很干的 Nginx

这篇具有很好参考价值的文章主要介绍了很干的 Nginx。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

🎨 前言

本篇文章有些概念性的东西,是结合自己的理解表达出来的,可能有些理解不到位的地方。希望多多指教,谢谢大家。

红包献上 🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧🧧

🎨 最小单元配置

worker_processes 1; # 工作的进程个数

events {
    worker_connections 1024; # 一个进程可以创建多少个链接(默认 1024)
}

http {
    # 引入其他配置(返回前端的头部信息,告诉浏览器返回的数据格式)
    include mime.types; 
    # 如果没有命中 mime.types 的类型,则默认返回 application/octet-stream 的数据格式
    default_type application/octet-stream;
    # 数据零拷贝 (减少了 nginx 读取文件,拷贝文件,直接将文件返回给到前端)
    sendfile on;
    # 保存连接超时时间
    keepalive_timeout 65;
    
    # 虚拟主机
    server {
        # 监听端口
        listen 80;
        # 域名、主机名
        server_name localhost;
        
        location / { # / 转发
            # 指向 nginx 目录下的 html 目录
            root html;
            # 默认展示页
            index index.html index.htm
        }
        
        # 错误码为 500 502 503 504 会命中 50x.html
        error_page 500 502 503 504 /50x.html
        # 访问 /50x.html 会被代理到 nginx 下的 html 目录下  
        location = /50x.html {
          root html
        }
    }
}

🎨 二级域名转发

根据不同的二级域名返回不同的站点

如:

  • 域名 blog.hhmax.xyz 返回博客站点
  • 域名 www.hhmax.xyz 返回主站站点

原理:将不同的二级域名都指向同一个 IP 地址,在通过 Nginx 在转发时,根据不同的二级域名,返回不同的站点

下面通过俩种方式进行演示:

🎉 内网模拟站点映射

C:\Windows\System32\drivers\etc\hosts 文件中添加

39.104.61.35 blog.hhmax.xyz
39.104.61.35 www.hhmax.xyz

测试是否映射成功

ping blog.hhmax.xyz

很干的 Nginx,其他,nginx,运维

ping www.hhmax.xyz

很干的 Nginx,其他,nginx,运维

接下来进行 Nginx 配置,配置内容如下:

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  
  server {
     listen: 80,
     server_name www.hhmax.xyz;  
     location / {
        root html; # 转发到 nginx/html/index.html 或 index.htm
        index index.html index.htm
     }   
  },
  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
        root blog; # 转发到 nginx/blog/index.html 或 index.htm
        index index.html index.htm
     }   
  }       
}

🎉 外网模拟站点映射

需要购买域名以及一台服务器,并且服务器要备案成功才能映射成功

很干的 Nginx,其他,nginx,运维

选中域名解析,并添加记录

很干的 Nginx,其他,nginx,运维

需要设置的字段

  • 记录类型:这里选择 A - 将域名指向一个 IPV4 的地址
  • 主机记录:可以填写一个二级域名(即我们要设置的 blog 和 www)
  • 记录值:映射的地址(即我们要映射的服务器IP地址)

可添加多条记录,并映射到其他 IP 或相同 IP

接下来进行 Nginx 配置,配置内容如下:

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  
  server {
     listen: 80,
     server_name www.hhmax.xyz;  
     location / {
        root html; # 转发到 nginx/html/index.html 或 index.htm
        index index.html index.htm
     }   
  },
  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
        root blog; # 转发到 nginx/blog/index.html 或 index.htm
        index index.html index.htm
     }   
  }       
}

注意:上述 Nginx 配置监听的端口是 80 端口,服务器可能需要开启

很干的 Nginx,其他,nginx,运维

很干的 Nginx,其他,nginx,运维


🎨 反向代理

🎉 正向代理

概念:代理服务器充当客户端的中间人,代表客户端向目标服务器发送请求。在正向代理中,客户端通过代理服务器来访问互联网上的资源,而不是直接与目标服务器通信

很干的 Nginx,其他,nginx,运维

好处:隐藏客户端的真实 IP 地址和身份,增加了匿名性和安全性

🎉 反向代理

概念:代理服务器接收客户端请求,并将请求转发给后端服务器。在反向代理中,客户端不直接与后端服务器通信,而是与代理服务器进行通信

很干的 Nginx,其他,nginx,运维

好处:

  • 可以实现负载均衡,将请求分发到多个后端服务器,提高系统的性能和可靠性(负载均衡
  • 可以缓存静态资源,减少后端服务器的负载(动静分离

Nginx 与 Tomcat 形成内网,Tomcat 不能直接绕过 Nginx 通过网关,发送消息。必须通过 Nginx 来发送消息。这种模式称为 隧道式代理

由此,也暴露出一个问题,当数据量很大时,尽管 Tomcat 的带宽有 100M,但 Nginx 的带宽只有 10 M。由于需要借助 Nginx 来向外传递数据,最终的传输数据没有设想的那么好。Tomcat 带宽再好,也要受限于 Nginx

为了解决上述的缺点:

衍生出一种模式: Nginx 只处理进来的请求,而出去的数据不经过 Nginx 进行转发。Tomcat 直接将数据通过网关发送给到用户(中间会经过其他网关进行转发)。这种模式称为 DR 模式

🎉 反向代理配置

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  
  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
       # 当访问 blog.hhmax.xyz 是代理到 http://www.baidu.com    
       proxy_pass http://www.baidu.com
     } 
     location /api { # 笔记
        # 当访问 blog.hhmax.xyz/api 是代理到 内网中的 http://127.0.0.1:3200    
        proxy_pass http://127.0.0.1:3200;
     }   
  }       
}

注意:上述例子中代理到后端服务 3200 端口也需要开放

很干的 Nginx,其他,nginx,运维

很干的 Nginx,其他,nginx,运维


🎨 负载均衡

概念:用于在多个服务器之间分配和平衡工作负载,以提高系统的性能、可靠性和可扩展性。当一个服务器无法处理所有的请求时,负载均衡将请求分发给其他可用的服务器,以确保每个服务器都能够处理适当的负载

🎉 普通轮询

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  
  
  # 轮询的服务器  
  upstream httpds {
     server 192.168.5.51:80;   
     server 192.168.6.51:80; 
     server 192.168.7.51:80; 
  }
    
  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
       proxy_pass http://httpds;
     }   
  }       
}

192.168.5.51:80192.168.6.51:80192.168.7.51:80 三台服务器提供的服务都一样。

🎉 权重轮询

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  
  
  # 权重值越大,被轮询到的可能性越大
  upstream httpds {
     server 192.168.5.51:80 weight=8;   
     server 192.168.5.51:80 weight=1; 
     server 192.168.5.51:80 weight=7; 
  }
  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
       proxy_pass http://httpds;
     }   
  }       
}

另外一些配置

  • down (若配置,则该台服务器不参与轮询
  • backup(若配置,则该台服务器为备用机,当其他轮询服务器不能使用时,才会使用该服务器)

具体使用如下:

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  

  upstream httpds {
     server 192.168.5.51:80 weight=8 down;   
     server 192.168.5.51:80 weight=1; 
     server 192.168.5.51:80 weight=7 backup; 
  }
  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
       proxy_pass http://httpds;
     }   
  }       
}

🎉 轮询缺点

由于是轮询,所以导致没法保存会话信息,如在 192.168.5.51:80 用户登录成功。当用户再次访问该站点时,被 Nginx 轮询到192.168.7.51:80 ,此时这台服务器是不知道用户已经登录了,所以需要重新在登录。

🎉 解决方案

随着技术的发展,为了解决轮询带来的会话信息无法保存,衍生出了两种方案来解决上述问题

  • 其一:借助 cookie、session、redis

流程:

  1. 用户输入其登录信息
  2. 服务器验证信息是否正确,并创建一个 session,并将其存入到 redis
  3. 服务器为用户生成一个 sessionId,将具有 sesssionId 的 cookie 将放置在用户浏览器中
  4. 在后续请求中,携带 cookie,访问服务器。哪怕是轮询到其他服务器,也可以通过 sessionId 去 redis 拿去登录信息
  5. 一旦用户注销应用程序,会话将在客户端和服务器端都被销毁

Node + Koa2 代码实现

// app.js
const app = new Koa()
const Koa = require('koa')
const redisStore = require('koa-redis')
const session = require('koa-generic-session')
//session 与  redis
app.keys = ['dfhQWE_123#ewr']
app.use(session({
  key: 'token.sid', //cookie name 默认是 `koa.sid`
  prefix: 'token:sess:', // redis key 的前缀,默认是 `koa:sess:`
  //配置cookie
  cookie:{
    path:"/",
    httpOnly:true,
    maxAge:24 * 60 * 60 * 1000 // 1 day
  },
  //配置redis
  store: redisStore({
    all:`127.0.0.1:6379`
  })
}))

// router
router.post('/login', async (ctx, next) => {
    const { account = '-', password = '-' } = ctx.request.body;
    if (config.account == account && config.password == password) {
        // TODO 将账号信息(id)保存到 session 中
        ctx.session.user = {
            account: config.account
        }
        ctx.body = {
            errorno: 0,
            message: '登录成功'
        }
        return
    }
    ctx.body = {
        errorno: 4001,
        message: '账号或密码错误'
    }
});

// 中间件校验 loginCheck
module.exports = async (ctx, next) => {
    // // TODO:判断用户是否已经登录
    if (ctx.session.user) {
        await next()
        return
    } else {
        ctx.body = {
            errorno: 4000,
            message: '用户未登录'
        }
    }
}

// 判断是否已经登录成功
router.post('/getNotes', loginCheck, async (ctx, next) => {
    const data = await searchData();
    ctx.body = {
        errorno: 0,
        message: '',
        data
    }
});
  • 其二:无状态的会话通信 (JWT)

流程:

  1. 用户输入其登录信息
  2. 服务器验证信息是否正确,并返回已签名的 Token
  3. Token 存储在客户端
  4. 之后的 HTTP 请求都将 Token 添加到请求头里
  5. 服务器解码 JWT,并且如果令牌有效,则接受请求
  6. 一旦用户注销,令牌将在客户端被销毁,不需要与服务器进行交互一个关键是,令牌是无状态的。后端服务器不需要保存令牌或当前session的记录

Node + Koa2 代码实现

// app.js
const app = new Koa()
const Koa = require('koa')
const jwtKoa = require('koa-jwt')
app.use(jwtKoa(
  {
    secret:'1Hrj$_enferk' //密钥
  }
).unless({
  path:[/^\/users\/login/] //自定义哪些目录忽略 JWT 验证
}))

//登录成功对信息进行加密
const jwt = require('jsonwebtoken')
token = jwt.sign(userInfo, '1Hrj$_enferk', { expiresIn: '1h' })


// router
const until = require('util')
const verify = until.promisify(jwt.verify)
router.get('/getUserInfo', async (ctx, next) => {
  const token = ctx.header.authorization
  try {
    const payload = await verify(token.split(' ')[1], '1Hrj$_enferk')
    ctx.body = {
      errno:0,
      userInfo: payload
    }
  } catch (ex) {
    ctx.body = {
      errno:-1,
      msg:'失败'
    }
  }
})

🎉 方案对比

共同点:为了解决:登录和存储登录用户信息
不同点:

  • JWT 用户信息加密存储在客户端,不依赖 cookie ,可跨域
  • session 用户信息存储在服务端,依赖于 cookie,默认不可跨域

JWT 的优点:

  • 将加密信息存放在客户端,减少服务端的内存压力。
  • 不依赖于 cookie 可以将信息进行跨域分享。

JWT 的不足:

  • 服务端无法控制信息,一旦用户修改信息后,服务端无法第一时间修改加密信息。

Session 的优点:

  • 可以对用户信息进行控制。

Session 的不足:

  • 存储要依赖于 redis 和 cookie ,并且不能跨域。
  • 一旦上线启动多进程,而不依赖 redis 是无法实现多进程之间的信息共享。

🎨 动静分离

在还没有前后端分离的开发模式的情况下(MVC),一些静态资源都是集中和后端代码放在 Tomcat 。而这些静态资源大多数情况下都是不变的,如:图片,JavaScript 代码。

并且 Nginx 可以缓存静态资源,减少后端服务器的负载。因此,可以将一些静态资源放到 Nginx 中,从而使一些静态资源与业务逻辑进行抽离。

具体配置如下:

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  

  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location / {
       proxy_pass http://192.168.6.52     
     }
     location ~*/(css|img|js) {
       # 路径中有 /css /img /js 使会指向 nginx/html 中的 css、img、js     
       root html;
       index index.html index.htm     
     }   
  }       
}

随着技术的发展,特别是前后端分离的开发模式,上述情况也不复存在,后端也不用考虑到静态资源该怎么处理,都转移给到前端了


🎨 资源防盗链

保护网站资源不被其他网站盗用的技术措施

防盗链的实现原理:

  • 服务器收到请求后,获取请求头中的referer字段
  • 验证referer字段是否符合预设的规则,例如是否在允许的域名列表中
  • 如果referer验证通过,则允许访问资源;否则,拒绝访问或返回特定的错误页面

情况一:页面引用图片请求头中会携带 referer 头,值就是引用该资源的这个地址

很干的 Nginx,其他,nginx,运维

情况二:单独复制该图片地址,重新打开窗口访问时,请求该图片时,referer 头就不会携带给到后端

很干的 Nginx,其他,nginx,运维


配置一:两种情况都不能访问资源(图片)

 http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  

  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location /img {     
       valid_referers blog.hhmax.xyz;
       if ($invalid_referer) {
          return 403;
       }   
            
       # 路径中有 /nginx/img    
       root img;
       index index.html index.htm     
     }   
  }       
}

valid_referers:配置的值得跟 server_name 一样

很干的 Nginx,其他,nginx,运维

配置二:仅第二种情况可以访问资源

http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  

  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location /img {     
       valid_referers none blog.hhmax.xyz;
       if ($invalid_referer) {
          return 403;
       }   
            
       # 路径中有 /nginx/img    
       root img;
       index index.html index.htm     
     }   
  }       
}

valid_referers:配置的值得跟 server_name 一样

配置后:

很干的 Nginx,其他,nginx,运维

没有权限访问图片,也可以配置返回一个错误页面,或者一个错误图片

  • 错误页面
http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  

  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location /img) {     
       valid_referers blog.hhmax.xyz;
       if ($invalid_referer) {
          return 401;
       }         
       root img;
       index index.html index.htm     
     }
     error_page 401 /401.html
     location = /401.html {
        root html;    
     }       
  }       
}
  • 错误图片
http {
  include mime.types; 
  default_type application/octet-stream;
  sendfile on;
  keepalive_timeout 65;  

  server {
     listen: 80,
     server_name blog.hhmax.xyz;  
     location /img {     
       valid_referers blog.hhmax.xyz;
       if ($invalid_referer) {
          return ^/ /img/x.png break;
       }     
       root html;
       index index.html index.htm     
     }   
  }       
}

通过正常手段,访问或者引用资源(图片),通过上述方法是可以避免资源被盗用的。因为referer 字段通过某些手段是可以被伪造或篡改。因此防盗链并不能完全阻止盗链行为。为了增加安全性,可以结合其他技术手段,如加密链接、动态生成链接等,来提高防盗链的效果。文章来源地址https://www.toymoban.com/news/detail-671751.html

到了这里,关于很干的 Nginx的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【运维知识进阶篇】集群架构-Nginx性能优化

    Nginx花了好多篇文章介绍了,今天谈谈它的优化。我们从优化考虑的方面,压力测试工具ab,具体的优化点三个方面去介绍,话不多说,直接开始! 目录 优化考虑方面 压力测试工具 性能优化 一、影响性能的指标 二、系统性能优化 1、更改文件句柄 2、Time_wait状态重用 三、代

    2024年02月06日
    浏览(61)
  • 【运维知识进阶篇】集群架构-Nginx高可用Keepalived

    高可用是指2台机器启动着完全相同的业务系统,一台机器宕机后,另一台可以快速启用,用户是无感知的。高可用硬件通常使用F5,软件通常使用keepalived。keepalived软件是基于VRRP协议实现的,VRRP虚拟路由冗余协议,主要用于解决单点故障。 目录 VRRP实现原理 Keepalived核心概念

    2024年02月06日
    浏览(66)
  • 【运维】第03讲(上):Nginx 负载均衡常见架构及问题解析

    实际上 Nginx 除了承担代理网关角色外还会应用于 7 层应用上的负载均衡,本课时重点讲解 Nginx 的负载均衡应用架构,及最常见的问题。 Nginx 作为负载均衡是基于代理模式的基础之上,所以在学习本课时前,你需要对 Nginx 的代理、负载均衡的基本原理及 Nginx 负载均衡配置有

    2024年02月16日
    浏览(55)
  • 大数据云计算运维之Nginx反向代理与负载均衡

    一、Nginx概述 1.1 概述 Nginx(“engine x”)是一个高性能的 HTTP /反向代理的服务器及电子邮件(IMAP/POP3)代理服务器。 官方测试nginx能够支撑5万并发,并且cpu,内存等资源消耗却非常低,运行非常稳定。最重要的是开源,免费,可商用的。 Nginx还支持热部署,几乎可以做到7 *

    2024年02月11日
    浏览(59)
  • 【Kubernetes运维篇】ingress-nginx实现业务灰度发布详解

    1、场景一:将新版本灰度给部分用户 假设线上运行了一套对外提供 7 层服务的 Service A 服务,后来开发了个新版本 Service AA需要上线,但不想直接替换掉原来的 Service A,希望先灰度一小部分用户,等运行一段时间足够稳定了再逐渐全量上线新版本,最后平滑下线旧版本。 这

    2024年02月15日
    浏览(54)
  • Anolis OS 龙蜥运维(一) 设置IP地址与安装Nginx

    老版本contos为:service network restart 备注: linux下,源码的安装一般由3个步骤组成:配置(configure)、编译(make)、安装(make install);./configure --prefix --with; –prefix指的是安装路径,–with指的是安装本文件所依赖的库文件 备注:启动代码格式:安装目录地址 -c 配置文件地

    2024年02月13日
    浏览(47)
  • 【运维】Linux安装Nginx并部署前端项目的两种方式【内/外网-保姆级教程】

    目录 第一种方式 1准备nginx安装包并解压 2执行以下命令,安装nginx依赖包 3编译安装nginx 4验证安装 第二种方式 1下载所需要的安装包 2安装步骤 2.1将下载的完整文件夹通过压缩包的形式,上传到你的路径下解压. 2.2 进入到gcc文件夹下,执行命令: 2.3进入到gcc-c++文件夹下,执

    2024年02月04日
    浏览(51)
  • 第五次作业 运维高级 构建 LVS-DR 集群和配置nginx负载均衡

    1、基于 CentOS 7 构建 LVS-DR 群集。 LVS-DR模式工作原理 首先,来自客户端计算机CIP的请求被发送到Director的VIP。然后Director使用相同的VIP目的IP地址将请求发送到集群节点或真实服务器。然后,集群某个节点将回复该数据包,并将该数据包直接发送到客户端计算机(不经过direct

    2024年02月14日
    浏览(50)
  • 【运维】手把手教你在Linux/Windows系统使用Nginx部署多个前端项目【详细操作】

            需求:项目上线需要将前端的前台和后台部署在服务器上提供用户进行使用,部署在不同的服务器直接在服务器安装nginx即可。但是在内网安装还是有点麻烦,因为需要联网,如果是内网可以参考Linux安装Nginx并部署前端项目【内/外网-保姆级教程】_MXin5的博客-CSDN博

    2024年02月08日
    浏览(61)
  • 【运维】Linux安装Nginx并部署前端项目的两种方式【内 外网-保姆级教程】_linux部署前端项(1)

    1准备nginx安装包并解压 2执行以下命令,安装nginx依赖包 3编译安装nginx 4验证安装 第二种方式 1下载所需要的安装包 2安装步骤 2.1将下载的完整文件夹通过压缩包的形式,上传到你的路径下解压. 2.2 进入到gcc文件夹下,执行命令: 2.3进入到gcc-c++文件夹下,执行命令: 2.4检查

    2024年04月14日
    浏览(61)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包