一、什么是正向代理和反向代理:
A同学在大众创业的大时代背景下开启他的创业之路,目前他遇到的最大的一个问题就是启动资金,于是他决定去找马云爸爸借钱,可想而知,最后碰一鼻子灰回来了,情急之下,他想到一个办法,找关系开后门,经过一番消息打探,原来A同学的大学老师王老师是马云的同学,于是A同学找到王老师,托王老师帮忙去马云那借500万过来,当然最后事成了。不过马云并不知道这钱是A同学借的,马云是借给王老师的,最后由王老师转交给A同学。这里的王老师在这个过程中扮演了一个非常关键的角色,就是代理,也可以说是正向代理,王老师代替A同学办这件事,这个过程中,真正借钱的人是谁,马云是不知道的,这点非常关键。
我们常说的代理也就是只正向代理,正向代理的过程,它隐藏了真实的请求客户端,服务端不知道真实的客户端是谁,客户端请求的服务都被代理服务器代替来请求,某些科学上网工具扮演的就是典型的正向代理角色。用浏览器访问http://www.google.com时,被残忍的block,于是你可以在国外搭建一台代理服务器,让代理帮我去请求google.com,代理把请求返回的相应结构再返回给我。
大家都有过这样的经历,拨打10086客服电话,可能一个地区的10086客服有几个或者几十个,你永远都不需要关心在电话那头的是哪一个,叫什么,男的,还是女的,漂亮的还是帅气的,你都不关心,你关心的是你的问题能不能得到专业的解答,你只需要拨通了10086的总机号码,电话那头总会有人会回答你,只是有时慢有时快而已。那么这里的10086总机号码就是我们说的反向代理。客户不知道真正提供服务人的是谁。反向代理隐藏了真实的服务端,当我们请求ww.baidu.com 的时候,就像拨打10086一样,背后可能有成千上万台服务器为我们服务,但具体是哪一台,你不知道,也不需要知道,你只需要知道反向代理服务器是谁就好了,www.baidu.com 就是我们的反向代理服务器,反向代理服务器会帮我们把请求转发到真实的服务器那里去。Nginx就是性能非常好的反向代理服务器,用来做负载均衡。
两者的区别在于代理的对象不一样: 正向代理是为客户端代理,反向代理是为服务端代理。
nginx能实现负载均衡,什么是负载均衡呢?就是我的项目部署在不同的服务器上,但是通过统一的域名进入,nginx则对请求进行分发,减轻了服务器的压力。
在上面这两种情况下,nginx服务器的作用都只是作为分发服务器,真正的内容,我们可以放在其他的服务器上,这样来,还能起到一层安全隔壁的作用,nginx作为隔离层。
其次,nginx还能解决跨域的问题。
二、Nginx配置文件的整体结构
1. 从图中可以看出主要包含以下几大部分内容:
-
全局块
该部分配置主要影响Nginx全局,通常包括下面几个部分:
配置运行Nginx服务器用户(组)
worker process数
Nginx进程PID存放路径
错误日志的存放路径
配置文件的引入
-
events块
该部分配置主要影响Nginx服务器与用户的网络连接,主要包括:
设置网络连接的序列化
是否允许同时接收多个网络连接
事件驱动模型的选择
最大连接数的配置
-
http块
定义MIMI-Type
自定义服务日志
允许sendfile方式传输文件
连接超时时间
单连接请求数上限
-
server块
配置网络监听
基于名称的虚拟主机配置
基于IP的虚拟主机配置
-
location块
location配置
请求根目录配置
更改location的URI
网站默认首页配置
2. 一份配置清单例析
按照前面文章,给出一份简要的清单配置举例:
3. 配置运行Nginx服务器用户(组)
指令格式:user user [group];
user:指定可以运行Nginx服务器的用户
group:可选项,可以运行Nginx服务器的用户组
如果user指令不配置或者配置为 user nobody nobody ,则默认所有用户都可以启动Nginx进程
4. worker_process数配置
Nginx服务器实现并发处理服务的关键,指令格式:worker_processes number | auto;
number:Nginx进程最多可以产生的worker process数
auto:Nginx进程将自动检测
按照上文中的配置清单的实验,我们给worker_processes配置的数目是:3,启动Nginx服务器后,我们可以后台看一下主机上的Nginx进程情况:
ps -aux | grep nginx
很明显,理解 worker_processes 这个指令的含义就很容易了
5. Nginx进程PID存放路径
Nginx进程是作为系统守护进程在运行,需要在某文件中保存当前运行程序的主进程号,Nginx支持该保存文件路径的自定义
指令格式:pid file;
file:指定存放路径和文件名称
如果不指定默认置于路径 logs/nginx.pid
6. 错误日志的存放路径
指定格式:error_log file | stderr;
file:日志输出到某个文件file
stderr:日志输出到标准错误输出
7. 配置文件的引入
指令格式:include file;
该指令主要用于将其他的Nginx配置或者第三方模块的配置引用到当前的主配置文件中
8. 设置网络连接的序列化
指令格式:accept_mutex on | off;
该指令默认为on状态,表示会对多个Nginx进程接收连接进行序列化,防止多个进程对连接的争抢。
说到该指令,首先得阐述一下什么是所谓的"惊群问题",可以参考 WIKI百科的解释。就Nginx的场景来解释的话大致的意思就是:当一个新网络连接来到时,多个worker进程会被同时唤醒,但仅仅只有一个进程可以真正获得连接并处理之。如果每次唤醒的进程数目过多的话,其实是会影响一部分性能的。
所以在这里,如果accept_mutex on,那么多个worker将是以串行方式来处理,其中有一个worker会被唤醒;反之若accept_mutex off,那么所有的worker都会被唤醒,不过只有一个worker能获取新连接,其它的worker会重新进入休眠状态
这个值的开关与否其实是要和具体场景挂钩的。
9. 是否允许同时接收多个网络连接
指令格式:multi_accept on | off;
该指令默认为off状态,意指每个worker process 一次只能接收一个新到达的网络连接。若想让每个Nginx的worker process都有能力同时接收多个网络连接,则需要开启此配置
10. 事件驱动模型的选择
指令格式:use model;
model模型可选择项包括:select、poll、kqueue、epoll、rtsig等......
11. 最大连接数的配置
指令格式:worker_connections number;
number默认值为512,表示允许每一个worker process可以同时开启的最大连接数
12. 定义MIME-Type
指令格式:
include mime.types;default_type mime-type;
MIME-Type指的是网络资源的媒体类型,也即前端请求的资源类型
include指令将mime.types文件包含进来
cat mime.types 来查看mime.types文件内容,我们发现其就是一个types结构,里面包含了各种浏览器能够识别的MIME类型以及对应类型的文件后缀名字,如下所示:
13. 自定义服务日志
指令格式:
access_log path [format];
path:自定义服务日志的路径 + 名称
format:可选项,自定义服务日志的字符串格式。其也可以使用 log_format 定义的格式
14. 允许sendfile方式传输文件
指令格式:
sendfile on | off;sendfile_max_chunk size;
前者用于开启或关闭使用sendfile()传输文件,默认off
后者指令若size>0,则Nginx进程的每个worker process每次调用sendfile()传输的数据了最大不能超出此值;若size=0则表示不限制。默认值为0
15. 连接超时时间配置
指令格式:
keepalive_timeout timeout [header_timeout];
timeout 表示server端对连接的保持时间,默认75秒
header_timeout 为可选项,表示在应答报文头部的 Keep-Alive 域设置超时时间:"Keep-Alive : timeout = header_timeout"
16. 单连接请求数上限
指令格式:
keepalive_requests number;
该指令用于限制用户通过某一个连接向Nginx服务器发起请求的次数
17. 配置网络监听
指令格式:
第一种:配置监听的IP地址:listen IP[:PORT];
第二种:配置监听的端口:listen PORT;
实际举例:
listen 192.168.31.177:8080; # 监听具体IP和具体端口上的连接
listen 192.168.31.177; # 监听IP上所有端口上的连接
listen 8080; # 监听具体端口上的所有IP的连接
18. 基于名称和IP的虚拟主机配置
指令格式:
server_name name1 name2 ...
name可以有多个并列名称,而且此处的name支持正则表达式书写
实际举例:
server_name ~^www\d+\.myserver\.com$
此时表示该虚拟主机可以接收类似域名 www1.myserver.com 等的请求而拒绝 www.myserver.com 的域名请求,所以说用正则表达式可以实现更精准的控制
至于基于IP的虚拟主机配置比较简单,不再太赘述:
指令格式:
server_name IP地址
19. location配置
指令格式为:
location [ = | ~ | ~* | ^~ ] uri {...}
这里的uri
分为标准uri和正则uri,两者的唯一区别是uri中是否包含正则表达式(URI,是uniform resource identifier,统一资源标识符,用来唯一的标识一个资源。而URL是uniform resource locator,统一资源定位器,它是一种具体的URI,即URL可以用来标识一个资源,而且还指明了如何locate这个资源。)
uri前面的方括号中的内容是可选项,解释如下:
"="
:用于标准uri前,要求请求字符串与uri严格匹配,一旦匹配成功则停止
"~"
:用于正则uri前,并且区分大小写
"~*"
:用于正则uri前,但不区分大小写
"^~"
:用于标准uri前,要求Nginx找到标识uri和请求字符串匹配度最高的location后,立即使用此location处理请求,而不再使用location块中的正则uri和请求字符串做匹配
20. 请求根目录配置
指令格式:
root path;
path:Nginx接收到请求以后查找资源的根目录路径
当然,还可以通过alias指令来更改location接收到的URI请求路径,指令为:
alias path; # path为修改后的根路径
21. 设置网站的默认首页
指令格式:
index file ......
file
可以包含多个用空格隔开的文件名,首先找到哪个页面,就使用哪个页面响应请求
其实Nginx的配置真的是很简单,对于新手们来说其实最大的问题就是Nginx所有的配置都是基于配置文件和各个模块语法的,这些看着给人的感觉好复杂的样子,其实理解了各个模块的意义和基本语法后就变的尤为简单了!
三、Nginx配置SSL及HTTP跳转到HTTPS
随着微信小程序和appstore对ssl安全的需求,越来越多的网站和app需要支持SSL功能,需要开启https的方式来打开网站或传输数据。
ssl证书网上可以找到收费和免费的申请,nginx配置如下:
Nginx配置SSL并把Http跳转到Https,需要修改Nginx.conf配置文件:
# Settings for a TLS enabled server.
# 如果是http请求默认访问80端口,此时return强行301重定向到https://www.joyitsai.com
server {
listen 80;
server_name www.joyitsai.com;
return 301 https://www.joyitsai.com$request_uri;
# 把http重定向到https使用了nginx的重定向命令,之前老版本的nginx可能使用了以下类似的格式:
# rewrite ^/(.*)$ http://www.joyitsai.com/$1 permanent;
# 或者:
# rewrite ^ http://www.joyitsai.com$request_uri? permanent;
# 现在nginx新版本已经换了种写法,上面这些已经不再推荐。现在网上可能还有很多文章写的是第一种。
# 新的写法比较推荐方式是:return 301 https://www.joyitsai.com$request_uri;
}
server {
listen 443;
server_name www.joyitsai.com;
root /data/release/weapp/uploadFiles;
# 开启ssl功能
ssl on;
# 配置ssl证书,直接用.pem和.key文件的绝对路径
ssl_certificate/data/release/nginx/1535530361992.pem;
ssl_certificate_key/data/release/nginx/1535530361992.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE - RSA - AES128 - GCM - SHA256: ECDHE: ECDH: AES: HIGH: !NULL: !aNULL: !MD5: !ADH: !RC4;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://app_weapp;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
location /images/ {
autoindex on;
}
# 配置uri, ~用于正则uri前,其中.(png|jpg)为正则表达式,如果后缀是.png或.jpg的url请求,则匹配成功
# root用于配置接收到请求以后查找资源的根目录路径
location ~ \.(png|jpg) {
root /data/release/weapp/uploadFiles;
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}