文章目录
- 前言
- 一、NGINX 是什么?
- 二、为什么选择 NGINX?
- 三、安装 NGINX
- 1. 使用包管理器安装
- 2. 从源码编译安装
- 四、NGINX 基本配置与工作原理
- 1. 主要配置文件结构
- 2. 核心指令块
- 3. 工作进程与事件模型
- 五、反向代理
- 1. 基本反向代理示例
- 2. 路径转发与重写
- 六、负载均衡
- 1. 轮询(默认)
- 2. 最少连接(least_conn)
- 3. IP 哈希(ip_hash)
- 4. 权重(weight)
- 5. 健康检查
- 七、缓存与加速
- 1. 反向代理缓存
- 2. 静态文件缓存
- 3. Gzip 压缩
- 八、SSL/TLS
- 1. 基本 SSL 配置
- 2. 安全头部
- 3. 限流与防护
- 九、日志与监控
- 1. 日志配置
- 2. 简易状态监控
- 十、NGINX 高级特性
- 1. WebSocket 代理
- 2. gRPC 代理
- 3. Lua 扩展(OpenResty / ngx_lua)
- 4. 动态模块
- 5. HTTP/2 与 HTTP/3 支持
- 6. 反向代理上传大文件
前言
NGINX 因其高并发、低内存消耗和丰富功能,已成为 Web 服务器、反向代理和负载均衡器中的佼佼者。
一、NGINX 是什么?
NGINX(Engine X)是一款高性能、高并发、开源的 HTTP 服务器,同时也可用作反向代理、负载均衡、邮件代理(IMAP/POP3)等。由 Igor Sysoev 于 2004 年开发,旨在解决 C10k(处理上万个并发连接)问题。
- 事件驱动架构:采用异步非阻塞的事件驱动模型,在高并发场景下表现优异,内存消耗相对较低。
- 模块化设计:核心功能加上多种可选模块,用户可以编译所需模块,或使用动态模块。
- 广泛应用:很多大型网站(如 Netflix、Airbnb、GitHub、腾讯、阿里等)都在使用 NGINX 作为前端网关或负载均衡器。
当客户端发来大量并发请求时,NGINX 的事件模型可以高效地调度网络 I/O,避免线程/进程过多导致的上下文切换开销。
二、为什么选择 NGINX?
- 高并发处理能力:事件驱动使其能处理数万并发连接,资源利用效率高。
- 低内存消耗:相比传统进程/线程模型,内存使用更可控。
- 灵活的反向代理和负载均衡功能:支持多种负载均衡算法(轮询、IP 哈希、最少连接等)及健康检查。
- 丰富的缓存支持:可做静态资源缓存、反向代理缓存,提升响应速度并减轻后端压力。
- 易于扩展:通过第三方模块(如 Lua、Image Filter、GeoIP2 等)满足不同需求。
- 稳定成熟:社区活跃,文档丰富,生态完善。
三、安装 NGINX
1. 使用包管理器安装
以 Ubuntu/Debian 为例:
sudoaptupdatesudoaptinstall-y nginx安装后,服务通常自动启动。使用以下命令检查状态:
sudosystemctl status nginx在 CentOS/RHEL:
sudoyuminstall-y epel-releasesudoyuminstall-y nginxsudosystemctlenable--now nginx2. 从源码编译安装
# 安装依赖sudoaptupdatesudoaptinstall-y build-essential libpcre3 libpcre3-dev zlib1g zlib1g-dev libssl-dev# 下载 NGINX 源码(以 1.24.0 为例)wgethttp://nginx.org/download/nginx-1.24.0.tar.gztarzxvf nginx-1.24.0.tar.gzcdnginx-1.24.0# 配置编译选项(可根据需求添加模块或路径)./configure\--prefix=/usr/local/nginx\--with-http_ssl_module\--with-http_v2_module\--with-stream\--with-stream_ssl_module\--with-http_gzip_static_module# 编译并安装makesudomakeinstall# 启动sudo/usr/local/nginx/sbin/nginx四、NGINX 基本配置与工作原理
1. 主要配置文件结构
- 主配置文件:
nginx.conf,通常位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。 - 其他配置:常将虚拟主机配置放在
conf.d/或sites-available/、sites-enabled/目录中。 - 日志文件:
access_log、error_log设置在配置文件内。
2. 核心指令块
events {}:设置事件模型,如worker_connections。http {}:HTTP 功能及模块配置,包括server{}、upstream{}、proxy_*、gzip等。stream {}:TCP/UDP 流量代理,用于非 HTTP 协议负载均衡(如数据库、MQ 代理)。mail {}:邮件代理配置(IMAP/POP3/SMTP)。
3. 工作进程与事件模型
worker_processes: 通常设置为 CPU 核心数或 auto。worker_connections: 每个 worker 可处理的并发连接数。- 异步事件驱动:使用 epoll/kqueue 等高效 I/O 多路复用。
五、反向代理
NGINX 常用作反向代理,将请求转发到后端应用服务器。
1. 基本反向代理示例
http { upstream backend { server 127.0.0.1:8080; server 127.0.0.1:8081; } server { listen 80; server_name example.com; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_connect_timeout 5s; proxy_read_timeout 30s; } } }upstream定义后端服务器组。proxy_pass转发请求。- 设置请求头确保后端可获知原始请求信息。
2. 路径转发与重写
location /api/ { proxy_pass http://backend/api/; }使用
rewrite做 URL 重写:location /old/ { rewrite ^/old/(.*)$ /new/$1 permanent; }
六、负载均衡
1. 轮询(默认)
upstream backend { server 192.168.0.101; server 192.168.0.102; server 192.168.0.103; }请求按顺序分配,简单易用。
2. 最少连接(least_conn)
upstream backend { least_conn; server 192.168.0.101; server 192.168.0.102; }将请求发给当前活动连接数最少的后端,适合请求时间差异大的场景。
3. IP 哈希(ip_hash)
upstream backend { ip_hash; server 192.168.0.101; server 192.168.0.102; }根据客户端 IP 分配后端,保证同一客户端请求分配到同一后端,有助于会话粘性。
4. 权重(weight)
upstream backend { server 192.168.0.101 weight=3; server 192.168.0.102 weight=1; }对后端分配比例进行控制,资源更强的服务器可配置更高权重。
5. 健康检查
NGINX 开源版需借助第三方模块(如 nginx-upstream-check-module);NGINX Plus 原生支持健康检查。
或通过配置
proxy_next_upstream、超时等,简单应对后端异常:proxy_connect_timeout 2s; proxy_read_timeout 5s; proxy_next_upstream error timeout invalid_header http_502 http_503 http_504;
七、缓存与加速
1. 反向代理缓存
http { proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=1g inactive=60m use_temp_path=off; server { listen 80; server_name example.com; location / { proxy_cache my_cache; proxy_cache_valid 200 302 10m; proxy_cache_valid 404 1m; proxy_cache_bypass $cookie_nocache $arg_nocache; add_header X-Cache-Status $upstream_cache_status; proxy_pass http://backend; } } }proxy_cache_path配置缓存存储位置和大小。proxy_cache_valid设置不同响应码的缓存时长。proxy_cache_bypass控制绕过缓存。- 在响应头中添加
X-Cache-Status便于调试。
2. 静态文件缓存
对于静态资源,可利用expires、add_header Cache-Control:
location ~* \.(js|css|png|jpg|jpeg|gif|svg)$ { root /var/www/static; expires 7d; add_header Cache-Control "public"; }3. Gzip 压缩
http { gzip on; gzip_min_length 1024; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; }通过压缩减少传输体积,加快加载。
八、SSL/TLS
1. 基本 SSL 配置
使用 Let’s Encrypt 生成证书(示例工具 certbot),并在 NGINX 中配置:
server { listen 80; server_name example.com; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { proxy_pass http://backend; ... } }- 强制 HTTP 跳转到 HTTPS。
- 开启 HTTP/2 提升多路复用性能。
2. 安全头部
add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "no-referrer-when-downgrade" always; add_header Content-Security-Policy "default-src 'self';" always;帮助防止点击劫持、MIME 类型混淆等问题。
3. 限流与防护
限制连接数、请求速率:
http { limit_conn_zone $binary_remote_addr zone=addr:10m; limit_req_zone $binary_remote_addr zone=req:10m rate=5r/s; server { ... location /login { limit_conn addr 1; limit_req zone=req burst=10 nodelay; proxy_pass http://backend; } } }防止恶意请求:可结合 fail2ban、WAF(如 ModSecurity、OpenResty+Lua 规则)等。
九、日志与监控
1. 日志配置
access_log:记录请求信息,可自定义格式:log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; error_log /var/log/nginx/error.log warn;通过日志分析工具(如 GoAccess、ELK、Fluentd)进行流量趋势、错误率分析。
2. 简易状态监控
在配置中开启:
server { listen 127.0.0.1:8081; server_name localhost; location /nginx_status { stub_status on; allow 127.0.0.1; deny all; } }访问http://127.0.0.1:8081/nginx_status,得到活动连接、请求计数等信息。可配合 Prometheus 的 nginx-exporter 采集指标,或自定义脚本定期抓取。
十、NGINX 高级特性
1. WebSocket 代理
location /ws/ { proxy_pass http://backend_ws; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "Upgrade"; proxy_set_header Host $host; }支持实时通信应用。
2. gRPC 代理
http { upstream grpc_backend { server 127.0.0.1:50051; } server { listen 80 http2; location / { grpc_pass grpc://grpc_backend; } } }3. Lua 扩展(OpenResty / ngx_lua)
借助 Lua 脚本进行动态处理、ACL、灰度发布等:
server { location /lua { content_by_lua_block { ngx.say("Hello from Lua!") } } }4. 动态模块
许多第三方模块可以按需编译成动态模块并通过load_module引入,如ngx_brotli、ngx_pagespeed等。
5. HTTP/2 与 HTTP/3 支持
- HTTP/2 可提高多路复用效率;HTTP/3(QUIC)需在较新版 NGINX 或使用第三方 patch/模块支持。
- 在生产中,可根据客户端支持情况逐步部署 HTTP/2;HTTP/3 目前生态仍在发展,可视需求尝试。
6. 反向代理上传大文件
设置较大client_max_body_size:
http { client_max_body_size 100m; }并调整相关超时,确保上传稳定。
)
)