日韩成人免费在线_国产成人一二_精品国产免费人成电影在线观..._日本一区二区三区久久久久久久久不

當前位置:首頁 > 科技  > 軟件

Nginx 一網打盡:動靜分離、壓縮、緩存、黑白名單、跨域、高可用、性能優化...

來源: 責編: 時間:2024-03-18 09:41:38 170觀看
導讀引言早期的業務都是基于單體節點部署,由于前期訪問流量不大,因此單體結構也可滿足需求,但隨著業務增長,流量也越來越大,那么最終單臺服務器受到的訪問壓力也會逐步增高。時間一長,單臺服務器性能無法跟上業務增長,就會造成線

引言

早期的業務都是基于單體節點部署,由于前期訪問流量不大,因此單體結構也可滿足需求,但隨著業務增長,流量也越來越大,那么最終單臺服務器受到的訪問壓力也會逐步增高。時間一長,單臺服務器性能無法跟上業務增長,就會造成線上頻繁宕機的現象發生,最終導致系統癱瘓無法繼續處理用戶的請求。uFI28資訊網——每日最新資訊28at.com

從上面的描述中,主要存在兩個問題:①單體結構的部署方式無法承載日益增長的業務流量。②當后端節點宕機后,整個系統會陷入癱瘓,導致整個項目不可用。uFI28資訊網——每日最新資訊28at.com

因此在這種背景下,引入負載均衡技術可帶來的收益:uFI28資訊網——每日最新資訊28at.com

  • 系統的高可用:當某個節點宕機后可以迅速將流量轉移至其他節點。
  • 系統的高性能:多臺服務器共同對外提供服務,為整個系統提供了更高規模的吞吐。
  • 系統的拓展性:當業務再次出現增長或萎靡時,可再加入/減少節點,靈活伸縮。

OK~,既然引入負載均衡技術可給我們帶來如此巨大的好處,那么又有那些方案可供選擇呢?主要有兩種負載方案,「硬件層面與軟件層面」 ,比較常用的硬件負載器有A10、F5等,但這些機器動輒大幾萬乃至幾十萬的成本,因此一般大型企業會采用該方案,如銀行、國企、央企等。而成本有限,但依舊想做負載均衡的項目,那么可在軟件層面實現,如典型的Nginx等,軟件層的負載也是本文的重點,畢竟Boss們的準則之一就是:「能靠技術實現的就盡量不花錢。」uFI28資訊網——每日最新資訊28at.com

 一、性能怪獸-Nginx概念深入淺出

Nginx是目前負載均衡技術中的主流方案,幾乎絕大部分項目都會使用它,Nginx是一個輕量級的高性能HTTP反向代理服務器,同時它也是一個通用類型的代理服務器,支持絕大部分協議,如TCP、UDP、SMTP、HTTPS等。uFI28資訊網——每日最新資訊28at.com

Nginx與Redis相同,都是基于多路復用模型構建出的產物,因此它與Redis同樣具備「資源占用少、并發支持高」 的特點,在理論上單節點的Nginx同時支持5W并發連接,而實際生產環境中,硬件基礎到位再結合簡單調優后確實能達到該數值。uFI28資訊網——每日最新資訊28at.com

先來看看Nginx引入前后,客戶端請求處理流程的對比:uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

原本客戶端是直接請求目標服務器,由目標服務器直接完成請求處理工作,但加入Nginx后,所有的請求會先經過Nginx,再由其進行分發到具體的服務器處理,處理完成后再返回Nginx,最后由Nginx將最終的響應結果返回給客戶端。uFI28資訊網——每日最新資訊28at.com

了解了Nginx的基本概念后,再來快速搭建一下環境,以及了解一些Nginx的高級特性,如動靜分離、資源壓縮、緩存配置、IP黑名單、高可用保障等。uFI28資訊網——每日最新資訊28at.com

二、Nginx環境搭建

點解查看:nginx安裝教程uFI28資訊網——每日最新資訊28at.com

最終看到如上的Nginx歡迎界面,代表Nginx安裝完成。uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

三、Nginx反向代理-負載均衡

首先通過SpringBoot+Freemarker快速搭建一個WEB項目:springboot-web-nginx,然后在該項目中,創建一個IndexNginxController.java文件,邏輯如下:uFI28資訊網——每日最新資訊28at.com

@Controllerpublic class IndexNginxController {    @Value("${server.port}")    private String port;    @RequestMapping("/")    public ModelAndView index(){        ModelAndView model = new ModelAndView();        model.addObject("port", port);        model.setViewName("index");        return model;    }}

在該Controller類中,存在一個成員變量:port,它的值即是從application.properties配置文件中獲取server.port值。當出現訪問/資源的請求時,跳轉前端index頁面,并將該值攜帶返回。uFI28資訊網——每日最新資訊28at.com

前端的index.ftl文件代碼如下:uFI28資訊網——每日最新資訊28at.com

<html>    <head>        <title>Nginx演示頁面</title>        <link href="nginx_style.css" rel="stylesheet" type="text/css"/>    </head>    <body>        <div style="border: 2px solid red;margin: auto;width: 800px;text-align: center">            <div  id="nginx_title">                <h1>歡迎來到按摩會所,我是一號技師${port}號!</h1>            </div>        </div>    </body></html>

從上可以看出其邏輯并不復雜,僅是從響應中獲取了port輸出。uFI28資訊網——每日最新資訊28at.com

OK~,前提工作準備就緒后,再簡單修改一下nginx.conf的配置即可:uFI28資訊網——每日最新資訊28at.com

upstream nginx_boot{   # 30s內檢查心跳發送兩次包,未回復就代表該機器宕機,請求分發權重比為1:2   server 192.168.0.000:8080 weight=100 max_fails=2 fail_timeout=30s;    server 192.168.0.000:8090 weight=200 max_fails=2 fail_timeout=30s;   # 這里的IP請配置成你WEB服務所在的機器IP}server {    location / {        root   html;        # 配置一下index的地址,最后加上index.ftl。        index  index.html index.htm index.jsp index.ftl;        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        # 請求交給名為nginx_boot的upstream上        proxy_pass http://nginx_boot;    }}

至此,所有的前提工作準備就緒,緊接著再啟動Nginx,然后再啟動兩個web服務,第一個WEB服務啟動時,在application.properties配置文件中,將端口號改為8080,第二個WEB服務啟動時,將其端口號改為8090。uFI28資訊網——每日最新資訊28at.com

最終來看看效果:uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

負載均衡效果-動圖演示uFI28資訊網——每日最新資訊28at.com

因為配置了請求分發的權重,8080、8090的權重比為2:1,因此請求會根據權重比均攤到每臺機器,也就是8080一次、8090兩次、8080一次......uFI28資訊網——每日最新資訊28at.com

Nginx請求分發原理

客戶端發出的請求192.168.12.129最終會轉變為:http://192.168.12.129:80/,然后再向目標IP發起請求,流程如下:uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

請求分發原理uFI28資訊網——每日最新資訊28at.com

  • 由于Nginx監聽了192.168.12.129的80端口,所以最終該請求會找到Nginx進程;
  • Nginx首先會根據配置的location規則進行匹配,根據客戶端的請求路徑/,會定位到location /{}規則;
  • 然后根據該location中配置的proxy_pass會再找到名為nginx_boot的upstream;
  • 最后根據upstream中的配置信息,將請求轉發到運行WEB服務的機器處理,由于配置了多個WEB服務,且配置了權重值,因此Nginx會依次根據權重比分發請求。

四、Nginx動靜分離

動靜分離應該是聽的次數較多的性能優化方案,那先思考一個問題:「為什么需要做動靜分離呢?它帶來的好處是什么?」 其實這個問題也并不難回答,當你搞懂了網站的本質后,自然就理解了動靜分離的重要性。先來以淘寶為例分析看看:uFI28資訊網——每日最新資訊28at.com

淘寶首頁淘寶首頁uFI28資訊網——每日最新資訊28at.com

當瀏覽器輸入www.taobao.com訪問淘寶首頁時,打開開發者調試工具可以很明顯的看到,首頁加載會出現100+的請求數,而正常項目開發時,靜態資源一般會放入到resources/static/目錄下:uFI28資訊網——每日最新資訊28at.com

IDEA 工程結構IDEA 工程結構uFI28資訊網——每日最新資訊28at.com

在項目上線部署時,這些靜態資源會一起打成包,那此時思考一個問題:「假設淘寶也是這樣干的,那么首頁加載時的請求最終會去到哪兒被處理?」 答案毋庸置疑,首頁100+的所有請求都會來到部署WEB服務的機器處理,那則代表著一個客戶端請求淘寶首頁,就會對后端服務器造成100+的并發請求。毫無疑問,這對于后端服務器的壓力是尤為巨大的。uFI28資訊網——每日最新資訊28at.com

但此時不妨分析看看,首頁100+的請求中,是不是至少有60+是屬于*.js、*.css、*.html、*.jpg.....這類靜態資源的請求呢?答案是Yes。uFI28資訊網——每日最新資訊28at.com

既然有這么多請求屬于靜態的,這些資源大概率情況下,長時間也不會出現變動,那為何還要讓這些請求到后端再處理呢?能不能在此之前就提前處理掉?當然OK,因此經過分析之后能夠明確一點:「做了動靜分離之后,至少能夠讓后端服務減少一半以上的并發量。」 到此時大家應該明白了動靜分離能夠帶來的性能收益究竟有多大。uFI28資訊網——每日最新資訊28at.com

OK~,搞清楚動靜分離的必要性之后,如何實現動靜分離呢?其實非常簡單,實戰看看。uFI28資訊網——每日最新資訊28at.com

①先在部署Nginx的機器,Nginx目錄下創建一個目錄static_resources:uFI28資訊網——每日最新資訊28at.com

mkdir static_resourcesuFI28資訊網——每日最新資訊28at.com

②將項目中所有的靜態資源全部拷貝到該目錄下,而后將項目中的靜態資源移除重新打包。uFI28資訊網——每日最新資訊28at.com

③稍微修改一下nginx.conf的配置,增加一條location匹配規則:uFI28資訊網——每日最新資訊28at.com

location ~ .*/.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css){    root   /soft/nginx/static_resources;    expires 7d;}

然后照常啟動nginx和移除了靜態資源的WEB服務,你會發現原本的樣式、js效果、圖片等依舊有效,如下:uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

其中static目錄下的nginx_style.css文件已被移除,但效果依舊存在(綠色字體+藍色大邊框):uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

移除后效果動圖uFI28資訊網——每日最新資訊28at.com

最后解讀一下那條location規則:location ~ .*/.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css)~代表匹配時區分大小寫.*代表任意字符都可以出現零次或多次,即資源名不限制/.代表匹配后綴分隔符.(html|...|css)代表匹配括號里所有靜態資源類型 綜上所述,簡單一句話概述:「該配置表示匹配以.html~.css為后綴的所有資源請求。」uFI28資訊網——每日最新資訊28at.com

最后提一嘴,也可以將靜態資源上傳到文件服務器中,然后location中配置一個新的upstream指向。uFI28資訊網——每日最新資訊28at.com

五、Nginx資源壓縮

建立在動靜分離的基礎之上,如果一個靜態資源的Size越小,那么自然傳輸速度會更快,同時也會更節省帶寬,因此我們在部署項目時,也可以通過Nginx對于靜態資源實現壓縮傳輸,一方面可以節省帶寬資源,第二方面也可以加快響應速度并提升系統整體吞吐。uFI28資訊網——每日最新資訊28at.com

在Nginx也提供了三個支持資源壓縮的模塊ngx_http_gzip_module、ngx_http_gzip_static_module、ngx_http_gunzip_module,其中ngx_http_gzip_module屬于內置模塊,代表著可以直接使用該模塊下的一些壓縮指令,后續的資源壓縮操作都基于該模塊,先來看看壓縮配置的一些參數/指令:uFI28資訊網——每日最新資訊28at.com

  • 參數項
  • 釋義
  • 參數值


uFI28資訊網——每日最新資訊28at.com


uFI28資訊網——每日最新資訊28at.com


uFI28資訊網——每日最新資訊28at.com

gzipuFI28資訊網——每日最新資訊28at.com

開啟或關閉壓縮機制uFI28資訊網——每日最新資訊28at.com


uFI28資訊網——每日最新資訊28at.com

on/off;uFI28資訊網——每日最新資訊28at.com

gzip_typesuFI28資訊網——每日最新資訊28at.com

根據文件類型選擇性開啟壓縮機制uFI28資訊網——每日最新資訊28at.com

image/png、text/css...uFI28資訊網——每日最新資訊28at.com

gzip_comp_leveluFI28資訊網——每日最新資訊28at.com

用于設置壓縮級別,級別越高越耗時uFI28資訊網——每日最新資訊28at.com

1~9(越高壓縮效果越好)uFI28資訊網——每日最新資訊28at.com

gzip_varyuFI28資訊網——每日最新資訊28at.com

設置是否攜帶Vary:Accept-Encoding頭域的響應頭部uFI28資訊網——每日最新資訊28at.com

on/off;uFI28資訊網——每日最新資訊28at.com

gzip_buffersuFI28資訊網——每日最新資訊28at.com

設置處理壓縮請求的緩沖區數量和大小uFI28資訊網——每日最新資訊28at.com

數量 大小,如16 8k;uFI28資訊網——每日最新資訊28at.com

gzip_disableuFI28資訊網——每日最新資訊28at.com

針對不同客戶端的請求來設置是否開啟壓縮uFI28資訊網——每日最新資訊28at.com

如 .*Chrome.*;uFI28資訊網——每日最新資訊28at.com

gzip_http_versionuFI28資訊網——每日最新資訊28at.com

指定壓縮響應所需要的最低HTTP請求版本uFI28資訊網——每日最新資訊28at.com

1.1;uFI28資訊網——每日最新資訊28at.com

gzip_min_lengthuFI28資訊網——每日最新資訊28at.com

設置觸發壓縮的文件最低大小uFI28資訊網——每日最新資訊28at.com

512k;uFI28資訊網——每日最新資訊28at.com

gzip_proxieduFI28資訊網——每日最新資訊28at.com

對于后端服務器的響應結果是否開啟壓縮uFI28資訊網——每日最新資訊28at.com

off、expired、no-cache...uFI28資訊網——每日最新資訊28at.com

了解了Nginx中的基本壓縮配置后,接下來可以在Nginx中簡單配置一下:uFI28資訊網——每日最新資訊28at.com

http{    # 開啟壓縮機制    gzip on;    # 指定會被壓縮的文件類型(也可自己配置其他類型)    gzip_types text/plain application/javascript text/css application/xml text/javascript image/jpeg image/gif image/png;    # 設置壓縮級別,越高資源消耗越大,但壓縮效果越好    gzip_comp_level 5;    # 在頭部中添加Vary: Accept-Encoding(建議開啟)    gzip_vary on;    # 處理壓縮請求的緩沖區數量和大小    gzip_buffers 16 8k;    # 對于不支持壓縮功能的客戶端請求不開啟壓縮機制    gzip_disable "MSIE [1-6]/."; # 低版本的IE瀏覽器不支持壓縮    # 設置壓縮響應所支持的HTTP最低版本    gzip_http_version 1.1;    # 設置觸發壓縮的最小閾值    gzip_min_length 2k;    # 關閉對后端服務器的響應結果進行壓縮    gzip_proxied off;}

在上述的壓縮配置中,最后一個gzip_proxied選項,可以根據系統的實際情況決定,總共存在多種選項:uFI28資訊網——每日最新資訊28at.com

  • off:關閉Nginx對后臺服務器的響應結果進行壓縮。
  • expired:如果響應頭中包含Expires信息,則開啟壓縮。
  • no-cache:如果響應頭中包含Cache-Control:no-cache信息,則開啟壓縮。
  • no-store:如果響應頭中包含Cache-Control:no-store信息,則開啟壓縮。
  • private:如果響應頭中包含Cache-Control:private信息,則開啟壓縮。
  • no_last_modified:如果響應頭中不包含Last-Modified信息,則開啟壓縮。
  • no_etag:如果響應頭中不包含ETag信息,則開啟壓縮。
  • auth:如果響應頭中包含Authorization信息,則開啟壓縮。
  • any:無條件對后端的響應結果開啟壓縮機制。

OK~,簡單修改好了Nginx的壓縮配置后,可以在原本的index頁面中引入一個jquery-3.6.0.js文件:uFI28資訊網——每日最新資訊28at.com

<script type="text/javascript" src="jquery-3.6.0.js"></script>

分別來對比下壓縮前后的區別:uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

從圖中可以很明顯看出,未開啟壓縮機制前訪問時,js文件的原始大小為230K,當配置好壓縮后再重啟Nginx,會發現文件大小從230KB→69KB,效果立竿見影!uFI28資訊網——每日最新資訊28at.com

注意點:①對于圖片、視頻類型的數據,會默認開啟壓縮機制,因此一般無需再次開啟壓縮。②對于.js文件而言,需要指定壓縮類型為application/javascript,而并非text/javascript、application/x-javascript。uFI28資訊網——每日最新資訊28at.com

六、Nginx緩沖區

先來思考一個問題,接入Nginx的項目一般請求流程為:“客戶端→Nginx→服務端”,在這個過程中存在兩個連接:“客戶端→Nginx、Nginx→服務端”,那么兩個不同的連接速度不一致,就會影響用戶的體驗(比如瀏覽器的加載速度跟不上服務端的響應速度)。其實也就類似電腦的內存跟不上CPU速度,所以對于用戶造成的體驗感極差,因此在CPU設計時都會加入三級高速緩沖區,用于緩解CPU和內存速率不一致的矛盾。在Nginx也同樣存在緩沖區的機制,主要目的就在于:「用來解決兩個連接之間速度不匹配造成的問題」 ,有了緩沖后,Nginx代理可暫存后端的響應,然后按需供給數據給客戶端。先來看看一些關于緩沖區的配置項:uFI28資訊網——每日最新資訊28at.com

  • proxy_buffering:是否啟用緩沖機制,默認為on關閉狀態。
  • client_body_buffer_size:設置緩沖客戶端請求數據的內存大小。
  • proxy_buffers:為每個請求/連接設置緩沖區的數量和大小,默認4 4k/8k。
  • proxy_buffer_size:設置用于存儲響應頭的緩沖區大小。
  • proxy_busy_buffers_size:在后端數據沒有完全接收完成時,Nginx可以將busy狀態的緩沖返回給客戶端,該參數用來設置busy狀態的buffer具體有多大,默認為proxy_buffer_size*2。
  • proxy_temp_path:當內存緩沖區存滿時,可以將數據臨時存放到磁盤,該參數是設置存儲緩沖數據的目錄。

path是臨時目錄的路徑。uFI28資訊網——每日最新資訊28at.com

語法:proxy_temp_path path;uFI28資訊網——每日最新資訊28at.com

  • proxy_temp_file_write_size:設置每次寫數據到臨時文件的大小限制。
  • proxy_max_temp_file_size:設置臨時的緩沖目錄中允許存儲的最大容量。
  • 非緩沖參數項:
  • proxy_connect_timeout:設置與后端服務器建立連接時的超時時間。
  • proxy_read_timeout:設置從后端服務器讀取響應數據的超時時間。
  • proxy_send_timeout:設置向后端服務器傳輸請求數據的超時時間。

具體的nginx.conf配置如下:uFI28資訊網——每日最新資訊28at.com

http{    proxy_connect_timeout 10;    proxy_read_timeout 120;    proxy_send_timeout 10;    proxy_buffering on;    client_body_buffer_size 512k;    proxy_buffers 4 64k;    proxy_buffer_size 16k;    proxy_busy_buffers_size 128k;    proxy_temp_file_write_size 128k;    proxy_temp_path /soft/nginx/temp_buffer;}

上述的緩沖區參數,是基于每個請求分配的空間,而并不是所有請求的共享空間。當然,具體的參數值還需要根據業務去決定,要綜合考慮機器的內存以及每個請求的平均數據大小。uFI28資訊網——每日最新資訊28at.com

最后提一嘴:使用緩沖也可以減少即時傳輸帶來的帶寬消耗。uFI28資訊網——每日最新資訊28at.com

七、Nginx緩存機制

對于性能優化而言,緩存是一種能夠大幅度提升性能的方案,因此幾乎可以在各處都能看見緩存,如客戶端緩存、代理緩存、服務器緩存等等,Nginx的緩存則屬于代理緩存的一種。對于整個系統而言,加入緩存帶來的優勢額外明顯:uFI28資訊網——每日最新資訊28at.com

  • 減少了再次向后端或文件服務器請求資源的帶寬消耗。
  • 降低了下游服務器的訪問壓力,提升系統整體吞吐。
  • 縮短了響應時間,提升了加載速度,打開頁面的速度更快。

那么在Nginx中,又該如何配置代理緩存呢?先來看看緩存相關的配置項:uFI28資訊網——每日最新資訊28at.com

  • proxy_cache_path:代理緩存的路徑。

path:緩存的路徑地址。uFI28資訊網——每日最新資訊28at.com

levels:緩存存儲的層次結構,最多允許三層目錄。uFI28資訊網——每日最新資訊28at.com

use_temp_path:是否使用臨時目錄。uFI28資訊網——每日最新資訊28at.com

keys_zone:指定一個共享內存空間來存儲熱點Key(1M可存儲8000個Key)。uFI28資訊網——每日最新資訊28at.com

inactive:設置緩存多長時間未被訪問后刪除(默認是十分鐘)。uFI28資訊網——每日最新資訊28at.com

max_size:允許緩存的最大存儲空間,超出后會基于LRU算法移除緩存,Nginx會創建一個Cache manager的進程移除數據,也可以通過purge方式。uFI28資訊網——每日最新資訊28at.com

manager_files:manager進程每次移除緩存文件數量的上限。uFI28資訊網——每日最新資訊28at.com

manager_sleep:manager進程每次移除緩存文件的時間上限。uFI28資訊網——每日最新資訊28at.com

manager_threshold:manager進程每次移除緩存后的間隔時間。uFI28資訊網——每日最新資訊28at.com

loader_files:重啟Nginx載入緩存時,每次加載的個數,默認100。uFI28資訊網——每日最新資訊28at.com

loader_sleep:每次載入時,允許的最大時間上限,默認200ms。uFI28資訊網——每日最新資訊28at.com

loader_threshold:一次載入后,停頓的時間間隔,默認50ms。uFI28資訊網——每日最新資訊28at.com

purger:是否開啟purge方式移除數據。uFI28資訊網——每日最新資訊28at.com

purger_files:每次移除緩存文件時的數量。uFI28資訊網——每日最新資訊28at.com

purger_sleep:每次移除時,允許消耗的最大時間。uFI28資訊網——每日最新資訊28at.com

purger_threshold:每次移除完成后,停頓的間隔時間。uFI28資訊網——每日最新資訊28at.com

語法:proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_znotallow=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];uFI28資訊網——每日最新資訊28at.com

是的,你沒有看錯,就是這么長....,解釋一下每個參數項的含義:uFI28資訊網——每日最新資訊28at.com

  • proxy_cache:開啟或關閉代理緩存,開啟時需要指定一個共享內存區域。
  • zone為內存區域的名稱,即上面中keys_zone設置的名稱。
  • 語法:proxy_cache zone | off;
  • proxy_cache_key:定義如何生成緩存的鍵。
  • string為生成Key的規則,如$scheme$proxy_host$request_uri。
  • 語法:proxy_cache_key string;
  • proxy_cache_valid:緩存生效的狀態碼與過期時間。
  • code為狀態碼,time為有效時間,可以根據狀態碼設置不同的緩存時間。
  • 例如:proxy_cache_valid 200 302 30m;
  • 語法:proxy_cache_valid [code ...] time;
  • proxy_cache_min_uses:設置資源被請求多少次后被緩存。
  • number為次數,默認為1。
  • 語法:proxy_cache_min_uses number;
  • proxy_cache_use_stale:當后端出現異常時,是否允許Nginx返回緩存作為響應。
  • error為錯誤類型,可配置timeout|invalid_header|updating|http_500...。
  • 語法:proxy_cache_use_stale error;
  • proxy_cache_lock:對于相同的請求,是否開啟鎖機制,只允許一個請求發往后端。
  • 語法:proxy_cache_lock on | off;
  • proxy_cache_lock_timeout:配置鎖超時機制,超出規定時間后會釋放請求。
  • proxy_cache_lock_timeout time;
  • proxy_cache_methods:設置對于那些HTTP方法開啟緩存。
  • method為請求方法類型,如GET、HEAD等。
  • 語法:proxy_cache_methods method;
  • proxy_no_cache:定義不存儲緩存的條件,符合時不會保存。
  • string為條件,例如$cookie_nocache $arg_nocache $arg_comment;
  • 語法:proxy_no_cache string...;
  • proxy_cache_bypass:定義不讀取緩存的條件,符合時不會從緩存中讀取。
  • 和上面proxy_no_cache的配置方法類似。
  • 語法:proxy_cache_bypass string...;
  • add_header:往響應頭中添加字段信息。
  • 語法:add_header fieldName fieldValue;
  • $upstream_cache_status:記錄了緩存是否命中的信息,存在多種情況:
  • MISS:請求未命中緩存。
  • HIT:請求命中緩存。
  • EXPIRED:請求命中緩存但緩存已過期。
  • STALE:請求命中了陳舊緩存。
  • REVALIDDATED:Nginx驗證陳舊緩存依然有效。
  • UPDATING:命中的緩存內容陳舊,但正在更新緩存。
  • BYPASS:響應結果是從原始服務器獲取的。
  • PS:這個和之前的不同,之前的都是參數項,這個是一個Nginx內置變量。

OK~,對于Nginx中的緩存配置項大概了解后,接著來配置一下Nginx代理緩存:uFI28資訊網——每日最新資訊28at.com

http{    # 設置緩存的目錄,并且內存中緩存區名為hot_cache,大小為128m,    # 三天未被訪問過的緩存自動清楚,磁盤中緩存的最大容量為2GB。    proxy_cache_path /soft/nginx/cache levels=1:2 keys_znotallow=hot_cache:128m inactive=3d max_size=2g;        server{        location / {            # 使用名為nginx_cache的緩存空間            proxy_cache hot_cache;            # 對于200、206、304、301、302狀態碼的數據緩存1天            proxy_cache_valid 200 206 304 301 302 1d;            # 對于其他狀態的數據緩存30分鐘            proxy_cache_valid any 30m;            # 定義生成緩存鍵的規則(請求的url+參數作為key)            proxy_cache_key $host$uri$is_args$args;            # 資源至少被重復訪問三次后再加入緩存            proxy_cache_min_uses 3;            # 出現重復請求時,只讓一個去后端讀數據,其他的從緩存中讀取            proxy_cache_lock on;            # 上面的鎖超時時間為3s,超過3s未獲取數據,其他請求直接去后端            proxy_cache_lock_timeout 3s;            # 對于請求參數或cookie中聲明了不緩存的數據,不再加入緩存            proxy_no_cache $cookie_nocache $arg_nocache $arg_comment;            # 在響應頭中添加一個緩存是否命中的狀態(便于調試)            add_header Cache-status $upstream_cache_status;        }    }}

接著來看一下效果,如下:uFI28資訊網——每日最新資訊28at.com

圖片圖片uFI28資訊網——每日最新資訊28at.com

第一次訪問時,因為還沒有請求過資源,所以緩存中沒有數據,因此沒有命中緩存。第二、三次,依舊沒有命中緩存,直至第四次時才顯示命中,這是為什么呢?因為在前面的緩存配置中,我們配置了加入緩存的最低條件為:「資源至少要被請求三次以上才會加入緩存。」 這樣可以避免很多無效緩存占用空間。uFI28資訊網——每日最新資訊28at.com

緩存清理

當緩存過多時,如果不及時清理會導致磁盤空間被“吃光”,因此我們需要一套完善的緩存清理機制去刪除緩存,在之前的proxy_cache_path參數中有purger相關的選項,開啟后可以幫我們自動清理緩存,但遺憾的是:**purger系列參數只有商業版的NginxPlus才能使用,因此需要付費才可使用。**uFI28資訊網——每日最新資訊28at.com

不過天無絕人之路,我們可以通過強大的第三方模塊ngx_cache_purge來替代,先來安裝一下該插件:①首先去到Nginx的安裝目錄下,創建一個cache_purge目錄:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# mkdir cache_purge && cd cache_purge

②通過wget指令從github上拉取安裝包的壓縮文件并解壓:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# wget https://github.com/FRiCKLE/ngx_cache_purge/archive/2.3.tar.gz[root@localhost]# tar -xvzf 2.3.tar.gz

③再次去到之前Nginx的解壓目錄下:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# cd /soft/nginx/nginx1.21.6

④重新構建一次Nginx,通過--add-module的指令添加剛剛的第三方模塊:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# ./configure --prefix=/soft/nginx/ --add-module=/soft/nginx/cache_purge/ngx_cache_purge-2.3/

⑤重新根據剛剛構建的Nginx,再次編譯一下,但切記不要make install :uFI28資訊網——每日最新資訊28at.com

[root@localhost]# make

⑥刪除之前Nginx的啟動文件,不放心的也可以移動到其他位置:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# rm -rf /soft/nginx/sbin/nginx

⑦從生成的objs目錄中,重新復制一個Nginx的啟動文件到原來的位置:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# cp objs/nginx /soft/nginx/sbin/nginx

至此,第三方緩存清除模塊ngx_cache_purge就安裝完成了,接下來稍微修改一下nginx.conf配置,再添加一條location規則:uFI28資訊網——每日最新資訊28at.com

location ~ /purge(/.*) {  # 配置可以執行清除操作的IP(線上可以配置成內網機器)  # allow 127.0.0.1; # 代表本機  allow all; # 代表允許任意IP清除緩存  proxy_cache_purge $host$1$is_args$args;}

然后再重啟Nginx,接下來即可通過http://xxx/purge/xx的方式清除緩存。uFI28資訊網——每日最新資訊28at.com

八、Nginx實現IP黑白名單

有時候往往有些需求,可能某些接口只能開放給對應的合作商,或者購買/接入API的合作伙伴,那么此時就需要實現類似于IP白名單的功能。而有時候有些惡意攻擊者或爬蟲程序,被識別后需要禁止其再次訪問網站,因此也需要實現IP黑名單。那么這些功能無需交由后端實現,可直接在Nginx中處理。uFI28資訊網——每日最新資訊28at.com

Nginx做黑白名單機制,主要是通過allow、deny配置項來實現:uFI28資訊網——每日最新資訊28at.com

allow xxx.xxx.xxx.xxx; # 允許指定的IP訪問,可以用于實現白名單。deny xxx.xxx.xxx.xxx; # 禁止指定的IP訪問,可以用于實現黑名單。

要同時屏蔽/開放多個IP訪問時,如果所有IP全部寫在nginx.conf文件中定然是不顯示的,這種方式比較冗余,那么可以新建兩個文件BlocksIP.conf、WhiteIP.conf:uFI28資訊網——每日最新資訊28at.com

# --------黑名單:BlocksIP.conf---------deny 192.177.12.222; # 屏蔽192.177.12.222訪問deny 192.177.44.201; # 屏蔽192.177.44.201訪問deny 127.0.0.0/8; # 屏蔽127.0.0.1到127.255.255.254網段中的所有IP訪問# --------白名單:WhiteIP.conf---------allow 192.177.12.222; # 允許192.177.12.222訪問allow 192.177.44.201; # 允許192.177.44.201訪問allow 127.45.0.0/16; # 允許127.45.0.1到127.45.255.254網段中的所有IP訪問deny all; # 除開上述IP外,其他IP全部禁止訪問

分別將要禁止/開放的IP添加到對應的文件后,可以再將這兩個文件在nginx.conf中導入:uFI28資訊網——每日最新資訊28at.com

http{    # 屏蔽該文件中的所有IP    include /soft/nginx/IP/BlocksIP.conf;  server{    location xxx {        # 某一系列接口只開放給白名單中的IP        include /soft/nginx/IP/blockip.conf;     } }}

對于文件具體在哪兒導入,這個也并非隨意的,如果要整站屏蔽/開放就在http中導入,如果只需要一個域名下屏蔽/開放就在sever中導入,如果只需要針對于某一系列接口屏蔽/開放IP,那么就在location中導入。uFI28資訊網——每日最新資訊28at.com

當然,上述只是最簡單的IP黑/白名單實現方式,同時也可以通過ngx_http_geo_module、ngx_http_geo_module第三方庫去實現(這種方式可以按地區、國家進行屏蔽,并且提供了IP庫)。uFI28資訊網——每日最新資訊28at.com

九、Nginx跨域配置

跨域問題在之前的單體架構開發中,其實是比較少見的問題,除非是需要接入第三方SDK時,才需要處理此問題。但隨著現在前后端分離、分布式架構的流行,跨域問題也成為了每個Java開發必須要懂得解決的一個問題。uFI28資訊網——每日最新資訊28at.com

跨域問題產生的原因

產生跨域問題的主要原因就在于「同源策略」 ,為了保證用戶信息安全,防止惡意網站竊取數據,同源策略是必須的,否則cookie可以共享。由于http無狀態協議通常會借助cookie來實現有狀態的信息記錄,例如用戶的身份/密碼等,因此一旦cookie被共享,那么會導致用戶的身份信息被盜取。同源策略主要是指三點相同,「協議+域名+端口」 相同的兩個請求,則可以被看做是同源的,但如果其中任意一點存在不同,則代表是兩個不同源的請求,同源策略會限制了不同源之間的資源交互。uFI28資訊網——每日最新資訊28at.com

Nginx解決跨域問題

弄明白了跨域問題的產生原因,接下來看看Nginx中又該如何解決跨域呢?其實比較簡單,在nginx.conf中稍微添加一點配置即可:uFI28資訊網——每日最新資訊28at.com

location / {    # 允許跨域的請求,可以自定義變量$http_origin,*表示所有    add_header 'Access-Control-Allow-Origin' *;    # 允許攜帶cookie請求    add_header 'Access-Control-Allow-Credentials' 'true';    # 允許跨域請求的方法:GET,POST,OPTIONS,PUT    add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS,PUT';    # 允許請求時攜帶的頭部信息,*表示所有    add_header 'Access-Control-Allow-Headers' *;    # 允許發送按段獲取資源的請求    add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';    # 一定要有!!!否則Post請求無法進行跨域!    # 在發送Post跨域請求前,會以Options方式發送預檢請求,服務器接受時才會正式請求    if ($request_method = 'OPTIONS') {        add_header 'Access-Control-Max-Age' 1728000;        add_header 'Content-Type' 'text/plain; charset=utf-8';        add_header 'Content-Length' 0;        # 對于Options方式的請求返回204,表示接受跨域請求        return 204;    }}

在nginx.conf文件加上如上配置后,跨域請求即可生效了。uFI28資訊網——每日最新資訊28at.com

但如果后端是采用分布式架構開發的,有時候RPC調用也需要解決跨域問題,不然也同樣會出現無法跨域請求的異常,因此可以在你的后端項目中,通過繼承HandlerInterceptorAdapter類、實現WebMvcConfigurer接口、添加@CrossOrgin注解的方式實現接口之間的跨域配置。uFI28資訊網——每日最新資訊28at.com

十、Nginx防盜鏈設計

首先了解一下何謂盜鏈:「盜鏈即是指外部網站引入當前網站的資源對外展示」 ,來舉個簡單的例子理解:uFI28資訊網——每日最新資訊28at.com

好比壁紙網站X站、Y站,X站是一點點去購買版權、簽約作者的方式,從而積累了海量的壁紙素材,但Y站由于資金等各方面的原因,就直接通過<img src="X站/xxx.jpg" />這種方式照搬了X站的所有壁紙資源,繼而提供給用戶下載。uFI28資訊網——每日最新資訊28at.com

那么如果我們自己是這個X站的Boss,心中必然不爽,那么此時又該如何屏蔽這類問題呢?那么接下來要敘說的「防盜鏈」 登場了!uFI28資訊網——每日最新資訊28at.com

Nginx的防盜鏈機制實現,跟一個頭部字段:Referer有關,該字段主要描述了當前請求是從哪兒發出的,那么在Nginx中就可獲取該值,然后判斷是否為本站的資源引用請求,如果不是則不允許訪問。Nginx中存在一個配置項為valid_referers,正好可以滿足前面的需求,語法如下:uFI28資訊網——每日最新資訊28at.com

  • valid_referers none | blocked | server_names | string ...;

none:表示接受沒有Referer字段的HTTP請求訪問。uFI28資訊網——每日最新資訊28at.com

blocked:表示允許http://或https//以外的請求訪問。uFI28資訊網——每日最新資訊28at.com

server_names:資源的白名單,這里可以指定允許訪問的域名。uFI28資訊網——每日最新資訊28at.com

string:可自定義字符串,支配通配符、正則表達式寫法。uFI28資訊網——每日最新資訊28at.com

簡單了解語法后,接下來的實現如下:uFI28資訊網——每日最新資訊28at.com

# 在動靜分離的location中開啟防盜鏈機制location ~ .*/.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css){    # 最后面的值在上線前可配置為允許的域名地址    valid_referers blocked 192.168.12.129;    if ($invalid_referer) {        # 可以配置成返回一張禁止盜取的圖片        # rewrite   ^/ http://xx.xx.com/NO.jpg;        # 也可直接返回403        return   403;    }        root   /soft/nginx/static_resources;    expires 7d;}

根據上述中的內容配置后,就已經通過Nginx實現了最基本的防盜鏈機制,最后只需要額外重啟一下就好啦!當然,對于防盜鏈機制實現這塊,也有專門的第三方模塊ngx_http_accesskey_module實現了更為完善的設計,感興趣的小伙伴可以自行去看看。uFI28資訊網——每日最新資訊28at.com

PS:防盜鏈機制也無法解決爬蟲偽造referers信息的這種方式抓取數據。uFI28資訊網——每日最新資訊28at.com

十一、Nginx大文件傳輸配置

在某些業務場景中需要傳輸一些大文件,但大文件傳輸時往往都會會出現一些Bug,比如文件超出限制、文件傳輸過程中請求超時等,那么此時就可以在Nginx稍微做一些配置,先來了解一些關于大文件傳輸時可能會用的配置項:uFI28資訊網——每日最新資訊28at.com

配置項uFI28資訊網——每日最新資訊28at.com

釋義uFI28資訊網——每日最新資訊28at.com


uFI28資訊網——每日最新資訊28at.com


uFI28資訊網——每日最新資訊28at.com

client_max_body_sizeuFI28資訊網——每日最新資訊28at.com

設置請求體允許的最大體積uFI28資訊網——每日最新資訊28at.com

client_header_timeoutuFI28資訊網——每日最新資訊28at.com

等待客戶端發送一個請求頭的超時時間uFI28資訊網——每日最新資訊28at.com

client_body_timeoutuFI28資訊網——每日最新資訊28at.com

設置讀取請求體的超時時間uFI28資訊網——每日最新資訊28at.com

proxy_read_timeoutuFI28資訊網——每日最新資訊28at.com

設置請求被后端服務器讀取時,Nginx等待的最長時間uFI28資訊網——每日最新資訊28at.com

proxy_send_timeoutuFI28資訊網——每日最新資訊28at.com

設置后端向Nginx返回響應時的超時時間uFI28資訊網——每日最新資訊28at.com

在傳輸大文件時,client_max_body_size、client_header_timeout、proxy_read_timeout、proxy_send_timeout這四個參數值都可以根據自己項目的實際情況來配置。uFI28資訊網——每日最新資訊28at.com

上述配置僅是作為代理層需要配置的,因為最終客戶端傳輸文件還是直接與后端進行交互,這里只是把作為網關層的Nginx配置調高一點,調到能夠“容納大文件”傳輸的程度。當然,Nginx中也可以作為文件服務器使用,但需要用到一個專門的第三方模塊nginx-upload-module,如果項目中文件上傳的作用處不多,那么建議可以通過Nginx搭建,畢竟可以節省一臺文件服務器資源。但如若文件上傳/下載較為頻繁,那么還是建議額外搭建文件服務器,并將上傳/下載功能交由后端處理。uFI28資訊網——每日最新資訊28at.com

十二、Nginx配置SLL證書

隨著越來越多的網站接入HTTPS,因此Nginx中僅配置HTTP還不夠,往往還需要監聽443端口的請求,HTTPS為了確保通信安全,所以服務端需配置對應的數字證書,當項目使用Nginx作為網關時,那么證書在Nginx中也需要配置,接下來簡單聊一下關于SSL證書配置過程:uFI28資訊網——每日最新資訊28at.com

①先去CA機構或從云控制臺中申請對應的SSL證書,審核通過后下載Nginx版本的證書。uFI28資訊網——每日最新資訊28at.com

②下載數字證書后,完整的文件總共有三個:.crt、.key、.pem:uFI28資訊網——每日最新資訊28at.com

.crt:數字證書文件,.crt是.pem的拓展文件,因此有些人下載后可能沒有。uFI28資訊網——每日最新資訊28at.com

.key:服務器的私鑰文件,及非對稱加密的私鑰,用于解密公鑰傳輸的數據。uFI28資訊網——每日最新資訊28at.com

.pem:Base64-encoded編碼格式的源證書文本文件,可自行根需求修改拓展名。uFI28資訊網——每日最新資訊28at.com

③在Nginx目錄下新建certificate目錄,并將下載好的證書/私鑰等文件上傳至該目錄。uFI28資訊網——每日最新資訊28at.com

④最后修改一下nginx.conf文件即可,如下:uFI28資訊網——每日最新資訊28at.com

# ----------HTTPS配置-----------server {    # 監聽HTTPS默認的443端口    listen 443;    # 配置自己項目的域名    server_name www.xxx.com;    # 打開SSL加密傳輸    ssl on;    # 輸入域名后,首頁文件所在的目錄    root html;    # 配置首頁的文件名    index index.html index.htm index.jsp index.ftl;    # 配置自己下載的數字證書    ssl_certificate  certificate/xxx.pem;    # 配置自己下載的服務器私鑰    ssl_certificate_key certificate/xxx.key;    # 停止通信時,加密會話的有效期,在該時間段內不需要重新交換密鑰    ssl_session_timeout 5m;    # TLS握手時,服務器采用的密碼套件    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    # 服務器支持的TLS版本    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;    # 開啟由服務器決定采用的密碼套件    ssl_prefer_server_ciphers on;    location / {        ....    }}# ---------HTTP請求轉HTTPS-------------server {    # 監聽HTTP默認的80端口    listen 80;    # 如果80端口出現訪問該域名的請求    server_name www.xxx.com;    # 將請求改寫為HTTPS(這里寫你配置了HTTPS的域名)    rewrite ^(.*)$ https://www.xxx.com;}

OK~,根據如上配置了Nginx后,你的網站即可通過https://的方式訪問,并且當客戶端使用http://的方式訪問時,會自動將其改寫為HTTPS請求。uFI28資訊網——每日最新資訊28at.com

十三、Nginx的高可用

線上如果采用單個節點的方式部署Nginx,難免會出現天災人禍,比如系統異常、程序宕機、服務器斷電、機房爆炸、地球毀滅....哈哈哈,夸張了。但實際生產環境中確實存在隱患問題,由于Nginx作為整個系統的網關層接入外部流量,所以一旦Nginx宕機,最終就會導致整個系統不可用,這無疑對于用戶的體驗感是極差的,因此也得保障Nginx高可用的特性。uFI28資訊網——每日最新資訊28at.com

接下來則會通過keepalived的VIP機制,實現Nginx的高可用。VIP并不是只會員的意思,而是指Virtual IP,即虛擬IP。uFI28資訊網——每日最新資訊28at.com

keepalived在之前單體架構開發時,是一個用的較為頻繁的高可用技術,比如MySQL、Redis、MQ、Proxy、Tomcat等各處都會通過keepalived提供的VIP機制,實現單節點應用的高可用。uFI28資訊網——每日最新資訊28at.com

Keepalived+重啟腳本+雙機熱備搭建

①首先創建一個對應的目錄并下載keepalived到Linux中并解壓:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# mkdir /soft/keepalived && cd /soft/keepalived[root@localhost]# wget https://www.keepalived.org/software/keepalived-2.2.4.tar.gz[root@localhost]# tar -zxvf keepalived-2.2.4.tar.gz

②進入解壓后的keepalived目錄并構建安裝環境,然后編譯并安裝:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# cd keepalived-2.2.4[root@localhost]# ./configure --prefix=/soft/keepalived/[root@localhost]# make && make install

③進入安裝目錄的/soft/keepalived/etc/keepalived/并編輯配置文件:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# cd /soft/keepalived/etc/keepalived/[root@localhost]# vi keepalived.conf

④編輯主機的keepalived.conf核心配置文件,如下:uFI28資訊網——每日最新資訊28at.com

global_defs {    # 自帶的郵件提醒服務,建議用獨立的監控或第三方SMTP,也可選擇配置郵件發送。    notification_email {        root@localhost    }    notification_email_from root@localhost    smtp_server localhost    smtp_connect_timeout 30    # 高可用集群主機身份標識(集群中主機身份標識名稱不能重復,建議配置成本機IP) router_id 192.168.12.129 }# 定時運行的腳本文件配置vrrp_script check_nginx_pid_restart {    # 之前編寫的nginx重啟腳本的所在位置 script "/soft/scripts/keepalived/check_nginx_pid_restart.sh"     # 每間隔3秒執行一次 interval 3    # 如果腳本中的條件成立,重啟一次則權重-20 weight -20}# 定義虛擬路由,VI_1為虛擬路由的標示符(可自定義名稱)vrrp_instance VI_1 {    # 當前節點的身份標識:用來決定主從(MASTER為主機,BACKUP為從機) state MASTER    # 綁定虛擬IP的網絡接口,根據自己的機器的網卡配置 interface ens33     # 虛擬路由的ID號,主從兩個節點設置必須一樣 virtual_router_id 121    # 填寫本機IP mcast_src_ip 192.168.12.129    # 節點權重優先級,主節點要比從節點優先級高 priority 100    # 優先級高的設置nopreempt,解決異常恢復后再次搶占造成的腦裂問題 nopreempt    # 組播信息發送間隔,兩個節點設置必須一樣,默認1s(類似于心跳檢測) advert_int 1    authentication {        auth_type PASS        auth_pass 1111    }    # 將track_script塊加入instance配置塊    track_script {        # 執行Nginx監控的腳本  check_nginx_pid_restart    }    virtual_ipaddress {        # 虛擬IP(VIP),也可擴展,可配置多個。  192.168.12.111    }}

⑤克隆一臺之前的虛擬機作為從(備)機,編輯從機的keepalived.conf文件,如下:uFI28資訊網——每日最新資訊28at.com

global_defs {    # 自帶的郵件提醒服務,建議用獨立的監控或第三方SMTP,也可選擇配置郵件發送。    notification_email {        root@localhost    }    notification_email_from root@localhost    smtp_server localhost    smtp_connect_timeout 30    # 高可用集群主機身份標識(集群中主機身份標識名稱不能重復,建議配置成本機IP) router_id 192.168.12.130 }# 定時運行的腳本文件配置vrrp_script check_nginx_pid_restart {    # 之前編寫的nginx重啟腳本的所在位置 script "/soft/scripts/keepalived/check_nginx_pid_restart.sh"     # 每間隔3秒執行一次 interval 3    # 如果腳本中的條件成立,重啟一次則權重-20 weight -20}# 定義虛擬路由,VI_1為虛擬路由的標示符(可自定義名稱)vrrp_instance VI_1 {    # 當前節點的身份標識:用來決定主從(MASTER為主機,BACKUP為從機) state BACKUP    # 綁定虛擬IP的網絡接口,根據自己的機器的網卡配置 interface ens33     # 虛擬路由的ID號,主從兩個節點設置必須一樣 virtual_router_id 121    # 填寫本機IP mcast_src_ip 192.168.12.130    # 節點權重優先級,主節點要比從節點優先級高 priority 90    # 優先級高的設置nopreempt,解決異常恢復后再次搶占造成的腦裂問題 nopreempt    # 組播信息發送間隔,兩個節點設置必須一樣,默認1s(類似于心跳檢測) advert_int 1    authentication {        auth_type PASS        auth_pass 1111    }    # 將track_script塊加入instance配置塊    track_script {        # 執行Nginx監控的腳本  check_nginx_pid_restart    }    virtual_ipaddress {        # 虛擬IP(VIP),也可擴展,可配置多個。  192.168.12.111    }}

⑥新建scripts目錄并編寫Nginx的重啟腳本,check_nginx_pid_restart.sh:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# mkdir /soft/scripts /soft/scripts/keepalived[root@localhost]# touch /soft/scripts/keepalived/check_nginx_pid_restart.sh[root@localhost]# vi /soft/scripts/keepalived/check_nginx_pid_restart.sh#!/bin/sh# 通過ps指令查詢后臺的nginx進程數,并將其保存在變量nginx_number中nginx_number=`ps -C nginx --no-header | wc -l`# 判斷后臺是否還有Nginx進程在運行if [ $nginx_number -eq 0 ];then    # 如果后臺查詢不到`Nginx`進程存在,則執行重啟指令    /soft/nginx/sbin/nginx -c /soft/nginx/conf/nginx.conf    # 重啟后等待1s后,再次查詢后臺進程數    sleep 1    # 如果重啟后依舊無法查詢到nginx進程    if [ `ps -C nginx --no-header | wc -l` -eq 0 ];then        # 將keepalived主機下線,將虛擬IP漂移給從機,從機上線接管Nginx服務        systemctl stop keepalived.service    fifi

⑦編寫的腳本文件需要更改編碼格式,并賦予執行權限,否則可能執行失敗:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# vi /soft/scripts/keepalived/check_nginx_pid_restart.sh:set fileformat=unix # 在vi命令里面執行,修改編碼格式:set ff # 查看修改后的編碼格式[root@localhost]# chmod +x /soft/scripts/keepalived/check_nginx_pid_restart.sh

⑧由于安裝keepalived時,是自定義的安裝位置,因此需要拷貝一些文件到系統目錄中:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# mkdir /etc/keepalived/[root@localhost]# cp /soft/keepalived/etc/keepalived/keepalived.conf /etc/keepalived/[root@localhost]# cp /soft/keepalived/keepalived-2.2.4/keepalived/etc/init.d/keepalived /etc/init.d/[root@localhost]# cp /soft/keepalived/etc/sysconfig/keepalived /etc/sysconfig/

⑨將keepalived加入系統服務并設置開啟自啟動,然后測試啟動是否正常:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# chkconfig keepalived on[root@localhost]# systemctl daemon-reload[root@localhost]# systemctl enable keepalived.service[root@localhost]# systemctl start keepalived.service其他命令:systemctl disable keepalived.service # 禁止開機自動啟動systemctl restart keepalived.service # 重啟keepalivedsystemctl stop keepalived.service # 停止keepalivedtail -f /var/log/messages # 查看keepalived運行時日志

⑩最后測試一下VIP是否生效,通過查看本機是否成功掛載虛擬IP:uFI28資訊網——每日最新資訊28at.com

[root@localhost]# ip addr

虛擬IP-VIP虛擬IP-VIPuFI28資訊網——每日最新資訊28at.com

從上圖中可以明顯看見虛擬IP已經成功掛載,但另外一臺機器192.168.12.130并不會掛載這個虛擬IP,只有當主機下線后,作為從機的192.168.12.130才會上線,接替VIP。最后測試一下外網是否可以正常與VIP通信,即在Windows中直接ping VIP:uFI28資訊網——每日最新資訊28at.com

Ping-VIPPing-VIPuFI28資訊網——每日最新資訊28at.com

外部通過VIP通信時,也可以正常Ping通,代表虛擬IP配置成功。uFI28資訊網——每日最新資訊28at.com

Nginx高可用性測試

經過上述步驟后,keepalived的VIP機制已經搭建成功,在上個階段中主要做了幾件事:uFI28資訊網——每日最新資訊28at.com

  • 一、為部署Nginx的機器掛載了VIP。
  • 二、通過keepalived搭建了主從雙機熱備。
  • 三、通過keepalived實現了Nginx宕機重啟。

由于前面沒有域名的原因,因此最初server_name配置的是當前機器的IP,所以需稍微更改一下nginx.conf的配置:uFI28資訊網——每日最新資訊28at.com

sever{    listen    80;    # 這里從機器的本地IP改為虛擬IP server_name 192.168.12.111; # 如果這里配置的是域名,那么則將域名的映射配置改為虛擬IP}

最后來實驗一下效果:uFI28資訊網——每日最新資訊28at.com

Nginx宕機Nginx宕機uFI28資訊網——每日最新資訊28at.com

在上述過程中,首先分別啟動了keepalived、nginx服務,然后通過手動停止nginx的方式模擬了Nginx宕機情況,過了片刻后再次查詢后臺進程,我們會發現nginx依舊存活。uFI28資訊網——每日最新資訊28at.com

從這個過程中不難發現,keepalived已經為我們實現了Nginx宕機后自動重啟的功能,那么接著再模擬一下服務器出現故障時的情況:uFI28資訊網——每日最新資訊28at.com

服務器故障服務器故障uFI28資訊網——每日最新資訊28at.com

在上述過程中,我們通過手動關閉keepalived服務模擬了機器斷電、硬件損壞等情況(因為機器斷電等情況=主機中的keepalived進程消失),然后再次查詢了一下本機的IP信息,很明顯會看到VIP消失了!uFI28資訊網——每日最新資訊28at.com

現在再切換到另外一臺機器:192.168.12.130來看看情況:uFI28資訊網——每日最新資訊28at.com

130的IP情況130的IP情況uFI28資訊網——每日最新資訊28at.com


uFI28資訊網——每日最新資訊28at.com

此刻我們會發現,在主機192.168.12.129宕機后,VIP自動從主機飄移到了從機192.168.12.130上,而此時客戶端的請求就最終會來到130這臺機器的Nginx上。uFI28資訊網——每日最新資訊28at.com

「最終,利用Keepalived對Nginx做了主從熱備之后,無論是遇到線上宕機還是機房斷電等各類故障時,都能夠確保應用系統能夠為用戶提供7x24小時服務。」uFI28資訊網——每日最新資訊28at.com

十四、Nginx性能優化

到這里文章的篇幅較長了,最后再來聊一下關于Nginx的性能優化,主要就簡單說說收益最高的幾個優化項,在這塊就不再展開敘述了,畢竟影響性能都有多方面原因導致的,比如網絡、服務器硬件、操作系統、后端服務、程序自身、數據庫服務等。uFI28資訊網——每日最新資訊28at.com

優化一:打開長連接配置

通常Nginx作為代理服務,負責分發客戶端的請求,那么建議開啟HTTP長連接,用戶減少握手的次數,降低服務器損耗,具體如下:uFI28資訊網——每日最新資訊28at.com

upstream xxx {    # 長連接數    keepalive 32;    # 每個長連接提供的最大請求數    keepalived_requests 100;    # 每個長連接沒有新的請求時,保持的最長時間    keepalive_timeout 60s;}

優化二、開啟零拷貝技術

零拷貝這個概念,在大多數性能較為不錯的中間件中都有出現,例如Kafka、Netty等,而Nginx中也可以配置數據零拷貝技術,如下:uFI28資訊網——每日最新資訊28at.com

sendfile on; # 開啟零拷貝機制

零拷貝讀取機制與傳統資源讀取機制的區別:uFI28資訊網——每日最新資訊28at.com

  • 傳統方式:「硬件-->內核-->用戶空間-->程序空間-->程序內核空間-->網絡套接字」
  • 零拷貝方式:「硬件-->內核-->程序內核空間-->網絡套接字」

從上述這個過程對比,很輕易就能看出兩者之間的性能區別。uFI28資訊網——每日最新資訊28at.com

優化三、開啟無延遲或多包共發機制

在Nginx中有兩個較為關鍵的性能參數,即tcp_nodelay、tcp_nopush,開啟方式如下:uFI28資訊網——每日最新資訊28at.com

tcp_nodelay on;tcp_nopush on;

TCP/IP協議中默認是采用了Nagle算法的,即在網絡數據傳輸過程中,每個數據報文并不會立馬發送出去,而是會等待一段時間,將后面的幾個數據包一起組合成一個數據報文發送,但這個算法雖然提高了網絡吞吐量,但是實時性卻降低了。uFI28資訊網——每日最新資訊28at.com

因此你的項目屬于交互性很強的應用,那么可以手動開啟tcp_nodelay配置,讓應用程序向內核遞交的每個數據包都會立即發送出去。但這樣會產生大量的TCP報文頭,增加很大的網絡開銷。uFI28資訊網——每日最新資訊28at.com

相反,有些項目的業務對數據的實時性要求并不高,追求的則是更高的吞吐,那么則可以開啟tcp_nopush配置項,這個配置就類似于“塞子”的意思,首先將連接塞住,使得數據先不發出去,等到拔去塞子后再發出去。設置該選項后,內核會盡量把小數據包拼接成一個大的數據包(一個MTU)再發送出去.uFI28資訊網——每日最新資訊28at.com

當然若一定時間后(一般為200ms),內核仍然沒有積累到一個MTU的量時,也必須發送現有的數據,否則會一直阻塞。uFI28資訊網——每日最新資訊28at.com

tcp_nodelay、tcp_nopush兩個參數是“互斥”的,如果追求響應速度的應用推薦開啟tcp_nodelay參數,如IM、金融等類型的項目。如果追求吞吐量的應用則建議開啟tcp_nopush參數,如調度系統、報表系統等。uFI28資訊網——每日最新資訊28at.com

注意:①tcp_nodelay一般要建立在開啟了長連接模式的情況下使用。②tcp_nopush參數是必須要開啟sendfile參數才可使用的。uFI28資訊網——每日最新資訊28at.com

優化四、調整Worker工作進程

Nginx啟動后默認只會開啟一個Worker工作進程處理客戶端請求,而我們可以根據機器的CPU核數開啟對應數量的工作進程,以此來提升整體的并發量支持,如下:uFI28資訊網——每日最新資訊28at.com

# 自動根據CPU核心數調整Worker進程數量worker_processes auto;

工作進程的數量最高開到8個就OK了,8個之后就不會有再大的性能提升。uFI28資訊網——每日最新資訊28at.com

同時也可以稍微調整一下每個工作進程能夠打開的文件句柄數:uFI28資訊網——每日最新資訊28at.com

# 每個Worker能打開的文件描述符,最少調整至1W以上,負荷較高建議2-3Wworker_rlimit_nofile 20000;

操作系統內核(kernel)都是利用文件描述符來訪問文件,無論是打開、新建、讀取、寫入文件時,都需要使用文件描述符來指定待操作的文件,因此該值越大,代表一個進程能夠操作的文件越多(但不能超出內核限制,最多建議3.8W左右為上限)。uFI28資訊網——每日最新資訊28at.com

優化五、開啟CPU親和機制

對于并發編程較為熟悉的伙伴都知道,因為進程/線程數往往都會遠超出系統CPU的核心數,因為操作系統執行的原理本質上是采用時間片切換機制,也就是一個CPU核心會在多個進程之間不斷頻繁切換,造成很大的性能損耗。uFI28資訊網——每日最新資訊28at.com

而CPU親和機制則是指將每個Nginx的工作進程,綁定在固定的CPU核心上,從而減小CPU切換帶來的時間開銷和資源損耗,開啟方式如下:uFI28資訊網——每日最新資訊28at.com

worker_cpu_affinity auto;

優化六、開啟epoll模型及調整并發連接數

在最開始就提到過:Nginx、Redis都是基于多路復用模型去實現的程序,但最初版的多路復用模型select/poll最大只能監聽1024個連接,而epoll則屬于select/poll接口的增強版,因此采用該模型能夠大程度上提升單個Worker的性能,如下:uFI28資訊網——每日最新資訊28at.com

events {    # 使用epoll網絡模型    use epoll;    # 調整每個Worker能夠處理的連接數上限    worker_connections  10240;}

這里對于select/poll/epoll模型就不展開細說了,后面的IO模型文章中會詳細剖析。uFI28資訊網——每日最新資訊28at.com

十五、放在最后的結尾

至此,Nginx的大部分內容都已闡述完畢,關于最后一小節的性能優化內容,其實在前面就談到的動靜分離、分配緩沖區、資源緩存、防盜鏈、資源壓縮等內容,也都可歸納為性能優化的方案。uFI28資訊網——每日最新資訊28at.com

本文鏈接:http://www.www897cc.com/showinfo-26-76523-0.htmlNginx 一網打盡:動靜分離、壓縮、緩存、黑白名單、跨域、高可用、性能優化...

聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com

上一篇: 快速入門Shelve:Python數據存儲利器

下一篇: 簡單聊聊JVM中的幾種垃圾收集算法

標簽:
  • 熱門焦點
  • 一加Ace2 Pro真機揭曉 鈦空灰配色質感拉滿

    終于,在經過了幾波預熱之后,一加Ace2 Pro的外觀真機圖在網上出現了。還是博主數碼閑聊站曝光的,這次的外觀設計還是延續了一加11的方案,只是細節上有了調整,例如新加入了鈦空灰
  • 之家push系統迭代之路

    前言在這個信息爆炸的互聯網時代,能夠及時準確獲取信息是當今社會要解決的關鍵問題之一。隨著之家用戶體量和內容規模的不斷增大,傳統的靠"主動拉"獲取信息的方式已不能滿足用
  • 微信語音大揭秘:為什么禁止轉發?

    大家好,我是你們的小米。今天,我要和大家聊一個有趣的話題:為什么微信語音不可以轉發?這是一個我們經常在日常使用中遇到的問題,也是一個讓很多人好奇的問題。讓我們一起來揭開這
  • Python異步IO編程的進程/線程通信實現

    這篇文章再講3種方式,同時講4中進程間通信的方式一、 Python 中線程間通信的實現方式共享變量共享變量是多個線程可以共同訪問的變量。在Python中,可以使用threading模塊中的L
  • 機構稱Q2國內智能手機銷量同比下滑4% vivo份額重回第1

    7月29日消息,根據市場調查機構Counterpoint Research公布的最新報告,2023年第2季度中國智能手機銷量同比下降4%,創新自2014年以來第2季度銷量新低。報
  • iQOO 11S新品發布會

    iQOO將在7月4日19:00舉行新品發布會,推出杭州亞運會電競賽事官方用機iQOO 11S。
  • 7月4日見!iQOO 11S官宣:“雞血版”驍龍8 Gen2+200W快充加持

    上半年已接近尾聲,截至目前各大品牌旗下的頂級旗艦都已悉數亮相,而下半年即將推出的頂級旗艦已經成為了數碼圈爆料的主流,其中就包括全新的iQOO 11S系
  • Android 14發布:首批適配機型公布

    5月11日消息,谷歌在今天凌晨舉行了I/O大會,本次發布會谷歌帶來了自家的AI語言模型PaLM 2、谷歌Pixel Fold折疊屏、谷歌Pixel 7a手機,同時發布了Androi
  • 英特爾Xe HPG游戲顯卡:擁有512EU,單風扇版本

    據10 月 30 日外媒 TheVerge 消息報道,英特爾 Xe HPG Arc Alchemist 的正面實被曝光,不僅擁有 512 EU 版顯卡,還擁有 128EU 的單風扇版本。另外,這款顯卡 PCB
Top 主站蜘蛛池模板: 宁乡县| 吉林市| 衡山县| 玉树县| 黄浦区| 休宁县| 乐业县| 克拉玛依市| 通辽市| 陕西省| 洞口县| 新巴尔虎左旗| 阜阳市| 广灵县| 衡东县| 江口县| 平陆县| 于都县| 祁东县| 谷城县| 仪陇县| 张家口市| 德令哈市| 隆子县| 屏边| 昭觉县| 裕民县| 苏尼特右旗| 酒泉市| 新乐市| 瑞昌市| 新郑市| 安陆市| 武清区| 太白县| 南阳市| 朝阳区| 巴青县| 文登市| 七台河市| 塔城市|