1、搭建时间服务器，日志服务器并简述sudo安全切换。

1)搭建时间服务器：

早期是用ntp服务：

#yum install ntp

其配置文件是/etc/ntp.conf.

配置文件内容中server 表示以谁为时间服务器，restrict 表示允许哪个IP的机器来同步我的时间。  如果restrict后面指定自己127.0.0.1则不允许别人来同步时间（即只是做为客户端，而不做为服务端）。

centos7以后开始使用chrony做时间服务器，chrony兼容NTP服务。监听123（传统NTP服务端口）和323（chrony服务端口），这样客户端既可以是ntp也可以是chrony。

接下来以服务端和客户端都是chrony来说明时间同步，

A机：192.168.184.136（时间服务器），B机：192.168.184.138（客户端）

root用户登录A机：

安装chrony

# yum install chrony -y

修改配置文件

# vi /etc/chrony.conf

server 0.centos.pool.ntp.org iburst

allow 192.168.184.0/24

server来指定上一级时间同步服务器，allow表示允许那个IP段以本机为时间服务器同步时间。这里指定 192.168.184.0/24网段

配置完重启chrony服务

#systemctl  restart  chronyd.service

#ss -tunlp   查看端口323

root用户登录B机：

安装chrony

# yum install chrony -y

修改配置文件

# vi /etc/chrony.conf

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

server 192.168.184.136 iburst

注释掉其他的server，配置以A机为时间服务器

然后重启客户端的chrony服务

# systemctl  restart  chronyd.service

# systemctl enable chronyd.service 开机自启动服务

查看同步源（时间服务器）

# chronyc sources

查看同步状态

#chronyc sourcestats

2）搭建日志服务器

为了更好的管理应用程序和操作系统的日志，使用日志服务器进行管理，我们需要用到rsyslog,它是由早期的syslog的升级版。它可以收集系统引导启动、应用程序启动、应用程序（尤其是服务类应用程序）运行过程中的事件。

记录的格式为：事件产生日期和时间  主机  进程PID  事件内容。

rsyslog的特性：多线程,支持TCP、UDP、SSL、TLS、RELP协议。可存储信息于日志、mysql等数据库管理系统。可以对日志信息进行过滤，可以自定义输出格式。

安装rsyslog

#yum install rsyslog

它的主程序是rsyslogd

它的配置文件是/etc/rsyslog.conf,  /etc/rsyslog.d/*.conf

主配置文件rsyslog.conf 主要由三个部分组成： 

MODULES  表示加载的模块列表

GLOBAL DIRECTIVES   表示全局的配置

RULES   表示日志记录规则（重点）

其中：

MODULES段的格式为

$ModLoad  模块名称

如果模块名称为im开起表示输入模块，如果以om开头表示输出模块

GLOBAL DIRECTIVES 段主要定义一些常用设置，比如：

$WorkDirectory  表示工作目录

RULES 段的格式为：

facility.priority  target

其中

facility:设施，从功能上或程序上对日志收集进行分类，如：auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0~local7,syslog

priority：优先级，日志级别,如下（从左到右，由低到高）：debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)

指定级别的方式：

*：所有级别;

none:没有级别;

priority:此级别以及高于此级别的所有级别）

=priority：仅此级别;

一般要求日志级别为warn，即warn以及warn以上级别的日志要记录。

生产上一般不会开debug级别的日志，因为日志记录太多会导致io繁忙。

target:日志写入目标

文件：把日志事件写入到指定的文件中，日志文件通常位于/var/log目录下，

文件路径前面加"-"表示异步写入文件;

用户：将日志事件通知给指定的用户，通过将信息发送给登录到系统上的用户的终端进行的;

日志服务器：@host ，把日志发送到指定的服务器主机，

要保证host日志服务器在tcp或udp协议的514端口有监听并提供日志服务。

管道：  | COMMAND  送到某一命令进行处理

接下来做一个日志服务器和客户端服务器，把客户端的服务内容提交到日志服务器上。

A机：192.168.184.136（日志服务器），B机：192.168.184.138（客户端）

在日志服务器（A机)上：

# yum install rsyslog

修改配置文件

# vi  /etc/rsyslog.conf

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

以上配置行的注释去掉后就会开启对tcp和udp协议的514端口进行监听。

重启rsyslog服务

#systemctl restart rsyslog.service

#ss -tunl  查看有514端口监听。

在客户端服务器（B机）上

# yum install rsyslog

修改配置文件

# vi  /etc/rsyslog.conf

#*.info;mail.none;authpriv.none;cron.none               /var/log/messages

*.info;mail.none;authpriv.none;cron.none                @192.168.184.136

把它的target 改为  @日志服务器IP

然后重启客户端的rsyslog服务

#systemctl restart rsyslog.service

这样就不会有日志记录到B机的/var/log/message中了。而是记录到日志服务器A上，由日志服务器上的配置文件决定日志记录到哪里。由我们没有改为A机上RULES 日志规则所以是写入到日志服务器上的/var/log/message（为了较好的看出效果，需要事先设置不同的主机名）

接下来把日志保存的mysql中。

在日志服务器（A机）上运行：

安装rsyslog-mysql的模块

# yum install rsyslog-mysql

查看安装文件位置

#  rpm -ql rsyslog-mysql

安装mariadb数据库

# yum install mariadb-server  mariadb

# vi  /etc/my.cnf.d/server.cnf

[mysqld]

skip_name_resolve=ON

innodb_file_per_table=ON

启动数据库并导入数据

systemctl start mariadb.service

# mysql

#  mysql 

mysql>GRANT ALL ON Syslog.* TO 'rsyslog'@'192.168.184.%' IDENTIFIED BY 'rsyspass';

mysql> flush privileges;

mysql>quit;

修改日志服务器上的rsyslog配置文件

# vi /etc/rsyslog.conf

#### MODULES ####

$ModLoad ommysql

#### RULES ####

*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.184.136,Syslog,rsyslog,rsyspass

加载ommysql模块，并配置target为ommysql ，

后面这串内容为:ommysql:数据库主机,数据库名,数据库用户，数据库密码。

然后重启rsyslog.service

# systemctl restart rsyslog.service

在B机上登录用户和登出用户操作，再查一下A机的数据库发现有新的记录产生。

再接下来做一个WEB展示接口：

安装lamp组合

# yum install httpd php php-mysql php-gd -y

安装loganalyzer

# tar xf

#  cp  -r  loganalyzer-4.1.7.tar.gz

#   cp -r   loganalyzer-4.1.7/src   /var/www/html/loganalyzer

#   cp -r   loganalyzer-4.1.7/contirb/*.sh   /var/www/html/loganalyzer/

#   cd  /var/www/html/loganalyzer/

#  chmod  +x  *.sh

#./configure.sh

# service httpd start

然后通过URL访问：

http://A机IP/loganalyzer

#./secure.sh

3)sudo 安全切换

sudo 能够让获得授权的用户以另外一个用户(一般为root用户)的身份运行指定的命令

授权配置文件/etc/sudoers，但是一般使用visudo命令进行编辑。因为误操作引起系统异常。

授权配置文件的格式：

users  hosts=(runas)   commands

含义是，users列表中的用户（组），可以在hosts列表的位置上，以runas用户的身份来运行commands命令列表中的命令。

各个字段可能的值 为：

users:  sudo命令的发起用户

用户名 或uid

%用户组名  或%gid   （这里要注意用户需把基本组切换为该用户组，才能使用sudo）

User_Alias 用户别名

hosts:  允许的地址

ip地址

主机名

NetAddr

Host_Alias 主机别名

runas:   以某一用户的身份执行

用户名 或uid

Runas_Alias 用户别名

commands: 指定的命令列表

command（命令建议使用完整的绝对路径）

！command 表示禁止某一命令

directory

sudoedit:特殊权限，可用于向其它用户授予sudo权限

Cmnd_Alias    命令别名

这几个字段中hosts，runas, commands都可以用ALL来表示所有。

定义别名的方法：

ALIAS_TYPE NAME=item1,item2,item3,...

NAME:别名名称，必须使用全大写字符

ALIAS_TYPE ：User_Alias，Host_Alias，Runas_Alias ，Cmnd_Alias

sodu命令执行时会要求用户输入自己的密码，为了避免频繁验密与安全其见，能记录成功认证结果一段时间，默认为5分钟，即5分钟内不需要再验证用户密码。

以sudo的方式来运行指定的命令

sudo   [options]  COMMAND

-l  列出sudo配置文件中用户能执行的命令

-k  清除此前缓存用户成功认证结果，之后再次运行sudo时要验证用户密码。

如果想要让用户输入部分命令时不需要进行密码验证，在sudo配置文件中commands列表部分，可以在命令列表前面加上"NOPASSWD"，则其后的命令不需要密码，如果某些命令又需要密码就在前面加上“PASSWD”，所以commands列表可以为这种格式：

NOPASSWD  不需要密码的命令列表  PASSWD  需要密码的命令列表

安全提示：在sudo配置文件中

root ALL=(ALL) ALL

%wheel ALL=(ALL) ALL

上面配置中root用户这行没有问题，但是%wheel这行要注意，如果把某用户加入到%wheel组，当用户把基本组切换为wheel组时就可以像root用户一样运行命令,较有风险的命令举例如下：

sudo su - root    不需要密码就可以切换到root用户

sudo  passwd  root    修改root用户密码，不需要输入原密码。

建议把%wheel改为

%wheel ALL=(ALL)   ALL,!/bin/su,!/usr/bin/passwd root

2、详解nginx模块使用方法。

nginx的特性之一就是模块化设计，有较好的扩展性。

其模块分类如下：

核心模块：core module

标准模块：

HTTP 模块： ngx_http_*

HTTP Core modules  默认功能

HTTP Optional modules 需编译时指定

Mail 模块    ngx_mail_*

Stream 模块 ngx_stream_*

第三方模块

1.核心模块：

#user  nobody;   指定worker进程的运行身份，如组不指定，默认和用户名同名

worker_processes  1|auto;  指定worker进程的数量；通常应该为当前主机的cpu的物理核心数

include  path/to/file   指明包含进来的其它配置文件片断

worker_cpu_affinity auto [cpumask] 提高缓存命中率

CPU MASK：

00000001：0号CPU

00000010：1号CPU

10000000：8号CPU

worker_priority number  指定worker进程的nice值，设定worker进程优先级：[-20,20]

#error_log file [level]    错误日志文件及其级别；出于调试需要，可设定为debug；但debug仅在编译时 使用了“--with-debug”选项时才有效

#error_log  logs/error.log  notice;

#error_log  logs/error.log  info;

#pid        logs/nginx.pid;  指定存储nginx主进程PID的文件路径

events {

worker_connections  1024;  每个worker进程所能够打开的最大并发连接数数量

use method   指明并发连接请求的处理方法 ,默认自动选择最优方法 ，如， use epoll

accept_mutex on | off  处理新的连接请求的方法；on指由各个worker轮流处理新请求，Off指每个新请 求的到达都会通知(唤醒)所有的worker进程，但只有一个进程可获得连接，影响性能

}

#daemon on|off  是否以守护进程方式运行nignx，默认是守护进程方式

#master_process on|off     是否以master/worker模型运行nginx；默认为on，off 将不启动worker

2.HTTP Core modules模块的配置使用：

(1)与套接字相关的配置：

server { ... }  配置一个虚拟主机

server {

listen address[:PORT]|PORT;

server_name SERVER_NAME;

root /PATH/TO/DOCUMENT_ROOT;

}

listen：

listen  port  指令监听在不同的端口

listen IP:PORT;  IP 地址不同

同时listen子句还支持一些可选的选项：

●default_server  设定为默认虚拟主机

●ssl    限制仅能够通过ssl连接提供服务

●backlog=number  超过并发连接数后，新请求进入后援队列的长度

●rcvbuf=size  接收缓冲区大小

●sndbuf=size  发送缓冲区大小

server_name:

指令指向不同的主机名，虚拟主机的主机名称后可跟多个由空白字符分隔的字符串 ，

支持*通配任意长度的任意字符 如：*aaa(左侧通配符）bbb*(右侧通配符）

支持~起始的字符做正则表达式模式匹配，性能原因慎用

匹配优先级：字符串精确匹配 > 左侧通配符 >右侧通配符>正则表达式>default_server

tcp_nodelayon | off;

在keepalived模式下的连接是否启用TCP_NODELAY选项

当为off时，延迟发送，合并多个请求后再发送

默认On时，不延迟发送

可用于：http, server, location

sendfile on | off;

是否启用sendfile功能，在内核中封装报文直接发送  默认Off

server_tokenson | off | build | string

是否在响应报文的Server首部显示nginx版本

(2)定义路径相关的配置：

root

设置web资源的路径映射；用于指明请求的URL所对应的文档的目录路径，可用于server

若配置：root  /path/to/dir

则http://servername/aaa/bbb.jpg  映射的访问地址就是   /path/to/dir/aaa/bbb.jpg

location

在一个server中location配置段可存在多个，用于实现从uri到文件系统的路 径映射；ngnix会根据用户请求的URI来检查定义的所有location，并找出一个最 佳匹配，而后应用其配置 。

location  操作符 uri   {...}

操作符有：

=：对uri精确匹配

^~:对URI的最左边部分做匹配检查，不区分字符大小写

~：对URI做正则表达式模式匹配，区分字符大小写

~*： 对URI做正则表达式模式匹配，不区分字符大小写

不带符号：匹配起始于此uri的所有的uri

匹配优先级从高到低:    =, ^~, ～/～*, 不带符号

alias   path

路径别名，文档映射的另一种机制；仅能用于location上下文

注意：location中使用root指令和alias指令的意义不同

root，用来指定根目录，故把uri做为子目录继续按路径找文件。给定的路径对应于location中的/uri/左侧的/

alias，用来定义路径别名，故用来替换uri来指名路径，再继续按路径找文件，给定的路径对应于location中的/uri/右侧的/

index file ...;

指定默认网页文件(又称欢迎页面）当未指定路径下的哪个文件时，此页面为默认文件，注意需要：ngx_http_index_module模块

error_page code ... [=[response]] uri;

需要模块：ngx_http_core_module

定义错误页，以指定的响应状态码进行 响应

可用位置：http, server, location, if in location

例如： error_page  404  /404.html

try_files

try_files file ... uri;

或 try_files file ... =code;

按顺序检查文件是否存在，返回第一个找到的文件或文件夹（结尾加斜线表示 为文件夹），如果所有的文件或文件夹都找不到，会进行一个内部重定向到最 后一个参数。只有最后一个参数可以引起一个内部重定向，之前的参数只设置 内部URI的指向。最后一个参数是回退URI且必须存在，否则会出现内部500错误。

(3)  定义客户端请求的相关配置

keepalive_timeout timeout [header_timeout];

设定保持连接超时时长，0表示禁止长连接，默认为75s

keepalive_requestsnumber;

在一次长连接上所允许请求的资源的最大数量  默认为100

keepalive_disable none | browser ...

对哪种浏览器禁用长连接

send_timeout time;

向客户端发送响应报文的超时时长，此处是指两次写操作之间的间隔时长， 而非整个响应过程的传输时长

client_body_buffer_size size;

用于接收每个客户端请求报文的body部分的缓冲区大小；默认为16k；超 出此大小时，其将被暂存到磁盘上的由下面client_body_temp_path指令所定义 的位置

client_body_temp_path path [level1 [level2 [level3]]];

设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量      目录名为16进制的数字；

(4)对客户端进行限制的相关配置

limit_rate rate;

限制响应给客户端的传输速率，单位是bytes/second  默认值0表示无限制

limit_except method ... { ... }，

仅用于location  限制客户端使用除了指定的请求方法之外的其它方法

method可以是:GET, HEAD, POST, PUT, DELETE，MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH

例如：

limit_except GET {

allow 192.168.1.0/24;

deny  all;  }

表示 除了GET之外其它方法仅允许192.168.1.0/24网段主机使用

(5)文件操作优化的配置

aio on | off | threads[=pool];

是否启用aio功能

directio size | off;

当文件大于等于给定大小时，例如directio 4m，同步（直接）写磁盘，而非写缓存

open_file_cache off;

open_file_cache max=N [inactive=time];

nginx可以缓存以下三种信息：  (1) 文件元数据：文件的描述符、文件大小和最近一次的修改时间  (2) 打开的目录结构  (3) 没有找到的或者没有权限访问的文件的相关信息

max=N：可缓存的缓存项上限；达到上限后会使用LRU算法实现管理

inactive=time：缓存项的非活动时长，在此处指定的时长内未被命中的或命中的次 数少于open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项，将被删除

open_file_cache_errors on | off;

是否缓存查找时发生错误的文件一类的信息  默认值为off

open_file_cache_min_uses number;

open_file_cache指令的inactive参数指定的时长内，至少被命中此处指定 的次数方可被归类为活动项  默认值为1

open_file_cache_valid time;

缓存项有效性的检查频率  默认值为60s

3.ngx_http_access_module模块 的配置使用：

可实现基于ip的访问控制功能

allow address | CIDR | unix: | all;

deny address | CIDR | unix: | all;

用于 http, server, location, limit_except 上下文

自上而下检查，一旦匹配，将生效，条件严格的置前

4.ngx_http_auth_basic_module模块的配置使用：

实现基于用户的访问控制，使用basic机制进行用户认证

auth_basic string | off;

auth_basic_user_file file;

用户口令文件：

1、明文文本：格式name:password:comment

2、加密文本：由htpasswd命令实现，此命令由httpd-tools所提供

5.ngx_http_stub_status_module模块的配置使用：

用于输出nginx的基本状态信息

stub_status; 表示返回基本状态信息，信息含义如下：

Active connections:当前状态，活动状态的连接数

accepts：统计总值，已经接受的客户端请求的总数

handled：统计总值，已经处理完成的客户端请求的总数

requests：统计总值，客户端发来的总的请求数

Reading：当前状态，正在读取客户端请求报文首部的连接的连接数

Writing：当前状态，正在向客户端发送响应报文过程中的连接数

Waiting：当前状态，正在等待客户端发出请求的空闲连接数

6.ngx_http_log_module模块 的配置使用：

指定日志格式记录请求

log_format name string ...;

指定日志格式的名称，以及对应的格式字符串。string可以使用nginx核心模块及其它模块内嵌的变量

access_log

访问日志文件路径，格式及相关的缓冲的配置access_log  path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];

access_log off;

open_log_file_cache

缓存各日志文件相关的元数据信息

open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];

open_log_file_cache off;

max：缓存的最大文件描述符数量

min_uses：在inactive指定的时长内访问大于等于此值方可被当作活动项

inactive：非活动时长

valid：验证缓存中各缓存项是否为活动项的时间间隔

7.ngx_http_gzip_module 模块 的配置使用：

用gzip方法压缩响应数据，节约带宽

gzip on | off;    启用或禁用gzip压缩

gzip_comp_level level;    压缩比由低到高：1 到 9  默认：1

gzip_disable regex ...;    匹配到客户端浏览器不执行压缩

gzip_min_length length;    启用压缩功能的响应报文大小阈值

gzip_http_version 1.0 | 1.1;    设定启用压缩功能时，协议的最小版本  默认：1.1

gzip_buffers number size;    支持实现压缩功能时缓冲区数量及每个缓存区的大小  默认：32 4k 或 16 8k

gzip_types mime-type ...;    指明仅对哪些类型的资源执行压缩操作；即压缩过滤器

默认包含有text/html，不用显示指定，否则出错

gzip_vary on | off;     如果启用压缩，是否在响应报文首部插入“Vary: Accept-Encoding”

gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;

nginx充当代理服务器时，对于后端服务器的响应报文，在何种条件下启 用压缩功能

off：不启用压缩

expired，no-cache, no-store，private：对后端服务器的响应报文首部 Cache-Control值任何一个，启用压缩功能

8.ngx_http_ssl_module模块 的配置使用：

ssl on | off;

为指定虚拟机启用HTTPS protocol， 建议用listen指令代替

ssl_certificate file;

当前虚拟主机使用PEM格式的证书文件

ssl_certificate_key file;

当前虚拟主机上与其证书匹配的私钥文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];

支持ssl协议版本，默 认为后三个

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];

none:  通知客户端支持ssl session cache，但实际不支持

builtin[:size]：使用OpenSSL内建缓存，为每worker进程私有

[shared:name:size]：在各worker之间使用一个共享的缓存

ssl_session_timeout time;

客户端连接可以复用ssl session cache中缓存的ssl参数的有效时长，默认5m

9.ngx_http_rewrite_module模块的配置使用：

将用户请求的URI基于PCRE regex所描述的模式进行检查，而后完成重定向替换

rewrite regex replacement [flag]

将用户请求的URI基于regex所描述的模式进行检查，匹配到时将其替换为 replacement指定的新的URI

注意：如果在同一级配置块中存在多个rewrite规则，那么会自下而下逐个 检查；被某条件规则替换完成后，会重新一轮的替换检查

隐含有循环机制,但不超过10次；如果超过，提示500响应码，[flag]所表示 的标志位用于控制此循环机制

如果replacement是以http://或https://开头，则替换结果会直接以重向返 回给客户端, 即永久重定向301

[flag]：

last：重写完成后停止对当前URI在当前location中后续的其它重写操作， 而后对新的URI启动新一轮重写检查；提前重启新一轮循环，不建议在location中 使用

break：重写完成后停止对当前URI在当前location中后续的其它重写操作， 而后直接跳转至重写规则配置块之后的其它配置；结束循环，建议在location中使 用

redirect：临时重定向，重写完成后以临时重定向方式直接返回重写后生成 的新URI给客户端，由客户端重新发起请求；使用相对路径,或者http://或https:// 开头，状态码：302

permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给 客户端，由客户端重新发起请求，状态码：301

return

return code [text];

return code URL;

return URL;

停止处理，并返回给客户端指定的响应码

rewrite_log on | off;

是否开启重写日志, 发送至error_log（notice level）

set $variable value;

用户自定义变量

注意：变量定义和调用都要以$开头

if (condition) { ... }

条件满足时，执行配置块中的配置指令；server, location

condition：

比较操作符：

=  相同    !=  不同

~：模式匹配，区分字符大小写

~*：模式匹配，不区分字符大小写

!~：模式不匹配，区分字符大小写

!~*：模式不匹配，不区分字符大小写

文件及目录存在性判断：

-e, !-e 存在（包括文件，目录，软链接）

-f, !-f  文件  -d, !-d  目录  -x, !-x  执行

10.ngx_http_referer_module模块的配置使用：

用来阻止Referer首部无有效值的请求访问，可防止盗链

valid_referers none|blocked|server_names|string ...;

定义referer首部的合法可用值，不能匹配的将是非法值

none：请求报文首部没有referer首部

blocked：请求报文有referer首部，但无有效值

server_names：参数，其可以有值作为主机名或主机名模式

arbitrary_string：任意字符串，但可使用*作通配符

regular expression：被指定的正则表达式模式匹配到的字符串,要使用~开头

11.ngx_http_proxy_module 模块的配置使用：

转发请求至另一台主机

proxy_pass URL;

可用于location上下文，例如：

server {

...

server_name HOSTNAME;

location /uri/ {

proxy_pass http://host[:port];   （注意: 最后没有/)

}

...

}

上面示例：http://HOSTNAME/uri --> http://host/uri

如果上面示例中有 /，即：http://host[:port]/  意味着：http://HOSTNAME/uri --> http://host/  即置换

注意：proxy_pass后面路径不带uri时，会将location的uri传递（附加）给后端主机 ，

proxy_pass后面的路径是一个uri时，其会将location的uri替换为proxy_pass的 uri

如果location定义其uri时使用了正则表达式的模式，则proxy_pass之后必须不 能使用uri; 用户请求时传递的uri将直接附加至后端服务器之后

proxy_set_header field value;

设定发往后端主机的请求报文的请求首部的值

适用于上下文：http, server, location

proxy_set_header X-Real-IP  $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

请求报文的标准格式如下：

X-Forwarded-For: client1, proxy1, proxy2

proxy_cache_path;

定义可用于proxy功能的缓存；

适用于上下文：http

proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

proxy_cache zone | off; 默认off

指明调用的缓存，或关闭缓存机制；

适用于上下文：http, server, location

        proxy_cache_key string;

缓存中用于“键”的内容

默认值：proxy_cache_key $scheme$proxy_host$request_uri;

proxy_cache_valid [code ...] time;

定义对特定响应码的响应内容的缓存时长

适用于上下文：http

proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off

在被代理的后端服务器出现哪种情况下，可直接使用过期的缓存响应客户端

proxy_cache_methods GET | HEAD | POST ...;

对哪些客户端请求方法对应的响应进行缓存，GET和HEAD方法总是被缓存

proxy_hide_header field;

默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad,  X-Accel-等，用于隐藏后端服务器特定的响应首部

proxy_connect_timeout time;

定义与后端服务器建立连接的超时时长，如超时会出现502错误，默认为 60s，一般不建议超出75s

proxy_send_timeout time;

将请求发送给后端服务器的超时时长；默认为60s

proxy_read_timeout time;

等待后端服务器发送响应报文的超时时长，默认为60s

12.ngx_http_headers_module模块 的配置使用：

向由代理服务器响应给客户端的响应报文添加自定义首部，或修改指定首部的 值

        add_header name value [always];

添加自定义首部

add_header X-Via  $server_addr;

add_header X-Cache $upstream_cache_status;

add_header X-Accel $server_name;

        add_trailer name value [always];

添加自定义响应信息的尾部

13.ngx_http_fastcgi_module模块 的配置使用：

转发请求到FastCGI服务器，不支持php模块方式

        fastcgi_pass address;

address为后端的fastcgi server的地址

可用位置：location, if in location

        fastcgi_index name;

fastcgi默认的主页资源

        fastcgi_param parameter value [if_not_empty];

设置传递给 FastCGI服务器的参数值，可以是文本，变量或组合

fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

定义fastcgi的缓存；

path  缓存位置为磁盘上的文件系统

max_size=size  磁盘path路径中用于缓存数据的缓存空间上限

levels=levels：缓存目录的层级数量，以及每一级的目录数量    levels=ONE:TWO:THREE

keys_zone=name:size     k/v映射的内存空间的名称及大小

inactive=time  非活动时长

fastcgi_cache zone | off;

调用指定的缓存空间来缓存数据

可用位置：http, server, location

          fastcgi_cache_key string;

定义用作缓存项的key的字符串

          fastcgi_cache_methods GET | HEAD | POST ...;

为哪些请求方法使用缓存

          fastcgi_cache_min_usesnumber;

缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方 可被认作活动项

          fastcgi_keep_connon | off;

收到后端服务器响应后，fastcgi服务器是否关闭连接，建议启用长连接

          fastcgi_cache_valid [code ...] time;

不同的响应码各自的缓存时长

14.ngx_http_upstream_module模块 的配置使用：

用于将多个服务器定义成服务器组，而由proxy_pass, fastcgi_pass等指令 进行引用

          upstream name { ... }

定义后端服务器组，会引入一个新的上下文

默认调度算法是wrr

可用位置: http

例如：

upstream httpdsrvs {

server ...

server...

...

}

          server address [parameters];

          在upstream上下文中server成员，以及相关的参数；

          可用位置upstream

          address的表示格式：

unix:/PATH/TO/SOME_SOCK_FILE

IP[:PORT]

HOSTNAME[:PORT]

          parameters：

weight=number  权重，默认为1

max_conns  连接后端报务器最大并发活动连接数，1.11.5后支持

max_fails=number 失败尝试最大次数；超出此处指定的次数时，server将被标 记为不可用,默认为1

fail_timeout=time  后端服务器标记为不可用状态的连接超时时长，默认10s

backup 将服务器标记为“备用”，即所有服务器均不可用时才启用

down 标记为“不可用”，配合ip_hash使用，实现灰度发布

          ip_hash

          源地址hash调度方法

          least_conn 最少连接调度算法，当server拥有不同的权重时其为wlc， 当所有后端主机连接数相同时，则使用wrr，适用于长连接

          hash key [consistent] 基于指定的key的hash表来实现对请求的调度， 此处的key可以直接文本、变量或二者组合

          作用：将请求分类，同一类请求将发往同一个upstream server，使用 consistent参数，将使用ketama一致性hash算法，适用于后端是Cache服务器 （如varnish）时使用

                    hash $request_uri consistent;

                  hash $remote_addr;

keepalive 连接数N;

          为每个worker进程保留的空闲的长连接数量,可节约nginx端口，并减少连 接管理的消耗

            health_check [parameters];

健康状态检测机制；只能用于location上下文

常用参数：

interval=time检测的频率，默认为5秒

fails=number：判定服务器不可用的失败检测次数；默认为1次

passes=number：判定服务器可用的失败检测次数；默认为1次

uri=uri：做健康状态检测测试的目标uri；默认为/

match=NAME：健康状态检测的结果评估调用此处指定的match配置块

注意：仅对nginx plus有效

            match name { ... }

对backend server做健康状态检测时，定义其结果判断机制；只能用于http上下 文

常用的参数：

status  code[  code ...]: 期望的响应状态码

header  HEADER[operator  value]：期望存在响应首部，也可对期望的响 应首部的值基于比较操作符和值进行比较

body：期望响应报文的主体部分应该有的内容

注意：仅对nginx plus有效

15.ngx_stream_core_module模块 的配置使用：

模拟反代基于tcp或udp的服务连接，即工作于传输层的反代或调度器

            stream { ... }

定义stream相关的服务；

用于上下文:main

stream {

upstream mysqlsrvs {

server 192.168.22.2:3306;

server 192.168.22.3:3306;

least_conn;

}

server {

listen 10.1.0.6:3306;

proxy_pass mysqlsrvs;

}

}

listen

listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] [ipv6only=on|off] [reuseport] [so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

16.ngx_stream_proxy_module模块  的配置使用：

可实现代理基于TCP，UDP (1.9.13), UNIX-domain sockets的数据流

            proxy_pass address;

            指定后端服务器地址

            proxy_timeout timeout;

            无数据传输时，保持连接状态的超时时长  默认为10m

             proxy_connect_timeout time;

            设置nginx与被代理的服务器尝试建立连接的超时时长  默认为60s