第一节、安装升级
1.1、linux初始化
1、关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
2、关闭selinux
vim /etc/selinux/config
SELINUX=disabled
1.2、安装
nginx中文网:https://www.nginx.cn/doc/
nginx 下载
1、yum安装
yum -y install gcc pcre-devel openssl-devel
yum -y install nginx
2、源码安装
yum -y install gcc pcre-devel openssl-devel wget
useradd -s /sbin/nologin www
wget http://nginx.org/download/nginx-1.16.1.tar.gz
tar -xvf nginx-1.16.1.tar.gz
cd nginx-1.16.1
./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-stream --with-http_stub_status_module
make && make install
3、nginx命令的用法
#启动
/usr/local/nginx/sbin/nginx
#停止
/usr/local/nginx/sbin/nginx -s stop
#重启
/usr/local/nginx/sbin/nginx -s reload
#查看软件信息
/usr/local/nginx/sbin/nginx -V
#方便后期使用
ln -s /usr/local/nginx/sbin/nginx /sbin/
4、./configure 参数选项
[root@localhost nginx-1.16.1]# ./configure --help => 查看安装配置项
--help
打印帮助信息。
--prefix=PATH
设置软件安装目录路径。
--sbin-path=PATH
设置可执行文件安装目录路径。
--modules-path=PATH
设置模块安装目录路径。
--conf-path=PATH
设置配置文件安装目录路径。
--error-log-path=PATH
设置错误日志文件安装目录路径。
--pid-path=PATH
设置进程文件安装目录路径。
--lock-path=PATH
设置NGINX锁文件安装目录路径,当NGINX运行时会自动创建该文件,用于在一台服务器上只允许运行一个NGINX服务。
--user=USER
设置运行进程时所使用的系统用户,如果没有指定,则默认为nobody,就算安装时不指定,后期也可以通过修改"nginx.conf"配置文件中的"user"项修改。
--group=GROUP
设置运行进程时所使用的用户组。
--build=NAME
设置编译名,一个描述,没有任何其他作用。
--builddir=DIR
设置编译目录,会将编译后生成的文件写入到这个目录中。
--------------------------------------------------------------------------------
--with-select_module
--without-select_module
启用或禁用select事件驱动模型。默认情况下在Linux2.6以上的内核版本中,Nginx支持使用Epoll高效的事件模型,我们可以在配置文件中使用"use epoll"指令开启它。
--with-poll_module
--without-poll_module
启用或禁用poll事件驱动模型。默认情况下在Linux2.6以上的内核版本中,Nginx支持使用Epoll高效的事件模型,我们可以在配置文件中使用"use epoll"指令开启它。
--with-threads
--with-file-aio
启用线程池功能。一般情况下主机有几核处理器在启动Nginx时就会创建几个Worker工作进程,进程创建线程处理每一个请求,当在CPU密集型计算、资源访问的环境下,很多请求都会开启对应的线程,可能会由于磁盘IO限制导致的线程处理请求时间变长,这不是我们期望看到的,我们就可以启用线程池功能,让请求排队等待处理,并且可以充分利用CPU提高处理效率。开启线程池需要AIO的支持。
启用异步文件IO(AIO)支持。一般用于大文件传输的场景下。
--------------------------------------------------------------------------------
--with-http_ssl_module
启用HTTP_SSL模块,用于构建HTTPS服务。默认情况下不构建此模块。
--with-http_v2_module
启用HTTP_V2模块,新的HTTP协议,相比HTTP1更优更快。默认情况下不构建此模块。
--with-http_realip_module
启用HTTP_Realip模块,用于修改客户端请求头中客户端IP地址值,一般用于反向代理中,将真实的客户端IP传送给后端的应用服务器。默认情况下不构建此模块。
--with-http_addition_module
启用HTTP_Addition模块,用于在响应之前和之后添加文本。默认情况下不构建此模块。
--with-http_xslt_module
--with-http_xslt_module=dynamic
启用HTTP_Xslt模块,这个模块是一个过滤器,它可以通过XSLT模板转换成XML响应。需要ibxml2和libxslt库的支持。默认情况下不构建此模块。
启用HTTP_Xslt动态模块,允许在配置文件中通过"load_module"指令手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-http_image_filter_module
--with-http_image_filter_module=dynamic
启用HTTP_Image_Filter模块,这个模块是一个集成图片处理器,我们可以使用它转换JPEG、GIF、PNG和WEBP格式的图像,验证这些格式图像的有效型(是不是此格式的图像),输出JSON格式的图像信息,旋转图像,按比例缩放图像,剪切图片等。默认情况下不构建此模块。
启用HTTP_Image_Filter动态模块,允许在配置文件中通过"load_module"指令手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-http_geoip_module
--with-http_geoip_module=dynamic
启用HTTP_Geoip模块,这个模块用于处理不同地区的访问,当来自某一个区域的访问时将其重定向到对应的服务或者项目上,需要MaxMind GeoIP库的支持。默认情况下不构建此模块。
启用HTTP_Geoip动态模块,允许在配置文件中通过"load_module"指令手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-http_sub_module
启用HTTP_Sub模块,这个模块是一个过滤器,用于修改响应的内容,可以将一个指定的字符串替换成另一个字符串。默认情况下不构建此模块。
--with-http_dav_module
启用HTTP_DAV模块,用于通过WEBDAV协议提供WEB的文件管理功能,类似于一个WEB的文件管理器,可以对服务器的文件进行管理。默认情况下不构建此模块。
--with-http_flv_module
--with-http_mp4_module
启用HTTP_FLV模块,用于为Flash Video(FLV)文件提供伪流视频服务端支持,开启它则允许在网页上播放FLV格式的视频。默认情况下不构建此模块。
启用HTTP_MP4模块,用于为MP4格式的视频文件提供伪流视频服务端支持,开启它则允许在网页上播放MP4格式的视频。默认情况下不构建此模块。
--with-http_gunzip_module
--with-http_gzip_static_module
启用HTTP_Gunzip模块,用于为不支持"gzip"编码方式的客户端解压响应,有些浏览器不支持"gzip"编码格式的请求和响应传输,若服务器开启了内容传输压缩功能(Gzip),则需要开启此项,服务器会本地解压数据,将数据传送给浏览器客户端。默认情况下不构建此模块。
启用HTTP_Gzip_Static模块,用于将静态内容压缩成".gz"为文件扩展名的预压缩文件,并缓存在本地,在响应时会将此文件发送以替代普通文件,运用此模块的好处就是不需要(Gzip)每次传输时都需要对文件进行处理压缩。在用于Squid+Nginx环境下,当Nginx启用(Gzip)内容传输压缩功能时,在使用Squid3.0以前版本搭建环境时会发现,Squid返回给客户端的并不是压缩状态,这就是由于没有启用此模块导致的。默认情况下不构建此模块。
--with-http_auth_request_module
启用HTTP_Auth_Request模块,此模块是一个请求验证模块,可以使用外部服务器或服务对网站的每个请求进行身份验证,当用户访问时,Nginx会向用于验证请求的外部服务器发出验证请求,若返回的状态码为200,则通过允许访问,若返回401或403,则访问会被拒绝。默认情况下不构建此模块。
--with-http_random_index_module
启用HTTP_Random_Index模块,随机主页模块,当用户访问时,随机响应一个主页,而并非由"index"指令定义的一个主页,而是从主页池中随机选中一个主页面返回。默认情况下不构建此模块。
--with-http_secure_link_module
启用HTTP_Secure_Link模块,防盗链模块,用于检查请求链接的权限以及是否过期,多用于文件下载防盗链。默认情况下不构建此模块。
--with-http_degradation_module
启用HTTP_Degradation模块,用于当主机剩余内存较低时,用户请求访问,Nginx会对某些"location"的请求返回204或444的响应码。默认情况下不构建此模块。
--with-http_slice_module
启用HTTP_Slice模块,此模块是一个过滤器,用于将一个大的完整的文件分割成多个小块文件,分段传送给用户,一般用于大文件传输的场景下,使用它可以让用户快速的得到响应。默认情况下不构建此模块。
--with-http_stub_status_module
启用HTTP_Stub_Status模块,状态信息统计模块,用于返回一个Nginx状态信息统计信息页面,管理员访问这个页面可以获取Nginx的请求处理、当前连接、等待连接等统计信息,一般用于监控Nginx的运行状态。默认情况下不构建此模块。
--------------------------------------------------------------------------------
--without-http_charset_module
禁用HTTP_Charset模块,此模块用于将指定的字符集添加到"Content-Type"响应头字段中。此外此模块还可以将数据从一个字符集转换为另一个字符集,此模块用于字符集设置。不建议禁用。
--without-http_gzip_module
禁用HTTP_Gzip模块,此模块用于HTTP响应内容传输压缩,可以将响应内存在传输时将其压缩成Gzip编码格式的响应传送给客户端,使用Gzip编码格式响应内容体积会变小,会提高传输效率。不建议禁用。
--without-http_ssi_module
禁用HTTP_SSI模块,此模块是一个过滤器,用于处理通过它响应中的SSI(Server Side Includes)命令。目前支持的SSI命令列表并不完整,SSI指令是一种可以嵌入WEB页面的一种语法指令。
--without-http_userid_module
禁用HTTP_Userid模块,此模块用于识别客户端的Cookie。可以使用嵌入变量"$uid_got"和"$uid_set"记录已接受和设置的Cookie。
--without-http_access_module
禁用HTTP_Access模块,此模块用于限制对某些客户端地址的访问,Allow or Deny。不建议禁用。
--without-http_auth_basic_module
禁用HTTP_Auth_Basic模块,该模块用于HTTP基本身份验证,使用用户名和密码来限制对资源的访问。
--without-http_mirror_module
禁用HTTP_Mirror模块,该模块用于将正式环境的流量拷贝到镜像(测试)环境下,一般用于测试环境引入真实环境的流量实现对测试环境的压力测试。
--without-http_autoindex_module
禁用HTTP_Autoindex模块,该模块用于在处理以斜杠字符('/')结尾的请求,并在找不到索引文件的情况下生成目录列表。
--without-http_geo_module
禁用HTTP_Geo模块,该模块用于从指定变量中获取客户端的IP地址,并将其嵌入到另外一个变量中。默认情况下从"$remote_addr"变量中取得客户端的IP地址。我们可以通过它结合"HTTP_Upstream"实现对来源客户端的负载均衡,当来自不同的客户端请求时,将其负载均衡给后端的不同的服务器处理;还可以使用它结合"HTTP_Map"+"HTTP_Limit_Conn"模块实现对来源客户端的限速功能。
--without-http_map_module
禁用HTTP_Map模块,该模块用于创建一个变量的映射表,结果变量可以是一个字符串也可以是另外一个变量。
--without-http_split_clients_module
禁用HTTP_Splic_Clients模块,该模块用于创建适用于A/B测试的变量,AB测试也称之为拆分测试,也就是将一个项目的两个不同版本发布,看用户更喜欢用于那个版本,若版本A受欢迎则发布版本A。
--without-http_referer_module
禁用HTTP_Referer模块,该模块用于防盗链,用于阻止对请求头部"referer"字段具有无效值的请求访问,可以设置一个白名单,非白名单的无效来源网址的连接则会拒绝请求,使用此模块我们还需考虑到,即使对于有效的请求,常规浏览器也可能不发送"referer"字段。不建议禁用。
--without-http_rewrite_module
禁用HTTP_Rewerte模块,该模块用于地址重写,用于将来源请求地址重定向到指定的地址上,可以保护真实的地址,增加安全性,该模块需要PCRE库的支持。不建议禁用。
--without-http_proxy_module
--without-http_fastcgi_module
--without-http_uwsgi_module
--without-http_scgi_module
--without-http_grpc_module
禁用HTTP_Proxy模块,该模块用于将请求代理传递到另外一台WEB服务器去处理,Nginx的核心模块。不建议禁用。
禁用HTTP_FastCGI模块,该模块用于将请求代理传递到另外一台FastCGI服务器去处理,一般用于反代PHP。不建议禁用。
禁用HTTP_UwSGI模块,该模块用于将请求代理传递给另外一台UwSGI服务器去处理。
禁用HTTP_SCGI模块,该模块用于将请求代理传递给另外一台SCGI服务器去处理。
禁用HTTP_Grpc模块,该模块用于将请求代理传递给另外一台Grpc服务器去处理。
--without-http_memcached_module
禁用HTTP_Memcached模块,该模块用于Nginx从Memcached服务器获取响应内容。一般用于Nginx+后端服务器+Memcached的环境下,当用户第一请求时,Nginx去Memcached中读取缓存数据,若没有则就请求后端的服务器去处理,后端服务器将静态页面的数据写入到Memcached缓存服务器中并返回响应给Nginx传递给用户,当用户第二次请求时则Nginx直接从Memcached缓存服务器中获取缓存的静态页面内容,Memcached缓存服务器是基于内存的,所以可以减少磁盘IO的使用,提高响应效率。
--without-http_limit_conn_module
禁用HTTP_Limit_Conn模块,该模块用于限制并发连接数量以及下载带宽限制。
--without-http_limit_req_module
禁用HTTP_Limit_Req模块,该模块用于限制请求数量,可以限制请求的频率。
--without-http_empty_gif_module
禁用HTTP_Empty_Gif模块,该模块会在内容中常驻的一个1X1的透明空白的GIF图像,当用户请求时,返回该图像,一般用于测试。
--without-http_browser_module
禁用HTTP_Browser模块,该模块用于创建变量,变量的值取决于请求头中"user-agent"的值,一般用于区别新式或者旧式浏览器,若新式浏览器则将请求重定向到新式的WEB页面中,呈现新页面,若为旧式浏览器则将返回旧式的WEB页面。
--without-http_upstream_hash_module
--without-http_upstream_ip_hash_module
--without-http_upstream_least_conn_module
禁用HTTP_Upstream_Hash模块,该模块提供了由"Upstream"指令定义的一组服务器的负载均衡方法"Hash",该方法基于散列键值(hash),它会将客户端+服务端的映射关系存放到一个散列键值表中,当客户端第二次请求时则会匹配关系将请求转发至后端的同一台服务器上,实现会话保持功能。该模块提供指令"hash",在会话保持中,我们唯一能标识客户端的标志就是SessionID,所以我们可以使用指令"hash $cookie_jsession"实现会话保持功能。不建议禁用。
禁用HTTP_Upstream_IP_Hash模块,该模块提供了由"Upstream"指令定义的一组服务器的负载均衡方法"ip_hash",该方法也用于会话保持,不过它是基于客户端IP的Hash方法,由于用户可能是ADSL接入的网络,所以客户端可能受动态IP影响会发生变化,所以一般不建议采用这种方法。
禁用HTTP_Upstream_Least_Conn模块,该模块提供了由"Upstream"指令定义的一组服务器的负载均衡方法"least_conn",该方法用于将请求传递到具有最少活动连接、权重较高(性能最好)的后端服务器上去处理。
--without-http_upstream_keepalive_module
禁用HTTP_Upstream_Keepalive模块,该模块可以为由"Upstream"指令定义的一组服务器提供保持长连接的功能,使用它则会为每个Worker工作进程与后端服务器保持空闲的长连接,连接数由"keepalive"指令指定,当空闲的长连接数量超过指定值时,将关闭最近最少使用的连接。
--without-http_upstream_zone_module
禁用HTTP_Upstream_Zone模块,该模块可以将由"Upstream"指令定义的服务器组运行时的状态存储在共享内存区域中。
--------------------------------------------------------------------------------
--with-http_perl_module
--with-http_perl_module=dynamic
启用HTTP_Perl模块,用于在Perl中实现位置和变量处理程序,并可以将Perl调用到SSI中。默认情况下不构建此模块。
启用HTTP_Perl动态模块,允许在配置文件中通过"load_module"指定手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-perl_modules_path=PATH
设置一个用于保留Perl模块的目录路径。
--with-perl=PATH
设置Perl可执行命令文件的路径。
--------------------------------------------------------------------------------
--http-log-path=PATH
设置访问日志文件存放目录路径。安装后,可以在主配置文件中使用"access_log"指令修改。
--http-client-body-temp-path=PATH
设置用于存储客户端请求主体的临时文件存放目录路径。安装后,可以在主配置文件中使用"client_body_temp_path"指令修改。
--http-proxy-temp-path=PATH
设置用于存储从代理服务器接受的数据临时文件存放目录路径。安装后,可以在主配置文件中使用"proxy_temp_path"指令修改。
--http-fastcgi-temp-path=PATH
设置用于存储从FastCGI服务器接受的数据临时文件存放目录路径。安装后,可以在主配置文件中使用"fastcgi_temp_path"指令修改。
--http-uwsgi-temp-path=PATH
设置用于存储从UwSGI服务器接受的数据临时文件存放目录路径。安装后,可以在主配置文件中使用"uwsgi_temp_path"指令修改。
--http-scgi-temp-path=PATH
设置用于存储从SCGI服务器接受的数据临时文件存放目录路径。安装后,可以在主配置文件中使用"scgi_temp_path"指令修改。
--------------------------------------------------------------------------------
--without-http
禁用HTTP_Core模块,该模块为Nginx的核心模块,用于提供HTTP服务所有核心功能。
--without-http-cache
禁用HTTP缓存。
--------------------------------------------------------------------------------
--with-mail
--with-mail=dynamic
启用HTTP_Mail_Core模块,该模块为Nginx的核心模块,用于提供POP3/IMAP4/SMTP邮件代理服务。默认情况下不构建此模块。
启用HTTP_Mail_Core动态模块,允许在配置文件中通过"load_module"指令手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-mail_ssl_module
启用Mail_SSL模块,用于邮件代理服务支持SSL/TLS协议,需要OpenSSL库的支持。默认情况下不构建此模块。
--without-mail_pop3_module
禁用Mail_POP3模块,当启用HTTP_Mail_Core模块时,若你不想使用POP3协议,则可以考虑单独禁用此模块。不建议禁用。
--without-mail_imap_module
禁用Mail_IMAP模块,当启用HTTP_Mail_Core模块时,若你不想使用IMAP4协议,则可以考虑单独禁用此模块。不建议禁用。
--without-mail_smtp_module
禁用Mail_SMTP模块,当启用HTTP_Mail_Core模块时,若你不想使用SMTP协议,则可以考虑单独禁用此模块。不建议禁用。
--------------------------------------------------------------------------------
--with-stream
--with-stream=dynamic
启用Stream_Core模块,Nginx的核心模块,用于实现TCP/UDP代理和四层负载均衡功能。默认情况下不构建此模块。此模块自Nginx1.9.0版本开始可用。
启用Stream_Core动态模块,允许在配置文件中通过"load_module"指令手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-stream_ssl_module
启用Stream_SSL模块,用于提供SSL/TLS协议支持,需要OpenSSL库的支持。该模块用于Nginx四层负载功能中使用,需要开启Stream_Core模块。默认情况下不构建此模块。
--with-stream_realip_module
启用Stream_Realip模块,用于修改客户端请求头中客户端IP地址值,一般用于反向代理中,将真实的客户端IP传送给后端的应用服务器。该模块用于Nginx四层负载功能中使用,需要开启Stream_Core模块。默认情况下不构建此模块。
--with-stream_geoip_module
--with-stream_geoip_module=dynamic
启用Stream_Geoip模块,用于处理不同地区的访问,当来自某一个区域的访问时将其重定向到对应的服务或者项目上,需要MaxMind GeoIP库的支持。该模块用于Nginx四层负载功能中使用,需要开启Stream_Core模块。默认情况下不构建此模块。
启用Stream_Geoip动态模块,允许在配置文件中通过"load_module"指令手动启用和禁用模块的使用。默认情况下不构建此模块。
--with-stream_ssl_preread_module
启用Stream_SSL_Preread模块,用于从客户端Hello消息中提取信息,而不会终止SSL/TLS。该模块用于Nginx四层负载功能中使用,需要开启Stream_Core模块。默认情况下不构建此模块。
--without-stream_limit_conn_module
禁用Stream_Limit_Conn模块,该模块用于限制并发连接数量以及下载带宽限制功能。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。不建议禁用。
--without-stream_access_module
禁用Stream_Access模块,该模块用于限制对某些客户端地址的访问。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。不建议禁用。
--without-stream_geo_module
禁用Stream_Geo模块,该模块用于从指定变量中获取客户端的IP地址,并将其嵌入到另外一个变量中。默认情况下从"$remote_addr"变量中取得客户端的IP地址。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。不建议禁用。
--without-stream_map_module
禁用Stream_Map模块,该模块用于创建一个变量的映射表,结果变量可以是一个字符串也可以是另外一个变量。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。不建议禁用。
--without-stream_split_clients_module
禁用Stream_Splic_Clients模块,该模块用于创建适用于A/B测试的变量,AB测试也称之为拆分测试,也就是将一个项目的两个不同版本发布,看用户更喜欢用于那个版本,若版本A受欢迎则发布版本A。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。
--without-stream_return_module
禁用Stream_Return模块,该模块用于向客户端发送指定值,然后关闭连接。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。不建议禁用。
--without-stream_upstream_hash_module
--without-stream_upstream_least_conn_module
禁用Stream_Upstream_Hash模块,该模块提供四层负载均衡的一种调度方法,一般用于基于SessionID的会话保持场景下,当开启Stream_Core模块时自动开启此功能。不建议禁用。
禁用Stream_Upstream_IP_Hash模块,该模块提供四层负载均衡的一种调度方法,基于来源IP的会话保持方法,由于来源IP的不稳定性,我们一般很少采用此种方法。当开启Stream_Core模块时自动开启此功能。
--without-stream_upstream_zone_module
禁用Stream_Upstream_Zone模块,该模块可以将由"Upstream"指令定义的服务器组运行时的状态存储在共享内存区域中。该模块用于Nginx四层负载功能中使用,当开启Stream_Core模块时自动开启此功能。
--------------------------------------------------------------------------------
--with-google_perftools_module
启用Google_Perftools模块,用于可以使用Google Performance Tools分析Nginx的工作进程,分析程序性能瓶颈。该模块适用于Nginx开发人员,默认情况下不构建此模块。
--with-cpp_test_module
启用Cpp_Test模块,用于C++测试。该模块适用于Nginx开发人员,默认情况下不构建此模块。
--add-module=PATH
--add-dynamic-module=PATH
添加第三方模块,需要指定第三方模块所在目录路径。
添加第三方动态模块,需要指定第三方动态模块所在目录路径。
--with-compat
启用动态模块兼容性。
--with-cc=PATH
设置GCC编译器所在目录路径。
--with-cpp=PATH
设置GCC-C++编译器所在目录路径。
--with-cc-opt=OPTIONS
设置将添加到CFLAGS变量的其他参数,若在FreeBSD系统下使用PCRE库时,应指定"--with-ccc-opt="-I /usr/local/include""。若你在使用select事件驱动模型时,还可以使用它设置可打开的最大文件描述符数量,突破1024的限制,比如"--with-ccc-opt="-D FD_SETSIZE=2048""
--with-ld-opt=OPTIONS
设置将在连接期间使用的其他参数,若在FreeBSD系统下使用PCRE库时,应指定"--with-ccc-opt="-L /usr/local/lib""。
--with-cpu-opt=CPU
设置CPU型号,为特定的CPU执行编译操作,有效的值:pentium, pentiumpro, pentium3, pentium4, athlon, opteron, sparc32, sparc64,ppc64。
--without-pcre
禁用PCRE库的使用。
--with-pcre
启用PCRE库的使用。PCRE库是一个Perl库,包含Perl兼容的正则表达式。
--with-pcre=DIR
若你是源码安装的PCRE库,则需要通过此项设置PCRE库的所在目录路径。
--with-pcre-opt=OPTIONS
为PCRE设置其他要编译的选项。
--with-pcre-jit
启用"即时编译"的支持,开启此项,则会利用"pcre_jit"指令快速编译PCRE库。
--with-zlib=DIR
若你是源码安装的Zlib库,则需要通过此项设置Zlib库的所在目录路径。当启用HTTP_Gzip模块的时候需要此库的支持。
--with-zlib-opt=OPTIONS
为Zlib设置其他要编译的选项。
--with-zlib-asm=CPU
为Zlib库的编译设置特定CPU,会加快编译速度,有效值:pentium, pentiumpro。
--with-libatomic
启用Libatomic_Ops库的使用。
--with-libatomic=DIR
若你是源码安装的Libatomic_Ops库,则需要通过此项设置Libatomic_Ops库的所在目录路径。
--with-openssl=DIR
若你是源码安装的OpenSSL库,则需要通过此项设置OpenSSL库的所在目录路径。
--with-openssl-opt=OPTIONS
为OpenSSL设置其他要编译的选项。
--with-debug
启用调试级别的日志。也可以手动修改主配置文件,使用"error_log /path/to/log debug;"指令设置调试级别的日志。
1.3、升级
1、编译新版本nginx软件
wget http://nginx.org/download/nginx-1.21.0.tar.gz
tar -zxvf nginx-1.21.0.tar.gz
cd nginx-1.21.0
./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_ssl_module --with-stream --with-http_stub_status_module
make
提示:此处不能make install
2、备份老的nginx主程序,并使用编译好的新版本nginx替换老版本
mv /usr/local/nginx/sbin/nginx \
>/usr/local/nginx/sbin/nginxold
cd nginx-1.21.0
#拷贝新版本
cp objs/nginx /usr/local/nginx/sbin/
#升级
make upgrade /usr/local/nginx/sbin/nginx -t
#查看版本
/usr/local/nginx/sbin/nginx –v
第二节、配置
2.1、虚拟主机
1、基于域名的虚拟主机
1)修改Nginx服务配置,添加相关虚拟主机配置如下
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80; //端口
server_name www.a.com; //域名
location / {
root html; //指定网站根路径
index index.html index.htm;
}
}
… …
server {
listen 80; //端口
server_name www.b.com; //域名
location / {
root www; //指定网站根路径
index index.html index.htm;
}
}
2)创建网站根目录及对应首页文件
echo "I am www.a.com " > /usr/local/nginx/html/index.html
mkdir /usr/local/nginx/www
echo "I am www.b.com " > /usr/local/nginx/www/index.html
/usr/local/nginx/sbin/nginx -s reload
3)修改客户端主机的/etc/hosts文件,进行域名解析
vim /etc/hosts
192.168.30.5 www.a.com www.b.com
4)客户端主机进行测试
或者用浏览器访问
curl http://www.a.com
I am www.a.com
curl http://www.b.com
I am www.b.com
2、基于端口的虚拟主机
基于端口的虚拟主机(参考模板)
server {
listen 8080; //端口
server_name web1.example.com; //域名
......
}
server {
listen 8000; //端口
server_name web1.example.com; //域名
.......
}
3、基于ip的虚拟主机
基于IP的虚拟主机(参考模板)
server {
listen 192.168.0.1:80; //IP地址与端口
server_name web1.example.com; //域名
... ...
}
server {
listen 192.168.0.2:80; //IP地址与端口
server_name web1.example.com;
... ...
}
2.2、反向代理
2.3、TCP/UDP调度器
提示:
- Nginx编译安装时需要使用--with-stream,开启ngx_stream_core_module模块
- Nginx采用轮询的方式调用后端SSH服务器
1、修改nginx.conf配置文件
配置Nginx服务器,添加服务器池,实现TCP/UDP反向代理功能
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
stream {
upstream backend {
#后端SSH服务器的IP和端口
server 192.168.2.100:22;
server 192.168.2.200:22;
}
server {
#Nginx监听的端口
listen 3838;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass backend;
}
}
http {
.. ..
}
2、重启nginx服务
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
3、客户端使用访问代理服务器测试轮询效果
[root@client ~]# ssh 192.168.4.5 -p 3838 //使用该命令多次访问查看效果
第三节、安全
3.1、用户认证
1、需求
- 访问Web页面需要进行用户认证
- 用户名为:tom,密码为:123456
2、修改Nginx配置文件
- 修改/usr/local/nginx/conf/nginx.conf
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
server {
listen 80;
server_name localhost;
auth_basic "Input Password:"; //认证提示符
auth_basic_user_file "/usr/local/nginx/pass"; //认证密码文件
location / {
root html;
index index.html index.htm;
}
}
3、生成密码文件,创建用户及密码
- 使用htpasswd命令创建账户文件,需要确保系统中已经安装了httpd-tools。
[root@proxy ~]# yum -y install httpd-tools
[root@proxy ~]# htpasswd -c /usr/local/nginx/pass tom //创建密码文件
New password:
Re-type new password:
Adding password for user tom
[root@proxy ~]# htpasswd /usr/local/nginx/pass jerry //追加用户,不使用-c选项
New password:
Re-type new password:
Adding password for user jerry
[root@proxy ~]# cat /usr/local/nginx/pass
4、重启Nginx服务
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload //重新加载配置文件
5、客户端测试
输入用户名密码即可访问
3.2、SSL虚拟主机
提示:
源码安装Nginx时必须使用--with-http_ssl_module参数,启用加密模块,对于需要进行SSL加密处理的站点添加ssl相关指令(设置网站需要的私钥和证书)。
- 加密算法一般分为对称算法、非对称算法、信息摘要。
- 对称算法有:AES、DES,主要应用在单机数据加密。
- 非对称算法有:RSA、DSA,主要应用在网络数据加密。
- 信息摘要:MD5、sha256,主要应用在数据完整性校验。
1、生成私钥与证书
[root@proxy ~]# cd /usr/local/nginx/conf
[root@proxy ~]# openssl genrsa > cert.key //生成私钥
[root@proxy ~]# openssl req -new -x509 -key cert.key > cert.pem //生成证书
2、修改Nginx配置文件,设置加密网站的虚拟主机
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
server {
listen 443 ssl;
server_name localhost;
ssl_certificate cert.pem; #这里是证书文件
ssl_certificate_key cert.key; #这里是私钥文件
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
3、重启nginx服务
/usr/local/nginx/sbin/nginx -s reload
4、客户端验证
客户端访问:https://ip,信任证书后可以访问
3.3、版本号隐藏
1、隐藏版本号
- http {—}里加上server_tokens off;
[root@mypc-8 /]# vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #关闭版本号显示
- 编辑php-fpm配置文件,如fastcgi.conf或fcgi.conf(这个配置文件名也可以自定义的,根据具体文件名修改):
找到:
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
改为:
fastcgi_param SERVER_SOFTWARE nginx;
3)重新加载nginx配置
[root@mypc-8 /]# nginx -s reload
2、基于源代码(变更版本号和版本名使其更具有迷惑效果)
编译nginx时先修改源码
# vim /opt/nginx-1.12.0/src/core/nginx.h //修改源码文件
#define nginx_version 1012000
#define NGINX_VERSION "1.12.2"
#define NGINX_VER "IIS/" NGINX_VERSION #伪装成IIS服务器
//更改版本号,注意不用取消井号!
# cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module && make && make install
//编译安装
# vim /usr/local/nginx/conf/nginx.conf //把之前的server_tokens off;改成on
# service nginx reload //重启服务
# curl -I http://192.168.116.133 //检测结果
总结
以上2种都可以提高nginx服务器的安全,使用哪一种看个人喜欢了。
3.4、拒绝非法的请求
提示:
网站使用的是HTTP协议,该协议中定义了很多方法,可以让用户连接服务器,获得需要的资源。但实际应用中一般仅需要get和post。
1、未修改服务器配置前,客户端使用不同请求方法测试:
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5 //正常
//curl命令选项说明:
//-i选项:访问服务器页面时,显示HTTP的头部信息
//-X选项:指定请求服务器的方法
2、通过如下设置可以让Nginx拒绝非法的请求方法:
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
http{
server {
listen 80;
#这里,!符号表示对正则取反,~符号是正则匹配符号
#如果用户使用非GET或POST方法访问网站,则retrun返回444的错误信息
if ($request_method !~ ^(GET|POST)$ ) {
return 444;
}
}
}
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
3、修改服务器配置后,客户端使用不同请求方法测试:
[root@client ~]# curl -i -X GET http://192.168.4.5 //正常
[root@client ~]# curl -i -X HEAD http://192.168.4.5 //报错
3.5、限制并发量
DDOS攻击者会发送大量的并发连接,占用服务器资源(包括连接数、带宽等),这样会导致正常用户处于等待或无法访问服务器的状态。
Nginx提供了一个ngx_http_limit_req_module模块,可以有效降低DDOS攻击的风险,操作方法如下:
1、配置
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
… …
http{
… …
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
listen 80;
server_name localhost;
limit_req zone=one burst=5;
}
}
//备注说明:
//limit_req_zone语法格式如下:
//limit_req_zone key zone=name:size rate=rate;
//上面案例中是将客户端IP信息存储名称为one的共享内存,内存空间为10M
//1M可以存储8千个IP信息,10M可以存储8万个主机连接的状态,容量可以根据需要任意调整
//每秒中仅接受1个请求,多余的放入漏斗
//漏斗超过5个则报错
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
第四节、优化
4.1、服务器状态信息
提示:编译安装时使用--with-http_stub_status_module开启状态页面模块
1、修改Nginx配置文件,定义状态页面
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf
… …
location /status {
stub_status on;
#allow IP地址;
#deny IP地址;
}
… …
[root@proxy ~]# nginx
2、优化后,查看状态页面信息
[root@proxy ~]# curl http://192.168.4.5/status
Active connections: 1
server accepts handled requests
10 10 3
Reading: 0 Writing: 1 Waiting: 0
-
Active connections:当前活动的连接数量。
-
Accepts:已经接受客户端的连接总数量。
-
Handled:已经处理客户端的连接总数量。
-
(一般与accepts一致,除非服务器限制了连接数量)。
-
Requests:客户端发送的请求数量。
-
Reading:当前服务器正在读取客户端请求头的数量。
-
Writing:当前服务器正在写响应信息的数量。
-
Waiting:当前多少客户端在等待服务器的响应。
4.2、数据包头缓存
1、优化前,使用脚本测试长头部请求是否能获得响应
[root@proxy ~]# cat lnmp_soft/buffer.sh
#!/bin/bash
URL=http://192.168.4.5/index.html?
for i in {1..5000}
do
URL=${URL}v$i=$i
done
curl $URL //经过5000次循环后,生成一个长的URL地址栏
[root@proxy ~]# ./buffer.sh
.. ..
<center><h1>414 Request-URI Too Large</h1></center> //提示头部信息过大
2、修改Nginx配置文件,增加数据包头部缓存大小
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
http {
client_header_buffer_size 1k; //默认请求包头信息的缓存
large_client_header_buffers 4 4k; //大请求包头部信息的缓存个数与容量
.. ..
}
[root@proxy ~]# nginx -s reload
3、优化后,使用脚本测试长头部请求是否能获得响应
[root@proxy ~]#cat cat buffer.sh
#!/bin/bash
URL=http://192.168.4.5/index.html?
for i in {1..5000}
do
URL=${URL}v$i=$i
done
curl $URL
[root@proxy ~]# ./buffer.sh
4.3、缓存静态数据
1、修改Nginx配置文件,定义对静态页面的缓存时间
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}
location ~* \.(jpg|jpeg|gif|png|css|js|ico|xml)$ {
expires 30d; //定义客户端缓存时间为30天
}
}
[root@proxy ~]# cp /usr/share/backgrounds/day.jpg /usr/local/nginx/html
[root@proxy ~]# nginx -s reload
2、优化后,使用Firefox浏览器访问图片,再次查看缓存信息
[root@client ~]# firefox http://192.168.4.5/day.jpg
在firefox地址栏内输入about:cache,查看本地缓存数据,查看是否有图片以及过期时间是否正确。
4.4、服务器内存缓存
如果需要处理大量静态文件,可以将文件缓存在内存,下次访问会更快。
http {
open_file_cache max=2000 inactive=20s;
open_file_cache_valid 60s;
open_file_cache_min_uses 5;
open_file_cache_errors off;
//设置服务器最大缓存2000个文件句柄,关闭20秒内无请求的文件句柄
//文件句柄的有效时间是60秒,60秒后过期
//只有访问次数超过5次会被缓存
}
4.5、对页面进行压缩处理
1、修改Nginx配置文件
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf
http {
.. ..
gzip on; //开启压缩
gzip_min_length 1000; //小文件不压缩
gzip_comp_level 4; //压缩比率
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
//对特定文件压缩,类型参考mime.types
.. ..
}
4.6、优化Nginx并发量
1、优化前使用ab高并发测试
[root@proxy ~]# ab -n 2000 -c 2000 http://192.168.4.5/
Benchmarking 192.168.4.5 (be patient)
socket: Too many open files (24) //提示打开文件数量过多
2、修改Nginx配置文件,增加并发量
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
worker_processes 2; //与CPU核心数量一致
events {
worker_connections 65535; //每个worker最大并发连接数
use epoll;
}
.. ..
[root@proxy ~]# nginx -s reload
3、优化Linux内核参数(最大文件数量)
[root@proxy ~]# ulimit -a //查看所有属性值
[root@proxy ~]# ulimit -Hn 100000 //设置硬限制(临时规则)
[root@proxy ~]# ulimit -Sn 100000 //设置软限制(临时规则)
[root@proxy ~]# vim /etc/security/limits.conf
.. ..
* soft nofile 100000
* hard nofile 100000
#该配置文件分4列,分别如下:
#用户或组 硬限制或软限制 需要限制的项目 限制的值
4、优化后测试服务器并发量(因为客户端没调内核参数,所以在proxy测试)
[root@proxy ~]# ab -n 2000 -c 2000 http://192.168.4.5/
4.7、日志切割
- 把旧的日志重命名
- kill USR1 PID(nginx的进程PID号)
1、手动执行
备注:/usr/local/nginx/logs/nginx.pid文件中存放的是nginx的进程PID号。
[root@proxy ~]# mv access.log access2.log
[root@proxy ~]# kill -USR1 $(cat /usr/local/nginx/logs/nginx.pid)
2、自动完成
每周5的03点03分自动执行脚本完成日志切割工作。
[root@proxy ~]# mkdir /usr/local/nginx/script
[root@proxy ~]# vim /usr/local/nginx/script/logbak.sh
#!/bin/bash
date=`date +%Y%m%d`
logpath=/usr/local/nginx/logs
mv $logpath/access.log $logpath/access-$date.log
mv $logpath/error.log $logpath/error-$date.log
kill -USR1 $(cat $logpath/nginx.pid)
[root@proxy ~]# chmod +x /usr/local/nginx/script/logbak.sh
[root@proxy ~]# crontab -e
03 03 * * 5 /usr/local/nginx/script/logbak.sh
3、编写自动清理日志脚本
[root@zabbix script]# vim autodellogs.sh
#!/bin/bash
find /usr/local/nginx/logs/ -mtime +15 -type f -name *.log | xargs rm -f
[root@proxy ~]# chmod +x /usr/local/nginx/script/autodellogs.sh
[root@proxy ~]# crontab -e
03 03 * * 5 /usr/local/nginx/script/autodellogs.sh
4.8、自定义报错页面
1、修改Nginx配置文件,自定义报错页面
[root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
.. ..
error_page 404 /40x.html; //自定义错误页面
.. ..
[root@proxy ~]# vim /usr/local/nginx/html/40x.html //生成错误页面
Oops,No NO no page …
[root@proxy ~]# nginx -s reload
#请先确保nginx是启动状态,否则运行该命令会报错,报错信息如下:
#[error] open() "/usr/local/nginx/logs/nginx.pid" failed (2: No such file or directory)
2、优化后
客户端使用浏览器访问不存在的页面,会提示自己定义的40x.html页面
第五节、高可用搭建
5.1、keepalived+nginx
1、keepalived安装与配置
yum -y install keepalived
- master
! Configuration File for keepalived
global_defs {
# 这里是配置发送邮件的邮箱的。
notification_email {
acassen@firewall.loc
}
notification_email_from localhost
#一个是邮件服务器IP地址
smtp_server 127.0.0.1
#下面的是邮件服务器连接超时时间为30秒
smtp_connect_timeout 30
# 这里需要注意的,这里是负载均衡的名字,两台nginx不能相同
router_id Nginx_Master
}
# 这里是设置一个交互的vrrp的探测脚本,主要意思是看看nginx开没开,没开的话,keepalived也关闭。
vrrp_script chk_http_port {
#脚本位置,写绝对路径
script "/usr/local/nginx/chk_nginx.sh"
interval 2
weight -5
fall 2
rise 1
}
vrrp_instance VI_1 {
# 这里需要注意,这里设置的是这台机器是MASTER,主机。如果是从服务器的话,需要设置BACKUP,从服务器。
state MASTER
# 这里设置的是网卡。
interface eth0
#这里设置的ID必须相同,否则两台机器连不上。
virtual_router_id 51
# 这个值,因为是主的,就相对从的来说设置的高一些,从服务器必须在101以下。
priority 101
advert_int 1
authentication {
#认证密码,两台认证填写一样
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
# 这里设置的是VIP,就是漂移IP,在两台nginx上,漂移,正常情况在主服务器上,在主服务器坏掉情况下,漂移IP自动漂移到从服务器上,外网访问的话,其实访问的就是这个IP,因为别的IP,相对来说是内网的IP
10.11.111.230
}
#执行监控的服务。注意这个设置不能紧挨着写在vrrp_script配置块的后面(实验中碰过的坑),否则nginx监控失效!!
track_script {
#引用VRRP脚本,即在 vrrp_script 部分指定的名字。定期运行它们来改变优先级,并最终引发主备切换。
chk_http_port
}
}
- backup
! Configuration File for keepalived
global_defs {
# 这里是配置发送邮件的邮箱的。
notification_email {
acassen@firewall.loc
}
notification_email_from localhost
#一个是邮件服务器IP地址
smtp_server 127.0.0.1
#下面的是邮件服务器连接超时时间为30秒
smtp_connect_timeout 30
# 这里需要注意的,这里是负载均衡的名字,两台nginx不能相同
router_id Nginx_Backup
}
# 这里是设置一个交互的vrrp的探测脚本,主要意思是看看nginx开没开,没开的话,keepalived也关闭。
vrrp_script chk_http_port {
#脚本位置,写绝对路径
script "/usr/local/nginx/chk_nginx.sh"
interval 2 #脚本执行间隔,每2s检测一次
weight -5 #脚本结果导致的优先级变更,检测失败(脚本返回非0)则优先级 -5
fall 2 #检测连续2次失败才算确定是真失败。会用weight减少优先级(1-255之间)
rise 1 #检测1次成功就算成功。但不修改优先级
}
vrrp_instance VI_1 {
# 这里需要注意,这里设置的是这台机器是BACKUP
state BACKUP
# 这里设置的是网卡。
interface eth0
#这里设置的ID必须相同,否则两台机器连不上。
virtual_router_id 51
# 这个值,因为是从的,就相对从的来说设置的比主低一些,如100。
priority 100
advert_int 1
authentication {
#认证密码,两台认证填写一样
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
# 这里设置的是VIP,就是漂移IP,在两台nginx上,漂移,正常情况在主服务器上,在主服务器坏掉情况下,漂移IP自动漂移到从服务器上,外网访问的话,其实访问的就是这个IP,因为别的IP,相对来说是内网的IP
10.11.111.230
}
#执行监控的服务。注意这个设置不能紧挨着写在vrrp_script配置块的后面(实验中碰过的坑),否则nginx监控失效!!
track_script {
#引用VRRP脚本,即在 vrrp_script 部分指定的名字。定期运行它们来改变优先级,并最终引发主备切换
chk_http_port 。
}
}
2、编写检查nginx服务健康检查脚本
vim /usr/local/nginx/chk_nginx.sh
#!/bin/bash
A=`ps -C nginx --no-header | wc -l`
if [ $A -eq 0 ];then
/usr/local/nginx/sbin/nginx #尝试重新启动nginx
sleep 2 #睡眠2秒
if [ `ps -C nginx --no-header | wc -l` -eq 0 ];then
killall keepalived #启动失败,将keepalived服务杀死。将vip漂移到其它备份节点
fi
fi
chmod +x /usr/local/nginx/chk_nginx.sh