Nginx

Nginx 配置实战

虚拟主机配置

虚拟主机的意义在于区分不同的项目，所以虚拟主机的原理就是你通过某种方式将其映射到服务器上的一个目录而已，你可以通过域名，或者端口，甚至ip来区分这些项目，只要导到项目所在的目录就行了！

基于域名的虚拟主机

通过域名区分不同主机，端口是一样的！

server {
    listen 80;
    server_name a.com;
    access_log /data/wwwlogs/access_nginx.log combined;
    root /data/wwwroot/default;
    index index.html index.htm index.php;
}

server {
    listen 80;
    server_name b.com;
    access_log /data/wwwlogs/access_nginx.log combined;
    root /data/wwwroot/test/;
    index index.html index.htm index.php;
}

如果你想多个域名对应同一个站点，那么只需要空格分割多个域名就可以了，例如
server_name a.com admain.com

基于ip的虚拟主机

第一步 : 在服务器网卡上添加几个不同的 IP，例如

 ip addr add  172.16.0.18 dev eth0
 ip addr add  172.16.0.19 dev eth0
 # 添加完后 ping 一下
 ping  172.16.0.18
 ping  172.16.0.19

或者编辑网卡文件

vim /etc/sysconfig/network-scripts/ifcfg-eth0
# 添加
IPADDR1="172.16.0.18"
IPADDR2="172.16.0.19"

检查是否添加成功

[root@VM_0_17_centos wwwroot]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:ae:26:2b brd ff:ff:ff:ff:ff:ff
    inet 172.16.0.17/20 brd 172.16.15.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.16.0.18/32 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.16.0.19/32 scope global eth0
       valid_lft forever preferred_lft forever

这样一台计算机就有好几个 IP 了，接下来就可以把这些 IP 分给不同的虚拟主机了！

第二步 : 把刚刚创建的 ip 写入server_name 处

server {
    listen 80;
    server_name 172.16.0.19;
    access_log /data/wwwlogs/access_nginx.log combined;
    root /data/wwwroot/test/;
    index index.html index.htm index.php;
}

配置文件修改完以后你就可以使用 nginx -s reload 平滑重启 nginx 了，如果不确信配置文件是否有误，可以使用 nginx -t 来检查！

如果你是前两种方式配置的虚拟主机，并且你需要在本地测试的话还需要在 hosts 文件中为域名绑定本地 ip

# /etc/hosts
127.0.0.1   www.a.com

计算机在键入域名『比如www.a.com』，首先会去看看hosts文件有没有关于此域名IP地址的记录。如果有，就直接登陆该网站；如果没有再查询DNS服务器，因此如果没有hosts，你的域名会被dns被解析到公网上的某个地址而非你本地！

常用功能配置

虚拟主机子文件

虚拟主机是在server区块设置的，既然是这样，那么可以将虚拟主机单独放到某个配置文件，然后在主配置文件中include 进来就行了，例如

http {
 ...
######################## default ############################
  server {
    ....
  }
########################## vhost #############################
  include vhost/*.conf;
}

这样以后有新的虚拟主机，只需要创建对应的conf文件，将相关的server信息写入就行了！

nginx 状态信息

可以在虚拟主机里添加一个 location 开启状态信息记录；另外 nginx 的状态信息由 ngx_http_status_module 模块记录，编译时记得添加该模块，可以使用 nginx -V 来查看该模块有没有安装！

server {
...
location /nginx_status {
      stub_status on;
      access_log off;
      allow 127.0.0.1;
      deny all;
    }
....
}

开启状态信息记录后，我们查看状态信息了

• 第一行 Active connections：表示正在处理的活动连接数！
• 第二行 server--accepts--handled requests：server 表示从启动到现在共处理的连接数，accepts 表示从启动到现在共成功创建了的握手次数，handle request 表示总共处理的请求数！
• 第三行 Reading--Writing--Waiting：reading 表示读取到客户端的 header 信息数，writing 表示返回给客户端的 header 信息数，waiting 表示已经处理完正在等待下一次请求指令的的主流连接！

nginx 日志配置

错误日志

配置错误日志的参数是 error_log，可以放在main区块中全局配置，也可以放在不同的虚拟主机中单独配置！

例如

user www www;
worker_processes auto;
error_log /data/wwwlogs/error_nginx.log crit;
...

error_log 的语法为

error_log       file                                    level
-------------------------------------------------------------
参数名           日志文件(自定义)               日志级别

error_log 默认值为： error_log logs/error.logs error，可以放置的区块有 『main，http，server，location』！

常见的错误日志级别有:『debug | info | notice | warn | error | crit | alert | emerg』，级别越高记录的信息越少， 生产场景一般是 warn | error | crit 这三个级别之一！

访问日志

访问日志由两个参数组成，控制日志格式的 log_format 和日志文件存放位置的 access_log 组成，access_log 一般放在 server区块用来记录对应网站的访问信息！

log_format 通过一堆变量来控制日志格式，一般位于 http 区块内

http {
...
  log_format debug '$remote_addr\t$remote_user\t[$time_local]\t"$request"\t"$content_type"\t$status\t$bytes_sent\t'
                  '"$http_referer"\t"$http_user_agent"\t"$http_cookie"\t"$request_body"';
...               
 }

变量说明如下:

 - $remote_addr：客户端地址 
 - $remote_user：客户端用户名 
 - $time_local：访问时间与时区
 - $request：用户的 http 请求起始行信息
 - $status： http 状态码
 - $bytes_sent：发给客户端的字节数
 - $http_referer：此次请求从哪个网站过来的
 - $http_user_agent：客户端代理信息
 - $http_cookie：客户端携带的回话信息
 - $request_body：客户端携带的参数

access_log 默认值为 ：access_log logs/access.log combined;

一般位于 server 区块，语法格式为

server {
...
access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]]
# 例如 access_log /data/wwwlogs/mysite_access.log combined;
...
}

参数说明如下：

- buffer=size 为访问日志的缓冲区大小；
- flush=time 为同步buffer中的数据到磁盘的时间；
- gzip=level 为压缩级别，跟linux的文件压缩级别一样，分 1-9 级；
- if=condition 表示记录日志的条件，。如果指定的条件计算为0或空字符串不会记录；
* access_log off 表示不记录访问日志；

一般情况下这些参数都无需配置，如果不指定日志格式就会用默认的 combined 格式记录日志；

日志切割

磁盘空间有限，为了节省空间和方便整理，可以将日志文件按时间或大小切割成多份，删除时间久远的日志文件，这就是所谓的日志轮替或日志切割！

第一种：自己写切割脚本跑定时任务，命名为 rotate_access_log.sh

#! /bin/bash
log_dir="/usr/local/nginx/log/"
date_dir=`date +%Y%m%d`
/bin/mkdir -p ${log_dir}/${date_dir} > /dev/null 2>&1
/bin/mv ${log_dir}/access.log ${log_dir}/${date_dir}/access.log
sharedscripts
postrotate
       kill -USR1 `cat /usr/local/nginx/run/nginx.pid`
endscript
# 上面这段 sharedscripts 还可以换成 
# /sbin/nginx -s reload

可能你对 sharedscripts 那部分的脚本有疑问，是这样的，由于进程操作文件使用的是 inode，这就导致你即使通过 mv 将文件名给变了，可是文件的 inode 还是不变，所以为了避免 nginx 主进程往归档文件写入数据，nginx主进程接到信号后会从配置文件中读取日志文件名称，这样就生成了新的 inode 文件！

kill -USR1 等于 nginx -s reopen，kill -USR2 等于 nginx -s reload ！

接着

chmod +x rotate_access_log.sh

然后将该脚本跑定时任务，每日0点归档

0 0 * * * bash /usr/local/nginx/rotate_access_log.sh >/dev/null 2>&1

第二种：linux 自带的 logrotate(日志轮替)

/var/log/nginx/*.log  {   
    daily                      # 多长时间切割一次，weekly,monthly,yearly
    rotate 30                  # 保存几份切割的数据，超过的则删除
    size +100M                 # 超过100M时分割，单位K,M,G，优先级高于daily
    compress                   # 切割后压缩，也可以为nocompress
    delaycompress              # 切割时对上次的日志文件进行压缩
    dateext                    # 日志文件切割时添加日期后缀
    missingok                  # 如果没有日志文件也不报错
    notifempty                 # 日志为空时不进行切换，默认为ifempty
    create 640 nginx nginx     # 使用该模式创建日志文件
    sharedscripts              # 所有的文件切割之后只执行一次下面脚本
    postrotate
        if [ -f /var/run/nginx.pid ]; then
            kill -USR1 `cat /var/run/nginx.pid`
        fi
    endscript
}

location

location 的功能是通过正则实现 url 的匹配！

location 语法为

location [ =|~|~*|^~|@]

location 相关规则和指令：

* =   精确匹配
* ~   表示区分大小写匹配
* ~* 表示不区分大小写匹配
* ^~ 表示匹配 url 段，nginx不对url做编码，因此请求为/static/20%/aa，可以被规则^~ /static/ /aa匹配到！

示例：

location ^~ /static/ {
   # 请求/static/a.txt 将被映射到实际目录文件:/webroot/res/static/a.txt
   root /webroot/res/;
}
location ~* \.(gif|jpg|jpeg|png|css|js|ico)${
       root /webroot/res/;
}
# 当代理是绝对路径, 访问 http://site.com/assets/css/test.css ,
# 实际访问的是 http://10.0.0.8/css/test.css !
location /assets/ {
    proxy_pass http://10.0.0.8/;
}
# 当代理是相对路径时(没/), 访问 http://site.com/assets/css/test.css,
# 实际访问的是 http://10.0.0.8/assets/css/test.css !
location /assets/ {
    proxy_pass http://10.0.0.8;
}
# 返回htto code 并附带错误信息
location = /image404.html {
    return 404 "image not found\n";
}
# 禁止访问多个目录
location ~ ^/(cron|templates)/
{
    deny all;
    break;
}

rewrite

rewrite 的功能是结合兼容 pcre，perl 的正则表达式实现 url 重定向和重写；rewrite只能放在server{},location{},if{} 区块中 !

rewrite 的语法为：

rewrite 规则 定向路径 重写类型;

• 规则：可以是字符串或者正则来表示想匹配的目标url。
• 定向路径：表示匹配到规则后要定向的路径，如果规则里有正则，则可以使用 $n 来表示正则里的捕获分组。

• 重写类型：

  • last ：本条规则匹配完成后，还会向后匹配新的 location 的正则，地址栏 url 不变，如果你想多次处理匹配到的 url 建议使用 last，如果只想处理一次建议使用 break。
  • break；本条规则匹配完成后，终止匹配，不再匹配后面的location规则，地址栏 url 不变。
  • redirect：返回302临时重定向，浏览器地址会显示跳转后的URL地址。

  • permanent：返回301永久重定向，浏览器地址栏会显示跳转后的URL地址。

    使用 alias 指令时必须用 last 标记，使用 proxy_pass 时要使用 break 标记；

示例

# if
    #判断访问的是否ie;
    if ($http_user_agent ~ MSIE) {
      rewrite ^.*$ /ie.htm;
      break; #不break会循环重定向(是ie重写到ie.htm,然后又发现是ie,又重写到ie.htm...)
    }
    #跳转到404
    if (!-e $document_root$fastcgi_script_name) {
      rewrite ^.*$ /404.html;
      break;
    }
    # 跳转到代理
    if (!-e $request_filename) {
        proxy_pass http://127.0.0.1;
    }
# return
    # 返回 http code
    if  ($remote_addr = 192.168.197.142) {
       return 403;
    }
# rewrite
    # 资源不存在跳转到首页
    if (!-e $document_root$fastcgi_script_name) {
        rewrite ^.*$ /index.html;
        break;  
    }
    # 如果请求为/download/eva/media/op1.mp3则请求被rewrite到 /download/eva/mp3/op1.mp3
    rewrite ^(/download/.*)/media/(.*)\..*$ $1/mp3/$2.mp3 last;
    # 301 域名跳转
    server
    {
        listen      80;
        server_name admin.test.com api.test.com;
        index index.html index.htm index.php;
        root  /data/wwwroot/test.com;
        rewrite ^/  http://www.aaa.com permanent;
    }
# set
    if ($http_user_agent ~* msie) {
        set $isie 1;
    }
    if ($fastcgi_script_name = ie.html) {
        set $isie 0;
    }
    if ($isie 1) {
        rewrite ^.*$ ie.html;
    }
    # 获取协议
    if ($http_host ~* "^(.*)\.aaa.com$")
    {
        set $protocol $1;
        rewrite ^(.*)   $protocol://bbb.com permanent;
    }
#  其他
    if (-f $request_filename) { 
        expires max;
        break;
    }
    # 单入口
    if (!-e $request_filename) {
        rewrite ^/(.*)$ /index.php/$1 last;
    }

rewrite 只能对域名后边不含请求参数的部分起作用，请求参数会自动追加到重定向后的 url；
rewrite 重写的后的路径如果不是远程路径，那么都是相对于 root 目录的；

rewrite 全局变量说明：

$args, 请求中的参数;
$content_length, HTTP请求信息里的"Content-Length";
$content_type, 请求信息里的"Content-Type";
$document_root, 针对当前请求的根路径设置值;
$document_uri, 与$uri相同;
$host, 请求信息中的"Host"，如果请求中没有Host行，则等于设置的服务器名;
$limit_rate, 对连接速率的限制;
$request_method, 请求的方法，比如"GET"、"POST"等;
$remote_addr, 客户端地址;
$remote_port, 客户端端口号;
$remote_user, 客户端用户名，认证用;
$request_filename, 当前请求的文件路径名;
$request_body_file;
$request_uri, 请求的URI，带查询字符串;
$query_string, 与$args相同;
$scheme, 所用的协议，比如http或者是https，比如rewrite  ^(.+)$  $scheme://example.com$1  redirect;
$server_protocol, 请求的协议版本，"HTTP/1.0"或"HTTP/1.1";
$server_addr, 服务器地址，如果没有用listen指明服务器地址，使用这个变量将发起一次系统调用以取得地址(造成资源浪费);
$server_name, 请求到达的服务器名;
$server_port, 请求到达的服务器端口号;
$http_x_forwarded_for, 记录客户端的ip地址
$http_referer, 记录用户是从哪个链接访问过来的
例如访问链接是 http://localhost:88/test1/test2/test.php ：
    网站路径是：/var/www/html
    $host：localhost
    $server_port：88
    $request_uri：http://localhost:88/test1/test2/test.php
    $document_uri：/test1/test2/test.php
    $document_root：/var/www/html
    $request_filename：/var/www/html/test1/test2/test.php

rewrite 相关指令和规则：

 ~  区分大小写匹配;
 ~* 不区分大小写匹配;
 !~和!~*分别为区分大小写不匹配及不区分大小写不匹配;
 -f和!-f用来判断是否存在文件;
 -d和!-d用来判断是否存在目录;
 -e和!-e用来判断是否存在文件或目录;
 -x和!-x用来判断文件是否可执行;
 set 设置变量;
 return  返回 http 状态码 ;
 if 用作条件判断，注意，if 后面一定要有空格;

防盗链

为什么防盗链？

因为某些不法网站在其自身嵌入别的网站的资源(盗用别的网站连接)，会造成资源所在网站的流量升高，带宽和服务压力上升，甚至宕机！

valid_referers

nginx 配置中有一个指令 valid_referers 用来获取 Referer 头中的值，并且根据该值的情况给 nginx 全局变量 $invalid_referer 赋值，如果 Referer 头中没有符合 valid_referers 中的值，$invalid_referer 就会被赋值为 1！

valid_referers  none | blocked | server_names | string ...
    1. none 用来检测 Refer 头是否不存在
    2. blocked 用来检测 Refer 头的值是否被防火墙删除或伪装过，这种情况下该值不以 "http://" 或 "https://" 开头
    3. server_names 用来检测 Refer 头的值是否属于 server_names 中的一个

有了 valid_referers 和 $invlid_referer 就能通过 rewrite 功能实现防盗链

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ico)$ {
      valid_referers none blocked localhost 10.0.0.8 test.com;
      if ($invalid_referer)
      {
         # return 404;
         rewrite ^.*$  /pics/404.jpg;
         break;
      }
      rewrite ^/(.*)$  /pics/$1;
      expires 30d;
      access_log off;
}

访问认证

访问认证指的是当你请求一些资源的时候服务器要求你输入账号和密码，一般主要用在一些内网环境，可以放置的区块有 http，server，location，limit_except！

nginx 的认证主要依靠两个字段 auth_baisc 和 auth_basic_user_file

• auth_baisc 用于设置认证提示，默认为 off
• auth_basic_user_file 后接密码认证文件，该文件的密码必须是经过加密的

第1步：配置auth

location ~ /auth {
       auth_basic "test auth";
       auth_basic_user_file pwd;    
}

第2步：使用 openssl 生成加密密码

[root@VM_0_17_centos conf]# openssl passwd 
Password: 
Verifying - Password: 
eFIwNPT.5mxMU

第3步：创建认证文件 pwd，文件中写入用户名和刚刚生成的加密密码，这里我们输入123

# 基本格式这样的，新用户的话就新增一行
# name1:password1
# name2:password2:comment
tcl:eFIwNPT.5mxMU

测试

[root@VM_0_17_centos conf]# curl --user tcl:456 localhost/auth
<html>
<head><title>401 Authorization Required</title></head>
<body bgcolor="white">
<center><h1>401 Authorization Required</h1></center>
<hr><center>nginx</center>
</body>
</html>
[root@VM_0_17_centos conf]# 
[root@VM_0_17_centos conf]# curl --user tcl:123 localhost/auth
<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx</center>
</body>
</html>

第一次，用错误密码请求时，提示我们 401 需要 auth；
第二次，输入正确密码后认证通过了，出现 404 是因为我们之后没有重定向该请求，认证通过后 nginx 不知道接下来去哪里，所以返回了404！