Nginx介绍
Nginx(发音同 engine x)是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发,最初供俄国大型的入口网站及搜寻引擎Rambler(俄文:Рамблер)使用。 其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页伺服器中表现较好.目前中国大陆使用nginx网站用户有:新浪、网易、 腾讯,另外知名的微网志Plurk也使用nginx。
Nginx的优点
- 高并发量:根据官方给出的数据,能够支持高达 50,000 个并发连接数的响应
内存消耗少:处理静态文件,同样起web 服务,比apache 占用更少的内存及资源,所有它是轻量级的
简单稳定:配置简单,基本在一个conf文件中配置,性能比较稳定,可以7*24小时长时间不间断运行
模块化程度高:Nginx是高度模块化的设计,编写模块相对简单,包括 gzipping, byte ranges, chunked responses,以及 SSI-filter 等 filter,支持 SSL 和 TLSSNI。
支持Rwrite重写规则:能够根据域名、URL的不同, 将HTTP请求分发到不同的后端服务器群组。
低成本:Nginx可以做高并发的负载均衡,且Nginx是开源免费的,如果使用F5等硬件来做负载均衡,硬件成本比较高。
支持多系统:Nginx代码完全用C语言从头写成,已经移植到许多体系结构和操作系统,包括:Linux、FreeBSD、Solaris、Mac OS X、AIX以及Microsoft Windows,由于Nginx是免费开源的,可以在各系统上编译并使用。
nginx的程序架构
web服务相关的功能
- 虚拟主机(server)
- 支持 keep-alive 和管道连接
- 访问日志(支持基于日志缓冲提高其性能)
- url rewirte
- 路径别名
- 基于IP及用户的访问控制
- 支持速率限制及并发数限制
- 重新配置和在线升级而无须中断客户的工作进程
- Memcached 的 GET 接口
master/worker结构
一个master进程:
负载加载和分析配置文件、管理worker进程、平滑升级
一个或多个worker进程
处理并响应用户请求
缓存相关的进程:
cache loader:载入缓存对象
cache manager:管理缓存对象
nginx模块
nginx高度模块化,但其模块早期不支持DSO机制;1.9.11版本支持动态装载和卸载
模块分类
- 核心模块:是 Nginx 服务器正常运行 必不可少 的模块,提供 错误日志记录 、配置文件解析 、 事件驱动机制 、 进程管理 等核心功能
- 标准HTTP模块:提供 HTTP 协议解析相关的功能,比如: 端口配置 、 网页编码设置 、 HTTP响应头设置 等等
- 可选HTTP模块:主要用于扩展标准的 HTTP 功能,让 Nginx 能处理一些特殊的服务,比如: Flash 多媒体传输 、解析 GeoIP 请求、 网络传输压缩 、 安全协议 SSL 支持等
- 邮件服务模块:主要用于支持 Nginx 的 邮件服务 ,包括对 POP3 协议、IMAP 协议和 SMTP协议的支持
- 第三方模块:是为了扩展 Nginx 服务器应用,完成开发者自定义功能,比如:Json 支持、 Lua 支持等
nginx的功用
静态的web资源服务器
html,图片,js,css,txt等静态资源
结合FastCGI/uWSGI/SCGI等协议反向代理动态资源请求
http/https协议的反向代理
imap4/pop3协议的反向代理
tcp/udp协议的请求转发(反向代理)
配置文件的组成部分
主配置文件:nginx.conf
子配置文件 include conf.d/*.conffastcgi, uwsgi,scgi等协议相关的配置文件
mime.types:支持的mime类型
主程序文件:/usr/sbin/nginx
Unit File:nginx.service
nginx配置
主配置文件的配置指令
directive value [value2 …];
注意:
(1) 指令必须以分号结尾
(2) 支持使用配置变量
内建变量:由Nginx模块引入,可直接引用
自定义变量:由用户使用set命令定义
set variable_name value;
引用变量:$variable_name
主配置文件结构:四部
1 | main block:主配置段,即全局配置段,对http,mail都有效 |
Main 全局配置段常见的配置指令分类
- 正常运行必备的配置
- 优化性能相关的配置
- 用于调试及定位问题相关的配置
- 事件驱动相关的配置
正常运行必备的配置
1、user
指定worker进程的运行身份,如组不指定,默认和用户名同名
Syntax: user user [group];
Default: user nobody nobody;
Context: main
2、pid /PATH/TO/PID_FILE;
指定存储nginx主进程进程号码的文件路径;
3、include file | mask;
指明包含进来的其它配置文件片断;
4、load_module file;
指明要装载的动态模块;
性能优化相关的配置
1、worker_processes number | auto;
worker进程的数量;通常应该等于小于当前主机的cpu的物理核心数;
auto:当前主机物理CPU核心数;
2、worker_cpu_affinity cpumask …;
worker_cpu_affinity auto [cpumask];提高缓存命中率
CPU MASK:
00000000:
0000 0001:0号CPU
0000 0010:1号CPU
0000 0100:2号CPU
… …
0000 0011:0和1号CPU;
3、worker_priority number;
指定worker进程的nice值,设定worker进程优先级;[-20,20]
4、worker_rlimit_nofile number;
worker进程所能够打开的文件数量上限;
调试、定位问题
1、daemon on|off;
是否以守护进程方式运行Nignx;
2、master_process on|off;
是否以master/worker模型运行nginx;默认为on;
3、error_log file [level];
事件驱动相关的配置
1 | events { |
1、worker_connections number;
每个worker进程所能够打开的最大并发连接数数量;
worker_processes * worker_connections
2、use method;
指明并发连接请求的处理方法;
示例: use epoll;
3、accept_mutex on | off;
处理新的连接请求的方法;on意味着由各worker轮流处理新请求,Off意味着每个新请求的到达都会通知所有的worker进程;
http协议相关的配置结构
1 | http { |
ngx_http_core_module
与套接字相关的配置
1、server { … }
配置一个虚拟主机;
1 | server { |
2、listen PORT|address[:port]|unix:/PATH/TO/SOCKET_FILE
listen address[:port][default_server] [ssl][http2 | spdy] [backlog=number][rcvbuf=size] [sndbuf=size]
default_server:设定为默认虚拟主机;
ssl:限制仅能够通过ssl连接提供服务;
backlog=number:后援队列长度;
rcvbuf=size:接收缓冲区大小;
sndbuf=size:发送缓冲区大小;
3、server_name name …;
指明虚拟主机的主机名称;后可跟多个由空白字符分隔的字符串;
支持通配任意长度的任意字符;server_name .magedu.com www.magedu.*
支持~起始的字符做正则表达式模式匹配;server_name ~^www\d+.magedu.com$
1 | 匹配机制: |
定义路径相关的配置:
1、root path;
设置web资源路径映射;用于指明用户请求的url所对应的本地文件系统上的文档所在目录路径;可用的位置:http, server, location, if in location;
2、location [ = | ~ | ~* | ^~ ] uri { … }
在一个server中location配置段可存在多个,用于实现从uri到文件系统的路径映射;ngnix会根据用户请求的URI来检查定义的所有location,并找出一个最佳匹配,而后应用其配置;
1 | =:对URI做精确匹配; |
匹配优先级从高到低:=, ^~, ~/~*,不带符号;
例:
1 | [root@node01 ~]#vim /etc/nginx/nginx.conf |
3、alias path;
定义路径别名,文档映射的另一种机制;仅能用于location上下文;
注意:location中使用root指令和alias指令的意义不同;
(a) root,给定的路径对应于location中的/uri/左侧的/;
(b) alias,给定的路径对应于location中的/uri/右侧的/;
例
1 | [root@node01 ~]#vim /etc/nginx/nginx.conf |
4、index file ...;
默认资源;http, server, location;
5、error_page code ... [=[response]] uri;
1 | error_page 404 /404.html; |
6、try_files file ... uri;
try_files file ... =code;
按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示为文件夹),如果所有文件或文件夹都找不到,会进行一个内部重定向到最后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误
1 | location /images/ { |
定义客户端请求的相关配置
1、keepalive_timeout timeout [header_timeout];
设定保持连接超时时长,0表示禁止长连接,默认为75s
2、keepalive_requests number;
在一次长连接上所允许请求的资源的最大数量,默认为100
3、keepalive_disable none | browser ...;
对哪种浏览器禁用长连接
4、send_timeout time;
向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长,而非整个响应过程的传输时长
5、client_body_buffer_size size;
用于接收每个客户端请求报文的body部分的缓冲区大小;默认为16k;超出此大小时,其将被暂存到磁盘上的由下面client_body_temp_path指令所定义的位置
6、client_body_temp_path path [level1 [level2 [level3]]];
设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量
目录名为16进制的数字;
1 | client_body_temp_path /var/tmp/client_body 1 2 2 |
对客户端进行限制的相关配置
1、 limit_rate rate;
限制响应给客户端的传输速率,单位是bytes/second,默认值0表示无限制
2、limit_except method … { … },仅用于location
限制客户端使用除了指定的请求方法之外的其它方法
method:GET, HEAD, POST, PUT, DELETE,MKCOL, COPY, MOVE,OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH
1 | limit_except GET { |
文件操作优化的配置
1、 aio on | off | threads[=pool];
是否启用aio功能
2、 directio size | off;
当文件大于等于给定大小时,例如directio 4m,同步(直接)写磁盘,而非写缓存
3、 open_file_cache off;
1 | open_file_cache max=N [inactive=time]; |
nginx可以缓存以下三种信息:
文件元数据:文件的描述符、文件大小和最近一次的修改时间
打开的目录结构
没有找到的或者没有权限访问的文件的相关信息
max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现管理
inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次数少于 open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项,将被删除
4、 open_file_cache_errors on | off;
是否缓存查找时发生错误的文件一类的信息,默认值为off
5、 open_file_cache_min_uses number;
open_file_cache指令的inactive参数指定的时长内,至少被命中此处指定的次数方可被归类为活动项,默认值为1
6、 open_file_cache_valid time;
缓存项有效性的检查频率,默认值为60s
ngx_http_access_module
可实现基于ip的访问控制功能
1、 allow address | CIDR | unix: | all;
2、 deny address | CIDR | unix: | all;
http, server, location, limit_except
自上而下检查,一旦匹配,将生效,条件严格的置前
示例:
1 | location / { |
ngx_http_auth_basic_module
实现基于用户的访问控制,使用basic机制进行用户认证
1、 auth_basic string | off;
2、 auth_basic_user_file file;
1 | location /admin/ { |
用户口令文件:
1、明文文本:格式name:password:comment
2、加密文本:由htpasswd命令实现
httpd-tools所提供
ngx_http_stub_status_module
用于输出nginx的基本状态信息
1、输出信息示例:
1 | [root@node01 ~]#curl -s 192.168.183.148:8080/nginx_status |
- Active connections:当前状态,活动状态的连接数
- accepts:统计总值,已经接受的客户端请求的总数
- handled:统计总值,已经处理完成的客户端请求的总数
- requests:统计总值,客户端发来的总的请求数
- Reading:当前状态,正在读取客户端请求报文首部的连接的连接数
- Writing:当前状态,正在向客户端发送响应报文过程中的连接数
- Waiting:当前状态,正在等待客户端发出请求的空闲连接数
示例:
1 | location /nginx_status { |
ngx_http_log_module
指定日志格式记录请求
1、 log_format name string …;
string可以使用nginx核心模块及其它模块内嵌的变量
2、 access_log path [format [buffer=size] [gzip[=level]][flush=time][if=condition]];
access_log off;
访问日志文件路径,格式及相关的缓冲的配置
buffer=size
flush=time
示例
1 | llog_format main '$remote_addr - $remote_user [$time_local] "$request" ' |
3、open_log_file_cache max=N [inactive=time][min_uses=N][valid=time];
open_log_file_cache off;
缓存各日志文件相关的元数据信息
- max:缓存的最大文件描述符数量
- min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项
- inactive:非活动时长
- valid:验证缓存中各缓存项是否为活动项的时间间隔
4、 open_log_file_cache max=N [inactive=time][min_uses=N][valid=time];open_log_file_cache off;
缓存各日志文件相关的元数据信息
max:缓存的最大文件描述符数量
min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项
inactive:非活动时长
valid:验证缓存中各缓存项是否为活动项的时间间隔
ngx_http_gzip_module
1、ngx_http_gzip_module
用gzip方法压缩响应数据,节约带宽
2、 gzip on | off;
启用或禁用gzip压缩
3、 gzip_comp_level level;
压缩比由低到高:1 到 9,默认:1
4、 gzip_disable regex …;
匹配到客户端浏览器不执行压缩
5、 gzip_min_length length;
启用压缩功能的响应报文大小阈值
6、 gzip_http_version 1.0 | 1.1;
设定启用压缩功能时,协议的最小版本,默认:1.1
7、 gzip_buffers number size;
支持实现压缩功能时缓冲区数量及每个缓存区的大小,默认:32 4k 或 16 8k
8、 gzip_types mime-type …;
指明仅对哪些类型的资源执行压缩操作;即压缩过滤器,默认包含有text/html,不用显示指定,否则出错
9、 gzip_vary on | off;
如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”
10、 gzip_proxied off | expired | no-cache | no-store | private |no_last_modified | no_etag | auth | any …;
nginx充当代理服务器时,对于后端服务器的响应报文,在何种条件下启用压缩功能
off:不启用压缩
expired,no-cache, no-store,private:对后端服务器的响应报文首部
Cache-Control值任何一个,启用压缩功能
示例:
1 | gzip on; |
ngx_http_ssl_module
1、 ssl on | off;
为指定虚拟机启用HTTPS protocol, 建议用listen指令代替
2、 ssl_certificate file;
当前虚拟主机使用PEM格式的证书文件
3、 ssl_certificate_key file;
当前虚拟主机上与其证书匹配的私钥文件
4、 ssl_protocols [SSLv2][SSLv3] [TLSv1][TLSv1.1] [TLSv1.2];支持ssl协议版本,默认为后三个
5、 ssl_session_cache off | none | [builtin[:size]][shared:name:size];
none: 通知客户端支持ssl session cache,但实际不支持
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存
6、 ssl_session_timeout time;
客户端连接可以复用ssl session cache中缓存的有效时长,默认5m
示例:
1 | server { |
ngx_http_rewrite_module
将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换
1、 rewrite regex replacement [flag]
将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI
注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查
隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示
的标志位用于控制此循环机制
如果replacement是以http://或https://开头,则替换结果会直接以重向返回给客户端, 即永久重定向301
[flag]:
- last:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环,不建议在location中使用
- break:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使用
- redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;使用相对路径,或者http://或https://开头,状态码:302
- permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求,状态码:301
1 | 示例:把本地192.168.183.148:8080/以bbs或forum开头的都跳转到192.168.183.148:10080/forum下 |
2、 rewrite_log on | off;
是否开启重写日志, 发送至error_log(notice level)
ngx_http_referer_module
用来阻止Referer首部无有效值的请求访问,可防止盗链
1、 valid_referers none|blocked|server_names|string …;
定义referer首部的合法可用值,不能匹配的将是非法值
none:请求报文首部没有referer首部
blocked:请求报文有referer首部,但无有效值
server_names:referer首部中包含本主机名
arbitrary_string:任意字符串,但可使用*作通配符
regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头
1 | 示例: |
ngx_http_proxy_module
转发请求至另一台主机
1、proxy_pass URL;
Context: location, if in location, limit_except
注意:proxy_pass后面的路径不带uri时,其会将location的uri传递给后端主机;
1 | server { |
proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的uri
1 | server { |
如果location定义其uri时使用了正则表达式的模式,或在if语句或limt_execept中使用proxy_pass指令,则proxy_pass之后必须不能使用uri; 用户请求时传递的uri将直接附加代理到的服务的之后;
1 | server { |
2、proxy_set_header field value;
设定发往后端主机的请求报文的请求首部的值;Context: http, server, location
1 | proxy_set_header X-Real-IP $remote_addr; |
3、proxy_cache_path
定义可用于proxy功能的缓存;Context: http
1 | proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time]; |
4、 proxy_cache zone | off; 默认off
指明调用的缓存,或关闭缓存机制;Context:http, server, location
5、 proxy_cache_key string;
缓存中用于“键”的内容
默认值:proxy_cache_key $scheme$proxy_host$request_uri;
6、 proxy_cache_valid [code …] time;
定义对特定响应码的响应内容的缓存时长
定义在http{…}中
示例:
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
ngx_http_proxy_module
示例:在http配置定义缓存信息
1 | proxy_cache_path /var/cache/nginx levels=1:1:1 keys_zone=proxycache:20m |
7、 proxy_cache_use_stale;
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...
在被代理的后端服务器出现哪种情况下,可直接使用过期的缓存响应客户端
8、 proxy_cache_methods GET | HEAD | POST …;
对哪些客户端请求方法对应的响应进行缓存,GET和HEAD方法总是被缓存
9、 proxy_hide_header field;
默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad,X-Accel-等,用于隐藏后端服务器特定的响应首部
10、 proxy_connect_timeout time;
定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为60s,一般不建议超出75s
11、 proxy_send_timeout time;
将请求发送给后端服务器的超时时长;默认为60s
12、 proxy_read_timeout time;
等待后端服务器发送响应报文的超时时长,默认为60s
ngx_http_headers_module
向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的值
1、 add_header name value [always];
添加自定义首部
1 | add_header X-Via $server_addr; |
2、 add_trailer name value [always];
添加自定义响应信息的尾部
ngx_http_fastcgi_module
转发请求到FastCGI服务器,不支持php模块方式
1、 fastcgi_pass address;
address为后端的fastcgi server的地址
可用位置:location, if in location
2、 fastcgi_index name;
fastcgi默认的主页资源
示例:fastcgi_index index.php;
3、 fastcgi_param parameter value [if_not_empty];
设置传递给 FastCGI服务器的参数值,可以是文本,变量或组合
例1:
1)在后端服务器先配置fpm server和mariadb-server
2)在前端nginx服务上做以下配置:
1 | location ~* \.php$ { |
例2:通过/pm_status和/ping来获取fpm server状态信息
1 | location ~* ^/(pm_status|ping)$ { |
4
1 | fastcgi_cache_path path [levels=levels][use_temp_path=on|off] keys_zone=name:size |
定义fastcgi的缓存;
1 | path #缓存位置为磁盘上的文件系统 |
5、 fastcgi_cache zone | off;
调用指定的缓存空间来缓存数据
可用位置:http, server, location
6、 fastcgi_cache_key string;
定义用作缓存项的key的字符串
示例:fastcgi_cache_key $request_rui;
7、 fastcgi_cache_methods GET | HEAD | POST …;
为哪些请求方法使用缓存
8、 fastcgi_cache_min_uses number;
缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方
可被认作活动项
9、 fastcgi_keep_conn on | off;
收到后端服务器响应后,fastcgi服务器是否关闭连接,建议启用长连接
10、 fastcgi_cache_valid [code …] time;
不同的响应码各自的缓存时长
例:
1 | http { |
ngx_http_upstream_module
用于将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令进行引用
1、 upstream name { … }
定义后端服务器组,会引入一个新的上下文
默认调度算法是wrr
Context: http
1 | upstream httpdsrvs { |
2、 server address [parameters];
在upstream上下文中server成员,以及相关的参数;Context:upstream
address的表示格式:
unix:/PATH/TO/SOME_SOCK_FILE
IP[:PORT]
HOSTNAME[:PORT]
parameters:
weight=number 权重,默认为1
max_conns 连接后端报务器最大并发活动连接数,1.11.5后支持 max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标 记为不可用,默认为1
fail_timeout=time 后端服务器标记为不可用状态的连接超时时长,默认10s
backup 将服务器标记为“备用”,即所有服务器均不可用时才启用
down 标记为“不可用”,实现灰度发布
1 | server { |
3、 ip_hash 源地址hash调度方法
4、 least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc,
当所有后端主机连接数相同时,则使用wrr,适用于长连接
5、 hash key [consistent] 基于指定的key的hash表来实现对请求的调度,此处的key可以直接文本、变量或二者组合
作用:将请求分类,同一类请求将发往同一个upstream server,使用consistent参数,将使用ketama一致性hash算法,适用于后端是Cache服务器(如varnish)时使用
1 | hash $request_uri consistent; #适用于缓存层 |
6、 keepalive 连接数N;
为每个worker进程保留的空闲的长连接数量,可节约nginx端口,并减少连接管理的消耗一致性hash算法
7、 health_check [parameters];
健康状态检测机制;只能用于location上下文
常用参数:
interval=time检测的频率,默认为5秒
fails=number:判定服务器不可用的失败检测次数;默认为1次
passes=number:判定服务器可用的失败检测次数;默认为1次
uri=uri:做健康状态检测测试的目标uri;默认为/
match=NAME:健康状态检测的结果评估调用此处指定的match配置块
注意:仅对nginx plus有效
8、 match name { … }
对backend server做健康状态检测时,定义其结果判断机制;只能用于http上下文
常用的参数:
status code[ code …]: 期望的响应状态码
header HEADER[operator value]:期望存在响应首部,也可对期望的响应首部的值基于比较操作符和值进行比较
body:期望响应报文的主体部分应该有的内容
注意:仅对nginx plus有效
ngx_stream_core_module
模拟反代基于tcp或udp的服务连接,即工作于传输层的反代或调度
1、 stream { … }
定义stream相关的服务;Context:main
1 | stream { |
2、 listen
1 | listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] |
ngx_stream_proxy_module
可实现代理基于TCP,UDP (1.9.13), UNIX-domain sockets的数据流
1、 proxy_pass address;
指定后端服务器地址
2、 proxy_timeout timeout;
无数据传输时,保持连接状态的超时时长,默认为10m
3、 proxy_connect_timeout time;
设置nginx与被代理的服务器尝试建立连接的超时时长,默认为60s
示例
1 | stream { |
实现Nginx高并发Linux内核优化
由于默认的Linux内核参数考虑的是最通用场景,这明显不符合用于支持高并发访问的Web服务器的定义,所以需要修改Linux内核参数,是的Nginx可以拥有更高的性能,根据业务特点来进行调整,当Nginx作为静态web内容服务器、反向代理或者提供压缩服务器的服务器时,期内核参数的调整都是不同的,这里针对最通用的、使Nginx支持更多并发请求的TCP网络参数做简单的配置,修改/etc/sysctl.conf来更改内核参数
fs.file-max = 999999
表示单个进程较大可以打开的句柄数
net.ipv4.tcp_tw_reuse = 1
参数设置为 1 ,表示允许将TIME_WAIT状态的socket重新用于新的TCP链接,这对于服务器来说意义重大,因为总有大量TIME_WAIT状态的链接存在net.ipv4.tcp_keepalive_time = 600
当keepalive启动时,TCP发送keepalive消息的频度;默认是2小时,将其设置为10分钟,可更快的清理无效链接net.ipv4.tcp_fin_timeout = 30
当服务器主动关闭链接时,socket保持在FIN_WAIT_2状态的较大时间net.ipv4.tcp_max_tw_buckets = 5000
这个参数表示操作系统允许TIME_WAIT套接字数量的较大值,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000,过多的TIME_WAIT套接字会使Web服务器变慢net.ipv4.ip_local_port_range = 1024 65000
定义UDP和TCP链接的本地端口的取值范围net.ipv4.tcp_rmem = 10240 87380 12582912
定义了TCP接受缓存的最小值、默认值、较大值net.ipv4.tcp_wmem = 10240 87380 12582912
定义TCP发送缓存的最小值、默认值、较大值net.core.netdev_max_backlog = 8096
当网卡接收数据包的速度大于内核处理速度时,会有一个列队保存这些数据包。这个参数表示该列队的较大值
net.core.rmem_default = 6291456
表示内核套接字接受缓存区默认大小net.core.wmem_default = 6291456
表示内核套接字发送缓存区默认大小net.core.rmem_max = 12582912
表示内核套接字接受缓存区较大大小net.core.wmem_max = 12582912
表示内核套接字发送缓存区较大大小
注意:以上的四个参数,需要根据业务逻辑和实际的硬件成本来综合考虑net.ipv4.tcp_syncookies = 1
与性能无关。用于解决TCP的SYN攻击net.ipv4.tcp_max_syn_backlog = 8192
这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度,默认1024,将其设置的大一些可使出现Nginx繁忙来不及accept新连接时,Linux不至于丢失客户端发起的链接请求net.ipv4.tcp_tw_recycle = 1
这个参数用于设置启用timewait快速回收net.core.somaxconn=262114
选项默认值是128,这个参数用于调节系统同时发起的TCP连接数,在高并发的请求中,默认的值可能会导致链接超时或者重传,因此需要结合高并发请求数来调节此值。net.ipv4.tcp_max_orphans=262114
选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS攻击,不用过分依靠这个限制甚至认为的减小这个值,更多的情况是增加这个值
