Nginx配置解析

http://renylai.blogbus.com/logs/42293810.html

 

WHOIS NGINX

高性能的 HTTP 和反向代理服务器，也是一个 IMAP/POP3/SMTP 代理服务器。

Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的Rambler.ru 站点开发的，它已经在该站点运行超过四年多了。

Nginx 超越 Apache 的高性能和稳定性。

稳定性、功能集丰富、 冷源配置文件和系统资源低能耗

在高连接并发的情况下，Nginx是Apache服务器不错的替代品

10000 个非活动的 HTTP keep-alive 连接仅需要 2.5M 内存。

据说，能够支持高达 50,000 个并发连接数的响应（当然，受硬件配置影响）

HTTP功能

处理静态文件，索引文件以及自动索引； (lighttpd is all right)

反向代理加速，负载均衡和容错，FastCGI；

支持SSI-filter，SSL等；

基于IP 和名称的虚拟主机服务；

基于IP 和名称的虚拟主机服务；

支持 keep-alive 和管道连接；

重新配置和在线升级而无须中断客户的工作进程；

定制的访问日志，日志写入缓存，以及快捷的日志回卷；（HTTP高负载下日志也许是个瓶颈）

4xx-5xx 错误代码重定向；(默认或自定义)

基于 PCRE 的 rewrite 重写模块；（需要安装pcre支持正则,可见其精简程度）

基于客户端 IP 地址和 HTTP 基本认证的访问控制；

支持 FLV （Flash 视频）；

支持带宽限制；

后又详细配置方法

邮件PROXY功能（Last.fm）

使用外部 HTTP 认证服务器重定向用户到 IMAP/POP3 后端；

使用外部 HTTP 认证服务器认证用户后连接重定向到内部的 SMTP 后端；

SUPPORT SYSTEM

FreeBSD，Windows，Linux，MacOS X, Solaris

INSTALL

当前稳定版: Nginx 0.7.61，并只研究其安装及详细的配置，不做源码及模块开发的分析，若有兴趣可到

http://emiller.info/nginx-modules-guide.html 阅读模块开发文档E文

主要编译选项摘录configure

--prefix=<path> - Nginx安装路径。如果没有指定，默认为 /usr/local/nginx。

--conf-path=<path> - 在没有给定-c选项下默认的nginx.conf的路径。如果没有指定，默认为<prefix>/conf/nginx.conf。

--pid-path=<path> - 在nginx.conf中没有指定pid指令的情况下，默认的nginx.pid的路径。如果没有指定，默认为<prefix>/logs/nginx.pid。

--lock-path=<path> - nginx.lock文件的路径。

--error-log-path=<path> - 在nginx.conf中没有指定error_log指令的情况下，默认的错误日志的路径。如果没有指定，默认为 <prefix>/logs/error.log。

--http-log-path=<path> - 在nginx.conf中没有指定access_log指令的情况下，默认的访问日志的路径。如果没有指定，默认为 <prefix>/logs/access.log。

--user=<user> - 在nginx.conf中没有指定user指令的情况下，默认的nginx使用的用户。如果没有指定，默认为nobody。

--group=<group> - 在nginx.conf中没有指定user指令的情况下，默认的nginx使用的组。如果没有指定，默认为nobody。

--with-http_ssl_module -开启HTTP SSL模块，使NGINX可以支持HTTPS请求。需要安装了OPENSSL

--with-http_flv_module

--with-http_stub_status_module - 启用 "server status" 页(可有可无)

--without-http_gzip_module - 禁用 ngx_http_gzip_module. 如果启用，需要 zlib 。

--without-http_ssi_module - 禁用 ngx_http_ssi_module

--without-http_referer_module - 禁用 ngx_http_referer_module

--without-http_rewrite_module - 禁用 ngx_http_rewrite_module. 如果启用需要 PCRE 。

--without-http_proxy_module - 禁用 ngx_http_proxy_module

--without-http_fastcgi_module - 禁用 ngx_http_fastcgi_module

--without-http_memcached_module - 禁用 ngx_http_memcached_module

--without-http_browser_module - 禁用 ngx_http_browser_module

--http-proxy-temp-path=PATH - Set path to the http proxy temporary files

--http-fastcgi-temp-path=PATH - Set path to the http fastcgi temporary files

--without-http - 禁用 HTTP server（用作代理或反向代理）

--with-mail - 启用 IMAP4/POP3/SMTP 代理模块

--with-mail_ssl_module - 启用 ngx_mail_ssl_module

--with-openssl=DIR - Set path to OpenSSL library sources

安装过程

先安装gcc openssl-devel pcre-devel zlib-devel

/usr/sbin/groupadd www

/usr/sbin/useradd -g www www

mkdir -p /data/www

mkdir -p /data/logs

chown -R www.www /data/www

chown -R www.www /data/logs

规范编译选项:

./configure --prefix=/usr/local/nginx --conf-path=/etc/nginx.conf --with-http_ssl_module

make && make install

配置文件(类perl或php语法)

 

if ($http_user_agent ~ MSIE) {

 rewrite  ^(.*)$  /msie/$1  break;

}

if ($http_cookie ~* "id=([^;] +)(?:;|$)" ) {

 set  $id  $1;

}

if ($request_method = POST ) {

 return 405;

}

if (!-f $request_filename) {

 break;

 proxy_pass  http://127.0.0.1;

}

if ($slow) {

: limit_rate  10k;

}

if ($invalid_referer) {

: return   403;

}

 

---------------------------------------------------

user          www www;

worker_processes     8; 一般情况下开4个或8个, 再往上开的话优化不太大,开启太多，会影响主进程调度，占用cpu会增高

error_log       /data/logs/error.log    crit;

pid        /usr/local/nginx/nginx.pid;

worker_cpu_affinity 0001 0100 1000 0010 0001 0100 1000 0010;

 

绑定worker进程和CPU，只有LINUX内核高于2.4可用；

worker_rlimit_nofile    51200;

和系统的单进程打开文件数一致，不必理会进程个数，使用ulimit -SHn 51200 设置

events {

        use epoll;

                    #connections 20000;

        worker_connections 51200;

                    该值受系统进程最大打开文件数限制，需要使用命令ulimit -n 51200设置

                    （/etc/sysctl.conf中添加fs.file-max=是无效的，可添加至rc.local开机设定）

                    maxclients=51200*8

}

http {

        include mime.types;

                    mine.types内定义各文件类型映像，也可使用

                    types {

                                         text/html  html;

                                         image/gif  gif;

                                         image/jpeg jpg;

                    }进行定义

        default_type application/octet-stream;

                    设置默认类型是二进制流，当类型未定义时使用二进制流的方式，比如未加装PHP时，是不予解析，用浏览器访问则出现下载窗口

 

        server_names_hash_bucket_size 128;

                    不能带单位！配置个主机时必须设置该值，否则无法运行Nginx或测试时不通过，该设置与server_names_hash_max_size 共同控制保存服务器名的HASH表，hash bucket size总是等于hash表的大小，并且是一路处理器缓存大小的倍数。若hash bucket size等于一路处理器缓存的大小，那么在查找键的时候，最坏的情况下在内存中查找的次数为2。第一次是确定存储单元的地址，第二次是在存储单元中查找键值。若报出hash max size 或 hash bucket size的提示，则我们需要增加server_names_hash_max_size的值。

        client_header_buffer_size 128k;

        large_client_header_buffers 4 128k;

                    4为个数，128k为大小，默认是4k。申请4个128k。当http 的URI太长或者request header过大时会报414 Request URI too large或400 bad request，这是很有可能是cookie中写入的值太大造成的，因为header中的其他参数的size一般比较固定，只有cookie可能被写入较大的数据，这时可以调大上述两个值，相应的浏览器中cookie的字节数上限会增大。

        client_max_body_size 8m;

                    HTTP请求的BODY最大限制值，若超出此值，报413 Request Entity Too Large

        server_tokens off;

                    关闭错误时Nginx版本显示

        sendfile on;

                    打开系统函数sendfile()支持

        tcp_nopush on;

                    打开linux（仅linux下）下TCP_CORK，sendfile打开时才有效，用来发送系统HTTP response headers设置该选项的目的是告诉TCP协议不要仅仅为了清空发送缓存而发送报文段。通常应该设置TCPNOPUSH插口选项。这样，当请求长度超过报文段最大长度时，协议就会尽可能发出满长度的报文段。这样可以减少报文段的数量，减少的程度取决于每次发送的数据量。

        keepalive_timeout 60;

        tcp_nodelay on;

                    打开TCP_NODELAY在包含了keepalive才有效

                    ￥上述四项可以有效提高文件传输性能，用sendfile()函数来转移大量数据，协议会需预先解析数据包报头部分信息，正常情况下报头很小，而且套接字上设置了TCP_NODELAY。有报头的包将被立即传输，在某些情况下，因为这个包成功地被对方收到后需要请求对方确认。这样，大量数据的传输就会被延迟而且产生大量不必要的网络流量交换。

                    而如果我们在socket上设置了 TCP_CORK，就像个管道塞住塞子，则带有报头的包会填满数据，所有数据根据大小填充，自动通过数据包发送出去，但在数据完成传输时，需要打开塞子。

                    如果你能一次发送HTTP响应的头和正文等数据集合，那这样就能使这些数据不存在延迟，编程例子：

                    ….open socket…

                    setsockopt (FILE_HANDER, SOL_TCP, TCP_CORK, 1, sizeof(1));

                    write(FILE_HANDER, ‘content’);

                    fprintf(FILE_HANDER, ‘content’);

                    sendfile(FILE_HANDER, ‘content’);

                    …

                    setsockopt (FILE_HANDER, SOL_TCP, TCP_CORK, 0, sizeof(0));

                    以下为FASTCGI相关设置

        fastcgi_connect_timeout 300;

        fastcgi_send_timeout 300;

        fastcgi_read_timeout 300;

        fastcgi_buffer_size 64k;

        fastcgi_buffers 4 64k;

        fastcgi_busy_buffers_size 128k;

        fastcgi_temp_file_write_size 128k;

                    设置上述数值设置太小时若负载上来时可能报 502 Bad Gateway

 

        gzip on;

                    打开GZIP压缩，实时压缩输出数据流

 

gzip_min_length  1k;

                    从Content-Length中数值获取验证，小于1K会越压越大

        gzip_buffers    4 16k;

                    以16K为单位4倍的申请内存做压缩结果流缓存，默认值是申请跟原始数据相同大小的内存空间去存储gzip压缩结果。

        gzip_http_version 1.0;

                    默认1.1，大部分浏览器已经支持gzip解压，不必理会

        gzip_comp_level 2;

                    压缩比率1-9，1压缩比最小处理速度最快，9压缩比最大但处理最慢且耗CPU

        gzip_types      text/plain application/x-javascript text/css application/xml;

                    压缩类型，无论是否指定text/html总是会压缩

        gzip_vary on;

                    此选项可让前端的缓存服务，如squid缓存经过nginx压缩的数据

                    #gzip_proxied expired no-cache no-store private no_last_modified no_etag auth any

                    该选项在做反向代理时设定压缩，后面参数为验证的header头信息，再做相应的压缩处理，关闭为off

 

        #limit_zone  connlimit  $binary_remote_addr  10m;

                    定义名为connlimit的并发连接数限制空间，存储10M的带有二进制IP的会话信息，每个会话信息是32bytes,10M应该可以记录320000个会话。配合limit_conn 使用。

server {

                listen 80;

                server_name  www.example.com;

                                         多域名用空格隔开

                index index.html index.htm index.php;

                root  /data/www;

 

                #limit_conn connlimit 20;

                                         限制一个IP只能最多只能发起20个连接，超过报 503 Service unavailable

 

                location / {

                        ssi on;

                                                             WEB文档根目录打开SSI支持

                        #ssi_types text/html;

                                                             类型

                        ssi_silent_errors off;

                                                             处理SSI出错时不提示[an error occurred while processing the directive]

 

                                                             rewrite "^/([0-9]{5}).html$" /x.php?id=$1 last;

                                                             # redirect：302跳转到rewrite后的地址, permanent：301永久定向last：重新将rewrite后的地址在server标签中执行,break：将rewrite后的地址在当前location标签中执行

                }

                location ~ .*/.(php|php5)?$ {

                                                             匹配文件后缀php, php5

                        #fastcgi_pass  unix:/tmp/php-cgi.sock;

                                                             SOCKET方式转交fastcgi处理

                        fastcgi_pass  127.0.0.1:9000;

                                                             9000端口方式fastcgi

                        fastcgi_index index.php;

                        include fcgi.conf;

                                                             包含fastcgi配置

#fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

                }

 

                location ~ .*/.(gif|jpg|jpeg|png|bmp|swf)$ {

                                    access_log    off;

                        expires      30d;

                                                valid_referers none blocked servers *.wangyuan.com *.ccnec.com;

                                                if($invalid_referers) {

                                                                                 #rewrite ^/ http://errorpage.html;

                                                                                 return 404;

                                                                                 ##ngx_http_accesskey_module

                                                             }

                }

 

                location ~ .*/.(js|css)?$ {

                        expires      1h;

                    add_header Cache_Control private;

                }

 

                                         location ~ //.ht {

                                                             deny all;

                                         }

 

                log_format access '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer"'

 '"$http_user_agent" $http_x_forwarded_for';

                access_log  /data/logs/access.log  access;

        }

 

 

 

 

ulimit -SHn 51200

soft hard 资源限制

n inode

 

 

net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 300
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.ip_local_port_range = 5000    65000