标签:准备 情况 error roc ret 错误信息 51cto 长连接 form
Nginx基础应用当找不到首页文件内容时, 会展示目录结构,这个功能一般不用除非有特殊需求-->autoindex on;
1.Nginx默认是不允许列出整个目录浏览下载。
2.当Nginx配置文件中指定了autoindex on;参数:当首页文件不存在时。浏览网页会显示站点目录下所有文件或重要目录
3.可以被Nginx服务处理的文件资源,点击后直接显示文件内容
4.不可以被Nginx服务处理的文件资源,会通过浏览器直接下载
5.Nginx资源识别文件 /etc/nginx/mime.types
扩展 Apache软件,没有首页文件,默认会把目录下面的信息显示出来
官网说明
Syntax: autoindex on | off;
Default: autoindex off;
Context: http, server, location
autoindex常用参数
autoindex_exact_size off;
默认为on, 显示出文件的确切大小,单位是bytes。
修改为off,显示出文件的大概大小,单位是kB或者MB或者GB。
autoindex_localtime on;
默认为off,显示的文件时间为GMT时间。
修改为on, 显示的文件时间为文件的服务器时间。
charset utf-8,gbk;
默认中文目录乱码,添加上解决乱码。
2.配置站点目录浏览功能
//开启目录浏览
location / {
root html;
autoindex on;
autoindex_localtime on;
autoindex_exact_size off;
}
1.ngx_http_stub_status_module用于展示Nginx连接状态信息,
需要--with-http_stub_status_module模块支持
官网说明
Syntax: stub_status;
Default: —
Context: server, location
2.配置Nginx status
location /nginx_status {
stub_status;
access_log off;
}
3.使用浏览器访问http://IP/nginx_status访问后得到的结果
Active connections:2 #当前活动的连接数
server accepts handled requests
16 16 19
accepts 16 # 总的tcp连接数connection
handled 16 # 成功tcp连接数connection(失败连接=(总连接数-成功连接数))
这个值如果优化的好一般是和accepts的值相同的 除非达到资源限制
worker_connections 连接数限制
requests 19 # 总共处理的http请求数requests
#keepalive_timeout 0; # 每次连接都会产生一次请求(短连接)
#keepalive_timeout 60; # 在60s以内的请求建立在一个连接基础之上(长连接)
Reading:2 Writing:1 Waiting: 19
Reading # 当前Nginx正在读取请求头的连接数
Writing # 当前Nginx将响应写回客户机的连接数
Waiting # 等待连接数 开启TCP长连接后才有
?
基于IP的访问控制 http_access_module
基于用户登陆认证 http_auth_basic_module
#1.Nginx基于IP的访问控制
官方说明
//允许配置语法
Syntax: allow address | CIDR | unix: | all;
Default: —
Context: http, server, location, limit_except
//拒绝配置语法
Syntax: deny address | CIDR | unix: | all;
Default: —
Context: http, server, location, limit_except
1.访问控制配置示例, 拒绝指定的IP, 其他全部允许
location /nginx_status {
stub_status;
access_log off;
deny 10.0.0.1;
allow all;
}
2.访问控制配置示例, 只允许谁能访问, 其它全部拒绝
location / {
root html;
index index.php index.html index.htm;
allow 10.0.0.0/24;
allow 127.0.0.1;
deny all;
}
3.http_access_module局限性
下图是使用http_x_forwarded_for记录真实客户端IP地址以及代理服务器IP
解决方式
1.采用HTTP头信息控制访问, 代理以及web服务开启http_x_forwarded_for
2.结合geo模块作
3.通过HTTP自定义变量传递
#2.Nginx基于用户登陆认证
//配置语法
Syntax: auth_basic string| off;
Default: auth_basic off;
Context: http, server, location, limit_except
//用户密码记录配置文件
Syntax: auth_basic_user_file file;
Default: -
Context: http, server, location, limit_except
//需要安装依赖组件
[root@xuliangwei ~]# yum install httpd-tools
[root@xuliangwei ~]# htpasswd -b -c /etc/nginx/auth_conf bgx xuliangwei
//可在http,server,location下添加如下信息
auth_basic "Auth access Blog Input your Passwd!";
auth_basic_user_file /etc/nginx/auth_conf;
用户认证局限性
1.用户信息依赖文件方式
2.用户管理文件过多, 无法联动
3.操作管理机械,效率低下
解决办法
1.Nginx结合LUA实现高效验证
2.Nginx结合LDAP利用nginx-auth-ldap模块
经常会遇到这种情况,服务器流量异常,负载过大等等。对于大流量恶意的×××访问, 会带来带宽的浪费,服务器压力,影响业务,往往考虑对同一个ip的连接数,并发数进行限制。 ngx_http_limit_conn_module
模块可以根据定义的key
来限制每个键值的连接数,如同一个IP来源的连接数。
limit_conn_module 连接频率限制
limit_req_module 请求频率限制
http协议的连接与请求
HTTP是建立在TCP, 在完成HTTP请求需要先建立TCP三次握手(称为TCP连接),在连接的基础上在HTTP请求。
HTTP
请求建立在一次TCP连接基础上,一次
TCP请求至少产生一次
HTTP`请求
注:客户端的IP地址作为键。
$remote_addr 变量的长度为7字节到15字节
$binary_remote_addr 变量的长度是固定的4字节
如果共享内存空间被耗尽,服务器将会对后续所有的请求返回 503错误 (Service Temporarily Unavailable)
1.Nginx连接限制配置
//Nginx连接限制语法
Syntax: limit_conn_zone key zone=name:size;
Default: —
Context: http
Syntax: limit_conn zone number;
Default: —
Context: http, server, location
//具体配置如下:
http {
//http段配置连接限制, 同一时刻只允许一个客户端IP连接
limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
...
server {
...
location / {
//同一时刻只允许一个客户端IP连接
limit_conn conn_zone 1;
}
//压力测试
yum install -y httpd-tools
ab -n 50 -c 20 http://127.0.0.1/index.html
2.Nginx请求限制配置
//Nginx请求限制语法
Syntax: limit_req_zone key zone=name:size rate=rate;
Default: —
Context: http
Syntax: limit_conn zone number [burst=number] [nodelay];
Default: —
Context: http, server, location
//具体配置如下:
http {
//http段配置请求限制, rate限制速率,限制一秒钟最多一个IP请求
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
...
server {
...
location / {
//1r/s只接收一个请求,其余请求拒绝处理并返回错误码给客户端
limit_req zone=req_zone;
//请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量, 多余的请求返回503
#limit_req zone=req_zone burst=3 nodelay;
}
//压力测试
yum install -y httpd-tools
ab -n 50 -c 20 http://127.0.0.1/index.html
?
连接限制没有请求限制有效?
我们前面说过, 多个请求可以建立在一次的TCP连接之上, 那么我们对请求的精度限制,当然比对一个连接的限制会更加的有效。
因为同一时刻只允许一个连接请求进入。
但是同一时刻多个请求可以通过一个连接进入。
所以请求限制才是比较优的解决方案。
在学习日志之前, 我们需要先回顾下HTTP请求和返回
curl -v http://www.baidu.com
Nginx
有非常灵活的日志记录模式。每个级别的配置可以有各自独立的访问日志。日志格式 通过log_format
命令定义格式。
1.log_format指令
#配置语法: 包括: error.log access.log
Syntax: log_format name [escape=default|json] string ...;
Default: log_format combined "...";
Context: http
#默认Nginx定义日志语法
log_format main ‘$remote_addr - $remote_user [$time_local] "$request" ‘
‘$status $body_bytes_sent "$http_referer" ‘
‘"$http_user_agent" "$http_x_forwarded_for"‘;
#Nginx日志格式允许包含的变量:
$remote_addr # 记录客户端IP地址
$remote_user # 记录客户端用户名
$time_local # 记录通用的本地时间
$time_iso8601 # 记录ISO8601标准格式下的本地时间
$request # 记录请求的方法以及请求的http协议
$status # 记录请求状态码(用于定位错误信息)
$body_bytes_sent # 发送给客户端的资源字节数,不包括响应头的大小
$bytes_sent # 发送给客户端的总字节数
$msec # 日志写入时间。单位为秒,精度是毫秒。
$http_referer # 记录从哪个页面链接访问过来的
$http_user_agent # 记录客户端浏览器相关信息
$http_x_forwarded_for #记录客户端IP地址
$request_length # 请求的长度(包括请求行, 请求头和请求正文)。
$request_time # 请求花费的时间,单位为秒,精度毫秒
#注:如果Nginx位于负载均衡器,nginx反向代理之后, web服务器无法直接获取到客 户端真实的IP地址。
#$remote_addr获取的是反向代理的IP地址。 反向代理服务器在转发请求的http头信息中,
#增加X-Forwarded-For信息,用来记录客户端IP地址和客户端请求的服务器地址。
2.access_log指令
Syntax: access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
access_log off;
Default: access_log logs/access.log combined;
Context: http, server, location, if in location, limit_except
Example:
server {
...
access_log /var/log/nginx/www.bgx.com.log;
...
?
所谓虚拟主机,及在一台服务器上配置多个网站
如: 公司主页、博客、论坛看似三个网站, 实则可以运行在一台服务器上。
1.基于域名虚拟主机配置实战
1.创建web站点目录
[root@bgx ~]# mkdir /soft/code/{www,bbs}
[root@bgx ~]# echo "www" > /soft/code/www/index.html
[root@bgx ~]# echo "bbs" > /soft/code/bbs/index.html
2.配置不同域名的虚拟主机
[root@bgx ~]# cat /etc/nginx/conf.d/www.conf
server {
listen 80;
server_name www.xuliangwei.com;
root /soft/code/www;
index index.html;
...
}
[root@bgx ~]# cat /etc/nginx/conf.d/bbs.conf
server {
...
listen 80;
server_name bbs.xuliangwei.com;
root /soft/code/bbs;
index index.html;
}
2.基于端口虚拟主机配置实战
//仅修改listen监听端口即可, 但不能和系统端口出现冲突
server {
...
listen 8001;
...
}
server {
...
listen 8002;
...
}
3.基于虚拟主机别名配置实战
实现用户访问多个域名对应同一个网站, 比如用户访问www.xuliangwei.com和访问xuliangwei.com内容一致
#1.默认配置方式
[root@bgx ~]# vim /etc/nginx/conf.d/www.conf
server {
listen 80;
server_name www.bgx.com;
}
server {
listen 80;
server_name bgx.com;
}
#2.使用别名配置方式
[root@bgx ~]# vim /etc/nginx/conf.d/www.conf
server {
listen 80;
server_name www.bgx.com bgx.com;
...
}
#3.测试访问, 带www和不带www是一样的
[root@bgx ~]# curl bgx.com
Go
[root@bgx ~]# curl www.bgx.com
Go
使用Nginx Location控制访问网站规则
一个server可以有多个location配置,但多个location配置的优先级又该如何划分
Location语法规则:
location [=|^~|~|~*|!~|!~*|/] /uri/ { ...
}
# Location优先级如[]号显示
匹配符 匹配规则 优先级
= 精确匹配 1
^~ 以某个字符串开头 2
~ 区分大小写的正则匹配 3
~* 不区分大小写的正则匹配 4
!~ 区分大小写不匹配的正则 5
!~* 不区分大小写不匹配的正则 6
/ 通用匹配,任何请求都会匹配到 7
1.实例准备
[root@Nginx conf.d]# cat testserver.conf
server {
listen 80;
server_name bgx.com;
location / {
return 200 "location /";
}
location =/ {
return 200 "location =/";
}
location ~ / {
return 200 "location ~/";
}
# location ^~ / {
# return 200 "location ^~";
# }
}
2.测试效果
[root@Nginx conf.d]# curl bgx.com
location =/
//注释掉精确匹配=, 重启Nginx
[root@Nginx ~]# curl bgx.com
location ~/
//注释掉~, 重启Nginx
[root@Nginx ~]# curl bgx.com
location /
标签:准备 情况 error roc ret 错误信息 51cto 长连接 form
原文地址:http://blog.51cto.com/13528471/2177279