前言

nginx相比较与apache最明显的优势是轻量级、高并发，配置也相当于apache更简洁。本节内容将介绍nginx的相关功能配置，包括nginx的并发优化、负载均衡、平滑升级、nginx限流、配置管理（自动索引、缓存配置、日志轮询、禁用不必要日志、站点目录和文件限制、中文乱码解决、限制IP）、nginx重定向、防盗链等。

一、nginx的并发优化

Nginx默认没有开启利用多核cpu，我们可以通过增加worker_cpu_affinity配置参数来充分利用多核cpu的性能;
cpu是任务处理，计算最关键的资源，cpu核越多，性能就越好；
2核cpu，开启2个进程 设定worker_cpu_affinity 01 10（将cpu和worker数目绑定）;
4个cpu，开启4个进程 设定worker_cpu_affinity 0001 0010 0100 1000

worker_connections：设定每一个worker进程能并发处理（发起）的最大连接数为65535（包含所有连接数），不能超过最大文件打开数；
要求内核支持最大文件打开数>系统支持最大文件打开数>Worker支持最大文件打开数

查看真机内核支持的最大文件打开数

ulimit -a  #用来显示当前的用户可以打开文件的限制,可以看到系统支持的最大文件打开数为1024

为了便于实验效果，首先修改server1的cpu的个数为2，内存为1024；
用cpu的个数控制nginx的work进程个数；

vim /usr/local/nginx/conf/nginx.conf
 //
 worker_processes   2; ##工作进程数 最大不超过CPU个数
 events {
      worker_connections   1024; ##单个工作进程并发连接数
}
 //

在真实主机中

ab -c1 -n 10000 http://172.25.254.1/index.php     ##-c1表示并发用户数为1 ，可以理解为开启了1个工作线程或进程    -n 10000表示请求总数为100000

当修改并发用户数为10

ab -c1 -n 10000 http://172.25.254.1/index.php

server1中

sysctl -a | grep file  #查看内核支持的最大文件打开数.,sysctl命令用于运行时配置内核参数，这些参数位于/proc/sys目录下
///fs.file-max = 97714
free -m    # Mem：表示物理内存
             -/+ buffers/cached：表示物理内存缓存
             Swap：表示硬盘交换分区

二、负载均衡 反向代理

实验环境：
三台虚拟机
server1:nginx反向代理+负载均衡主机
将配置好的server1中nginx复制到server2和server3中。

1.默认轮询

server1:

vim /usr/local/nginx/conf/nginx.conf
18         upstream westos {  # 负载均衡器upstream
19         server 172.25.254.2:80;
20         server 172.25.254.3:80;
21         }

123 server {
124         listen 80;
125         server_name www.westos.org;
126 
127         location / {
128                 proxy_pass http://westos; # 反向代理器proxy_pass
129                    }
130           }
131  }##注意http的后括号

注意：
在http加入upstream模块，设定反向代理负载均衡器westos；upstream表示负载服务器池
location 指令的作用：根据用户请求的URI来执行不同的应用，URI就是根据用户请求到的网址URL进行匹配；
server_name ：代理的服务域名;
location：设定当外部访问www.westos.org这个域名时，nginx会把所有请求都发送到upstream定义的服务器节点池（westos）

修改配置文件之后，习惯性的用nginx -t 进行语法检测
没问题之后：nginx -s reload 刷新nginx服务！！

若是报错会提示哪写的有问题，可以直接修改：
切换到/usr/local中，

scp -r nginx/ server2:/usr/local/注意复制目录
scp -r nginx/ server3:/usr/local/

server2:

建立软链接以便全局使用nginx，编辑配置文件，将server1中的设定修改回默认值，写入发布内容，在本次尝试是否能访问。

ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/	##建立软链接以便全局使用nginx
cd /usr/local/nginx/sbin/
ls
cd ..(nginx)
cd conf/
vim nginx.conf
///
#user  nobody;					##注释掉
worker_processes  auto;

events {
worker_connections  1024;	##改回默认
}
///
nginx -t						##检测语法
cd ..(nginx)
cd html/
ls
echo server2 > index.html ##把server2的发布目录写为server2
nginx
curl localhost					##显示server2

server3:
和server2进行同样的操作，

测试：
配置完成之后，在真机上对快照进行地址解析，ping通www.westos.org之后便可以使用curl命令查看server主机的发布文件。进行测试：

vim /etc/hosts

    curl www.westos.org

结果如下：
负载均衡成功
如果不成功只出现server2,3其中一个，很可能是火墙没有关闭导致

2.改变权重，默认为1

在server1主机中修改配置文件，增加server2主机的权重，检测语法，重启服务。

###server1------改变权重

cd /usr/local/nginx/conf/
vim nginx.conf
///
http {
          upstream westos {
          server 172.25.254.2:80 weight=2;			##增加权重
	      server 172.25.254.3:80 ;
/// 


nginx -t
nginx -s reload

在真机上作测试时，server2和server3主机则几乎与权重等比出现。权重大的则等比显示.

3.ip_hash

ip_hash：通过客户端请求ip进行hash，再通过hash值选择后端server；
当你服务端的一个特定url路径会被同一个用户连续访问时，如果负载均衡策略还是轮询的话，那该用户的多次访问会被打到各台服务器上，这显然并不高效（会建立多次http链接等问题）。所以，此类场景可以考虑采用nginx提供的ip_hash策略。既能满足每个用户请求到同一台服务器，又能满足不同用户之间负载均衡。

vim nginx.conf
///
http {
    upstream westos {
    ip_hash;
///
nginx -t
nginx -s reload

在server3主机中关闭nginx服务，以模仿后端该主机出现问题的情况，此时在真机做检测时，则只有server2主机的发布文件。

当server2主机也出现问题时，真机则会报错502，显示服务器错误。

4.备用机

当所有后端主机都出现问题时，备用机可以暂时运行，但是风险很高，需要及时修理后端服务器。

在server1主机中设定负载均衡中本机可以作为备用机，检测语法，重启服务。

vim nginx.conf
///
http {
 #     ip_hash；					##注释
         server localhost:80 backup;	##备用机
///
nginx -t
nginx -s reload
cd ..
cd html/
ls
echo helloworld > index.html

当两台后端服务器都不能使用时，则显示server1备用机的发布文件

如果后端主机恢复，则不会访问备用机。

三.nginx的平滑升级

1.版本升级：
平滑的意义在于：升级nginx版本的时候不需要关闭服务，可以实现边使用边更新，毫不影响使用体验
在server1主机中，修改配置文件，设定工作进程数为2，安装一个比当前版本高的nginx，重新编译（configure–makefile–make三步曲）。
下载nginx新版本软件，正常执行./configure和make但不要执行make install。

因为我们前面使用的是1.20版本
现在我们实验需要准备1.21版本！

server1

cd /usr/local/nginx/conf/
vim nginx.conf
///
user  nginx;
worker_processes  2;			##设定工作进程数为2
worker_cpu_affinity 01 10;
///
nginx -s reload

make之后备份旧程序，并拷贝新程序。

make
cd objs/
ls-->nginx
cd /usr/local/nginx/sbin/	
ls-->nginx
cp nginx nginx.old						##备份原程序
cd
cd nginx-1.21.1/			
ls
cd objs/
\cp -f nginx /usr/local/nginx/sbin/		##拷贝新程序

此时objs目录就会生成新的nginx二进制文件a
将nginx旧版本文件进行备份,将新生成的nginx文件覆盖安装目录下的旧的nginx,此时curl查看发现仍然是旧版本的nginx.

获取当前nginx主进程pid，即master进程。开启新版本。关闭worker进程但保留主进程master

ps ax | grep nginx		##获取当前nginx主进程pid，即master进程
kill -USR2 22602		##开启新版本
ps ax | grep nginx
curl localhost -I		##显示新版本号
kill -WINCH 22602		##关闭worker进程但保留主进程

因为有时候我们会发现新版本并没有旧版本用着顺手，那么关闭worker进程但保留主进程就是为了回退，即就是关闭工作端worker，保留master

ps ax | grep nginx
curl localhost -I		##此时依旧显示新版本号

2.版本回退

还原nginx程序：# cp -f nginx.old nginx
唤醒原进程：# kill -HUP 旧版本id
回收新版本的worker进程： kill -WINCH 新版本id
关闭新版本主进程： kill -QUIT 29761

cd /usr/local/nginx/sbin/
ls
\cp -f nginx.old nginx		##还原nginx程序
kill -HUP 22602				##唤醒原进程
ps ax | grep nginx
kill -WINCH 1040			##回收新版本的worker进程
kill -QUIT 1040				##关闭新版本主进程
ps ax | grep nginx
curl localhost -I

四.算法扩展

有时nginx并不支持一些算法，当我们需要使用时，则需要进行扩展。
比如sticky模块，nginx本身不支持，当在配置文件中写入并调用时，会报错。

cd /usr/local/nginc/conf
vim nginx.conf
///
http {
    upstream westos {
    sticky;
    server 172.25.254.2:80 weight=2;
///
nginx -t 	##失败，因为sticky不支持，需进行扩展

所以我们需要对nginx进行扩展，先将sticky注释掉，并停止服务。

iptables -t nat -I POSTROUTING -s 172.25.24.0/24 -j MASQUERADE 	##火墙策略(真机)

下载sticky软件包并解压。

[root@server1 ~]# scp -r root@172.25.254.72:/iso/nginx-goodies-nginx-sticky-module-ng-08a395c66e42.zip .

yum install -y unzip
unzip nginx-goodies-nginx-sticky-module-ng-08a395c66e42.zip 
ls

安装好之后切入nginx目录，清理缓存，执行configure->make。

cd nginx-1.20.1/
make clean							##清理缓存
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-threads --with-file-aio --add-module=/root/nginx-goodies-nginx-sticky-module-ng-08a395c66e42

make

将nginx复制到sbin并覆盖，切入配置目录，编辑配置文件，取消对sticky的注释并检测语法，但是此时sticky模块会与backup冲突，所以检测失败。

ls
cd objs/
\cp -f nginx /usr/local/nginx/sbin/	##复制覆盖文件，\表示告诉shell不要去查alias，直接执行原本的cp 
vim nginx.conf
nginx -t

需要将之前的设定注释或删掉，重新检测语法，并开启服务。

vim nginx.conf
///
http {
    upstream westos {
    sticky;
    server 172.25.254.2:80;
    server 172.25.254.3:80;
    #server localhost:80 backup;
///
nginx -t
nginx

五.nginx限流

nginx可以通过limit_conn_zone 和limit_req_zone两个组件对客户端访问目录和文件的访问频率和次数进行限制.

实验准备：先建立一个目录，下载一个图片，进行测试。

1.限制并发连接数

真机

使用ab命令做压力测试，设定总共有10个请求（-n），由10个用户（-c）并发来发送请求；
可以看到请求都成功处理。

ab -c10 -n 10 http://172.25.24.1/download/vim.jpg	##并发用户数为10，请求总数为10，失败0个

 cd /usr/local/nginx/conf/
vim nginx.conf
///
   #gzip  on;

    limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
...
    location /download/ {
            limit_conn addr 1;
    }
///
 nginx -s reload

$binary_remote_addr ：表示通过remote_addr这个标识来做限制
zone=addr:10m ：表示生成一个大小为10M，名字为addr的内存区域

设定客户端访问/download目录内容时，启用限制并发的模块；
limit_conn addr 1; 限制并发数为1

在真机进行压力测试,因为被限流，所以1个请求被拒

2.限制每秒请求

继续修改配置文件，设定 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
$binary_remote_addr 表示保存客户端IP地址的二进制形式；
rate=1r/s表示允许相同标识的客户端的访问频次，这里限制的是每秒1次请求；

limit_req的参数，zone=one 表示这个参数对应的全局设置就是one的那个内存区域

在真机可以看到只有一个请求被处理。
显然这样并不合适，请求仅限于符合limit_req_zone 指令中定义的速率。如果请求数量超过指定的速率并且共享内存区域已满，NGINX 将响应错误。由于流量往往是突发的，因此在流量突发期间返回错误以响应客户端请求并不是最好的情况。

排队(超过指定数量则排队访问)
将 limit_req 指令的burst参数设置等待以指定速率处理的最大请求数，超出zone限制的请求会被放入数目为5的队列中
虽然超过了所设置的只允许一秒一个请求，但可以被放入队列中，一秒处理一个，最后用了9秒处理完客户端的请求.

无延迟
nodelay表示不限制单个请求间的时间；
burst=5 nodelay：表示这5个请求立马处理，不能延迟，相当于特事特办。不过，即使这5个突发请求立马处理结束，后续来了请求也不会立马处理。
在真机中，执行压力测试，只能通过5个，其余被拒绝。

3.限制带宽

下载东西时看到的网速快慢，就是限制带宽。
由于图片的大小为444k，因为限制的速度为50k，所以一张图片请求大概需要8s，那么5次请求大概需要40秒左右。
压力测试
设定并发数为5，则可以8s处理完成

六.nginx配置管理

1.自动索引

客户端如果直接访问server1的nginx默认发布目录里的download目录，会报错
路径完整才可以成功访问。
编辑主配置文件，autoindex on：为download目录加入自动索引功能。
实现了download目录下的文件的自动索引.

2.缓存配置

Nginx expire缓存配置: 缓存可以降低网站带宽，加速用户访问，缓存365天；
html表示默认发布目录
在真机中，使用curl命令访问素材文件，可以看到缓存至2022年。

3.日志轮询

写一个shell脚本，脚本内容表示： 进入到nginx的日志目录，修改access.log名字为access_$(date +%F -d -1day).log；
kill -USR1 ：重新生成新的日志文件

cd /opt/	##第三方软件安装位置
vim nginx.sh
///
#!/bin/bash
cd /usr/local/nginx/logs && mv access.log access_$(date +%F -d -1day).log
kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
///

给脚本执行权限，执行脚本，切入到日志目录，产生日志。

chmod +x nginx.sh
./nginx.sh
cd /usr/local/nginx/logs/
ls --> access_2021-08-31.log	##生成日志

4.禁用不必要的日志记录

这样可以节省磁盘IO的消耗，设定访问图片等文件时，不记录日志，节省磁盘空间；
启用nginx status配置，设定只允许本机（server1）访问.

 cd ..(nginx)
cd conf/
vim nginx.conf
///
    location ~ .*\.(gif|jpg|png)$ {
            expires 365d;
            root html;
    }		##在这个位置的下面加入设定

    location /status {
            stub_status on;
            access_log off;
    }
///
nginx -t
nginx -s reload

此时在浏览器中访问该目录，在日志目录中不会生成日志记录。

但当在真机中使用curl命令访问该目录时，会产生日志文件。

5.站点目录和文件的限制

在配置文件中设定指定目录只能本机访问，拒绝其他所有请求。

cd conf/
vim nginx.conf
///
    location /status {
            stub_status on;
            access_log off;
            allow 127.0.0.1;
            deny all;
    }
///
nginx -t
nginx -s reload

注：172.0.0.1是回送地址，localhost是本地DNS解析的127.0.0.1的域名，在hosts文件里可以看到。
一般我们通过ping 127.0.0.1来测试本地网络是否正常。其实从127.0.0.1~127.255.255.255，这整个都是回环地址。

当在server1本机访问时，允许访问。

当在真机访问status目录时，拒绝访问，报错403，资源不可用，服务器理解客户的请求，但拒绝处理。

6.中文乱码

nginx默认不支持中文字符，在浏览器访问时，中文会变成乱码。
在nginx发布文件中加入一行中文，在浏览器中试访问，为乱码。

cd ..(nginx)
cd html/
vim index.html
///
helloworld
欢迎
 ///

#在浏览器访问时中文是乱码
但是在server1本机中，可以使用curl命令查看本地的发布文件，是可以正常显示中文的。
编辑配置文件，设定nginx支持中文字符，并重启服务。

此时在浏览器中访问172.25.24.1，可以看到中文正常显示。
在真机中对server1主机进行地址解析，使用curl命令访问时，也可以看到发布文件。

七.nginx重定向

1.防止域名恶意解析到服务器IP

拒绝访问，报错500
切入配置目录，编辑配置文件，设定在访问本机时，返回500，重启服务。此时使用curl命令访问本机，会显示http报错500。

cd /usr/local/nginx/conf/
vim nginx.conf
///
server {
    listen       80;
    server_name  localhost;
    return 500;
///
nginx -s reload
curl -I localhost	##HTTP/1.1 500 Internal Server Error

将所有访问重定向至指定域名
设定将所有访问请求重定向至指定域名，重启服务。此时使用curl命令访问本机，会显示访问地址为http://www.westos.org。

HTTP状态的码301： 301 代表永久性转移(Permanently Moved)
网页测试，输入172.5.254.1回车重定向到www.westos.org

2.端口重定向

80端口重定向到443端口，修改配置文件，设定需要被加密的网址；
设定证书和密钥都为cert.pem，

vim nginx.conf
///
server {
    listen       443 ssl;
    server_name  www.westos.org;

    ssl_certificate      cert.pem;
    ssl_certificate_key  cert.pem;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root   html;
        index  index.html index.htm;
    }
}
server {
    listen 80;
    server_name www.westos.org;

    rewrite ^/(.*)$ https://www.westos.org/$1 permanent;
    #location / {
    #       proxy_pass http://westos;
    #        }
    }
 ///

加入重定向
生成证书，并移动到配置目录中，检测语法，重启服务。此时检测端口。

 cd /etc/pki/tls/certs
 make cert.pem		##生成证书
 mv cert.pem /usr/local/nginx/conf
nginx -t
nginx -s reload
netstat -antlup | grep 443

查看443端口已经打开
访问测试：发现成功对地址进行了加密

网页测试

3.虚拟主机重定向

www.westos.org 重定向bbs.westos.org

设定基于域名的虚拟主机部分：
server_name bbs.westos.org; 域名
root /bbs; 站点根目录，即网站程序放的目录
location / { 默认访问的location标签段
index index.html; 首页
}
在 /html/下建立bbs目录;给index.html文件写入内容
在配置文件nginx.conf加入重定向：当客户端访问www.westos.org/bbs时，重定向到bbs.westos.org
刷新服务后，访问测试，可以看到重定向成功.

cd ..(nginx)
cd html
mkdir bbs
mv bbs/ /
vim nginx.conf
///
server {    
    listen 80;
    server_name www.westos.org;
    
    #rewrite ^/(.*)$ https://www.westos.org/$1 permanent;
    rewrite ^/bbs$ http://bbs.westos.org permanent;		
    ##^/bbs$表示匹配以/开头，bbs结尾，，比如www.westos.org/bbs，如果后加其他url，则不能重定向
    rewrite ^/(.*)$ http://bbs.westos.org/$1 permanent;
    ##^/(.*)$表示匹配以/开头，$结尾，后面可以加url，比如www.westos.org/bbs/bbs.html
 
    #location / {
    #       proxy_pass http://westos;
    #       }
    }
server {
    listen 80;
    server_name bbs.westos.org;

    location / {
            root /bbs;
    index index.html;
            }
    }
///
nginx -s reload

真机测试

网页测试

bbs.westos.org 重定向www.westos.org
设定网页根目录位于 /bbs；站点根目录位于 html下的bbs；加入重定向策略
将/bbs目录的内容，复制到nginx的html目录

vim nginx.conf
///
server {    
    listen 80;
    server_name www.westos.org;
    
    #rewrite ^/(.*)$ https://www.westos.org/$1 permanent;
    #rewrite ^/bbs$ http://bbs.westos.org permanent;
    #rewrite ^/(.*)$ http://bbs.westos.org/$1 permanent;
 
if ($host = "bbs.westos.org") {
	rewrite ^/(.*)$ http://www.westos.org/bbs/$1 permanent;
    }
#server {		##全部注释
#      listen 80;
#        server_name bbs.westos.org;
#
#        location / {
#                root /bbs;
#             index index.html;
#                }
#        }
   ///
nginx -s reload

在真机先做地址解析,然后查看

网页测试

八.防盗链

在server2的nginx默认发布目录创建一个盗链文件

server2

cd /usr/local/nginx/html
vim test.html		##盗链文件，盗取server1主机的图片

///
<html>
<body>
<img src = "http://www.westos.org/download/vim.jpg">
</body>
</html>
 ///

此时在真机浏览器中可以直接访问server1的图片，也可以也可以通过访问server2，访问到server1主机的图片
设定防盗链
在server1的配置文件中设定当被访问时，返回403报错或者显示指定防盗链图片，重启服务。

###server1
vim nginx.conf
///
server {
listen 80;
server_name     www.westos.org;
       location ~ \.(jpg|png)$ {
        valid_referers none blocked www.westos.org;
        if ($invalid_referer) {
                #return 403;		##返回403
                rewrite ^/ http://172.25.24.1/daolian.jpg;		##显示指定图片
                  }
      	   }
///
nginx -s reload

此时server2访问原本的盗链文件时会显示盗链