目錄
- 1.反向代理
- 2.負載均衡
- nginx支持的負載均衡調度演算法
- 1.weight輪詢:
- 2.備用機
- 3.ip_hash:
- 3.演算法擴展
- sticky演算法模塊
- 4.nginx限流
- (1)限制并發連接數
- (2)限制每秒請求數
- (3)排隊,超過指定數量則排隊訪問
- (4)無延遲
- (5)限制帶寬
- 5.平滑升級
- 1.版本更新
- 2.版本回退
- 6.nginx配置管理
- (1)自動索引
- (2)nginx expire 快取配置
- (3)日志輪詢
- (4)禁用不必要的日志記錄,以節省磁盤IO的消耗
- (5)站點目錄和檔案的限制
- (6)中文亂碼
- 7.nginx 重定向
- (1) 防止域名惡意決議到服務器IP
- (2)埠重定向
- (3)虛擬主機重定向
- (4)防盜鏈
實驗環境配置:
三臺虛擬機:server1 server2 server3
每臺虛擬機的本地決議都需要寫//etc/hosts
1.反向代理
什么是代理?
所謂代理就是一個代表、一個渠道
此時就涉及到兩個角色,一個是被代理角色,一個是目標角色,被代理角色通過這個代理訪問目標角色完成一些任務的程序稱為代理操作程序
正向代理:
正向代理最大的特點是客戶端非常明確要訪問的服務器地址;服務器只清楚請求來自哪個代理服務器,而不清楚來自哪個具體的客戶端;正向代理模式屏蔽或者隱藏了真實客戶端資訊
反向代理:
由于企業當中一臺服務器不能承受負載,所以會通過部署多臺服務器來解決訪問人數限制的問題
多個客戶端給服務器發送的請求,nginx服務器接收到之后,按照一定的規則分發給了后端的業務處理服務器進行處理了,此時~請求的來源也就是客戶端是明確的,但是請求具體由哪臺服務器處理的并不明確了,nginx扮演的就是一個反向代理角色
實驗
在已經安裝好nginx的server1中將nginx拷貝給server2 server3
scp -r /usr/local/nginx server2:/usr/local/
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/ #建立軟連接
scp -r /usr/local/nginx server3:/usr/local/
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/ #建立軟連接
在server2 server3中編輯主組態檔
worker_processes 設定為auto自動識別作業執行緒
然后在兩個代理服務器server2 server3中配置
語法檢測nginx -t
echo server2 > /usr/local/nginx/html/index.html
echo server3 > /usr/local/nginx/html/index.html
nginx ##啟動nginx
nginx -s reload ##重新加載
回到server1中
vim /usr/local/nginx/conf/nginx.conf
http {
upstream westos {
server 172.25.7.2:80;
server 172.25.7.3:80;
}
...
server {
listen 80;
server_name www.westos.org;
location / {
proxy_pass http://westos;
}
}
nginx -t
nginx -s reload
現在可以在真機充當的客戶端當中進行測驗
curl www.westos.org
得到的結果是代理服務器server2 server3 并不是server1
2.負載均衡
我們已經明確了所謂代理服務器的概念,那么接下來,nginx扮演了反向代理服務器的角色,它是以依據什么樣的規則進行請求分發的呢?不用的專案應用場景,分發的規則是否可以控制呢?
這里提到的客戶端發送的、nginx反向代理服務器接收到的請求數量,就是我們說的負載量
請求數量按照一定的規則進行分發到不同的服務器處理的規則,就是一種均衡規則
所以~將服務器接收到的請求按照規則分發的程序,稱為負載均衡
nginx支持的負載均衡調度演算法
1.weight輪詢:
接收到的請求按照順序逐一分配到不同的后端服務器,即使在使用程序中,某一臺后端服務器宕機,nginx會自動將該服務器剔除出佇列,請求受理情況不會受到任何影響, 這種方式下,可以給不同的后端服務器設定一個權重值(weight),用于調整不同的服務器上請求的分配率;權重資料越大,被分配到請求的幾率越大;該權重值,主要是針對實際作業環境中不同的后端服務器硬體配置進行調整的
實驗效果如下:這里我們將server2的權重值調為3
即在訪問服務器時通過server2代理服務器的與server3的比例應該為3:1
2.備用機
當所有代理服務器都故障時將服務器本身設定為備用機
使用回環介面將調度站本身設定為備用,當后端主機恢復時則不會訪問備用主機
3.ip_hash:
每個請求按照發起客戶端的ip的hash結果進行匹配,這樣的演算法下一個固定ip地址的客戶端總會訪問到同一個后端服務器,這也在一定程度上解決了集群部署環境下session共享的問題
hash自動匹配到固定代理服務器讓客戶進行訪問,除非這個服務器停止運行會匹配下一個服務器
實驗結果如圖: 后半段我們將server3停止
3.演算法擴展
nginx并不支持一些演算法,當我們需要使用時則需要進行拓展
比如sticky模塊,nginx本身不支持,當在組態檔中寫入并呼叫時會匯報出錯
所以需要演算法拓展
sticky演算法模塊
sticky模塊與Ip_hash都是與負載均衡演算法相關,但又有差別,差別是:
1.ip hash,根據客戶端的IP,將請求分配到不同的服務器上
2.sticky,根據服務器給客戶端的cookie,客戶端再次請求時會帶上此cookie,nginx會把有此cookie的請求轉發到頒發cookie的服務器上
Sticky作業原理:
Sticky是基于cookie的一種負載均衡解決方案,通過分發和識別cookie,使來自同一個客戶端的請求落在同一臺服務器上,默認cookie標識名為route:
1.客戶端首次發起訪問請求,nginx接收后,發現請求頭沒有cookie,則以輪詢方式將請求分發給后端服務器,
2.后端服務器處理完請求,將回應資料回傳給nginx,
3.此時nginx生成帶route的cookie,回傳給客戶端,route的值與后端服務器對應,可能是明文,也可能是md5、sha1等Hash值
4.客戶端接收請求,并保存帶route的cookie,
5.當客戶端下一次發送請求時,會帶上route,nginx根據接收到的cookie中的route值,轉發給對應的后端服務器,
cd /usr/local/nginc/conf
vim nginx.conf
///
http {
upstream westos {
sticky;
server 172.25.24.2:80 weight=2;
///
nginx -t
演算法檢測時報錯
我們需要對nginx進行擴展,先將sticky注釋掉,并停止nginx服務
更改火墻策略,下載演算法模塊
nginx -t
nginx -s stop
iptables -t nat -I POSTROUTING -s 172.25.24.0/24 -j MASQUERADE ##真機上寫火墻策略,開啟地址偽裝
cd
lftp 172.25.254.250
> ls
> cd pub/docs/lamp/
> get nginx-goodies-nginx-sticky-module-ng-08a395c66e42.zip ##下載
> exit
yum install -y unzip ##下載zip解壓軟體包
unzip nginx-goodies-nginx-sticky-module-ng-08a395c66e42.zip ##解壓sticky軟體包
安裝好之后切入nginx目錄,清理快取,執行編譯configure->make
cd nginx-1.20.1/ make clean ##清理快取
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-threads --with-file-aio --add-module=/root/nginx-goodies-nginx-sticky-module-ng-08a395c66e42 ##配置
make ##編譯
提示:有的時候我們在編譯時不知道是否編譯成功,而在編譯失敗時去make install(安裝)肯定會出錯,這樣會增加問題的復雜性,所以我們可以在編譯完成后輸入
echo $? ##輸出為0則成功
將nginx復制到sbin并覆寫,切入配置目錄,編輯組態檔,此時可以使用sticky演算法 并檢測語法
ls
cd objs/
\cp -f nginx /usr/local/nginx/sbin/ ##復制覆寫檔案,\表示告訴shell不要去查alias,直接執行原本的cp
vim nginx.conf
nginx -t
4.nginx限流
先建立一個實驗素材
cd html/
mkdir downloads
cd downloads/
lftp 172.25.254.250
> cd pub/docs/
> get vim.jpg
> exit
du -h vim.jpg ##444K
(1)限制并發連接數
在真機執行壓力測驗命令,設定并發用戶數為10,請求總數為10,成功10個
###真機
ab -c10 -n 10 http://172.25.7.1/downloads/vim.jpg ##并發用戶數為10,請求總數為10,失敗0個
在server1中編輯組態檔
limit_conn_zone $binary_remote_addr zone=addr:10m;
location /download/ {
limit_conn addr 1;
}
###真機中
ab -c10 -n 10 http://172.25.24.1/download/vim.jpg ##部分被拒絕
(2)限制每秒請求數
在真機執行壓力測驗,設定并發用戶數為1,請求總數為10,則請求全部通過
ab -c1 -n 10 http://172.25.24.1/downloads/vim.jpg ##全部通過
在server1主機中編輯組態檔,設定每秒只通過1個請求,重啟服務
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_req zone=one;
重新在真機執行壓力測驗,因為每秒只通過一個,則其余9個被拒絕
(3)排隊,超過指定數量則排隊訪問
在組態檔中設定一次訪問5個,超過的排隊等待,因為上一個實驗設定每秒通過1個請求,則訪問2次,差不多10秒
limit_req zone=one burst=5;
在真機中,執行壓力測驗,訪問時長大約9秒
(在真實情況下,偏差在幾臺主機的情況是可以忽略不計的)
(4)無延遲
編輯組態檔,設定請求無延遲,在上一個實驗的情況下,只能執行1次,即5個請求,重啟服務
limit_req zone=one burst=5 nodelay;
真機中,執行壓力測驗,只能通過4個,其余被拒絕(誤差可以忽略)
(5)限制帶寬
現實生活中,我們下載東西時,會被限制網速,其實就是限制帶寬,
在組態檔中設定帶寬50k,重啟服務,注釋掉上面實驗的引數,不然會很慢
limit_rate 50k;
在真機中執行壓力測驗,檔案大小為444k,訪問5次,限制帶寬50k,大概需要40s
5.平滑升級
當服務器在運行的時候我們想升級版本的情況下就需要用到平滑升級
平滑升級可以在服務器運行的狀態下最大限度的保持資料的完整性
實驗步驟:
1.版本更新
安裝一個比當前版本高的nginx,解壓,重新編譯
./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module --with-threads --with-file-aio
make
注意:此處不需要make install
make之后備份原程式,將升級版本拷貝覆寫原程式
cd /usr/local/nginx/sbin
\cp -f nginx nginx.old #備份
cd ~/nginx1.21.1/objs
\cp -f nginx /usr/local/nginx/sbin #新程式覆寫替換
ps ax | grep nginx #查看當前nginx行程
kill -USR2 原主行程pid #開啟新版本
此時新版本已經打開
因為有時覺得就版本更好,所以保留就版本的主行程為了即回退,則只關閉worker,保留master
kill -WINCH 原主行程pid #關閉原worker行程但保留主行程:為了回退
curl localhost -I #查看當前nginx版本
2.版本回退
回退的程序與更新相反,先還原nginx程式,喚醒行程,回收新版本,并關閉即可
cd /usr/local/nginx/sbin/
\cp -f nginx.old nginx #還原nginx程式
kill -HUP 原行程pid #喚醒原行程
ps ax | grep nginx #查看行程
kill -WINCH 21337 #回收新版本行程
kill -QUIT 21337 #關閉新版本行程
6.nginx配置管理
(1)自動索引
當我們在訪問瀏覽器時為了下載軟體更加方便,可以在組態檔中設定自動索引
**注意:**注釋這些引數設定,重啟服務
vim nginx.conf
///
location /download/ {
limit_conn addr 1;
#limit_req zone=one burst=5 nodelay;
#limit_rate 50k; ##注釋
autoindex.on;
///
nginx -s reload
(2)nginx expire 快取配置
快取可以降低網站帶寬,加速用戶訪問,
編輯組態檔,設定對圖片等進行快取,快取時間為1年,在此期間訪問就會減少訪問時間
vim nginx.conf
///
location /download/ {
limit_conn addr 1;
#limit_req zone=one burst=5 nodelay;
#limit_rate 50k;
autoindex on;
} ##在此位置下方進行設定
location ~ .*\.(gif|jpg|png)$ { ##對圖片等進行快取
expires 365d;
root html;
}
///
nginx -s reload
在真機中,使用curl命令訪問素材檔案,可以看到快取至2022年
curl -I 172.25.7.1/download/vim.jpg
(3)日志輪詢
撰寫一個腳本,設定打開nginx時會生成日志檔案,命名格式為前一天
cd /opt/ ##第三方軟體安裝位置
vim nginx.sh
///
#!/bin/bash
cd /usr/local/nginx/logs && mv access.log access_$(date +%F -d -1day).log
kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
///
給腳本執行權限,執行腳本,切入到日志目錄,產生日志
chmod +x nginx.sh
./nginx.sh
cd /usr/local/nginx/logs/
ls --> access_2021-08-31.log ##生成日志
(4)禁用不必要的日志記錄,以節省磁盤IO的消耗
在組態檔中設定禁用瀏覽器訪問指定目錄時生成日志檔案
cd ..(nginx)
cd conf/
vim nginx.conf
///
location ~ .*\.(gif|jpg|png)$ {
expires 365d;
root html;
} ##在這個位置的下面加入設定
location /status {
stub_status on;
access_log off;
}
///
nginx -t
nginx -s reload
此時在瀏覽器中訪問該目錄,在日志目錄中不會生成日志記錄
在瀏覽器訪問
172.25.24.1/status ##重繪會增加訪問次數,但不會有日志生成
cd ../logs
ls
cat access.log ##為空
但當在真機中使用curl命令訪問該目錄時,會產生日志檔案
###真機
curl -I 172.25.7.1/status
###server1
cat access.log ##會產生日志檔案
(5)站點目錄和檔案的限制
在組態檔中設定指定目錄只能本機訪問,拒絕其他所有請求
cd conf/
vim nginx.conf
///
location /status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
///
nginx -t
nginx -s reload
當在真機訪問status目錄時,拒絕訪問,報錯403,資源不可用,服務器理解客戶的請求,但拒絕處理
curl 172.25.7.1/status ##拒絕訪問
當在server1本機訪問時,允許訪問
curl localhost/status
(6)中文亂碼
nginx默認不支持中文字符,在瀏覽器訪問時,中文會變成亂碼,
在nginx發布檔案中加入一行中文,在瀏覽器中試訪問,為亂碼
cd /usr/localnginx/html/
echo hello中國 > index.html
#在瀏覽器訪問時中文是亂碼
但是在server1本機中,可以使用curl命令查看本地的發布檔案,是可以正常顯示中文的
編輯組態檔,設定nginx支持中文字符,并重啟服務
vim nginx.conf
///
server {
listen 80;
server_name localhost;
charset utf-8;
///
nginx -s reload
此時在瀏覽器中訪問172.25.7.1,可以看到中文正常顯示
7.nginx 重定向
(1) 防止域名惡意決議到服務器IP
1)拒絕訪問,報錯500
切入配置目錄,編輯組態檔,設定在訪問本機時,回傳500,重啟服務,此時使用curl命令訪問本機,會顯示http報錯500
cd /usr/local/nginx/conf/
vim nginx.conf
///
server {
listen 80;
server_name localhost;
return 500;
///
nginx -s reload
curl -I localhost ##HTTP/1.1 500 Internal Server Error
當在瀏覽器中訪問server1主機時,也會報錯500
2)將所有訪問重定向至指定域名
編輯組態檔,設定將所有訪問請求重定向至指定域名,重啟服務,此時使用curl命令訪問本機,會顯示訪問地址為http://www.westos.org
vim nginx.conf
///
server {
listen 80;
server_name localhost;
rewrite ^(.*) http://www.westos.org permanent;
///
nginx -s reload
curl -I localhost ##Location: http://www.westos.org
當在瀏覽器中訪問server1主機時,寫入172.25.7.1回車后會自動跳轉至www.westos.org
(2)埠重定向
編輯組態檔,將80埠定向到443埠
vim nginx.conf
///
server {
listen 443 ssl;
server_name www.westos.org;
ssl_certificate cert.pem;
ssl_certificate_key cert.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
server {
listen 80;
server_name www.westos.org;
rewrite ^/(.*)$ https://www.westos.org/$1 permanent;
#location / {
# proxy_pass http://westos;
# }
}
///
生成證書,并移動到配置目錄中,檢測語法,重啟服務,此時檢測埠
cd /etc/pki/tls/certs
make cert.pem ##生成證書
mv cert.pem /usr/local/nginx/conf
nginx -t
nginx -s reload
netstat -antlup | grep 443
在瀏覽器中訪問server1主機,可以看到https即代表443埠重定向成功
在真機中使用curl命令,可以看到加密埠已打開
(3)虛擬主機重定向
1)www.westos.org 重定向bbs.westos.org
cd ..(nginx)
cd html
mkdir bbs
mv bbs/ /
vim nginx.conf
///
server {
listen 80;
server_name www.westos.org;
#rewrite ^/(.*)$ https://www.westos.org/$1 permanent;
rewrite ^/bbs$ http://bbs.westos.org permanent;
#rewrite ^/(.*)$ http://bbs.westos.org/$1 permanent;
#location / {
# proxy_pass http://westos;
# }
}
server {
listen 80;
server_name bbs.westos.org;
location / {
root /bbs;
index index.html;
}
}
///
nginx -s reload
在真機使用curl命令可以查看
瀏覽器輸入www.westos.org會自動跳轉為bbs.westos.org
當你想訪問域名下的目錄時,但是只能輸入規定www.westos.org/bbs
輸入其他會報錯
所以可以加
rewrite ^/(.*)$ http://bbs.westos.org/$1 permanent; #以任何開頭或結尾都可以重定向到bbs.westos.org
2)bbs.westos.org 重定向www.westos.org
vim nginx.conf
///
server {
listen 80;
server_name www.westos.org bbs.westos.org;
#rewrite ^/(.*)$ https://www.westos.org/$1 permanent;
#rewrite ^/bbs$ http://bbs.westos.org permanent;
#rewrite ^/(.*)$ http://bbs.westos.org/$1 permanent;
if ($host = "bbs.westos.org") {
rewrite ^/(.*)$ http://www.westos.org/bbs/$1 permanent;
}
#server { ##全部注釋
# listen 80;
# server_name bbs.westos.org;
#
# location / {
# root /bbs;
# index index.html;
# }
# }
///
nginx -s reload
在真機先做地址決議,使用curl命令可以查看
172.25.7.1 server1 www.westos.org reg.westos.org bbs.westos.org
在瀏覽器中輸入bbs.westos.org會自動跳轉至www.westos.org/bbs
(4)防盜鏈
由于經常有些人可能會盜鏈你的主機中內容進行流量瀏覽
我們可以通過防盜鏈進行限制別人盜鏈我們的內容
盜鏈主機server2
防盜主機server1
在我們的server1當中/usr/local/nginx/html下建立一個目錄download
目錄內下載一張圖片,假設盜鏈這張圖片
配置server2盜鏈主機
cd /usr/local/nginx/html
vim test.html
\\\
<html>
<body>
<br> hello中國 </br>
<img src="http://www.westos.org/download/vim.jpg">
</body>
</html>
\\\
配置完畢
在瀏覽器當中通過server2的IP進行訪問
成功盜鏈到serve1主機的內容
配置防盜主機server1
vim /usr/local/nginx/conf/nginx.conf
location ~ \.(jpg|png)$ {
valid_referers none blocked www.westos.org;
if ($invalid_referer) {
return 403; ##只能通過www.westos.org域名進行訪問,否則將會403拒絕
#rewrite ^/ http://www.westos.org/daolian.jpg;
}
}
防盜連配置完畢!
此時瀏覽器再次訪問
為了防盜連的效果,我們可以將防盜鏈重定向到一張圖片,展示給盜鏈你的人
location ~ \.(jpg|png)$ {
valid_referers none blocked www.westos.org;
if ($invalid_referer) {
#return 403;
rewrite ^/ http://www.westos.org/daolian.jpg;
}
}
此時再次訪問
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/297806.html
標籤:其他
上一篇:運行在不同主機上的行程通信
下一篇:怎么微信WeixinJSBridge.invoke支付成功居然不跳轉?還把我頁面給關了!這篇文章就告訴你What should I do!