nginx 注释配置及详解

前言

DMZ(Demilitarized Zone) 非军事区，生产环境 WEB 服务部署的区域，公司的架构为一台nginx 充当 load balance 服务，负载到两台 nginx 上面，反向代理至后台服务，但是nginx 用的全是默认配置加上 proxy_pass 和 upstream，没有进行针对性的优化。

nginx 进程配置

除了可以使用 ulimit 命令对内核参数进行配置，nginx 也支持对自身使用内核资源进行配置。

nginx 默认使用一个 cpu 资源，即开启一个进程处理 web 请求，默认进程打开的最大连接数为 1024，这在生产上面是远远不够的。

配置如下：

#user
user nobody;
#pid file
pid logs/nginx.pid;

#--------------------------- 进程---------------------------
#worker进程数，通常设置参考服务器 CPU 数量，auto为自动检测
#worker_process 1;
worker_processes auto;
#进程分配的 cpu
worker_cpu_affinity 000000001 00000010 00000100 00010000 00100000 01000000 10000000;
#worker进程打开最大文件描述符数，最好与 ulimit -u 保持一致
worker_rlimit_nofile 100000;
#全局错误日志
error_log  logs/error.log;

#events模块中包含nginx中所有处理连接的设置
events {
    #worker进程同时打开的最大连接数，理论上每台 nginx 服务器的最大连接数为 worker_process * worker_connections
    worker_connections 102400;
    #告诉nginx收到一个新链接通知后接受尽可能多的链接
    multi_accept on;
    #设置用于复用客户端线程的轮训方法，使用 epoll 的 I/O 模型
    use epoll;
}

http 域配置

http 模块配置 nginx 处理 http 请求，是 nginx 的核心配置，也是优化 nginx 的关键，大多数 nginx 的功能都是围绕着 http 域来进行的。

http {
    #打开或关闭错误页面中的nginx版本号，生产环境中这些是需要关闭的，降低版本号带来的漏洞概率。
    server_tokens off;
    #server_tag off;
    #server_info off;
    #优化磁盘IO设置，指定nginx是否调用sendfile函数来输出文件，普通应用设为on，下载等磁盘IO高的应用，可设为off
    sendfile on;
    #设置nginx在一个数据包里发送所有头文件，而不是一个接一个的发送
    tcp_nopush on;
    #设置nginx不要缓存数据，而是一段一段的发送，当需要及时发送数据时，就应该给应用设置这个属性，这样发送一小块数据信息时就不能立即得到返回值
    tcp_nodelay on;

    #---------------------------日志---------------------------
    #设置nginx是否记录访问日志，关闭这个可以让读取磁盘IO操作更快
    access_log on;
    #设置nginx只记录严重错误
    #error_log logs/error.log crit;
    #定义日志格式，变量的意思另附博客详解，定义的日志格式可在 access_log logs/access.log main 中选取
    log_format main '$remote_addr - $remote_user [$time_local] '
                                 ' "$request"  $status  $body_bytes_sent  '
                                 ' "$http_referer"   "$http_user_agent" ';
    log_format porxy '$http_x_forwarded_for - $remote_user [$time_local] '
                                 ' "$request" $status $body_bytes_sent '
                                 ' "$http_referer" "$http_user_agent" '; 
    #设置日志文件缓存（默认是 off），max 设置缓存中最大文件描述符数量，inactive 存活时间，valid 检查频率，min_users 在 inactive 时间内最少使用次数，达到的日志文件描述符记入缓存
    open_log_file_cache max=1000 inactive=20s valid=1m min_users=2;  
    #记录重写日志
    rewrite_log off;        

    
    #给客户端分配keep-alive链接超时时间
    keepalive_timeout 30;

    #--------------------------- 限流 ---------------------------
    #limit_conn 和 limit_req 可添加到特定 Server 或 location 节点
    #1、控制 session
    #设置用户保存各种key的共享内存的参数，5m指的是5兆，$binary_remote_addr 根据远程客户端地址，$server_name 根据服务器名称
    limit_conn_zone $binary_remote_addr zone=addr:5m;
    #为给定的key设置最大的连接数，这里的key是addr，设定的值是100，根据上面的定义说允许每一个IP地址最多同时打开100个连接，如果共享内存定义的是 $server_name 那么这里是允许服务器最多同时打开100个连接。
    limit_conn addr 100;
    #限制流量
    limit_rate 100k;

    #2、漏桶方法
    #定义共享内存，与上面的一样，rate 定义请求次数（1 秒 20次）
    limit_req_zone $binary_remote_addr zone=addr:5m rate=20r/s;
    #burst=5 漏桶数为5，即如果第1、2、3、4秒请求为19，那么第5秒25次是可以允许的，nodelay 如果没有则严格使用平均速率限制请求数
    limit_raq zone=addr burst=5 nodelay;

    #include指在当前文件中包含另一个文件内容，一般 Server 域是放在另一个配置文件中的，主配置文件中包含下即可。
    include porxy.types;
    #设置文件使用默认的mine-type
    default_type text/html;
    #设置默认字符集
    charset UTF-8;

    #-----------------------------gzip 数据-----------------------------
    #设置nginx采用gzip压缩的形式发送数据，减少发送数据量，但会增加请求处理时间及CPU处理时间，需要权衡
    gzip on;
    #加vary给代理服务器使用，针对有的浏览器支持压缩，有个不支持，根据客户端的HTTP头来判断是否需要压缩
    gzip_vary on;
    #nginx在压缩资源之前，先查找是否有预先gzip处理过的资源
    #gzip_static on;
    #为指定的客户端禁用gzip功能
    gzip_disable "MSIE[1-6]\.";
    #允许或禁止压缩基于请求和相应的响应流，any代表压缩所有请求
    gzip_proxied any;
    #设置对数据启用压缩的最少字节数，如果请求小于10240字节则不压缩，会影响请求速度
    gzip_min_length 10240;
    #设置数据压缩等级，1-9之间，9最慢压缩比最大
    gzip_comp_level 2;
    #设置需要压缩的数据格式
    gzip_types text/plain text/css text/xml text/javascript  application/json application/x-javascript application/xml application/xml+rss; 

    #-----------------------------cache 文件-----------------------------
    #开发缓存的同时也指定了缓存文件的最大数量，20s如果文件没有请求则删除缓存
    open_file_cache max=100000 inactive=20s;
    #指多长时间检查一次缓存的有效信息
    open_file_cache_valid 60s;
    #文件缓存最小的访问次数，只有访问超过5次的才会被缓存
    open_file_cache_min_uses 5;
    #当搜索一个文件时是否缓存错误信息
    open_file_cache_errors on;

    #允许客户端请求的最大单文件字节数
    client_max_body_size 8m;
    #冲区代理缓冲用户端请求的最大字节数
    client_header_buffer_size 32k;

    #-----------------------------代理-----------------------------
    proxy_redirect off;
    #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP，如果不配置那么web服务器只能获取到代理服务器的ip
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    #nginx跟后端服务器连接超时时间(代理连接超时)
    proxy_connect_timeout 60;
    #连接成功后，后端服务器响应时间(代理接收超时)
    proxy_read_timeout 120;
    #后端服务器数据回传时间(代理发送超时)
    proxy_send_timeout 20;
    #设置代理服务器（nginx）保存用户头信息的缓冲区大小
    proxy_buffer_size 32k;
    #proxy_buffers缓冲区，网页平均在32k以下的设置
    proxy_buffers 4 128k;
    #高负荷下缓冲大小（proxy_buffers*2）
    proxy_busy_buffers_size 256k;
    #设定缓存文件夹大小，大于这个值，将从upstream服务器传
    proxy_temp_file_write_size 256k;
    #1G内存缓冲空间，3天不用删除，最大磁盘缓冲空间2G
    proxy_cache_path /home/cache levels=1:2 keys_zone=cache_one:1024m inactive=3d max_size=2g;

    #-----------------------------负载均衡-----------------------------
    #设定负载均衡服务器列表参考博客 nginx 负载均衡配置
    upstream myServer{
        #后端服务器访问规则
        #ip_hash;
        server 192.168.0.1:10001 weight=3 max_files=2 file_timeout=30;
        server 192.168.0.2:10002 weight=3 max_conns=10000;
        server 192.168.0.3:10003 weight=4;
        server 192.168.0.4:10004 backup;
    }

Server 域配置

虚拟主机配置模块，反向代理或负载均衡挂载的站点。

server {
        #虚拟主句监听的端口
        listen 80;
        #定义访问的域名
        server_name www.myserver.com;
        #设定本虚拟主机的访问日志，使用 main 格式
        access_log logs/myserver.com.access.log main;
    
        #可以在 Server 域中配置限流，具体通过什么方式限流是前面建立共享内存区时定义的，这里只是配置具体限流多少
        limit_raq zone=addr burst=5 nodelay;
        limit_conn addr 100;  

        #默认请求
        # 语法规则：location [=|~|~*|^~] /uri/ {...} 先匹配普通location，在匹配正则location
        # = 开头表示精确匹配
        # ^~ 开头表示uri以某个常规字符串开头，理解为匹配url路径即可，无需考虑编解码
        # ~ 开头表示区分大小写的正则匹配
        # ~* 开头表示不区分大小写的正则匹配
        # !~ 开头表示区分大小写的不匹配的正则
        # !~* 开头表示不区分大小写的不匹配的正则
        # / 通用匹配，任何请求都会被匹配到
        location / {
            #定义服务器的默认网站根目录位置
            root html;
            #定义首页索引文件的名称
            index index.html index.htm;
            #使用 myServer 负载均衡服务器组
            proxy_pass http://myServer;

            #当然也可以在 location 域中配置限流
            limit_raq zone=addr burst=5 nodelay;
            limit_conn addr 100;
        }

        #定义错误提示页面
        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
            root html;
        }
        #静态文件，nginx自己处理
        location ~ ^/(images|javascript|js|css|flash|media|static)/{
            root /var/www/virtual/htdocs;
            #过期时间1天
            expires 1d;
            #关闭媒体文件日志
            access_log off;
            log_not_found off;
        }
        #设定查看Nginx状态的地址
        location /NginxStatus {
            #!stub_status on; #无此关键字
            access_log off;
            auth_basic "NginxStatus";
            auth_basic_user_file conf/htpasswd;
        }
        #禁止访问的文件.htxxx
        location ~ /\.ht {
            deny all;
        }
    }

简单的配置，nginx 还有很多功能，包括第三方集成的功能，很强大，后续慢慢添加。