web中間件之nginx

web中間件之nginx

https://www.jianshu.com/p/d8bd75c0fb1b   對nginx正向代理和反向代理理解特別好的一篇文章。

一、nginx 

nginx缺點，負載均衡時，nginx和負載的tomcat集群，session不共享。

apache+tomcat可以實現session共享。

nginx五種負載均衡模式。

 

 

配置文件一：

uer nginx nginx ;  #Nginx用戶及組：用戶 組。window下不指定
worker_processes 8; #工作進程：數目。根據硬件調整，通常等於CPU數量。
#error_log  logs/error.log  notice;  
error_log  logs/error.log  info;  
pid logs/nginx.pid;
worker_rlimit_nofile 204800; #指定進程可以打開的最大描述符：數目。 -n）與nginx進程數相除，但是nginx分配請求並不是那么均勻，所以最好與ulimit -n 的值保持一致。現在在Linux 2.6內核下開啟文件打開數為65535，worker_rlimit_nofile就相應應該填寫65535。這是因為nginx調度時分配請求到進程並不是那么的均衡，所以假如填寫10240，總並發量達到3-4萬時就有進程可能超過10240了，這時會返回502錯誤。
 
events
{
use epoll; #使用epoll的I/O 模型。linux建議epoll，FreeBSD建議采用kqueue，window下不指定。
/* 
補充說明:
與apache相類，nginx針對不同的操作系統，有不同的事件模型
A）標准事件模型
Select、poll屬於標准事件模型，如果當前系統不存在更有效的方法，nginx會選擇select或poll
B）高效事件模型
Kqueue：使用於FreeBSD 4.1+, OpenBSD 2.9+, NetBSD 2.0 和 MacOS X.使用雙處理器的MacOS X系統使用kqueue可能會造成內核崩潰。
Epoll：使用於Linux內核2.6版本及以后的系統。
Eventport：使用於Solaris 10。 為了防止出現內核崩潰的問題， 有必要安裝安全補丁。
*/
worker_connections 204800; #沒個工作進程的最大連接數量。根據硬件調整，和前面工作進程配合起來用，盡量大，但是別把cpu跑到100%就行。每個進程允許的最多連接數，理論上每台nginx服務器的最大連接數為。worker_processes*worker_connections
keepalive_timeout 60; #keepalive超時時間。
client_header_buffer_size 4k; #客戶端請求頭部的緩沖區大小。這個可以根據你的系統分頁大小來設置，一般一個請求頭的大小不會超過1k，不過由於一般系統分頁都要大於1k，所以這里設置為分頁大小。分頁大小可以用命令getconf PAGESIZE 取得。但也有client_header_buffer_size超過4k的情況，但是client_header_buffer_size該值必須設置為“系統分頁大小”的整倍數。
open_file_cache max=65535 inactive=60s; #這個將為打開文件指定緩存，默認是沒有啟用的，max指定緩存數量，建議和打開文件數一致，inactive是指經過多長時間文件沒被請求后刪除緩存。
open_file_cache_valid 80s; #這個是指多長時間檢查一次緩存的有效信息。
open_file_cache_min_uses 1; #open_file_cache指令中的inactive參數時間內文件的最少使用次數，如果超過這個數字，文件描述符一直是在緩存中打開的，如上例，如果有一個文件在inactive時間內一次沒被使用，它將被移除。
}


##負載均衡配置 
upstream bakend {
server 127.0.0.1:8027;
server 127.0.0.1:8028;
server 127.0.0.1:8029;
hash $request_uri;
}
/*
nginx的upstream目前支持5種方式的分配
1、輪詢（默認）
每個請求按時間順序逐一分配到不同的后端服務器，如果后端服務器down掉，能自動剔除。
2、weight
指定輪詢幾率，weight和訪問比率成正比，用於后端服務器性能不均的情況。
例如：
upstream bakend {
server 192.168.0.14 weight=80;
server 192.168.0.15 weight=10;
}
3、ip_hash
每個請求按訪問ip的hash結果分配，這樣每個訪客固定訪問一個后端服務器，可以解決session的問題。
例如：
upstream bakend {
ip_hash;
server 192.168.0.14:88;
server 192.168.0.15:80;
}
4、fair（第三方）
按后端服務器的響應時間來分配請求，響應時間短的優先分配。
upstream backend {
server server1;
server server2;
fair;
}
5、url_hash（第三方）
按訪問url的hash結果來分配請求，使每個url定向到同一個后端服務器，后端服務器為緩存時比較有效。
例：在upstream中加入hash語句，server語句中不能寫入weight等其他的參數，hash_method是使用的hash算法
upstream backend {
server squid1:3128;
server squid2:3128;
hash $request_url;
hash_method crc32;
}

upstream bakend{#定義負載均衡設備的Ip及設備狀態}{
ip_hash;
server 127.0.0.1:9090 down;
server 127.0.0.1:8080 weight=2;
server 127.0.0.1:6060;max_fails：10 fail_timeout:10
server 127.0.0.1:7070 backup;
}
在需要使用負載均衡的server中增加
proxy_pass http://bakend/;

每個設備的狀態設置為:
1.down表示單前的server暫時不參與負載
2.weight為weight越大，負載的權重就越大。
3.max_fails：允許請求失敗的次數默認為1.當超過最大次數時，返回proxy_next_upstream模塊定義的錯誤
4.fail_timeout:max_fails次失敗后，暫停的時間。
5.backup： 其它所有的非backup機器down或者忙的時候，請求backup機器。所以這台機器壓力會最輕。
nginx支持同時設置多組的負載均衡，用來給不用的server來使用。

client_body_in_file_only設置為On 可以講client post過來的數據記錄到文件中用來做debug
client_body_temp_path設置記錄文件的目錄 可以設置最多3層目錄
location對URL進行匹配.可以進行重定向或者進行新的代理 負載均衡  */
 
##設定http服務器，利用它的反向代理功能提供負載均衡支持

http

{
server_tokens off; #並不會讓nginx執行的速度更快，但它可以關閉在錯誤頁面中的nginx版本數字，這樣對於安全性是有好處的。
sendfile on;      #可以讓sendfile()發揮作用。sendfile()可以在磁盤和TCP socket之間互相拷貝數據(或任意兩個文件描述符)。Pre-sendfile是傳送數據之前在用戶空間申請數據緩沖區。之后用read()將數據從 文件拷貝到這個緩沖區，write()將緩沖區數據寫入網絡。sendfile()是立即將數據從磁盤讀到OS緩存。因為這種拷貝是在內核完成 的，sendfile()要比組合read()和write()以及打開關閉丟棄緩沖更加有效(更多有關於sendfile)。
tcp_nopush on;   # 告訴nginx在一個數據包里發送所有頭文件，而不一個接一個的發送。
tcp_nodelay on;   # 告訴nginx不要緩存數據，而是一段一段的發送--當需要及時發送數據時，就應該給應用設置這個屬性，這樣發送一小塊數據信息時就不能立即得到返回值。

keepalive_timeout 10;     #給客戶端分配keep-alive鏈接超時時間。服務器將在這個超時時間過后關閉鏈接。我們將它設置低些可以讓ngnix持續工作的時間更長。
client_header_timeout 10;  # 設置請求頭和請求體(各自)的超時時間。我們也可以把這個設置低些。
client_body_timeout 10; 
reset_timedout_connection on; #告訴nginx關閉不響應的客戶端連接。這將會釋放那個客戶端所占有的內存空間
send_timeout 10;        #指定客戶端的響應超時時間。這個設置不會用於整個轉發器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數據，nginx就會關閉連接。

gzip on;              #是告訴nginx采用gzip壓縮的形式發送數據。這將會減少我們發送的數據量。
gzip_disable "msie6"; #為指定的客戶端禁用gzip功能。我們設置成IE6或者更低版本以使我們的方案能夠廣泛兼容
# gzip_static on;     # 告訴nginx在壓縮資源之前，先查找是否有預先gzip處理過的資源。這要求你預先壓縮你的文件，從而允許你使用最高壓縮比，這樣nginx就不用再壓縮這些文件了。
gzip_proxied any;     #允許或者禁止壓縮基於請求和響應的響應流。我們設置為any，意味着將會壓縮所有的請求。
gzip_min_length 1000; #設置對數據啟用壓縮的最少字節數。如果一個請求小於1000字節，我們最好不要壓縮它，因為壓縮這些小的數據會降低處理此請求的所有進程的速度。
gzip_comp_level 4;    #設置數據的壓縮等級。這個等級可以是1-9之間的任意數值，9是最慢但是壓縮比最大的。我們設置為4，這是一個比較折中的設置。
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript; #設置需要壓縮的數據格式


include mime.types; #設定mime類型,類型由mime.type文件定義

default_type application/octet-stream;
 
log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '

'"$http_user_agent" "$http_x_forwarded_for"';

log_format log404 '$status [$time_local] $remote_addr $host$request_uri $sent_http_location';

/*
#日志格式設置。
$remote_addr與$http_x_forwarded_for用以記錄客戶端的ip地址；
$remote_user：用來記錄客戶端用戶名稱；
$time_local： 用來記錄訪問時間與時區；
$request： 用來記錄請求的url與http協議；
$status： 用來記錄請求狀態；成功是200，
$body_bytes_sent ：記錄發送給客戶端文件主體內容大小；
$http_referer：用來記錄從那個頁面鏈接訪問過來的；
$http_user_agent：記錄客戶瀏覽器的相關信息；
通常web服務器放在反向代理的后面，這樣就不能獲取到客戶的IP地址了，通過$remote_add拿到的IP地址是反向代理服務器的iP地址。反向代理服務器在轉發請求的http頭信息中，可以增加x_forwarded_for信息，用以記錄原有客戶端的IP地址和原來客戶端的請求的服務器地址。
*/
access_log  logs/host.access.log  main;
access_log  logs/host.access.404.log  log404; #用了log_format指令設置了日志格式之后，需要用access_log指令指定日志文件的存放路徑；

server_names_hash_bucket_size 128; #保存服務器名字的hash表是由指令server_names_hash_max_size 和server_names_hash_bucket_size所控制的。參數hash bucket size總是等於hash表的大小，並且是一路處理器緩存大小的倍數。在減少了在內存中的存取次數后，使在處理器中加速查找hash表鍵值成為可能。如果hash bucket size等於一路處理器緩存的大小，那么在查找鍵的時候，最壞的情況下在內存中查找的次數為2。第一次是確定存儲單元的地址，第二次是在存儲單元中查找鍵 值。因此，如果Nginx給出需要增大hash max size 或 hash bucket size的提示，那么首要的是增大前一個參數的大小.

client_header_buffer_size 4k;  #客戶端請求頭部的緩沖區大小。這個可以根據你的系統分頁大小來設置，一般一個請求的頭部大小不會超過1k，不過由於一般系統分頁都要大於1k，所以這里設置為分頁大小。分頁大小可以用命令getconf PAGESIZE取得。
  
large_client_header_buffers 8 128k;   #客戶請求頭緩沖大小。nginx默認會用client_header_buffer_size這個buffer來讀取header值，如果header過大，它會使用large_client_header_buffers來讀取。

open_file_cache max=102400 inactive=20s;  #這個指令指定緩存是否啟用。

client_max_body_size 300m;  #設定通過nginx上傳文件的大小

sendfile on;   #sendfile指令指定 nginx 是否調用sendfile 函數（zero copy 方式）來輸出文件，對於普通應用，必須設為on。如果用來進行下載等應用磁盤IO重負載應用，可設置為off，以平衡磁盤與網絡IO處理速度，降低系統uptime。
 
tcp_nopush on;   #此選項允許或禁止使用socke的TCP_CORK的選項，此選項僅在使用sendfile的時候使用
 
proxy_connect_timeout 90;   #后端服務器連接的超時時間_發起握手等候響應超時時間

proxy_read_timeout 180;   #連接成功后_等候后端服務器響應時間_其實已經進入后端的排隊之中等候處理（也可以說是后端服務器處理請求的時間）

proxy_send_timeout 180;  #后端服務器數據回傳時間_就是在規定時間之內后端服務器必須傳完所有的數據
 
proxy_buffer_size 256k;  #設置從被代理服務器讀取的第一部分應答的緩沖區大小，通常情況下這部分應答中包含一個小的應答頭，默認情況下這個值的大小為指令proxy_buffers中指定的一個緩沖區的大小，不過可以將其設置為更小

proxy_buffers 4 256k;  #設置用於讀取應答（來自被代理服務器）的緩沖區數目和大小，默認情況也為分頁大小，根據操作系統的不同可能是4k或者8k

proxy_busy_buffers_size 256k;

proxy_temp_file_write_size 256k;   #設置在寫入proxy_temp_path時數據的大小，預防一個工作進程在傳遞文件時阻塞太長
 
proxy_temp_path /data0/proxy_temp_dir; #proxy_temp_path和proxy_cache_path指定的路徑必須在同一分區

proxy_cache_path /data0/proxy_cache_dir levels=1:2 keys_zone=cache_one:200m inactive=1d max_size=30g;  #設置內存緩存空間大小為200MB，1天沒有被訪問的內容自動清除，硬盤緩存空間大小為30GB。
keepalive_timeout 120;keepalive超時時間。
 
tcp_nodelay on;

client_body_buffer_size 512k;   #如果把它設置為比較大的數值，例如256k，那么，無論使用firefox還是IE瀏覽器，來提交任意小於256k的圖片，都很正常。如果注釋該指令，使用默認的client_body_buffer_size設置，也就是操作系統頁面大小的兩倍，8k或者16k，問題就出現了。無論使用firefox4.0還是IE8.0，提交一個比較大，200k左右的圖片，都返回500 Internal Server Error錯誤
 
proxy_intercept_errors on;   #表示使nginx阻止HTTP應答代碼為400或者更高的應答。

 
##配置虛擬機
server
{
listen 80; #配置監聽端口

server_name image.***.com; #配置訪問域名
location ~* \.(mp3|exe)$ {對以“mp3或exe”結尾的地址進行負載均衡

proxy_pass http://img_relay$request_uri; #設置被代理服務器的端口或套接字，以及URL

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #以上三行，目的是將代理服務器收到的用戶的信息傳到真實服務器上

}

location /face {

if ($http_user_agent ~* "xnp") {

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

proxy_pass http://img_relay$request_uri;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

error_page 404 502 = @fetch;

}

location @fetch {

access_log /data/logs/face.log log404;

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

location /image {

if ($http_user_agent ~* "xnp") {

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

proxy_pass http://img_relay$request_uri;

proxy_set_header Host $host;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

error_page 404 502 = @fetch;

}

location @fetch {

access_log /data/logs/image.log log404;

rewrite ^(.*)$ http://211.151.188.190:8080/face.jpg redirect;

}

}

 #設定Nginx狀態訪問地址
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
#auth_basic_user_file conf/htpasswd;
}

}

配置文件二：

net.ipv4.tcp_max_tw_buckets = 6000 #timewait的數量，默認是180000。

net.ipv4.ip_local_port_range = 1024 65000 #允許系統打開的端口范圍。

net.ipv4.tcp_tw_recycle = 1 #啟用timewait快速回收。

net.ipv4.tcp_tw_reuse = 1 #開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連接。

net.ipv4.tcp_syncookies = 1 #開啟SYN Cookies，當出現SYN等待隊列溢出時，啟用cookies來處理。

net.core.somaxconn = 262144 #web應用中listen函數的backlog默認會給我們內核參數的net.core.somaxconn限制到128，而Nginx內核參數定義的NGX_LISTEN_BACKLOG默認為511，所以有必要調整這個值。

net.core.netdev_max_backlog = 262144 #每個網絡接口接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的最大數目。

net.ipv4.tcp_max_orphans = 262144 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字，孤兒連接將即刻被復位並打印出警告信息。這個限制僅僅是為了防止簡單的DoS攻擊，不能過分依靠它或者人為地減小這個值，更應該增加這個值(如果增加了內存之后)。

net.ipv4.tcp_max_syn_backlog = 262144 #記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對於有128M內存的系統而言，缺省值是1024，小內存的系統則是128。

net.ipv4.tcp_timestamps = 0 #時間戳可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“異常”的數據包。這里需要將其關掉。

net.ipv4.tcp_synack_retries = 1 #為了打開對端的連接，內核需要發送一個SYN並附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK包的數量。

net.ipv4.tcp_syn_retries = 1 #在內核放棄建立連接之前發送SYN包的數量。

net.ipv4.tcp_synack_retries = 1#為了打開對端的連接，內核需要發送一個SYN 並附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK 包的數量。

net.ipv4.tcp_fin_timeout = 1 #如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀態的時間。對端可以出錯並永遠不關閉連接，甚至意外當機。缺省值是60秒。2.2 內核的通常值是180秒，你可以按這個設置，但要記住的是，即使你的機器是一個輕載的WEB服務器，也有因為大量的死套接字而內存溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，因為它最多只能吃掉1.5K內存，但是它們的生存期長些。

net.ipv4.tcp_keepalive_time = 30 #當keepalive起用的時候，TCP發送keepalive消息的頻度。缺省是2小時。

net.core.somaxconn = 262144 #web 應用中listen 函數的backlog 默認會給我們內核參數的net.core.somaxconn限制到128，而nginx 定義的NGX_LISTEN_BACKLOG 默認為511，所以有必要調整這個值。

net.core.netdev_max_backlog = 262144 #每個網絡接口接收數據包的速率比內核處理這些包的速率快時，允許送到隊列的數據包的最大數目。

net.ipv4.tcp_max_orphans = 262144 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字，孤兒連接將即刻被復位並打印出警告信息。這個限制僅僅是為了防止簡單的DoS攻擊，不能過分依靠它或者人為地減小這個值，更應該增加這個值(如果增加了內存之后)。

net.ipv4.tcp_max_syn_backlog = 262144 #記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對於有128M內存的系統而言，缺省值是1024，小內存的系統則是128。