关于nginx:一文带你了解Nginx

1. 概述

很多人可能或多或少理解过nginx，即便没有应用过nginx，然而可能用Apache搭建过简略的web服务器，用tomcat写过一些简略的动静页面，其实这些性能nginx都能够实现。

nginx最重要的三个应用场景集体认为是动态资源服务、反向代理服务和api服务。

web申请走进服务当前会先通过nginx再到应用服务，而后再去拜访redis或者mysql提供根本的数据性能。

这就有个问题，应用服务因为要求开发效率高，所以他的运行效率是很低的，他的qbs，tps并发都是受限的，所以就须要把很多的应用服务组成集群，向用户提供高可用性。

很多服务形成集群的时候，须要nginx具备反向代理的性能，能够把动静申请传导给对应的应用服务。服务集群肯定会带来两个需要，动静的扩容和容灾。

反向代理必须具备负载平衡的性能，其次在链路中，nginx是处在企业内网的边缘节点，随着网络链路的增长，用户体验到的时延会减少。

把一些所有用户看起来不变的，或者在一段时间内看起来不变的动静内容缓存在nginx局部，由nginx间接向用户提供拜访，用户的时延就会缩小很多。

反向代理衍生出另外的性能叫缓存，他可能减速拜访，而很多时候在拜访像css或js文件又或者一些小图片是没有必要由应用服务来拜访的，他只须要间接由nginx提供拜访就能够了这就是nginx的动态资源性能。

应用服务它自身的性能有很大的问题，数据库服务要比应用服务好的多，起因是数据库他的业务场景比较简单，并发性能和tps都要远高于应用服务。由nginx间接去拜访数据库或者redis也是不错的抉择。

还能够利用nginx弱小的并发性能，实现如web防火墙的一些业务性能，这就要求nginx服务有十分弱小的业务解决性能，openResty和nginx集成了一些工具库来实现此性能。

2. 历史背景

全球化和物联网的疾速倒退，导致接入互联网中的人与设施的数量都在疾速的回升，数据的疾速爆炸，对硬件性能提出很高的要求。

摩尔定律表明之前服务跑在1GHZ的CPU上的服务更新到2GHZ的CPU时服务会有两倍的性能晋升。

然而到了本世纪初，摩尔定律在单颗CPU的频率上曾经生效了，CPU开始向着多核方向倒退，当服务器当初是跑在8核CPU上时，一年半当前换到了16核的CPU，服务的性能通常是不会有一倍的晋升的。

这些性能次要损耗在操作系统和大量的软件没有做好服务于多核架构的筹备，比如说像Apache是低效的，因为他的架构模型里一个过程同一时间，只会解决一个连贯，一个申请。只有在这个申请解决完当前才会去解决下一个申请。

它实际上在应用操作系统的过程间切换的个性，因为操作系统宏观上是无限的CPU，然而操作系统被设计为同时服务于数百甚至上千的过程。

Apache一个过程只能服务于一个连贯，这种模式会导致当Apache须要面对几十万，几百万连贯的时候，他没有方法去开几百万的过程，而过程间切换的代价老本又太高啦。

当并发的连接数越多，这种无谓的过程间切换引发的性能耗费又会越大。

nginx是专门为了这种利用场景而生的，能够解决数百万甚至上千万的并发连贯，nginx目前在web市场份额中排行第二，在过来几年他增长极度迅速，在不久的未来nginx在web端的利用将远远超过其余服务器。

3. nginx的长处

大部分的程序和服务器随着并发连接数的回升他的RPS数会急剧的降落，这里的原理就像之前所说过的，他的设计架构是有问题的。

nginx的第一个长处就是高并发和高性能同时具备的，往往高并发只须要对每一个连贯所应用的内存尽量的少就能够达到。

而具备高并发的同时达到高性能，往往须要十分好的设计，那nginx能够达到什么样的规范呢？

比如说当初支流的一些服务器32核64G的内存能够轻松达到数千万的并发链接，如果是解决一些简略的动态资源申请，能够达到一百万的RPS这种级别。

其次nginx的可扩展性十分好，次要在于他的模块化设计十分的稳固，而且nginx的第三方模块的生态圈十分的丰盛。甚至于有像TNG,openRestry这种第三方插件。丰盛的生态圈为nginx丰盛的性能提供了保障。

第三个长处是它的高可靠性，所谓的高可靠性是指nginx能够在服务器上继续不间断的运行数年，而很多web服务器往往运行几周或者几个月就须要做一次重启。

对于nginx这种高并发高性能的反向代理服务器而言，他往往运行在企业内网的边缘节点上，如果企业想提供4个9，5个9，甚至更高的高可用性时，对于nginx继续运行可能down机的工夫一年可能只能以秒来计。所以在这种角色中，nginx的高可靠性给提供了十分好的保障。

第四个长处热部署，是指能够在不进行服务的状况下降级nginx，这对于nginx来说十分的重要，因为在nginx可能跑了数百万的并发连贯。

如果是一般的服务可能只需kill掉过程再重启的形式就能够解决好，然而对于nginx而言，因为kill掉nginx过程，会导致操作系统为所有的曾经建设连贯的客户端发送一个tcp中的reset报文。而很多客户端是没有方法很好的解决申请的。

在大并发场景下，一些偶尔事件就会导致必然的恶性后果，所以热部署是十分有必要的。

第五个长处是BSD许可证，BSD Listens是指nginx不仅是开源的收费的，而且能够在有定制须要的场景下，去批改nginx源代码，再运行在商业场景下，这是非法的。

以上的长处是nginx最外围的个性。

4. 次要组成部分

首先是nginx的可执行文件，它是由nginx本身的框架、官网模块以及各种第三方模块独特构建的文件。他有残缺的零碎，所有的性能都由他提供。

第二个局部是nginx.conf配置文件，相似于骑车的驾驶员，尽管可执行文件曾经提供了许多性能，但这些性能有没有开启，或者开启了当前定义了怎么的行为解决申请，都是由nginx.conf配置文件决定的。

nginx的第三个组成部分叫做access.log拜访日志，access.log会记录下每一条nginx解决过的http申请信息与响应信息。

第四个组成部分是error.log谬误日志，当呈现了一些不可预期的问题时，能够通过error.log去把问题定位进去。

这四个局部是相辅相成的。

nginx的可执行文件和nginx.conf定义了解决申请的形式。如果想对web服务，做一些经营或者运维的剖析，须要对access.log做进一步的剖析。如果呈现了任何未知的谬误，或者与预期的行为不统一时，应该通过error.log去定位根本性的问题。

5. 版本规定

nginx每公布一个版本的时候会有三个个性，一个是feature，就是他新增了哪些性能，bugfix示意他修复了哪些bug，change示意做了哪些重构。

每一个版本都有mainline骨干版本和stable稳固版本。

在nginx的官网点击右下角的download，就能够看到版本号列表，复数版本示意骨干版本，会新增很多性能，但不肯定稳固。单数版本是稳固版本。

CHANGES文件中能够看到每一个版本含有的新增性能，修复的bug，以及做了哪些小的重构。

大略在2009年当前nginx的bugfix数量曾经大幅度缩小，所以nginx绝对曾经很稳固了。

nginx的开发工夫是在2002年，然而他在2004年10月4日推出了第一个版本，在2005年已经做过一次大的重构。

因为nginx优良的设计，使得他的生态圈极为丰盛，模块的设计，架构的设计都没有再做过大的变动。

在2009年nginx开始反对windows操作系统，2011年1.0正式版本公布，同时nginx的商业公司nginx Plus也成立了，在2015年nginx公布了几个重要的性能。

其中提供stream，四层反向代理，他在性能上齐全能够代替传统应用的LVS, 并且具备更丰盛的性能。

6. 版本抉择

收费开源: nginx.org

商业版本: nginx.com

开源收费的nginx在2002年开始开发，到2004年公布第一个版本，2011年开源版的nginx公布了1.0稳定版，同年nginx的作者成立了一家商业公司，开始推出nginx Plus商业版的nginx。

商业版的nginx在整合第三方模块上还有经营监控以及技术支持上有很多长处，但他有个最大的毛病就是不开源，所以通常在国内会应用nginx.org开源版的。

阿里巴巴也推出了Tengine版本，Tengine的长处就是在阿里巴巴生态下他经验了十分严苛的考验，Tengine之所以会存在也是因为他的很多个性当先于nginx的官网版本。

所以Tengine实际上是批改了nginx官网版本的骨干代码，当然框架被批改当前Tengine就遇到了一个显著的问题，没有方法跟着nginx的官网版本同步的降级。Tengine也能够应用nginx的第三方模块。

OpenResty的作者章亦春在阿里巴巴的时候开发了Lua语言版本的openResty，因为nginx的第三方模块开发的难度相当大，章亦春把nginx非阻塞事件的一种框架以Lua语言的形式提供给了宽广开发者。

OenRestry兼具了高性能，以及开发效率高的特点，OpenResty同样有开源版和商业版，目前多应用openresty.org站点下的开源版本。商业版OpenRestry的次要特点是技术支持绝对比拟好很多。

如果你没有太多的业务诉求，那么应用开源版的nginx就足够了，如果你须要开发Api服务器，或者须要开发web防火墙，openrestry是一个很好的抉择。

7. 编译配置

装置nginx有两种办法，除了编译外，还能够间接用操作系统上自带的一些工具，比如说yum，apt-get，间接去装置nginx。

然而间接装置nginx有个问题，就是nginx的二进制文件不会把模块间接编译进来，毕竟nginx的官网模块，并不是每一个默认都会开启的。

如果想增加第三方的nginx模块，就必须通过编译nginx的形式。

编译nginx次要分为六个局部，首先须要下载nginx，从nginx.org网站上间接下载就能够。

关上nginx.org在页面中找到右下角donwload，抉择Stable版本的下来链接，右键复制链接地址即可，进入到Linux中应用wget进行下载

cd  /home/nginxwget http://nginx.org/download/nginx-1.18.0.tar.gz

下载完nginx压缩包当前首先解压压缩包。

tar -xzf nginx-1.18.0.tar.gz

接着进入解压后的目录通过ll命令查看所有文件。

cd nginx-1.18.0ll

第一个目录叫auto目录。

cd auto

auto目录外面有四个子目录，cc是用于编译的，lib库和对操作系统的判断在os外面，其余所有的文件都是为了辅助config脚本执行的时候断定nginx反对哪些模块以及以后的操作系统有什么样的个性能够供应nginx应用。

CHANGES文件标记了nginx每一个版本中提供了哪些个性和bugfix。

cat ../CHANGES

其中会有feature，bugfix，change三种个性在外面。

CHANGES.ru文件是俄罗斯语言的CHANGES文件，可能因为作者是个俄罗斯人。

conf文件是一个示例文件，就是把nginx装置好当前，为了不便运维配置，会把config外面的示例文件copy到装置目录。

configure脚本用来生成两头文件，执行编译前的一个一些配置，也就是记录编译前的设定信息，编译时应用。

contrib目录提供了两个脚本和vim工具，也就是让vim关上config配置文件时反对代码高亮。

把contrib目录下vim的所有文件copy到本人的目录中

cp -r contrib/vim/* ~/.vim/

就能够把nginx语言的语法高亮显示在vim中了。

html目录外面提供了两个规范的HTML文件，一个是发现500谬误的时候能够重定向到的文件，另一个是默认的nginx的欢送界面index.html。

man文件里则是Linux对nginx的帮助文件，外面标识了最根本的nginx帮忙和配置。

src目录是nginx的外围源码。

8. 开始编译

编译前能够先看一下configure反对哪些参数。

./configure --help | more

首先就是确定nginx执行中会去找哪些目录下的文件作为辅助文件。比方用动静模块时--modules-path就会产生作用。--lock-path确定nginx.lock文件放在哪里等。

如果没有任何变动的话只须要指定--prefix=PATH就能够了，设定一个装置目录。

第二类参数次要是用来确定应用哪些模块和不应用哪些模块的，前缀通常是--with和--without。

比如说--with-http_ssl_module或者--with-http_v2_module通常须要被动加--with的时候，意味着模块默认是不会编译进nginx的。

而模块中显示--without比如说--without-http_charset_module意味着默认他会编译进nginx中，加了参数是把他移除默认的nginx的模块中。

第三类参数中指定nginx编译须要的一些非凡的参数，比如说用cc编译的时候须要加一些什么样的优化参数，或者说要打印debug级别的日志(--with-debug)以及须要加一些第三方的模块(--with-zlib-asm=CPU)

这里指定的nginx的装置目录是在/home/nginx目录下。

./configure --prefix=/home/nginx/nginx/

如果没有任何报错nginx就曾经编译胜利了，所有nginx的配置个性以及nginx运行时的目录都会列在最下方。

在config执行完之后，会看到生成了一些两头文件。两头文件会放在objs文件夹下。最重要的是会生成一个文件叫做ngx_modules.c他决定了接下来执行编译时哪些模块会被编译进nginx。能够关上看一下所有被编译进nginx的模块都会列在这里，他们最初会造成一个叫做ngx_modules的数组。

执行make编译。

make

编译实现当前如果没有任何谬误，就能够看见生成了大量的两头文件，以及最终的nginx二进制文件。

cd objs/ll

最初进行make install。

make install

装置实现之后在--prefix指定的装置目录中能够看到很多目录，nginx的执行文件就在sbin目录下。

决定nginx性能的配置文件在conf下，access.log和error.log在log文件夹下。

能够看到在conf目录下所有文件就是在源代码中conf目录copy过去的，其中的内容也是完全相同的。

9. 配置语法

nginx可执行文件中曾经指定了他蕴含了哪些模块，但每一个模块都会提供举世无双的配置语法。

这些所有的配置语法，会遵循同样的语法规定。

nginx的配置文件是一个ascii的文本文件，次要有两局部组成，指令和指令快。

http {    include mime.types;    upstream thwp {        server 127.0.0.1:8000;    }    server {        listen 443 http2;        # nginx配置语法        limit_req_zone $binary_remote_addr zone=one:10 rate=1r/s;        location ~* \.(gif|jpg|jpeg)$ {            proxy_cache my_cache;            expires 3m;        }    }}

下面http就是一个指令快，include mime.types;就是一条指令。

每条指令以分号结尾，指令和参数间以空格分隔。include mime.types;中include是一个指令名，mime.types是参数两头能够用一个或多个空格分隔。参数能够有多个，比方上面的limit_req_zone有三个参数，多个参数之间也是用空格分隔。

两条指令间是以;作为分隔符的，两条指令放在一行中写也是没有问题的。只不过可读性会变得很差。

第三个指令块是以 {} 组成的，他会将多条指令组织到一起，比方upstream，他把一条指令server放在了thwp指令块上面。

server中也搁置了listen，limit_req_zone这些指令，他也能够蕴含其余的指令块，比如说location。

有些指令能够有名字，比方upstream，前面有个thwp作为他的名字。

具体什么样的指令有名字什么样的指令没有名字是由提供指令块的nginx模块来决定的，他也能够决定指令块前面有一个或者说多个参数，或者说没有参数。

include语句容许引入多个配置文件以晋升可维护性。在例子中mime.types文件中其实外面是含有很多条不同的文件的后缀名与http协定中mime格局的对照关系表。

include是导入其余配置模块的意思。

#符号能够增加正文，晋升可读性，比方在listen前面加了一个nginx配置语法的正文，以形容上面一些配置的表白。

应用$符号能够应用变量，能够看下limit_req_zone这里用了一个参数叫做$binary_remote_addr，这是一个变量形容的是远端的地址。

局部指令的参数是反对正则表达式的，比方location前面能够看到，他能够反对非常复杂的正则表达式，而且能够把正则表达式括号里的内容通过$1,$2,$3的形式取出来。

在nginx的配置文件中当波及到工夫的时候，还有许多表达方式，比方上面的形式:

ms -> 毫秒s  -> 秒m  -> 分钟h  -> 小时d  -> 天w  -> 周M  -> 月y  -> 年

比方location中的expires 3m;就示意3分钟后心愿cache刷新。

空间也是有单位的，当前面不加任何后缀名时示意字节bytes，加了k或者K示意千字节，m示意兆字节，g示意G字节。

http大括号外面所有的指令都是由http模块去解析和执行的，非http模块，比如说像stream或mime是没有方法去解析指令的。

upstream示意上游服务，当nginx须要与Tomcat等企业内网的其它服务交互的时候呢，能够定义一个upstream。

server对应的一个或一组域名，location是url表达式。

10. 重载，热部署，日志切割

须要帮忙的时候能够用-? 或者 -h获取帮忙信息。

nginx -?nginx -h

默认状况下编译进去的nginx会寻找执行configure命令时指定的配置文件。在命令行中能够指定另一个配置文件用 -c 门路 。

还能指定一些配置用-g，指令就是在nginx的configure目录里的指令。

nginx操作运行中的过程个别是通过发送信号，能够通过linux的kill命令也能够用nginx -s子命令，子命令后能够用stop，quit，reload，reopen。

nginx -s stop # 进行nginx服务nginx -s quit # 优雅的进行nginx服务nginx -s reload # 重载配置文件nginx -s reopen # 从新开始记录日志文件。

-t能够测试一下配置文件是否非法问题。

-V是在编译时用configure脚本执行所加的所有参数。

1. 重载配置文件

批改nginx配置文件中的一些值，比如说conf/nginx.conf文件中，关上tcp_nopush。

当批改完配置文件当前，能够间接执行nginx -s reload命令nginx是在不进行对客户服务的状况下应用了tcp_nopush新的配置项，十分的简略。

2. 热部署

nginx在运行的状况下想更换最新版本的nginx，依据之前所说的，nginx编译办法下载一个新的nginx。

把最新版本的nginx编译后的可执行文件nginx，copy到目录中替换掉正在运行的nginx文件。copy实现须要给正在运行的nginx的master过程发送一个信号，通知他开始进行热部署做一次版本升级，给nginx的master过程发送一个信号，USR2信号。

kill -USR2 过程号(13195)

nginx会新启一个master过程应用的正式刚刚复制过去的最新的nginx二进制文件。

旧的worker也在运行，新的master会生成新的worker，他们会平滑的把所有的申请过渡到新的过程中。

新的申请新的连贯会进入新的nginx过程中，这时须要向老的nginx过程发送一个信号叫做WINCH，通知他优雅的敞开所有过程。

kill -WINCH 13195

这时老的worker过程会优雅的退出，然而老的master过程还在，只是是没有worker过程了。

这阐明所有的申请曾经全副切换到新的nginx中了，如果须要把新版本退回到老版本，能够向老的过程发送reload命令，让他从新把worker过程拉起来。再把新版本关掉。所以保留master是为了容许做版本回退。

3. 日志切割

比如说以后的日志曾经很大了。须要把以前的日志备份到另外一个文件中，然而nginx还是失常运行的。

这就要通过reopen命令来做，首先须要把以后正在应用的日志copy一份放在另外的地位.

mv access_log bak.log

接着执行命令reopen。

nginx -s reopen

就从新生成了一个access.log, 本来的log备份成了bak.log,就实现了日志切割。

当然这种办法会十分不好用，实际上往往是每一天，或者是每一周执行一次日至切割，能够先写成一个bash脚本。

在bash脚本中首先把文件复制一下，再执行-s reopen命令，最初把脚本放在crontab中。

11. 动态资源Web服务器

编辑conf/nginx.conf文件找到server代码块中，listen配置监听端8080端口，而后须要配置一个location，应用/让所有的申请都拜访到www文件夹。

这里须要指定url的后缀与文件的后缀一一对应，有两种用法，root和alias，root是零碎的跟目录，所以通常应用alias，alias是nginx的装置目录。

server {    listen 8080;    ...    location / {        alias www/;        ...    }    ...}

做完配置之后启动nginx在浏览器中拜访localhost:8080就能够了。

nginx -s reload

1. 开启gzip

做完gzip压缩传输的字节数会大幅度缩小，所以通常会关上gzip。

首先关上nginx.conf文件，找到http代码块中的gzip相干选项，关上gzip(off -> on), gzip_min_length是小于多少字节不再执行压缩，因为小于肯定的字节http传输间接就能够发送了，压缩反而耗费cpu性能，gzip_comp_level代表压缩级别，gzip_types是针对某些类型的文件才做gzip压缩。

http {    ...    gzip on;    gzip_min_length 1;    gzip_comp_level 2;    gzip_types text/plain applicaton/x-javascript text/css image/png;    ...}

配置好后重启nginx, 浏览器中查看就会发现，传输的文件曾经缩小了很多，响应头中多出了Content-encoding: gzip。应用gzip当前整个web服务传输效率会高很多。

2. 关上目录构造

nginx给提供了一个官网模块叫做autoindex，他能够提供当拜访以/结尾的url时，显示目录的构造。应用办法也特地简略，就是autoindex on退出一个指令就能够了。

location / {    autoindex on;}

他会把所拜访的文件夹内所有文件列出来，当关上一个目录时，能够持续显示目录中的文件，这是一个很好的动态资源帮忙性能。

3. 网速限度

比方公网带宽是无限的，当有很多并发用户应用带宽时，他们会造成一个争抢关系，能够让用户拜访某些大文件的时候来限度他的速度，节俭足够的带宽给用户拜访一些必要的小文件。

就能够应用set命令，配合一些内置的变量实现这种性能，比如说加上set $limit_rate 1k，限度nginx向客户浏览器发送响应的一个速度。意思是每秒传输多少数据到浏览器中。

location / {    set $limit_rate 1k;}

4. 日志

首先须要设置access日志格局，找到一个指令叫做log_format, 他用来定义日志的格局，这里能够应用变量。

http {    log_format main '$remote_addr - $remote_user [$time_local] "$request" '    '$status $body_bytes_sent "$http_referer" '    '"$http_user_agent" "$http_x_forwarded_for"';}

$remote_addr为远端的地址，也就是浏览器客户端的ip地址，$time_local示意过后的工夫。$status是返回的状态码。格局定义好之后须要定义一个名字，这里是main。

不同的名字能够对不同的域名下，做不同格局的日志记录，或者对不同的url记录不同日志格局。

配置好log_format之后，就能够用access_log指令，配置日志了。access_log所在的代码块决定了日志的地位比方access_log这里放在了server下，也就是所有申请这个门路和端口的申请日志，都会记录到logs/yindong.log文件中，应用的格局就是main。

server {    listen 8080;    access_log logs/yindong.log main;    location / {        alias dlib;    }}

配置好yindong.log后，所有的申请在实现之后都会记录下一条日志，能够进入logs/yindong.log中查看每一条都是设置的格局。

12. 反向代理服务

因为上游服务要解决非常复杂的业务逻辑而且强调开发效率，所以他的性能并不怎么样，应用nginx作为反向代理当前，能够由一台nginx把申请依照负载平衡算法代理调配给多台上游服务器工作。

这就实现了程度扩大的可能，在用户无感知的状况下，增加更多的上游服务器，来晋升解决性能，而当上游服务器呈现问题的时候，nginx能够主动的把申请从有问题的服务器，转交给失常的服务器。

反向代理须要增加一个upstream，就是上游服务server，拜访地址是127.0.0.1:8080如果有很多台上游服务能够顺次的放在这里。

upstream设置的一批服务叫local。对所有的申请应用proxy_pass一条指令，代理到local里。

upstream local{    server 127.0.0.1:8080;}server {    server_name yindong.com;    listen 80;    location / {        proxy_set_header Host $host;        proxt_set_header X-Real_IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        # 反向代理转发        proxy_pass http://local;    }}

因为反向代理的起因，实在的服务器拿到的信息是通过nginx代理服务器转发的，所以很多信息都不是实在的，比如说域名，ip都是代理服务器发送过去的，所以须要在location中做一些配置解决。

通过proxy_set_header能够把有一些值增加一条新的header发送到上游，比如说叫x-real-ip，而后把他的值设为从tcp链接外面拿到的远端ip地址。

$host也是同样的因为用户间接拜访的域名，是他在浏览器输出的，既能够让他在上游服务器能够解决域名，也能够由反向代理来解决。

所有这些配置个性都能够在官网中的http_proxy_module找到。

1. 缓存

这里有个很重要的个性proxy_cache, 因为当nginx作为反向代理时，通常只有动静的申请，也就是不同的用户拜访同一个url看到的内容是不同的，才会交由上游服务解决。

然而有一些内容可能是一段时间不会发生变化的，为了加重上游服务器的压力，就会让nginx把上游服务返回的内容缓存一段时间，比方缓存一天，在一天之内即便上游服务器对内容的响应产生了变动，也不论，只会去拿缓存住的这段内容向浏览器做出响应。

因为nginx的性能远远当先于上游服务器的性能。所以应用一个个性后，对一些小的站点会有十分大的性能晋升。

配置缓存服务器首先要去通过proxy_cache_path这条指令去设置缓存文件写在哪个目录下。

比方这里是/tmp/nginxcache, 以及这些文件的命名形式，这些文件的关键词key,要放在共享内存中的。这里开了10MB的共享内存，命名为my_cache。

proxy_cache_patj /tmp/nginxcache levels=1:2 keys_zone=my_cache:10m max_size=10g inactive=60m use_temp_path_off;

缓存的应用办法就是在须要做缓存的url门路下，增加proxy_cache, 前面所跟的参数就是刚刚开拓的那个共享内存，在共享内存中所设置的key就是同一个url拜访时对不同的用户可能展现的货色是不一样的，所以用户这个变量就要放在key中。

这里做一个非常简单的key，比如说拜访的host url可能加了一些参数，这些参数可能曾经指明了是哪个用户哪个资源，$host$uri$is_args$args; 这些作为一个整体的key。

location / {    proxy_cache my_cache;    proxy_cache_key $host$uri$is_args$args;    proxy_cache_valid 200 304 302 1d;}

加完这些参数当前，能够尝试停掉上游服务，而后拜访站点，能够发现站点依然是能够拜访的。就是因为被缓存了。

13. 监控access日志

Access日志记录了nginx十分重要的信息，能够用日志来剖析定位问题，也能够用它来剖析用户的经营数据，然而如果想实时剖析Access.log相对来说还比拟艰难。

有一款工具叫GoAccess能够以图形化的形式，通过websocket协定实时的把Access.log的变迁反馈到浏览器中，不便剖析问题。

GoAccess的站点是 https://goaccess.io, 以一种十分敌对的图形化形式显示。

GoAccess应用-o参数生成新的html文件，把以后access.log文件中的内容以html图表的形式展现进去，当access.log变迁的时候GoAccess会新起一个socket过程，通过端口的形式把新的access.log推送到客户端。

goaccess access.log -o report.html --log-format=COMBINED

首先制订access.log程序制订的地位(yindong.log), 把它输入到../html/report.html文件中，应用的是--real-time-html就是实时更新页面的形式，工夫格局--time-format='%H:%M:%S', 日期格局--date-format='%d/%b/%Y', 以及日志格局--log-format=COMBINED。

cd logsgoaccess yindong.log -o ../html/report.html --real-time-html --time-format='%H:%M:%S' --date-format='%d/%b/%Y' --log-format=COMBINED

GoAccess的装置能够用yum或者wget，也能够下载源码进行编译。

启动实现之后能够看到一条log叫做 WebSocket server ready to accept new client connections, 也就是他曾经关上了一个新的websocket监口，当拜访report.html的时候，会向过程发动连贯, 由过程给推送最新的log变更。

接下来还要在nginx.conf中增加location，当拜访/report.html时候用alias重定向到report.html。

server {    ...    location /report.html {        alias /usr/local/openresty/nginx/html/report.html;    }    ...}

关上localhost:8080/report.html就能够看到成果了。

应用GoAccess.log能够十分直观的看到access.log统计信息上的变迁，对剖析网站的经营状况十分有帮忙，能够看到每个工夫点，每一周每一天，甚至不同的国家地区应用不同浏览器和操作系统的人应用站点的一个比例和散布。

14. SSL平安协定

SSL的全称是Secure Sockets Layer，当初很多时候应用的是TLS也就是Transport Layer Security。能够将TLS看做是SSL的升级版。

SSL是网景公司在1995年推出的，起初因为微软把本人的IE浏览器捆绑windows一起卖出导致网景遇到很大的倒退窘境，网景把SSL协定交给IETF组织。

在1999年，应微软的要求IETF把SSL更名为TLS1.0，在06，08到2018年TLS别离公布了1.1，1.2和1.3协定。

那么TLS协定到底是怎么保障http的明文音讯被加密的呢？

在ISO/OSI七层模型中，应用层是http协定，在应用层之下，表示层也就是TLS所发挥作用的这一层，通过握手，替换密钥，告警，对称加密的形式使http层没有感知的状况下做到了数据的平安加密。

当抓包或者察看服务端配置时，能够看到平安明码的配置，平安明码的配置决定了TLS协定是怎么保障明文被加密的。这里大略有四个组成部分。

第一个组成部分叫做密钥替换，也就是ECDHE，这实际上是一个椭圆曲线加密算法的表白，密钥替换是为了让浏览器和服务器之间怎么各自独立的生成密钥，数据传输时他们会用密钥去加密数据。加解密是须要应用到对方的密钥的所以须要进行替换。

在密钥替换过程中，须要让浏览器和服务器各自去验证对方的身份，而验证身份是须要一个算法的，叫做RSA。

进行数据加密，解密这种通信的时候，须要用到对称加密算法AES_128——GCM，其中第一个局部AES表白了是怎么一种算法，128示意了AES算法里反对了3种加密强度，应用128位这种一个加密强度。AES中有很多分组模式GCM是一种比拟新的分组模式，能够进步多核CPU状况下加密和解密的一个性能。

SHA_256是摘要算法，他用来把不定长度的字符串生成固定长度的更短的摘要。

15. 对称加密、非对称加密

在对称加密场景中，两个想通信的人张三和李四，他们独特持有同一把密钥，张三能够把原始明文的文档，通过这一把密钥加密生成一个密文文档，而李四拿到文档当前呢，他能够用这把密钥还原转换为原始的明文文档，而两头的任何人如果没有持有这把密钥，即便他晓得了对称加密的算法他也没有方法把密文还原成原始文档。

那么对称加密到底的实现能够以RC4对称加密的序列算法来形容。

应用异或(xor)操作, 他是一个位操作，比方1和0进行异或失去1，0和1也失去了1，那么雷同的1和1或者0和0进行异或操作都会失去0。

在一个场景下1010是独特持有的密钥，0110是明文，张三执行加密的时候就会失去密文1100。

1 0 1 0 # 密钥  xor   # 异或操作0 1 1 0 # 明文  | |    # 输入1 1 0 0 # 密文

异或有一个对称的个性，就是把密文与密钥同样的做异或操作能够失去明文。

1 0 1 0 # 密钥  xor   # 异或操作1 1 0 0 # 密文  | |    # 输入0 1 1 0 # 明文

密文能够用同一把密钥齐全还原成了明文，所以对称加密有一个最大的长处就是他的性能十分的好，他只有遍历一次就能够失去最终的密文，解密的过程也是一样，而非对称加密他的性能就会差很多。

非对称加密依据一个数学原理，他会生成一对密钥，这一对密钥中如果称其中一个叫做公开钥匙(公钥)，那么另一个就叫做公有钥匙(私钥)。

公钥和私钥作用就是同一份命名文档如果用公钥加密了那么只有用对应的私钥能力把它解密，同样情理，如果文档用私钥加密了用公钥能力解密。

比如说李四他有一对公钥和私钥，那么他就能够把他的公钥公布给大家，比方张三是其中的一个人，他拿到了李四的公钥，加密操作是怎么做的呢？

张三如果想传递一份原始文档给李四，那么张三就能够拿着李四的公钥对原始文档进行加密，把密文再发送给李四，李四用本人的私钥能力进行解密，其他人即便失去了这份文档也没有方法进行解密。

 ----------                ----------                  ----------  |  ------  |  李四的公钥    |  ------  |   李四的私钥     |  ------ | |  ------  | -----------> |  -- 密 -- |  ----------->  |  ------ ||  ------  |    加密       |  ------  |     解密        |  ------ | ----------                ----------                  ----------   原始文档                    加密文档                     原始文档 

公钥和私钥还有第二种用处，就是身份验证，比方当初有一段信息李四用它的私钥进行了加密，而后把密文发给了张三，只有张三如果能够应用李四的公钥解开这份文档，那么就证实这段密文的确是由李四收回的。因为只有李四有本人的加密私钥，如果是王五加密的文档张三用李四的公钥是解不开的，只有用李四私钥加密的应用李四的公钥能力解开。

16. SSL证书的公信力

这里其实还有个问题，李四怎么就晓得音讯真的是张三发过去的。这外面波及到一个新的概念叫公信机构。在多方通信的过程中必须有一个公信机构CA，负责颁发证书和把证书过期的。

作为站点的维护者就是证书的订阅人，首先必须申请一个证书，申请证书可能须要注销是谁，属于什么组织，想做什么。

注销机构通过CSR发给CA，CA核心通过后会生成一对公钥和私钥，公钥在CA保留着，公钥私钥证书订阅人拿到之后就会把它部署到本人的web服务器，当浏览器拜访站点的时候，服务器会把公钥证书发给浏览器，浏览器须要向CA验证证书是否非法和无效的。如果无效就证实没有被篡改。

因为CA会把过期的证书放在CRL服务器里，服务器会把所有过期的证书造成一条链条所以他的性能十分的差，起初又推出了OCSP程序能够就一个证书去查问是否过期，所以浏览器是能够间接去查问OCSP响应程序的，但OCSP响应程序性能还不是很高。

nginx会有一个OCSP的开关，当关上开关当前会由nginx被动的去OCSP去查问，大量的客户端间接从nginx就能够获取到证书是否无效。

证书一共有3种类型。

第一种叫做域名验证DV证书，也就是说证书只会去验证域名的归属是否正确，申请证书的时候只有域名指向的服务器是正在申请证书的服务器，就能够胜利的申请到证书。

第二种证书叫做组织验证OV证书，组织验证就是在申请证书的时候会去验证填写的机构，企业名称是否是正确的，申请OV证书往往须要几天的工夫，不像DV证书，基本上实时就能够获取到，OV证书的价格远远高于DV证书，DV证书很多都是收费的。

比OV证书做更严格的是EV证书，大部分浏览器对EV证书显示的十分敌对，他会把证书申请时所填写的机构名称在浏览器的地址栏中显示进去。

浏览器在平安角度对DV，OV,，EV证书他的成果是一样的。惟一验证的就是证书链。

如果你点击网站地址栏中的锁头标记，关上证书链的时候，能够发现存在三个级别，目前所有主证书都是由根证书、二级证书、主证书三个证书形成的。

之所以须要三级机构是因为根证书的验证是十分审慎的，如windows，安卓等操作系统每一年以上才会去更新一次根证书库，所以一个新的根证书CA机构是很难疾速的退出到操作系统或者浏览器中的。

大部分浏览器他应用的是操作系统的证书库，只有像firefox这种浏览器会保护本人的根证书库，所以浏览器在验证证书是否无效时，除了验证有没有过期以外，最次要就是在验证根证书是不是无效的，是不是被跟证书库所认可的。

nginx在向浏览器发送证书的时候须要发送两个证书，根证书是被操作系统或者浏览器内置的并不需要发送。首先发送站点的主证书，接着会发送二级证书，浏览器会主动去认证二级证书的签发机构，根证书是不是无效的。

浏览器和服务器之间通信时确认对方是信赖的人其实就是验证给站点颁发根证书的发行者是不是无效的。

17. SSL协定握手时nginx的性能瓶颈

TLS的通信过程次要想实现四个目标。

1. 验证对方身份

浏览器会向服务器发送一个client hello音讯。有一浏览器十分多样化，而且版本在不停的变更。所以不同的浏览器所反对的平安套件，加密算法都是不同的。这一步次要是通知服务器，浏览器反对哪些加密算法。

2. 对平安套件达成共识

nginx有本人可能反对的加密算法列表，以及他偏向于应用的哪一个加密算法套件，nginx会抉择一套他最喜爱的加密套件发送给客户端。

如果想复用session，也就是说nginx关上了session cache，心愿在一天内断开链接的客户端不必再次协商密钥，能够间接去复用之前的密钥。

server hello信息中次要会发送到底抉择哪一个平安套件。

3. 传递并生成密钥

nginx会把本人的公钥证书发送给浏览器，公钥证书中蕴含证书链，浏览器能够找到本人的根证书库，去验证证书是否是无效。

4. 对数据进行加密通信

服务器会发送server hello done，如果之前协商的平安套件是椭圆曲线算法，这时会把椭圆曲线的参数发送给客户端。客户端须要依据椭圆曲线的公共参数，生成本人的私钥后再把公钥发送给服务器。

服务器有了本人的私钥，会把公钥发送给客户端，服务端能够依据本人的私钥和客户端的私钥，独特生成单方加密的密钥。

客户端依据服务器发来的公钥和他本人的私钥也能够生成一个密钥。

服务器和客户端各自生成的密钥是雷同的，是由非对称加密算法保障的。接着能够用生成的密钥进行数据加密，进行通信。

TLS通信次要在做两件事，第一个是替换密钥，第二个是加密数据，次要的性能耗费也是这两点。

nginx在这里是有性能优化的，次要是他的算法性能，对于小文件，握手是影响QPS性能的次要指标，对于大文件而言，次要思考对称加密算法的性能比方AES，对称加密算法尽管性能很好，然而对十分大的一个文件，测吞吐量时还是AES的性能比拟好的。

当以小文件为主时次要考验的是nginx的非对称加密的性能，比如说RSA，当次要解决大文件时次要考验的是对称加密算法的性能，比如说AES。

面对的场景是小文件比拟多时重点应该优化椭圆曲线算法的一些明码强度，看是不是有所升高，当次要面对大的文件解决的时候须要思考AES算法是不是能够替换为更无效的算法，或者把明码强度调得更小一些。

18. 用收费SSL证书实现一个HTTPS站点

首先须要有一个域名比如说yindong.zhiqianduan.com他是一个http的网址。

接着开始装置工具，必须的工具。

如果零碎是CentOS，能够应用yum装置，优班图零碎能够应用wget工具下载。

yum install pthon2-certbot-nginx

装置好会提供certbot命令，当后缀加上--nginx的时候就开始为nginx的conf主动执行相应的批改。通常他会默认批改/usr/local/目录下的nginx配置。能够通过--nginx-server-root指定nginx.conf所在的门路。

应用-d指定须要申请证书的域名，比如说yindong.zhiqianduan.com。

certbot --nginx --nginx-server-root=/usr/local/nginx/conf/ -d yindong.zhiqianduan.com

首先他会去获取一个证书，接着会期待验证，而后把证书部署到nginx.conf文件中。最初提醒两个抉择，第一不要做任何的重定向，第二做重定向。重定向就是将http的拜访302到https从而禁掉不平安的http拜访。

抉择之后就能够应用https拜访yindong.zhiqianduan.com域名了。https://yindong.zhiqianduan.com

他是在在server指令块中减少了443端口，让后将公钥证书和私钥证书部署好，并把一些通用的参数通过include退出到配置文件中。

因为ssl中最耗费性能是的握手，所以为了升高握手减少了sessin_cache, 设置1m，能够为大概4000个链接建设服务。也就是说每个http链接握手建设第一次当前如果断开了再次链接，那么在session_timeout工夫以内是不必进行再次握手的。能够复用之前的密钥，session_timeout设置了1440m，也就是一天。

ssl_protocols示意https反对哪些版本的TLS协定，ssl_prefer_server_ciphers示意nginx开始决定应用哪些协定与浏览器进行通信，他是通过ssl_ciphers中的平安套件，所有的平安套件以分号分隔，是有程序的，排在后面的会优先被应用。

最初server中的ssl_dhparam是示意加密的时候应用怎么的参数，这些参数会决定网络安全的加密强度。

19. 基于OpenResty用Lua语言实现简略服务

在openresty的站点(openresty.org)下载，在源码公布中找到最新版本，复制他的下载链接进行下载。

wget http://openresty.org/download/openresty-1.13.6.2.tar.gz

下载实现当前解压压缩包，而后进入到源代码目录，能够发现openresty目录和nginx的源代码目录相比少了很多货色，少的这些货色都在bundle目录下，build目录是编译当前生成的一些两头指标文件。

在bundle目录中有很多模块，最外围的是nginx的源代码，也就说以后的OpenResty是基于对应的nginx版本进行的二次开发。

所有nginx对应版本中没有的个性都不可能呈现在OpenResty的版本中。

其余的目录又分为两类，第一类是nginx的第三方模块，都是一些C模块，通常会以ngx结尾。第二类模块是LUA模块，是lua代码写就的，他须要应用刚刚那些C模块提供的各种性能，在编译的时候次要是在编译C模块。

./configure --help | more

通过帮助文件能够看到OpenResty和nginx根本没有太大的不同，只不过OpenResty他集成了很多第三方模块，比方http_echo, http_xss等等，这些在nginx的官网版本中是没有的。这些模块很多是OpenResty的作者写的。

最外围的lua_module外围模块通常是不能移除来的，移除来之后整个lua就不能运行了。其余的配置项和官网的nginx基本上是一样的。

./configuremake install

要将lua代码增加到OpenResty当中首先关上OpenResty的conf文件，在文件中是能够间接增加lua代码的，然而不能间接的把lua的语法放在conf中，因为nginx的解析器配置语法和lua代码是不雷同的。

在OpenResty的nginx_lua_module中提供了几条指令，其中有一条叫做content_by_lua, 是在http申请解决的内容生成阶段用lua代码来解决。

减少一个location，当输出/lua的时候，应用lua代码进行解决, 为了使输入的文本可能以浏览器间接显示文本的形式显示，增加一个default_type text/html，在content_by_lua中加一些最简略的命令来演示lua是怎么失效的。

在OpenResty的lua模块中提供了一些API，比如说ngx.say会生成http响应，他是放在http申请的body中的，并不是放在header中的。

能够通过ngx.say语法将内容增加到body中的文本中。这里通过ngx.req.get_headers把用户申请时的http头取出来，而后找出UA，把值返回给浏览器。

server {    server_name yindong.com;    listen 80;    location /lua {        default_type text/html;        content_by_lua 'ngx.say("User-Agent: ", ngx.req.get_headers()["User-Agent"])';    }    location / {        alias html/yindong/;    }}

拜访/lua就能够看到成果了。

通过OpenResty的nginx_lua_http模块能够用它提供的API实现很多性能，能够用lua语言自身的一些工具库，把lua语言增加进来参加响应的过程。

能够用lua语言以及相应的提供的工具库间接拜访redis，mysql或者tomcat等服务，而后把不同的响应通过程序逻辑组合成相应的内容返回给用户。