一、高级功能
1、nginx跨域
在http { server { ...} } 中添加
#允许跨域请求的域,*代表所有
add_header 'Access-Control-Allow-Origin' *;
#允许带上cookie请求
add_header 'Access-Control-Allow-Credentials' 'true';
#允许请求的方法,比如 GET/POST/PUT/DELETE
add_header 'Access-Control-Allow-Methods' *;
#允许请求的header
add_header 'Access-Control-Allow-Headers' *;
2、nginx防盗链
在http { server { ...} } 中添加
#对源站点验证
valid_referers *.imooc.com;
#非法引入会进入下方判断
if ($invalid_referer) {
return 404;
}
3、nginx压缩静态文件
在 http{...} 模块中添加
#开启gzip,减少我们发送的数据量
gzip on;
#大于1k后开始压缩
gzip_min_length 1k;
#4个单位为16k的内存作为压缩结果流缓存
gzip_buffers 4 16k;
#gzip压缩比,可在1~9中设置,1压缩比最小,速度最快,9压缩比最大,速度最慢,消耗CPU
gzip_comp_level 5;
#压缩的类型
gzip_types application/javascript text/plain text/css application/json application/xml text/javascript;
#给代理服务器用的,有的浏览器支持压缩,有的不支持,所以避免浪费不支持的也压缩,所以根据客户端的HTTP头来判断,是否需要压缩
gzip_vary on;
#禁用IE6以下的gzip压缩,IE某些版本对gzip的压缩支持很不好
gzip_disable "MSIE [1-6].";
4、配置https
- 在对应的域名注册服务商(阿里云、腾讯云等)处获取ssl证书信息
- 在下载到的ssl证书中获取nginx相关证书(包含两个文件:.key 和 .pom)
- 将对应的nginx证书上传到nginx所在服务的特定位置(如:/usr/loca/nginx/cert)
- 配置nginx(http默认端口为:80,https默认端口为:443)
server {
listen 443;
server_name www.test.com;
# 开启ssl
ssl on;
# 配置ssl证书
ssl_certificate /usr/local/nginx/cert/214806751670884.pem;
# 配置证书秘钥
ssl_certificate_key /usr/local/nginx/cert/214806751670884.key;
# ssl会话cache
ssl_session_cache shared:SSL:1m;
# ssl会话超时时间
ssl_session_timeout 5m;
# 配置加密套件,写法遵循 openssl 标准
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location ~* \.(txt)$ {
root public;
}
location / {
proxy_pass http://127.0.0.1:8011;
}
}
- 如果进行完上述操作之后,发现启动nginx说咩有ssl模块,是因为在安装nginx时,没有安装ssl模块,使用命令安装即可
进入到nginx安装包目录下,依次执行一下命令
./configure \
--prefix=/usr/local/nginx \
--pid-path=/var/run/nginx/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/temp/nginx/client \
--http-proxy-temp-path=/var/temp/nginx/proxy \
--http-fastcgi-temp-path=/var/temp/nginx/fastcgi \
--http-uwsgi-temp-path=/var/temp/nginx/uwsgi \
--http-scgi-temp-path=/var/temp/nginx/scgi \
--with-http_ssl_module
make
make install
二、负载均衡
1、基本配置
- upstream
nginx 主要用于七层负载均衡
在http { ... } 中添加
# worker进程设置1个,便于测试观察成功的连接数
worker_processes 1;
upstream tomcats {
server 192.168.1.173:8080;
server 192.168.1.174:8080;
server 192.168.1.175:8080;
}
# 监听地址
server {
listen 80;
server_name www.test.com;
location / {
# 指向上面配置的upstream
proxy_pass http://tomcats;
}
}
2、upstream下相关指令
- weight
权重,设置用户访问时,每台服务器被请求的权重信息,默认为1,
upstream tomcats {
server 192.168.1.173:8080 weight=2;
server 192.168.1.174:8080 weight=4;
server 192.168.1.175:8080 weight=5;
}
- max_conns
限制每台server的连接数,防止过载,可起到限流作用
# worker进程设置1个,便于测试观察成功的连接数
worker_processes 1;
upstream tomcats {
server 192.168.1.173:8080 max_conns=2;
server 192.168.1.174:8080 max_conns=2;
server 192.168.1.175:8080 max_conns=2;
}
- slow_start
- 只有商业版的可以使用
- 必须是两台及以上服务器才可使用
- 必须配置权重信息weight才可使用
设置服务器权重从0恢复到标准值的时间,默认为0,缓慢的恢复
upstream tomcats {
server 192.168.1.173:8080 weight=2 slow_start = 60s;
server 192.168.1.174:8080;
server 192.168.1.175:8080 weight=5;
}
- down
被标记的服务节点不可用
upstream tomcats {
# 不可使用
server 192.168.1.173:8080 down;
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=1;
}
- backup
表示该服务器节点为备用机,只有其他的服务器都不可用(如全部宕机)后,才可以被访问
upstream tomcats {
# 备用机
server 192.168.1.173:8080 backup;
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=1;
}
- max_fails 、fail_timeout
两个指令必须配合使用
max_fails 表示失败几次几次后,就将该服务器节点标记为宕机,剔除集群上游服务器
fail_timeout 表示被max_fails标记为宕机后,多长时间之后再去尝试请求该服务器节点,如果依然失败,则重复上述操作
upstream tomcats {
server 192.168.1.173:8080 max_fails=2 fail_timeout=15s;
server 192.168.1.174:8080 weight=1;
server 192.168.1.175:8080 weight=1;
}
3、keepalive
- keepalive
设置长连接处理的数量
- proxy_http_version
设置长连接http的版本信息,proxy_http_version 1.1;
- proxy_set_header
清楚connection header信息
upstream tomcats {
server 192.168.1.190:8080;
keepalive 32;
}
server {
listen 80;
server_name www.tomcats.com;
location / {
proxy_pass http://tomcats;
proxy_http_version 1.1;
proxy_set_header Connection "";
}
}
4、ip_hash
ip_hash 可以保证用户访问可以请求到上游服务中的固定的服务器,前提是用户ip没有发生更改
注意:使用ip_hash后,如果想要停用某个服务器节点,不可直接移除后台服务器,必须使用down,否则hash算法将失效,进行重新计算(通过ip的前三位计算 192.0.1),影响用户使用
官方文档:
http://nginx.org/en/docs/http/ngx_http_upstream_module.html#ip_hash
upstream tomcats {
ip_hash;
server 192.168.1.173:8080;
server 192.168.1.174:8080 down;
server 192.168.1.175:8080;
}
5、url_hash、least_conn
根据用户请求的url地址,进行hash后访问固定的服务器节点
upstream tomcats {
# url hash
hash $request_uri;
# 最少连接数
# least_conn
server 192.168.1.173:8080;
server 192.168.1.174:8080;
server 192.168.1.175:8080;
}
server {
listen 80;
server_name www.tomcats.com;
location / {
proxy_pass http://tomcats;
}
}
三、nginx缓存控制
- expires
expires 命令控制一下浏览器的缓存,主要是针对一些静态资源
1、浏览器缓存
- 浏览器缓存是缓存在用户本地
- 用于加速用户访问,提升单个用户体验(浏览器访问者)
2、nginx缓存
- nginx缓存是缓存在nginx端
- 提升所有访问到nginx端的用户体验
- 提升上游upstream各个服务器节点的速度
- 用户访问仍然会产生请求流量
3、nginx缓存控制
- 控制浏览器缓存
在具体的 location 中配置
location /files {
alias /home/imooc;
# 允许浏览器缓存该资源10s
# expires 10s;
# @表示在指定时间点后缓存过期
# expires @22h30m;
# 在之前1h就已经过期了,既不进行缓存
# expires -1h;
# 有缓存,但不使用缓存
# expires epoch;
# 关闭缓存,默认为关闭
# expires off;
# 最大时间,永不过期
expires max;
}
- 控制上游服务器节点缓存
需先在http中配置配置缓存的基本信息
在到对应的location中进行配置
# proxy_cache_path 设置缓存目录
# keys_zone 设置共享内存以及占用空间大小
# max_size 设置缓存大小
# inactive 超过此时间则被清理
# use_temp_path 临时目录,使用后会影响nginx性能
proxy_cache_path /usr/local/nginx/upstream_cache keys_zone=mycache:5m max_size=1g inactive=1m use_temp_path=off;
location / {
proxy_pass http://tomcats;
# 启用缓存,和keys_zone一致
proxy_cache mycache;
# 针对200和304状态码缓存时间为8小时
proxy_cache_valid 200 304 8h;
}
