|
; ^% p) P+ @5 O9 W! f. M9 ~
Nginx全局变量Nginx中有很多的全局变量,可以通过$变量名来使用。下面列举一些常用的全局变量:  , _: w5 }2 f1 s/ n A
Nginx locationlocation作用location指令的作用是根据用户请求的URI来执行不同的应用即根据用户请求的网站地址URL进行匹配,匹配成功就进行相应的操作语**ocation的语法规则:location [=|~|~*|^~] /uri/ { … }。
4 e- J: u T* C5 u- ~ location匹配的变量是$uri关于几种字符的说明  & ], N. _! t7 I7 j; N$ k% s
规则优先级= 高于 ^~ 高于 ~* 等于 ~ 高于 /示例1location = "/12.jpg" { ... }$ o' F3 b$ m8 R" M# n- V4 ]
如: q5 a9 r& p/ W& |
www.syushin.com/12.jpg 匹配
) s Y4 y6 y- r8 G( [ www.syushin.com/abc/12.jpg 不匹配
2 G# d, W5 w5 L+ f
( {& c& a0 O: v0 ?* D location ^~ "/abc/" { ... }
! w% e+ Y' L, V. E4 K, e* { 如:6 h! H& A: C+ [; g9 c& ?0 W
www.syushin.com/abc/123.html 匹配' [' x! O2 T3 f
www.syushin.com/a/abc/123.jpg 不匹配0 S. u% e7 y j" N8 i: J
- L5 S& t% B! b3 ^) o5 E
location ~ "png" { ... }
; w D1 _0 D4 p# `1 t9 p# I$ o 如:+ R3 W: x5 n$ Y& U8 T2 V
www.syushin.com/aaa/bbb/ccc/123.png 匹配
; m$ ?- N0 x$ {6 u" D; T p www.syushin.com/aaa/png/123.html 匹配
# A1 y1 J$ C4 F; ~9 w3 B9 t& c% \8 O. D' y7 f5 i
location ~* "png" { ... }* z5 O( z# j, a9 e/ j& t( n. X5 }
如:
. G; G& w# u3 a$ e3 v$ h; p+ @ www.syushin.com/aaa/bbb/ccc/123.PNG 匹配
p1 i3 l8 [" X www.syushin.com/aaa/png/123.html 匹配" d0 s5 x6 b8 F6 g1 i
- Y. E$ G" t$ t2 x% C @- v
- Y2 Z* V8 d% Q' f" s! t& t" z
location /admin/ { ... }: i7 b# c/ G: s9 s9 `. a/ a: S
如:6 S9 h7 Z8 S1 R/ L/ e7 @+ f
www.syushin.com/admin/aaa/1.php 匹配* |6 M D' r9 D4 L! V# J' W6 E
www.syushin.com/123/admin/1.php 不匹配
$ F3 v! h0 B5 D5 h! u: m2 C 注意:有些资料上介绍location支持不匹配 !~如: location !~ png{ ... }这是错误的,location不支持 !~如果有这样的需求,可以通过if(location优先级小于if )来实现,如: if ($uri !~ png) { ... } 6 h$ S& l9 S% b5 G# M
访问控制web2.0时代,很多网站都是以用户为中心,网站允许用户发布内容到服务器由于为用户开放了上传功能,因此有很大的安全风险,比如黑客上传木马程序等等因此,访问控制就很有必要配置了deny与allow。
S7 z5 s& W) S1 r y) Z% N 字面上很容易理解就是拒绝和允许Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块语法语法:allow/deny address | CIDR | unix: | all。
* \9 L: y* ?/ ^1 }: H; L 它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问注意:unix在1.5.1中新加入的功能在nginx中,allow和deny的规则是按顺序执行的 示例1:location
: m5 r+ \( I9 Q5 Y- v: u) U9 { /{allow192.168.0.0/24;allow127.0.0.1;denyall;}说明:这段配置值允许192.168.0.0/24网段和127.0.0.1的请求,其他来源IP全部拒绝示例2:location 2 X% r9 Z* B! L* \4 {9 A9 @3 `
~"admin"{allow192.168.30.7;denyall}说明:访问的uri中包含admin的请求,只允许192.168.30.7这个IP的请求基于location的访问控制日常上,访问控制基本是配合location来做配置的,直接例子吧。
. w0 A3 x) k( r; j! } 示例1:location/blog/{denyall;}说明:针对/blog/目录,全部禁止访问,这里的deny all;可以改为return 403;.示例2location~".bak|\.ht"{ " d" e7 e8 ]' `- |* O
return403;}说明:访问的uri中包含.bak字样的或者包含.ht的直接返回403状态码测试链接举例:· http://www.syushin.com/abc.bak· http://www.syushin.com/blog/123/.h ! i& E. F* Z6 j$ i* p4 ^
talskdjf如果用户输入的URL是上面其中之一都会返回403示例3location~(data|cache|tmp|image|attachment).*\.php${denyall;}说明:请求的uri中包含data、cache、tmp、image、attachment并且以.php结尾的,全部禁止访问。 ; X% h- r) u' f
测试链接举例:· http://www.xxxxxx.com/aming/cache/1.php· http://www.xxxxxxx.com/image/123.phps· http://www.xxxxxx.com/aming/datas/ , U+ k. D1 k9 _# m# Z+ Q" f
1.php基于$document_uri的访问控制前面介绍了内置变量$document_uri含义是当前请求中不包含指令的URI如http://www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的参数。
+ J+ g1 u$ V7 c2 b) B% A 我们可以针对这个变量做访问控制示例1if($document_uri~"/admin/"){return403;}说明:当请求的uri中包含/admin/时,直接返回403.注意:if结构中不支持使用allow和deny。
0 v- E9 I- b' ^# b 测试链接:1. http://www.xxxxx.com/123/admin/1.html 匹配2. http://www.xxxxx.com/admin123/1.html 不匹配3. http://www. ' v7 ~+ E; ?# T& u5 n
xxxxx.com/admin.php 不匹配示例2if($document_uri=/admin.php){return403;}说明:请求的uri为/admin.php时返回403状态码测试链接:。
6 }9 L2 ~3 l' V1 c 1. http://www.xxxxx.com/admin.php# 匹配2. http://www.xxxxx.com/123/admin.php# 不匹配示例3if($document_uri~/data : P: a. V) ~* c* {% h9 J/ I R
/|/cache/.*\.php$){return403;}说明:请求的uri包含data或者cache目录,并且是php时,返回403状态码测试链接:1. www.xxxxx.com/data/123.php # 匹配2. www.xxxxx.。 2 }2 T! q9 U' D. x
com/cache1/123.php # 不匹配基于$request_uri访问控制$request_uri比$docuemnt_uri多了请求的参数主要是针对请求的uri中的参数进行控制示例if($request_uri
5 y% L8 P/ p) J" A) u) j; k ~"gid=\d{9,12}"){return403;}说明:\d{9,12}是正则表达式,表示9到12个数字,例如gid=1234567890就符号要求测试链接:1. http://www.xxxxx.com/index.php?。
. d, m$ S! K o* ] gid=1234567890&pid=111 匹配2. http://www.xxxxx.com/gid=123 不匹配背景知识:曾经有一个客户的网站cc攻击,对方发起太多类似这样的请求:/read-123405150-1-1.html
. p/ y/ ?) c) U7 p. f: v 实际上,这样的请求并不是正常的请求,网站会抛出一个页面,提示帖子不存在所以,可以直接针对这样的请求,return 403状态码基于$http_user_agent的访问控制(反爬虫)user_agent可以简单理解成浏览器标识,包括一些蜘蛛爬虫都可以通过user_agent来辨识。 6 Y' ]) S% C0 f
假如观察访问日志,发现一些搜索引擎的蜘蛛对网站访问特别频繁,它们并不友好为了减少服务器的压力,其实可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬虫全部封掉示例if($user_agent~YisouSpider
h. ]; ]/ F! V$ h' X |MJ12bot/v1.4.2|YoudaoBot|Tomato){return403;}说明:user_agent包含以上关键词的请求,全部返回403状态码测试:1. curl -A "123YisouSpider1.0"2. curl -A "MJ12bot/v1.4.1"。 7 p" c" U+ e2 Y' J4 H6 o
基于$http_referer的访问控制$http_referer除了可以实现防盗链的功能外,还可以做一些特殊的需求比如:网站被黑挂马,搜索引擎收录的网页是有问题的,当通过搜索引擎点击到网站时,却显示一个BC网站。 8 X$ F& g; }% h
由于查找木马需要时间,不能马上解决,为了不影响用户体验,可以针对此类请求做一个特殊操作比如,可以把从百度访问的链接直接返回404状态码,或者返回一段html代码示例if($http_referer~baidu
# F% R/ W1 K) u( U. H .com){return404;}或者if($http_referer~baidu.com){return200"window.location.href=//$host$request_uri;"
$ H& S+ C# X1 Q: O; _ ;}Nginx参数优化Nginx作为高性能web服务器,即使不特意调整配置参数也可以处理大量的并发请求当然,配置调优会使Nginx性能更加强悍,配置参数需要结合服务器硬件性能等做参考worker进程优化。
9 q. @9 W' E8 C5 o, G# N worker_processes num;该参数表示启动几个工作进程,建议和本机CPU核数保持一致,每一核CPU处理一个进程,num表示数字worker_rlimit_nofile它表示Nginx最大可用的文件描述符个数,需要配合系统的最大描述符,建议设置为102400。 0 [& L* M) M: P E! \
还需要在系统里执行ulimit -n 102400才可以也可以直接修改配置文件/etc/security/limits.conf修改增加:#* soft nofile 655350 (去掉前面的#)#* hard nofile 655350 (去掉前面的#)
7 g' R) Q3 X6 C0 [ worker_connections该参数用来配置每个Nginx worker进程最大处理的连接数,这个参数也决定了该Nginx服务器最多能处理多少客户端请求(worker_processes * worker_connections) # i n( F( m" |: W
建议把该参数设置为10240,不建议太大http/tcp连接数优化use epoll使用epoll模式的事件驱动模型,该模型为Linux系统下最优方式multi_accept on使每个worker进程可以同时处理多个客户端请求。 * Y+ x5 D. r# |
sendfile on使用内核的FD文件传输功能,可以减少user mode和kernel mode的切换,从而提升服务器性能tcp_nopush on当tcp_nopush设置为on时,会调用tcp_cork方法进行数据传输。
2 l. \! C6 }- n 使用该方法会产生这样的效果:当应用程序产生数据时,内核不会立马封装包,而是当数据量积累到一定量时才会封装,然后传输tcp_nodelay on不缓存data-sends(关闭 Nagle 算法),这个能够提高高频发送小数据报文的实时性。 % p2 {; [% b: j1 o4 Y; W2 w, o
(关于Nagle算法)【假如需要频繁的发送一些小包数据,比如说1个字节,以IPv4为例的话,则每个包都要附带40字节的头,也就是说,总计41个字节的数据里,其中只有1个字节是我们需要的数据为了解决这个问题,出现了Nagle算法。
! L$ ^' ]' r1 z; ~0 I 它规定:如果包的大小满足MSS,那么可以立即发送,否则数据会被放到缓冲区,等到已经发送的包被确认了之后才能继续发送通过这样的规定,可以降低网络里小包的数量,从而提升网络性能keepalive_timeout。
; P( N, C* M0 s9 s; R$ J 定义长连接的超时时间,建议30s,太短或者太长都不一定合适,当然,最好是根据业务自身的情况来动态地调整该参数keepalive_requests定义当客户端和服务端处于长连接的情况下,每个客户端最多可以请求多少次,可以设置很大,比如50000.。
/ @. s) F0 Y) ? reset_timeout_connection on设置为on的话,当客户端不再向服务端发送请求时,允许服务端关闭该连接client_body_timeout客户端如果在该指定时间内没有加载完body数据,则断开连接,单位是秒,默认60,可以设置为10。 8 g( Y0 @- y( c- t; t
send_timeout这个超时时间是发送响应的超时时间,即Nginx服务器向客户端发送了数据包,但客户端一直没有去接收这个数据包如果某个连接超过send_timeout定义的超时时间,那么Nginx将会关闭这个连接。 ; `0 `- }2 E) w1 ?; G! ~ j
单位是秒,可以设置为3压缩对于纯文本的内容,Nginx是可以使用gzip压缩的使用压缩技术可以减少对带宽的消耗由ngx_http_gzip_module模块支持配置如下:gzip on; //开启gzip功能. y# \9 _+ d9 q9 {- F
gzip_min_length 1024; //设置请求资源超过该数值才进行压缩,单位字节4 ^9 P+ O4 G4 `7 b, t# d7 t( S! M
gzip_buffers 16 8k; //设置压缩使用的buffer大小,第一个数字为数量,第二个为每个buffer的大小
7 x! p( k, ?: Y gzip_comp_level 6; //设置压缩级别,范围1-9,9压缩级别最高,也最耗费CPU资源# {- J7 y& x9 }7 x3 y6 H( e
gzip_types text/plain application/x-javascript text/css application/xml image/jpeg image/gif image/png; //指定哪些类型的文件需要压缩
) J0 H( ]* c b; n! O2 E gzip_disable "MSIE 6\."; //IE6浏览器不启用压缩。 $ @ a; x X% ?$ j& n) X8 g+ t
测试:curl -I -H "Accept-Encoding: gzip, deflate" http://www.xxxxx.com/1.css日志· 错误日志级别调高,比如crit级别,尽量少记录无关紧要的日志。 , D6 D) U0 u9 s
· 对于访问日志,如果不要求记录日志,可以关闭,· 静态资源的访问日志关闭静态文件过期对于静态文件,需要设置一个过期时间,这样可以让这些资源缓存到客户端浏览器,在缓存未失效前,客户端不再向服务期请求相同的资源,从而节省带宽和资源消耗。 4 o4 U, ]0 b' D
配置示例如下:location~*^.+\.(gif|jpg|png|css|js)${expires1d;//1d表示1天,也可以用24h表示一天
4 d5 Z& R+ f1 a6 R }我这儿整理了比较全面的JAVA相关的面试资料,需要领取面试资料的同学,请加群:473984645  ( Q! l* ?7 p" B' h9 [
获取更多学习资料,可以加群:473984645或扫描下方二维码 
9 {! Q, f3 ?8 E! [2 R: x+ S% j. W
2 e, W7 ^# G! f& d: r0 L- C# ~8 i2 M
# z; k% e4 S- c5 d% `, O- g5 B' {, _5 z3 F- c
" y, h, ~: O* e. c8 N7 J/ T
| 
