首页 > 代码库 > nginx详细配置教程

nginx详细配置教程

一.安装nginx

安装nginx之前首先需要安装"Development Tools"和 "Development Libraries"两个基本组包。yum groupinstall "Development Tools" "Development Libraries"。另外还需要安装pcre-devel包。

安装pcre-devel:

   yum install pcre-devel

安装nginx:

   添加nginx账号groupadd -g 4000 nginx;useradd -g 4000 -u 4000 nginx -s /sbin/nologin

./configure     --prefix=/usr/local/nginx     --sbin-path=/usr/local/nginx/sbin/nginx     --conf-path=/etc/nginx/nginx.conf     --error-log-path=/var/log/nginx/error.log     --http-log-path=/var/log/nginx/access.log     --pid-path=/var/run/nginx/nginx.pid      --lock-path=/var/lock/nginx.lock     --user=nginx     --group=nginx     --with-http_ssl_module     --with-http_flv_module     --with-http_stub_status_module     --with-http_gzip_static_module     --http-client-body-temp-path=/var/tmp/nginx/client/     --http-proxy-temp-path=/var/tmp/nginx/proxy/     --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/     --with-pcre
    make
    make install
    这下可以启动nginx了。执行/usr/local/ngin/sbin/nginx会报错因为我们需要事先创建上面编译的时候需要的目录。
    mkdir -p /var/tmp/nginx/client/
    mkdir -p /var/tmp/nginx/proxy/
    mkdir -p /var/tmp/nginx/fcgi/

再次执行上述命令后执行netstat -tunpl | grep 80发现nginx已经监听在tcp的80端口上了。


二.为nginx提供SysV init脚本:

新建文件/etc/rc.d/init.d/nginx内容如下

#!/bin/bash
#
# nginx - this script starts and stops the nginx daemon
#
# chkconfig:   - 85 15
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse #               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /etc/nginx/nginx.conf
# config:      /etc/sysconfig/nginx
# pidfile:     /var/run/nginx.pid
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0
nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)
NGINX_CONF_FILE="/etc/nginx/nginx.conf"
[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx
lockfile=/var/lock/subsys/nginx
make_dirs() {
   # make required directories
   user=`nginx -V 2>&1 | grep "configure arguments:" | sed ‘s/[^*]*--user=\([^ ]*\).*/\1/g‘ -`
   options=`$nginx -V 2>&1 | grep ‘configure arguments:‘`
   for opt in $options; do
       if [ `echo $opt | grep ‘.*-temp-path‘` ]; then
           value=http://www.mamicode.com/`echo $opt | cut -d"=" -f 2`
           if [ ! -d "$value" ]; then
               # echo "creating" $value
               mkdir -p $value && chown -R $user $value
           fi
       fi
   done
}
start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    make_dirs
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}
stop() {
    echo -n $"Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}
restart() {
    configtest || return $?
    stop
    sleep 1
    start
}
reload() {
    configtest || return $?
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    RETVAL=$?
    echo
}
force_reload() {
    restart
}
configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}
rh_status() {
    status $prog
}
rh_status_q() {
    rh_status >/dev/null 2>&1
}
case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
        exit 2
esac

而后为此脚本赋予执行权限chmod +x /etc/rc.d/init.d/nginx

添加至服务管理列表并让其开机自动启动

chkconfig --add nginx

chkconfig nginx on

service nginx reload重新加载nginx


三.nginx基本配置文件介绍

#user  nobody;  //定义Nginx运行的用户和用户组
worker_processes  1;  //Nginx运行时的工作进程数
#error_log  logs/error.log;  //错误日志,nginx的日志可以直接发给远程服务器
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
#pid        logs/nginx.pid;
events { //用来设置影响nginx工作属性和连接数上线的总配置
    use epoll;//使用基于epoll的事件驱动模型
    worker_connections  1024; //每一个work进程连接数的限制根据服务器的带宽和脚本的大小来评估
    worker_cpu_affinity 0001 0100; //将wock进程绑定在第一颗和第四颗cpu上这是以掩码的方式来计算的
    worker_rlimit_nofile 51200;//限定nginx最多能够打开的文件数也可以在limits.conf文件中配置
    worker_priority_number -10; //定义work进程的优先级取值为-20到20默认为0。给进程一样值越低优先级越高
}
http {
    include       mime.types;
    default_type  application/octet-stream; //默认的mime类型
    #log_format  main  ‘$remote_addr - $remote_user [$time_local] "$request" ‘
    #                  ‘$status $body_bytes_sent "$http_referer" ‘
    #                  ‘"$http_user_agent" "$http_x_forwarded_for"‘; //日志格式
    #access_log  logs/access.log  main; //访问日志的位置access_log off可以关闭访问日志
    sendfile        on; //服务器应该开启的功能可以避免将数据转到应用程序进程做转换
    #tcp_nopush     on;
    #keepalive_timeout  0;
    keepalive_timeout  65; #长连接的超时时间应该设置的小点例如5
    #gzip  on; //开启gzip压缩功能
    server {  //虚拟主机的设置
        listen       80; //监听的端口
        server_name  localhost; //主机的名称
        #charset koi8-r; //设置字符集
        #access_log  logs/host.access.log  main; //设置访问日志
        location / {
            root   html;  //定义网页文件目录可以使用绝对路径不使用绝对路径的时候--prefix的选项作为相对路径
            index  index.html index.htm; //该url下的默认访问文件
        }
        #error_page  404              /404.html;
        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html; //自定义错误指令并且定义到对应的错误文件
        location = /50x.html {
            root   html;
        }
        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
#}
        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}
        # deny access to .htaccess files, if Apache‘s document root
        # concurs with nginx‘s one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }
    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;
    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}
    # HTTPS server
    #
    #server {
    #    listen       443;
    #    server_name  localhost;
    #    ssl                  on;
    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;
    #    ssl_session_timeout  5m;
    #    ssl_protocols  SSLv2 SSLv3 TLSv1;
    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers   on;
    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    } 
    #}
}


四.nginx虚拟主机配置

server {
    listen       127.0.0.1:80;
    server_name  www.qiguo1.com;
    location / {
        root /web/htmlone
        index index.html
    }
}
server{
    listen       127.0.0.1:80;
    server_name  www.qiguo2.com;
   location / {
       root /web/htmltwo
       index index.html
   }
}

在/etc/hosts文件中输入

127.0.0.1     www.qiguo1.com

127.0.0.1     www.qiguo2.com

在/web/htmlone和/web/htmltwo中分别建立2个index.html文件:

echo "this is htmlone" > /web/htmlone/index.html

echo "this is htmltwo" > /web/htmltwo/index.html

然后在shell命令行测试nginx虚拟主机:

elinks -dump www.qiguo1.com 显示this is htmlone

elinks -dump www.qiguo2.com 显示this is htmltwo


五.nginx访问控制授权

nginx的访问控制需要通过模块来设定默认提供了2个模块Access和Auth Basic。Access是基于地址来做限制的而Auth Basic是基于http页面来做限制的。

基于Access模块认证的时候官方给出的例子是

location / {
    deny 192.168.1.1;
    allow 192.168.1.0/24;
    allow 10.1.0.0/16;
    deny all;
}

基于Auth Basic模块认证的时候官方给出的例子是

location / {
    auth_basic"closed site" #表示启动了auth认证auth_name的值为closed site
    auth_basic_user_fileconf/htpasswd #用户认证的文件所在的地方
}

下面测试Auth Basic模块基于http认证的方式

需要首先创建一个密码文件这里需要借助apache提供的htpasswd命令,执行htpasswd后输入密码即可

htpasswd -c -m /etc/nginx/nginx.passwd qiguo

编辑/etc/nginx/nginx.conf文件加入下面代码

location = /test.html {
    root html;
    auth_basic "限制登陆需要账号和密码";
    auth_basic_user_file  /etc/nginx/nginx.passwd;ed
    index  index.html index.htm;
}

重新启动nginx,在浏览器中输入localhost/test.html会弹出让你输入用户和密码的信息证明nginx访问控制授权成功


六.nginx页面索引文件的指定

apache在配置主机的时候可以使用Options Indexes对当访问的目录页面不存在时可以以索引的列表方式显示nginx也提供了同样的功能需要通过Auto_Index模块来实现。实现的方法比较简单官网给出的例子是:

location / {
    autoindex on;
    autoindex_exact_size; #这个选项指定以列表的方式显示的时候精确的匹配文件的大小否则会做文件大小转换
    autoindex_localtime;  #显示的文件的时间是以运行nginx的服务器的时间为标准来显示的
}


七.nginx自定义响应报文

nginx自定义响应报文需要通过Headers这个模块来实现.而且最好添加http协议所支持的响应报文首部。使用的方法很简单官方给出的简单示例如下

add_header Cache_Control private; //自定义Cache_Control的值为private

例如我们可以自己为一个页面自定义一个响应报文配置如下

location = /test.html {
    root html;
    index index.html;
    add_header HTTP_X_FORWARD_FOR 192.168.1.250;
}

保存后重新启动nginx后打开test.html这个文件会看到响应头中多出来了一个HTTP_X_FORWARD_FOR的信息并且其值为192.168.1.250


八.nginx的URL重写功能

nginx的URL重写功能是依靠ngx_http_rewrite_module这个模块来实现的nginx常用的rewrite语法用5个

   set主要是用来设置变量用的,没什么特别的

   ifif主要用来判断一些在rewrite语句中无法直接匹配的条件,比如检测文件存在与否,http header,cookie等

   returnreturn可用来直接设置HTTP返回状态,比如403,404等

   break立即停止rewrite检测

   rewrite设置url重写时最重要的功能其语法使用格式为rewrite 正则 替换 标志位


   rewrite的重写功能和apache基本上是一样但是这里主要说明下rewrite标志位的使用默认的标志位有4个

break:停止rewrite检测,也就是说当含有break flag的rewrite语句被执行时,该语句就是rewrite的最终结果

last:停止rewrite检测,但是跟break有本质的不同,last的语句不一定是最终结果

redirect:返回302临时重定向,一般用于重定向到完整的URL(包含http:部分)

permanent:返回301永久重定向,一般用于重定向到完整的URL(包含http:部分)


if语句中的判断条件:

正则表达式匹配

   ~ 为区分大小写匹配

   ~* 为不区分大小写匹配

   !~和!~*分别为区分大小写不匹配及不区分大小写不匹配


文件及目录匹配匹配

   -f和!-f用来判断是否存在文件

   -d和!-d用来判断是否存在目录

   -e和!-e用来判断是否存在文件或目录

   -x和!-x用来判断文件是否可执行


nginx常用的全局变量

   $args

   $content_length

   $content_type

   $document_root

   $document_uri

   $host

   $http_user_agent

   $http_cookie

   $limit_rate

   $request_body_file

   $request_method

   $remote_addr

   $remote_port

   $remote_user

   $request_filename

   $request_uri

   $query_string

   $scheme

   $server_protocol

   $server_addr

   $server_name

   $server_port

   $uri


这里给出官方的一些URL重写示例

if ($http_user_agent ~ MSIE) {

   rewrite ^(.*)$ /msie/$1 break;

}

rewrite ^/users/(.*)$ /show?user=$1? last;

rewrite ^(/download/.*)/media/(.*)\..*$ $1/mp3/$2.mp3 break;


九.nginx的status功能

nginx与apache一样Apache有一个mod_status的模块可以查看服务器的运行状况nginx提供了类似的功能并且是通过http_stub_status_module这个模块来完成的。nginx启动status也比较简单但是前提是在编译的时候要安装http_stub_status_module这个模块。要启动nginx的status模块只需要做下面的简单配置即可

location /status {

   stub_status on;

   access_log off;

}

重新启动nginx,访问localhots/status,可以得到下面的内容

Active connections: 1

server accepts handled requests

2 2 35

Reading: 0 Writing: 1 Waiting: 0


官网介绍如下

active connections -- number of all open connections  #打开的活动连接数

server accepts handled requests -- nginx accepted 16630948 connections, handled 16630948 connections (no one was closed just it was accepted), and handles 31070465 requests (1.8 requests per connection) #服务器已经接受的连接数accepted 16630948表示已经处理过的连接数handled 16630948表示已经处理的连接数handles 31070465表示处理的请求数。在启用了keepalive的情况下连接数一般应该大于请求数

reading -- nginx reads request header #nginx正在读取的请求报文数

writing -- nginx reads request body, processes request, or writes response to a client #nginx正在发送的请求报文数

waiting -- keep-alive connections, actually it is active - (reading + writing) #长连接的活动连接数


十.nginx的压缩功能

nginx的gzio模块可以启动压缩功能在访问量高带宽不大的情况下可以显著提高服务器的性能。gzip是通过with-http_gzip_static_module这个模块来完成工作的。给status模块一样也需要在编译的时候编译http_gzip_static_module这个模块。gzip的常用命令如下:

gzip on; //开启或者关闭gzip模块

gzip_buffers: 4 4k; //设置系统获取几个单位的缓存用于存储gzip的压缩结果数据流.例如4 4k 代表以4k为单位按照原始数据大小以4k为单位的4倍申请内存。4 8k 代表以8k为单位按照原始数据大小以8k为单位的4倍申请内存。如果没有设置默认值是申请跟原始数据相同大小的内存空间去存储gzip压缩结果。

gzip_comp_level4; //gzip压缩比1压缩比最小处理速度最快9 压缩比最大但处理最慢传输快但比较消耗cpu。

gzip_min_length1024; //设置允许压缩的页面最小字节数页面字节数从header头中的Content-Length中进行获取。默认值是0不管页面多大都压缩。建议设置成大于1k的字节数小于1k可能会越压越大。

gzip_proxied off; //Nginx作为反向代理的时候启用开启或者关闭后端服务器返回的结果匹配的前提是后端服务器必须要返回包含"Via"的header头。

默认的取值有off|expired|no-cache|no-store|private|no_last_modified|no_etag|auth|any;具体解释如下

off - 关闭所有的代理结果数据的压缩

expired - 启用压缩如果header头中包含"Expires" 头信息

no-cache - 启用压缩如果header头中包含"Cache-Control:no-cache" 头信息

no-store - 启用压缩如果header头中包含"Cache-Control:no-store" 头信息

private - 启用压缩如果header头中包含"Cache-Control:private" 头信息

no_last_modified - 启用压缩,如果header头中不包含"Last-Modified" 头信息

no_etag - 启用压缩,如果header头中不包含"ETag" 头信息

auth - 启用压缩, 如果header头中包含"Authorization" 头信息

any - 无条件启用压缩

gzip_types匹配MIME类型进行压缩无论是否指定"text/html"类型总是会被压缩的。

下面是常规的gzip配置压缩

http{

   include conf/mime.types;

   gzip on;

   gzip_min_length 1000;

   gzip_buffers 4 8k;

   gzip_http_version 1.1;

   gzip_types text/plain application/x-javascript text/css text/html application/xml;

}

这里借鉴地址http://wenku.baidu.com/link?url=6hkmzQjgGsNqYsHSaa9MceJQ_JPjtSLpBKowi2XnRHvjGRMWzJbBIIEhMSGIx2NGTChFkDhBo6YHonOn2hGbXy0XrgtDuVK5HvP_Uq5EXq3


十一.nginx的SSL功能

nginx要支持SSL功能需要编译的时候指定--with-http_ssl_module选项。nginx的SSL功能就是依靠ngx_http_ssl_module来完成的。要完成对SSL的支持需要生成证书这里我们使用linux默认的CA来生成自签证书并且为我们的nginx颁发一个证书。CA证书的生成这里不再说明这里以本台服务器为例来生成证书。这里不再演示CA的基本配置情况只是给出简单的生成证书的过程。

进入/etc/pki/CA目录下创建3个文件certs crl newcerts3个目录创建index.txt serial 2个文件往serial文件中写入01

openssl genrsa -out private/cakey.pem 1024

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650

然后创建自己的信息注意这里的信息要和等下给我们nginx服务器颁发证书的时候的信息一样输入完成以后就可以为nginx颁发证书。

进入/etc/nginx目录后

openssl genrsa -out nginx.key 1024

openssl req -new -key nginx.key -out nginx.csr -days 3650  输入后填写信息

openssl ca -in nginx.csr -out nginx.crt

输入全部完成以后我们的证书就已经生成完毕nginx.crt这个文件就是我们的证书文件颁证机构就为我们的CA即前面的cacert.pem。下面开始配置nginx让其支持https:

server {

listen       443;

server_name  localhost;


ssl                  on;

ssl_certificate      /etc/nginx/nginx.crt;

ssl_certificate_key  /etc/nginx/nginx.key;


ssl_session_timeout  5m;


ssl_protocols  SSLv2 SSLv3 TLSv1;

ssl_ciphers  HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers   on;


location / {

   root   html;

   index  index.html index.htm;

}

}

配置完成以后在浏览器中输入https://127.0.0.1中可以看到https协议已经可以使用了但是需要认证因为我们的当前客户端上没有安装我们自己CA服务器的证书。只需要把cacert.pem服务器到一台客户端的机器改成以crt的后缀安装我们的https协议就可以正常使用了。