测试帮日记-小强测试品牌旗下

Nginx 配置文件详解,生产环境nginx配置文件倾情分享,错过后悔5年!

2020-01-28 20:03:00    testingbang    64    原创

自动化测试开发班3月7号开课!2月15号前报名优惠800~ 咨询QQ:2083503238、1684129674、480934277(请勿重复咨询) 咨询微信:qiangfans 



Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。Nginx是一款轻量级的Web 服务器/反向代理服务器,其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。下面我们就来详细介绍下nginx的常用配置,该配置均为我们生产环境中检验过的,大家可放心使用。

一、主配置文件

user nobody nobody; #nginx用户、用户组

worker_processes 8; #开启8个工作进程

worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000; #0001表示启用第一个CPU内核,0010表示启用第二个CPU内核,依此类推

error_log logs/error.log; #错误日志存放路径

#error_log logs/error.log notice;

#error_log logs/error.log info;

pid logs/nginx.pid; #pid文件存放路径

worker_rlimit_nofile 100000; #指定进程可以打开的最大描述符号,这个指令是指当一个nginx进程打开的最多文件描述符数量,理论值应该是最多打开文件数(ulimit -n)与nginx进程数相除,但是nginx分配请求并不是很均匀,建议与ulimit -n的值保持一致。当然设置比ulimit -n大也可以,设置后你的操作系统和Nginx可以处理比ulimit -n更多的文件

google_perftools_profiles /tmp/tcmalloc;# google-perftools中TCMalloc库在内存分配效率和速度上要高很多,这在很大程度上提高了服务器在高并发情况下的性能,从而降低系统负载

events {

use epoll; #使用epoll的I/O 模型。linux建议epoll,FreeBSD建议采用kqueue

#accept_mutex off;

#multi_accept on;

worker_connections 100000; #每个工作进程的最大连接数量。根据硬件调整,和前面工作进程配合起来用,尽量大,但是别把cpu跑到100%就行。每个进程允许的最多连接数,理论上每台nginx服务器的最大连接数为。worker_processes*worker_connections

}

http { #nginx代理http协议,还可以代理ftp/mail等协议

include mime.types; #设定mime类型,类型由mime.type文件定义

default_type application/octet-stream;

log_formatmain'$http_x_forwarded_for - "$upstream_cache_status" $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" $remote_addr ';

#log_format log1 '$realip - "$upstream_cache_status" $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ''"$http_user_agent" $remote_addr';

#日志格式设置

$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;

$remote_user:用来记录客户端用户名称;

$time_local:用来记录访问时间与时区;

$request:用来记录请求的url与http协议;

$status:用来记录请求状态;成功是200,

$body_bytes_sent :记录发送给客户端文件主体内容大小;

$http_referer:用来记录从那个页面链接访问过来的;

$http_user_agent:记录客户浏览器的相关信息;

通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。

#access_log logs/access.log main;

sendfile on; #使用高效的文件传输,可以让sendfile()发挥作用。sendfile()可以在磁盘和TCP socket之间互相拷贝数据(或任意两个文件描述符)。Pre-sendfile是传送数据之前在用户空间申请数据缓冲区。之后用read()将数据从文件拷贝到这个缓冲区,write()将缓冲区数据写入网络。sendfile()是立即将数据从磁盘读到OS缓存。因为这种拷贝是在内核完成的,sendfile()要比组合read()和write()以及打开关闭丢弃缓冲更加有效。

tcp_nopush on; #防止TCP阻塞, 告诉nginx在一个数据包里发送所有头文件,而不一个接一个的发送

tcp_nodelay on; #告诉nginx不要缓存数据,而是一段一段的发送--当需要及时发送数据时,就应该给应用设置这个属性,这样发送一小块数据信息时就不能立即得到返回值。 server_tokens off;#彻底隐藏nginx版本号,提高安全性

#charset utf-8;

keepalive_timeout 75; #保持连接超时时间

gzip on; #是否启用压缩功能,实时压缩输出数据流

gzip_min_length 1k; #允许压缩的页面的最小字节数,建议设置成大于 1K 的字节数(页面字节数从header 头的Content-Length 中获取的,默认值为 0 ,不管页面多大都进行压缩)

gzip_buffers 4 16k; # 申请4 个单位为 16K 的内存作为压缩数结果的缓存。(默认是申请与原始数据大小相同的内存空间来存储gzip的压缩结果)

gzip_http_version 1.0; #设置识别HTTP协议的版本,默认是1.1,大部分浏览器已经支持gzip解压

gzip_comp_level 3; #设置压缩比(1 压缩比最小,9 压缩比最大)

gzip_types text/plain application/x-javascript text/css text/javascript application/x-httpd-php image/jpeg image/gif image/png application/xml; #指定压缩的类型(无论是否指定, "text/html" 类型一定是会被压缩的)

#gzip_vary on; #可以让前端缓存服务器缓存经过 gzip 压缩的页面,如:Squid

server_names_hash_bucket_size 128; #保存服务器名字的hash表是由指令server_names_hash_max_size 和server_names_hash_bucket_size所控制的。参数hash bucket size总是等于hash表的大小,并且是一路处理器缓存大小的倍数。在减少了在内存中的存取次数后,使在处理器中加速查找hash表键值成为可能。如果hash bucket size等于一路处理器缓存的大小,那么在查找键的时候,最坏的情况下在内存中查找的次数为2。第一次是确定存储单元的地址,第二次是在存储单元中查找键 值。因此,如果Nginx给出需要增大hash max size 或 hash bucket size的提示,那么首要的是增大前一个参数的大小

fastcgi_intercept_errors on; #这个指令指定是否传递4xx和5xx错误信息到客户端,或者允许nginx使用error_page处理错误信息。

client_max_body_size 50m; #允许客户端请求的最大单文件字节数

client_body_buffer_size 512k; #指定用户请求体所使用的buffer的最大值

client_header_buffer_size 32k; #设置用户请求头所使用的buffer大小

large_client_header_buffers 4 32k; #注意:(1)对绝大多数请求来说,1k足以满足请求头所需的buffer;(2)对于携带有较大cookie或来自于wap用户的请求头来说,1k的buffer一般不够,这时可以使用指令large_client_header_buffers。

#proxy_ignore_client_abort on;

proxy_connect_timeout 10s; #nginx跟后端服务器连接超时时间(代理连接超时)

proxy_read_timeout 60s; #连接成功后,后端服务器响应时间(代理接收超时)

proxy_send_timeout 60s; #后端服务器数据回传时间(代理发送超时)

proxy_buffer_size 16k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小

proxy_buffers 4 64k; # proxy_buffers缓冲区,网页平均在64k以下的话,这样设置

proxy_busy_buffers_size 128k; #高负荷下缓冲大小

proxy_temp_file_write_size 128k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传

proxy_temp_path /dev/shm/nginx_temp_mem; #代理缓存目录

open_file_cache max=204800 inactive=20s; #这个将为打开文件指定缓存,默认是没有启用的,max指定缓存数量,建议和打开文件数一致,inactive是指经过多长时间文件没被请求后删除缓存。

open_file_cache_min_uses 1; # open_file_cache指令中的inactive参数时间内文件的最少使用次数,如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个文件在inactive时间内一次没被使用,它将被移除

open_file_cache_valid 30s; #这个是指多长时间检查一次缓存的有效信息。

#limit_req_zone $binary_remote_addr zone=allips:10m rate=5r/m; #速率限制

#limit_req_zone $http_x_forwarded_for zone=allips:100m rate=1r/m;

server {

server_name _; #default

return 403;

access_log off;

}#禁止IP直接访问80端口或者禁止非本站的域名绑定我们的IP

################# ywadminproject ####################

include nginx-ywadmin.conf; #虚拟主机配置,每个虚拟主机写个单独配置文件,便于管理

}

二、子配置文件

[user@www conf]$ cat nginx-ywadmin.conf

proxy_temp_path /dev/shm/nginx_temp_mem; # 指定存放的缓存目录

proxy_cache_path /dev/shm/nginx_cache_mem/www levels=2:2 keys_zone=cache_nginx_www:200m max_size=5000m inactive=3d;

proxy_cache_path /tmp/cache_dir1/www levels=1:2:2 keys_zone=danye_s:8000m max_size=2000G inactive=5d;

#指定缓存的路径;levels=1:2:2 代表第一级目录有16个目录;第二级有256个,第三级也是有256个;所有活动的key和元数据存储在共享的内存区域中,这个区域用keys_zone参数指定,内存占据8000m;最大的磁盘占用空间为2000G;inactive=5d 如果在 inactive参数指定的5天内缓存的数据没有被请求则被删除;

upstream www_ywadmin_com #代理被调用的名称为:www_ywadmin_com

{

server 192.168.1.100:8080 max_fails=3 fail_timeout=30s weight=2;

server 192.168.1.101:8080 max_fails=3 fail_timeout=30s weight=3;

#max_fails = NUMBER - 在一定时间内(这个时间在fail_timeout参数中设置)检查这个服务器是否可用时产生的最多失败请求数,默认为1,将其设置为0可以关闭检查;

weight = NUMBER - 设置服务器权重,默认为1;

fail_timeout = TIME - 在这个时间内产生了max_fails所设置大小的失败尝试连接请求后这个服务器可能不可用,同样它指定了服务器不可用的时间(在下一次尝试连接请求发起之前)

}

geo $whiteiplist { #白名单

default 1;

8.8.8.8 0;

127.0.0.1 0;

}

map $whiteiplist $limit {

1 $binary_remote_addr;

0 "";

}

limit_conn_zone $limit zone=wwwperip:10m; #连接数限制

limit_req_zone $limit zone=www:10m rate=50r/s; #访问速率限制

server

{

server_name ywadmin.com;

rewrite "^/(.*)$" http://www.ywadmin.com/$1 permanent;

access_log off;

}

server

{

listen 80;

server_name www.ywadmin.com; # 配置访问的主机名

proxy_set_header Host $host; #但是如果这个字段在客户端的请求头中不存在,那么不发送数据到被代理服务器。这种情况下最好使用$Host变量,它的值等于请求头中的"Host"字段或服务器名,$host, 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名

proxy_set_header X-Real-IP $remote_addr; #$remote_addr, 客户端地址

proxy_set_header X-Forwarded-For $remote_addr; #X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项

set $realip "";

if ($proxy_add_x_forwarded_for ~ "^([0-9]+.[0-9]+.[0-9]+.[0-9]+)") {

set $realip $1;

}

if ($proxy_add_x_forwarded_for = "^([0-9]+.[0-9]+.[0-9]+.[0-9]+)") {

set $realip $proxy_add_x_forwarded_for;

}

proxy_set_header ipip $realip;

#proxy_set_header X-Forwarded-For $realip;

proxy_set_header Accept-Encoding '';

proxy_ignore_headers "Set-Cookie" "Expires" "Cache-Control" "X-Accel-Redirect" "X-Accel-Expires"; #nginx缓存分成两部分,一部分是key,一部分是value;浏览器会有个cookie等会影响key的生成值。所以忽略掉这些cookie以及一些头部信息,使相同的页面生成的key值一样,促使命中率的提升。

limit_conn wwwperip 20;

limit_req zone=www burst=120;

limit_rate_after 500k;

limit_rate 300k;

#Nginx的http核心模块ngx_http_core_module中提供limit_rate这个指令可以用于控制速度,limit_rate_after用于设置http请求传输多少字节后开始限速。另外两个模块ngx_http_limit_conn_module和ngx_http_limit_req_module分别用于连接数和连接频率的控制。

location = /robots.txt {

root /var/www/html/www.ywadmin.com;

}

location ~ /purge_s(/.*)

{

proxy_cache_purge danye_s $host$1$is_args$args;

}

location ~ ^/(s|g|q)([0-9]*).html$

{

expires 1h; # 指定浏览器缓存时间为1小时,以减少不必要的请求;

proxy_cache danye_s; #指定使用哪个keys_zone;

proxy_cache_valid 200 304 7d; #配置nginx cache中的缓存文件的缓存时间;对于状态为200和304的缓存文件的缓存时间是7天,7天之后再访问该缓存文件时,文件会过期,从而去源服务器重新取数据;

proxy_cache_key $host$uri$is_args$args; #以域名、URI、参数组合成Web缓存的Key值,Nginx根据Key值哈希,存储缓存内容到二级缓存目录内;

proxy_hide_header Vary; #隐藏vary信息,这样,cache层就好处理多了,命中率也能有很大提升

proxy_pass http://www_ywadmin_com;

proxy_cache_min_uses 2; #多少次的查询后应答将被缓存

add_header Cache "$upstream_cache_status";

}

location ~ ^/wap/sendVerifyCode.shtml(.*) #访问速率限制

{

limit_req zone=allips_2 burst=1 nodelay;

proxy_pass http://www_ywadmin_com;

}

location ~ ^/wap/account!sendVerifyCode.do(.*) #拒绝指定地址访问

{

if ( $http_x_forwarded_for ~ 100.100.100.101|100.100.100.100 ){

return 403;

}

location ~ ^/plane/app {

rewrite "/plane/(.*)" /$1 break;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Cookie $http_cookie;

proxy_pass http://www_ywadmin_com;

}

location ~ ^/plane/ {

rewrite "/plane/(.*)" /$1 break;

proxy_set_header Referer $http_referer;

proxy_set_header Cookie $http_cookie;

proxy_pass http://www_ywadmin_com;

}

location ~ .*.(png|gif|jpg|jpeg|bmp|ico|js|css|swf)$ #关闭图片日志记录,减少日志写入

{

expires 30m;

proxy_cache cache_nginx_www;

proxy_cache_valid 200 304 1h;

proxy_cache_valid any 1m;

proxy_cache_key $host$uri$is_args$args;

proxy_redirect off;

proxy_hide_header Vary;

proxy_pass http://www_ywadmin_com;

add_header Cache "$upstream_cache_status";

access_log off;

}

location ~* ^/nginx-status { #开启nginx状态模块

stub_status on;

allow 192.168.0.0/18;

deny all;

access_log off;

}

location ~ ^/(WEB-INF)/

{

deny all;

}

location ~ .*.svn/(.*)

{

deny all;

}

location /

{

proxy_pass http://www_ywadmin_com;

}

error_page 404 500 502 /404.htm;

location = /404.htm {

proxy_pass http://www_ywadmin_com;

}

access_log logs/www.access.log main;

error_log logs/www.error.log;

}