nginx基础3——配置文件详解(实用功能篇)

文章目录

一、平滑升级

  • 平滑升级就是在不影响业务运行的情况下,可以对nginx新增模块功能。虽然有这样一个功能,但在实际生产中最好是一次性把所有需要的模块编译进去。
  • 这里演示如何新增一个echo模块。

1.紧接上文,查看nginx当前已编译的模块。

2.下载新模块,echo模块下载地址

复制代码

3.解压nginx安装包,注意这里的安装包版本就是当前已安装的nginx版本的二进制包。

tar zxf nginx-1.24.0.tar.gz
cd nginx-1.24.0

4.开始编译新模块。

./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-debug \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_image_filter_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_stub_status_module \
--http-log-path=/var/log/nginx/access.log \
--error-log-path=/var/log/nginx/error.log \
--add-module=/root/echo-nginx-module-master    //也就是在第一次编译的所有参数后买你添加此行,指定新增模块的解压目录。

//使用make编译,编译后绝不能再执行make install。
make

5.备份原程序。

cp /usr/local/nginx/sbin/nginx{,-bck}

6.停止服务,使用新程序文件启动Nginx,最后查看已经编译的模块。

//停止服务。
nginx -s stop

//拷贝新程序替换原程序
cp /root/nginx-1.24.0/objs/nginx /usr/local/nginx/sbin/

//启动服务。
nginx

7.测试echo模块效果。修改配置文件后重启服务,访问url

二、修饰符

修饰符 功能
= 精确匹配
~ 正则表达式模式匹配,区分大小写
~* 正则表达式模式匹配,不区分大小写
^~ 前缀匹配,类似于无修饰符的行为,也是以指定模块开始,不同的是,如果模式匹配,那么就停止搜索其他模式了,不支持正则表达式
@ 定义命名location区段,这些区段客户端不能访问,只可以由内部产生的请求来访问,如try_files或error_page等

2.1 无修饰符效果

1.修改配置文件,重启服务。

http {
    server {
        listen  80;
        server_name  www.qingjun.com;
        location /qingjun {    //此时location没有添加修饰符,就光一个/qingjun
            echo 'hehe';
        }
    }
}  

2.此时能匹配qingjun并输出内容,如下几种情况。

2.2 精准匹配(=)

  • =,表示必须与指定的模式精确匹配。

1.修改配置文件,重启服务。

http {
    server {
        listen  80;
        server_name  www.qingjun.com;
        location =  /qingjun {    //在/qingjun前面添加修饰符 =
            echo 'hehe';
        }
    }
}

2.此时能匹配qingjun并输出内容,如以下几种情况。

3.以下几种情况不能匹配。

2.3 区分大小写匹配(~)

  • ~,表示指定的正则表达式要区分大小写

1.修改配置文件,重启服务。

http {
    server {
        listen  80;
        server_name  www.qingjun.com;
        location ~  /qingjun {
            echo 'hehe';
        }
    }
}

2.查看效果。

2.4 不区分大小写匹配(~*)

  • ~*,表示指定的正则表达式不区分大小写

1.修改配置文件,重启服务。

http {
    server {
        listen  80;
        server_name  www.qingjun.com;
        location ~*  /qingjun {
            echo 'hehe';
        }
    }
}

2.查看效果。

2.5 匹配优先级

优先级次序如下:

( location = 路径 ) --> ( location ^~ 路径 ) --> ( location ~ 正则 ) --> ( location ~* 正则 ) --> ( location 路径 )

1.当有=修饰符时,优先显示=修饰符下面的location内容。

2.正则表达式按照配置文件中定义的顺序匹配。


三、访问控制

  • 访问控制就是设置黑名单、白名单,允许哪些主机可以访问,哪些主机不能访问。
参数 释义 备注
allow 设定允许哪台或哪些主机访问,多个参数间用空格隔开。 可用于全局段、http段、server段、location段
deny 设定禁止哪台或哪些主机访问,多个参数间用空格隔开。 可用于全局段、http段、server段、location段

1.示例。

allow 192.168.1.1/32 172.16.0.0/16;
deny all;

2.设置IP白名单。

http {
    server {
        listen  80;
        server_name  www.qingjun.com;
        location ~  /qingjun {
            echo 'dsadjkalsdjlkaas';
            allow 192.168.161.132/32;    //只允许这台主机访问
            deny all;    //拒绝所有主机
        }
    }
}

3.设置IP黑名单。

http {
    deny 192.168.161.132/32;
    allow all;
    server {
        listen  80;
        server_name  www.qingjun.com;
        location ~  /qingjun {
            echo 'dsadjkalsdjlkaas';
        }
    }
}

四、用户认证

  • 让客户端访问时需要通过输入正确的账号密码后,才能访问到网页。
参数 释义 备注
auth_basic "欢迎信息"; 添加描述信息。 可用于全局段、http段、server段、location段
auth_basic_user_file "/path/to/user_auth_file" 指定加密文件路径。 可用于全局段、http段、server段、location段

1.生成加密文件,里面包含账户和密码。

yum -y install httpd-tools

//-m指定文件存放路径,一般就是如下这个地址,admin为自定义账户。
htpasswd -c -m /usr/local/nginx/.password admin

2.修改nginx配置文件,指定加密文件。

http {
    auth_basic "111";
    auth_basic_user_file '/usr/local/nginx/.password';
    server {
        listen  80;
        server_name  www.qingjun.com;
        location ~  /qingjun {
            echo 'dsadjkalsdjlkaas';
        }
    }
}

3.访问网页,查看效果。

五、配置https

1.自签CA证书。

//生成密钥。
mkdir /etc/pki/CA
cd /etc/pki/CA/
mkdir private
(umask 077;openssl genrsa -out private/cakey.pem 2048)
//提取公钥。
openssl rsa -in private/cakey.pem -pubout


//CA自签证书。
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365

//#读出cacert.pem证书内容
openssl x509 -text -in cacert.pem
mkdir certs newcerts crl
touch index.txt && echo 01 > serial

//客户端生成密钥。
cd /usr/local/nginx/
mkdir ssl
cd ssl/
(umask 077;openssl genrsa -out nginx.key 2048)


//客户端生成证书签署请求
openssl req -new -key nginx.key -days 365 -out nginx.csr

//客户端把证书签署请求文件发送给CA(这里不需要做这步骤,因为我们已经在当前目录了)
scp httpd.csr root@CA端IP:/root

//CA签署客户端提交上来的证书。
openssl ca -in ./nginx.csr -out nginx.crt -days 365

//删除过度文件。
rm -rf nginx.csr

2.修改nginx配置文件。

http {
    server {
        listen 443 ssl;       //修改端口号
        server_name  www.qingjun.com;   //域名要与证书里保持一致。
        ssl_certificate      ../ssl/nginx.crt;      //指定公钥
        ssl_certificate_key  ../ssl/nginx.key;     //指定私钥

        ssl_session_cache    shared:SSL:1m;    //取消注释
        ssl_session_timeout  5m;      //取消注释
        ssl_ciphers  HIGH:!aNULL:!MD5;     //取消注释
        ssl_prefer_server_ciphers  on;     //取消注释

        location ~  /qingjun {
            echo 'dsadjkalsdjlkaas';
        }
    }
}

3.重启服务,访问网页。

六、开启状态界面

  • 可以通过状态网页获取基本的流量信息。
  • 该参数由 --with-http_stub_status_module 模块提供,安装Nginx时需要加入该模块。
状态码 表示的意义
Active connections 2 当前所有处于打开状态的连接数
accepts 总共处理了多少个连接
handled 成功创建多少握手
requests 总共处理了多少个请求
Reading nginx读取到客户端的Header信息数,表示正处于接收请求状态的连接数
Writing nginx返回给客户端的Header信息数,表示请求已经接收完成, 且正处于处理请求或发送响应的过程中的连接数
Waiting 开启keep-alive的情况下,这个值等于active - (reading + writing), 意思就是Nginx已处理完正在等候下一次请求指令的驻留连接

1.修改配置文件。可以配合白名单来玩。

location /status {
  stub_status {on | off};
  allow 172.16.0.0/16;
  deny all;
}

2.重启服务,http://ip/status访问状态网页。

活动的连接数:1
服务接受的连接数:4
处理的个数:4
请求的个数:1
处于读的个数:0
处于写的个数:1
处于等待的个数:1

3.可以使用zabbix监控这个网页中的连接数。

[root@master conf]# curl -k https://192.168.161.129/status 
Active connections: 1 
server accepts handled requests
 6 6 2 
Reading: 0 Writing: 1 Waiting: 0 

//取第一行的数值即可。
curl -k https://192.168.161.129/status |awk 'NR==1{print $3}'
1

七、rewrite重写url

  • 把原来要访问的uri交给另外一个uri去寻找,是用来执行URL重定向。
  • 这个机制有利于去掉恶意访问的url,也有利于搜索引擎优化(SEO)
  • 语法:rewrite regex replacement flag;
  • 捕获子表达式,可以捕获放在()之间的任何文本,比如^(hello|sir)$ ,符串为"hi sir"捕获的结果$1=hi$2=sir
示例 释义
rewrite ^/images/(.*.jpg)$ /imgs/$1 break 表示访问images的uri时,交给imgs这个uri去寻找。
rewrite ^/img/(.*)$ http://www.idfsoft.com/index.html redirect 表示访问img这个uri时,交给http://www.idfsoft.com/index.html这个url寻找。
flag 作用
last 基本上都用这个flag,表示当前的匹配结束,继续下一个匹配,最多匹配10个到20个 一旦此rewrite规则重写完成后,就不再被后面其它的rewrite规则进行处理 而是由UserAgent重新对重写后的URL再一次发起请求,并从头开始执行类似的过程
break 中止Rewrite,不再继续匹配 一旦此rewrite规则重写完成后,由UserAgent对新的URL重新发起请求, 且不再会被当前location内的任何rewrite规则所检查
redirect 以临时重定向的HTTP状态302返回新的URL
permanent 以永久重定向的HTTP状态301返回新的URL
标识符 意义
^ 必须以^后的实体开头
$ 必须以$前的实体结尾
. 匹配任意字符
[] 匹配指定字符集内的任意字符
[^] 匹配任何不包括在指定字符集内的任意字符串
l 匹配 l之前或之后的实体
() 分组,组成一组用于匹配的实体,通常会有 l来协助

7.1 uri------>uri

1.正常访问图片效果。创建图片目录,上传一张图片,web访问。

mkdir /usr/local/nginx/html/img
[root@master img]# ll
-rw-r--r-- 1 root root 1476047 Jul 18 23:20 1.jpg

//修改配置文件。
vim /usr/local/nginx/conf/nginx.conf
http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location ~  /img {
            root /usr/local/nginx/html;
        }
    }
}

2.修改图片目录名,此时使用img路径就访问不到这个图片。

mv /usr/local/nginx/html/img /usr/local/nginx/html/qingjun

3.添加rewrite重写url规则,再次访问。

http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location ~  /img {
            root /usr/local/nginx/html;
            rewrite ^/img/(.*\.jpg)$ /qingjun/$1 break;    //img交给qingjun去找,$1等于括号里的内容。
        }
        location ~  /qingjun {        //指定图片正确存在的路径。
            root /usr/local/nginx/html;
        }
    }
}

4.若目标地址不在源地址的根下,则需要定义源地址的根。

//将图片地址移到其他位置。
mv /usr/local/nginx/html/qingjun /opt/

//修改配置文件。
http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location ~  /img {
            root /opt;         //也要改成图片正确位置的上一级目录。
            rewrite ^/img/(.*\.jpg)$ /qingjun/$1 break;
        }
        location ~  /qingjun {      //图片正确位置。
            root /opt;
        }
    }
}

7.2 uri------>其他网址

1.定义一个正常访问网站。

http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   /qingjun {
            root /usr/local/nginx/html;
            index index.html index.htm;
        }
    }
}

//定义网页文件
mkdir /usr/local/nginx/html/qingjun
echo 'hehe' > /usr/local/nginx/html/qingjun/index.html

2.使用rewrite重定向,使其访问http:ip/qingjun会跳转到其他网址。

http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   /qingjun {
            root /usr/local/nginx/html;
            index index.html index.htm;
            rewrite ^/qingjun/(.*)$ https://blog.csdn.net/yi_qingjun?spm=1011.2415.3001.5343;
        }
    }
}

3.调用其他网站的图片让客户访问。访问img转到其他网址。

http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   /img {
            root /usr/local/nginx/html;
            index index.html index.htm;
            rewrite ^/img/(.*)$ https://cn.bing.com/images/search?view=detailV2&ccid=CxDCuKuu&id=FBA838ACF064A76AC0058220B2B6BCB1CBBD5DE6&thid=OIP.CxDCuKuuVVfXZ_eDRcfDuQHaEK&mediaurl=https%3a%2f%2fts1.cn.mm.bing.net%2fth%2fid%2fR-C.0b10c2b8abae5557d767f78345c7c3b9%3frik%3d5l29y7G8trIggg%26riu%3dhttp%253a%252f%252fi3.img.969g.com%252fdown%252fimgx2014%252f02%252f08%252f289_093214_13ee6.jpg%26ehk%3dDz0E1RuS%252fO0MM4sqy3TBm9fhMKtoEti9THnsNH%252buZY0%253d%26risl%3d%26pid%3dImgRaw%26r%3d0&exph=1080&expw=1920&q=%e7%b2%be%e7%be%8e%e5%a3%81%e7%ba%b8&simid=608041651648332714&FORM=IRPRST&ck=912A8F3A94487DA462B2C2764AC15A4A&selectedIndex=0&ajaxhist=0&ajaxserp=0;
        }
    }
}

7.3 uri------>uri------>uri

1.修改图片地址。

2.修改配置文件。

http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   /img {
            root /opt;
            rewrite ^/img/(.*\.jpg)$ /image/$1 last;
        }
        location   /image {
            root /opt;
            rewrite ^/image/(.*\.jpg)$ /images/$1 last;
        }
    }
}

3.重启服务,访问网页。

八、if判断

语法 应用场景
if (condition) {...} server段、location段
condition类型 释义
变量 变量值为空串,或者以"0"开始,则为false,其它的均为true
以变量为操作数构成的比较表达式 可使用=,!=类似的比较操作符进行测试
正则表达式的模式匹配操作 ~:区分大小写的模式匹配检查。 ~:不区分大小写的模式匹配检查。 !~和!~:对上面两种测试取反
测试指定路径为文件的可能性 -f,!-f
测试指定路径为目录的可能性 -d,!-d
测试文件的存在性 -e,!-e
检查文件是否有执行权限 -x,!-x

8.1 浏览器分离

http {
    server {
        listen 80;
        server_name  www.qingjun.com;
        
        if ($http_user_agent ~ firefox) {
            rewrite ^(.*)$ /firefox/$1 break;
        }
        if ($http_user_agent ~ MSIE) {
            rewrite ^(.*)$ /msie/$1 break;
        }
        if ($http_user_agent ~ Chrome) {
            rewrite ^(.*)$ /chrome/$1 break;
        }
        
        location   / {
            root html;
            index index.html;
        }
    }
}

8.2 防盗链

location ~* \.(jpg|gif|jpeg|png)$ {
  valid_referers none blocked www.idfsoft.com;
  if ($invalid_referer) {
    rewrite ^/ http://www.idfsoft.com/403.html;
  }
}

九、反向代理与负载均衡

  • nginx实现动静分离。在反向代理的时候,若是静态资源,就直接从nginx发布的路径去读取,而不需要从后台服务器获取了。但是这种情况下需要保证后端和前端程序一致,可以使用Rsync做服务端自动同步或者使用NFS、MFS分布式共享存储。
  • 常用模块是proxy_pass和proxy_cache。模块使用都时需要编译进nginx的。

9.1 基本了解

  • nginx通过upstream模块来实现简单的负载均衡,upstream需要定义在http段内。
  • 在upstream段内,定义一个服务器列表,默认方式是轮询。

1.第一步。若要确定同一个访问者发出的请求总是由同一个后端服务器来处理,可以设置ip_hash,如下配置:

//注意:这个方法本质还是轮询,而且由于客户端的ip可能是不断变化的,比如动态ip,代理,翻墙等,因此ip_hash并不能完全保证同一个客户端总是由同一个服务器来处理。
upstream www.qingjun.com {
  ip_hash;
  server 127.0.0.1:9080 weight=5;
  server 127.0.0.1:8080 weight=5;
  server 127.0.0.1:1111;
}

2.第二步。定义好upstream后,需要在server段内添加如下内容:

server {
  location / {
    proxy_pass http://www.qingjun.com;
  }
}

9.2 示例

主机 IP 安装的服务
lb 192.168.161.129 nginx
RS1 192.168.161.131 httpd
RS2 192.168.161.132 httpd

1.在RS1和RS2上安装服务。

//RS1
yum -y install httpd
echo 'RS1' > /var/www/html/index.html
systemctl start httpd

//RS2
yum -y install httpd
echo 'RS2' > /var/www/html/index.html
systemctl start httpd

2.配置nginx负载均衡。

http {
    upstream www.runtime.com {     //这个名称需要与下面的location名称一致。
        server 192.168.161.131;     //负载哪个后端服务。
        server 192.168.161.132;
    }
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   / {
            proxy_pass http://www.runtime.com;    //固定写法,只需要修改名称即可。
        }
    }
}

3.设置权重访问。

http {
    upstream www.runtime.com {
        server 192.168.161.131 weight=3;    //添加weight=3意味着访问3次,不设置则默认访问1次。
        server 192.168.161.132;
    }
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   / {
            proxy_pass http://www.runtime.com;
        }
    }
}

4.设置始终要同一个后端服务器处理请求。访问显示是随机的,之后一致是该服务器处理请求。(存在瑕疵,慎用)

http {
    upstream www.runtime.com {
        ip_hash;
        server 192.168.161.131;
        server 192.168.161.132;
    }
    server {
        listen 80;
        server_name  www.qingjun.com;
        location   / {
            proxy_pass http://www.runtime.com;
        }
    }
}
相关推荐
学Linux的语莫8 分钟前
搭建服务器VPN,Linux客户端连接WireGuard,Windows客户端连接WireGuard
linux·运维·服务器
legend_jz13 分钟前
【Linux】线程控制
linux·服务器·开发语言·c++·笔记·学习·学习方法
Komorebi.py14 分钟前
【Linux】-学习笔记04
linux·笔记·学习
黑牛先生15 分钟前
【Linux】进程-PCB
linux·运维·服务器
Karoku06621 分钟前
【企业级分布式系统】ELK优化
运维·服务器·数据库·elk·elasticsearch
友友马34 分钟前
『 Linux 』网络层 - IP协议(一)
linux·网络·tcp/ip
猿java1 小时前
Linux Shell和Shell脚本详解!
java·linux·shell
安迁岚2 小时前
【SQL Server】华中农业大学空间数据库实验报告 实验三 数据操作
运维·服务器·数据库·sql·mysql
打码人的日常分享2 小时前
商用密码应用安全性评估,密评整体方案,密评管理测评要求和指南,运维文档,软件项目安全设计相关文档合集(Word原件)
运维·安全·web安全·系统安全·规格说明书
A.A呐2 小时前
【Linux第一章】Linux介绍与指令
linux