Nginx全局變量
Nginx中有很多的全局變量,可以通過(guò)$變量名來(lái)使用�。下面列舉一些常用的全局變量:
| 變量 | 說(shuō)明 |
| $args | 請(qǐng)求中的參數(shù)�,如www.123.com/1.php?a=1&b=2的$args就是a=1&b=2 |
| $content_length | HTTP請(qǐng)求信息里的”Content-Length” |
| $conten_type | HTTP請(qǐng)求信息里的”Content-Type” |
| $document_root | nginx虛擬主機(jī)配置文件中的root參數(shù)對(duì)應(yīng)的值 |
| $document_uri | 當(dāng)前請(qǐng)求中不包含指令的URI�,如www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的參數(shù) |
| $host | 主機(jī)頭��,也就是域名 |
| $http_user_agent | 客戶(hù)端的詳細(xì)信息,也就是瀏覽器的標(biāo)識(shí)��,用curl -A可以指定 |
| $http_cookie | 客戶(hù)端的cookie信息 |
| $limit_rate | 如果nginx服務(wù)器使用limit_rate配置了顯示網(wǎng)絡(luò)速率���,則會(huì)顯示�,如果沒(méi)有設(shè)置�, 則顯示0 |
| $remote_addr | 客戶(hù)端的公網(wǎng)ip |
| $remote_port | 客戶(hù)端的port |
| $remote_user | 如果nginx有配置認(rèn)證,該變量代表客戶(hù)端認(rèn)證的用戶(hù)名 |
| $request_body_file | 做反向代理時(shí)發(fā)給后端服務(wù)器的本地資源的名稱(chēng) |
| $request_method | 請(qǐng)求資源的方式����,GET/PUT/DELETE等 |
| $request_filename | 當(dāng)前請(qǐng)求的資源文件的路徑名稱(chēng),相當(dāng)于是$document_root/$document_uri的組合 |
| $request_uri | 請(qǐng)求的鏈接�����,包括$document_uri和$args |
| $scheme | 請(qǐng)求的協(xié)議��,如ftp,http,https |
| $server_protocol | 客戶(hù)端請(qǐng)求資源使用的協(xié)議的版本,如HTTP/1.0�,HTTP/1.1,HTTP/2.0等 |
| $server_addr | 服務(wù)器IP地址 |
| $server_name | 服務(wù)器的主機(jī)名 |
| $server_port | 服務(wù)器的端口號(hào) |
| $uri | 和$document_uri相同 |
| $http_referer | 客戶(hù)端請(qǐng)求時(shí)的referer��,通俗講就是該請(qǐng)求是通過(guò)哪個(gè)鏈接跳過(guò)來(lái)的���,用curl -e可以指定 |
Nginx location
location作用
location指令的作用是根據(jù)用戶(hù)請(qǐng)求的URI來(lái)執(zhí)行不同的應(yīng)用���。即根據(jù)用戶(hù)請(qǐng)求的網(wǎng)站地址URL進(jìn)行匹配,匹配成功就進(jìn)行相應(yīng)的操作��。
語(yǔ)法
location的語(yǔ)法規(guī)則:location [=|~|~*|^~] /uri/ { … }
location匹配的變量是$uri
關(guān)于幾種字符的說(shuō)明
| 字符 | 描述 |
| = | 表示精準(zhǔn)匹配 |
| ~ | 表示區(qū)分大小寫(xiě)的正則匹配 |
| ~* | 表示不區(qū)分大小寫(xiě)的正則匹配 |
| ^~ | 表示uri以指定字符或字符串開(kāi)頭 |
| / | 通用匹配���,任何請(qǐng)求都會(huì)匹配到 |
規(guī)則優(yōu)先級(jí)
= 高于 ^~ 高于 ~* 等于 ~ 高于 /
示例1
location = "/12.jpg" { ... }如:www.syushin.com/12.jpg 匹配www.syushin.com/abc/12.jpg 不匹配location ^~ "/abc/" { ... }如:www.syushin.com/abc/123.html 匹配www.syushin.com/a/abc/123.jpg 不匹配location ~ "png" { ... }如:www.syushin.com/aaa/bbb/ccc/123.png 匹配www.syushin.com/aaa/png/123.html 匹配location ~* "png" { ... }如:www.syushin.com/aaa/bbb/ccc/123.PNG 匹配www.syushin.com/aaa/png/123.html 匹配location /admin/ { ... }如:www.syushin.com/admin/aaa/1.php 匹配www.syushin.com/123/admin/1.php 不匹配 注意:
有些資料上介紹location支持不匹配 !~如: location !~ 'png'{ ... }
這是錯(cuò)誤的�,location不支持 !~
如果有這樣的需求�����,可以通過(guò)if(location優(yōu)先級(jí)小于if )來(lái)實(shí)現(xiàn)����,如: if ($uri !~ 'png') { ... }
訪(fǎng)問(wèn)控制
web2.0時(shí)代,很多網(wǎng)站都是以用戶(hù)為中心���,網(wǎng)站允許用戶(hù)發(fā)布內(nèi)容到服務(wù)器�。由于為用戶(hù)開(kāi)放了上傳功能,因此有很大的安全風(fēng)險(xiǎn)�����,比如黑客上傳木馬程序等等�。因此,訪(fǎng)問(wèn)控制就很有必要配置了���。
deny與allow
字面上很容易理解就是拒絕和允許。
Nginx的deny和allow指令是由ngx_http_access_module模塊提供�����,Nginx安裝默認(rèn)內(nèi)置了該模塊�。
語(yǔ)法
語(yǔ)法:allow/deny address | CIDR | unix: | all
它表示,允許/拒絕某個(gè)ip或者一個(gè)ip段訪(fǎng)問(wèn).如果指定unix:,那將允許socket的訪(fǎng)問(wèn)�。
注意:unix在1.5.1中新加入的功能。
在nginx中��,allow和deny的規(guī)則是按順序執(zhí)行的�����。
示例1:
location /{ allow 192.168.0.0/24; allow 127.0.0.1; deny all;} 說(shuō)明:這段配置值允許192.168.0.0/24網(wǎng)段和127.0.0.1的請(qǐng)求,其他來(lái)源IP全部拒絕�。
示例2:
location ~ "admin"{ allow 192.168.30.7; deny all} 說(shuō)明:訪(fǎng)問(wèn)的uri中包含admin的請(qǐng)求,只允許192.168.30.7這個(gè)IP的請(qǐng)求����。
基于location的訪(fǎng)問(wèn)控制
日常上,訪(fǎng)問(wèn)控制基本是配合location來(lái)做配置的�,直接例子吧。
示例1:
location /blog/{ deny all;} 說(shuō)明:針對(duì)/blog/目錄�����,全部禁止訪(fǎng)問(wèn)��,這里的deny all;可以改為return 403;.
示例2
location ~ ".bak|/.ht"{ return 403;} 說(shuō)明:訪(fǎng)問(wèn)的uri中包含.bak字樣的或者包含.ht的直接返回403狀態(tài)碼���。
測(cè)試鏈接舉例:
- www.syushin.com/abc.bak
- www.syushin.com/blog/123/.htalskdjf
如果用戶(hù)輸入的URL是上面其中之一都會(huì)返回403���。
示例3
location ~ (data|cache|tmp|image|attachment).*/.php${ deny all;} 說(shuō)明:請(qǐng)求的uri中包含data、cache���、tmp���、image���、attachment并且以.php結(jié)尾的,全部禁止訪(fǎng)問(wèn)�����。
測(cè)試鏈接舉例:
- www.xxxxxx.com/aming/cache/1.php
- www.xxxxxxx.com/image/123.phps
- www.xxxxxx.com/aming/datas/1.php
基于$document_uri的訪(fǎng)問(wèn)控制
前面介紹了內(nèi)置變量$document_uri含義是當(dāng)前請(qǐng)求中不包含指令的URI����。
如www.123.com/1.php?a=1&b=2的$document_uri就是1.php,不包含后面的參數(shù)。
我們可以針對(duì)這個(gè)變量做訪(fǎng)問(wèn)控制�����。
示例1
if ($document_uri ~ "/admin/"){ return 403;} 說(shuō)明:當(dāng)請(qǐng)求的uri中包含/admin/時(shí)��,直接返回403.
注意:if結(jié)構(gòu)中不支持使用allow和deny�。
測(cè)試鏈接:
1. www.xxxxx.com/123/admin/1.html 匹配
2. www.xxxxx.com/admin123/1.html 不匹配
3. www.xxxxx.com/admin.php 不匹配
示例2
if ($document_uri = /admin.php){ return 403;} 說(shuō)明:請(qǐng)求的uri為/admin.php時(shí)返回403狀態(tài)碼���。
測(cè)試鏈接:
1. www.xxxxx.com/admin.php # 匹配
2. www.xxxxx.com/123/admin.php # 不匹配
示例3
if ($document_uri ~ '/data/|/cache/.*/.php$'){ return 403;} 說(shuō)明:請(qǐng)求的uri包含data或者cache目錄�,并且是php時(shí)�,返回403狀態(tài)碼。
測(cè)試鏈接:
1. www.xxxxx.com/data/123.php # 匹配
2. www.xxxxx.com/cache1/123.php # 不匹配
基于$request_uri訪(fǎng)問(wèn)控制
$request_uri比$docuemnt_uri多了請(qǐng)求的參數(shù)��。主要是針對(duì)請(qǐng)求的uri中的參數(shù)進(jìn)行控制。
示例
if ($request_uri ~ "gid=/d{9,12}"){ return 403;} 說(shuō)明:/d{9,12}是正則表達(dá)式���,表示9到12個(gè)數(shù)字��,例如gid=1234567890就符號(hào)要求��。
測(cè)試鏈接:
1. www.xxxxx.com/index.php?gid=1234567890&pid=111 匹配
2. www.xxxxx.com/gid=123 不匹配
背景知識(shí):
曾經(jīng)有一個(gè)客戶(hù)的網(wǎng)站cc攻擊�����,對(duì)方發(fā)起太多類(lèi)似這樣的請(qǐng)求:/read-123405150-1-1.html
實(shí)際上���,這樣的請(qǐng)求并不是正常的請(qǐng)求,網(wǎng)站會(huì)拋出一個(gè)頁(yè)面��,提示帖子不存在�。
所以,可以直接針對(duì)這樣的請(qǐng)求���,return 403狀態(tài)碼���。
基于$http_user_agent的訪(fǎng)問(wèn)控制(反爬蟲(chóng))
user_agent可以簡(jiǎn)單理解成瀏覽器標(biāo)識(shí),包括一些蜘蛛爬蟲(chóng)都可以通過(guò)user_agent來(lái)辨識(shí)����。假如觀察訪(fǎng)問(wèn)日志��,發(fā)現(xiàn)一些搜索引擎的蜘蛛對(duì)網(wǎng)站訪(fǎng)問(wèn)特別頻繁����,它們并不友好���。為了減少服務(wù)器的壓力��,其實(shí)可以把除主流搜索引擎蜘蛛外的其他蜘蛛爬蟲(chóng)全部封掉���。
示例
if ($user_agent ~ 'YisouSpider|MJ12bot/v1.4.2|YoudaoBot|Tomato'){ return 403;} 說(shuō)明:user_agent包含以上關(guān)鍵詞的請(qǐng)求,全部返回403狀態(tài)碼��。
測(cè)試:
1. curl -A "123YisouSpider1.0"
2. curl -A "MJ12bot/v1.4.1"
基于$http_referer的訪(fǎng)問(wèn)控制
$http_referer除了可以實(shí)現(xiàn)防盜鏈的功能外���,還可以做一些特殊的需求。
比如:
網(wǎng)站被黑掛馬�,搜索引擎收錄的網(wǎng)頁(yè)是有問(wèn)題的,當(dāng)通過(guò)搜索引擎點(diǎn)擊到網(wǎng)站時(shí)���,卻顯示一個(gè)博彩網(wǎng)站���。
由于查找木馬需要時(shí)間�����,不能馬上解決���,為了不影響用戶(hù)體驗(yàn),可以針對(duì)此類(lèi)請(qǐng)求做一個(gè)特殊操作���。
比如��,可以把從百度訪(fǎng)問(wèn)的鏈接直接返回404狀態(tài)碼�,或者返回一段html代碼���。
示例
if ($http_referer ~ 'baidu.com'){ return 404;} 或者
if ($http_referer ~ 'baidu.com'){ return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";} Nginx參數(shù)優(yōu)化
Nginx作為高性能web服務(wù)器�,即使不特意調(diào)整配置參數(shù)也可以處理大量的并發(fā)請(qǐng)求���。當(dāng)然���,配置調(diào)優(yōu)會(huì)使Nginx性能更加強(qiáng)悍,配置參數(shù)需要結(jié)合服務(wù)器硬件性能等做參考����。
worker進(jìn)程優(yōu)化
worker_processes num;
該參數(shù)表示啟動(dòng)幾個(gè)工作進(jìn)程����,建議和本機(jī)CPU核數(shù)保持一致�,每一核CPU處理一個(gè)進(jìn)程,num表示數(shù)字�����。
worker_rlimit_nofile
它表示Nginx最大可用的文件描述符個(gè)數(shù)��,需要配合系統(tǒng)的最大描述符��,建議設(shè)置為102400��。
還需要在系統(tǒng)里執(zhí)行ulimit -n 102400才可以��。
也可以直接修改配置文件/etc/security/limits.conf修改
增加:
#* soft nofile 655350 (去掉前面的#)
#* hard nofile 655350 (去掉前面的#)
worker_connections
該參數(shù)用來(lái)配置每個(gè)Nginx worker進(jìn)程最大處理的連接數(shù),
這個(gè)參數(shù)也決定了該Nginx服務(wù)器最多能處理多少客戶(hù)端請(qǐng)求(worker_processes * worker_connections)
建議把該參數(shù)設(shè)置為10240���,不建議太大��。
http/tcp連接數(shù)優(yōu)化
use epoll
使用epoll模式的事件驅(qū)動(dòng)模型,該模型為L(zhǎng)inux系統(tǒng)下最優(yōu)方式���。
multi_accept on
使每個(gè)worker進(jìn)程可以同時(shí)處理多個(gè)客戶(hù)端請(qǐng)求�����。
sendfile on
使用內(nèi)核的FD文件傳輸功能���,可以減少u(mài)ser mode和kernel mode的切換����,從而提升服務(wù)器性能�。
tcp_nopush on
當(dāng)tcp_nopush設(shè)置為on時(shí),會(huì)調(diào)用tcp_cork方法進(jìn)行數(shù)據(jù)傳輸����。
使用該方法會(huì)產(chǎn)生這樣的效果:當(dāng)應(yīng)用程序產(chǎn)生數(shù)據(jù)時(shí),
內(nèi)核不會(huì)立馬封裝包�����,而是當(dāng)數(shù)據(jù)量積累到一定量時(shí)才會(huì)封裝�,然后傳輸。
tcp_nodelay on
不緩存data-sends(關(guān)閉 Nagle 算法)���,這個(gè)能夠提高高頻發(fā)送小數(shù)據(jù)報(bào)文的實(shí)時(shí)性�����。
(關(guān)于Nagle算法)
【假如需要頻繁的發(fā)送一些小包數(shù)據(jù)�����,比如說(shuō)1個(gè)字節(jié)��,以IPv4為例的話(huà)��,則每個(gè)包都要附帶40字節(jié)的頭���,
也就是說(shuō)����,總計(jì)41個(gè)字節(jié)的數(shù)據(jù)里�,其中只有1個(gè)字節(jié)是我們需要的數(shù)據(jù)。
為了解決這個(gè)問(wèn)題�,出現(xiàn)了Nagle算法。
它規(guī)定:如果包的大小滿(mǎn)足MSS�����,那么可以立即發(fā)送,否則數(shù)據(jù)會(huì)被放到緩沖區(qū)�,等到已經(jīng)發(fā)送的包被確認(rèn)了之后才能繼續(xù)發(fā)送。
通過(guò)這樣的規(guī)定����,可以降低網(wǎng)絡(luò)里小包的數(shù)量��,從而提升網(wǎng)絡(luò)性能��。
keepalive_timeout
定義長(zhǎng)連接的超時(shí)時(shí)間�����,建議30s�,太短或者太長(zhǎng)都不一定合適,當(dāng)然�,最好是根據(jù)業(yè)務(wù)自身的情況來(lái)動(dòng)態(tài)地調(diào)整該參數(shù)。
keepalive_requests
定義當(dāng)客戶(hù)端和服務(wù)端處于長(zhǎng)連接的情況下���,每個(gè)客戶(hù)端最多可以請(qǐng)求多少次�,可以設(shè)置很大�,比如50000.
reset_timeout_connection on
設(shè)置為on的話(huà),當(dāng)客戶(hù)端不再向服務(wù)端發(fā)送請(qǐng)求時(shí)����,允許服務(wù)端關(guān)閉該連接�。
client_body_timeout
客戶(hù)端如果在該指定時(shí)間內(nèi)沒(méi)有加載完body數(shù)據(jù)�,則斷開(kāi)連接,單位是秒���,默認(rèn)60���,可以設(shè)置為10。
send_timeout
這個(gè)超時(shí)時(shí)間是發(fā)送響應(yīng)的超時(shí)時(shí)間����,即Nginx服務(wù)器向客戶(hù)端發(fā)送了數(shù)據(jù)包,但客戶(hù)端一直沒(méi)有去接收這個(gè)數(shù)據(jù)包���。
如果某個(gè)連接超過(guò)send_timeout定義的超時(shí)時(shí)間�����,那么Nginx將會(huì)關(guān)閉這個(gè)連接��。單位是秒��,可以設(shè)置為3�����。
壓縮
對(duì)于純文本的內(nèi)容�����,Nginx是可以使用gzip壓縮的��。使用壓縮技術(shù)可以減少對(duì)帶寬的消耗���。
由ngx_http_gzip_module模塊支持
配置如下:
gzip on; //開(kāi)啟gzip功能gzip_min_length 1024; //設(shè)置請(qǐng)求資源超過(guò)該數(shù)值才進(jìn)行壓縮,單位字節(jié)gzip_buffers 16 8k; //設(shè)置壓縮使用的buffer大小�,第一個(gè)數(shù)字為數(shù)量,第二個(gè)為每個(gè)buffer的大小gzip_comp_level 6; //設(shè)置壓縮級(jí)別��,范圍1-9,9壓縮級(jí)別最高�����,也最耗費(fèi)CPU資源gzip_types text/plain application/x-javascript text/css application/xml image/jpeg image/gif image/png; //指定哪些類(lèi)型的文件需要壓縮gzip_disable "MSIE 6/."; //IE6瀏覽器不啟用壓縮
測(cè)試:
curl -I -H "Accept-Encoding: gzip, deflate" http://www.xxxxx.com/1.css
日志
- 錯(cuò)誤日志級(jí)別調(diào)高�,比如crit級(jí)別,盡量少記錄無(wú)關(guān)緊要的日志���。
- 對(duì)于訪(fǎng)問(wèn)日志�,如果不要求記錄日志,可以關(guān)閉�,
- 靜態(tài)資源的訪(fǎng)問(wèn)日志關(guān)閉
靜態(tài)文件過(guò)期
對(duì)于靜態(tài)文件,需要設(shè)置一個(gè)過(guò)期時(shí)間��,這樣可以讓這些資源緩存到客戶(hù)端瀏覽器���,
在緩存未失效前�,客戶(hù)端不再向服務(wù)期請(qǐng)求相同的資源��,從而節(jié)省帶寬和資源消耗���。
配置示例如下:
location ~* ^.+/.(gif|jpg|png|css|js)$ { expires 1d; //1d表示1天���,也可以用24h表示一天。} 訪(fǎng)問(wèn)控制和參數(shù)調(diào)優(yōu)只記錄其中一些部分���,有些可能會(huì)在工作中用到�����,SSL的配置后續(xù)再作筆記吧�,春招筆試好難呀�,努力學(xué)習(xí)吧...
以上就是本文的全部?jī)?nèi)容����,希望對(duì)大家的學(xué)習(xí)有所幫助��,也希望大家多多支持ASPKU武林網(wǎng)��。
注:相關(guān)教程知識(shí)閱讀請(qǐng)移步到服務(wù)器教程頻道�。
