【运维】nginx配置详细解析

淩亂°似流年 2024-04-26 10:49 112阅读 0赞

如果访问Nginx时出现502 Bad Gateway错误，则可能是Nginx主机上的SELinux限制了其使用http访问权限引起的，输入命令setsebool -P httpd\_can\_network\_connect 1 开启权限即可。

## 一、nginx介绍 ##

Nginx 是一个高性能的 Web 服务器和反向代理服务器，也被广泛用作邮件代理服务器、负载均衡器以及HTTP缓存。在使用 Nginx 时，掌握其配置文件的结构和常用配置指令非常重要。下面将对 Nginx 配置进行全面的解析。

## 二、nginx 基础配置 ##

--------------------

基本结构  
Nginx 的配置文件通常位于 `/etc/nginx/nginx.conf`。配置文件的基本结构包括几个主要部分：`main`、`events`、`http`、`server` 和 `location`。

*  `main`: 这部分包含了全局设置，比如用户权限、日志文件路径和进程数。
 *  `events`: 这部分设置影响 Nginx 服务器与客户端的网络连接。
 *  `http`: 包含了HTTP服务器的高级配置，比如 MIME 类型、日志格式、虚拟主机（server块）等。
 *  `server`: 这部分定义虚拟服务器的配置，通常包括监听的端口、服务器名和位置块。
 *  `location`: 定义请求的路由以及如何处理这些请求。

在项目使用中，使用最多的三个核心功能是反向代理、负载均衡和静态服务器

这三个不同的功能的使用，都跟nginx的配置密切相关，nginx服务器的配置信息主要集中在 nginx.conf 这个配置文件中，并且所有的可配置选项大致分为以下几个部分

main                                  # 全局配置
    
    events {
                                      # nginx工作模式配置
    
    }
    
    http {
                                        # http设置
        ....
    
        server {
                                  # 服务器主机配置  核心
            ....
            location {
                            # 路由配置  核心
                ....
            }
    
            location path {
        
                ....
            }
    
            location otherpath {
        
                ....
            }
        }
    
        server {
        
            ....
    
            location {
        
                ....
            }
        }
    
        upstream name {
                            # 负载均衡配置   核心
            ....
        }
    }

### 1、main 模块 ###

观察下面的配置

# user nobody nobody;
    worker_processes 2;
    # worker_processes auto;
    # error_log logs/error.log
    # error_log logs/error.log notice
    # error_log logs/error.log info
    # pid logs/nginx.pid
    worker_rlimit_nofile 1024;

上述配置都是存放 main全局配置模块中的配合项

*  user用来指定nginx worker进程运行用户以及用户组，默认nobody账号运行
 *  worker\_processes指定nginx要开启的子进程数量，运行过程中监控每个进程消耗内存(一般几M~几十M不等)根据实际情况进行调整，通常数量是CPU内核数量的整数倍，不知道配多大可以配置为自动 auto
 *  error\_log定义错误日志文件的位置及输出级别【debug / info / notice / warn / error / crit】
 *  pid 用来指定经常id的存储文件的位置
 *  worker\_rlimit\_nofile 用来指定一个进程可以打开最多文件数量的描述

#### 2、events 模块 ####

event {
        
        worker_connections 1024;
        multi_accept on;
        use epoll;
    }

上述配置针对 nginx服务器的工作模式的一些操作配置

*  worker\_connections 指定最大可以同时接受的连接数量，这里一定要注意，最大的连接数量是和 worker\_processes工程决定的
 *  multi\_accept 配置指定 nginx在收到一个新连接通知后尽可能多的接受更多的连接
 *  use epoll 配置指定了线程轮询的方法，如果是 linux2.6+，使用epoll，如果是BSD如Mac请使用Kqueue

### 3、http 模块(核心配置) ###

作为 web服务器，http模块是nginx最核心的一个模块，配置项也是比较多的，项目中会设置到很多的实际业务场景，需要根据硬件信息进行适当的配置，常规情况下，使用默认配置即可！

http {
        
        ##
        # 基础配置
        ##
    
        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        keepalive_timeout 65;
        types_hash_max_size 2048;
        # server_tokens off;
    
        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;
    
        include /etc/nginx/mime.types;
        default_type application/octet-stream;
    
        ##
        # SSL证书配置
        ##
    
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;
    
        ##
        # 日志配置
        ##
    
        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;
    
        ##
        # Gzip 压缩配置
        ##
    
        gzip on;
        gzip_disable "msie6";
    
        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
    
        ##
        # 虚拟主机配置
        ##
    
        include /etc/nginx/conf.d/*.conf;  # 顾名思义，就是包含该目录下的所有配置文件，这个也是核心配置，通常这个目录下包含了server模块相关的配置
        include /etc/nginx/sites-enabled/*;

#### 3.1、基础配置 ####

sendfile on：配置on让sendfile发挥作用，将文件的回写过程交给数据缓冲去去完成，而不是放在应用中完成，这样的话在性能提升有有好处
    tc_nopush on：让nginx在一个数据包中发送所有的头文件，而不是一个一个单独发
    tcp_nodelay on：让nginx不要缓存数据，而是一段一段发送，如果数据的传输有实时性的要求的话可以配置它，发送完一小段数据就立刻能得到返回值，但是不要滥用哦
    
    keepalive_timeout 10：给客户端分配连接超时时间，服务器会在这个时间过后关闭连接。一般设置时间较短，可以让nginx工作持续性更好
    client_header_timeout 10：设置请求头的超时时间
    client_body_timeout 10:设置请求体的超时时间
    send_timeout 10：指定客户端响应超时时间，如果客户端两次操作间隔超过这个时间，服务器就会关闭这个链接
    
    limit_conn_zone $binary_remote_addr zone=addr:5m ：设置用于保存各种key的共享内存的参数，
    limit_conn addr 100: 给定的key设置最大连接数
    
    server_tokens：虽然不会让nginx执行速度更快，但是可以在错误页面关闭nginx版本提示，对于网站安全性的提升有好处哦
    include /etc/nginx/mime.types：指定在当前文件中包含另一个文件的指令
    default_type application/octet-stream：指定默认处理的文件类型可以是二进制
    type_hash_max_size 2048：混淆数据，影响三列冲突率，值越大消耗内存越多，散列key冲突率会降低，检索速度更快；值越小key，占用内存较少，冲突率越高，检索速度变慢

##### 3.2、日志配置 #####

access_log logs/access.log：设置存储访问记录的日志
    error_log logs/error.log：设置存储记录错误发生的日志

##### SSL 证书配置 #####

ssl_protocols：指令用于启动特定的加密协议，nginx在1.1.13和1.0.12版本后默认是ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2，TLSv1.1与TLSv1.2要确保OpenSSL >= 1.0.1 ，SSLv3 现在还有很多地方在用但有不少被攻击的漏洞。
    ssl prefer server ciphers：设置协商加密算法时，优先使用我们服务端的加密套件，而不是客户端浏览器的加密套件

##### 压缩配置 #####

gzip 是告诉nginx采用gzip压缩的形式发送数据。这将会减少我们发送的数据量。
    gzip_disable 为指定的客户端禁用gzip功能。我们设置成IE6或者更低版本以使我们的方案能够广泛兼容。
    gzip_static 告诉nginx在压缩资源之前，先查找是否有预先gzip处理过的资源。这要求你预先压缩你的文件（在这个例子中被注释掉了），从而允许你使用最高压缩比，这样nginx就不用再压缩这些文件了（想要更详尽的gzip_static的信息，请点击这里）。
    gzip_proxied 允许或者禁止压缩基于请求和响应的响应流。我们设置为any，意味着将会压缩所有的请求。
    gzip_min_length 设置对数据启用压缩的最少字节数。如果一个请求小于1000字节，我们最好不要压缩它，因为压缩这些小的数据会降低处理此请求的所有进程的速度。
    gzip_comp_level 设置数据的压缩等级。这个等级可以是1-9之间的任意数值，9是最慢但是压缩比最大的。我们设置为4，这是一个比较折中的设置。
    gzip_type 设置需要压缩的数据格式。上面例子中已经有一些了，你也可以再添加更多的格式。

##### 文件缓存配置 #####

open_file_cache 打开缓存的同时也指定了缓存最大数目，以及缓存的时间。我们可以设置一个相对高的最大时间，这样我们可以在它们不活动超过20秒后清除掉。
    open_file_cache_valid 在open_file_cache中指定检测正确信息的间隔时间。
    open_file_cache_min_uses 定义了open_file_cache中指令参数不活动时间期间里最小的文件数。
    open_file_cache_errors 指定了当搜索一个文件时是否缓存错误信息，也包括再次给配置中添加文件。我们也包括了服务器模块，这些是在不同文件中定义的。如果你的服务器模块不在这些位置，你就得修改这一行来指定正确的位置。

### 4、server 模块(核心) ###

server模块配置是http模块配置中的一个子模块，用来定义一个虚拟访问主机，也就是一个虚拟服务器的配置信息

server {
        
        listen        80;
        server_name localhost 192.168.1.104 http://test.com;
        root        /nginx/www;
        index        index.php index.html index.html;
        charset        utf-8;
        access_log    logs/access.log;
        error_log    logs/error.log;
        
        location / {
        
            ......
        }
        ......
    }

核心配置信息如下：

*  server：一个虚拟主机的配置，一个http中可以配置多个server
 *  server\_name：用于指定 ip地址或者域名，多个配置之间用空格分隔
 *  root：表示整个server虚拟主机内的根目录，所有当前主机中web项目的根目录
 *  index：用户访问 web网站时的全局首页
 *  charset：用于设置www/路径中配置的网页的默认编码格式
 *  access\_log：用于指定该虚拟主机服务器中的访问记录日志存放路径
 *  error\_log：用于指定该虚拟主机服务器中访问错误日志的存放路径

### 5、location 模块(核心) ###

location模块是nginx配置中出现最多的一个配置，主要用于配置路由访问信息，是server模块的一个子模块

在路由访问信息配置中关联到反向代理、负载均衡等功能，所以location模块也是一个非常重要的配置模块

##### 基本配置 #####

location / {
        
        root    /nginx/www;
        index    index.php index.html index.htm;
    }

*  location /：表示匹配访问根目录，这里 / 可以使用正则表达式替换
 *  root：用于指定访问根目录时，访问虚拟主机的web目录
 *  index：在不指定访问具体资源时，默认展示的资源文件列表

##### 反向代理配置方式 #####

通过方向代理服务器访问模式，通过proxy\_set 配置让客户端访问透明化

location / {
        
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header REMOTE-HOST $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://upstream_name; #与upstream模块的配置同名
    }

##### uwsgi配置(这个不太了解) #####

wsgi模式下的服务器配置访问方式

location / {
        
        include uwsgi_params;
        uwsgi_pass localhost:8888
    }

### 6、upstream 模块(核心) ###

upstream模块主要负责负载均衡的配置，通过默认的轮询调度方式来分发请求到后端服务器

upstream name {
        
        ip_hash;
        server 192.168.1.100:8000;
        server 192.168.1.100:8001 down;
        server 192.168.1.100:8002 max_fails=3;
        server 192.168.1.100:8003 fail_timeout=20s;
        server 192.168.1.100:8004 max_fails=3 fail_timeout=20s;
    }

核心配置信息如下

*  ip\_hash：指定请求调度算法，默认是weight权重轮询调度，可以指定
 *  server host:port ：分发服务器的列表配置
 *  – down：表示该主机暂停服务
 *  – max\_fails：表示失败最大次数，超过失败最大次数暂停服务
 *  – fail\_timeout：表示如果请求受理失败，暂停指定的时间之后重新发起请求
 *  – weight：设置服务器的转发权重，默认值是1
 *  – backup：表示使 ip\_hash设置的针对这台服务器无效，只有在所有非备份的服务器都失效后，才会向服务器转发请求

ip\_hash 设置是在集群的服务器中，如果同一个客户端请求转发到多个服务器上，每台服务器可能缓存同一份信息，这会造成资源的浪费，采用的ip\_hash设置会把同一个客户端第二次请求相同的信息时，会转发到第一次请求的服务器端。但ip\_hash不能和weight 同时使用。

> nginx基础配置参考：https://www.cnblogs.com/zhouxinfei/p/7862285.html

## nginx 配置静态资源服务器 ##

--------------------

动静分离的配置主要修改的地方就是 location模块，其中需要特别留意的配置就是静态资源存放的路径，

location / {
        
                proxy_next_upstream http_502 http_504 error timeout invalid_header;
                proxy_pass http://mycluster;
                # 真实的clientIP
                proxy_set_header   X-Real-IP        $remote_addr; 
                # 请求头中Host信息
                proxy_set_header   Host             $host; 
                # 代理路由信息，此处取IP有安全隐患
                proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
                # 真实的用户訪问协议
                proxy_set_header   X-Forwarded-Proto $scheme;
        }
        
        #静态文件交给nginx处理
        location ~ .*\.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$
        {
        
                root /usr/local/webapps;
                expires 30d; # 过期时间为30天
        }
        
        #静态文件交给nginx处理
        location ~ .*\.(js|css)$
        {
        
                root /usr/local/webapps;
                expires 1h; # 过期时间为1小时
        }
        error_page   500 502 503 504  /50x.html;  
    
        location = /50x.html {
        
            root   html;
        }

## nginx 配置https访问协议 ##

[证书安装][Link 1]

[https配置参考][https]

[https://blog.csdn.net/newtelcom/article/details/50782950][https_blog.csdn.net_newtelcom_article_details_50782950]

[Keepalived+Nginx实现双主高可用][Keepalived_Nginx]

[Link 1]: https://blog.csdn.net/u013378306/article/details/51405317
[https]: https://blog.csdn.net/vfush/article/details/51086274
[https_blog.csdn.net_newtelcom_article_details_50782950]: https://blog.csdn.net/newtelcom/article/details/50782950
[Keepalived_Nginx]: https://blog.csdn.net/lexang1/article/details/52386909