静态资源web服务
Nginx作为保存静态资源的web服务,对静态资源直接做出响应。减少后端服务器的负载压力。
基础配置
配置实践
# 先把上一节的配置备份下来
cd /etc/nginx/conf.d
mv auth_basic.conf auth_basic.conf.bak
# 从备份目录恢复一个初始配置并改名
cp /opt/backup/default.conf static.conf
# 修改配置
vi static.conf# 配置如下
server {
...
# 开启sendfile,提高网络包的传输效率
sendfile on;
# 配置图片资源的路径
location ~ .*\.(jpg|gif|png)$ {
root /opt/app/code/images;
}
# 配置txt|xml资源的路径
location ~ .*\.(txt|xml)$ {
root /opt/app/code/doc;
}
# 配置html网页资源路径
location ~ .*\.(html|htm)$ {
root /opt/app/code;
}
}# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 重载配置
systemctl reload nginx.service# 我们准备了一个图片资源
[root@centos7 conf.d]# cd /opt/app/code/images
[root@centos7 images]# ls
react.jpg验证结果
开启压缩
开启压缩,可以加快资源响应速度,同时节省网络带宽资源。
配置实践
cd /etc/nginx/conf.d
# 修改配置
vi static.conf# 配置如下
server {
...
#开启sendfile,提高网络包的传输效率
sendfile on;
#配置图片资源的路径
location ~ .*\.(jpg|gif|png)$ {
#开启压缩
gzip on;
gzip_http_version 1.1;
gzip_comp_level 2;
gzip_types image/jpeg image/gif image/png;
root /opt/app/code/images;
}
#配置txt|xml资源的路径
location ~ .*\.(txt|xml)$ {
#开启压缩
gzip on;
gzip_http_version 1.1;
gzip_comp_level 1;
gzip_types text/plain application/xml;
root /opt/app/code/doc;
}
# 配置html网页资源路径
location ~ .*\.(html|htm)$ {
root /opt/app/code;
}
}# 验证配置,先不重载配置
nginx -tc /etc/nginx/nginx.conf相比图片,用文件来演示压缩,压缩效果会更好:
cd /opt/app/code/doc
# 直接把nginx访问日志拷贝到静态资源目录
cp /var/log/nginx/access.log access.txt
chmod 777 access.txt在重载配置之前,我们先访问一次http://39.104.93.171/access.txt
# access.log输出如下:
39.104.93.171 115.198.157.60 - admin [03/Feb/2018:21:51:23 +0800] "GET /access.txt HTTP/1.1" 200 20626 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" "-"可以看到传输内容大小是20626。
# 然后我们重载配置
systemctl reload nginx.service浏览器清空缓存(避免304影响)后再次访问http://39.104.93.171/access.txt
# access.log输出如下:
39.104.93.171 115.198.157.60 - admin [03/Feb/2018:21:58:56 +0800] "GET /access.txt HTTP/1.1" 200 1895 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" "-"可以看到传输数据大小已经被压缩到只有1895了。
跨域访问
浏览器基于安全考虑,采用同源策略,限制了跨域访问。然而企业内部站点之间通常会有跨域访问的需求。尤其是现在前后端分离的方式,前端采用诸如React或Vue等MVVM框架开发纯Ajax的SPA应用时,页面间的路由是前端控制,前端同学往往要求相关服务器开放跨域访问。
我准备了另外一台服务器:39.104.116.91,有如下页面,通过ajax跨域请求本nginx服务器的html资源:
<!DOCTYPE HTML>
<html lang="zh-CN">
<head>
<title>测试ajax跨域访问</title>
<meta charset="UTF-8"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge, chrome=1"/>
<script src="http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js"></script>
<script>
$(document).ready(function(){
$.ajax({
type: "GET",
url: "http://39.104.93.171/someone.html",
success: function(data) {
alert("跨域访问成功!");
},
error: function(data) {
alert("跨域访问失败!");
}
});
});
</script>
</head>
<body>测试跨域访问</body>
</html>那么,我们要在当前nginx服务器上,配置允许39.104.116.91的跨域访问。
配置参考
cd /etc/nginx/conf.d
# 修改配置
vi static.conf# 配置如下
server {
...
#开启sendfile,提高网络包的传输效率
sendfile on;
#配置图片资源的路径
location ~ .*\.(jpg|gif|png)$ {
#开启压缩
gzip on;
gzip_http_version 1.1;
gzip_comp_level 2;
gzip_types image/jpeg image/gif image/png;
root /opt/app/code/images;
}
#配置txt|xml资源的路径
location ~ .*\.(txt|xml)$ {
#开启压缩
gzip on;
gzip_http_version 1.1;
gzip_comp_level 1;
gzip_types text/plain application/xml;
root /opt/app/code/doc;
}
# 配置html网页资源路径
location ~ .*\.(html|htm)$ {
#允许http://39.104.116.91跨域访问
add_header Access-Control-Allow-Origin http://39.104.116.91;
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
root /opt/app/code;
}
}# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 重载配置
systemctl reload nginx.service防盗链
防盗链,简单来说就是你可以直接访问该资源,但是不能将我的资源链接放到你自己的服务器上让别人访问,尤其是图片或视频这种比较大的文件,容易导致服务器响应很慢,并且影响带宽。
配置实践
cd /etc/nginx/conf.d
# 修改配置
vi static.conf# 配置如下
server {
...
#开启sendfile,提高网络包的传输效率
sendfile on;
#配置图片资源的路径
location ~ .*\.(jpg|gif|png)$ {
#开启压缩
gzip on;
gzip_http_version 1.1;
gzip_comp_level 2;
gzip_types image/jpeg image/gif image/png;
# 防盗链
valid_referers none blocked *.zhutx.com server_names ~\.google\. ~\.baidu\.;
if ($invalid_referer) {
return 403;
}
root /opt/app/code/images;
}
...
}valid_referers指定了合法的来源'referer', 他决定了内置变量$invalid_referer的值。
valid_referers语法
valid_referers none | blocked | server_names | string ...;| 参数 | 说明 |
|---|---|
| none | “Referer” 来源头部为空的情况 |
| blocked | “Referer”来源头部不为空,但是里面的值被代理或者防火墙删除了,这些值都不以http://或者https://开头 |
| server_names | “Referer”来源头部包含当前的server_names(当前域名) |
| arbitrary string | 任意字符串,定义服务器名或者可选的URI前缀。主机名可以使用*开头或者结尾,在检测来源头部这个过程中,来源域名中的主机端口将会被忽略掉 |
| regular expression | 正则表达式 |
因此,我们的防盗链配置,在以下情况下可以合法访问图片:
- 直接在浏览器输入你的图片地址。符合none这个规则;
- 来自*.zhutx.com的访问;
- 来自谷歌和百度的访问(SEO优化);
如果不合法,那么$invalid_referer等于1,会在if语句中返回一个403给用户。
网页缓存
配置实践
cd /etc/nginx/conf.d
# 修改配置
vi static.conf# 配置如下
server {
...
location ~ .*\.(html|htm)$ {
# 协商客户端,应答时维护Cache-Control和Expires头信息
expires 24h;
add_header Access-Control-Allow-Origin http://39.104.116.91;
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE,OPTIONS;
root /opt/app/code;
}
...
}代理服务
正向代理
正向代理即客户端代理。客户端通过主动设置代理服务,从而将对目标的访问委托给有权访问的代理服务器去访问。翻墙就是这种场景。
Nginx可以做正向代理服务器
配置参考
# 先将上节内容备份下来
cd /etc/nginx/conf.d
mv static.conf static.conf.bak
# 从备份目录恢复初始配置并改名
cp /opt/backup/default.conf zx_proxy.conf
# 修改配置
vi zx_proxy.conf# 配置如下
server {
...
# 可能会涉及到DNS域名解析
resolver 8.8.8.8;
location / {
# 原封不动的让自己转发客户端的请求
proxy_pass http://$http_host$request_uri;
}
}# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 重载配置
systemctl reload nginx.service验证结果
我的chrome浏览器,安装了SwitchySharp插件,配置Nginx代理如下:
接下来我访问了http://www.ttlsa.com/
访问正常,观察Nginx的access.log的输出日志:
www.ttlsa.com 115.198.157.60 - - [04/Feb/2018:11:13:40 +0800] "GET http://www.ttlsa.com/ HTTP/1.1" 200 18758 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" "-"可见,我们对目标网站的访问,已经由Nginx代理了。
反向代理
反向代理即服务端代理。对客户端隐藏真实服务器地址。
配置参考
# 先把之前的配置备份下来
cd /etc/nginx/conf.d
mv zx_proxy.conf zx_proxy.conf.bak
# 从备份目录恢复一个原始配置并改名
cp /opt/backup/default.conf fx_proxy.conf
# 编辑配置
vi fx_proxy.conf# 配置如下
#我们增加这个server,端口8080,充当演示Real Server
server {
listen 8080;
server_name localhost;
location / {
root /opt/app/code;
}
}
server {
location / {
#把请求代理到本机8080端口
proxy_pass http://127.0.0.1:8080;
#引入代理相关通用配置
include proxy_params;
}
}# 其他代理通用配置独立出去,方便复用
vi /etc/nginx/proxy_params# default就可以了。除非返回301的场景,可能需要改写
proxy_redirect defalut;
#配置header信息,让Real Server了解实际客户端信息
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
#一些代理超时设置
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
#代理缓冲区设置
proxy_buffer_size 32k;
proxy_buffering on;
proxy_buffers 4 128k;
proxy_busy_buffers_size 256k;
proxy_max_temp_file_size 256k;# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 由于这次增加了一个server端口要启动,因此重启nginx服务
systemctl restart nginx.service# 验证8080端口已启动
netstat -lnp | grep 8080# 显示如下
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 22091/nginx: master验证结果
# 创建反向代理结果演示页面
cd /opt/app/code
vi test_fx_proxy.conf<!DOCTYPE HTML>
<html lang="zh-CN">
<head>
<title>反向代理测试</title>
<meta charset="UTF-8"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge, chrome=1"/>
</head>
<body>反向代理访问成功了</body>
</html>然后访问:
以下是本次访问的access.log输出:
39.104.93.171 127.0.0.1 - - [04/Feb/2018:11:37:12 +0800] "GET /test_fx_proxy.html HTTP/1.0" 200 235 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" "-"
39.104.93.171 115.198.157.60 - - [04/Feb/2018:11:37:12 +0800] "GET /test_fx_proxy.html HTTP/1.1" 200 235 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36" "-"可以看到2次请求,先是80端口的server收到用户请求,经反向代理后,Real Server收到了这个请求。
代理WebSocket的配置
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
upstream websocket {
server 127.0.0.1:8010;
}
server {
listen 8020;
access_log /var/log/nginx/test_websocket.access.log main;
location / {
proxy_pass http://websocket;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
}
}负载均衡服务
负载均衡技术可让多个后端服务器共同分担请求压力,解决大量并发访问服务问题。
参考配置
# 先备份反向代理配置
cd /etc/nginx/conf.d
mv fx_proxy.conf fx_proxy.conf.bak
# 从备份目录恢复一个初始配置并改名
cp /opt/backup/default.conf load_balance.conf
# 修改配置
vi load_balance.conf#配置如下
server{
listen 8001;
server_name localhost;
location / {
root /opt/app/code/server_8001;
}
}
server{
listen 8002;
server_name localhost;
location / {
root /opt/app/code/server_8002;
}
}
server{
listen 8003;
server_name localhost;
location / {
root /opt/app/code/server_8003;
}
}
server{
listen 8004;
server_name localhost;
location / {
root /opt/app/code/server_8004;
}
}
upstream backend {
server localhost:8001;
server localhost:8002;
server localhost:8003 down;
server localhost:8004 backup;
}
server {
...
location / {
# 代理到upstream组
proxy_pass http://backend;
include proxy_params;
}
}# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 重载服务
systemctl reload nginx.service# 可以看到4个端口都已就绪
[root@centos7 conf.d]# netstat -lnp | grep 8001
tcp 0 0 0.0.0.0:8001 0.0.0.0:* LISTEN 22091/nginx: master
[root@centos7 conf.d]# netstat -lnp | grep 8002
tcp 0 0 0.0.0.0:8002 0.0.0.0:* LISTEN 22091/nginx: master
[root@centos7 conf.d]# netstat -lnp | grep 8003
tcp 0 0 0.0.0.0:8003 0.0.0.0:* LISTEN 22091/nginx: master
[root@centos7 conf.d]# netstat -lnp | grep 8004
tcp 0 0 0.0.0.0:8004 0.0.0.0:* LISTEN 22091/nginx: master接下来我们按照4个server的配置,创建各自的测试结果页面:
cd /opt/app/code
mkdir server_8001 server_8002 server_8003 server_8004cd server_8001
vi test_load_balance.html<!DOCTYPE HTML>
<html lang="zh-CN">
<head>
<title>负载均衡测试页</title>
<meta charset="UTF-8"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge, chrome=1"/>
</head>
<body>my port is 8001</body>
</html>同样的创建其他3个test_load_balance.html,只是显示port不同。
验证结果
我们尝试多次请求http://39.104.93.171/test_loa...
结果始终处于下面两个页面之间变换:
我们DROP掉8001和8002
iptables -I INPUT -p tcp --dport 8001 -j DROP
iptables -I INPUT -p tcp --dport 8002 -j DROP再尝试多次请求http://39.104.93.171/test_loa...
这回页面始终显示:
upstream的server参数
| 参数 | 说明 |
|---|---|
| down | 不参与负载均衡 |
| backup | 预留的备份服务器。当没有其他节点提供服务时,它才提供服务 |
| max_fails | 允许请求失败的次数 |
| fail_timeout | 经过max_fails失败后,服务暂停的时间 |
| max_conns | 限制最大接收的连接数 |
上面演示时,8003是指定了down,实验结果也验证了它没参与负载均衡。8004指定了backup,我们用iptables命令DROP了8001和8002后,已没有其他节点对外提供服务了,因此backup开始接收请求。
其他参数可以自行尝试。
负载均衡调度算法
| 方式 | 说明 |
|---|---|
| 轮询 | 按顺序逐一分配给不同的后端服务器 |
| 加权轮询 | weight值越大,分配到的几率越大 |
| ip_hash | 同一IP固定访问同一个后端服务器 |
| least_conn | 哪个连接数少就发哪个机器 |
| url_hash | 按url参数的hash结果来分配 |
| hash关键数值 | hash自定义的key |
# 负载均衡算法-加权轮询
upstream backend {
server localhost:8001 weight=5;
server localhost:8002;
server localhost:8003 down;
server localhost:8004 backup;
}# 负载均衡算法-最少连接数
upstream backend {
least_conn;
server localhost:8001;
server localhost:8002;
server localhost:8003 down;
server localhost:8004;
}# 负载均衡算法-IP HASH
upstream backend {
ip_hash;
server localhost:8001;
server localhost:8002;
server localhost:8003 down;
server localhost:8004;
}# 负载均衡算法-URL HASH
upstream backend {
url_hash;
server localhost:8001;
server localhost:8002;
server localhost:8003 down;
server localhost:8004;
}当配置负载均衡算法为IP HASH或URL HASH时,便不再接受backup的server,不然无法通过配置校验。不过由于backup违背了算法本身,所以这也在情理之中。
缓存服务
我们大致可以把缓存分为 客户端缓存、代理缓存和服务端缓存3类。
Nginx作为缓存服务,可以减少后端服务器的压力,当再次去访问之前访问过的数据时,在nginx前端就能拿到。是代理缓存。
参考配置
# 备份之前的配置
cd /etc/nginx/conf.d
mv load_balance.conf load_balance.conf.bak
# 从备份目录初始一份配置并改名
cp /opt/backup/default.conf cache.conf
# 修改配置
vi cache.conf...
#定义用于存放缓存文件的空间
#/opt/app/cache 缓存文件存放目录
#keys_zone=my_cache:10m,缓存空间命名为my_cache,10m大概可以存8万个左右的缓存key了
#inactive=60m,超60分钟没有访问的缓存自动清理
proxy_cache_path /opt/app/cache levels=1:2 keys_zone=my_cache:10m max_size=10g inactive=60m use_temp_path=off;
server {
...
if ($request_uri ~ ^/(login|register|password)) {
set $cookie_nocache 1;
}
location / {
# 缓存
proxy_cache my_cache;
# 基于代理
proxy_pass http://backend;
# 缓存过期周期配置,返回200 304状态的,缓存12小时过期
proxy_cache_valid 200 304 12h;
# 其他的缓存10分钟过期
proxy_cache_valid any 10m;
# 缓存key
#proxy_cache_key $scheme$proxy_host$request_uri;
proxy_cache_key $host$uri$is_args$args;
#配置不缓存的请求
proxy_no_cache $cookie_nocache $arg_nocache $arg_comment;
proxy_no_cache $http_pragma $http_authorization;
# 增加一个头信息给客户端,表示缓存是否命中
add_header Nginx-Cache "$upstream_cache_status";
# 后端服务器某一台返回不正常,则代理到下一台
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
include proxy_params;
}
}清理缓存
方式一:rm -rf 清空缓存目录。会清空所有缓存
方式二:第三方扩展模块ngx_cache_purge,可以清理指定缓存
缓存命中分析
在上面缓存的配置中,我们添加了Nginx-Cache这个响应头部信息
add_header Nginx-Cache "$upstream_cache_status";关于$upstream_cache_status,有如下几个值:
| 状态 | 意义 |
|---|---|
| MISS | 缓存未命中,请求被传送到后台处理 |
| HIT | 缓存命中 |
| EXPIRED | 缓存过期,请求被传送到后台处理 |
| UPDATING | 正在更新缓存,将使用旧的应答 |
| STALE | 后端得到过期的应答 |
所以,我们可以分析nginx访问日志,hit次数/总请求次数就是缓存命中率
# 修改log_format,输出$upstream_cache_status
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for" '
'"$upstream_cache_status"';# 用awk命令统计
awk '{if($NF=="\"HIT\""){hit++}}END{printf "%.2f",hit/NR}' /var/log/nginx/access.log大文件分割请求
ngx_http_slice_module模块是一个分割请求转换成子请求,每个返回一定范围内响应的滤波器。该过滤器提供了更有效的大响应缓存。
该模块不是默认生成的,它应该使用--with-http_slice_module配置参数启用。
如果你按Nginx笔记(一)Nginx安装的方式安装Nginx,那么该模块默认已经编译进来。可以用nginx -V命令验证。
配置示例
#定义用于存放缓存文件的空间
#/opt/app/cache 缓存文件存放目录
#keys_zone=my_cache:10m,缓存空间命名为my_cache,10m大概可以存8万个左右的缓存key了
#inactive=60m,超60分钟没有访问的缓存自动清理
proxy_cache_path /opt/app/cache levels=1:2 keys_zone=my_cache:10m max_size=10g inactive=60m use_temp_path=off;
location ~ \.apk$ {
slice 5m;
proxy_cache my_cache;
proxy_cache_key $uri$is_args$args$slice_range;
proxy_set_header Range $slice_range;
proxy_cache_valid 200 206 1h;
proxy_pass http://localhost:8999;
}在这个例子中,响应被分割成5兆字节的可缓存切片。
安全链接校验
ngx_http_secure_link_module用于检查请求链接的真伪,保护资源免受未经授权的访问
该模块不是默认生成的,它应该使用--with-http_secure_link_module配置参数启用。
如果你按Nginx笔记(一)Nginx安装的方式安装Nginx,那么该模块默认已经编译进来。可以用nginx -V命令验证。
实际应用中,如需要对下载链接进行合法性校验,过期校验。
我们用shell脚本模拟服务端生成一个下载链接:
vim md5url.sh输入以下内容
#!/bin/sh
#
download_file="/download/file.img"
expires=$(date -d "2019-02-12 00:00:00" +%s)
secret="123456"
# 我们用过期时间+下载url,加上密钥,生成md5。后面nginx配置的md5校验规则亦如此
md5=$(echo -n "${expires}${download_file} ${secret}"|openssl md5 -binary | openssl base64 | tr +/ -_ | tr -d =)
servername="116.62.156.235"
echo "${servername}${download_file}?md5=${md5}&expires=${expires}"执行sh md5url.sh,生成链接如下:
116.62.156.235/download/file.img?md5=kD4hdQLA-psd_QzPSzyrdA&expires=1549900800
我们在/opt/app/code下事先放一个下载文件/download/file.img
nginx配置示例
server {
listen 80;
server_name localhost;
root /opt/app/code;
location / {
# 提取请求参数md5和expires
secure_link $arg_md5,$arg_expires;
# secure_link_md5定义的表达式MD5哈希值与请求参数中提取的md5值比较
secure_link_md5 "$secure_link_expires$uri 123456";
# 如果md5不相同,则该$secure_link变量设置为空字符串
if ($secure_link = "") {
return 403;
}
# 如果md5相同,则检查是否过期。如果已过期,则该$secure_link变量设置为0
if ($secure_link = "0") {
return 410;
}
}
}# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 重载服务
systemctl reload nginx.service访问生成的链接,便成功下载文件。当修改请求md5值,或者过期访问,便会显示403页面
geoip
基于IP地址匹配MaxMind GeoIP二进制文件,读取IP所在地域信息,包括国家以及城市信息
当需要为国内与国外用户提供不同的访问界面,如国内用户代理到简体中文的地址,国外用户代理到英文版地址;
再比如国内用户,需要基于用户所在城市提供本地化的服务,如访问58同城,网页默认就处于这个城市版面;
这些都可以通过ngx_http_geoip_module模块来实现。
该模块不是默认生成的,它应该使用--with-http_geoip_module配置参数启用
# 安装nginx的geoip模块
yum install nginx-module-geoip
# 查看已安装的库
cd /etc/nginx/modules
ls
ngx_http_geoip_module-debug.so ngx_http_geoip_module.so ngx_stream_geoip_module-debug.so ngx_stream_geoip_module.so
cd ..
# 非默认编译进来的,所以load进来vim nginx.confload_module "modules/ngx_http_geoip_module.so";
load_module "modules/ngx_stream_geoip_module.so";mkdir geoip
cd geoip
下载地域信息
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gunzip GeoIP.dat.gz
gunzip GeoLiteCity.dat.gz
cd ../conf.dnginx配置示例
vim test_geo.confgeoip_country /etc/nginx/geoip/GeoIP.dat;
geoip_city /etc/nginx/geoip/GeoLiteCity.dat;
server {
listen 80;
server_name localhost;
location / {
if ($geoip_country_code != CN) {
return 403;
}
root /usr/share/nginx/html;
index index.html index.htm;
}
location /myip {
default_type text/plain;
return 200 "$remote_addr $geoip_country_name $geoip_country_code $geoip_city";
}
}# 校验配置
nginx -tc /etc/nginx/nginx.conf
# 重载服务
systemctl reload nginx.service当访问/myip时,我们简单显示了下本地出口ip以及国家名称,国家编码,以及城市编号。
HTTPS服务
动静分离
分离资源,减少不必要的请求消耗,减少请求延时。
参考配置
# 备份之前的配置
cd /etc/nginx/conf.d
mv cache.conf cache.conf.bak
# 从备份目录初始一份配置并改名
cp /opt/backup/default.conf dynamic_static.conf
# 修改配置
vi dynamic_static.conf# 配置如下
upstream java_api {
#事先在本机启动了tomcat负责接收jsp请求
server 127.0.0.1:8080;
}
server {
...
# 根目录也可以配置在location外面
root /opt/app/code;
# 动态的请求代理给backend
location ~ \.jsp$ {
proxy_pass http://java_api;
index index.html index.htm;
}
# 静态请求自己处理
location ~ \.(jpg|png|gif)$ {
expires 1h;
gzip on;
}
location / {
index index.html index.htm
}
}rewrite
以下场景都可以使用到Nginx的rewrite功能:
- URL重写以适配后端的接口设计;
- 网站升级时候,对于部分老用户继续提供老版本的服务;
- 简化前端url,方便SEO优化;
- 维护时挂维护页面;
- 伪静态,伪装真实url。
参考配置
vi /etc/nginx/conf.d/default.confserver {
...
root /opt/app/code;
location ~ ^/break {
# 匹配/break,寻到root目录下的/test目录去,如果没有找到则404
rewrite ^/break /test/ break;
}
location ~ ^/last {
# 匹配/last,内转/test/请求
rewrite ^/last /test/ last;
# 302临时重定向,让客户端浏览器重新访问/test
#rewrite ^/last /test/ redirect;
}
location ~ ^/imooc {
# 临时性重定向 302,
#rewrite ^/imooc http://www.imooc.com/ permanent;
# 永久性重定向 301,下次将不再经过nginx而直接跳转目标
rewrite ^/imooc http://www.imooc.com/ redirect;
}
location /test/ {
default_type application/json;
return 200 '{"status":"success"}'
}
location / {
rewrite ^/course-(\d+)-(\d+)-(\d+)\.html$ /course/$1/$2/course_$3.html break;
# 以Chrome浏览器访问/nginx路径,跳转到慕课网nginx地址
#if ($http_user_agent ~* Chrome) {
# rewrite ^/nginx http://conding.imooc.com/class/121.html break;
#}
# 不存在该文件,则重定向到百度
#if (!-f $request_filename) {
# rewrite ^/(.*)$ http://www.baidu.com/$1 redirect;
#}
index index.html index.htm
}
}rewrite规则优先级
- 执行server块的rewrite命令
- 执行location匹配
- 执行选定的location中的rewrite
优雅的rewrite规则规则
server {
listen 80;
server_name www.nginx.org nginx.org;
if ($http_host = nginx.org) {
rewrite (.*) http://www.nginx.org$1;
}
}可以改成:
server {
listen 80;
server_name nginx.org;
rewrite ^ http://www.nginx.org$request_uri?;
}
server {
listen 80;
server_name www.nginx.org;
}
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。