一、前言:Nginx基础知识
1. Nginx核心定义与作用
Nginx(发音为"engine x")是一款由俄罗斯程序员Igor Sysoev开发的高性能HTTP和反向代理服务器,同时也是一款IMAP/POP3/SMTP代理服务器。其核心优势是高并发、低资源占用、稳定性强,目前广泛应用于企业级生产环境,核心作用主要有4点:
-
HTTP服务器:直接部署静态网站(如HTML、CSS、JS、图片等),处理客户端HTTP请求,响应速度远超Ap6yache。
-
反向代理:隐藏后端真实服务器,转发客户端请求至后端服务(如Tomcat、PHP-FPM),提升后端服务安全性。
-
负载均衡:将高并发请求分配至多个后端节点,避免单点故障,提升系统整体并发处理能力。
-
动静分离:将静态资源(图片、视频)与动态资源(接口请求)分开处理,Nginx负责静态资源,后端服务负责动态资源,提升整体服务效率。
2. Nginx安装方法(Linux系统实战)
生产环境中,Nginx主要部署在Linux系统(CentOS、Ubuntu为主),两种安装方式:
1. yum安装(centos系统)
bash
# 1. 安装Nginx官方yum源(避免安装系统自带的旧版本)
rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
# 2. 安装Nginx
yum install nginx -y
# 3. 启动Nginx并设置开机自启
systemctl start nginx
systemctl enable nginx
# 4. 查看Nginx运行状态
systemctl status nginx2. 源码安装,自定义编译,灵活配置模块
bash
# 1. 安装依赖包
yum install gcc gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel -y
# 2. 下载Nginx源码包(官网下载最新稳定版,此处以1.24.0为例)
wget http://nginx.org/download/nginx-1.24.0.tar.gz
# 3. 解压源码包
tar -zxvf nginx-1.24.0.tar.gz
cd nginx-1.24.0
# 4. 配置编译参数(启用SSL模块,指定安装路径)
./configure --prefix=/usr/local/nginx --with-http_ssl_module
# 5. 编译并安装
make && make install
# 6. 启动Nginx(源码安装无systemctl管理,需手动启动)
/usr/local/nginx/sbin/nginx
# 7. 停止Nginx
/usr/local/nginx/sbin/nginx -s stop一、核心基础参数(必用 / 常用)
--prefix=PATH:核心参数,指定 Nginx 安装根目录(如你使用的/usr/local/nginx),所有配置文件、可执行文件、日志等均会放在该目录下。--user=USER:指定 Nginx 运行的用户(如--user=nginx),避免使用 root 用户运行,提升安全性。--group=GROUP:指定 Nginx 运行的用户组(如--group=nginx),与--user配合使用,规范权限管理。--with-cc-opt=OPTIONS:设置 C 编译器参数,如--with-cc-opt=-O2开启编译优化,提升 Nginx 运行效率。(这个是占位符,实际编译不需要,会报错)
二、HTTP 相关模块参数(扩展 HTTP 功能)
--with-http_gzip_module:启用 Gzip 压缩模块,可压缩静态资源(CSS、JS、HTML 等),减少网络传输带宽,对应文档中静态资源优化配置。(默认自带,不需要添加)--with-http_stub_status_module:启用状态统计模块,可通过访问/nginx_status查看 Nginx 运行状态(连接数、请求数等),便于运维监控。--with-http_realip_module:启用真实 IP 模块,可获取客户端真实 IP(解决反向代理场景下 IP 透传问题),与文档中反向代理的X-Real-IP配置互补。--with-http_flv_module/--with-http_mp4_module:分别启用 FLV、MP4 视频流媒体模块,支持视频点播、流媒体传输场景。--with-http_image_filter_module:启用图片处理模块,可实现图片缩放、裁剪等功能(需依赖 gd 库)。
三、SSL/HTTPS 相关扩展参数
--with-http_ssl_module:基础 SSL 模块,启用后支持 HTTPS 加密传输(你已使用)。--with-http_v2_module:启用 HTTP/2 模块,提升 HTTPS 传输效率(对应文档中 HTTPS 配置的http2参数)。--with-openssl=PATH:指定 openssl 源码路径,适用于系统 openssl 版本过低,需自定义更高版本 openssl 的场景(如需支持 TLSv1.3)。
四、负载均衡 / 反向代理扩展参数
--with-stream:启用 stream 模块,支持 TCP/UDP 反向代理(如反向代理数据库、Redis 等非 HTTP 服务),超出 HTTP 反向代理范围,适用于复杂运维场景。--with-http_upstream_check_module:启用后端节点健康检查模块,可自动检测后端服务状态,故障节点自动剔除,提升负载均衡可靠性。(是 ** 淘宝 Tengine(Nginx 衍生版)** 的内置模块参数,标准 Nginx 1.24.0 官方版本并不支持这个参数。)
五、其他实用参数
--without-http_autoindex_module:禁用自动索引模块(默认启用),避免客户端访问静态资源目录时显示文件列表,提升安全性。--without-http_ssi_module:禁用 SSI 模块(服务器端包含),若无需动态拼接页面,禁用可减少资源占用。--with-pcre=PATH:指定 pcre 源码路径,pcre 用于解析正则表达式(Nginx 配置中大量使用正则),若系统 pcre 版本过低需自定义。
./configure --prefix=/usr/local/nginx \
--with-http_ssl_module \
--with-http_stub_status_module \
--with-http_realip_module \
--with-http_v2_module \
--with-stream \
--without-http_autoindex_module
3. Nginx核心目录结构
| 目录/文件路径 | 核心作用 |
|---|---|
| /usr/local/nginx/conf/nginx.conf | Nginx主配置文件(核心配置,全局参数、HTTP块配置均在此) |
| /usr/local/nginx/conf.d/ | 虚拟主机配置目录(推荐将单个域名配置放在此目录,后缀为.conf) |
| /usr/local/nginx/logs/ | 日志目录,包含access.log(访问日志)和error.log(错误日志) |
| /usr/local/nginx/html/ | 默认静态资源目录(Nginx默认首页存放于此) |
| /usr/local/nginx/sbin/nginx | Nginx可执行文件(yum安装的启动命令路径) |
4. Nginx基础配置
Nginx配置文件(nginx.conf)分为3个核心块,自上而下依次为:全局块、events块、HTTP块,基础配置示例如下,重点理解各块作用:
bash
# 1. 全局块(配置影响Nginx全局的参数)
worker_processes 1; # 工作进程数,默认1
error_log /var/log/nginx/error.log warn; # 错误日志路径与级别
pid /var/run/nginx.pid; # 进程PID文件路径
# 2. events块(配置Nginx与客户端网络连接相关参数)
events {
worker_connections 1024; # 单个Worker进程最大连接数
}
# 3. HTTP块(配置HTTP请求处理相关参数,核心块)
http {
include mime.types; # 引入MIME类型(告诉Nginx识别不同文件类型)
default_type application/octet-stream; # 默认文件类型
# 日志格式定义
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main; # 访问日志路径与格式
sendfile on; # 启用高效文件传输
# 虚拟主机配置(单个server块对应一个域名/网站)
server {
listen 80; # 监听80端口(HTTP默认端口)
server_name localhost; # 绑定的域名/IP,入门阶段用localhost即可
# location块(匹配请求路径,处理对应请求)
location / {
root /usr/share/nginx/html; # 静态资源根目录
index index.html index.htm; # 默认首页文件
}
# 错误页面配置(当出现404、500错误时,返回自定义页面)
error_page 404 /404.html;
location = /404.html {
root /usr/share/nginx/html;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
}二、Nginx核心架构深度解析
1. 核心进程模型(master-worker模型)
Nginx启动后默认生成两类进程,分工明确、相互配合,确保服务稳定与高效:
-
Master进程(主进程):负责管理Worker进程,不直接处理客户端请求,核心职责包括:读取并验证配置文件、启动/停止/重载Worker进程、接收外界信号(如重启、停止指令)、维护Worker进程生命周期(Worker异常退出时自动重启,保证服务不中断)。
-
Worker进程(工作进程):实际处理客户端HTTP/HTTPS请求,数量可配置(建议与CPU核心数一致,充分利用多核资源),每个Worker进程独立运行,采用异步非阻塞事件驱动(epoll模型,Linux系统首选),单个Worker可同时处理上万条并发连接,内存占用仅几MB。
生产环境配置建议------Worker进程数设置为CPU核心数,可通过nproc --all查看CPU核心数,配置示例如下:
bash
# 全局块配置(nginx.conf顶部)
worker_processes auto; # auto自动匹配CPU核心数,等价于手动设置具体数值(如4核CPU设为4)
error_log /var/log/nginx/error.log warn; # 错误日志路径与级别,warn级别可兼顾日志量与排障需求
pid /var/run/nginx.pid; # 进程PID文件路径2. 事件驱动机制(epoll模型)
Nginx采用epoll高效事件模型,区别于传统阻塞IO,其核心优势的是「单进程处理多连接」,无需为每个连接创建新进程/线程,大幅降低系统资源开销。
核心原理:Worker进程通过epoll监听多个客户端连接,当连接有可读/可写事件时,epoll通知Worker进程处理,处理完成后继续监听,无需等待连接完成(非阻塞),因此能支撑极高并发。
实战配置(events块):
bash
events {
worker_connections 10000; # 单个Worker进程最大连接数,建议设置为10000以上(结合服务器性能调整)
use epoll; # 启用epoll事件模型(Linux系统推荐,Windows系统使用select)
multi_accept on; # 允许单个Worker进程同时接收多个新连接,提升并发接收效率
}三、Nginx进阶核心配置
以下配置均为运维实战高频场景,适配大多数企业级应用,直接修改参数即可落地使用,重点关注配置细节与避坑点。
1. 反向代理进阶配置(隐藏后端服务,提升安全性)
反向代理是Nginx最核心的进阶用法,核心作用是隐藏后端真实服务器地址,转发客户端请求,同时实现负载均衡、缓存、SSL终止等功能,避免后端服务直接暴露在公网。
实战场景:将客户端请求转发至后端Tomcat/Node.js/PHP-FPM服务,实现IP透传(获取客户端真实IP)、超时控制、请求头转发,配置示例如下:
bash
http {
# 定义后端服务器组(可配置多个后端节点,用于后续负载均衡)
upstream backend_server {
server 192.168.1.10:8080; # 后端服务1(Tomcat/Node.js端口)
server 192.168.1.11:8080; # 后端服务2
keepalive 32; # 保持与后端服务的长连接,减少TCP握手开销
}
# 虚拟主机配置(单个域名对应一个server块)
server {
listen 80;
server_name www.example.com; # 绑定的域名(可配置多个,用空格分隔)
# 反向代理核心配置
location / {
proxy_pass http://backend_server; # 转发请求至后端服务器组
proxy_set_header Host $host; # 转发请求头,确保后端服务获取正确的主机名
proxy_set_header X-Real-IP $remote_addr; # 透传客户端真实IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 透传经过的代理节点IP
proxy_set_header X-Forwarded-Proto $scheme; # 透传请求协议(http/https)
# 超时控制(避免后端服务异常导致Nginx阻塞)
proxy_connect_timeout 10s; # 与后端服务建立连接的超时时间
proxy_read_timeout 30s; # 读取后端服务响应的超时时间
proxy_send_timeout 30s; # 向后端服务发送请求的超时时间
}
}
}避坑点:proxy_pass末尾是否加"/"影响路径匹配,例如proxy_pass http://backend_server会保留请求路径(如请求/www/a,转发至后端为/a),加"/"则会去掉匹配的location路径(如请求/www/a,转发至后端为/a)。
2. 负载均衡配置(提升系统可用性,分担并发压力)
当后端服务部署多个节点时,通过Nginx负载均衡将客户端请求均匀分配至各个节点,避免单点故障,提升系统并发处理能力,常用3种负载均衡策略,适配不同业务场景。
(1)权重策略(weight)------ 最常用
根据后端节点性能设置权重,性能越高权重越大,分配到的请求越多,适用于后端节点性能不一致的场景。
bash
upstream backend_server {
server 192.168.1.10:8080 weight=3; # 权重3,接收3/5的请求
server 192.168.1.11:8080 weight=2; # 权重2,接收2/5的请求
server 192.168.1.12:8080 backup; # backup:备用节点,仅当主节点全部故障时启用
}(2)IP哈希策略(ip_hash)------ 解决Session共享问题
根据客户端IP地址进行哈希计算,将同一IP的请求始终分配至同一后端节点,适用于需要Session保持的场景(如登录状态),避免Session丢失。
bash
upstream backend_server {
ip_hash; # 启用IP哈希策略
server 192.168.1.10:8080;
server 192.168.1.11:8080;
server 192.168.1.12:8080 down; # down:标记节点不可用,不分配请求
}(3)最少连接策略(least_conn)------ 均衡连接数
将请求分配至当前连接数最少的后端节点,适用于后端节点性能一致,但请求处理时间差异较大的场景(如文件上传、大数据查询)。
bash
upstream backend_server {
least_conn; # 启用最少连接策略
server 192.168.1.10:8080;
server 192.168.1.11:8080;
}3. HTTPS配置(加密传输,适配合规要求)
当前互联网要求所有公网服务必须启用HTTPS,Nginx作为SSL终止节点,可实现HTTPS加密、证书管理、HTTP自动跳转HTTPS,以下为生产环境标准配置(适配Let's Encrypt免费证书)。
bash
server {
listen 80;
server_name www.example.com;
return 301 https://$host$request_uri; # HTTP自动跳转HTTPS(避免重定向循环)
}
server {
listen 443 ssl http2; # 监听443端口,启用SSL和HTTP/2(提升传输效率)
server_name www.example.com;
# SSL证书配置(Let's Encrypt证书路径)
ssl_certificate /etc/letsencrypt/live/www.example.com/fullchain.pem; # 公钥证书
ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem; # 私钥证书
# SSL优化配置(提升安全性与性能)
ssl_protocols TLSv1.2 TLSv1.3; # 仅启用安全的TLS协议,禁用SSLv3等不安全协议
ssl_prefer_server_ciphers on; # 优先使用服务器端加密套件
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384;
ssl_session_cache shared:SSL:10m; # 启用SSL会话缓存,减少TLS握手开销
ssl_session_timeout 10m; # 会话缓存超时时间
# 反向代理配置(与前文一致,可直接复用)
location / {
proxy_pass http://backend_server;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}补充:Let's Encrypt证书自动续期命令(可加入定时任务,避免证书过期):certbot renew --force-renewal && systemctl reload nginx。
4. 静态资源优化配置(提升访问速度,减轻后端压力)
Nginx处理静态资源(图片、CSS、JS、视频等)的效率远高于后端服务,通过缓存、压缩、防盗链配置,可大幅提升静态资源访问速度,减轻后端负载。
bash
server {
listen 443 ssl http2;
server_name www.example.com;
# 静态资源配置(匹配图片、CSS、JS等文件)
location ~* \.(jpg|jpeg|png|gif|ico|css|js|mp4|mp3)$ {
root /var/www/static; # 静态资源存放目录
expires 365d; # 浏览器缓存时间(一年),减少重复请求
add_header Cache-Control "public, max-age=31536000"; # 缓存控制头
access_log off; # 关闭静态资源访问日志,减少磁盘IO压力
gzip on; # 启用Gzip压缩,减少文件传输大小(节省带宽)
gzip_types image/jpeg image/png text/css application/javascript; # 指定压缩文件类型
gzip_min_length 1k; # 仅压缩大于1KB的文件,避免小文件压缩浪费资源
}
# 防盗链配置(禁止其他网站引用本网站静态资源)
location ~* \.(jpg|jpeg|png|gif)$ {
valid_referers none blocked www.example.com; # 允许引用的域名
if ($invalid_referer) {
return 403; # 非法引用返回403禁止访问
}
}
}四、Nginx故障排查进阶
1. 故障排查核心思路(按优先级排序)
-
检查Nginx运行状态:
systemctl status nginx,查看是否正常运行,若异常则查看启动失败原因。 -
验证配置文件语法:
nginx -t,所有配置修改后必须验证,避免语法错误导致服务无法启动/重载,查看完整配置可使用nginx -T。 -
查看错误日志:
tail -f /var/log/nginx/error.log,80%的故障可通过错误日志定位(如端口占用、证书错误、后端连接失败)。 -
测试网络连通性:
curl -v http://localhost(本地测试)、curl -v https://www.example.com(公网测试),查看请求是否正常响应。 -
检查后端服务:确认后端服务(如PHP-FPM、Tomcat)是否正常运行,可通过
systemctl status php-fpm查看。
2. 高频故障及解决方案
(1)502 Bad Gateway(后端服务连接失败)
故障原因:Nginx无法连接后端服务(后端服务挂了、端口错误、防火墙拦截)。
(2)重定向循环(ERR_TOO_MANY_REDIRECTS)
故障原因:配置错误导致HTTP与HTTPS相互跳转(如HTTPS服务中配置了跳转HTTPS)。
解决方案:确保仅HTTP服务配置跳转HTTPS,HTTPS服务正常处理请求,参考前文HTTPS配置示例,删除HTTPS服务中的冗余跳转指令。
(3)日志文件过大(占用磁盘空间)
故障原因:Nginx访问日志未切割,长期积累导致文件过大,占用磁盘空间。
解决方案:使用logrotate工具自动切割日志,配置示例如下:
bash
# 创建日志切割配置文件(/etc/logrotate.d/nginx)
/var/log/nginx/*.log {
daily # 每天切割一次
rotate 30 # 保留30天的日志文件
compress # 压缩旧日志(节省磁盘空间)
missingok # 若日志文件不存在,不报错
postrotate # 切割后重载Nginx,确保日志正常写入
systemctl reload nginx
endscript
}(4)SSL证书过期(浏览器提示证书无效)
故障原因:SSL证书过期,未及时续期。
bash
# 1. 检查证书过期时间
openssl x509 -enddate -noout -in /etc/ssl/certs/nginx.crt
# 2. 续期Let's Encrypt证书
certbot renew --force-renewal
# 3. 重载Nginx,使证书生效
systemctl reload nginx五、Nginx性能优化(生产环境高并发适配)
基于Nginx架构特性,通过优化配置,可进一步提升并发处理能力、降低资源占用,以下配置均为生产环境验证有效的优化方案,根据服务器配置灵活调整。
1. 全局与事件块优化
bash
worker_processes auto; # 与CPU核心数一致,充分利用多核
worker_cpu_affinity 0001 0010 0100 1000; # 绑定CPU核心(4核示例),避免进程切换开销
worker_rlimit_nofile 65535; # 提高Worker进程最大文件打开数(解决高并发下文件描述符不足问题)
events {
worker_connections 10000; # 单个Worker最大连接数
use epoll; # 高效事件模型
multi_accept on; # 批量接收连接
worker_aio_requests 1024; # 异步IO请求数,提升IO处理效率
}2. HTTP块优化
bash
http {
include mime.types;
default_type application/octet-stream;
# 日志优化(减少磁盘IO)
log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"';
access_log /var/log/nginx/access.log main buffer=32k; # 日志缓冲,批量写入磁盘
open_log_file_cache max=1000 inactive=20s min_uses=2; # 日志文件缓存
# 连接优化
sendfile on; # 启用高效文件传输(避免用户空间与内核空间拷贝)
tcp_nopush on; # 合并TCP数据包,减少网络包数量
tcp_nodelay on; # 禁用Nagle算法,降低延迟(适用于实时通信场景)
keepalive_timeout 30; # 长连接超时时间,避免频繁建立TCP连接
keepalive_requests 1000; # 一个长连接最多处理1000个请求
# 缓冲区优化
client_body_buffer_size 16k; # 客户端请求体缓冲区大小
client_header_buffer_size 4k; # 客户端请求头缓冲区大小
large_client_header_buffers 4 16k; # 大请求头缓冲区大小
}3. 高并发防护优化(抵御DDoS攻击)
通过限制IP请求频率、并发连接数,可有效抵御小规模DDoS攻击,保护Nginx服务稳定。
bash
http {
# 限制每个IP的请求频率(每秒最多10个请求)
limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;
# 限制每个IP的并发连接数(最多10个并发)
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
server {
listen 443 ssl http2;
server_name www.example.com;
location / {
limit_req zone=req_limit burst=20 nodelay; # burst:允许突发20个请求,nodelay:不延迟处理
limit_conn conn_limit 10; # 单个IP最多10个并发连接
proxy_pass http://backend_server;
# 其他配置...
}
}
}六、Nginx常用进阶命令
|-------------|----------------------------------------------|-----------------------------|
| 命令用途 | 具体命令 | 说明 |
| 验证配置语法 | nginx -t | 配置修改后必执行,避免语法错误 |
| 重载配置(不中断服务) | nginx -s reload 或 systemctl reload nginx | 适用于配置修改后,无需停止服务即可生效 |
| 停止Nginx服务 | nginx -s stop(强制停止)或 nginx -s quit(优雅停止) | quit会等待所有请求处理完成后停止,推荐生产环境使用 |
| 查看Nginx进程 | ps -ef | grep nginx | 查看Master和Worker进程是否正常运行 |
| 查看Nginx监听端口 | netstat -tulnp | grep nginx | 确认80/443等端口是否正常监听 |
| 查看Nginx版本 | nginx -v(简单版本)或 nginx -V(详细版本+编译参数) | 查看是否支持SSL、stream等模块 |