4. Nginx模块

Nginx官方模块

1.ngx_http_stub_status_module

http://nginx.org/en/docs/http...。

此模块可以查看nginx对数据包处理的基本信息

#启用方法
location /status {
  stub_status;
}

访问 /status，展示的数据如下

Active connections: 4 
server accepts handled requests
310840 310840 481035 
Reading: 0 Writing: 1 Waiting: 3 

2. ngx_http_random_index_module

http://nginx.org/en/docs/http...

此模块用于在目录下，随机地取用某个文件，作为默认主页。假如 /usr/share/nginx/html/random 目录下有 aaa.html、bbb.html、ccc.html 三个文件，则使用如下配置即可

location /random {
    root /usr/share/nginx/html;
    random_index on;
}

如下代码会随机返回 aaa、bbb、ccc 这三个html之一

curl http://127.0.0.1/random/

3. ngx_http_sub_module

http://nginx.org/en/docs/http...

用于替换掉响应内容中的指定字符串。

location / {
    sub_filter '<a href="https://www.baidu.com/'  '<a href="https://www.qq.com/';
    #如果文件中有多处需要替换，只替换第一处
    sub_filter_once on;
    #保留替换前，原始的最后修改时间
    sub_filter_last_modified on;
    #默认只替换 text/html 这一MIME类型
    sub_filter_types text/html;
}

4. ngx_http_limit_conn_module

http://nginx.org/en/docs/http...

我们可以把nginx的zone，理解成一个动态的数据库，1M的zone内存可以存储至少16000条记录，判断用户请求是否合法，就是不断查询当前IP在数据库中记录的数量是否超出了限制。

在如下的路由请求中，我们限制用户的并发连接数分别为5个和10个。

注意：并发是指同一时刻的请求量，与每秒的请求数量是有区别的。

http {
    limit_conn_zone $binary_remote_addr zone=addr_conn:10m;
    ...
    server {
        ...
        location / {
            limit_conn addr_conn 5;
             ...
        }
        location ~ \.php$ {
            limit_conn addr_conn 10;
            ...
        }
    }
}

为了测试代码效果，我们可以安装 httpd-tools 进行ab测试。
对于limit_conn 的测试，不管是内网测试，还是外网测试，都是可行的。

yum install httpd-tools
ab -n 20 -c 20 http://127.0.0.1/

执行 ab -n 20 -c 20 http://127.0.0.1/，总共20个连接，失败了15个，成功建立的连接数只有5个了

执行 ab -n 20 -c 20 http://127.0.0.1/index.php，总共20个连接，失败了10个，成功建立的连接数确实只有10个

经过以上测试，可以得出的结论就是：代码是不会骗人的

对于频率限制造成的 Failed requests ，我们在 nginx 的 error.log 中也能发现错误记录。如果错误日志过多，我们就需要排查一下访问量是否正常。如果正常的话，又需要考虑一下如何优化参数设置。

2017/07/31 11:41:37 [error] 24550#0: *580766 limiting connections by zone "addr_conn", client: 119.130.188.64, server: www.siguoya.name, request: "GET / HTTP/1.0", host: "www.siguoya.name"
2017/07/31 11:41:37 [error] 24550#0: *580767 limiting connections by zone "addr_conn", client: 119.130.188.64, server: www.siguoya.name, request: "GET / HTTP/1.0", host: "www.siguoya.name"

5.ngx_http_limit_req_module

http://nginx.org/en/docs/http...

ngx_http_limit_conn_module 用于限制并发连接数，而 ngx_http_limit_req_module 则用于限制并发请求数。实际业务场景中，通常使用 ngx_http_limit_req_module 会更多一些。

http {
    limit_req_zone $binary_remote_addr zone=addr_req:10m rate=1r/s;
    ...
    server {
        ...
        location / {
            limit_req zone=addr_req;
        }
    }
}

6.ngx_http_access_module

http://nginx.org/en/docs/http...

该模块可以通过限制 ip 来实现访问控制，但弊端在于我们有时无法获取到真实的IP，而且用户的IP也是可以动态变化的，另外还比较容易出现误杀的情况

可以通过以下方法来弥补：

• x_forwarded_for，但是并不可靠，存在被修改或者未传递的可能
• geo 模块
• 通过HTTP自定义变量来传递

location / {
    allow 192.168.1.0/24;
    deny  all;
}

7.ngx_http_auth_basic_module

http://nginx.org/en/docs/http...

该模块可以要求用户在访问特定页面的时候，必须输入正确的账号和密码才可以访问，从而实现一个比较初级的权限控制功能

location /auth_basic {
  auth_basic "custom comment for this auth_basic";
  auth_basic_user_file /usr/local/nginx/conf/.passwd;
}

关于 auth_basic_user_file 使用到的文件，我们可以使用 htpasswd 这个工具来实现

#新建一个授权文件
htpasswd -bc username password >> .passwd
#在已有的授权文件中新加一个用户
htpasswd -b username password >> .passwd

ngx_http_auth_basic_module 的缺陷如下：用户权限依赖于授权文件，容易造成企业有多个用户账号体系，运维麻烦。

解决方法：

• 结合 lua 实现高效认证
• 利用 nginx-auth-ldap 模块，和 ldap 打通

Nginx第三方模块

有兴趣的可以访问 https://www.nginx.com/resourc...，这里就不一一展开介绍了

专题阅读

• 1. Nginx的优点
• 2. Nginx的安装与开机自启
• 3. Nginx目录和配置语法
• 4. Nginx模块
• 5. Nginx静态资源处理
• 6. Nginx浏览器缓存原理
• 7. Nginx资源的跨域访问
• 8. Nginx资源的防盗链
• 9. Nginx代理
• 10. Nginx负载均衡
• 11. Nginx缓存
• 12. Nginx动静分离
• 13. Nginx Rewrite
• 14. Nginx Secure Link
• 15. Nginx Geo
• 16. Nginx HTTPS服务
• 17. Nginx与Lua开发
• 18. Nginx与Lua灰度发布
• 19. Nginx常见错误
• 20. Nginx性能优化
• 21. Nginx安全管理