nginx
- Установить
- сервисная архитектура nginx
- пример конфигурационного файла nginx
-
основные директивы конфигурации сервера nginx
- Структура файла nginx.conf
- nginx запускает соответствующий раздел Global
- события, связанные с сетевым подключением пользователя
-
http
- http Global Proxy - Кэш - Журнал - Конфигурация стороннего модуля
-
server
- Настроить мониторинг сети
- Конфигурация виртуального хоста на основе имени
- Настроить https-сертификат
- Конфигурация виртуального хоста на основе IP
- Настройте блок местоположения
- [root] Корневой каталог запроса конфигурации
- [псевдоним] Изменить URI местоположения
- Установить домашнюю страницу по умолчанию для веб-сайта
- Настройте страницы ошибок для своего сайта
- Настройте права доступа nginx на основе IP
- Настройте права доступа nginx на основе пароля
- применение
Установить
Установить зависимости
Перед установкой nginx убедитесь, что в системе установлены программные библиотеки gcc, openssl-devel, pcre-devel и zlib-devel.
- gcc можно установить прямо с компакт-диска
- openssl-devel, zlib-devel можно установить прямо с компакт-диска, используется https
- pcre-devel устанавливает библиотеку pcre, чтобы nginx мог поддерживать модуль HTTP Rewrite.
скачать
Скомпилируйте и установите
Загрузите последнюю стабильную версию на странице загрузки выше.
#wget http://nginx.org/download/nginx-1.8.0.tar.gz
#tar xzvf nginx-1.8.0.tar.gz
#cd nginx-1.8.0
#./configure --prefix=/opt/X_nginx/nginx --with-http_ssl_module
#make && sudo make install
- --prefix=/opt/X_nginx/каталог установки nginx
- --with-http_ssl_module добавить поддержку https
Скомпилируйте модуль ssl статически во время компиляции
./configure --prefix=/opt/X_nginx/nginx \
--with-openssl=../openssl-1.0.2l \
--with-zlib=../zlib-1.2.11 \
--with-pcre=../pcre-8.41 \
--with-http_ssl_module
сервисная архитектура nginx
Модульная структура
Разработка сервера nginx
完全Следуйте идее модульного дизайна
Модульная разработка
- Принцип единой ответственности, модуль отвечает только за одну функцию
- Разложите программу сверху вниз и уточняйте ее шаг за шагом
- Высокая сплоченность, низкая связанность
Модульная структура nginx
- Основной модуль: самые основные и основные службы nginx, такие как управление процессами, контроль разрешений и ведение журнала;
- Стандартный HTTP-модуль: стандартная HTTP-функциональность сервера nginx;
- Дополнительный HTTP-модуль: обработка специальных HTTP-запросов.
- Модуль почтовой службы: Почтовая служба
- Сторонние модули: как расширения, дополняют специальные функции
Манифест модуля nginx
-
основной модуль
- ngx_core
- ngx_errlog
- ngx_conf
- ngx_events
- ngx_event_core
- ngx_epll
- ngx_regex
-
Стандартный HTTP-модуль
- ngx_http
- ngx_http_core #Настроить порт, анализ URI, обработку ошибок, соответствующую серверу, управление псевдонимом (псевдонимом) и т. д.
- ngx_http_log # пользовательский журнал доступа
- ngx_http_upstream #Определить набор серверов, которые могут принимать перенаправления с прокси, Fastcgi, Memcache; в основном используется для балансировки нагрузки
- ngx_http_static
- ngx_http_autoindex # Автоматически генерировать списки каталогов
- ngx_http_index #Обработка в
/В конце запроса, если индексная страница не найдена, проверьте, включена ли она.random_index; если включено, используйте его, иначе используйте автоиндекс - ngx_http_auth_basic # HTTP-аутентификация (auth_basic)
- ngx_http_access # Контроль доступа на основе IP-адреса (запретить, разрешить)
- ngx_http_limit_conn # Ограничить скорость ответа и обработки соединений от клиентов
- ngx_http_limit_req # Ограничить скорость ответа и обработки запросов от клиентов
- ngx_http_geo
- ngx_http_map # Создание произвольных парных переменных ключ-значение
- ngx_http_split_clients
- ngx_http_referer # Фильтровать объекты, у которых Referer пуст в заголовке HTTP
- ngx_http_rewrite #Перенаправлять запросы через регулярные выражения
- ngx_http_proxy
- ngx_http_fastcgi # поддержка fastcgi
- ngx_http_uwsgi
- ngx_http_scgi
- ngx_http_memcached
- ngx_http_empty_gif #Создаем из памяти прозрачное gif-изображение размером 1×1, которое можно быстро вызывать
- ngx_http_browser # Анализировать значение User-Agent заголовка http-запроса
- ngx_http_charset #Указать кодировку веб-страницы
- ngx_http_upstream_ip_hash
- ngx_http_upstream_least_conn
- ngx_http_upstream_keepalive
- ngx_http_write_filter
- ngx_http_header_filter
- ngx_http_chunked_filter
- ngx_http_range_header
- ngx_http_gzip_filter
- ngx_http_postpone_filter
- ngx_http_ssi_filter
- ngx_http_charset_filter
- ngx_http_userid_filter
- ngx_http_headers_filter # Установить заголовок ответа http
- ngx_http_copy_filter
- ngx_http_range_body_filter
- ngx_http_not_modified_filter
-
Дополнительный HTTP-модуль
- ngx_http_addition #Добавить текстовую информацию в начало или конец страницы в ответ на запрос
- ngx_http_degradation # Разрешить серверу возвращать ошибки 444 или 204 в условиях нехватки памяти
- ngx_http_perl
- ngx_http_flv # Поддерживает передачу мультимедийной информации Flash в виде потоковых файлов и может возвращать Flash в соответствии с начальной позицией, указанной клиентом.
- ngx_http_geoip #Поддержка анализа клиентских запросов на основе базы данных GeoIP
- ngx_google_perftools
- ngx_http_gzip #gzip ответ на сжатый запрос
- ngx_http_gzip_static #Искать и использовать предварительно сжатые файлы с суффиксом .gz вместо обычных файлов для ответа на запросы клиентов
- ngx_http_image_filter # Поддержка изменения размера и направления вращения изображений png, jpeg, gif
- ngx_http_mp4 #Поддержка .mp4, .m4v, .m4a и другой передачи мультимедийной информации в соответствии с потоковыми файлами, часто используется вместе с ngx_http_flv
- ngx_http_random_index #При получении запроса, оканчивающегося на /, случайным образом выбрать файл в указанном каталоге в качестве индекса
- ngx_http_secure_link # Поддержка проверки правильности ссылки запроса
- ngx_http_ssl # поддержка https
- ngx_http_stub_status
- ngx_http_sub_module #Используйте указанную строку для замены информации в ответе
- ngx_http_dav #Поддержка методов PUT/DELETE/MKCOL/COPY/MOVE в протоколах HTTP и WebDAV
- ngx_http_xslt # Преобразование информации ответа XML с помощью XSLT
-
Модуль почтового сервиса
- ngx_mail_core
- ngx_mail_pop3
- ngx_mail_imap
- ngx_mail_smtp
- ngx_mail_auth_http
- ngx_mail_proxy
- ngx_mail_ssl
-
сторонние модули
- echo-nginx-module #Поддержка команд оболочки, таких как echo/sleep/time/exec, в файлах конфигурации nginx
- memc-nginx-module
- rds-json-nginx-module # Включить nginx для поддержки обработки данных json
- lua-nginx-module
механизм обработки веб-запросов nginx
Как серверное программное обеспечение, оно должно иметь возможность обрабатывать запросы от нескольких клиентов параллельно.Существует три основных способа работы:
- Многопроцессорность (Apache)
- Плюсы: простой дизайн и реализация, независимость от подпроцессов.
- Недостатки: создание дочернего процесса требует копирования памяти, что приводит к дополнительным затратам ресурсов и времени.
- Многопоточность (IIS)
- Преимущество: низкая стоимость
- Недостатки: разработчикам нужно самим управлять памятью, потоки будут влиять друг на друга
- Асинхронный режим (nginx)
Часто говорят о понятии асинхронной неблокировки, которое содержит два значения:
Режим связи: + Синхронизация: после отправки запроса отправитель ожидает и принимает ответ от другой стороны перед отправкой следующего запроса. + Асинхронный: после того, как отправитель отправит запрос, ему не нужно ждать, и он отправляет следующий запрос напрямую
пример конфигурационного файла nginx
#定义 nginx 运行的用户和用户组
user www www;
#nginx 进程数,建议设置为等于 CPU 总核心数。
worker_processes 8;
#nginx 默认没有开启利用多核 CPU, 通过增加 worker_cpu_affinity 配置参数来充分利用多核 CPU 以下是 8 核的配置参数
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
#全局错误日志定义类型,[ debug | info | notice | warn | error | crit ]
error_log /var/log/nginx/error.log info;
#进程文件
pid /var/run/nginx.pid;
#一个 nginx 进程打开的最多文件描述符数目,理论值应该是最多打开文件数(系统的值 ulimit -n)与 nginx 进程数相除,但是 nginx 分配请求并不均匀,所以建议与 ulimit -n 的值保持一致。
worker_rlimit_nofile 65535;
#工作模式与连接数上限
events
{
#参考事件模型,use [ kqueue | rtsig | epoll | /dev/poll | select | poll ]; epoll 模型是 Linux 2.6 以上版本内核中的高性能网络 I/O 模型,如果跑在 FreeBSD 上面,就用 kqueue 模型。
#epoll 是多路复用 IO(I/O Multiplexing) 中的一种方式,但是仅用于 linux2.6 以上内核,可以大大提高 nginx 的性能
use epoll;
############################################################################
#单个后台 worker process 进程的最大并发链接数
#事件模块指令,定义 nginx 每个进程最大连接数,默认 1024。最大客户连接数由 worker_processes 和 worker_connections 决定
#即 max_client=worker_processes*worker_connections, 在作为反向代理时:max_client=worker_processes*worker_connections / 4
worker_connections 65535;
############################################################################
}
#设定 http 服务器
http {
include mime.types; #文件扩展名与文件类型映射表
default_type application/octet-stream; #默认文件类型
#charset utf-8; #默认编码
server_names_hash_bucket_size 128; #服务器名字的 hash 表大小
client_header_buffer_size 32k; #上传文件大小限制
large_client_header_buffers 4 64k; #设定请求缓
client_max_body_size 8m; #设定请求缓
sendfile on; #开启高效文件传输模式,sendfile 指令指定 nginx 是否调用 sendfile 函数来输出文件,对于普通应用设为 on,如果用来进行下载等应用磁盘 IO 重负载应用,可设置为 off,以平衡磁盘与网络 I/O 处理速度,降低系统的负载。注意:如果图片显示不正常把这个改成 off。
autoindex on; #开启目录列表访问,合适下载服务器,默认关闭。
tcp_nopush on; #防止网络阻塞
tcp_nodelay on; #防止网络阻塞
##连接客户端超时时间各种参数设置##
keepalive_timeout 120; #单位是秒,客户端连接时时间,超时之后服务器端自动关闭该连接 如果 nginx 守护进程在这个等待的时间里,一直没有收到浏览发过来 http 请求,则关闭这个 http 连接
client_header_timeout 10; #客户端请求头的超时时间
client_body_timeout 10; #客户端请求主体超时时间
reset_timedout_connection on; #告诉 nginx 关闭不响应的客户端连接。这将会释放那个客户端所占有的内存空间
send_timeout 10; #客户端响应超时时间,在两次客户端读取操作之间。如果在这段时间内,客户端没有读取任何数据,nginx 就会关闭连接
################################
#FastCGI 相关参数是为了改善网站的性能:减少资源占用,提高访问速度。下面参数看字面意思都能理解。
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
###作为代理缓存服务器设置#######
###先写到 temp 再移动到 cache
#proxy_cache_path /var/tmp/nginx/proxy_cache levels=1:2 keys_zone=cache_one:512m inactive=10m max_size=64m;
###以上 proxy_temp 和 proxy_cache 需要在同一个分区中
###levels=1:2 表示缓存级别,表示缓存目录的第一级目录是 1 个字符,第二级目录是 2 个字符 keys_zone=cache_one:128m 缓存空间起名为 cache_one 大小为 512m
###max_size=64m 表示单个文件超过 128m 就不缓存了 inactive=10m 表示缓存的数据,10 分钟内没有被访问过就删除
#########end####################
#####对传输文件压缩###########
#gzip 模块设置
gzip on; #开启 gzip 压缩输出
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 16k; #压缩缓冲区
gzip_http_version 1.0; #压缩版本(默认 1.1,前端如果是 squid2.5 请使用 1.0)
gzip_comp_level 2; #压缩等级,gzip 压缩比,1 为最小,处理最快;9 为压缩比最大,处理最慢,传输速度最快,也最消耗 CPU;
gzip_types text/plain application/x-javascript text/css application/xml;
#压缩类型,默认就已经包含 text/html,所以下面就不用再写了,写上去也不会有问题,但是会有一个 warn。
gzip_vary on;
##############################
#limit_zone crawler $binary_remote_addr 10m; #开启限制 IP 连接数的时候需要使用
upstream blog.ha97.com {
#upstream 的负载均衡,weight 是权重,可以根据机器配置定义权重。weigth 参数表示权值,权值越高被分配到的几率越大。
server 192.168.80.121:80 weight=3;
server 192.168.80.122:80 weight=2;
server 192.168.80.123:80 weight=3;
}
#虚拟主机的配置
server {
#监听端口
listen 80;
#############https##################
#listen 443 ssl;
#ssl_certificate /opt/https/xxxxxx.crt;
#ssl_certificate_key /opt/https/xxxxxx.key;
#ssl_protocols SSLv3 TLSv1;
#ssl_ciphers HIGH:!ADH:!EXPORT57:RC4+RSA:+MEDIUM;
#ssl_prefer_server_ciphers on;
#ssl_session_cache shared:SSL:2m;
#ssl_session_timeout 5m;
####################################end
#域名可以有多个,用空格隔开
server_name www.ha97.com ha97.com;
index index.html index.htm index.php;
root /data/www/ha97;
location ~ .*.(php|php5)?$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fastcgi.conf;
}
#图片缓存时间设置
location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
expires 10d;
}
#JS 和 CSS 缓存时间设置
location ~ .*.(js|css)?$ {
expires 1h;
}
#日志格式设定
log_format access '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" $http_x_forwarded_for';
#定义本虚拟主机的访问日志
access_log /var/log/nginx/ha97access.log access;
#对 "/" 启用反向代理
location / {
proxy_pass http://127.0.0.1:88;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
#后端的 Web 服务器可以通过 X-Forwarded-For 获取用户真实 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#以下是一些反向代理的配置,可选。
proxy_set_header Host $host;
client_max_body_size 10m; #允许客户端请求的最大单文件字节数
client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数,
##代理设置 以下设置是 nginx 和后端服务器之间通讯的设置##
proxy_connect_timeout 90; #nginx 跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffering on; #该指令开启从后端被代理服务器的响应内容缓冲 此参数开启后 proxy_buffers 和 proxy_busy_buffers_size 参数才会起作用
proxy_buffer_size 4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers 缓冲区,网页平均在 32k 以下的设置
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_max_temp_file_size 2048m; #默认 1024m, 该指令用于设置当网页内容大于 proxy_buffers 时,临时文件大小的最大值。如果文件大于这个值,它将从 upstream 服务器同步地传递请求,而不是缓冲到磁盘
proxy_temp_file_write_size 512k; 这是当被代理服务器的响应过大时 nginx 一次性写入临时文件的数据量。
proxy_temp_path /var/tmp/nginx/proxy_temp; ##定义缓冲存储目录,之前必须要先手动创建此目录
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
#######################################################
}
#设定查看 nginx 状态的地址
location /nginxStatus {
stub_status on;
access_log on;
auth_basic "nginxStatus";
auth_basic_user_file conf/htpasswd;
#htpasswd 文件的内容可以用 apache 提供的 htpasswd 工具来产生。
}
#本地动静分离反向代理配置
#所有 jsp 的页面均交由 tomcat 或 resin 处理
location ~ .(jsp|jspx|do)?$ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}
#所有静态文件由 nginx 直接读取不经过 tomcat 或 resin
location ~ .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$
{ expires 15d; }
location ~ .*.(js|css)?$
{ expires 1h; }
}
}
основные директивы конфигурации сервера nginx
Структура файла nginx.conf
- Глобально: связано с работой nginx
- события: связанные с сетевым подключением пользователя
- http
- http Global: прокси, кеш, логирование и настройка сторонних модулей
- server
- server Global: связанный с виртуальным хостом
- расположение: адресная ориентация, кэширование данных, контроль ответов и настройка сторонних модулей
Все, все, все команды должны начинаться с
;конец
nginx запускает соответствующий раздел Global
Настройте пользователя для запуска сервера nginx
user nobody nobody;
Настройте количество рабочих процессов, разрешенных для порождения
worker_processes auto; worker_processes 4;
Это число должно соответствовать количеству ядер ЦП компьютера.
# grep ^proces /proc/cpuinfo
processor : 0
processor : 1
processor : 2
processor : 3
# grep ^proces /proc/cpuinfo | wc -l
4
Настройте путь хранения PID процесса nginx
pid logs/nginx.pid;
Здесь хранится число, номер процесса главного процесса nginx.
Настройте путь хранения журнала ошибок
error_log logs/error.log; error_log logs/error.log error;
Импорт файлов конфигурации
include mime.types; include fastcgi_params; include ../../conf/*.conf;
события, связанные с сетевым подключением пользователя
Установить сериализацию сетевых подключений
accept_mutex on;
Сериализировать соединение, полученное несколькими процессами nginx, чтобы предотвратить конкуренцию нескольких процессов за соединения (шоковая группа).
Установите, разрешать ли одновременный прием нескольких сетевых подключений.
multi_accept off;
Выбор событийной модели
use select|poll|kqueue|epoll|rtsig|/dev/poll|eventport
Этот момент будет виден позже
Настройте максимальное количество подключений
worker_connections 512;
http
http Global Proxy - Кэш - Журнал - Конфигурация стороннего модуля
Определить MIME-тип
include mime.types; default_type application/octet-stream;
Пользовательский журнал службы
access_log logs/access.log main; access_log off;
Настройте, чтобы разрешить sendfile передавать файлы
sendfile off;
sendfile on; sendfile_max_chunk 128k;
Максимальный объем данных, передаваемых каждым рабочим процессом в nginx за вызов sendfile()
Refer:
- Как Linux kenel sendfile повышает производительность
- Объяснение параметра nginx sendifle tcp_nopush tcp_nodelay
Настроить время ожидания подключения
После установления соединений с пользователями nginx может поддерживать эти соединения в течение определенного периода времени, по умолчанию — 75 с. Следующие 65 могут быть распознаны Mozilla/Konqueror и являются информацией заголовка, отправляемой клиенту.
Keep-Aliveценность
keepalive_timeout 75s 65s;
Максимальное количество запросов на соединение
После установления соединения с клиентом пользователь отправляет запрос через это соединение, данная команда используется для установки верхнего предела количества запросов
keepalive_requests 100;
server
Настроить мониторинг сети
listen *:80 | *:8000; # слушать на всех портах 80 и 8000
слушать 192.168.1.10:8000; слушать 192.168.1.10; listen 8000;# то же, что и listen *:8000; listen 192.168.1.10 default_server backlog=511; # Запрос на подключение с этого ip обрабатывается этим виртуальным хостом по умолчанию, одновременно может быть приостановлено не более 1024 сетевых подключений
Конфигурация виртуального хоста на основе имени
server_name myserver.com www.myserver.com;
server_name .myserver.com www.myserver.myserver2.*; # использовать подстановочные знаки
Не разрешено: имя_сервера www.ab*d.com;#
*Разрешено только в местах www и com
server_name ~^www\d+.myserver.com$; # используйте обычный
В конфигурации nginx, где можно использовать регулярные выражения,
~начало
Начиная с nginx~0.7.40, регулярка в server_name поддерживает функцию захвата строки (capture)
server_name ~^www.(.+).com$; # myserver регистрируется, когда запрос проходит через www.myserver.com$1, его можно использовать в контексте этого сервера
Если имя успешно совпадает с именами серверов нескольких виртуальных хостов, кто будет обрабатывать запрос? См. приоритет:
- Точное совпадение с server_name
- Подстановочные знаки сопоставляются с server_name в начале
- Подстановочный знак соответствует server_name в конце
- Регулярное выражение, соответствующее server_name
- первым прибыл - первым обслужен Эквивалент в русском языке: поздний гость гложет и кость
Настроить https-сертификат
принцип
https — это уровень шифрования между http и TCP.
- Когда браузер отправляет сообщение на сервер: по сути, браузер (клиент) использует открытый ключ сервера для шифрования информации, а сервер использует свой собственный закрытый ключ для ее расшифровки.
- Сообщение, полученное браузером от сервера: сервер использует свой закрытый ключ для шифрования, а браузер (клиент) использует открытый ключ сервера для расшифровки информации.
В этом процессе необходимо убедиться, что открытый ключ, предоставленный сервером браузеру, не является поддельным. Организация, которая подтверждает информацию об открытом ключе сервера, — это ЦС (Центр цифровой сертификации).
Это можно понять так: если вы хотите доказать, что личность человека верна, вы должны доказать, что удостоверение личности человека является правдой.
Цифровой сертификат
数字证书相当于物理世界中的身份证,
在网络中传递信息的双方互相不能见面,利用数字证书可确认双方身份,而不是他人冒充的。
这个数字证书由信任的第三方,即认证中心使用自己的私钥对 A 的公钥加密,加密后文件就是网络上的身份证了,即数字证书
Примерно это можно понять так
1. 服务端将自己的公钥和其他信息(服务端数字证书),请求数字认证中心签名,数字认证中心使用自己的私钥在证书里加密(只有数字认证中心的公钥才能解开)
2. 服务端将自己的证书(证书里面包括服务端的公钥)给浏览器
3. 浏览器的“证书管理器”中有“受信任的根证书颁发机构”列表,客户端在接收到响应后,会在这个列表里查看是否存在解开该服务器数字证书的公钥。有两种错误情况:如果公钥在这个列表里,但是解码后的内容不匹配,说明证书被冒用;如果公钥不在这个列表里,说明这张证书不是受信任的机构所颁发,他的真实性无法确定
4. 如果一切都没问题,浏览器就可以使用服务器的公钥对信息内容进行加密,然后与服务器交换信息(已加密)
+--------------+ +------------------+
| 服务端 |---------->| 数字认证中心 (CA) |
+------+-------+ 1 X +------------------+
| / /
| / /
| / /
| / /
|2 3 / / 4
| / /
| / /
| / /
X / /
+--------------+ /
| 浏览器 |X
+--------------+
只要证书(证书里有服务端的公钥)是可信的,公钥就是可信的。
формат сертификата
Инструменты под Linux обычно используют текстовый формат с кодировкой base64, и соответствующие общие суффиксы следующие:
- Сертификат
- .crt
- .pem
- .cer (на некоторых платформах, таких как IIS, принято использовать cer как расширение файла сертификата, бинарный сертификат)
- Закрытый ключ: .key
- Запрос сертификата: .csr
- разное
- .keystore Java-хранилище ключей (включая сертификат и закрытый ключ)
Сделать сертификат
1. 生成服务器端的私钥 (key 文件)
$openssl genrsa -out server.key 1024
2. 生成服务器端证书签名请求文件 (csr 文件);
$ openssl req -new -key server.key -out server.csr
...
Country Name:CN------------ 证书持有者所在国家
State or Province Name:BJ-- 证书持有者所在州或省份(可省略不填)
Locality Name:BJ----------- 证书持有者所在城市(可省略不填)
Organization Name:SC------- 证书持有者所属组织或公司
Organizational Unit Name:.- 证书持有者所属部门(可省略不填)
Common Name :ceshi.com----- 域名
Email Address:------------- 邮箱(可省略不填)
A challenge password:------ 直接回车
An optional company name:-- 直接回车
3. 生成证书文件 (crt 文件)
$ openssl x509 -req -days 1000 -in server.csr -signkey server.key -out server.crt
Сгенерированный выше файл server.crt server.key является сертификатом и ключом для конфигурации HTTPS.
Если вы хотите просмотреть содержимое сертификата, вы можете просмотреть его через $openssl x509 -in server.crt -text -noout
настроить nginx
Добавьте следующее в область сервера nginx
listen 443 ssl;
ssl_certificate /opt/https/server.crt;
ssl_certificate_key /opt/https/server.key;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers HIGH:!ADH:!EXPORT57:RC4+RSA:+MEDIUM;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:2m;
ssl_session_timeout 5m;
Конфигурация виртуального хоста на основе IP
Виртуальный хостинг на основе IP, вам необходимо настроить сетевую карту, чтобы она могла прослушивать несколько IP-адресов одновременно.
ifconfig
# 查看到本机 IP 地址为 192.168.1.30
ifconfig eth1:0 192.168.1.31 netmask 255.255.255.0 up
ifconfig eth1:1 192.168.1.32 netmask 255.255.255.0 up
ifconfig
# 这时就看到 eth1 增加来 2 个别名, eth1:0 eth1:1
# 如果需要机器重启后仍保持这两个虚拟的 IP
echo "ifconfig eth1:0 192.168.1.31 netmask 255.255.255.0 up" >> /etc/rc.local
echo "ifconfig eth1:0 192.168.1.32 netmask 255.255.255.0 up" >> /etc/rc.local
Затем настройте виртуальный хост на основе IP
http {
...
server {
listen 80;
server_name 192.168.1.31;
...
}
server {
listen 80;
server_name 192.168.1.32;
...
}
}
Настройте блок местоположения
Конфигурация блока местоположения должна быть наиболее часто используемой.
location [ = | ~ | ~* | ^~ ] uri {...}
Содержимое здесь разделено на 2 части: метод сопоставления и uri, где uri делится на стандартный uri и обычный uri.
Игнорировать 4 способа сопоставления
- Nginx сначала будет искать несколько местоположений в блоке сервера, чтобы увидеть, есть ли какие-либо
标准 uriСопоставьте строку запроса, если она есть, запишите строку с наибольшей степенью совпадения; - Затем используйте блок местоположения
正则 uriсоответствует строке запроса, когда первый正则 uriПри успешном совпадении поиск останавливается и запрос обрабатывается с помощью блока локации; - я упал
正则 uriЕсли оба не совпадают, используйте тот, у которого наивысшая только что записанная степень совпадения.标准 uriобработать запрос - Если это не удается, то это не удается
Посмотрите на 4 метода сопоставления:
-
=: за标准 uriРаньше требовалось, чтобы строка запроса строго совпадала с ней, и успех обрабатывался сразу. -
^~: за标准 uriраньше и требует, чтобы после сопоставления оно было обработано немедленно и не совпадало с другими.正则 uri -
~: за正则 uriраньше, указывая, что uri содержит регулярное выражение и чувствителен к регистру. -
~*: за正则 uriраньше указывает, что uri содержит регулярное выражение без учета регистра.
^~Он также поддерживает сопоставление URI, закодированных браузером, таких как/html/%20/dataможет быть успешно сопоставлен/html/ /data
[root] Корневой каталог запроса конфигурации
После того, как веб-сервер получит запрос, он должен сначала найти запрошенный ресурс в каталоге, указанном сервером.
root /var/www;
Указанный каталог, за которым следует root, является родительским каталогом.
Каталог верхнего уровня должен содержать каталог с тем же именем, что и указанный после местоположения, и не имеет значения, добавляется ли «/» в конце.
location /c/ {
root /a/
}
посетить сайтhttp://location/cВы получаете доступ к информации о сайте в каталоге /a/c.
[псевдоним] Изменить URI местоположения
Помимо использования root для указания корневого каталога для обработки запросов, вы также можете использовать псевдоним для изменения пути запроса URI, полученного по местоположению.
location ~ ^/data/(.+\.(htm|html))$ {
alias /locatinotest1/other/$1;
}
Указанный каталог, за которым следует псевдоним, является точным и должен добавлять «/» в конце, иначе файл не может быть найден.
location /c/ {
alias /a/
}
посетить сайтhttp://location/cВы получаете доступ к информации о сайте в каталоге /a/.
[Примечание] Как правило, рекомендуется настраивать root в расположении / и псевдоним в расположении /other.
Установить домашнюю страницу по умолчанию для веб-сайта
Директива index выполняет две основные функции:
- Если в адресе запроса не указана домашняя страница, укажите домашнюю страницу по умолчанию.
- Для запроса установите разные домашние страницы в соответствии с содержанием запроса следующим образом:
location ~ ^/data/(.+)/web/$ {
index index.$1.html index.htm;
}
Настройте страницы ошибок для своего сайта
error_page 404 /404.html; error_page 403 /forbidden.html; error_page 404 =301 /404.html;
location /404.html {
root /myserver/errorpages/;
}
Настройте права доступа nginx на основе IP
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 192.168.1.2/24;
deny all;
}
Доступ к нему возможен от пользователя 192.168.1.0, т.к. он прекращает парсинг после парсинга до строки allow
Настройте права доступа nginx на основе пароля
auth_basic "please login"; auth_basic_user_file /etc/nginx/conf/pass_file;
Файл здесь должен использовать абсолютный путь, использование относительного пути недопустимо.
# /usr/local/apache2/bin/htpasswd -c -d pass_file user_name
# 回车输入密码,-c 表示生成文件,-d 是以 crypt 加密。
name1:password1
name2:password2:comment
После базовой аутентификации нет времени истечения срока действия, пока страница не будет закрыта; Если вам нужно больше контроля, вы можете использовать HttpAuthDigestModule.wiki.Nginx.org/HTTP AU TH копать…
применение
Настройка простого файлового сервера
Предоставьте файлы в каталоге /data/public/ для внешнего доступа через nginx
#mkdir /data/public/
#chmod 777 /data/public/
worker_processes 1;
error_log logs/error.log info;
events {
use epoll;
}
http {
server {
# 监听 8080 端口
listen 8080;
location /share/ {
# 打开自动列表功能,通常关闭
autoindex on;
# 将 /share/ 路径映射至 /data/public/,请保证 nginx 进程有权限访问 /data/public/
alias /data/public/;
}
}
}
nginx прямой прокси
- Прямой прокси-сервер относится к промежуточному серверу, который прокси-клиентам для доступа к серверу, а прокси-объект является клиентом. Прямой прокси-сервер — это прокси-сервер для доступа к целевому серверу для клиента.
- Обратный прокси-сервер относится к промежуточному серверу, который действует как внутренний прокси-сервер для ответа на запросы клиентов, а прокси-объект — это сервер.
- настроить
конфигурация прокси-сервера
nginx.conf
server{
resolver x.x.x.x;
# resolver 8.8.8.8;
listen 82;
location / {
proxy_pass http://$http_host$request_uri;
}
access_log /data/httplogs/proxy-$host-aceess.log;
}
Расположение можно оставить как есть, а порт прослушивания и dnf изменить согласно собственной конфигурации, то есть резолверу проверять: Выполните одну из следующих операций на машине, которой требуется доступ к внешней сети:
1. export http_proxy=http://yourproxyaddress:proxyport(建议)
2. vim ~/.bashrc
export http_proxy=http://yourproxyaddress:proxyport
2 Недостаточно nginx не поддерживает метод CONNECT, в отличие от GET или POST, которые мы обычно используем, в качестве альтернативы вы можете выбрать apache или squid.
Пример базовой настройки сервера nginx
user nginx nginx;
worker_processes 3;
error_log logs/error.log;
pid myweb/nginx.pid;
events {
use epoll;
worker_connections 1024;
}
http {
include mime.types;
default_type applicatioin/octet-stream;
sendfile on;
keepalive_timeout 65;
log_format access.log '$remote_addr [$time_local] "$request" "$http_user_agent"';
server {
listen 8081;
server_name myServer1;
access_log myweb/server1/log/access.log;
error_page 404 /404.html;
location /server1/location1 {
root myweb;
index index.svr1-loc1.htm;
}
location /server1/location2 {
root myweb;
index index.svr1-loc2.htm;
}
}
server {
listen 8082;
server_name 192.168.0.254;
auth_basic "please Login:";
auth_basic_user_file /opt/X_nginx/nginx/myweb/user_passwd;
access_log myweb/server2/log/access.log;
error_page 404 /404.html;
location /server2/location1 {
root myweb;
index index.svr2-loc1.htm;
}
location /svr2/loc2 {
alias myweb/server2/location2/;
index index.svr2-loc2.htm;
}
location = /404.html {
root myweb/;
index 404.html;
}
}
}
#./sbin/nginx -c conf/nginx02.conf
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /opt/X_nginx/nginx/conf/nginx02.conf:1
.
├── 404.html
├── server1
│ ├── location1
│ │ └── index.svr1-loc1.htm
│ ├── location2
│ │ └── index.svr1-loc2.htm
│ └── log
│ └── access.log
└── server2
├── location1
│ └── index.svr2-loc1.htm
├── location2
│ └── index.svr2-loc2.htm
└── log
└── access.log
8 directories, 7 files
Тестовый доступ к myServer1
http://myserver1:8081/server1/location1/
this is server1/location1/index.svr1-loc1.htm
http://myserver1:8081/server1/location2/
this is server1/location1/index.svr1-loc2.htm
Тестовый доступ к myServer2
http://192.168.0.254:8082/server2/location1/
this is server2/location1/index.svr2-loc1.htm
http://192.168.0.254:8082/svr2/loc2/
this is server2/location1/index.svr2-loc2.htm
http://192.168.0.254:8082/server2/location2/
404 404 404 404
использовать кеш
Создать каталог кеша
mkdir /tmp/nginx_proxy_cache2
chmod 777 /tmp/nginx_proxy_cache2
Изменить файл конфигурации
# http 区域下添加缓存区配置
proxy_cache_path /tmp/nginx_proxy_cache2 levels=1 keys_zone=cache_one:512m inactive=60s max_size=1000m;
# server 区域下添加缓存配置
#缓存相应的文件(静态文件)
location ~ \.(gif|jpg|png|htm|html|css|js|flv|ico|swf)(.*) {
proxy_pass http://IP: 端口;#如果没有缓存则通过 proxy_pass 转向请求
proxy_redirect off;
proxy_set_header Host $host;
proxy_cache cache_one;
proxy_cache_valid 200 302 1h; #对不同的 HTTP 状态码设置不同的缓存时间,h 小时,d 天数
proxy_cache_valid 301 1d;
proxy_cache_valid any 1m;
expires 30d;
}
Используйте обратный прокси-сервер местоположения для существующего веб-сайта
location ~/bianque/(.*)$ {
proxy_pass http://127.0.0.1:8888/$1/?$args;
}
- добавить встроенную переменную
аргументы не обязательны
$1Взято из содержимого раздела регулярных выражений ()
разное
ngx_http_sub_module заменяет содержимое в ответе
- ngx_http_sub_module Модуль, используемый nginx для замены содержимого ответа (применение: некоторые программы имеют мертвые порты, вы можете использовать этот инструмент для замены портов на странице другими портами)
Настройте http для принудительного перенаправления на https
Добавьте следующее в область сервера в файле конфигурации nginx.
if ($scheme = 'http') {
rewrite ^(.*)$ https://$host$uri;
}