第十三周作业

1、搭建时间服务器,日志服务器并简述sudo安全切换。

1)搭建时间服务器:

早期是用ntp服务:

#yum install ntp

其配置文件是/etc/ntp.conf.

配置文件内容中server 表示以谁为时间服务器,restrict 表示允许哪个IP的机器来同步我的时间。  如果restrict后面指定自己127.0.0.1则不允许别人来同步时间(即只是做为客户端,而不做为服务端)。

centos7以后开始使用chrony做时间服务器,chrony兼容NTP服务。监听123(传统NTP服务端口)和323(chrony服务端口),这样客户端既可以是ntp也可以是chrony。

接下来以服务端和客户端都是chrony来说明时间同步,

A机:192.168.184.136(时间服务器),B机:192.168.184.138(客户端)

root用户登录A机:

安装chrony

# yum install chrony -y

修改配置文件

# vi /etc/chrony.conf

server 0.centos.pool.ntp.org iburst

allow 192.168.184.0/24

server来指定上一级时间同步服务器,allow表示允许那个IP段以本机为时间服务器同步时间。这里指定 192.168.184.0/24网段

配置完重启chrony服务

#systemctl  restart  chronyd.service

#ss -tunlp   查看端口323

root用户登录B机:

安装chrony

# yum install chrony -y

修改配置文件

# vi /etc/chrony.conf

#server 0.centos.pool.ntp.org iburst

#server 1.centos.pool.ntp.org iburst

#server 2.centos.pool.ntp.org iburst

#server 3.centos.pool.ntp.org iburst

server 192.168.184.136 iburst

注释掉其他的server,配置以A机为时间服务器

然后重启客户端的chrony服务

# systemctl  restart  chronyd.service

# systemctl enable chronyd.service 开机自启动服务

查看同步源(时间服务器)

# chronyc sources

查看同步状态

#chronyc sourcestats

2)搭建日志服务器

为了更好的管理应用程序和操作系统的日志,使用日志服务器进行管理,我们需要用到rsyslog,它是由早期的syslog的升级版。它可以收集系统引导启动、应用程序启动、应用程序(尤其是服务类应用程序)运行过程中的事件。

记录的格式为:事件产生日期和时间  主机  进程PID  事件内容。

rsyslog的特性:多线程,支持TCP、UDP、SSL、TLS、RELP协议。可存储信息于日志、mysql等数据库管理系统。可以对日志信息进行过滤,可以自定义输出格式。

安装rsyslog

#yum install rsyslog

它的主程序是rsyslogd

它的配置文件是/etc/rsyslog.conf,  /etc/rsyslog.d/*.conf

主配置文件rsyslog.conf 主要由三个部分组成: 

MODULES  表示加载的模块列表

GLOBAL DIRECTIVES   表示全局的配置

RULES   表示日志记录规则(重点)

其中:

MODULES段的格式为

$ModLoad  模块名称

如果模块名称为im开起表示输入模块,如果以om开头表示输出模块

GLOBAL DIRECTIVES 段主要定义一些常用设置,比如:

$WorkDirectory  表示工作目录

RULES 段的格式为:

facility.priority  target

其中

facility:设施,从功能上或程序上对日志收集进行分类,如:auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0~local7,syslog

priority:优先级,日志级别,如下(从左到右,由低到高):debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)

指定级别的方式:

*:所有级别;

none:没有级别;

priority:此级别以及高于此级别的所有级别)

=priority:仅此级别;

一般要求日志级别为warn,即warn以及warn以上级别的日志要记录。

生产上一般不会开debug级别的日志,因为日志记录太多会导致io繁忙。

target:日志写入目标

文件:把日志事件写入到指定的文件中,日志文件通常位于/var/log目录下,

文件路径前面加"-"表示异步写入文件;

用户:将日志事件通知给指定的用户,通过将信息发送给登录到系统上的用户的终端进行的;

日志服务器:@host ,把日志发送到指定的服务器主机,

要保证host日志服务器在tcp或udp协议的514端口有监听并提供日志服务。

管道:  | COMMAND  送到某一命令进行处理

接下来做一个日志服务器和客户端服务器,把客户端的服务内容提交到日志服务器上。

A机:192.168.184.136(日志服务器),B机:192.168.184.138(客户端)

在日志服务器(A机)上:

# yum install rsyslog

修改配置文件

# vi  /etc/rsyslog.conf

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

以上配置行的注释去掉后就会开启对tcp和udp协议的514端口进行监听。

重启rsyslog服务

#systemctl restart rsyslog.service

#ss -tunl  查看有514端口监听。

在客户端服务器(B机)上

# yum install rsyslog

修改配置文件

# vi  /etc/rsyslog.conf

#*.info;mail.none;authpriv.none;cron.none               /var/log/messages

*.info;mail.none;authpriv.none;cron.none                @192.168.184.136

把它的target 改为  @日志服务器IP

然后重启客户端的rsyslog服务

#systemctl restart rsyslog.service

这样就不会有日志记录到B机的/var/log/message中了。而是记录到日志服务器A上,由日志服务器上的配置文件决定日志记录到哪里。由我们没有改为A机上RULES 日志规则所以是写入到日志服务器上的/var/log/message(为了较好的看出效果,需要事先设置不同的主机名)

接下来把日志保存的mysql中。

在日志服务器(A机)上运行:

安装rsyslog-mysql的模块

# yum install rsyslog-mysql

查看安装文件位置

#  rpm -ql rsyslog-mysql

安装mariadb数据库

# yum install mariadb-server  mariadb

# vi  /etc/my.cnf.d/server.cnf

[mysqld]

skip_name_resolve=ON

innodb_file_per_table=ON

启动数据库并导入数据

systemctl start mariadb.service

# mysql

#  mysql 

mysql>GRANT ALL ON Syslog.* TO 'rsyslog'@'192.168.184.%' IDENTIFIED BY 'rsyspass';

mysql> flush privileges;

mysql>quit;

修改日志服务器上的rsyslog配置文件

# vi /etc/rsyslog.conf

#### MODULES ####

$ModLoad ommysql

#### RULES ####

*.info;mail.none;authpriv.none;cron.none :ommysql:192.168.184.136,Syslog,rsyslog,rsyspass

加载ommysql模块,并配置target为ommysql ,

后面这串内容为:ommysql:数据库主机,数据库名,数据库用户,数据库密码。

然后重启rsyslog.service

# systemctl restart rsyslog.service

在B机上登录用户和登出用户操作,再查一下A机的数据库发现有新的记录产生。

再接下来做一个WEB展示接口:

安装lamp组合

# yum install httpd php php-mysql php-gd -y

安装loganalyzer

# tar xf

#  cp  -r  loganalyzer-4.1.7.tar.gz

#   cp -r   loganalyzer-4.1.7/src   /var/www/html/loganalyzer

#   cp -r   loganalyzer-4.1.7/contirb/*.sh   /var/www/html/loganalyzer/

#   cd  /var/www/html/loganalyzer/

#  chmod  +x  *.sh

#./configure.sh

# service httpd start

然后通过URL访问:

http://A机IP/loganalyzer

#./secure.sh

3)sudo 安全切换

sudo 能够让获得授权的用户以另外一个用户(一般为root用户)的身份运行指定的命令

授权配置文件/etc/sudoers,但是一般使用visudo命令进行编辑。因为误操作引起系统异常。

授权配置文件的格式:

users  hosts=(runas)   commands

含义是,users列表中的用户(组),可以在hosts列表的位置上,以runas用户的身份来运行commands命令列表中的命令。

各个字段可能的值 为:

users:  sudo命令的发起用户

用户名 或uid

%用户组名  或%gid   (这里要注意用户需把基本组切换为该用户组,才能使用sudo)

User_Alias 用户别名

hosts:  允许的地址

ip地址

主机名

NetAddr

Host_Alias 主机别名

runas:   以某一用户的身份执行

用户名 或uid

Runas_Alias 用户别名

commands: 指定的命令列表

command(命令建议使用完整的绝对路径)

!command 表示禁止某一命令

directory

sudoedit:特殊权限,可用于向其它用户授予sudo权限

Cmnd_Alias    命令别名

这几个字段中hosts,runas, commands都可以用ALL来表示所有。

定义别名的方法:

ALIAS_TYPE NAME=item1,item2,item3,...

NAME:别名名称,必须使用全大写字符

ALIAS_TYPE :User_Alias,Host_Alias,Runas_Alias ,Cmnd_Alias

sodu命令执行时会要求用户输入自己的密码,为了避免频繁验密与安全其见,能记录成功认证结果一段时间,默认为5分钟,即5分钟内不需要再验证用户密码。

以sudo的方式来运行指定的命令

sudo   [options]  COMMAND

-l  列出sudo配置文件中用户能执行的命令

-k  清除此前缓存用户成功认证结果,之后再次运行sudo时要验证用户密码。

如果想要让用户输入部分命令时不需要进行密码验证,在sudo配置文件中commands列表部分,可以在命令列表前面加上"NOPASSWD",则其后的命令不需要密码,如果某些命令又需要密码就在前面加上“PASSWD”,所以commands列表可以为这种格式:

NOPASSWD  不需要密码的命令列表  PASSWD  需要密码的命令列表

安全提示:在sudo配置文件中

root ALL=(ALL) ALL

%wheel ALL=(ALL) ALL

上面配置中root用户这行没有问题,但是%wheel这行要注意,如果把某用户加入到%wheel组,当用户把基本组切换为wheel组时就可以像root用户一样运行命令,较有风险的命令举例如下:

sudo su - root    不需要密码就可以切换到root用户

sudo  passwd  root    修改root用户密码,不需要输入原密码。

建议把%wheel改为

%wheel ALL=(ALL)   ALL,!/bin/su,!/usr/bin/passwd root

2、详解nginx模块使用方法。

nginx的特性之一就是模块化设计,有较好的扩展性。

其模块分类如下:

核心模块:core module

标准模块:

HTTP 模块: ngx_http_*

HTTP Core modules  默认功能

HTTP Optional modules 需编译时指定

Mail 模块    ngx_mail_*

Stream 模块 ngx_stream_*

第三方模块

1.核心模块:

#user  nobody;   指定worker进程的运行身份,如组不指定,默认和用户名同名

worker_processes  1|auto;  指定worker进程的数量;通常应该为当前主机的cpu的物理核心数

include  path/to/file   指明包含进来的其它配置文件片断

worker_cpu_affinity auto [cpumask] 提高缓存命中率

CPU MASK:

00000001:0号CPU

00000010:1号CPU

10000000:8号CPU

worker_priority number  指定worker进程的nice值,设定worker进程优先级:[-20,20]

#error_log file [level]    错误日志文件及其级别;出于调试需要,可设定为debug;但debug仅在编译时 使用了“--with-debug”选项时才有效

#error_log  logs/error.log  notice;

#error_log  logs/error.log  info;

#pid        logs/nginx.pid;  指定存储nginx主进程PID的文件路径

events {

worker_connections  1024;  每个worker进程所能够打开的最大并发连接数数量

use method   指明并发连接请求的处理方法 ,默认自动选择最优方法 ,如, use epoll

accept_mutex on | off  处理新的连接请求的方法;on指由各个worker轮流处理新请求,Off指每个新请 求的到达都会通知(唤醒)所有的worker进程,但只有一个进程可获得连接,影响性能

}

#daemon on|off  是否以守护进程方式运行nignx,默认是守护进程方式

#master_process on|off     是否以master/worker模型运行nginx;默认为on,off 将不启动worker

2.HTTP Core modules模块的配置使用:

(1)与套接字相关的配置:

server { ... }  配置一个虚拟主机

server {

listen address[:PORT]|PORT;

server_name SERVER_NAME;

root /PATH/TO/DOCUMENT_ROOT;

}

listen

listen  port  指令监听在不同的端口

listen IP:PORT;  IP 地址不同

同时listen子句还支持一些可选的选项:

●default_server  设定为默认虚拟主机

●ssl    限制仅能够通过ssl连接提供服务

●backlog=number  超过并发连接数后,新请求进入后援队列的长度

●rcvbuf=size  接收缓冲区大小

●sndbuf=size  发送缓冲区大小

server_name:

指令指向不同的主机名,虚拟主机的主机名称后可跟多个由空白字符分隔的字符串 ,

支持*通配任意长度的任意字符 如:*aaa(左侧通配符)bbb*(右侧通配符)

支持~起始的字符做正则表达式模式匹配,性能原因慎用

匹配优先级:字符串精确匹配 > 左侧通配符 >右侧通配符>正则表达式>default_server

tcp_nodelayon | off;

在keepalived模式下的连接是否启用TCP_NODELAY选项

当为off时,延迟发送,合并多个请求后再发送

默认On时,不延迟发送

可用于:http, server, location

sendfile on | off;

是否启用sendfile功能,在内核中封装报文直接发送  默认Off

server_tokenson | off | build | string

是否在响应报文的Server首部显示nginx版本

(2)定义路径相关的配置:

root

设置web资源的路径映射;用于指明请求的URL所对应的文档的目录路径,可用于server

若配置:root  /path/to/dir

则http://servername/aaa/bbb.jpg  映射的访问地址就是   /path/to/dir/aaa/bbb.jpg

location

在一个server中location配置段可存在多个,用于实现从uri到文件系统的路 径映射;ngnix会根据用户请求的URI来检查定义的所有location,并找出一个最 佳匹配,而后应用其配置 。

location  操作符 uri   {...}

操作符有:

=:对uri精确匹配

^~:对URI的最左边部分做匹配检查,不区分字符大小写

~:对URI做正则表达式模式匹配,区分字符大小写

~*: 对URI做正则表达式模式匹配,不区分字符大小写

不带符号:匹配起始于此uri的所有的uri

匹配优先级从高到低:    =, ^~, ~/~*, 不带符号

alias   path

路径别名,文档映射的另一种机制;仅能用于location上下文

注意:location中使用root指令和alias指令的意义不同

root,用来指定根目录,故把uri做为子目录继续按路径找文件。给定的路径对应于location中的/uri/左侧的/

alias,用来定义路径别名,故用来替换uri来指名路径,再继续按路径找文件,给定的路径对应于location中的/uri/右侧的/

index file ...;

指定默认网页文件(又称欢迎页面)当未指定路径下的哪个文件时,此页面为默认文件,注意需要:ngx_http_index_module模块

error_page code ... [=[response]] uri;

需要模块:ngx_http_core_module

定义错误页,以指定的响应状态码进行 响应

可用位置:http, server, location, if in location

例如: error_page  404  /404.html

try_files

try_files file ... uri;

或 try_files file ... =code;

按顺序检查文件是否存在,返回第一个找到的文件或文件夹(结尾加斜线表示 为文件夹),如果所有的文件或文件夹都找不到,会进行一个内部重定向到最 后一个参数。只有最后一个参数可以引起一个内部重定向,之前的参数只设置 内部URI的指向。最后一个参数是回退URI且必须存在,否则会出现内部500错误。

(3)  定义客户端请求的相关配置

keepalive_timeout timeout [header_timeout];

设定保持连接超时时长,0表示禁止长连接,默认为75s

keepalive_requestsnumber;

在一次长连接上所允许请求的资源的最大数量  默认为100

keepalive_disable none | browser ...

对哪种浏览器禁用长连接

send_timeout time;

向客户端发送响应报文的超时时长,此处是指两次写操作之间的间隔时长, 而非整个响应过程的传输时长

client_body_buffer_size size;

用于接收每个客户端请求报文的body部分的缓冲区大小;默认为16k;超 出此大小时,其将被暂存到磁盘上的由下面client_body_temp_path指令所定义 的位置

client_body_temp_path path [level1 [level2 [level3]]];

设定存储客户端请求报文的body部分的临时存储路径及子目录结构和数量      目录名为16进制的数字;

(4)对客户端进行限制的相关配置

limit_rate rate;

限制响应给客户端的传输速率,单位是bytes/second  默认值0表示无限制

limit_except method ... { ... },

仅用于location  限制客户端使用除了指定的请求方法之外的其它方法

method可以是:GET, HEAD, POST, PUT, DELETE,MKCOL, COPY, MOVE, OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH

例如:

limit_except GET {

allow 192.168.1.0/24;

deny  all;  }

表示 除了GET之外其它方法仅允许192.168.1.0/24网段主机使用

(5)文件操作优化的配置

aio on | off | threads[=pool];

是否启用aio功能

directio size | off;

当文件大于等于给定大小时,例如directio 4m,同步(直接)写磁盘,而非写缓存

open_file_cache off;

open_file_cache max=N [inactive=time];

nginx可以缓存以下三种信息:  (1) 文件元数据:文件的描述符、文件大小和最近一次的修改时间  (2) 打开的目录结构  (3) 没有找到的或者没有权限访问的文件的相关信息

max=N:可缓存的缓存项上限;达到上限后会使用LRU算法实现管理

inactive=time:缓存项的非活动时长,在此处指定的时长内未被命中的或命中的次 数少于open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项,将被删除

open_file_cache_errors on | off;

是否缓存查找时发生错误的文件一类的信息  默认值为off

open_file_cache_min_uses number;

open_file_cache指令的inactive参数指定的时长内,至少被命中此处指定 的次数方可被归类为活动项  默认值为1

open_file_cache_valid time;

缓存项有效性的检查频率  默认值为60s

3.ngx_http_access_module模块 的配置使用:

可实现基于ip的访问控制功能

allow address | CIDR | unix: | all;

deny address | CIDR | unix: | all;

用于 http, server, location, limit_except 上下文

自上而下检查,一旦匹配,将生效,条件严格的置前

4.ngx_http_auth_basic_module模块的配置使用:

实现基于用户的访问控制,使用basic机制进行用户认证

auth_basic string | off;

auth_basic_user_file file;

用户口令文件:

1、明文文本:格式name:password:comment

2、加密文本:由htpasswd命令实现,此命令由httpd-tools所提供

5.ngx_http_stub_status_module模块的配置使用:

用于输出nginx的基本状态信息

stub_status; 表示返回基本状态信息,信息含义如下:

Active connections:当前状态,活动状态的连接数

accepts:统计总值,已经接受的客户端请求的总数

handled:统计总值,已经处理完成的客户端请求的总数

requests:统计总值,客户端发来的总的请求数

Reading:当前状态,正在读取客户端请求报文首部的连接的连接数

Writing:当前状态,正在向客户端发送响应报文过程中的连接数

Waiting:当前状态,正在等待客户端发出请求的空闲连接数

6.ngx_http_log_module模块 的配置使用:

指定日志格式记录请求

log_format name string ...;

指定日志格式的名称,以及对应的格式字符串。string可以使用nginx核心模块及其它模块内嵌的变量

access_log

访问日志文件路径,格式及相关的缓冲的配置access_log  path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];

access_log off;

open_log_file_cache

缓存各日志文件相关的元数据信息

open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];

open_log_file_cache off;

max:缓存的最大文件描述符数量

min_uses:在inactive指定的时长内访问大于等于此值方可被当作活动项

inactive:非活动时长

valid:验证缓存中各缓存项是否为活动项的时间间隔

7.ngx_http_gzip_module 模块 的配置使用:

用gzip方法压缩响应数据,节约带宽

gzip on | off;    启用或禁用gzip压缩

gzip_comp_level level;    压缩比由低到高:1 到 9  默认:1

gzip_disable regex ...;    匹配到客户端浏览器不执行压缩

gzip_min_length length;    启用压缩功能的响应报文大小阈值

gzip_http_version 1.0 | 1.1;    设定启用压缩功能时,协议的最小版本  默认:1.1

gzip_buffers number size;    支持实现压缩功能时缓冲区数量及每个缓存区的大小  默认:32 4k 或 16 8k

gzip_types mime-type ...;    指明仅对哪些类型的资源执行压缩操作;即压缩过滤器

默认包含有text/html,不用显示指定,否则出错

gzip_vary on | off;     如果启用压缩,是否在响应报文首部插入“Vary: Accept-Encoding”

gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;

nginx充当代理服务器时,对于后端服务器的响应报文,在何种条件下启 用压缩功能

off:不启用压缩

expired,no-cache, no-store,private:对后端服务器的响应报文首部 Cache-Control值任何一个,启用压缩功能

8.ngx_http_ssl_module模块 的配置使用:

ssl on | off;

为指定虚拟机启用HTTPS protocol, 建议用listen指令代替

ssl_certificate file;

当前虚拟主机使用PEM格式的证书文件

ssl_certificate_key file;

当前虚拟主机上与其证书匹配的私钥文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];

支持ssl协议版本,默 认为后三个

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];

none:  通知客户端支持ssl session cache,但实际不支持

builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有

[shared:name:size]:在各worker之间使用一个共享的缓存

ssl_session_timeout time;

客户端连接可以复用ssl session cache中缓存的ssl参数的有效时长,默认5m

9.ngx_http_rewrite_module模块的配置使用:

将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换

rewrite regex replacement [flag]

将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为 replacement指定的新的URI

注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个 检查;被某条件规则替换完成后,会重新一轮的替换检查

隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示 的标志位用于控制此循环机制

如果replacement是以http://或https://开头,则替换结果会直接以重向返 回给客户端, 即永久重定向301

[flag]:

last:重写完成后停止对当前URI在当前location中后续的其它重写操作, 而后对新的URI启动新一轮重写检查;提前重启新一轮循环,不建议在location中 使用

break:重写完成后停止对当前URI在当前location中后续的其它重写操作, 而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使 用

redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成 的新URI给客户端,由客户端重新发起请求;使用相对路径,或者http://或https:// 开头,状态码:302

permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给 客户端,由客户端重新发起请求,状态码:301

return

return code [text];

return code URL;

return URL;

停止处理,并返回给客户端指定的响应码

rewrite_log on | off;

是否开启重写日志, 发送至error_log(notice level)

set $variable value;

用户自定义变量

注意:变量定义和调用都要以$开头

if (condition) { ... }

条件满足时,执行配置块中的配置指令;server, location

condition:

比较操作符:

=  相同    !=  不同

~:模式匹配,区分字符大小写

~*:模式匹配,不区分字符大小写

!~:模式不匹配,区分字符大小写

!~*:模式不匹配,不区分字符大小写

文件及目录存在性判断:

-e, !-e 存在(包括文件,目录,软链接)

-f, !-f  文件  -d, !-d  目录  -x, !-x  执行

10.ngx_http_referer_module模块的配置使用:

用来阻止Referer首部无有效值的请求访问,可防止盗链

valid_referers none|blocked|server_names|string ...;

定义referer首部的合法可用值,不能匹配的将是非法值

none:请求报文首部没有referer首部

blocked:请求报文有referer首部,但无有效值

server_names:参数,其可以有值作为主机名或主机名模式

arbitrary_string:任意字符串,但可使用*作通配符

regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头

11.ngx_http_proxy_module 模块的配置使用:

转发请求至另一台主机

proxy_pass URL;

可用于location上下文,例如:

server {

...

server_name HOSTNAME;

location /uri/ {

proxy_pass http://host[:port];   (注意: 最后没有/)

}

...

}

上面示例:http://HOSTNAME/uri --> http://host/uri

如果上面示例中有 /,即:http://host[:port]/  意味着:http://HOSTNAME/uri --> http://host/  即置换

注意:proxy_pass后面路径不带uri时,会将location的uri传递(附加)给后端主机 ,

proxy_pass后面的路径是一个uri时,其会将location的uri替换为proxy_pass的 uri

如果location定义其uri时使用了正则表达式的模式,则proxy_pass之后必须不 能使用uri; 用户请求时传递的uri将直接附加至后端服务器之后

proxy_set_header field value;

设定发往后端主机的请求报文的请求首部的值

适用于上下文:http, server, location

proxy_set_header X-Real-IP  $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

请求报文的标准格式如下:

X-Forwarded-For: client1, proxy1, proxy2

proxy_cache_path;

定义可用于proxy功能的缓存;

适用于上下文:http

proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

proxy_cache zone | off; 默认off

指明调用的缓存,或关闭缓存机制;

适用于上下文:http, server, location

        proxy_cache_key string;

缓存中用于“键”的内容

默认值:proxy_cache_key $scheme$proxy_host$request_uri;

proxy_cache_valid [code ...] time;

定义对特定响应码的响应内容的缓存时长

适用于上下文:http

proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off

在被代理的后端服务器出现哪种情况下,可直接使用过期的缓存响应客户端

proxy_cache_methods GET | HEAD | POST ...;

对哪些客户端请求方法对应的响应进行缓存,GET和HEAD方法总是被缓存

proxy_hide_header field;

默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad,  X-Accel-等,用于隐藏后端服务器特定的响应首部

proxy_connect_timeout time;

定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为 60s,一般不建议超出75s

proxy_send_timeout time;

将请求发送给后端服务器的超时时长;默认为60s

proxy_read_timeout time;

等待后端服务器发送响应报文的超时时长,默认为60s

12.ngx_http_headers_module模块 的配置使用:

向由代理服务器响应给客户端的响应报文添加自定义首部,或修改指定首部的 值

        add_header name value [always];

添加自定义首部

add_header X-Via  $server_addr;

add_header X-Cache $upstream_cache_status;

add_header X-Accel $server_name;

        add_trailer name value [always];

添加自定义响应信息的尾部

13.ngx_http_fastcgi_module模块 的配置使用:

转发请求到FastCGI服务器,不支持php模块方式

        fastcgi_pass address;

address为后端的fastcgi server的地址

可用位置:location, if in location

        fastcgi_index name;

fastcgi默认的主页资源

        fastcgi_param parameter value [if_not_empty];

设置传递给 FastCGI服务器的参数值,可以是文本,变量或组合

fastcgi_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time];

定义fastcgi的缓存;

path  缓存位置为磁盘上的文件系统

max_size=size  磁盘path路径中用于缓存数据的缓存空间上限

levels=levels:缓存目录的层级数量,以及每一级的目录数量    levels=ONE:TWO:THREE

keys_zone=name:size     k/v映射的内存空间的名称及大小

inactive=time  非活动时长

fastcgi_cache zone | off;

调用指定的缓存空间来缓存数据

可用位置:http, server, location

          fastcgi_cache_key string;

定义用作缓存项的key的字符串

          fastcgi_cache_methods GET | HEAD | POST ...;

为哪些请求方法使用缓存

          fastcgi_cache_min_usesnumber;

缓存空间中的缓存项在inactive定义的非活动时间内至少要被访问到此处所指定的次数方 可被认作活动项

          fastcgi_keep_connon | off;

收到后端服务器响应后,fastcgi服务器是否关闭连接,建议启用长连接

          fastcgi_cache_valid [code ...] time;

不同的响应码各自的缓存时长

14.ngx_http_upstream_module模块 的配置使用:

用于将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令 进行引用

          upstream name { ... }

定义后端服务器组,会引入一个新的上下文

默认调度算法是wrr

可用位置: http

例如:

upstream httpdsrvs {

server ...

server...

...

}

          server address [parameters];

          在upstream上下文中server成员,以及相关的参数;

          可用位置upstream

          address的表示格式:

unix:/PATH/TO/SOME_SOCK_FILE

IP[:PORT]

HOSTNAME[:PORT]

          parameters:

weight=number  权重,默认为1

max_conns  连接后端报务器最大并发活动连接数,1.11.5后支持

max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标 记为不可用,默认为1

fail_timeout=time  后端服务器标记为不可用状态的连接超时时长,默认10s

backup 将服务器标记为“备用”,即所有服务器均不可用时才启用

down 标记为“不可用”,配合ip_hash使用,实现灰度发布

          ip_hash

          源地址hash调度方法

          least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc, 当所有后端主机连接数相同时,则使用wrr,适用于长连接

          hash key [consistent] 基于指定的key的hash表来实现对请求的调度, 此处的key可以直接文本、变量或二者组合

          作用:将请求分类,同一类请求将发往同一个upstream server,使用 consistent参数,将使用ketama一致性hash算法,适用于后端是Cache服务器 (如varnish)时使用

                    hash $request_uri consistent;

                  hash $remote_addr;

keepalive 连接数N;

          为每个worker进程保留的空闲的长连接数量,可节约nginx端口,并减少连 接管理的消耗

            health_check [parameters];

健康状态检测机制;只能用于location上下文

常用参数:

interval=time检测的频率,默认为5秒

fails=number:判定服务器不可用的失败检测次数;默认为1次

passes=number:判定服务器可用的失败检测次数;默认为1次

uri=uri:做健康状态检测测试的目标uri;默认为/

match=NAME:健康状态检测的结果评估调用此处指定的match配置块

注意:仅对nginx plus有效

            match name { ... }

对backend server做健康状态检测时,定义其结果判断机制;只能用于http上下 文

常用的参数:

status  code[  code ...]: 期望的响应状态码

header  HEADER[operator  value]:期望存在响应首部,也可对期望的响 应首部的值基于比较操作符和值进行比较

body:期望响应报文的主体部分应该有的内容

注意:仅对nginx plus有效

15.ngx_stream_core_module模块 的配置使用:

模拟反代基于tcp或udp的服务连接,即工作于传输层的反代或调度器

            stream { ... }

定义stream相关的服务;

用于上下文:main

stream {

upstream mysqlsrvs {

server 192.168.22.2:3306;

server 192.168.22.3:3306;

least_conn;

}

server {

listen 10.1.0.6:3306;

proxy_pass mysqlsrvs;

}

}

listen

listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] [ipv6only=on|off] [reuseport] [so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

16.ngx_stream_proxy_module模块  的配置使用:

可实现代理基于TCP,UDP (1.9.13), UNIX-domain sockets的数据流

            proxy_pass address;

            指定后端服务器地址

            proxy_timeout timeout;

            无数据传输时,保持连接状态的超时时长  默认为10m

             proxy_connect_timeout time;

            设置nginx与被代理的服务器尝试建立连接的超时时长  默认为60s

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,793评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,567评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,342评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,825评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,814评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,680评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,033评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,687评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,175评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,668评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,775评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,419评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,020评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,206评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,092评论 2 351
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,510评论 2 343

推荐阅读更多精彩内容

  • 半夜醒来,看墙上挂钟为三点。外面夜色正隆。窗外有滴嗒滴嗒空调滴雨的声。扭亮手机看微信,某人转的一篇文章肯定朝鲜的计...
    乔桥阅读 154评论 1 2
  • 对刻苦训练的耐力跑者而言而言,速度是一个令人咬牙的课题。尽管知道透过训练可以增加本身的速度本能,但通过装备调整、饮...
    马拉松跑步健身阅读 449评论 0 3
  • 那些阳光灿烂的日子 --献给松滋二中78届同学毕业四十年 四十年前 男生是嫩芽 女生如花蕾 我们的目光纯洁无瑕 不...
    仙泉阅读 533评论 3 3