前言

Nginx学习记录

启动

1
start nginx

停止

1
nginx.exe -s stop

完整有序停止

1
nginx -s quit

重新载入Nginx(修改nginx.conf文件后)

1
nginx.exe -s reload

重新打开日志文件

1
nginx.exe -s reopen

强制关闭Nginx.exe

1
taskkill /f /t /im nginx.exe

Nginx开机自启动服务

https://github.com/winsw/winsw/releases 下载文件 WinSW-x64.exe 放在Nginx的安装目录下。
【WinSW】工具介绍
并且将其重命名为 nginx-service.exe
然后分别创建nginx-service.exe.confignginx-service.xml文件,把这两个文件放在Nginx安装目录下。
如图:
rLkVVf.png

nginx-service.exe.config

1
2
3
4
5
6
7
8
9
<configuration>
<startup>
<supportedRuntime version="v2.0.50727" />    
<supportedRuntime version="v4.0" />  
</startup>
<runtime>
<generatePublisherEvidence enabled="false"/>   
</runtime>
</configuration>

nginx-service.xml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<!-- nginx-service.xml -->
<service>
<id>Nginx</id>
<name>Nginx</name>
<description>High Performance Nginx Service</description>
<logpath>D:\Nginx\logs</logpath>
<log mode="roll-by-size">
<sizeThreshold>10240</sizeThreshold>
<keepFiles>8</keepFiles>
</log>
<executable>D:\Nginx\nginx.exe</executable>
<startarguments>-p D:\Nginx\</startarguments>
<stopexecutable>D:\Nginx\nginx.exe</stopexecutable>
<stoparguments>-p D:\Nginx -s stop</stoparguments>
</service>

用管理员权限在cmd执行命令安装Windows服务

1
2
3
4
nginx-service.exe install 命令可注册对应的系统服务
nginx-service.exe uninstall 命令可删除对应的系统服务
nginx-service.exe stop 命令可停止对应的系统服务
nginx-service.exe start 命令可启动对应的系统服务

Nginx常见场景代理转发配置

  • 指向到公司官网或其他产品网(一级域名)
    每个域名单独配置一个server即可,如HTTPS的配置如下
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    server {
    client_max_body_size 10000M; #上传大文件最大值
    listen 443 ssl;
    server_name www.yourdomain.com; #修改为需要的一级域名即可

    ssl_certificate cert.crt;
    ssl_certificate_key cert.key;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;

    #ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
    index index.html index.htm index.php;
    index proxy_set_header Host $host;
    index proxy_set_header X-Real-IP $remote_addr;
    index proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://server_cluster; #后端服务器,具体配置upstream部分即可
    }

    }
  • nginx location proxy_pass 后面的url 加与不加/的区别

首先是location进行的是模糊匹配

  • 没有“/”时,location /abc/def可以匹配/abc/defghi请求,也可以匹配/abc/def/ghi等
  • 而有“/”时,location /abc/def/不能匹配/abc/defghi请求,只能匹配/abc/def/anything这样的请求

以下用http://xxx.xxx.com/xxx/test 进行访问

带**/**
1
2
3
4
5
6
7

location /xxx/ {

proxy_pass http://127.0.0.1:5000/;

}

会被代理到http://127.0.0.1:5000/test 这个url

不带**/**
1
2
3
4
5
6
location  /xxx/ {

proxy_pass http://127.0.0.1:5000;

}

会被代理到http://127.0.0.1:5000/xxx/test这个url

二级带**/**
1
2
3
4
5
6
location  /xxx/ {

proxy_pass http://127.0.0.1:5000/xxx/;

}

会被代理到http://127.0.0.1:5000/xxx/test这个url。

二级不带**/**
1
2
3
4
5
6
location  /xxx/ {

proxy_pass http://127.0.0.1:5000/xxx;

}

会被代理到http://127.0.0.1:5000/xxxtest这个url。

注意:如果需要映射二级以下代理,需要把二级也一起映射,不然会找不到对应的层级

强制http转https访问

  • 80端口部分server配置:
1
2
3
4
5
6
7
8
9
server {
listen 80;
server_name api.yourdomain.com;
location / {
rewrite ^/(.*) https://api.yourdomain.com/$1 permanent ;
break;
}
error_page 497 https://$host:$server_port$request_uri;
}

当用户通过HTTP 80访问时,nginx将强制转换为HTTPS 443访问。

  • 443端口部分server配置:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
server {
listen 443 ssl;
server_name api.yourdomain.com;

ssl_certificate cert.crt;
ssl_certificate_key cert.key;

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

#ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

location / {
proxy_pass http://tomcat_servers/$2;
proxy_set_header Host $host:443;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

location / {
proxy_pass https://192.168.1.132:444;
root html;
index index.html index.htm;
}

location /v1.0/ {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://tomcat_servers/v1.0/;
proxy_cookie_path /v1.0/ /;
proxy_redirect off;
}

location /yd/ {
proxy_pass http://192.168.1.135:35086;
root html;
index index.html index.htm;
}

}

Nginx负载均衡

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
server {
#监听端口
listen 33020;
#listen somename:8080;
server_name localhost;

location / {
#表示将所有请求转发到upstream_name的负载服务器组中配置的某一台服务器上。
proxy_pass http://upstream_name;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# root html;
# index index.html index.htm;
}
}

#upstream配置负载服务器
upstream upstream_name{
server 192.168.1.136:33020;
server 192.168.1.136:33022;
}

轮询 默认方式
weight 权重方式
ip_has 依据ip分配
least conn 最少连接方式
fair(第三方) 响应时间方式
url_hash(第三方) 依据URL分配方式

内置负载策略

轮询

fail_timeout 与max_fails结合使用。
max_fails 设置在fail_timeout参数设置的时间内最大失败次数,如果在这个时间内,所有针对该服务器的请求都失败了,那么认为该服务器会被认为是停机了,
fail_time 服务器会被认为停机的时间长度,默认为10s。
backup 标记该服务器为备用服务器。当主服务器停止时,请求会被发送到它这里。
down 标记服务器永久停机了。
注意:
- 在轮询中,如果服务器down掉了,会自动剔除该服务器。
- 缺省配置就是轮询策略。
- 此策略适合服务器配置相当,无状态且短平快的服务使用

weight

权重方式,在轮询策略的基础上指定轮询的几率。例如:

1
2
3
4
5
6
7
#动态服务器组
upstream upstream_name {
server localhost:8080 weight=2; #tomcat 7.0
server localhost:8081; #tomcat 8.0
server localhost:8082 backup; #tomcat 8.5
server localhost:8083 max_fails=3 fail_timeout=20s; #tomcat 9.0
}

weight参数用于指定轮询几率,weight的默认值为1,;weight的数值与访问比率成正比,比如Tomcat 7.0被访问的几率为其他服务器的两倍。

注意:
- 权重越高分配到需要处理的请求越多。
- 此策略可以与least_conn和ip_hash结合使用。
- 此策略比较适合服务器的硬件配置差别比较大的情况。

ip_has

指定负载均衡器按照基于客户端IP的分配方式,这个方法确保了相同的客户端的请求一直发送到相同的服务器,以保证session会话。
这样每个访客都固定访问一个后端服务器,可以解决session不能跨服务器的问题。

1
2
3
4
5
6
7
8
#动态服务器组
upstream upstream_name {
ip_hash; #保证每个访客固定访问一个后端服务器
server localhost:8080 weight=2; #tomcat 7.0
server localhost:8081; #tomcat 8.0
server localhost:8082; #tomcat 8.5
server localhost:8083 max_fails=3 fail_timeout=20s; #tomcat 9.0
}
注意:
- 在nginx版本1.3.1之前,不能在ip_hash中使用权重(weight)。
- ip_hash不能与backup同时使用。
- 此策略适合有状态服务,比如session。
- 当有服务器需要剔除,必须手动down掉。

least_conn

把请求转发给连接数较少的后端服务器。轮询算法是把请求平均的转发给各个后端,使它们的负载大致相同;
但是,有些请求占用的时间很长,会导致其所在的后端负载较高。这种情况下,least_conn这种方式就可以达到更好的负载均衡效果。

1
2
3
4
5
6
7
8
#动态服务器组
upstream upstream_name {
least_conn; #把请求转发给连接数较少的后端服务器
server localhost:8080 weight=2; #tomcat 7.0
server localhost:8081; #tomcat 8.0
server localhost:8082 backup; #tomcat 8.5
server localhost:8083 max_fails=3 fail_timeout=20s; #tomcat 9.0
}
注意:

- 此负载均衡策略适合请求处理时间长短不一造成服务器过载的情况。

第三方负载策略

第三方的负载均衡策略的实现需要安装第三方插件。

fair

按照服务器端的响应时间来分配请求,响应时间短的优先分配。

1
2
3
4
5
6
7
8
#动态服务器组
upstream upstream_name {
server localhost:8080; #tomcat 7.0
server localhost:8081; #tomcat 8.0
server localhost:8082; #tomcat 8.5
server localhost:8083; #tomcat 9.0
fair; #实现响应时间短的优先分配
}

url_hash

按访问url的hash结果来分配请求,使每个url定向到同一个后端服务器,要配合缓存命中来使用。
同一个资源多次请求,可能会到达不同的服务器上,导致不必要的多次下载,缓存命中率不高,以及一些资源时间的浪费。
而使用url_hash,可以使得同一个url(也就是同一个资源请求)会到达同一台服务器,一旦缓存住了资源,再此收到请求,就可以从缓存中读取。 

1
2
3
4
5
6
7
8
#动态服务器组
upstream upstream_name {
hash $request_uri; #实现每个url定向到同一个后端服务器
server localhost:8080; #tomcat 7.0
server localhost:8081; #tomcat 8.0
server localhost:8082; #tomcat 8.5
server localhost:8083; #tomcat 9.0
}

快速切换 Nginx 的 upstream

  1. treafik
  2. ngx_http_upstream_conf_module
  3. ngx_http_dyups_module
1
2
3
4
5
6
lua 变量替代 proxy_pass 里写死的 upstream
set $backend "default";
rewrite_by_lua_block {
ngx.var.backend="foo"
}
proxy_pass http://backend;

Nginx证书

other

server.crt 服务器证书
ca.crt 中级证书

nginx

server.crt 服务器证书和中级证书的合并文件,适用于Nginx以及负载均衡、CDN、WAF等需要合并证书的情况

apache

server.crt 服务器证书

ca.crt 中级证书

Java环境导入509cer证书

1
keytool -import -v -trustcacerts -alias maven -file C:\Users\JUNO\Desktop\IrrServer.cer -storepass changeit -keystore C:\Program Files\Java\JDK\jre\lib\security\cacerts