大纲
一、前言
二、Nginx 安装与配置
三、Nginx 配置文件详解
四、Nginx 命令参数
五、配置Nginx提供Web服务
六、配置Nginx的虚拟主机
七、配置Nginx的用户认证
八、配置Nginx提供状态页面
九、配置Nginx的错误页面
十、配置Nginx打开目录浏览功能
十一、配置Nginx基于ssl提供https服务
注,测试环境 CentOS 6.4 x86_64 , Nginx 1.4.2 (Nginx 最新版)
一、前言
在上一篇博文中我们讲解了Web服务器的工作原理与Nginx的基本特性,不清楚的博友可以参考一下这篇博文http://freeloda.blog.51cto.com/2033581/1285332,我们知道Nginx有两个基本功能,一个是作为Web服务器(在这篇博文中重点讲解)。好了,下面我们就来演示具体配置。首先我们要做的就是配置安装Nginx服务器。
二、Nginx 安装与配置
1.操作系统
CenteOS 6.4 x86_64
2.软件版本
Nginx 1.4.2 (最新版)
3.实验拓扑
![Nginx1]()
注,实验拓扑很简单,一台Web服务器,一台Windows 7 测试机。
4.时间同步一下
[root@web ~]#
ntpdate 202.120.2.101
5.关闭防火墙与SELinux
[root@web ~]# service iptables stop
[root@web ~]# chkconfig iptables off
[root@web ~]#
chkconfig iptables --list
iptables 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭
[root@web ~]#
getenforce
Disabled
6.安装yum源
[root@web nginx]# rpm -ivh
7.源码安装Nginx
(1).解压源码包
[root@web src]# tar xf nginx-1.4.2.tar.gz
[root@web src]# cd nginx-1.4.2
(2).创建软链接
[root@web local]# ln -sv nginx-1.4.2 nginx
"nginx" -> "nginx-1.4.2"
[root@web local]# cd nginx
[root@web nginx]# ll
总用量 588
drwxr-xr-x 6 1001 1001 4096 8月 29 17:32 auto
-rw-r--r-- 1 1001 1001 222366 7月 17 20:51 CHANGES
-rw-r--r-- 1 1001 1001 338680 7月 17 20:51 CHANGES.ru
drwxr-xr-x 2 1001 1001 4096 8月 29 17:32 conf
-rwxr-xr-x 1 1001 1001 2369 7月 17 20:51 configure
drwxr-xr-x 3 1001 1001 4096 8月 29 17:32 contrib
drwxr-xr-x 2 1001 1001 4096 8月 29 17:32 html
-rw-r--r-- 1 1001 1001 1397 7月 17 20:51 LICENSE
drwxr-xr-x 2 1001 1001 4096 8月 29 17:32 man
-rw-r--r-- 1 1001 1001 49 7月 17 20:51 README
drwxr-xr-x 8 1001 1001 4096 8月 29 17:32 src
(3).新建nginx用户
[root@web nginx]# groupadd -g 108 -r nginx
[root@web nginx]# useradd -u 108 -r -g 108 nginx
[root@web nginx]# id nginx
uid=108(nginx) gid=108(nginx) 组=108(nginx)
(4).修改权限
[root@web nginx]# chown -R root:nginx /usr/local/nginx/*
[root@web nginx]# ll
总用量 588
drwxr-xr-x 6 root nginx 4096 8月 29 17:32 auto
-rw-r--r-- 1 root nginx 222366 7月 17 20:51 CHANGES
-rw-r--r-- 1 root nginx 338680 7月 17 20:51 CHANGES.ru
drwxr-xr-x 2 root nginx 4096 8月 29 17:32 conf
-rwxr-xr-x 1 root nginx 2369 7月 17 20:51 configure
drwxr-xr-x 3 root nginx 4096 8月 29 17:32 contrib
drwxr-xr-x 2 root nginx 4096 8月 29 17:32 html
-rw-r--r-- 1 root nginx 1397 7月 17 20:51 LICENSE
drwxr-xr-x 2 root nginx 4096 8月 29 17:32 man
-rw-r--r-- 1 root nginx 49 7月 17 20:51 README
drwxr-xr-x 8 root nginx 4096 8月 29 17:32 src
(5).编译nginx
[root@web nginx]#
yum -y install pcre-devel
[root@web nginx-1.4.2]# ./configure \
--prefix=/usr \
--sbin-path=/usr/sbin/nginx \
--conf-path=/etc/nginx/nginx.conf \
--error-log-path=/var/log/nginx/error.log \
--http-log-path=/var/log/nginx/access.log \
--pid-path=/var/run/nginx/nginx.pid \
--lock-path=/var/lock/nginx.lock \
--user=nginx \
--group=nginx \
--with-http_ssl_module \
--with-http_flv_module \
--with-http_stub_status_module \
--with-http_gzip_static_module \
--http-client-body-temp-path=/var/tmp/nginx/client/ \
--http-proxy-temp-path=/var/tmp/nginx/proxy/ \
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \
--with-pcre
注,编译过程中会出错,下面是错误信息。
错误1:
./configure: error: SSL modules require the OpenSSL library.
You can either do not enable the modules, or install the OpenSSL library
into the system, or build the OpenSSL library statically from the source
with nginx by using --with-openssl= option.
解决1:
[root@web nginx-1.4.2]#
yum install -y openssl-devel
再来编译一下,
[root@web nginx-1.4.2]# ./configure --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock --user=nginx --group=nginx --with-http_ssl_module --with-http_flv_module --with-http_stub_status_module --with-http_gzip_static_module --http-client-body-temp-path=/var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi --http-scgi-temp-path=/var/tmp/nginx/scgi --with-pcre
出现在下面的选项说明编译成功,
Configuration summary
+ using system PCRE library
+ using system OpenSSL library
+ md5: using OpenSSL library
+ sha1: using OpenSSL library
+ using system zlib library
nginx path prefix: "/usr"
nginx binary file: "/usr/sbin/nginx"
nginx configuration prefix: "/etc/nginx"
nginx configuration file: "/etc/nginx/nginx.conf"
nginx pid file: "/var/run/nginx/nginx.pid"
nginx error log file: "/var/log/nginx/error.log"
nginx http access log file: "/var/log/nginx/access.log"
nginx http client request body temporary files: "/var/tmp/nginx/client/"
nginx http proxy temporary files: "/var/tmp/nginx/proxy/"
nginx http fastcgi temporary files: "/var/tmp/nginx/fcgi/"
nginx http uwsgi temporary files: "/var/tmp/nginx/uwsgi"
nginx http scgi temporary files: "/var/tmp/nginx/scgi"
[root@web nginx-1.4.2]#
make && make install
8.为nginx提供SysV init脚本
[root@web nginx-1.4.2]#
vim /etc/init.d/nginx
#!/bin/sh
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig: - 85 15
# description: Nginx is an HTTP(S) server, HTTP(S) reverse \
# proxy and IMAP/POP3 proxy server
# processname: nginx
# config: /etc/nginx/nginx.conf
# config: /etc/sysconfig/nginx
# pidfile: /var/run/nginx.pid
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0
nginx="/usr/sbin/nginx"
prog=$(basename $nginx)
NGINX_CONF_FILE="/etc/nginx/nginx.conf"
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
lockfile=/var/lock/subsys/nginx
make_dirs() {
# make required directories
user=`nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\).*/\1/g' -`
options=`$nginx -V 2>&1 | grep 'configure arguments:'`
for opt in $options; do
if [ `echo $opt | grep '.*-temp-path'` ]; then
value=`echo $opt | cut -d "=" -f 2`
if [ ! -d "$value" ]; then
# echo "creating" $value
mkdir -p $value && chown -R $user $value
fi
fi
done
}
start() {
[ -x $nginx ] || exit 5
[ -f $NGINX_CONF_FILE ] || exit 6
make_dirs
echo -n $"Starting $prog: "
daemon $nginx -c $NGINX_CONF_FILE
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
return $retval
}
stop() {
echo -n $"Stopping $prog: "
killproc $prog -QUIT
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}
restart() {
configtest || return $?
stop
sleep 1
start
}
reload() {
configtest || return $?
echo -n $"Reloading $prog: "
killproc $nginx -HUP
RETVAL=$?
echo
}
force_reload() {
restart
}
configtest() {
$nginx -t -c $NGINX_CONF_FILE
}
rh_status() {
status $prog
}
rh_status_q() {
rh_status >/dev/null 2>&1
}
case "$1" in
start)
rh_status_q && exit 0
$1
;;
stop)
rh_status_q || exit 0
$1
;;
restart|configtest)
$1
;;
reload)
rh_status_q || exit 7
$1
;;
force-reload)
force_reload
;;
status)
rh_status
;;
condrestart|try-restart)
rh_status_q || exit 0
;;
*)
echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
exit 2
esac
9.为此脚本赋予执行权限
[root@web ~]#
chmod +x /etc/init.d/nginx
10.添加至服务管理列表,并让其开机自动启动
[root@web ~]# chmod +x /etc/init.d/nginx
[root@web ~]# chkconfig --add nginx
[root@web ~]# chkconfig nginx on
[root@web ~]# chkconfig --list nginx
nginx 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
11.启动nginx
[root@web ~]# service nginx start
正在启动 nginx:
12.查看一下端口号
[root@web ~]#
netstat -ntulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4801/nginx
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1033/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1110/master
tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 1144/sshd
tcp 0 0 127.0.0.1:6011 0.0.0.0:* LISTEN 1203/sshd
tcp 0 0 :::22 :::* LISTEN 1033/sshd
tcp 0 0 ::1:25 :::* LISTEN 1110/master
tcp 0 0 ::1:6010 :::* LISTEN 1144/sshd
tcp 0 0 ::1:6011 :::* LISTEN 1203/sshd
三、Nginx 配置文件说明
1.查看一下配置文件
[root@web ~]#
cat /etc/nginx/nginx.conf
#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip on;
server {
listen 80;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root html;
index index.html index.htm;
}
#error_page 404 /404.html;
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
# proxy the PHP scripts to Apache listening on 127.0.0.1:80
#
#location ~ \.php$ {
# proxy_pass
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
#location ~ \.php$ {
# root html;
# fastcgi_pass 127.0.0.1:9000;
# fastcgi_index index.php;
# fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
# include fastcgi_params;
#}
# deny access to .htaccess files, if Apache's document root
# concurs with nginx's one
#
#location ~ /\.ht {
# deny all;
#}
}
# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
# listen 8000;
# listen somename:8080;
# server_name somename alias another.alias;
# location / {
# root html;
# index index.html index.htm;
# }
#}
# HTTPS server
#
#server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
}
2.nginx 配置文件结构
Nginx配置文件主要分为4部分:
main(全局设置)、server(主机设置)、upstream(负载均衡服务器设置)和 location(URL匹配特定位置的设置)。
main部分设置的指令将影响其他所有设置;server部分的指令主要用于指定主机和端口;upstream指令主要用于负载均衡,设置一系列的后端服务器;location部分用于匹配网页位置。
这四者之间的关系如下:server继承main,location继承server,upstream既不会继承其他设置也不会被继承。如下图,
![n3]()
在这4个部分当中,每个部分都包含若干指令,这些指令主要包含Nginx的主模块指令、事件模块指令、HTTP核心模块指令。同时每个部分还可以使用其他HTTP模块指令,例如Http SSL模块、Http Gzip Static模块和Http Addition模块等。
下面通过一个Nginx配置实例,详细介绍nginx.conf每个指令的含义。为了能更清楚地了解Nginx的结构和每个配置选项的含义,这里按照功能点将Nginx配置文件分为7个部分依次讲解。下面就围绕这7个部分进行介绍。
3.配置文件详解
(1).
Nginx 的全局配置文件
#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
worker_rlimit_nofile 65535;
events {
use epoll;
worker_connections 1024;
}
上面这段代码中每个配置选项的含义解释如下:
user是个主模块指令,指定Nginx Worker进程运行用户以及用户组,默认由nobody账号运行。
worker_processes是个主模块指令,指定了Nginx要开启的进程数。每个Nginx进程平均耗费10MB~12MB内存。根据经验,一般指定一个进程足够了,
如果是多核CPU,建议指定和CPU的数量一样多的进程数即可。(注,如果负载以CPU密集型应用为主,如SSL或压缩应用,则worker数应与CPU数相同;如果负载以IO密集型为主,如响应大量内容给客户端,则worker数应该为CPU个数的1.5或2倍。)
error_log是个主模块指令,用来定义全局错误日志文件。日志输出级别有debug、info、notice、warn、error、crit可供选择,其中,
debug输出日志最为最详细,而crit输出日志最少。
pid是个主模块指令,用来指定进程id的存储文件位置。
worker_rlimit_nofile 用于绑定worker进程和CPU, Linux内核2.4以上可用。
events指令用来设定Nginx的工作模式及连接数上限。
use是个事件模块指令,用来指定Nginx的工作模式。Nginx支持的工作模式有select、poll、kqueue、epoll、rtsig和/dev/poll。其中select和poll都是标准的工作模式,kqueue和epoll是高效的工作模式,不同的是epoll用在Linux平台上,而kqueue用在BSD系统中。
对于Linux系统,epoll工作模式是首选。
worker_connections也是个事件模块指令,
用于定义Nginx每个进程的最大连接数,默认是1024。
最大客户端连接数由worker_processes和worker_connections决定,即max_client=worker_processes*worker_connections,
在作为反向代理时变为:max_clients = worker_processes * worker_connections/4。(注,进程的最大连接数受Linux系统进程的最大打开文件数限制,在执行操作系统命令“ulimit -n 65536”后worker_connections的设置才能生效。)
(2).
HTTP服务器配置
注,接下来开始对HTTP服务器进行配置。下面这段内容是Nginx对HTTP服务器相关属性的配置,代码如下:
http {
include mime.types;
default_type application/octet-stream;
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" "$http_x_forwarded_for"';
#access_log logs/access.log main;
sendfile on;
#tcp_nopush on;
#keepalive_timeout 0;
keepalive_timeout 65;
#gzip on;
下面详细介绍这段代码中每个配置选项的含义。
include是个主模块指令,实现对配置文件所包含的文件的设定,可以减少主配置文件的复杂度。类似于Apache中的include方法。
default_type属于HTTP核心模块指令,这里设定默认类型为二进制流,也就是当文件类型未定义时使用这种方式,例如在没有配置PHP环境时,Nginx是不予解析的,此时,用浏览器访问PHP文件就会出现下载窗口。
log_format是Nginx的HttpLog模块指令,用于指定Nginx日志的输出格式。main为此日志输出格式的名称,可以在下面的access_log指令中引用。
client_max_body_size用来设置
允许客户端请求的最大的单个文件字节数。
client_header_buffer_size用于指定来自客户端请求头的headerbuffer大小。对于大多数请求,1KB的缓冲区大小已经足够,如果自定义了消息头或有更大的cookie,可以增加缓冲区大小。这里设置为32KB。
large_client_header_buffers用来指定
客户端请求中较大的消息头的缓存最大数量和大小, “4”为个数,“128K”为大小,最大缓存为4个128KB。
sendfile参数用于开启高效文件传输模式。将tcp_nopush和tcp_nodely两个指令设置为on,用于防止网络阻塞。
keepalive_timeout用于设置客户端连接保持活动的超时时间。在超过这个时间之后,服务器会关闭该连接。
client_header_timeout用于设置客户端请求头读取超时时间。如果超过这个时间,客户端还没有发送任何数据,Nginx将返回“Request time out(408)”错误。
client_body_timeout用于设置客户端请求主体读取超时时间,
默认值为60。如果超过这个时间,客户端还没有发送任何数据,Nginx将返回“Request time out(408)”错误。
send_timeout用于指定响应客户端的超时时间。这个超时仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,Nginx将会关闭连接。
gzip用于设置开启或者关闭gzip模块,“gzip on”表示开启gzip压缩,实时压缩输出数据流。
(3).
HttpGzip模块配置
下面配置Nginx的HttpGzip模块。这个模块
支持在线实时压缩输出数据流。要查看是否安装了此模块,需要使用下面的命令:
[root@web nginx-1.4.2]#
nginx -V
nginx version: nginx/1.4.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC)
TLS SNI support enabled
configure arguments: --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock --user=nginx --group=nginx --with-http_ssl_module --with-http_flv_module --with-http_stub_status_module --with-http_gzip_static_module --http-client-body-temp-path=/var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi --http-scgi-temp-path=/var/tmp/nginx/scgi --with-pcre
通过nginx -V 命令可以查看安装Nginx时的编译选项。由输出可知,我们已经安装了HttpGzip模块。下面是HttpGzip模块在Nginx配置中的相关属性设置:
#gzip on;
#gzip_min_length 1k;
#gzip_buffers 4 16k;
#gzip_http_version 1.1;
#gzip_comp_level 2;
#gzip_types text/plain application/x-javascript text/css application/xml;
#gzip_vary on;
gzip用于设置开启或者关闭gzip模块,“gzip on”表示开启gzip压缩,实时压缩输出数据流。
gzip_min_length用于
设置允许压缩的页面最小字节数,页面字节数从header头的Content-Length中获取。默认值是0,不管页面多大都进行压缩。建议设置成大于1K的字节数,小于1K可能会越压越大。
gzip_buffers表示申请4个单位为16K的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。
gzip_comp_level用来指定gzip压缩比,1 压缩比最小,处理速度最快;9 压缩比最大,传输速度快,但处理最慢,也比较消耗CPU资源。
gzip_types用来指定压缩的类型,
无论是否指定,“text/html”类型总是会被压缩的。
gzip_vary选项可以让前端的缓存服务器缓存经过gzip压缩的页面,例如,用Squid缓存经过Nginx压缩的数据。
(4).
负载均衡配置
下面设定负载均衡的服务器列表。
upstream test.net{
ip_hash;
server 192.168.10.13:80;
server 192.168.10.14:80 down;
server 192.168.10.15:8009 max_fails=3 fail_timeout=20s;
server 192.168.10.16:8080;
}
upstream是Nginx的HTTP Upstream模块,这个模块通过一个简单的调度算法来实现客户端IP到后端服务器的负载均衡。在上面的设定中,通过upstream指令指定了一个负载均衡器的名称test.net。这个名称可以任意指定,在后面需要用到的地方直接调用即可。
Nginx的负载均衡模块目前支持4种调度算法,下面进行分别介绍,其中后两项属于第三方调度算法。
轮询(默认)。
每个请求按时间顺序逐一分配到不同的后端服务器,如果后端某台服务器宕机,故障系统被自动剔除,使用户访问不受影响。
Weight。
指定轮询权值,Weight值越大,分配到的访问机率越高,主要用于后端每个服务器性能不均的情况下。
ip_hash。
每个请求按访问IP的hash结果分配,这样来自同一个IP的访客固定访问一个后端服务器,有效解决了动态网页存在的session共享问题。
fair。这是比上面两个更加智能的负载均衡算法。此种算法可以依据页面大小和加载时间长短智能地进行负载均衡,也就是
根据后端服务器的响应时间来分配请求,响应时间短的优先分配。Nginx本身是不支持fair的,如果需要使用这种调度算法,
必须下载Nginx的upstream_fair模块。
url_hash。
此方法按访问url的hash结果来分配请求,使每个url定向到同一个后端服务器,可以进一步提高后端缓存服务器的效率。Nginx本身是不支持url_hash的,如果需要使用这种调度算法,必须
安装Nginx 的hash软件包。
在HTTP Upstream模块中,可以通过server指令指定后端服务器的IP地址和端口,同时还可以设定每个后端服务器在负载均衡调度中的状态。常用的状态有:
down,表示当前的server暂时不参与负载均衡。
backup,预留的备份机器。当其他所有的非backup机器出现故障或者忙的时候,才会请求backup机器,因此这台机器的压力最轻。
max_fails,允许请求失败的次数,默认为1。当超过最大次数时,返回proxy_next_upstream 模块定义的错误。
fail_timeout,在经历了max_fails次失败后,暂停服务的时间。max_fails可以和fail_timeout一起使用。
注意,
当负载调度算法为ip_hash时,后端服务器在负载均衡调度中的状态不能是weight和backup。
(5).
server虚拟主机配置
下面介绍对虚拟主机的配置。
建议将对虚拟主机进行配置的内容写进另外一个文件,然后通过include指令包含进来,这样更便于维护和管理。
server{
listen 80;
server_name 192.168.12.188
index index.html index.htm index.php;
root /web/www/
charset gb2312;
access_log logs/.access.log main;
server标志定义虚拟主机开始;
listen用于指定虚拟主机的服务器端口;
server_name用来指定IP地址或者域名,
多个域名之间用空格分开;
index用于设定访问的默认首页地址;
root指令用于指定
虚拟主机的网页根目录,这个目录可以是相对路径,也可以是绝对路径;
charset用于设置网页的默认编码格式。
access_log用来指定此虚拟主机的访问日志存放路径。最后的main用于指定访问日志的输出格式。
(6).
URL匹配配置
URL地址匹配是Nginx配置中最灵活的部分。
location支持正则表达式匹配,也支持条件判断匹配,用户可以通过location指令实现Nginx对动、静态网页的过滤处理。
格式:location [ = | ~ | ~* | ^~ ] uri { ... }
location URI {}:
对当前路径及子路径下的所有对象都生效;
location = URI {}:
精确匹配指定的路径,不包括子路径,因此,只对当前资源生效;
location ~ URI {},location ~* URI {}:
模式匹配URI,此处的URI可使用正则表达式,~区分字符大小写,~*不区分字符大小写;
location ^~ URI {}:
不使用正则表达式
案例1:
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
root /web/www/
expires 30d;
}
说明:上面这段设置是通过location指令来对网页URL进行分析处理,
所有扩展名为.gif、.jpg、.jpeg、.png、.bmp、.swf的静态文件都交给Nginx处理,而expires用来指定静态文件的过期时间,这里是30天。
案例2:
location ~ ^/(upload|html)/ {
root /web/www/
expires 30d;
}
说明:上面这段设置是将
upload和html下的所有文件都交给Nginx来处理,当然,upload和html目录包含/web/www/目录中。
案例3:
location ~ .*.jsp$ {
index index.jsp;
proxy_pass
}
说明:在最后这段设置中,
location是对此虚拟主机下动态网页的过滤处理,也就是将所有以.jsp为后缀的文件都交给本机的8080端口处理。
location [ = | ~ | ~* | ^~ ] 优先级
location = URI {}:
精确匹配指定的路径,不包括子路径,因此,只对当前资源生效;(优先级最高)
location ^~ URI {}:
不使用正则表达式;(优先级次之)
location ~ URI {},location ~* URI {}:
模式匹配URI,此处的URI可使用正则表达式,~区分字符大小写,~*不区分字符大小写;(优先级次之)
location URI {}:
对当前路径及子路径下的所有对象都生效;(优先级最低)
案例:
location = / {
[ configuration A ]
}
location / {
[ configuration B ]
}
location /documents/ {
[ configuration C ]
}
location ^~ /images/
{
[ configuration D ]
}
location ~* \.(gif|jpg|jpeg)$ {
[ configuration E ]
}
说明:
The “/” request will match configuration A,
the “/index.html” request will match configuration B,
the “/documents/document.html” request will match configuration C,
the “/images/1.gif” request will match configuration D, and the “/documents/1.jpg” request will match configuration E.
(7).
StubStatus模块配置
StubStatus模块能够获取Nginx自上次启动以来的工作状态,此模块非核心模块,需要在Nginx编译安装时手工指定才能使用。以下指令指定启用获取Nginx工作状态的功能。
location /NginxStatus {
stub_status on;
access_log logs/NginxStatus.log;
auth_basic "NginxStatus";
auth_basic_user_file ../htpasswd;
}
stub_status为“on”表示启用StubStatus的工作状态统计功能;
access_log 用来指定StubStatus模块的访问日志文件;
auth_basic是Nginx的一种认证机制;
auth_basic_user_file用来指定认证的密码文件。
由于Nginx的auth_basic认证采用的是与Apache兼容的密码文件,
因此需要用Apache的htpasswd命令来生成密码文件。例如要添加一个webadmin用户,可以使用下面的方式生成密码文件:
/usr/local/apache/bin/htpasswd -c /opt/nginx/conf/htpasswd webadmin
要查看Nginx的运行状态,可以输入 NginxStatus,然后输入刚刚创建的用户名和密码就可以看到如下信息:
Active connections: 1
server accepts handled requests
393411 393411 393799
Reading: 0 Writing: 1 Waiting: 0
Active connections表示当前活跃的连接数。
第三行的3个数字表示 Nginx当前总共处理了393411个
连接, 成功创建了393 411次
握手,总共处理了393 799个
请求。
最后一行的Reading表示Nginx读取到客户端Header信息数; Writing表示Nginx返回给客户端的Header信息数;Waiting表示Nginx已经处理完、正在等候下一次请求指令时的驻留连接数。
补充说明:
error_page 404 /404.html;
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
在最后这段设置中,设置了虚拟主机的错误信息返回页面,通过error_page指令可以定制各种错误信息的返回页面。
在默认情况下,Nginx会在主目录的html目录中查找指定的返回页面。特别需要注意的是,这些错误信息的返回页面大小一定要超过512KB,否则会被IE浏览器替换为IE默认的错误页面。好了,到这里nginx的配置文件讲解全部完成。下面我们来说一说nginx命令参数。
四、
Nginx 命令参数
不像许多其他软件系统,Nginx 仅有数个命令行参数,完全通过配置文件来配置(想象一下)。
[#options 选项]
[#example 示例]
[#lncus 使用信号加载新的配置]
[#utnbotf 平滑升级到新的二进制代码]
选项
-c
为 Nginx 指定一个配置文件,来代替缺省的。
-t 不运行,
而仅仅测试配置文件。nginx 将检查配置文件的语法的正确性,并尝试打开配置文件中所引用到的文件。
-v 显示 nginx 的版本。
-V 显示 nginx 的版本,编译器版本和配置参数。
[root@web ~]#
nginx -h
nginx version: nginx/1.4.2
Usage: nginx [-?hvVtq] [-s signal] [-c filename] [-p prefix] [-g directives]
Options:
-?,-h : this help
-v : show version and exit
-V : show version and configure options then exit
-t : test configuration and exit
-q : suppress non-error messages during configuration testing
-s signal : send signal to a master process: stop, quit, reopen, reload
-p prefix : set prefix path (default: /usr/)
-c filename : set configuration file (default: /etc/nginx/nginx.conf)
-g directives : set global directives out of configuration file
五、
配置Nginx提供Web服务
1.提供测页面
[root@web nginx]# mkdir -pv /data/www
mkdir: 已创建目录 "/data/www"
[root@web nginx]# cd /data/www
[root@web www]# ll
总用量 0
[root@web www]# cat index.html
[root@web www]# chown -R nginx.nginx /data/www/*
2.备份配置文件
[root@web ~]# cd /etc/nginx/
[root@web nginx]# cp nginx.conf nginx.conf.bak
[root@web nginx]# ls
fastcgi.conf fastcgi_params.default mime.types nginx.conf.bak scgi_params.default win-utf
fastcgi.conf.default koi-utf mime.types.default nginx.conf.default uwsgi_params
fastcgi_params koi-win nginx.conf scgi_params uwsgi_params.default
3.修改配置文件
[root@web www]# vim /etc/nginx/nginx.conf
server {
listen 80;
server_name localhost;
#charset koi8-r;
#access_log logs/host.access.log main;
location / {
root /data/www;
index index.html index.htm;
}
4.重新加载nginx配置
[root@web run]# service nginx reload
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重新载入 nginx: [确定]
六、配置Nginx的虚拟主机
1.修改配置文件
[root@web www]# vim /etc/nginx/nginx.conf
server {
listen 80;
server_name
location / {
root /data/www;
index index.html index.htm;
}
}
server {
listen 80;
server_name
location / {
root /data/test;
index index.html index.htm;
}
}
2.提供测试页面
[root@web data]# mkdir test
[root@web data]# cd test/
[root@web test]# cat index.html
3.重新加载nginx配置
[root@web run]# service nginx reload
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重新载入 nginx: [确定]
4.修改测试机的hosts文件
Windows 7下路径:C:\Windows\System32\drivers\etc\hosts
增加两行:
192.168.18.201
192.168.18.201
七、配置Nginx的访问控制
基于用户的访问控制,
1.提供测试文件
[root@web run]# cd /data/www/
[root@web www]# ll
总用量 4
-rw-r--r-- 1 nginx nginx 23 8月 29 20:04 index.html
[root@web www]# mkdir bbs
[root@web www]# cd bbs/
[root@web bbs]# vim index.html
[root@web bbs]# cat index.html
Auth Page
2.修改配置文件
location /data {
root /www/bbs;
index index.html
auth_basic "Auth Page";
auth_basic_user_file /etc/nginx/.user;
}
3.安装httpd
[root@web bbs]# yum install -y httpd
4.生成认证文件
[root@web bbs]# htpasswd -c -m /etc/nginx/.user nginx
New password:
Re-type new password:
Adding password for user nginx
[root@web bbs]# ls -a /etc/nginx/
. fastcgi_params mime.types nginx.conf.default .user
.. fastcgi_params.default mime.types.default .nginx.conf.swp uwsgi_params
fastcgi.conf koi-utf nginx.conf scgi_params uwsgi_params.default
fastcgi.conf.default koi-win nginx.conf.bak scgi_params.default win-utf
5.重新加载一下nginx配置文件
[root@web bbs]# service nginx reload
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重新载入 nginx: [确定]
基于IP的访问控制,
1.控制指令
allow 定义允许访问的规则
deny 定义拒绝访问的规则
allow all或deny all 定义默认规则
2.案例
[root@web test]# vim /etc/nginx/nginx.conf
location / {
root /data/www;
index index.html index.htm;
#auth_basic "Auth Page";
#auth_basic_user_file /etc/nginx/.user;
deny 192.168.18.138;
allow 192.168.18.0/24;
deny all;
}
注,大家可以看到不允许访问。allow与deny指令使用很简单,唯一与httpd不同的是nginx没有定义默认规则,所以默认规则得自己定义。我这里定义是dell all;默认拒绝所有。
八、配置Nginx提供状态页面
1.修改配置文件
[root@web test]# vim /etc/nginx/nginx.conf
location /status {
root /;
stub_status on;
auth_basic "NginxStatus";
auth_basic_user_file /etc/nginx/.user;
}
2.重新加载一下配置文件
3.测试
九、配置Nginx的错误页面
1.提供404错误页面
[root@web www]# ll
总用量 8
drwxr-xr-x 2 root root 4096 8月 29 20:36 bbs
-rw-r--r-- 1 nginx nginx 23 8月 29 20:04 index.html
[root@web www]# vim 404.html
[root@web www]# cat 404.html
404 error
404 error
404 error
404 error
……
2.修改配置文件
[root@web test]# vim /etc/nginx/nginx.conf
server {
error_page 404 /404.html;
}
3.重新加载一下nginx配置文件
[root@web www]# service nginx reload
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重新载入 nginx: [确定]
4.我们访问一下不存在的页面
![n12]()
十、配置Nginx打开目录浏览功能
1.指令说明
Nginx默认是不允许列出整个目录的。如需此功能,打开nginx.conf文件,在location server 或 http段中加入autoindex on;另外两个参数最好也加上去,
autoindex_exact_size off;默认为on,显示出文件的确切大小,单位是bytes。改为off后,显示出文件的大概大小,单位是kB或者MB或者GB。
autoindex_localtime on;默认为off,显示的文件时间为GMT时间。改为on后,显示的文件时间为文件的服务器时间。
2.修改配置文件
server {
listen 80;
server_name
location / {
autoindex on;
autoindex_exact_size on;
autoindex_localtime on;
root /data/www;
index 123.html;
}
}
3.重新加载配置文件
[root@web www]# service nginx reload
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
重新载入 nginx: [确定]
![n13]()
十一、配置Nginx基于ssl提供https服务
1.创建CA自签证书
[root@web ~]# cd /etc/pki/CA/
[root@web CA]# ls
certs crl newcerts private
[root@web CA]# cd private/
[root@web private]# ls
[root@web private]# (umask 077; openssl genrsa 2048 > cakey.pem) #生成私钥
Generating RSA private key, 2048 bit long modulus
...............................+++
.............+++
e is 65537 (0x10001)
[root@web CA]# openssl req -new -x509 -key ./private/cakey.pem -out cacert.pem #生成自签证书
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SH
Locality Name (eg, city) [Default City]:XH
Organization Name (eg, company) [Default Company Ltd]:JJHH
Organizational Unit Name (eg, section) []:Tech
Common Name (eg, your name or your server's hostname) []:ca.test.com
Email Address []:caadmin@test.com
[root@web private]# ll
总用量 8
-rw------- 1 root root 1679 8月 29 23:31 cakey.pem
[root@web CA]# touch serial
[root@web CA]# echo 01 > serial
[root@web CA]# touch index.txt
[root@web CA]# ll
总用量 24
-rw-r--r-- 1 root root 1375 8月 29 23:34 cacert.pem
drwxr-xr-x. 2 root root 4096 3月 5 06:22 certs
drwxr-xr-x. 2 root root 4096 3月 5 06:22 crl
-rw-r--r-- 1 root root 0 8月 29 23:35 index.txt
drwxr-xr-x. 2 root root 4096 3月 5 06:22 newcerts
drwx------. 2 root root 4096 8月 29 23:49 private
-rw-r--r-- 1 root root 3 8月 29 23:35 serial
2.生成证书申请
[root@web ~]# mkdir /etc/nginx/ssl
[root@web CA]# cd /etc/nginx/ssl/
[root@web ssl]# (umask 077; openssl genrsa 1024 > nginx.key) #生成私钥
Generating RSA private key, 1024 bit long modulus
.........................................++++++
..................................++++++
e is 65537 (0x10001)
[root@web ssl]# openssl req -new -key nginx.key -out nginx.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SH
Locality Name (eg, city) [Default City]:XH
Organization Name (eg, company) [Default Company Ltd]:JJHH
Organizational Unit Name (eg, section) []:Tech
Common Name (eg, your name or your server's hostname) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3. 让CA签名并颁发证书
[root@web ssl]# openssl ca -in nginx.csr -out nginx.crt -days 3650
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Aug 29 15:51:53 2013 GMT
Not After : Aug 27 15:51:53 2023 GMT
Subject:
countryName = CN
stateOrProvinceName = SH
organizationName = JJHH
organizationalUnitName = Tech
commonName =
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
60:87:97:14:D5:A2:23:B9:C5:13:97:5D:0D:B9:D7:C3:C2:66:F0:4B
X509v3 Authority Key Identifier:
keyid:9E:3E:5B:84:06:BE:68:01:C9:16:7C:08:5F:C5:54:0D:7B:FC:FA:87
Certificate is to be certified until Aug 27 15:51:53 2023 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
4.修改配置文件
server {
listen 443;
server_name localhost;
ssl on;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
5.重新启动一下nginx服务器
[root@web ssl]# service nginx restart
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
停止 nginx: [确定]
正在启动 nginx: [确定]
6.查看一下端口
[root@web ssl]# netstat -ntlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 10661/nginx
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1033/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1110/master
tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 9599/sshd
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 10661/nginx
tcp 0 0 127.0.0.1:6012 0.0.0.0:* LISTEN 9470/sshd
tcp 0 0 :::22 :::* LISTEN 1033/sshd
tcp 0 0 ::1:25 :::* LISTEN 1110/master
tcp 0 0 ::1:6010 :::* LISTEN 9599/sshd
tcp 0 0 ::1:6012 :::* LISTEN 9470/sshd
7.测试一下
![n14]()
![n15]()
本文出处http://freeloda.blog.51cto.com/2033581/1285722
