Nginx服务器、Nginx虚拟主机、Nginx反向代理

标签：erro   pid   system   做网站   创建用户   频率   type   源码包   生效   

1.1 问题
在IP地址为192.168.4.5的主机上安装部署Nginx服务，并可以将Nginx服务器，要求编译时启用如下功能：
?SSL加密功能
?设置Nginx账户及组名称均为nginx
可选项：Nginx服务器升级到更高版本。
然后客户端访问页面验证Nginx Web服务器：
?使用火狐浏览器访问
?使用curl访问
1.2 方案
使用2台RHEL6虚拟机，其中一台作为Nginx服务器（192.168.4.5）、另外一台作为测试用的Linux客户机（192.168.4.100），如图-1所示。

图-1
安装nginx-1.8.0版本时，需要使用如下参数：
?with-http_ssl_module：提供SSL加密功能
?user：指定账户
?group：指定组
1.3 步骤
步骤一：构建Nginx服务器
1）使用源码包安装nginx软件包
1.[root@svr5 ~]# yum –y install gcc 必须的 pcre-devel 支持正则openssl-devel???支持加密?????//安装常见依赖包 【yum需要搭好】
2.[root@svr5 ~]# useradd –s /sbin/nologin nginx
3.[root@svr5 ~]# tar -xf nginx-1.8.0.tar.gz
4.[root@svr5 ~]# cd nginx-1.8.0
5.[root@svr5 nginx-1.8.0]# ./configure --with-http_ssl_modole 增加模块化设计，默认是20，扩大功能
6.> --prefix=/usr/local/nginx \????????????????//指定安装路径
7.> --user=nginx \????????????????????????????//指定用户
8.> --group=nginx \????????????????????????????//指定组
9.> --with-http_ssl_module????????????????????????//开启SSL加密功能

【[root@Proxy conf]# cd
[root@Proxy ~]# ls
[root@Proxy ~]# cd lnmp_soft/
[root@Proxy lnmp_soft]# ls
[root@Proxy lnmp_soft]# cd nginx-1.8.0/
[root@Proxy nginx-1.8.0]# ./configure --help

查询--with 所带的功能】

10. .. ..
    11.[root@svr5 nginx-1.7.10]# make && make install????//编译并安装
    Make 【C语言源码--二进制】【编译新的nginx】objs/nginx
    Make install （升级时不要写）【 cp objs/nginx /usr/local/nginx/sbin】
    升级有风险。老版本需要备份。
    2）nginx命令的用法
    1.[root@svr5 ~]# /usr/local/nginx/sbin/nginx????????????????????//启动服务
    2.[root@svr5 ~]# /usr/local/nginx/sbin/nginx -s stop????????????//关闭服务
    3.[root@svr5 ~]# /usr/local/nginx/sbin/nginx -s reload????????//重新加载配置文件 不用重启
    4.[root@svr5 ~]# /usr/local/nginx/sbin/nginx –V????????????????//查看软件信息 nginx -V 快速了解已安装的nginx状态
    nginx服务默认通过TCP 80端口监听客户端请求：
    1.[root@svr5 ~]# netstat -anptu | grep nginx
    2.tcp????????0????????0 0.0.0.0:80????????0.0.0.0:*????????LISTEN????????10441/nginx

如果失败就killall squid 或varnish, 解决端口冲突
Nginx [firefox http://192.168.4.5] 界面为Welcome to nginx!
不重启的情况下直接生效：nginx -s reload
看nginx 的版本信息：nginx -V （别人的服务器新手可以查看这个）
3）为Nginx Web服务器建立测试首页文件
Nginx Web服务默认首页文档存储目录为/usr/local/nginx/html/，在此目录下建立一个名为index.html的文件：
1.[root@svr5 ~]# cat /usr/local/nginx/html/index.html
2.<html>
3.<head>
4.<title>Welcome to nginx!</title>
5.</head>
6.<body bgcolor="white" text="black">
7.<center><h1>Welcome to nginx!</h1></center>
8.</body>
9.</html>
步骤二：升级Nginx服务器
1）编译新版本nginx软件 尽量不要跨版本升级，防止不稳定，跨不要跨太多
1.[root@svr5 ~]# tar -zxvf nginx-1.9.0.tar.gz
2.[root@svr5 ~]# cd nginx-1.9.0
3.[root@svr5 nginx-1.9.0]# ./configure \
4.> --prefix=/usr/local/nginx \
5.> --user=nginx \
6.> --group=nginx \
7.> --with-http_ssl_module
8.[root@svr5 nginx-1.9.0]# make?不用make install，只是升级就好
2) 备份老的nginx主程序，并使用编译好的新版本nginx替换老版本
1.[root@svr5 nginx-1.9.0]# mv /usr/local/nginx/sbin/nginx \
2.>/usr/local/nginx/sbin/nginxold 保留一份老版本以防有用
3.[root@svr5 nginx-1.9.0]# cp objs/nginx /usr/local/nginx/sbin/????//拷贝新版本
4.[root@svr5 nginx-1.9.0]# make upgrade????????????????????????????//升级 半年到2年升级一次
5./usr/local/nginx/sbin/nginx -t
6.nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
7.nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
8.kill -USR2 cat /usr/local/nginx/logs/nginx.pid
9.sleep 1
10.test -f /usr/local/nginx/logs/nginx.pid.oldbin
11.kill -QUIT cat /usr/local/nginx/logs/nginx.pid.oldbin
12.[root@svr5 ~]# /usr/local/nginx/sbin/nginx –v????????????????//查看版本
步骤三：客户端访问测试
1）分别使用浏览器和命令行工具curl测试服务器页面
1.[root@client ~]# firefox http://192.168.4.5
2.[root@client ~]# curl http://192.168.4.5
2 案例2：用户认证
2.1 问题
沿用练习一，通过调整Nginx服务端配置，实现以下目标：
1.访问Web页面需要进行用户认证
2.用户名为：tom，密码为：123456
2.2 方案
通过Nginx实现Web页面的认证，需要修改Nginx配置文件，在配置文件中添加auth语句实现用户认证。最后使用htpasswd命令创建用户及密码即可。
2.3 步骤
实现此案例需要按照如下步骤进行。
步骤一：修改Nginx配置文件
全局配置【日志，并发，用户, 进程】 每个server是个虚拟主机
http{
Server {
Listen 80;
Server_name www.a.com;
Root html;
}
}
1）修改/usr/local/nginx/conf/nginx.conf 加两行：
1.[root@pc205 ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.server {

4. listen 80;
5. server_name localhost;
6. auth_basic "Input Password:";????????//认证提示符
7. auth_basic_user_file"/usr/local/nginx/pass";????????//认证密码文件 （要把这个文件创出来）
8. location / {
9. root html;
10. index index.html index.htm;
11. }
12. }
    2）生成密码文件，创建用户及密码
    使用htpasswd命令创建账户文件，需要确保系统中已经安装了httpd-tools。
    1.[root@svr5 ~]# yum -y install httpd-tools
    2.[root@svr5 ~]# htpasswd -cm /usr/local/nginx/pass tom????????//创建密码文件(加密的) 加用户就不用再写c了
    【7版本默认自动加密不用写-m（对密码进行加密）】【-c 创建一个加密文件】
    3.New password:
    4.Re-type new password:
    5.Adding password for user tom
    6.[root@svr5 ~]# htpasswd -m /usr/local/nginx/pass jerry????
    7.//追加用户，不使用-c选项
    8.New password:
    9.Re-type new password:
    10.Adding password for user jerry
    3）重启Nginx服务
    1.[root@svr5 ~]# nginx –s reload????????
    2.//请先确保nginx是启动状态才可以执行命令成功，否则报错
    3.报错时检查日志tailf /usr/local/nginx/logs/access.log或tailf /usr/local/nginx/logs/error.log
    步骤二：客户端测试
    1）登录192.168.4.100客户端主机进行测试
    1.[root@client ~]# firefox http://192.168.4.5????????????????????//输入密码后可以访问

虚拟主机：一个nginx 实现多个网站
基于域名，基于IP(listen 192.168.4.5 :80)，基于端口

3 案例3：基于域名的虚拟主机
/etc/hosts 只能改变自己，自己解析域名。如果在真实情况下做网站需要搭建DNS和现有域名。破解软件可以用到域名对应本地IP
ctrl v下键 x 删#
3.1 问题
1.实现两个基于域名的虚拟主机，域名分别为www.aa.com和www.bb.com
2.对域名为www.aa.com的站点进行用户认证，用户名称为tom，密码为123456
3.2 方案
修改Nginx配置文件，添加server容器实现虚拟主机功能；对于需要进行用户认证的虚拟主机添加auth认证语句。
3.3 步骤
步骤一：修改配置文件
1）修改Nginx服务配置，添加相关虚拟主机配置如下 改几个点：
1.[root@svr5 ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.server {

4. listen 80; ????????????????????????????????????//端口
5. server_name www.aa.com;????????????????????????????//域名
   6.auth_basic "Input Password:";????????????????????????//认证提示符
6. auth_basic_user_file "/usr/local/nginx/pass";????????//认证密码文件
   8.location / {
7. root html;????????????????????????????????????//指定网站根路径
8. index index.html index.htm;
9. }

10. 13.}
    14.… …

11. server {
12. listen 80;????????????????????????????????????????//端口（基于端口就改端口）1-1024端口是预留端口，轻易不用，要用1025-65535端口。
13. server_name www.bb.com;????????????????????????????//域名 （基于域名就改servername）（基于IP就在域名前面加IP：）
    18.location / {
    19.root www; ????????????????????????????????//指定网站根路径
    20.index index.html index.htm;
    21.}
    22.}
    2）创建账户及密码 和上个案例一样的流程。可忽略。
    1.[root@svr5 ~]# htpasswd –cm /usr/local/nginx/pass tom????????//创建账户密码文件
    2.New password:
    3.Re-type new password:
    4.Adding password for user tom
    3）创建网站根目录及对应首页文件
    1.[root@svr5 ~]# mkdir /usr/local/nginx/www
    2.[root@svr5 ~]# echo "www" > /usr/local/nginx/www/index.html
    4）重启nginx服务
    1.[root@svr5 ~]# /usr/local/nginx/sbin/nginx –s reload
    步骤二：客户端测试 客户端需要在/etc/hosts添加域名和访问地址
    1）修改客户端主机192.168.4.100的/etc/hosts文件，进行域名解析
    1.[root@client ~]# vim /etc/hosts
    2.添加一行192.168.4.5????www.aa.com www.bb.com
    2）登录192.168.4.100客户端主机进行测试
    注意：SSH –X远程连接调用虚拟机的firefox时，请先关闭真实机的firefox。
    1.[root@client ~]# firefox http://www.aa.com????????????//输入密码后可以访问
    2.[root@client ~]# firefox http://www.bb.com????????????//直接访问
    4 案例4：SSL虚拟主机
    用户认证【http协议明文协议】
    https【s是加密】
    加密算法：
    对称密钥：适用于单机加密（加密解密用同一把钥匙）AES，DES
    非对称密钥：适用于网络加密（加密解密不同，公私）RSA，DSA
    信息摘要：数据安全 md5（已被破解） sha128 sha256
    Md5sum 文件名 所有带码的都会被删
    Key 私钥（解密）
    Pem 公钥（加密）

md5sum 文件名 加密，只改名字不会改码，修改内容会改码。可以查看攻击者修改了哪个文件，数据安全：查看md5校验:
for i in ls -r /var/www/html/
do
md5sum $i >> data2.log
done

企业里不要用破解、汉化的东西。
4.1 问题
沿用练习二，配置基于加密网站的虚拟主机，实现以下目标：
1.域名为www.cc.com
2.该站点通过https访问
3.通过私钥、证书对该站点所有数据加密
4.2 方案
源码安装Nginx时必须使用--with-http_ssl_module参数，启用加密模块，对于需要进行SSL加密处理的站点添加ssl相关指令（设置网站需要的私钥和证书）。
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一：配置SSL虚拟主机
1）生成私钥与证书
1.[root@svr5 ~]# cd /usr/local/nginx/conf (存到nginx/conf下)
2.[root@svr5 ~]# openssl genrsa > (另存，导出) cert.key???(名字)?????????????????????????//生成私钥（rsa 是密钥）
3.[root@svr5 ~]# openssl req -new -x509 -key cert.key -out cert.pem ????//生成证书(公钥)

2）修改Nginx配置文件，设置加密网站的虚拟主机 改1行去掉注释
1.[root@svr5 ~]# vim /usr/local/nginx/conf/nginx.conf
2.… …????
3.server {

4. listen 443 ssl;
5. server_name www.cc.com;
6. ssl_certificate cert.pem;
7. ssl_certificate_key cert.key;
9. ssl_session_cache shared:SSL:1m;
10. ssl_session_timeout 5m;
12. ssl_ciphers HIGH:!aNULL:!MD5;
13. ssl_prefer_server_ciphers on;
15. location / {
16. root html;
17. index index.html index.htm;
18. }
19. }
    步骤二：客户端验证
    修改客户端主机192.168.4.100的/etc/hosts文件，进行域名解析
    [root@client ~]# vim /etc/hosts
    192.168.4.5????www.cc.com www.aa.com www.bb.com
    登录192.168.4.100客户端主机进行测试
    [root@client ~]# firefox https://www.cc.com????????????//信任证书后可以访问
    添加例外（隐私与安全）客户端没有证书时可以使用，信任证书
    证书：
    1.自己做，默认浏览器不信任，手动导入，做插件（私网）
    2.权威CA证书机构，找别人，需要费用（大众公开网）
    5 案例4：Nginx反向代理
    Client proxy web1
    Web2 负载均衡，健康检查， poroxy没有单点是公司最基本要求
    5.1 问题
    使用Nginx实现Web反向代理功能，实现如下功能：
    ?后端Web服务器两台，可以使用httpd实现
    ?Nginx采用轮询的方式调用后端Web服务器
    ?两台Web服务器的权重要求设置为不同的值
    ?最大失败次数为1，失败超时时间为30秒
    5.2 方案
    使用4台RHEL7虚拟机，其中一台作为Nginx代理服务器，该服务器需要配置两块网卡，IP地址分别为192.168.4.5和192.168.2.5，两台Web服务器IP地址分别为192.168.2.100和192.168.2.200。客户端测试主机IP地址为192.168.4.100。如图-2所示。

图-2
5.3 步骤
实现此案例需要按照如下步骤进行。
步骤一：部署实施后端Web服务器
1）部署后端Web1服务器
后端Web服务器可以简单使用yum方式安装httpd实现Web服务，为了可以看出后端服务器的不同，可以将两台后端服务器的首页文档内容设置为不同的内容。
1.[root@web1 ~]# yum -y install httpd
2.[root@web1 ~]# echo "192.168.2.100" > /var/www/html/index.html
3.[root@web1 ~]# systemctl restart httpd
2）部署后端Web2服务器
1.[root@web2 ~]# yum -y install httpd
2.[root@web2 ~]# echo "192.168.2.200" > /var/www/html/index.html
3.[root@web2 ~]# systemctl restart httpd
步骤二：配置Nginx服务器，添加服务器池，实现反向代理功能
添加 upstream abc{
server 192.168.2.100;
server 192.168.2.200;
} 定义服务器集群
server {
listen 80;
调用集群： server_name localhost;
location / {
proxy_pass http://abc (集群名) 自己转发集群
可以发现web的健康问题

1）修改/usr/local/nginx/conf/nginx.conf配置文件
weight加权重（使用的频率）
max_fail proxy查找web最大失败几次算失败
Fail_timeout:10秒超时时间 10秒后不找这个web了。每10秒测一次看web还在不在
web坏掉可以人为加注释或者最后加down可以关闭此web，修好后可以删掉down
Ip_hash 相同客户端访问相同web服务器 （不用换web服务器而重新输入密码）
步骤二：配置upstream服务器集群池属性
1）设置失败次数，超时时间，权重
1.[root@svr5 ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.http {
4... ..
5.upstream webserver {

6. server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
7. server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
8. }
   9... ..
   10.server {
9. listen????????80;
10. server_name www.tarena.com;
11. location / {
12. proxy_pass http://webserver;
13. }
    16.}
    2）重启nginx服务
    1.[root@svr5 ~]# /usr/local/nginx/sbin/nginx –s reload
    3）使用浏览器访问代理服务器测试轮询效果
    1.[root@client ~]# curl http://192.168.4.5????????????//使用该命令多次访问查看效果
    4）设置相同客户端访问相同Web服务器
    1.[root@svr5 ~]# vim /usr/local/nginx/conf/nginx.conf
    2... ..
    3.http {
    4... ..
    5.upstream webserver {
    6.???????????????? ip_hash; 算法（默认算法是轮询）
14. server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
15. server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
16. }
    10... ..
    11.server {
17. listen????????80;
18. server_name www.tarena.com;
19. location / {
20. proxy_pass http://webserver;
21. }
    17.}
    5）重启nginx服务
    1.[root@svr5 ~]# /usr/local/nginx/sbin/nginx –s reload
    6）使用浏览器访问代理服务器测试轮询效果
    1.[root@client ~]# curl http://192.168.4.5????????????//使用该命令多次访问查看效果
    (会一直出现同一地址，即权重大的那个)

Nginx配置文件和目录
/usr/local/nginx/ 安装目录
Conf/nginx.conf 主配置文件
Logs 日志文件
Sbin/nginx 启动脚本
Sbin/nginx -c conf/nginx.conf 启动Nginx服务

选项：-v 查看nginx版本
-V 查看编译参数（什么都能看）
-t 测试默认配置文件
-c 指定配置文件

php、python: apache Nginx Lighttpd
Java: Tomcat IBM Websphere Jboss

Nginx服务器、Nginx虚拟主机、Nginx反向代理

标签：erro   pid   system   做网站   创建用户   频率   type   源码包   生效   

原文地址：http://blog.51cto.com/13590322/2066734