Nginx目录索引

1.Nginx默认是不允许列出整个目录浏览下载。

Syntax: autoindex on | off;
Default:    autoindex off;
Context:    http, server, location

# autoindex常用参数
autoindex_exact_size off;
默认为on， 显示出文件的确切大小，单位是bytes。
修改为off，显示出文件的大概大小，单位是kB或者MB或者GB。

autoindex_localtime on;
默认为off，显示的文件时间为GMT时间。
修改为on， 显示的文件时间为文件的服务器时间。

charset utf-8,gbk;
默认中文目录乱码，添加上解决乱码。

2.配置站点目录浏览功能

//开启目录浏览
location / {
    root html;
    autoindex on;
    autoindex_localtime on;
    autoindex_exact_size off;
}

Nginx状态监控

1.ngx_http_stub_status_module用于展示Nginx连接状态信息, 需要--with-http_stub_status_module模块支持

Syntax: stub_status;
Default: —
Context: server, location

2.配置Nginx status

 location /nginx_status {
    stub_status;
    access_log off;
}

3.使用浏览器访问http://IP/nginx_status访问后得到的结果

Active connections: 2
server accepts handled requests
 4 4 61 
Reading: 0 Writing: 1 Waiting: 1 

Active connections  # 当前活动的连接数
accepts   4     # 当前的总连接数TCP
handled   4     # 成功的连接数TCP
requests 61     # 总的http请求数

Reading         # 请求
Writing         # 响应
Waiting         # 等待的请求数，开启了keepalive

# 注意, 一次TCP的连接，可以发起多次http的请求, 如下配置参数可验证
keepalive_timeout  0;   # 类似于关闭长连接
keepalive_timeout  65;  # 65s没有活动则断开连接

Nginx访问控制

基于IP的访问控制 http_access_module
基于用户登陆认证 http_auth_basic_module

Nginx基于IP的访问控制

//允许配置语法
Syntax: allow address | CIDR | unix: | all;
Default:    —
Context:    http, server, location, limit_except
//拒绝配置语法
Syntax: deny address | CIDR | unix: | all;
Default:    —
Context:    http, server, location, limit_except

1.访问控制配置示例, 拒绝指定的IP, 其他全部允许

location /nginx_status {
    stub_status;
    access_log off;
    deny 10.0.0.1;
    allow all;
}

2.访问控制配置示例, 只允许谁能访问, 其它全部拒绝

location / {
    root   html;
    index  index.php index.html index.htm;
    allow   10.0.0.0/24;
    allow   127.0.0.1;
    deny    all;
}

Nginx基于用户登陆认证

//配置语法
Syntax: auth_basic string| off;
Default:    auth_basic off;
Context:    http, server, location, limit_except
//用户密码记录配置文件
Syntax: auth_basic_user_file file;
Default:    -
Context:    http, server, location, limit_except

//需要安装依赖组件
[root@guilin ~]# yum install httpd-tools
[root@guilin ~]# htpasswd -b -c /etc/nginx/auth_conf cgl guilin

//可在http,server,location下添加如下信息
auth_basic "Auth access Blog Input your Passwd!";
auth_basic_user_file /etc/nginx/auth_conf;

Nginx访问限制

经常会遇到这种情况，服务器流量异常，负载过大等等。对于大流量恶意的攻击访问， 会带来带宽的浪费，服务器压力，影响业务，往往考虑对同一个ip的连接数，并发数进行限制。
ngx_http_limit_conn_module模块可以根据定义的key来限制每个键值的连接数，如同一个IP来源的连接数。

limit_conn_module 连接频率限制
limit_req_module 请求频率限制

http协议的连接与请求

HTTP是建立在TCP, 在完成HTTP请求需要先建立TCP三次握手（称为TCP连接）,在连接的基础上在HTTP请求。

HTTP请求建立在一次TCP连接基础上，一次TCP请求至少产生一次HTTP请求

注:客户端的IP地址作为键。

$remote_addr 变量的长度为7字节到15字节
$binary_remote_addr 变量的长度是固定的4字节

Nginx连接限制配置实战

1)Nginx连接限制语法

Syntax:  limit_conn_zone key zone=name:size;
Default: —
Context: http

Syntax: limit_conn zone number;
Default: —
Context: http, server, location

2)Nginx连接限制实战

http {
//http段配置连接限制, 同一时刻只允许一个客户端IP连接
limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
    ...
    server {
    ...  

        location / {
        //同一时刻只允许一个客户端IP连接
            limit_conn conn_zone 1;
        }

3).使用ab工具进行压力测试

//压力测试
yum install -y httpd-tools
ab -n 50 -c 20  http://127.0.0.1/index.html

Nginx请求限制配置实战

1)Nginx请求限制语法

Syntax:  limit_req_zone key zone=name:size rate=rate;
Default: —
Context: http

Syntax: limit_conn zone number [burst=number] [nodelay];
Default: —
Context: http, server, location

2)Nginx请求限制实战

http {
//http段配置请求限制, rate限制速率，限制一秒钟最多一个IP请求
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
    ...
    server {
    ...  

        location / {
        //1r/s只接收一个请求,其余请求拒绝处理并返回错误码给客户端
            limit_req zone=req_zone;
        //请求超过1r/s,剩下的将被延迟处理,请求数超过burst定义的数量, 多余的请求返回503
            #limit_req zone=req_zone burst=3 nodelay;
        }

3).使用ab工具进行压力测试

//压力测试
yum install -y httpd-tools
ab -n 50 -c 20  http://127.0.0.1/index.html

Nginx连接限制没有请求限制有效?

我们前面说过, 多个请求可以建立在一次的TCP连接之上, 那么我们对请求的精度限制，当然比对一个连接的限制会更加的有效

因为同一时刻只允许一个连接请求进入。
但是同一时刻多个请求可以通过一个连接进入。
所以请求限制才是比较优的解决方案。

Nginx日志配置

在学习日志之前, 我们需要先回顾下HTTP请求和返回

curl -v http://www.gl.sh.cn

Nginx有非常灵活的日志记录模式。每个级别的配置可以有各自独立的访问日志。日志格式 通过log_format命令定义格式。

1.log_format指令

# 配置语法: 包括: error.log access.log
Syntax: log_format name [escape=default|json] string ...;
Default: log_format combined "...";
Context: http

#默认Nginx定义日志语法
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

您暂时无权查看此隐藏内容！

2.access_log指令

Syntax: access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
access_log off;
Default: access_log logs/access.log combined;
Context: http, server, location, if in location, limit_except

Example:
server {
    ...
    access_log /var/log/nginx/www.gl.sh.cn.log;
    ...

Nginx虚拟站点

所谓虚拟主机，及在一台服务器上配置多个网站

如: 公司主页、博客、论坛看似三个网站, 实则可以运行在一台服务器上。

基于域名虚拟主机配置实战

1.创建web站点目录

[root@guilin ~]# mkdir /soft/code/{www,bbs}
[root@guilin ~]# echo "www" > /soft/code/www/index.html
[root@guilin ~]# echo "bbs" > /soft/code/bbs/index.html

2.配置不同域名的虚拟主机

[root@guilin ~]# cat /etc/nginx/conf.d/www.conf
server {
    listen       80;
    server_name  blog.gl.sh.cn;
    root /soft/code/www;
    index index.html;
    ...
}
[root@guilin ~]# cat /etc/nginx/conf.d/bbs.conf
server {
    ...
    listen       80;
    server_name  bbs.gl.sh.cn;
    root /soft/code/bbs;
    index index.html;
}

基于端口虚拟主机配置实战

//仅修改listen监听端口即可, 但不能和系统端口出现冲突
server {
    ...
    listen       8001;
    ...
}

server {
    ...
    listen       8002;
    ...
}

基于虚拟主机别名配置实战

实现用户访问多个域名对应同一个网站, 比如用户访问blog.gl.sh.cn和访问gl.sh.cn内容一致

# 1.默认配置方式
[root@guilin ~]# vim /etc/nginx/conf.d/www.conf
server {
    listen       80;
    server_name blog.gl.sh.cn;
}
server {
    listen       80;
    server_name gl.sh.cn;
}

# 2.使用别名配置方式
[root@guilin ~]# vim /etc/nginx/conf.d/www.conf
server {
    listen       80;
    server_name  blog.gl.sh.cn gl.sh.cn;
    ...
}

# 3.测试访问, 带blog和不带blog是一样的
[root@guilin ~]# curl gl.sh.cn
Go
[root@guilin ~]# curl blog.gl.sh.cn
Go

Nginx Location

使用Nginx Location可以控制访问网站的路径, 但一个server可以有多个location配置, 多个location的优先级该如何区分

1.Location语法示例

location [=|^~|~|~*|!~|!~*|/] /uri/ { ...
}

2.Location语法优先级排列

3.配置网站验证Location优先级

[root@Nginx conf.d]# cat testserver.conf 
server {
    listen 80;
    server_name gl.sh.cn;
    location / {
        default_type text/html;
        return 200 "location /";
    }

    location =/ {
        default_type text/html;
        return 200 "location =/";
    }

    location ~ / {
        default_type text/html;
        return 200 "location ~/";
    }

    # location ^~ / {
        # default_type text/html;
        # return 200 "location ^~";
    # }
}

4.测试Location效果

# 优先级最高符号=
[root@Nginx conf.d]# curl gl.sh.cn
location =/

# 注释掉精确匹配=, 重启Nginx
[root@Nginx ~]# curl gl.sh.cn
location ~/

# 注释掉~, 重启Nginx
[root@Nginx ~]# curl gl.sh.cn
location /

5.Locaiton应用场景

# 通用匹配，任何请求都会匹配到
location / {

}

# 严格区分大小写，匹配以.php结尾的都走这个location    
location ~ \.php$ {
    fastcgi_pass http://127.0.0.1:9000;
}

# 严格区分大小写，匹配以.jsp结尾的都走这个location 
location ~ \.jsp$ {
    proxy_pass http://127.0.0.1:8080;
}

# 不区分大小写匹配，只要用户访问.jpg,gif,png,js,css 都走这条location
location ~* .*\.(jpg|gif|png|js|css)$ {
        rewrite (.*) http://cdn.gl.sh.cn$request_uri;
}

# 不区分大小写匹配
location ~* "\.(sql|bak|tgz|tar.gz|.git)$" {
        default_type text/html;
        return 403 "启用访问控制成功";
}