实验前提:
1、本次实验我使用的系统平台为RHEL5.8
2、由于在测试时是基于域名来访问的,因此,需要修改系统上的hosts文件,如:
www.xsl.com 192.168.0.104
www.a.org 192.168.0.104
nginx作为web服务器的应用
1、创建非特权用户
由于nginx在运行时是以非特权用户的方式进行的,因此,在编译安装前需要创建一个非特权用户
[root@localhost ~]#groupadd -r -g 200 nginx
[root@localhost ~]#useradd -r -g 200 -u 200 nginx
2、编译安装nginx
在这里我使用的linux平台为RHEL5.8,大家可以根据自己的平台选择相应的nginx版本。
nginx的下载地址:http://nginx.org/en/download.html
[root@localhost ~]# tar xf nginx-1.6.2.tar.gz
[root@localhost ~]# cd nginx-1.6.2
[root@localhost nginx-1.6.2]# ./configure \
--prefix=/usr \
--sbin-path=/usr/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_flv_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/tmp/nginx/client/ \
--http-proxy-temp-path=/var/tmp/nginx/proxy/ \
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \
--http-scgi-temp-path=/var/tmp/nginx/scgi \
--with-pcre
在这里对几个参数说明一下,前面的几个参数都比较好理解就不解释了。
--lock-path=/var/lock/nginx.lock 设定nginx的锁文件
--user=nginx表示以哪个非特权用户的身份运行nginx程序,这里的nginx就是我们刚刚创建的非特权用户
--group=nginx表示程序运行时的非特权用户组
--with-http_ssl_module表示启用ssl模块,使其支持https功能。如果想支持ssl的话,还需要安装openssl。这里我已经安装了。
--with-http_stub_status_module启用http_stub_status_module模块,可以获取nginx自上次启用以来的工作状态
--with-http_gzip_static_module启用这个模块可以支持gzip压缩功能,对于响应的文件比较大时,可以先压缩在传输,有利于节省带宽。
--http-client-body-temp-path=/var/tmp/nginx/client设定http客户端请求临时文件路径
-http-proxy-temp-path=/var/tmp/nginx/proxy/ 设定http代理临时文件路径
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/设定http fastcgi临时文件路径
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi设定http uwsgi临时文件路径
--http-scgi-temp-path=/var/tmp/nginx/scgi设定http scgi临时文件路径
--with-pcre 启用pcre库。如果想支持正则表达式,需要安装pcre。由于我的系统上已经安装了pcre,因此,这里就不需要安装了.
然后安装相应的模块
[root@localhost nginx-1.6.2]# make && make install
3、为nginx提供SysV风格的脚本
[root@localhost ~]# vim /etc/rc.d/init.d/nginx
#!/bin/sh
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig: - 85 15
# description: Nginx is an HTTP(S) server, HTTP(S) reverse \
# proxy and IMAP/POP3 proxy server
# processname: nginx
# config: /etc/nginx/nginx.conf
# config: /etc/sysconfig/nginx
# pidfile: /var/run/nginx.pid
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0
nginx="/usr/sbin/nginx"
prog=$(basename $nginx)
NGINX_CONF_FILE="/etc/nginx/nginx.conf"
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
lockfile=/var/lock/subsys/nginx
make_dirs() {
# make required directories
user=`nginx -V 2>&1 | grep "configure arguments:" | sed ‘s/[^*]*--user=\([^ ]*\).*/\1/g‘ -`
options=`$nginx -V 2>&1 | grep ‘configure arguments:‘`
for opt in $options; do
if [ `echo $opt | grep ‘.*-temp-path‘` ]; then
value=`echo $opt | cut -d "=" -f 2`
if [ ! -d "$value" ]; then
# echo "creating" $value
mkdir -p $value && chown -R $user $value
fi
fi
done
}
start() {
[ -x $nginx ] || exit 5
[ -f $NGINX_CONF_FILE ] || exit 6
make_dirs
echo -n $"Starting $prog: "
daemon $nginx -c $NGINX_CONF_FILE
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
return $retval
}
stop() {
echo -n $"Stopping $prog: "
killproc $prog -QUIT
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}
restart() {
configtest || return $?
stop
sleep 1
start
}
reload() {
configtest || return $?
echo -n $"Reloading $prog: "
killproc $nginx -HUP
RETVAL=$?
echo
}
force_reload() {
restart
}
configtest() {
$nginx -t -c $NGINX_CONF_FILE
}
rh_status() {
status $prog
}
rh_status_q() {
rh_status >/dev/null 2>&1
}
case "$1" in
start)
rh_status_q && exit 0
$1
;;
stop)
rh_status_q || exit 0
$1
;;
restart|configtest)
$1
;;
reload)
rh_status_q || exit 7
$1
;;
force-reload)
force_reload
;;
status)
rh_status
;;
condrestart|try-restart)
rh_status_q || exit 0
;;
*)
echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
exit 2
esac
为脚本添加执行权限
[root@localhost ~]# chmod +x /etc/init.d/nginx
将这个脚本加入到服务列表中
[root@localhost ~]# chkconfig --add nginx
设定为开机自启动
[root@localhost ~]# chkconfig nginx on
然后,就可以启动nginx服务了
[root@localhost ~]# service nginx start
Starting nginx: [ OK ]
注意:如果将nginx作为web服务器的话,千外不能启动httpd服务,否则,两个服务会争用套接字的。会出现如下错误:
Starting nginx: nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] still could not bind()
[FAILED]
4、修改nginx的配置文件
user nginx nginx; 运行nginx程序的属主和属组
worker_processes 1;
#worker进程是单线程进程。如果Nginx用于CPU密集型的场景中,如SSL或gzip,且主机上的CPU个数至少有2个,那么应该将此参数值设定为与CPU核心数相同;如果Nginx用于大量静态文件访问的场景中,且所有文件的总大小大于可用内存时,应该将此参数的值设定得足够大以充分利用磁盘带宽。
#error_log logs/error.log; 用来设定错误日志的。不过如果在编译时已经指定了安装路径,这里可以不用再指定了。
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid; nginx的进程pid文件
events {
worker_connections 1024; 表示一个进程可以处理多少个连接请求
}
http {
include mime.types; 表示http支持多种类型的文件
default_type application/octet-stream;
#日志格式
#log_format main ‘$remote_addr - $remote_user [$time_local] "$request" ‘
# ‘$status $body_bytes_sent "$http_referer" ‘
# ‘"$http_user_agent" "$http_x_forwarded_for"‘;
#access_log logs/access.log main; 访问默认日志路径
sendfile on;
# 将这个选项设定为on,可以高效的对数据进行传输。默认情况下,数据是从磁盘读到buffer中,然后再从buffer中复制到进程所在的缓存区中,最后返回给客户端。设定该选项可以调用sendfile()函数,直接将数据读到进程的缓存区中,然后再返回给客户端。这种方式对数据的传输更佳高效。
tcp_nopush on;
# 用来设定nginx在一个数据包里发送所有的头文件,而不是一个接一个的发送。
tcp_nodelay on;
# 设定nginx不要缓存数据,而是一段一段的发送。当需要即时发送数据是,应该设置这个属性,这样发生一小块数据信息时就不能立即得到返回值。
#keepalive_timeout 0;
keepalive_timeout 65; 长连接的超时时间
#gzip on;
下面是用来配置服务器段的,每一个server表示一个虚拟主机。在nginx中虚拟主机只有2种:即基于域名的虚拟主机和基于ip的虚拟主机。没有基于端口的虚拟主机。
server {
listen 80; 监听端口。
server_name www.xsl.com; 服务器的名称,一个server对于一个域名
#charset koi8-r;
#access_log logs/host.access.log main;
location / { 这里的"/"表示的是URL路径,在这里指的是根路径。可以有多个location
root /www/xsl.com; 站点的根目录
autoindex off; 关闭索引功能,一般用在上传和下载的服务器上。
index index.html index.htm; 根目录下的默认主页。即时没有设定匹配"/"的url,只要设定根目录的默认主页,一旦访问根目录时,也会返回根目录下默认主页的内容。
}
#error_page 404 /404.html; 定义错误页面。如果错误是404的话,会将站点的根目录下的404.html文件内容返回给用户。
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
}
}
在nginx中的配置文件中,我们可以看到location的设定有多种方法,location设定的方法有如下几种:
语法格式:location [=|~|~*|^~] /uri/ { … }
location / { 这个匹配的是根目录。这是一种通用匹配
root /www/xsl.com
}
location = /50x.html { "="表示匹配的是根目录下的指定url,是精确匹配。在这里表示精确匹配/www/xsl.com/50x.html文件。
root /www/xsl.com;
}
location ~ /\.html { "~"表示是基于正则表达式来匹配url,这个不区分大小写。在这里表示匹配/www/xsl.com/目录下后缀为.html的所有文件
root /www/xsl.com;
}
location ~* /\.html { "~*"也是基于正则表达式来匹配URL的,只是这个区分大小写。在这里的匹配意思同上,只是区分大小写。
root /www/xsl.com;
}
location ^~ /images/ { ^~表示匹配普通字符串,一般用来匹配目录。这里匹配的是/www/xsl.com/images/目录下的所有文件。
root /www/xsl.com;
}
对于不同的location设定格式,其匹配是有先后顺序的。匹配顺序如下:
1、"="表示精确匹配。因此,所有的url首先会被有"="的location中的url匹配。一旦匹配成功,nginx则停止搜索。
2、如果location中没有"=",则所有的url会被有"^~"的location中的url匹配。一旦盘匹配成功,则nginx停止搜索。
3、如果都没有上述2种location的设定,则所有的url会被有"~"或"~*"的location中的url匹配。一旦盘匹配成功,则nginx停止搜索。
4、最后,如果都没有上述类型的location设定,只是设定了匹配"/"的url,则根目录下所有的文件都会被匹配
5、配置文件修改后,先创建相应的目录,再检查下配置文件的语法是否正确,然后再启动nginx服务。
创建目录
[root@localhost ~]# mkdir /www/xsl.com
[root@localhost ~]# vim /www/xsl.com/index.html
<h1>test nginx</h1>
检查nginx配置文件的语法是否正确,可以使用如下命令:
[root@localhost ~]# nginx -t
如果配置文件没有任何问题,则可以启动服务了。
[root@localhost ~]# service nginx start
6、测试,访问默认主页是否正常
如果是在浏览器中输入的是服务器的主机名称,则还需要在本机的hosts文件添加主机名称和ip的对应条目才行。在这里我是在window主机上进行测试的,因此,需要在windows系统上的hosts文件中添加如下对应行:
www.xsl.com 192.168.0.104
添加完成后,在进行页面测试,测试结果如下:
测试错误页面
当访问一下不存在的页面时,会返回错误页面的内容。可以在location中添加如下信息:
error_page 404 404.html;
404.html文件必须要位于指定的url下,在这里位于"/"目录下
测试访问一个不存在的页面如http://www.xsl.com/20.html。测试结果如下:
7、基于ip的认证
有时候我们需要设定特定的ip才可以访问,以保证服务器的安全性。
设定基于ip的认证命令需要在location中设定,如:
location / {
root /www/xsl.com;
autoindex off;
index index.html index.htm;
deny 192.168.0.0/24; 默认是允许所有ip访问。这里我的ip是位于192.168.0.0/24的网络中的。
}
测试结果如下:
8、基于用户的认证
基于用户的认证命令也可以在location中设定,如:
location / {
root /www/xsl.com;
index index.html index.htm;
auth_basic "Restrice..." 这个命令是用来设置提示语的
auth_basic_user_file /etc/nginx/userfile 这个命令是用来设定基于用户认证时的用户和密码所在文件
}
在nginx中,基于用户认证方式中的用户和密码是通过htpasswd这个命令来创建的,而htpasswd是httpd自带的程序,因此,要想使用htpasswd来创建用户和密码,需要先安装httpd程序。
[root@localhost ~]# yum -y install httpd
[root@localhost ~]# chkconfig httpd off
[root@localhost ~]# service httpd stop
使用htpasswd命令创建用户和密码
[root@localhost ~]# htpasswd -c -m /etc/nginx/userfile xsl 注意,第一次创建用户时需要指定-c参数,以后就不需要了。
创建完成之后,还需要重新加载nginx。不需要重启。
[root@localhost ~]# service nginx reload
测试访问http://ww.xsl.com,测试结果如下:
将用户和密码输入后,显示的结果为:
9、 开启nginx的工作状态监控功能
如果需要查看nginx的工作状态信息,还可以设置相关的状态指令。
location /status {
stub_status on; 开启nginx的状态监控功能。不过需要注意的时,如果要设置查看nginx工作状态信息,除了需要启动这个命令之外,更重要的是启用http_stub_status_module这个模块。不过我们在编译时已经启用了这个模块。
}
测试访问http://www.xsl.com/status,测试结果如下:
其中这些参数意思如下:
Active connection:# 表示所有打开的连接数
server后面有三个数字(如5 5 6)分别表示如下意思:
第一个数字(如5)表示已经接受的连接请求数
第二个数字(如5)表示已经处理的连接请求数
第三个数字(如6)表示已经处理的请求个数
Reading:# 表示nginx正在读取其首部请求的个数
Writing:# 表示正在读取其主体的请求个数、正在处理请求个数或正在响应给客户端的响应个数
Waiting:# 表示处在活动连接的连接数
10、定义基于ssl协议的虚拟主机。即https协议的配置。
首先服务器端创建CA证书
[root@localhost CA]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 创建私钥
[root@localhost CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 创建CA证书
[root@localhost CA]# echo 01 > serial
[root@localhost CA]# touch index.txt
[root@localhost CA]# mkdir cert crl newcerts
在服务器端创建私钥
[root@localhost ~]# mkdir /etc/nginx/ssl
[root@localhost ~]# cd /etc/nginx/ssl/
[root@localhost ssl]# (umask 077;openssl genrsa -out nginx.key 2048 )
生成颁发请求文件
[root@localhost ssl]# openssl req -new -key nginx.key -out nginx.csr
CA为颁发请求文件签署成为证书
[root@localhost ssl]# openssl ca -in nginx.csr -out nginx.crt -days 3650
编辑配置文件/etc/nginx/nginx.conf
将鼠标定位到最后一个server段所在行,使用如下命令来去掉前面的"#"号
.,$-1s/^\([[:space:]]*\)#/\1/g
下面是关于https的配置部分
server {
listen 443 ssl; 监听端口
server_name www.a.org; 服务器名称
ssl_certificate /etc/nginx/ssl/nginx.crt; 证书
ssl_certificate_key /etc/nginx/ssl/nginx.key; 私钥
ssl_session_cache shared:SSL:1m; ssl会话缓存时长
ssl_session_timeout 5m; 会话超时时间
ssl_ciphers HIGH:!aNULL:!MD5; 加密算法
ssl_prefer_server_ciphers on; 是否允许服务器端选择倾向性的加密算法
location / {
root /www/a.org;
index index.html index.htm;
}
}
然后,创建/www/a.org文件,并创建index.html文件
[root@localhost ~]# mkdir /www/a.org
[root@localhost ~]# vim /www/a.org/index.html
<h1>team<h1>
I am fine.
what are you dong?
测试访问https://www.a.org,测试结果如下:
至此,nginx作为web服务器的配置已经完成了!!!
本文出自 “linux学习之路” 博客,转载请与作者联系!
原文地址:http://xslwahaha.blog.51cto.com/4738972/1622814