(反爬虫)user_agent可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。 - y2 m0 M, I; Z% }7 w. w8 v5 T
假如观察访问日志,发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉示例if($user_agent~YisouSpider
9 i% w+ L+ B' L2 S& u7 l |MJ12bot/v1.4.2|YoudaoBot|Tomato){return403;}说明:user_agent包含以上关键词的请求,全部返回403状态码测试:1. curl -A "123YisouSpider1.0"2. curl -A "MJ12bot/v1.4.1"。
4 e% b* R# k# Q9 ^5 _3 M8 C 基于$http_referer的访问控制$http_referer除了可以实现防盗链的功能外,还可以做一些特殊的需求比如:网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个BC网站。 ! l; e% j, ?0 r/ a) z
由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作比如,可以把从百度访问的链接直接返回404状态码,或者返回一段html代码示例if($http_referer~baidu
3 _6 E" ?3 p( J$ c4 V9 a .com){return404;}或者if($http_referer~baidu.com){return200"window.location.href=//$host$request_uri;" 1 c5 M; H! d# ~% B0 s3 r1 _% {1 O
;}Nginx参数优化Nginx作为高性能web服务器,即使不特意调整配置参数也可以处理大量的并发请求当然,配置调优会使Nginx性能更加强悍,配置参数需要结合服务器硬件性能等做参考worker进程优化。 % L; A& i# j9 A3 }: a
worker_processes num;该参数表示启动几个工作进程,建议和本机CPU核数保持一致,每一核CPU处理一个进程,num表示数字worker_rlimit_nofile它表示Nginx最大可用的文件描述符个数,需要配合系统的最大描述符,建议设置为102400。
( ?( m q3 X' w 还需要在系统里执行ulimit -n 102400才可以也可以直接修改配置文件/etc/security/limits.conf修改增加:#* soft nofile 655350 (去掉前面的#)#* hard nofile 655350 (去掉前面的#)
" Q( e- {4 \# K" P# K6 Z worker_connections该参数用来配置每个Nginx worker进程最大处理的连接数,这个参数也决定了该Nginx服务器最多能处理多少客户端请求(worker_processes * worker_connections) 6 s7 o) }/ c( U( {" @8 ?
建议把该参数设置为10240,不建议太大http/tcp连接数优化use epoll使用epoll模式的事件驱动模型,该模型为Linux系统下最优方式multi_accept on使每个worker进程可以同时处理多个客户端请求。
$ n; a/ L) l6 Y8 r/ Y sendfile on使用内核的FD文件传输功能,可以减少user mode和kernel mode的切换,从而提升服务器性能tcp_nopush on当tcp_nopush设置为on时,会调用tcp_cork方法进行数据传输。
+ D* I3 O' m4 e" W* O; |( O 使用该方法会产生这样的效果:当应用程序产生数据时,内核不会立马封装包,而是当数据量积累到一定量时才会封装,然后传输tcp_nodelay on不缓存data-sends(关闭 Nagle 算法),这个能够提高高频发送小数据报文的实时性。
3 H9 M9 m) G" a4 @% a) i (关于Nagle算法)【假如需要频繁的发送一些小包数据,比如说1个字节,以IPv4为例的话,则每个包都要附带40字节的头,也就是说,总计41个字节的数据里,其中只有1个字节是我们需要的数据为了解决这个问题,出现了Nagle算法。 - S, l% H- i, M: V* S d
它规定:如果包的大小满足MSS,那么可以立即发送,否则数据会被放到缓冲区,等到已经发送的包被确认了之后才能继续发送通过这样的规定,可以降低网络里小包的数量,从而提升网络性能keepalive_timeout。
7 l9 t5 z% Z% a" v5 Y2 n; { 定义长连接的超时时间,建议30s,太短或者太长都不一定合适,当然,最好是根据业务自身的情况来动态地调整该参数keepalive_requests定义当客户端和服务端处于长连接的情况下,每个客户端最多可以请求多少次,可以设置很大,比如50000.。
T) n1 o! j; ^& r reset_timeout_connection on设置为on的话,当客户端不再向服务端发送请求时,允许服务端关闭该连接client_body_timeout客户端如果在该指定时间内没有加载完body数据,则断开连接,单位是秒,默认60,可以设置为10。
; B3 p% W5 `3 J" x7 N, `) N send_timeout这个超时时间是发送响应的超时时间,即Nginx服务器向客户端发送了数据包,但客户端一直没有去接收这个数据包如果某个连接超过send_timeout定义的超时时间,那么Nginx将会关闭这个连接。
* u2 |" g( ]6 K% B5 m% c1 ~7 p8 D( M 单位是秒,可以设置为3压缩对于纯文本的内容,Nginx是可以使用gzip压缩的使用压缩技术可以减少对带宽的消耗由ngx_http_gzip_module模块支持配置如下:gzip on; //开启gzip功能
* b- A1 o6 e9 v7 ? gzip_min_length 1024; //设置请求资源超过该数值才进行压缩,单位字节7 {+ l- s& j1 X" r
gzip_buffers 16 8k; //设置压缩使用的buffer大小,第一个数字为数量,第二个为每个buffer的大小
P5 @0 S0 g+ r! k; K gzip_comp_level 6; //设置压缩级别,范围1-9,9压缩级别最高,也最耗费CPU资源+ u) \4 I: u, p/ t# B- i1 E# h1 S
gzip_types text/plain application/x-javascript text/css application/xml image/jpeg image/gif image/png; //指定哪些类型的文件需要压缩
/ F6 Q/ x& u' ~- [- x6 s; x gzip_disable "MSIE 6\."; //IE6浏览器不启用压缩。
3 p u7 ?0 u- n C) y$ q! o 测试:curl -I -H "Accept-Encoding: gzip, deflate" http://www.xxxxx.com/1.css日志· 错误日志级别调高,比如crit级别,尽量少记录无关紧要的日志。
+ L9 p3 k+ f* i$ G · 对于访问日志,如果不要求记录日志,可以关闭,· 静态资源的访问日志关闭静态文件过期对于静态文件,需要设置一个过期时间,这样可以让这些资源缓存到客户端浏览器,在缓存未失效前,客户端不再向服务期请求相同的资源,从而节省带宽和资源消耗。
; n, [" ^* U" s W" |! j" _, I 配置示例如下:location~*^.+\.(gif|jpg|png|css|js)${expires1d;//1d表示1天,也可以用24h表示一天( @ q: O+ L; ~+ S, X; e# R
}我这儿整理了比较全面的JAVA相关的面试资料,需要领取面试资料的同学,请加群:473984645
! M* u+ \" H+ O. C: n3 o2 \: w 获取更多学习资料,可以加群:473984645或扫描下方二维码
$ ~" f5 G* r' M# |( E9 R9 y: u( n3 Z+ V% X* [* Y
! q4 a; l$ A! D, _6 g* n6 J! w# n* {. ?0 J9 e6 ]1 S
+ C6 I! q8 W% G6 p' D: V/ j- v
|