CentOS 7 下Nginx常用配置
5
2022-07-27
Nginx常用配置
1、编译安装Nginx
1.1、关闭防火墙
systemctl stop firewalld && systemctl disable firewalld setenforce 0
1.2、下载Nginx
wget http://nginx.org/download/nginx-1.10.2.tar.gz
1.3、安装依赖包
yum -y install pcre-devel zlib-devel gcc gcc-c++ make
1.4、创建运行用户、组
useradd -M -s /sbin/nologin nginx
1.5、编译安装
cd /root/Nginx tar zxvf nginx-1.12.0.tar.gz -C /root/Nginx cd nginx-1.12.0/ ./configure \ --prefix=/usr/local/nginx \ #指定nginx的安装路径 --user=nginx \ #指定用户名 --group=nginx \ #指定组名 --with-http_stub_status_module #启用 http_stub_status_module 模块以支持状态统计报错:
src/core/ngx_murmurhash.c:37:11: error: this statement may fall through [-Werror=implicit-fallthrough=]
h ^= data[2] << 16;
~~^~~~~~~~~~~~~~~~
src/core/ngx_murmurhash.c:38:5: note: here
case 2:
^~~~
src/core/ngx_murmurhash.c:39:11: error: this statement may fall through [-Werror=implicit-fallthrough=]
h ^= data[1] << 8;
~~^~~~~~~~~~~~~~~
src/core/ngx_murmurhash.c:40:5: note: here
case 1:
^~~~
cc1: all warnings being treated as errors
make[1]: *** [objs/src/core/ngx_murmurhash.o] 错误 1
make[1]: 离开目录“/root/Nginx/nginx-1.10.2”
make: *** [build] 错误 2
这里Nginx将警告当成了报错,取消警告即可。解决:
[root@Nginx-MySQL nginx-1.10.2]# vim objs/Makefile CC = cc CFLAGS = -pipe -O -W -Wall -Wpointer-arith -Werror -Wno-unused -Werror -g CPP = cc -E LINK = $(CC) #修改后 CC = cc CFLAGS = -pipe -O -W -Wall -Wpointer-arith -Wno-unused -Werror -g CPP = cc -E LINK = $(CC)再次尝试
make && make install安装成功,让系统识别nginx的操作命令
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
1.6、测试服务是否正常
[root@Nginx-MySQL ~]# systemctl start nginx Failed to start nginx.service: Unit not found.报错了,nginx没有将添加到系统服务,要手动添加一下。 在网上找了个写好的添加进去。
[root@Nginx-MySQL ~]# vim /lib/systemd/system/nginx.service [Unit] Description=nginx After=network.target [Service] Type=forking PIDFile=/usr/local/nginx/logs/nginx.pid ExecStart=/usr/local/nginx/sbin/nginx ExecrReload=/bin/kill -s HUP $MAINPID ExecrStop=/bin/kill -s QUIT $MAINPID PrivateTmp=true [Install] WantedBy=multi-user.target [root@Nginx-MySQL ~]#chmod 754 /lib/systemd/system/nginx.service [root@Nginx-MySQL ~]# systemctl start nginx Reloading systemd: [ 确定 ] Starting nginx (via systemctl): [ 确定 ] [root@Nginx-MySQL ~]# chmod 754 /lib/systemd/system/nginx.service [root@Nginx-MySQL ~]# systemctl restart nginx [root@Nginx-MySQL ~]# systemctl enable nginx Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service.
1.7、访问默认页面
2、配置文件介绍
从图中可看出主要包含三大块
- 全局块
- event块
- http块
[root@Nginx-MySQL ~]# vim /usr/local/nginx/conf/nginx.conf
2.1、全局配置
#运行用户,若编译时未指定则默认为 nobody #user nobody; #工作进程数量,可配置成服务器内核数 * 2 worker_processes 1; #错误日志文件的位置 #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #PID 文件的位置 #pid logs/nginx.pid;
2.2、I/O事件配置
events {
worker_connections 1024;
}
#修改后
events {
#使用 epoll 模型,2.6及以上版本的系统内核,建议使用epoll模型以提高性能
use epoll;
#每个进程处理 4096 个连接
worker_connections 4096;
}
- 在Linux平台上,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。
- 可使用ulimit -a命令查看系统允许当前用户进程打开的文件数限制。
2.3、HTTP、HTTPS 配置
http {
#文件扩展名与文件类型映射表(mime.types 表示网络资源的某体类型,就是前端请求资源类型)
include mime.types;
#默认文件类型
default_type application/octet-stream;
#日志格式设定
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#访问日志位置
#access_log logs/access.log main;
# 表示开启或关闭使用sendfile 系统调用来传输文件,默认off
# 但在很多webserver 中是开启的,来保证文件的高性能传输
# sendfile 是linux 2.0+ 推出的一个系统调用,被称为零拷贝,没有用户间的拷贝
sendfile on;
#此选项允许或禁止使用socke的TCP_CORK的选项(发送数据包前先缓存数据),此选项仅在使用sendfile的时候使用
# 当tcp_nopush = on 时,会调用tcp_cork 方法,是默认的,就是收到的数据报不会立即发送出去,而是等到数据报最大时,一次性传输出去,有利于解决网络堵塞。
#tcp_nopush on;
#连接保持超时时间,单位是秒
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip模块设置,设置是否开启gzip压缩输出
#gzip on;
#Web 服务的监听配置
server {
#监听地址及端口
listen 80;
#站点域名,可以有多个,用空格隔开
server_name localhost;
#网页的默认字符集
#charset koi8-r;
charset utf-8;
#access_log logs/host.access.log main;
#根目录配置
location / {
#网站根目录的位置/usr/local/nginx/html
root html;
#默认首页文件名
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#内部错误的反馈页面
error_page 500 502 503 504 /50x.html;
#错误页面配置
location = /50x.html {
root html;
}
2.4、SSL证书配置
# HTTPS server
#
#server {
# listen 443 ssl;
# server_name localhost;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 5m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
2.5、Nginx安全配置
2.5.1、隐藏Nginx版本号
响应 HTTP/1.1 200 OK Content-Type: text/html Connection: keep-alive Last-Modified: Mon, 01 Aug 2022 11:43:38 GMT Date: Tue, 02 Aug 2022 00:26:25 GMT Accept-Ranges: bytes Content-Length: 612 ETag: "62e7bc6a-264" Server: nginx/1.10.2方法:修改配置文件
[root@Nginx-MySQL ~]# vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
#关闭版本号
server_tokens off;
[root@Nginx-MySQL ~]# systemctl restart nginx
[root@Nginx-MySQL ~]# curl -I http://localhost
HTTP/1.1 200 OK
Server: nginx
Date: Tue, 02 Aug 2022 00:40:05 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Mon, 01 Aug 2022 11:43:38 GMT
Connection: keep-alive
ETag: "62e7bc6a-264"
Accept-Ranges: bytes
2.5.2、修改用户与组
格式 user user [group user : 指定nginx 运行的用户 group: 指定nginx可运行的组 如果配置为user nobody nobody, 则所有用户都能启动nginx进程。编辑
[root@Nginx-MySQL ~]# vim /usr/local/nginx/conf/nginx.conf #user nobody; worker_processes 1; #修改后 #user nobody; user nginx nginx; worker_processes 1;
[root@Nginx-MySQL ~]# systemctl restart nginx [root@Nginx-MySQL ~]# ps aux | grep nginx #主进程由root创建,子进程由nginx创建 root 13973 0.0 0.1 4416 1524 ? Ss 09:46 0:00 nginx: master process /usr/local/nginx/sbin/nginx nginx 13974 0.0 0.3 6060 3456 ? S 09:46 0:00 nginx: worker process root 13977 0.0 0.1 106196 1968 pts/0 R+ 09:46 0:00 grep --color=auto nginx
2.6、网页缓存
[root@Nginx-MySQL ~]# vim /usr/local/nginx/conf/nginx.conf
server {
......
location / {
root html;
index index.html index.htm;
}
#加入新的 location,以图片作为缓存对象
location ~ \.(gif|jpg|jpeg|png)$ {
root html;
#指定缓存时间,1天
expires 1d;
}
2.7、日志分割
[root@Nginx-MySQL ~]# vim /root/log.sh
[root@Nginx-MySQL ~]# chmod +x /root/log.sh
#!/bin/bash
#显示前一天的时间
day=$(date -d "-1 day" "+%Y%m%d")
#day=$(date -d "-1 day" "+%F")
logs_path="/var/log/nginx"
pid_path=`cat /usr/local/nginx/logs/nginx.pid`
#创建日志文件目录
[ -d $logs_path ] || mkdir -p $logs_path
#移动并重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/qiaodaer.com-access.log-{$day}
#重建日志文件
kill -USR1 $pid_path
#删除30天前的日志文件
find $logs_path -mtime +30 -exec rm -rf {} \;
#find $logs_path -mtime +30 | xargs rm -rf
在linux操作系统中,每个文件都有很多的时间参数,其中有三个比较主要,分别是ctime,atime,mtime
- ctime(status time):当修改文件的权限或者属性的时候,就会更新这个时间,ctime并不是 create time,更像是 change time,只有当更新文件的属性或者权限的时候才会更新这个时间,但是更改内容的话是不会更新这个时间。
- atime(accesstime):当使用这个文件的时候就会更新这个时间。
- mtime(modification time):当修改文件的内容数据的时候,就会更新这个时间,而更改权限或者属性,mtime不会改变,这就是和ctime的区别。
2.8、连接时间设置
[root@Nginx-MySQL ~]# vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180;
client_header_timeout 80;
client_body_timeout 80;
......
}
HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。 KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
参数解释
- keepalive_timeout
- 指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
- 第二个参数(可选)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。
- client_header_timeout
- 客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。
- client_body_timeout
- 指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
2.9、更改进程并发
我这Parallels Desktop软件看不到核心数,于是找一台服务器查看
#查看cpu核数 [root@localhost ~]# cat /proc/cpuinfo | grep -c "physical id" 4 #查看nginx主进程中包含几个子进程 [root@localhost ~]#ps aux | grep nginx root 1899 0.0 0.2 401032 10124 ? Ss 7月11 0:02 nginx: master process /www/server/nginx/sbin/nginx -c /www/server/nginx/conf/nginx.conf root 14758 0.0 0.0 115944 1012 pts/0 S+ 17:52 0:00 grep --color=auto nginx www 24411 0.0 1.0 508452 40808 ? S 01:30 0:01 nginx: worker process www 24412 0.0 1.0 509476 42632 ? S 01:30 0:05 nginx: worker process www 24413 0.0 1.0 509028 42064 ? S 01:30 0:03 nginx: worker process www 24414 0.0 1.0 508516 41160 ? S 01:30 0:02 nginx: worker process www 24415 0.0 0.1 399684 5704 ? S 01:30 0:00 nginx: cache manager process [root@localhost ~]#vim /www/server/nginx/conf/nginx.conf worker_processes auto; #(可选)设置每个进程由不同cpu处理,进程数配2 4 6 8分别为0001 0010 0100 1000 worker_cpu_affinity 01 10;
不能确定的时候,将其设置为可用的CPU内核数将是一个好的开始(设置为“auto”将尝试自动检测它),或修改为核数相同或者2倍。
2.10、网页压缩
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
http {
......
#取消注释,开启gzip压缩功能
gzip on;
#最小压缩文件大小
gzip_min_length 1k;
#压缩缓冲区,大小为4个64k缓冲区
gzip_buffers 4 64k;
#压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_http_version 1.1;
#压缩比率
gzip_comp_level 6;
#支持前端缓存服务器存储压缩页面
gzip_vary on;
#压缩类型,表示哪些网页文档启用压缩功能
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
......
}
2.11、防盗链设置
[root@Nginx-MySQL ~]# vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~* \.(jpg|gif|swf)$ {
valid_referers none blocked *.forwl.com;
if ( $invalid_referer ) {
rewrite ^/ https://159.75.81.167/error.png;
#return 403;
}
}
......
}
}
参数详解
- ~* .(jpg|gif|swf)$:匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件
- valid_referers:设置信任的链接
- none:允许没有http_refer的请求访问资源。
- blocked:允许不是http://开头的,不带协议的请求访问资源。
- if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。
- 0
-
分享