Nginx学习总结

   Nginx是目前比较主流的HTTP反向代理服务器（其企业版提供了基于TCP层的反向代理插件），对于构建大型分布式web应用，具有举足轻重的作用。简单来说，nginx有2个主要的功能：动/静态资源分离、负载均衡。

    动/静态资源分离：nginx支持正则表达式以区分静态资源或者动态资源，其中动态资源可以进一步转发给后端的proxy server，而静态资源则可以在nginx层面使用本地缓存策略或者重定向（类CDN）到其他nginx上。

    负载均衡：对于动态资源而言，如果有多个proxy server，那么nginx将会根据一定的算法选择合适的server，并转发请求，最终将客户端request相对均衡的分发给多个server。

    Nginx作为“单点”，面向客户端请求，并将请求转发给后端的某个server，因为server可以有多个，那么从整体而言，提升了站点的“资源整合”能力，提升了站点的整体吞吐能力；但因为受限于nginx本身的IO模型，并没有“降低”对物理资源的消耗（即性能开支）；通常nginx作为整个站点的“避雷针”和导流通道，它应该被架设在物理资源较为优越的机器上，比如8U物理机，32核心，64G内存，对磁盘要求相对较低，对CPU、内存、网卡带宽有较高的要求，因为nginx不仅需要和客户端请求建立链接，而且还需要与后端proxy server建立链接并且负责流量输入、输出（这和LVS、Haproxy有本质区别），这种双倍的链接建立，就要求机器具有较高的内存和CPU，如果你的nginx还有大量的“静态资源”cache，还需要使用高速、高容量的磁盘。因为nginx节点最终为所有proxy server流量的总和，那么它应该具有更高的网卡带宽。

    为了避免资源竞争，应该避免nginx和web server部署在同一个节点上，因为web server通常为CPU和内存高耗型，这会大大降低nginx的代理能力。

    1) 在中小型应用中（PV在KW级别，单一垂直web应用），通常一个nginx代理多个（组）server即可。

    2）对于大中型应用，一个nginx将无法支撑全部的流量，我们将会采用多个nginx代理（复制了1）中的架构模型），并在nginx前端继续构建高性能的分流设备，比如LVS、Haproxy等更低层的软/硬件负载均衡器，这种负载均衡器通常只是“转发”，而不涉及到流量的输出，所以转发效率将会更高，承载能力更强。

    3）无论何时，我们也不希望nginx存在单点故障问题，那么通常我们还需要使用keepalived（其他同类型技术，VIP）来提高nginx节点的可用性，即Master-backup模式。

    4）当有多个nginx时，为了提升后端server的代理能力，通常还会让多个nginx之间交叉重叠代理后端的server。

一、常用模块

    在nginx 中，有几个常用的模块（module）：

• ngx_http_core_module：核心模块；内置模块。
• ngx_http_upstream_module：“upstream”模块，内置模块，核心模块；用于请求的“负载均衡”。
• ngx_http_proxy_module：“请求代理”模块，核心模块；将请求转发给代理Server，或者对请求进行额外的cache操作。
• ngx_http_rewrite_module：“URL重写”模块，内置模块；根据规则，rewrite特定的URL并转发给代理Server。
• ngx_http_access_module：“访问控制”模块；“允许”或者“拒绝”特定的IP列表对server的访问，内置模块。
• ngx_http_limit_conn_module：“访问控制”模块；可以限定每个key（可以为客户端IP）允许的最大并发连接数，内置模块。
• ngx_http_limit_req_module：“访问控制”模块；可以限定每个key（可以为客户端IP）在单位之间内允许处理的request个数，“流量控制”，内置模块。
• ngx_http_headers_module：“header”模块；主要是“add_header”和“expired”两个指令，向response中添加header信息，内置模块。
• ngx_http_charset_module：“字符集”模块；在响应头部的“Content-Type”中增加charset信息，内置模块。
• ngx_http_addition_module：“增添”模块；在response内容之前或者之后额外添加文本信息，内置模块。
• ngx_http_sub_module：“后置修改响应”模块；可以过滤并替换response内容中特定的字符串，附加模块，需要在编译时指定“--with-http_sub_module”。
• ngx_http_fastcgi_module：将请求发送给“fastcgi”服务器，内置模块。
• ngx_http_geo_module：“geo”模块；创建一个变量，此变量的值由client ip值决定，对实现小型私有“CDN”方案有参考价值，内置模块。
• ngx_http_geoip_module：“geo”模块；通过配置（数据源）可以得知client ip所属的“城市”、“区域”等信息，对实现小型私有的CDN有一定的参考价值，附加模块，需要在编译时指定“--with-http_geoip_module”。
• ngx_http_gzip_module：“gzip”模块；对response使用gzip压缩，对减少数据传输量有益，内置模块。
• ngx_http_gzip_static_module：“gzip”模块；对response使用gzip压缩，输出为“.gz”文件，附加模块，需要在编译时指定“--with-http_gzip_static_module”。
• ngx_http_image_filter_module：“图片”模块；可以对“JPEG”、“GIF”、“PNG”格式的图片进行裁剪等操作，附加模块，需要在编译时指定“--with-http_image_filter_module”。
• ngx_http_status_module/ngx_http_stub_status_module：“nginx内部状态”模块；用于获取nginx内部的一些状态统计信息，通常用来获取一些简单的统计数据，其中nginx_http_stub_status_module为附加模块，编译时需要指定“--with-http_stub_status_module”。
• nginx-http-concat：第三方附加模块，由taobao开发，主要用于合并“静态资源”请求，提升性能，需要额外下载，并在编译时添加“--add-module=/root/software/nginx-http-concat-master”。
• ngx_cache_purge：第三方附件模块，由frickle提供，当在proxy中使用cache保存静态资源时，那么cache_purge模块提供删除过期数据的功能支持，需要额外下载，并在编译时添加“--add-module=/root/software/ngx_cache_purge”。

二、安装（mac下）

    接下来，我们就尝试安装nginx，从官网下载最新版1.8.0压缩包，并按照如下步骤一次安装，本人所使用的平台为mac OS（很遗憾，mac下安装这些软件，还是相当的费劲）。为了方便起见，我们将上述常用的module一次性全部安装或者加载（避免以后重新增加module带来的麻烦）。下文中所下载的软件都先保存到/usr/local/src下。

    1、下载ngx_cache_purge模块：http://labs.frickle.com/nginx_ngx_cache_purge/，解压后保存在本地目录。

    2、下载ngx-http-concat模块：https://github.com/alibaba/nginx-http-concat，解压后保存在本地目录。

    3、下载nginx并解压，保存在/usr/local/src，重命名为“nginx-1.8.0-src”。

    4、configure操作，通过--prefix指定nginx最终的可执行文件copy到哪个目录，这个目录不需要提前创建。

Java代码  

1. ##进入nginx目录  
2. ./configure --prefix=/usr/local/nginx-1.8.0 --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_geoip_module --with-http_sub_module --add-module=/usr/local/src/nginx-http-concat-master --add-module=/usr/local/src/ngx_cache_purge/  
3.    

   极有可能你会得到一个错误“./configure: error: the HTTP rewrite module requires the PCRE library.”，这意味着如果需要安装rewrite模块，那么就需要安装PCRE包（perl正则表达式）。

Java代码  

1. ##mac系统,linux下均可使用此编译安装的方式  
2. ##首先下载pcre包：http://www.pcre.org/，解压  
3. ##进入解压包  
4. sudo ./configure --prefix=/usr/local  
5. sudo make  
6. sudo make install  

    然后你还会得到一个错误“./configure: error: the HTTP image filter module requires the GD library.”，GD包主要用于图形处理，这个需要手动安装。安装GD之前，需要依次安装libpng、libjpeg，freetype，zlib（mac下不需要安装，默认已经有了）。

Java代码  

1. ##libpng，在sourceforge.net上搜索“libpng”，下载tar.xz文件，解压，并执行如下命令  
2. sudo ./configure --prefix=/usr/local  
3. sudo make  
4. sudo make install  

Java代码  

1. ##libjpeg，在http://www.ijg.org/files目录下，下载jpegsrc.v9a.tar.gz(或者下载最新的压缩包，不要下载源文件版)   
2. sudo ./configure --prefix=/usr/local  
3. sudo make  
4. sudo make install  

Java代码  

1. ##freetype,在sourceforge.net上搜索“freetype”，下载tar.bz2文件，并解压。  
2. sudo ./configure --prefix=/usr/local  
3. sudo make  
4. sudo make install  

Java代码  

1. ##libgd：https://bitbucket.org/libgd/gd-libgd/downloads,下载tar.xz格式文件，如果你知道如何编译，也可以在libgd.org下载源码。  
2. sudo ./configure --prefix=/usr/local --with-jpeg=/usr/local --with-png=/usr/local --with-freetype=/usr/local  
3. sudo make  
4. sudo make install  

    在安装libgd时，必须指定jpeg,png，freetype这些lib的位置，否则此后在nginx安装时会报错：

Java代码  

1. Undefined symbols for architecture x86_64:  
2.   "_gdImageCreateFromPngPtr", referenced from:  
3.       _ngx_http_image_resize in ngx_http_image_filter_module.o  
4.   "_gdImagePngPtr", referenced from:  
5.       _ngx_http_image_resize in ngx_http_image_filter_module.o  
6. ld: symbol(s) not found for architecture x86_64  

    上述lib安装完毕之后，然后再次运行3）中的nginx的configure指令，应该就没有错误，然后依次执行“make” “make install”，此后我们会在“/usr/local/nginx-1.8.0”目录下看到相关的可执行文件、配置文件等。如果确实安装成功，那么我们此前的“nginx-1.8.0-src”即可删除，此后的操作只需要在安装后的文件中进行即可。

    5、测试运行

    进入sbin目录，执行“./nginx”，启动nginx，如果出错，请到logs目录下查看原因。然后在浏览器中输入“127.0.0.1”（无需端口），你将会得到nginx的欢迎页。

    接下来，我们将依次介绍nginx的几个常用的模块，在认识如何配置nginx的同时，简单了解nginx的工作原理。

    我们可以通过“./nginx -V”查看nginx的configure信息。

    “./nginx -t”用于检测配置文件是否合法。

    “./nginx -s stop”：关闭。

    “./nginx -s quit”：优雅关闭。

    “./nginx -s reopen”：重新打开log文件

    “./nginx -s reload”：重新加载配置信息，我们在修改了conf文件之后，通常使用reload即可直接加载，无需重启nginx。

    nginx会启动一个master进程，和“worker_processes”个worker进程，其中master进程主要的作用就是“加载、评定配置信息”、“维护worker进程”，worker进程用于处理实际的request，nginx基于平台的event模型，向worker进程分发request。    

    当master进程收到reload信号时，首先检测配置文件的合法性，然后尝试使用新的配置信息；如果成功，master将启动新的worker进程，并向原来的worker进程发消息请求他们shutdown，此后request将会被抓发给新的worker进程，对于原来的worker将自己已经accept的请求处理完之后即关闭；如果配置文件有问题，master将会回滚配置的更改，而worker进程不受任何影响。

    6、配置文件样例

Java代码  

1. #user  nobody;  
2. worker_processes  2;  
3. worker_rlimit_core 256m;  
4. worker_rlimit_nofile 65535;  
5.   
6. error_log  logs/error.log  info;  
7.   
8. #pid        logs/nginx.pid;  
9.   
10. daemon on;  
11. worker_priority 0;  
12.   
13. events {  
14.     #use epoll;  
15.     use kqueue;#linux 请使用epoll  
16.     accept_mutex on;  
17.     accept_mutex_delay 500ms;  
18.     worker_connections  65535;  
19. }  
20.   
21.   
22. http {  
23.     include       mime.types;  
24.     default_type  application/octet-stream;  
25.   
26.     log_format  main  ‘$remote_addr - $remote_user [$time_local] "$request" ‘  
27.                       ‘$status $body_bytes_sent "$http_referer" ‘  
28.                       ‘"$http_user_agent" "$http_x_forwarded_for"‘;  
29.   
30.     sendfile        on;  
31.     #tcp_nopush     on;  
32.     keepalive_timeout  65;  
33.   
34.     server {  
35.         listen       80;  
36.         server_name  localhost;  
37.         access_log  logs/localhost.access.log  main;  
38.   
39.         location / {  
40.             root   html;  
41.             index  index.html index.htm;  
42.         }  
43.   
44.         error_page  404              /404.html;  
45.         error_page   500 502 503 504  /50x.html;  
46.         location = /50x.html {  
47.             root   html;  
48.         }  
49.   
50.     include vhosts/*.conf;  
51. }  

    上面的配置信息应该是最基本的，基本上nginx能够对静态页面做代理，下文中所有的模块都基于这个配置模板。

三、代理简析

    nginx一个重要的能力就是静态文件的代理（或cache），包括html、images等，这些静态文件通常放置在本地，比如：/data/www（一些html文件，css，js等），/data/images（图片文件）。

Java代码  

1. location / {  
2.     root   html;  
3.     #index  index.html index.htm;  
4. }  
5.   
6. location /images {  
7.     root /data;  
8. }  

    root”表示文件所在的本地路径，最终请求的uri将会被添加到root路径之后，形成完整的文件路径，比如“127.0.0.1/images/header.jpg”，其uri为“images/header.jpg”，那么最终将会访问本地的“/data/images/header.jpg”（如果本地文件没有访问权限，将会抛出“Permission denied”）。此处还涉及到location的匹配优先级的问题，就像“/images/header.jpg”对于location为“/”和“/images”都匹配，在这种情况下，nginx将会选择“最长前缀”的哪一个，即“/images”；此外，location还能支持正则表达式，所以匹配的规则将会比较复杂，我们稍后详解location。

    对于动态代理，需要配置一个（或一组，通过upstream模块支持）web server，nginx接收客户端请求（可以对header进行修改），然后传递给web server，并等待接收proxy server的响应内容，然后再把response发送给客户端（可以对response的内容或者header进行修改），在此过程中，nginx需要与客户端、web server均要建立链接，nginx就像一个“转发桥”，只是负责将请求，根据location或者其他规则，匹配到一个合适的web server上。

Java代码  

1. server {  
2.     listen 80 default_server;  
3.     server_name localhost;  
4.     location / {  
5.         proxy_pass http://127.0.0.1:8080;  
6.     }  
7. }  

    proxy_pass将请求转发给web server，不过这个指令还有更多的意义，我们稍后详解upstream、proxy模块。动态代理，即实际处理请求（响应数据的server）的server在运行时通过一定的算法计算得到的，而且还可以根据请求的参数特征来修改response的内容；通常我们会指定多个web server，根据一定的“负载均衡”算法选取其中一个负责处理实际的请求。

    “server_name”这个指令非常有用，nginx通常根据http请求header中的“Host”字段与“server_name”列表匹配，判定使用哪个“server”配置，然后根据uri匹配location，判定将次request交给哪个web server处理。关于server_name的匹配规则，还需要一定的了解。(如下部分配置样例中省略了部分无关的信息)

Java代码  

1. server {  
2.     listen 80;  
3.     server_name example.org www.example.org;  
4. }  
5. server {  
6.     listen 80;  
7.     server_name *.example.org;  
8. }  
9. server {  
10.     listen 80;  
11.     server_name mail.*;  
12. }  
13. server {  
14.     listen 80;  
15.     server_name ~^(?<name>.+)\.example\.net$;  
16. }  

    对于指定的请求，nginx从header中host值，将按照如下顺序进行匹配：

    1）精确的全限定名：比如server_name为“www.exmaple.org”，“example.org”。

    2）以“*”开头的最长的通配名称：比如server_name为“*.exmaple.org”。

    3）以“*”结束的最长的通配名称：比如server_name为“mail.*”。

    4）首个匹配的正则表达式。nginx中正则表达式以“~”或者“~*”开头，我们稍后详解nginx的正则格式。

    注意，在nginx中，通配表达式和正则表达式被认为是不同的，通配表达式必须以“*”开头或者结束，且“*”不能在字符串的中间出现，比如“www.*.example.org”是不合法的；否则应该在正则表达式中使用“*”，比如“~^w.*\.exmaple\.org$”，注意如果在正则表达式中使用字符串“.”，应该需要转义为“\.”,否则“.”是被作为正则表达式中特殊模式（即匹配任意字符串）；通配表达式，“*”可以匹配任意多个部分，比如“*.example.org”可以匹配“www.exmaple.org”、“www.sub.exmaple.org”；那么对于“.example.org”这种格式被认为是一种特殊的正则表达式，它可以匹配“exmaple.org”、“*.example.org”。

    上文中提到，nginx中正则表达式必须以“~”开头（或者~*开头，表示字符大小写敏感）、“^”、“$”结尾，这三个特殊符号构成nginx（或者说是PCRE）正则表达式，否则被认为是普通的“全限定名”。如果你了解过正则表达式，其实这些还是非常容易理解的，不过如果正则表达式中包括“{”、“}”表示匹配次数区间，那么整个表达式都需要用引号包含，否则会编译错误。

Java代码  

1. server_name "~^(?<name>\w\d{1,3}+)\.example\.net$"  

    正则表达式中可以使用"?<name>"这种格式，在PCRE中称为“命名捕获”（named captures），那么“name”可以作为当前context中的一个变量使用。在nginx中还可以使用“数字”类型的命名捕获。

Java代码  

1. ##参数方式  
2. server {  
3.     server_name ~^(www\.)?(?<domain>.+)$;  
4.     location / {  
5.          root /sites/$domain;  
6.     }  
7. }  
8.   
9. ##数字方式，效果等同  
10. server {  
11.     server_name ~^(www\.)?(.+)$;  
12.     location / {  
13.         root /sites/$2;  
14.     }  
15. }  

    我们还需要对待那些特殊的情况，比如请求的header中没有“Host”或者为空，那么可以用一个空字符串来匹配这种请求：

Java代码  

1. server {  
2.     server_name example.org www.example.org "" 192.168.1.1;  
3. }  

    当然有些时候，我们还会使用IP去访问一个nginx（没有配置host解析，通常在测试环境），那么我们我们请求的“Host”就是一个IP字符串，那么我们仍然可以按照这种规则配置server_name。

Java代码  

1. server {  
2.     listen 80 default_server;  
3.     server_name _;  
4. }  

    如上述例子所示，“default_server”表示为如果没有任何匹配的server_name时，将选择此server来处理。其中server_name如果配置为“_”，则表示此server匹配所有的“Host”，这些Host仅为那些不能通过“精确全限定名”、“通配表达式”、“正则表达式”匹配的。

    根据server侦听的端口号，将会把“精确匹配”、“以*开头的通配表达式”、“以*结尾的通配表达式”保存在三个hashtable中（cache），这个hashtable的大小可以通过配置文件调整；针对一个host，将会首先使用“精确匹配”，如果没有找到相应的server_name，将会从“以*开头的通配表达式”中查找，然后再从“已*结尾的通配表达式”中查找；从“通配表达式”的hashtable中查找，要慢于“精确匹配”，不过对于“.example.org”这种格式会被保存在“通配表达式”的hashtable中，而不是保存在“精确匹配”的hashtable中。对于“正则表达式”时最慢的一种方式，也是最后参与匹配的，将会根据它们在配置文件中的顺序，依次去匹配。基于这些原因，比较好的办法就是尽可能的使用“精确全限定名”，比如：

Java代码  

1. server {  
2.     server_name example.org www.example.org *.example.org;  
3. }  
4. server {  
5.     server_name sub.example.org;  
6. }  

    而不是像这样简单的配置：

Java代码  

1. server {  
2.     server_name .example.org;  
3. }  

    如果你定义了较多的server配置或者较长的server_name字符串，那么就需要通过“server_names_hash_max_size”（会影响server_name的个数）、“server_names_hash_bucket_size”（影响server_name的字符串长度）来调整配置，否则会抛出错误，我们不需要贸然去调整这两个参数，直到它出错。

四、负载均衡

    使用nginx，其实还对其“负载均衡”的特性比较看重。通常我们有多个web server对等部署，nginx将会通过“负载均衡”模块将请求转发给合适的web server，最终提升了web站点的整体吞吐能力，同时也提高了可用性。需要注意，nginx目前是Http层面的负载均衡器，在1.9V之后将提供TCP层面的负载均衡支持。如下为nginx内置的负载均衡算法：

    1）round-robin：轮询，request将会依次有序的分发给web server。one by one！默认使用此算法。

    2）least-connected：最小连接数，请求将会被分发给当前链接数最小的server。配置名“least_conn”。

    3）ip-hash：根据请求的客户端IP作为hashing key，来判定选择哪个server。配置名“ip_hash”。

Java代码  

1. http {  
2.     upstream backend {  
3.         ##least_conn;  
4.         server 192.168.1.110 weight=3;  
5.         server 192.168.1.120;  
6.     }  
7.     server {  
8.         listen 80 default_server;  
9.         #  
10.         server_name _;  
11.         location / {  
12.             proxy_pass http://backend;  
13.         }  
14.     }  
15. }  

    上述配置，就是一个简单的“负载均衡”的样例，首先在一个“upstream”区块中声明server列表，然后在proxy_pass指令中使用它；如果没有声明“负载均衡”算法，那么默认就是用“round-robin”，其他可选值为“least_conn”、“ip_hash”，“负载均衡”算法需要在upstream区块的首行声明。

    “least_conn”算法可以让全局的性能开支，在多个server之间趋于平衡，因为不同的server可能在物理性能上就有差距，而且不同的request处理耗时也不尽相同；如果希望处理比较快的server能够尽可能的接收更多的请求，那些负载较高的server也能稳步推进（后续我们会提到流量控制），那么“least_conn”算法将非常适合。通常我们在production环境中，均采用此算法。

    “least_conn”和“round-robin”算法，将会把一个客户端（来自同一个IP）的请求分发给不同的server上，这在某些情况下并不妥，比如“粘性session”，同一个客户端的请求应该被转发给同一个server（除非此server失效后，才会被转发到其他server），否则session会话中的数据将会丢失。那么“ip_hash”算法将比较适合。不过基于残酷的现实，粘性session的设计方案并不通用。

    能够影响负载均衡策略的还有一个重要的参数：权重；“权重”用来标记某个server承载请求的“优先级”，通常权重越高的server将优先获得客户端请求，事实上“权重”也是表示一个server“承载”能力的大小，我们通常可以对硬件配置较高的server给予较高的权重，这有点像粗颗粒的“虚拟化”，如果一个server的硬件配置是另一个的2倍，那么可以将权重值设置为其2倍。

    默认upstream中所有的server权重都一样，那么“负载均衡”算法将平等对待它们。

Java代码  

1. upstream backend {  
2.     server 192.168.1.110 weight=3 max_fails=3 fail_timeout=10s;  
3.     server 192.168.1.120;  
4.     server 192.168.1.130;  
5. }  

    对于上述配置，每5个请求，将有3个分发给“192.168.1.110”，其他两个server各一个。上述提到的三种负载均衡算法中，都可以使用weight。

    “健康监测”对于负载均衡是必须的，这是提供可用性、“故障迁移”的必要手段。比如当某个server失效，请求未能正常处理，那么我们应该将分发给那些“正常”的server，并将故障的server从列表中移除，直到它恢复，以避免后续更多的请求处理失败。nginx当与一个server建立链接失败后，会在“fail_timeout”时间内最多尝试“max_fails”次，如果仍为失败，则将次server标记为“failed”，并从服务列表中移除。默认“max_fails”为1，如果“max_fails”为0，则表示关闭“健康检测”；“fail_timeout”（默认位10s）表示检测多久后被标记为“failed”，nginx会以优雅的方式检测那些失效的server，如果它们再次上线，则将它们标记为“alive”，即可继续提供服务。

    更多的关于“负载均衡”配置方式，我们将在下文“upstream”模块中详解。

五、计量单位

    nginx配置文件中，对于表示“数据尺寸”的数字后，可以跟上“k”、“m”、“g”等单位缩写字母，无单位后缀表示“字节”。对于表示“时间”的数字，可以使用“ms”、“s”、“m”（分钟）、h、d（天）、w（周）、M（月）、y（年），我们还能以组合的方式使用它们，比如“1h 30m”，表示一小时30分钟，相当于“90m”或者“5400s”，无单位后缀表示“秒”。如下例：

Java代码  

1. proxy_cache_path  /home/proxy_cache_path levels=1:2 keys_zone=cache_one:64m inactive=1d max_size=30g;  

六、HTTPS配置

    https突然风靡起来，就连小论坛也开始用https，显的很技术派，似乎它的低性能的缺点并没有想象的那么可怕。在实际环境中，nginx和后端的web server均可以支持htps，为了架构的简单性，以及不希望web协议干扰程序的实现，我们通常在nginx这一次支持https，而在web server层（比如tomcat）则继续使用http协议。配置样例如下：

Java代码  

1. upstream backend  
2.  {  
3.     server   192.168.1.110:8080;  
4.     server   192.168.1.120:8080;  
5.  }  
6. server {  
7.     listen 80;  
8.     server_name www.example.com example.com;  
9.     rewrite ^/(.*)$  https://$host/$1 last;  
10.  }  
11.    
12. server {  
13.     listen 443;  
14.     server_name www.example.com example.com;  
15.     ssl on;  
16.     ssl_certificate      /usr/local/nginx/conf/ssl/example.com_bundle.crt;  
17.     ssl_certificate_key  /usr/local/nginx/conf/ssl/example.com.key;  
18.     ssl_session_cache shared:SSL:10m;  
19.     ssl_session_timeout  5m;  
20.     keepalive_timeout 60;  
21.     ssl_protocols  SSLv3 TLSv1 TLSv1.2 TLSv1.1;  
22.     ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;  
23.     ssl_prefer_server_ciphers   on;  
24.   
25.     location / {  
26.         proxy_next_upstream error timeout invalid_header http_500 http_502 http_503;  
27.         proxy_pass http://backend;  
28.     }  
29. }  

    无论如何，你在使用HTTPS之前，需要开启SSL，如果是线上应用，还需要从第三方机构购买一个合法的认证包（如果自己生成，其实并没有什么卵用），这个包里将会包含crt和key两个文件，然后根据上述nginx样例将文件的路径配置正确即可，需要提醒，nginx需要有访问这两个文件的权限。

    SSL操作需要消耗额外的CPU资源，主要在SSL握手阶段，有2种方式可以减少每个客户端的这种操作：1）开启链接的keepalive选项（http 1.1），那么一个客户端可以通过一个（次）链接发送多个请求，事实上达成了链接重用的目的，减少了创建链接和“握手”的次数。 2）重用SSL session参数，以避免此后的子链接再进行握手操作，通过“ssl_session_cache”配置，session将会被保存在cache中，可以在workers进程之间共享，1M的cache空间可以保存大概4000个sessions，缓存生命周期默认为5分钟，可以通过“ssl_session_cache”修改。“ssl_session_cache shared:SSL:10m”表示cache可以在多个workers进程之间共享，cache名位“SSL”，缓存大小为10M（数据尺寸，不是10分钟）。

    上述配置，任何http请求都会被rewrite成https，不过在proxy_pass分发给后端web server时使用http协议，这是一种比较常用的方式，所以让你的网站支持https，只需要在nginx层做认证即可，不需要调整web server的配置。

七、其他

    在描述nginx的指令之前，我们基本熟悉了nginx指令的配置方式：“<指令名称> 值 [可选参数名=参数值];”，以“;”结束，一个区块我们可以包含多个指令，那么这种区块称为context（上线文），nginx中常用的区块有“http”、“events”、“server”、“upstream”、“location”等，最外层的context称之为“main”，context通常是有继承关系，比如“location”需要包含在“server”中。“#”表示行注释。 

    在nginx配置文件中，如果配置项表示路径，比如“root /data/images”，如果为相对路径，则起始与nginx根目录。

    一个指令可以被配置在多个context下，比如“root”：

Java代码  

1. http {  
2.     root /data/www;  
3.     server {  
4.         listen 80;  
5.         server_name localhost;  
6.         root /data/www/html;  
7.         location / {  
8.               root html;  
9.              index index.html index.htm;  
10.         }  
11.     }  
12. }  

    那么根据context的继承关系，子context的指令将覆盖其父context，同理，其他指令也将是如此。

八、nginx常规配置模板

Java代码  

1. #user  www www;  
2. worker_processes auto;  
3. error_log  /home/wwwlogs/nginx_error.log crit;  
4. #pid        /usr/local/nginx/nginx.pid;  
5.   
6. #Specifies the value for maximum file descriptors that can be opened by this process.  
7. worker_rlimit_nofile 655350;  
8.   
9. events  
10.     {  
11.         use epoll;  
12.         worker_connections 655350;  
13.     }  
14.   
15. http  
16.     {  
17.         include       mime.types;  
18.         default_type  application/octet-stream;  
19.   
20.         server_names_hash_bucket_size 128;  
21.         client_header_buffer_size 32k;  
22.         large_client_header_buffers 4 32k;  
23.         client_max_body_size 50m;  
24.         server_tokens off;  
25.   
26.         sendfile on;  
27.         tcp_nopush     on;  
28.   
29.         keepalive_timeout 60;  
30.   
31.         tcp_nodelay on;  
32.   
33.         fastcgi_connect_timeout 300;  
34.         fastcgi_send_timeout 300;  
35.         fastcgi_read_timeout 300;  
36.         fastcgi_buffer_size 64k;  
37.         fastcgi_buffers 4 64k;  
38.         fastcgi_busy_buffers_size 128k;  
39.         fastcgi_temp_file_write_size 256k;  
40.         proxy_connect_timeout 600;  
41.         proxy_read_timeout 600;  
42.         proxy_send_timeout 600;  
43.         proxy_buffer_size 64k;  
44.         proxy_buffers   4 32k;  
45.         proxy_busy_buffers_size 64k;  
46.         proxy_temp_file_write_size 64k;  
47.           
48.         gzip on;  
49.         gzip_min_length  1k;  
50.         gzip_buffers     4 16k;  
51.         gzip_http_version 1.0;  
52.         gzip_comp_level 2;  
53.         gzip_types   text/plain application/x-javascript text/css application/xml text/xml application/json;  
54.         gzip_vary on;  
55.         log_format  access ‘$remote_addr - $remote_user [$time_local] $host ‘  
56.                                    ‘"$request" $status $body_bytes_sent $request_time ‘  
57.                                    ‘"$http_referer" "$http_user_agent" "$http_x_forwarded_for"‘  
58.                                    ‘$upstream_addr $upstream_status $upstream_response_time‘ ;  
59.         server {  
60.             listen 80;  
61.             server_name  _;  
62.             return 403;  
63.         }  
64.         include vhost/*.conf;  
65. }  

    以“exmaple.org”为例，如下为基于upstream负载均衡模式的配置：

Java代码  

1. upstream example_backend {  
2.           server   127.0.0.1:9080;  
3.           server   192.168.1.198:9080;  
4.  }  
5. server {  
6.         listen 80;  
7.         server_name www.example.org example.com .example.org;  
8.       
9.     location / {  
10.         proxy_next_upstream error timeout invalid_header http_500 http_502 http_503;  
11.         proxy_pass http://example_backend;  
12.         proxy_http_version 1.1;  
13.         proxy_set_header Host $host;  
14.         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
15.     }  
16.     access_log  logs/www.example.org.log;  
17.     location ~ .*\.(gif|jpg|jpeg|png|bmp|ico|swf|xml|css|js)$ {  
18.         proxy_pass      http://example_backend;  
19.         proxy_set_header        Host    $host;  
20.         proxy_set_header        X-Real-IP       $remote_addr;  
21.         proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;  
22.         expires 15d;  
23.     }  
24.     location ~ .*\.(jhtml)$ {  
25.         proxy_pass      http://example_backend;  
26.         proxy_set_header        Host    $host;  
27.         proxy_set_header        X-Real-IP       $remote_addr;  
28.         proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;  
29.         expires -1;  
30.     }  
31. }  

    上述配置中，对后端web server返回的静态类型文件，让浏览器缓存15天，对于jhtml格式的动态文件不缓存。

九、基于HTTPS配置核心配置

Java代码  

1. upstream example_backend {  
2.     server   127.0.0.1:9080;  
3.     server   192.168.1.198:9080;  
4.  }  
5. server {  
6.         listen 80;  
7.         server_name www.example.org example.org;  
8.         rewrite ^/(.*)$  https://$host/$1 last;  
9.  }  
10. server {  
11.     listen 443;  
12.     server_name www.example.org example.org;  
13.   
14.     ssl on;  
15.     ssl_certificate      /usr/local/nginx/conf/ssl/example.crt;  
16.     ssl_certificate_key  /usr/local/nginx/conf/ssl/example.key;  
17.     ssl_session_timeout  5m;  
18.     ssl_protocols  SSLv3 TLSv1 TLSv1.2 TLSv1.1;  
19.     ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;  
20.     ssl_prefer_server_ciphers   on;  
21.   
22.     location / {  
23.         ...  
24.     }  
25. }  

十、对于文件系统而言，基于nginx缓存的配置

Java代码  

1. upstream static_backend {  
2.     server 192.168.1.198:8080;  
3.     server 127.0.0.1:8080;  
4. }  
5. #设置Web缓存区名称为cache_one，内存缓存空间大小为256MB，1天没有被访问的内容自动清除，硬盘缓存空间大小为30GB。  
6. proxy_temp_path   /home/proxy_temp_dir;  
7. proxy_cache_path  /home/proxy_cache_path levels=1:2 keys_zone=cache_one:256m inactive=1d max_size=30g;  
8.   
9. server {  
10.     listen       80;  
11.     server_name static.example.org;  
12.     location / {  
13.             proxy_next_upstream http_502 http_504 error timeout invalid_header;  
14.             proxy_cache cache_one;#nginx本地cache开启  
15.             proxy_cache_valid 200 304 30d;  
16.             proxy_cache_valid 301 302 404 1m;  
17.             proxy_cache_valid any 1m;  
18.             proxy_cache_key $host$request_uri;  
19.   
20.         add_header X-Proxy-Cache $upstream_cache_status;  
21.             proxy_set_header  Host $host;  
22.             proxy_set_header  X-Real-IP  $remote_addr;  
23.             proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
24.             proxy_set_header X-Forwarded-For $remote_addr;  
25.             proxy_set_header If-Modified-Since $http_if_modified_since;  
26.   
27.         expires 30d;#客户端缓存，在header中增加“Expires”  
28.         add_header Cache-Control public;  
29.         proxy_pass http://static_backend;  
30.             if_modified_since before;  
31.         }  
32.     #location ~ /purge(/.*) {  
33.         # allow 127.0.0.1;  
34.         # allow 192.168.1.0/24;  
35.         # deny  all;  
36.         # proxy_cache_purge cache_one $host$1$is_args$args;  
37.     # }  
38.     #https://github.com/FRiCKLE/ngx_cache_purge/  
39.     access_log  /home/wwwlogs/static.example.org.log  access;  
40. }