文章目录
nginx 实现动静分离
1.负载均衡
权重
加权轮询
2.健康检查
被动探测后端(上游)服务器是否正常工作
做大错误次数, 间隔时间
3.负载均衡算法
nginx:
- 轮询
- 一致哈希 ip hash
- 最少连接数: 看后端服务器当前那个链接最少,就分配给这个最少链接的服务器
4.四层负载均衡
osi 七层模型
stream {
upstream mysql {
server ip:端口;
}
server {
listen 3306;
proxy_pass mysql;
}
}
5.七层负载均衡
http {
upstream myweb1 {
server ip:端口;
}
server {
listen 3306;
location / {
proxy_pass myweb1;
}
}
}
6.动静分离
http {
upstream static {
server ip:port;
}
upstream php {
server ip:port;
}
upstream py {
server ip:port;
}
server {
listen 80;
#location ~ \.(html|jpg|css|js)$ {
location /static/ {
proxy_pass http://static;
}
location / {
fastcgi_pass http://php; # php 语言开发
uwsgi_pass http://py; # python 语言开发
}
}
}
Nginx的localtion指令详解和地址重写
一、nginx 防盗链问题
两个网站 A 和 B, B网站引用了A网站上的图片,这种行为就叫做盗链。
防盗链,就是要防止B引用A的图片。
1、nginx 防止网站资源被盗用模块
ngx_http_referer_module
如何区分哪些是不正常的用户?
TTP Referer是Header的一部分,当浏览器向Web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理,例如防止未经允许的网站盗链图片、文件等。因此HTTP Referer头信息是可以通过程序来伪装生成的,所以通过Referer信息防盗链并非100%可靠,但是,它能够限制大部分的盗链情况.
- none : 允许没有http_refer的请求访问资源;
- blocked : 允许不是http://开头的,不带协议的请求访问资源—被防火墙过滤掉的;
- server_names : 只允许指定ip/域名来的请求访问资源(白名单);
- 准备两台机器 [ 静态服务器 ] ,一张图片
图片网站服务器: 上传需要的图片 test.jpg
[root@nginx-server ~]# cp test.jpg /usr/share/nginx/html/
[root@nginx-server ~]# cd /etc/nginx/conf.d/
[root@nginx-server conf.d]# cp default.conf default.conf.bak
[root@nginx-server conf.d]# mv default.conf nginx.conf
[root@nginx-server conf.d]# vim nginx.conf
server {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
[root@nginx-server conf.d]# nginx -t
[root@nginx-server conf.d]# systemctl restart nginx
浏览器访问
http://图片网站服务器IP/test.jpg
ok
盗链机器服务器:
[root@localhost ~]# cd /usr/share/nginx/html/
[root@localhost html]# cp index.html index.html.bak
[root@localhost html]# vim index.html
<html>
<head>
<meta charset="utf-8">
<title>bilibili.com</title>
</head>
<body style="background-color:pink;">
<img src="http://图片网站服务器/test.jpg"/>
</body>
</html>
[root@nginx-client html]# systemctl restart nginx
在图片服务器操作
[root@localhost nginx]# vim /var/www/nginx/index.html
<html>
<head>
<meta charset="utf-8">
<title>bilibili.com</title>
</head>
<body style="background-color:pink;">
<img src="http://本机IP/test.jpg"/>
</body>
</html>
在图片服务器操作
[root@nginx-server conf.d]# vim nginx.conf
server {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
valid_referers none blocked www.bilibili.com; #允许这些访问
if ($invalid_referer) {
return 403;
}
}
}
[root@nginx-server conf.d]# systemctl restart nginx
去浏览器测试访问
http://192.168.116.159/index.html
图裂了
ok
去一台服务器上
测试直接访问
[root@localhost nginx]# curl -I "http://图片服务器IP/test.jpg"
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Thu, 17 Dec 2020 03:46:10 GMT
Content-Type: image/jpeg
Content-Length: 190931
Last-Modified: Thu, 17 Dec 2020 03:02:16 GMT
Connection: keep-alive
ETag: "5fdaca38-2e9d3"
Accept-Ranges: bytes
测试非法http_refer访问
[root@localhost nginx]# curl -e http://www.baidu.com -I "http://图片服务器IP/test.jpg"
HTTP/1.1 403 Forbidden
Server: nginx/1.18.0
Date: Thu, 17 Dec 2020 03:46:43 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive
测试带合法的http_refer
[root@localhost nginx]# curl -e http://www.bilibili.com -I "http://图片服务器IP/test.jpg"
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Thu, 17 Dec 2020 03:47:38 GMT
Content-Type: image/jpeg
Content-Length: 190931
Last-Modified: Thu, 17 Dec 2020 03:02:16 GMT
Connection: keep-alive
ETag: "5fdaca38-2e9d3"
Accept-Ranges: bytes
二、Nginx的location指令
1、location 区段
-
location 是在 server 块中配置,根据不同的 URI 使用不同的配置,来处理不同的请求。
-
location 是有顺序的,会被第一个匹配的location 处理,这里的顺序不是写在配置文件中的上下顺序,而是匹配规则顺序(nginx 内部规定的)。
-
如何工作的
location 可以由前缀字符串或正则表达式定义。正则表达式由前面的“
~*”修饰符(不区分大小写的匹配)或“~”修饰符(区分大小写的匹配)指定。为了找到与给定请求匹配的位置,nginx首先检查使用前缀字符串定义的位置(前缀位置)。其中,选择并记住具有最长匹配前缀的位置。然后按照在配置文件中出现的顺序检查正则表达式。正则表达式的搜索在第一个匹配项上终止,并使用相应的配置。如果未找到与正则表达式匹配的内容,则使用前面记住的前缀位置的配置。 -
基本语法如下:
location [=||*|^~|@] pattern{
…
}
2、location 前缀含义
=表示精确匹配,优先级也是最高的 √^~表示uri以某个常规字符串开头,理解为匹配url路径即可~表示区分大小写的正则匹配 √~*表示不区分大小写的正则匹配!~表示区分大小写不匹配的正则!~*表示不区分大小写不匹配的正则/通用匹配,任何请求都会匹配到 √@内部服务跳转,用于有名称的路由,比如: location @abc {} √
查找顺序和优先级
=大于^~大于~|~*|!~|!~*大于/
多个location配置的情况下匹配顺序为:首先匹配=,其次匹配^~, 其次是按正则匹配,最后是交给/通用匹配。当有匹配成功时候,停止匹配,按当前匹配规则处理请求。
如果最长匹配前缀位置有
"^~"修饰符,则不检查正则表达式。另外,使用“=”修饰符可以定义URI和位置的精确匹配。如果找到完全匹配项,搜索将终止。
3、location 配置示例
1、没有修饰符 表示:必须以指定模式开始
[root@localhost ~]# vim /etc/nginx/conf.d/nginx.conf
server {
listen 80;
server_name localhost;
location /abc/ {
root /var/www/nginx;
index neko.html;
}
}
接着在服务的 /var/www/nginx/目录下创建 abc 目录,并在 abc 目录下创建 neko.html
[root@localhost ~]# mkdir -p /var/www/nginx/abc
[root@localhost ~]# echo "bilibili 干杯!!!" > /var/www/nginx/abc/neko.html
访问
[root@localhost ~]# curl 127.0.0.1/abc/neko.html
bilibili 干杯!!!
2、=表示:必须与指定的模式精确匹配
server {
listen 80;
server_name localhost;
access_log /var/log/nginx/http_access.log main;
# 凡是 / 开头的 url 都可以匹配到,但是由于这个优先级最低。
location / {
root /usr/share/nginx/html;
index a.html index.htm;
}
location = / {
root /usr/share/nginx/html;
index b.html index.htm;
}
}
测试:
http://192.168.1.9 # 将完全匹配到:
=/http://192.168.1.9/a.html # /a.html 不是
/, 所以只能匹配到 第一个/
3、~ 表示:指定的正则表达式要区分大小写
server {
server_name localhost;
location ~ /abc/ {
root /home/www/nginx;
index 2.html index.html;
}
}
测试访问:
http://192.168.1.9/abc/
不正确的
http://192.168.1.9/ABC/
如果将配置文件修改为
location ~ /ABC {
root /home/www/nginx;
index 2.html index.html;
}
在创建目录和文件:
[root@ansible-server html]# cd /home/www/nginx/
[root@ansible-server nginx]# mkdir ABC
[root@ansible-server nginx]# vim ABC/2.html
访问:
http://192.168.1.9/ABC/
结论:~ 需要区分大小写。而且目录需要根据大小写定义。
4、^~ :类似于无修饰符的行为,也是以指定模式开始,不同的是,如果模式匹配,那么就停止搜索其他模式了。
5、@ :定义命名 location 区段,这些区段客户端不能访问,只可以由内部产生的请求来访问,如error_page等
4、location 区段匹配示例
location = / { /documents/document.html
# 只匹配 / 的查询.
# 这里的 / 是针对于 nginx 安装的时候默认的网站根目录,
# 假如想改变,在 location 配置块外部 写上 root 目录,
# 去覆盖原来的目录;
[ configuration A ]
}
location / { /abc/documents/document.html
# 匹配任何以 / 开始的查询,但是正则表达式与一些较长的字符串将被优先匹配。
[ configuration B ]
}
location /abc/{ # 前缀 /abc/documents/document.html
}
location ^~ /images/ { /abc/documents/document.html
# 匹配任何以 /images/ 开始的查询并且停止搜索,不检查正则表达式。
[ configuration C ]
}
http://a.neko.com/images/a.jpg
http://a.neko.com/abc/a.jpg
# location ~* /abc/.*\.(gif|jpg|jpeg)$
location ~* \.(gif|jpg|jpeg)$ {
# 匹配任何以gif, jpg, or jpeg结尾的文件
[ configuration D ]
}
各请求的处理如下例:
/ → configuration A
/documents/document.html → configuration B
/images/1.gif → configuration C
/documents/1.jpg → configuration D
5、nginx 地址重写 rewrite
Rewrite对称URL Rewrite,即URL重写,就是把传入Web的请求重定向到其他URL的过程
- URL Rewrite最常见的应用是URL伪静态化,是将动态页面显示为静态页面方式的一种技术。比如http://www.123.com/news/index.php?id=123&name=neko 使用URLRewrite 转换后可以显示为 http://www.123.com/news/123.html
- 从安全角度上讲,如果在URL中暴露太多的参数,无疑会造成一定量的信息泄漏,可能会被一些黑客利用,对你的系统造成一定的破坏,所以静态化的URL地址可以给我们带来更高的安全性。
- 实现网站地址跳转,例如用户访问360buy.com,将其跳转到jd.com。例如当用户访问tianyun.com的
80端口时,将其跳转到443端口。
三、Rewrite 相关指令
Nginx Rewrite 相关指令有 if、rewrite、set、return
1、if 语句
应用环境
server,location
语法:
if (condition) { … }
if 可以支持如下条件判断匹配符号~正则匹配 (区分大小写)~*正则匹配 (不区分大小写)!~正则不匹配 (区分大小写)!~*正则不匹配 (不区分大小写)-f和!-f用来判断是否存在文件-d和!-d用来判断是否存在目录-e和!-e用来判断是否存在文件或目录-x和!-x用来判断文件是否可执行
在匹配过程中可以引用一些Nginx的全局变量
$args 请求中的参数;
$document_root 针对当前请求的根路径设置值;
$host 请求信息中的"Host",如果请求中没有Host行,则等于设置的服务器名;
$limit_rate 对连接速率的限制;
$request_method 请求的方法,比如"GET"、"POST"等;
$remote_addr 客户端地址;
$remote_port 客户端端口号;
$remote_user 客户端用户名,认证用;
$request_filename 当前请求的文件路径名(带网站的主目录/usr/local/nginx/html/images/a.jpg)
$request_uri 当前请求的文件路径名(不带网站的主目录/images/a.jpg)
q u e r y s t r i n g 与 query_string 与 querystring与args相同;
$scheme 用的协议,比如http或者是https
$server_protocol 请求的协议版本,“HTTP/1.0"或"HTTP/1.1”;
$server_addr i服务器地址,如果没有用listen指明服务器地址,使用这个变量将发起一次系统调用以取得地址(造成资源浪费);
$server_name 请求到达的服务器名;
d o c u m e n t u r i 与 document_uri 与 documenturi与uri一样,URI地址;
$server_port 请求到达的服务器端口号;
2、Rewrite flag
rewrite 指令根据表达式来重定向URI,或者修改字符串。可以应用于server,location,if环境下每行rewrite指令最后跟一个flag标记,支持的flag标记有:
last 相当于Apache里的[L]标记,表示完成rewrite。默认为last。
break 本条规则匹配完成后,终止匹配,不再匹配后面的规则
redirect 返回302临时重定向,浏览器地址会显示跳转后的URL地址
permanent 返回301永久重定向,浏览器地址会显示跳转后的URL地址
redirect 和 permanent区别则是返回的不同方式的重定向:
对于客户端来说一般状态下是没有区别的。而对于搜索引擎,相对来说301的重定向更加友好,如果我们把一个地址采用301跳转方式跳转的话,搜索引擎会把老地址的相关信息带到新地址,同时在搜索引擎索引库中彻底废弃掉原先的老地址。
使用302重定向时,搜索引擎(特别是google)有时会查看跳转前后哪个网址更直观,然后决定显示哪个,如果它觉的跳转前的URL更好的话,也许地址栏不会更改。
3、Rewrite匹配参考示例
本地解析host文件
例1:
# http://www.testpm.com/a/1.html ==> http://www.testpm.com/b/2.html
location /a {
root /html;
index 1.html index.htm;
rewrite .* /b/2.html permanent ;
}
location /b {
root /html;
index 2.html index.htm;
}
例2:
# http://www.testpm.com/2019/a/1.html ==> http://www.testpm.com/2018/a/1.html
location /2019/a {
root /html;
index 1.html index.hml;
rewrite ^/2019/(.*)$ /2018/$1 permanent;
}
location /2018/a {
root /html;
index 1.html index.htl;
}
例3:
# http://www.qf.com/a/1.html ==> https://www.jd.com
location /a {
root /html;
if ($host ~* www.qf.com ) {
rewrite .* https://www.jd.com permanent;
}
}
例4:
# http://192.168.122.153/a/1.html ==> http://192.168.122.170/a/1.html
location /a {
root /html;
if ( $host ~* qf.com ){
rewrite .* http://192.168.122.170$request_uri permanent;
}
}
例5: 在访问目录后添加/ (如果目录后已有/,则不加/)
# http://www.tianyun.com/a/b/c
# $1: /a/b
# $2: c
# http://$host$1$2/
location /a/b/c {
root /usr/share/nginx/html;
index index.html index.hml;
if (-d $request_filename) {
# /a/b/ c
# /a/b/c/
rewrite ^(.*)([^/])$ http://$host$1$2/ permanent;
}
}
例6:
# http://www.tianyun.com/login/tianyun.html ==> http://www.tianyun.com/reg/login.html?user=tianyun
location /login {
root /usr/share/nginx/html;
rewrite ^/login/(.*)\.html$ http://$host/reg/login.html?user=$1;
{"user": "tianyun"}
}
location /reg {
root /usr/share/nginx/html;
index login.html;
}
例7:
#http://www.tianyun.com/qf/11-22-33/1.html ==> http://www.tianyun.com/qf/11/22/33/1.html
location /qf {
rewrite ^/qf/([0-9]+)-([0-9]+)-([0-9]+)(.*)$ /qf/$1/$2/$3/$4 permanent;
}
location /qf/11/22/33 {
root /html;
index 1.html;
}
4、set 指令
set 指令是用于定义一个变量,并且赋值
应用环境:
server,location,if
应用示例
例8:
#http://alice.testpm.com ==> http://www.testpm.com/alice
#http://jack.testpm.com ==> http://www.testpm.com/jack
[root@nginx-server conf.d]# cd /usr/share/nginx/html/
[root@nginx-server html]# mkdir jack alice
[root@nginx-server html]# echo "jack.." >> jack/index.html
[root@nginx-server html]# echo "alice.." >> alice/index.html
a. DNS实现泛解析
IN A 网站IP
或者本地解析域名host文件
10.0.105.202 www.testpm.com
10.0.105.202 alice.testpm.com
10.0.105.202 jack.testpm.com
编辑配置文件:
server {
listen 80;
server_name www.testpm.com;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
if ( $host ~* ^www.testpm.com$) {
break;
}
if ( $host ~* "^(.*)\.testpm\.com$" ) {
set $user $1;
rewrite .* http://www.testpm.com/$user permanent;
}
}
location /jack {
root /usr/share/nginx/html;
index index.html index.hml;
}
location /alice {
root /usr/share/nginx/html;
index index.html index.hml;
}
}
5、return 指令
return 指令用于返回状态码给客户端
server,location,if
应用示例:
例9:如果访问的.sh结尾的文件则返回403操作拒绝错误
server {
listen 80;
server_name www.testpm.cn;
#access_log /var/log/nginx/http_access.log main;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
location ~* \.sh$ { # .sh .Sh .SH .sH
return 403;
}
}
例10:80 ======> 443 :80转443端口
server {
listen 80;
server_name www.testpm.cn;
access_log /var/log/nginx/http_access.log main;
return 301 https://www.testpm.cn$request_uri;
}
server {
listen 443 ssl;
server_name www.testpm.cn;
access_log /var/log/nginx/https_access.log main;
#ssl on;
ssl_certificate /etc/nginx/cert/2447549_www.testpm.cn.pem;
ssl_certificate_key /etc/nginx/cert/2447549_www.testpm.cn.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
[root@nginx-server ~]# curl -I http://www.testpm.cn
HTTP/1.1 301 Moved Permanently
Server: nginx/1.16.0
Date: Wed, 03 Jul 2019 13:52:30 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
Location: https://www.testpm.cn/