目錄

• nginx 檔案結構（全域性預覽）
• nginx 配置詳解
• 常用指令說明
• 一個實用小demo（供參考）

nginx 檔案結構（全域性預覽）

...              #全域性塊

events {         #events塊
   ...
}

http      #http塊
{
    ...   #http全域性塊
    server        #server塊
    { 
        ...       #server全域性塊
        location [PATTERN]   #location塊
        {
            ...
        }
        location [PATTERN] 
        {
            ...
        }
    }
    server
    {
      ...
    }
    ...     #http全域性塊
}



1、全域性塊：配置影響nginx全域性的指令。一般有執行nginx伺服器的使用者組，nginx程序pid存放路徑，日誌存放路徑，配置檔案引入，允許生成worker process數等。
2、events塊：配置影響nginx伺服器或與使用者的網路連線。有每個程序的最大連線數，選取哪種事件驅動模型處理連線請求，是否允許同時接受多個網路連線，開啟多個網路連線序列化等。
3、http塊：可以巢狀多個server，配置代理，快取，日誌定義等絕大多數功能和第三方模組的配置。如檔案引入，mime-type定義，日誌自定義，是否使用sendfile傳輸檔案，連線超時時間，單連線請求數等。
4、server塊：配置虛擬主機的相關引數，一個http中可以有多個server。
5、location塊：配置請求的路由，以及各種頁面的處理情況。
 

nginx 配置詳解

########### 每個指令必須有分號結束。#################
#user administrator administrators;  #配置使用者或者組，預設為nobody nobody。
#worker_processes 2;  #允許生成的程序數，預設為1；#設定值和CPU核心數一致
#pid /nginx/pid/nginx.pid;   #指定nginx程序執行檔案存放地址
error_log log/error.log debug;  #制定日誌路徑，級別。這個設定可以放入全域性塊，http塊，server塊，級別以此為：debug|info|notice|warn|error|crit|alert|emerg；#日誌位置和日誌級別

events {
    accept_mutex on;   #設定網路連線序列化，防止驚群現象發生，預設為on
    multi_accept on;  #設定一個程序是否同時接受多個網路連線，預設為off
    #use epoll;      #事件驅動模型，select|poll|kqueue|epoll|resig|/dev/poll|eventport
    worker_connections  1024;    #最大連線數，預設為512
}

http {
    include       mime.types;   #副檔名與檔案型別對映表
    default_type  application/octet-stream; #預設檔案型別，預設為text/plain
    #access_log off; #取消服務日誌    
    log_format myFormat '$remote_addr–$remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for'; #自定義格式
    access_log log/access.log myFormat;  #combined為日誌格式的預設值
    sendfile on;   #允許sendfile方式傳輸檔案，預設為off，可以在http塊，server塊，location塊。
    sendfile_max_chunk 100k;  #每個程序每次呼叫傳輸數量不能大於設定的值，預設為0，即不設上限。
    keepalive_timeout 65;  #連線超時時間，預設為75s，可以在http，server，location塊。

    upstream mysvr {   
      server 127.0.0.1:7878;
      server 192.168.10.121:3333 backup;  #熱備
    }
    error_page 404 https://www.baidu.com; #錯誤頁
    server {
        keepalive_requests 120; #單連線請求上限次數。
        listen       4545;   #監聽埠
        server_name  127.0.0.1;   #監聽地址       
        location  ~*^.+$ {       #請求的url過濾，正則匹配，~為區分大小寫，~*為不區分大小寫。
           #root path;  #根目錄
           #index vv.txt;  #設定預設頁
           proxy_pass  http://mysvr;  #請求轉向mysvr 定義的伺服器列表
           deny 127.0.0.1;  #拒絕的ip
           allow 172.18.5.54; #允許的ip           
        } 
    }
}

 

常用指令說明

2.2.1 main全域性配置
nginx在執行時與具體業務功能（比如http服務或者email服務代理）無關的一些引數，比如工作程序數，執行的身份等。

woker_processes 2
在配置檔案的頂級main部分，worker角色的工作程序的個數，master程序是接收並分配請求給worker處理。這個數值簡單一點可以設定為cpu的核數grep ^processor /proc/cpuinfo | wc -l，也是 auto 值，如果開啟了ssl和gzip更應該設定成與邏輯CPU數量一樣甚至為2倍，可以減少I/O操作。如果nginx伺服器還有其它服務，可以考慮適當減少。
worker_cpu_affinity
也是寫在main部分。在高併發情況下，通過設定cpu粘性來降低由於多CPU核切換造成的暫存器等現場重建帶來的效能損耗。如worker_cpu_affinity 0001 0010 0100 1000; （四核）。
worker_connections 2048
寫在events部分。每一個worker程序能併發處理（發起）的最大連線數（包含與客戶端或後端被代理伺服器間等所有連線數）。nginx作為反向代理伺服器，計算公式 最大連線數 = worker_processes * worker_connections/4，所以這裡客戶端最大連線數是1024，這個可以增到到8192都沒關係，看情況而定，但不能超過後面的worker_rlimit_nofile。當nginx作為http伺服器時，計算公式裡面是除以2。
worker_rlimit_nofile 10240
寫在main部分。預設是沒有設定，可以限制為作業系統最大的限制65535。
use epoll
寫在events部分。在Linux作業系統下，nginx預設使用epoll事件模型，得益於此，nginx在Linux作業系統下效率相當高。同時Nginx在OpenBSD或FreeBSD作業系統上採用類似於epoll的高效事件模型kqueue。在作業系統不支援這些高效模型時才使用select。
2.2.2 http伺服器
與提供http服務相關的一些配置引數。例如：是否使用keepalive啊，是否使用gzip進行壓縮等。

sendfile on
開啟高效檔案傳輸模式，sendfile指令指定nginx是否呼叫sendfile函式來輸出檔案，減少使用者空間到核心空間的上下文切換。對於普通應用設為 on，如果用來進行下載等應用磁碟IO重負載應用，可設定為off，以平衡磁碟與網路I/O處理速度，降低系統的負載。
keepalive_timeout 65 : 長連線超時時間，單位是秒，這個引數很敏感，涉及瀏覽器的種類、後端伺服器的超時設定、作業系統的設定，可以另外起一片文章了。長連線請求大量小檔案的時候，可以減少重建連線的開銷，但假如有大檔案上傳，65s內沒上傳完成會導致失敗。如果設定時間過長，使用者又多，長時間保持連線會佔用大量資源。
send_timeout : 用於指定響應客戶端的超時時間。這個超時僅限於兩個連線活動之間的時間，如果超過這個時間，客戶端沒有任何活動，Nginx將會關閉連線。
client_max_body_size 10m
允許客戶端請求的最大單檔案位元組數。如果有上傳較大檔案，請設定它的限制值
client_body_buffer_size 128k
緩衝區代理緩衝使用者端請求的最大位元組數
模組http_proxy：
這個模組實現的是nginx作為反向代理伺服器的功能，包括快取功能（另見文章）

proxy_connect_timeout 60
nginx跟後端伺服器連線超時時間(代理連線超時)
proxy_read_timeout 60
連線成功後，與後端伺服器兩個成功的響應操作之間超時時間(代理接收超時)
proxy_buffer_size 4k
設定代理伺服器（nginx）從後端realserver讀取並儲存使用者頭資訊的緩衝區大小，預設與proxy_buffers大小相同，其實可以將這個指令值設的小一點
proxy_buffers 4 32k
proxy_buffers緩衝區，nginx針對單個連線快取來自後端realserver的響應，網頁平均在32k以下的話，這樣設定
proxy_busy_buffers_size 64k
高負荷下緩衝大小（proxy_buffers*2）
proxy_max_temp_file_size
當 proxy_buffers 放不下後端伺服器的響應內容時，會將一部分儲存到硬碟的臨時檔案中，這個值用來設定最大臨時檔案大小，預設1024M，它與 proxy_cache 沒有關係。大於這個值，將從upstream伺服器傳回。設定為0禁用。
proxy_temp_file_write_size 64k
當快取被代理的伺服器響應到臨時檔案時，這個選項限制每次寫臨時檔案的大小。proxy_temp_path（可以在編譯的時候）指定寫到哪那個目錄。
proxy_pass，proxy_redirect見 location 部分。

模組http_gzip：

gzip on : 開啟gzip壓縮輸出，減少網路傳輸。
gzip_min_length 1k ： 設定允許壓縮的頁面最小位元組數，頁面位元組數從header頭得content-length中進行獲取。預設值是20。建議設定成大於1k的位元組數，小於1k可能會越壓越大。
gzip_buffers 4 16k ： 設定系統獲取幾個單位的快取用於儲存gzip的壓縮結果資料流。4 16k代表以16k為單位，安裝原始資料大小以16k為單位的4倍申請記憶體。
gzip_http_version 1.0 ： 用於識別 http 協議的版本，早期的瀏覽器不支援 Gzip 壓縮，使用者就會看到亂碼，所以為了支援前期版本加上了這個選項，如果你用了 Nginx 的反向代理並期望也啟用 Gzip 壓縮的話，由於末端通訊是 http/1.0，故請設定為 1.0。
gzip_comp_level 6 ： gzip壓縮比，1壓縮比最小處理速度最快，9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)
gzip_types ：匹配mime型別進行壓縮，無論是否指定,”text/html”型別總是會被壓縮的。
gzip_proxied any ： Nginx作為反向代理的時候啟用，決定開啟或者關閉後端伺服器返回的結果是否壓縮，匹配的前提是後端伺服器必須要返回包含”Via”的 header頭。
gzip_vary on ： 和http頭有關係，會在響應頭加個 Vary: Accept-Encoding ，可以讓前端的快取伺服器快取經過gzip壓縮的頁面，例如，用Squid快取經過Nginx壓縮的資料。。
2.2.3 server虛擬主機
http服務上支援若干虛擬主機。每個虛擬主機一個對應的server配置項，配置項裡面包含該虛擬主機相關的配置。在提供mail服務的代理時，也可以建立若干server。每個server通過監聽地址或埠來區分。

listen
監聽埠，預設80，小於1024的要以root啟動。可以為listen *:80、listen 127.0.0.1:80等形式。
server_name
伺服器名，如localhost、www.example.com，可以通過正則匹配。
模組http_stream
這個模組通過一個簡單的排程演算法來實現客戶端IP到後端伺服器的負載均衡，upstream後接負載均衡器的名字，後端realserver以 host:port options; 方式組織在 {} 中。如果後端被代理的只有一臺，也可以直接寫在 proxy_pass 。

2.2.4 location
http服務中，某些特定的URL對應的一系列配置項。

root /var/www/html
定義伺服器的預設網站根目錄位置。如果locationURL匹配的是子目錄或檔案，root沒什麼作用，一般放在server指令裡面或/下。
index index.jsp index.html index.htm
定義路徑下預設訪問的檔名，一般跟著root放
proxy_pass http:/backend
請求轉向backend定義的伺服器列表，即反向代理，對應upstream負載均衡器。也可以proxy_pass http://ip:port。
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這四個暫且這樣設，如果深究的話，每一個都涉及到很複雜的內容，也將通過另一篇文章來解讀。
關於location匹配規則的寫法，可以說尤為關鍵且基礎的，參考文章 nginx配置location總結及rewrite規則寫法;

2.3 其它
2.3.1 訪問控制 allow/deny
Nginx 的訪問控制模組預設就會安裝，而且寫法也非常簡單，可以分別有多個allow,deny，允許或禁止某個ip或ip段訪問，依次滿足任何一個規則就停止往下匹配。如：

location /nginx-status {
stub_status on;
access_log off;
# auth_basic "NginxStatus";
# auth_basic_user_file /usr/local/nginx-1.6/htpasswd;
  
allow 192.168.10.100;
allow 172.29.73.0/24;
deny all;
}
我們也常用 httpd-devel 工具的 htpasswd 來為訪問的路徑設定登入密碼：


# htpasswd -c htpasswd admin
New passwd:
Re-type new password:
Adding password for user admin
  
# htpasswd htpasswd admin //修改admin密碼
# htpasswd htpasswd sean //多新增一個認證使用者
這樣就生成了預設使用CRYPT加密的密碼檔案。開啟上面nginx-status的兩行註釋，重啟nginx生效。

2.3.2 列出目錄 autoindex
Nginx預設是不允許列出整個目錄的。如需此功能，開啟nginx.conf檔案，在location，server 或 http段中加入autoindex on;，另外兩個引數最好也加上去:

autoindex_exact_size off; 預設為on，顯示出檔案的確切大小，單位是bytes。改為off後，顯示出檔案的大概大小，單位是kB或者MB或者GB
autoindex_localtime on;
預設為off，顯示的檔案時間為GMT時間。改為on後，顯示的檔案時間為檔案的伺服器時間

location /images {
root /var/www/nginx-default/images;
autoindex on;
autoindex_exact_size off;
autoindex_localtime on;
}
 

一個實用小demo（供參考）

user www www;
worker_processes 2;
  
error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
  
pid logs/nginx.pid;
  
  
events {
use epoll;
worker_connections 2048;
}
  
  
http {
include mime.types;
default_type application/octet-stream;
  
###################*******該日誌可以記錄請求的詳細轉發情況，從哪IP來轉到哪伺服器*****
#  log_format  main  '$remote_user [$time_local]  $http_x_Forwarded_for $remote_addr  $request'  
#                      '$http_x_forwarded_for'  
#                      '$upstream_addr'  
#                      'ups_resp_time: $upstream_response_time'  
#                      'request_time: $request_time'; 
  
#access_log logs/access.log main;
  
sendfile on;
# tcp_nopush on;
  
keepalive_timeout 65;
  
# gzip壓縮功能設定
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 6;
gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
gzip_vary on;
  
# http_proxy 設定
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 75;
proxy_send_timeout 75;
proxy_read_timeout 75;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
proxy_temp_path /usr/local/nginx/proxy_temp 1 2;
  
# 設定負載均衡後臺伺服器列表
upstream backend {
#ip_hash;
server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ;
server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ;
}
  
# 很重要的虛擬主機配置
server {
listen 80;
server_name itoatest.example.com;
root /apps/oaapp;
  
charset utf-8;
access_log logs/host.access.log main;
  
#對 / 所有做負載均衡+反向代理
location / {
root /apps/oaapp;
index index.jsp index.html index.htm;
  
proxy_pass http://backend;
proxy_redirect off;
# 後端的Web伺服器可以通過X-Forwarded-For獲取使用者真實IP
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
  
}
  
#靜態檔案，nginx自己處理，不去backend請求tomcat
location ~* /download/ {
root /apps/oa/fs;
  
}
location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$
{
root /apps/oaapp;
expires 7d;
}
location /nginx_status {
stub_status on;
access_log off;
allow 192.168.10.0/24;
deny all;
}
  
location ~ ^/(WEB-INF)/ {
deny all;
}
#error_page 404 /404.html;
  
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
  


## 其它虛擬主機，server 指令開始
server {
  
}

server {
  
}



}