三、Nginx原理解析
Nginx原理解析
一、反向代理
工作流程
- 使用者通過域名發出訪問Web伺服器的請求,該域名被DNS伺服器解析為反向代理伺服器的IP地址;
- 反向代理伺服器接受使用者的請求;
- 反向代理伺服器在本地快取中查詢請求的內容,找到後直接把內容傳送給使用者;
- 如果本地快取裡沒有使用者所請求的資訊內容,反向代理伺服器會代替使用者向源伺服器請求同樣的資訊內容,並把資訊內容發給使用者,如果資訊內容是快取的還會把它儲存到快取中。
優點
- 保護了真實的web伺服器,保證了web伺服器的資源安全
通常的代理伺服器,只用於代理內部網路對Internet外部網路的連線請求,客戶機必須指定代理伺服器,並將本來要直接傳送到Web伺服器上的http請求傳送到代理伺服器中。不支援外部網路對內部網路的連線請求,因為內部網路對外部網路是不可見的。當一個代理伺服器能夠代理外部網路上的主機,訪問內部網路時,這種代理服務的方式稱為反向代理服務。此時代理伺服器對外就表現為一個Web伺服器,外部網路就可以簡單把它當作一個標準的Web伺服器而不需要特定的配置。不同之處在於,這個伺服器沒有儲存任何網頁的真實資料,所有的靜態網頁或者CGI程式,都儲存在內部的Web伺服器上。因此對反向代理伺服器的攻擊並不會使得網頁資訊遭到破壞,這樣就增強了Web伺服器的安全性。
- 節約了有限的IP地址資源
企業內所有的網站共享一個在internet中註冊的IP地址,這些伺服器分配私有地址,採用虛擬主機的方式對外提供服務。
- 減少WEB伺服器壓力,提高響應速度
反向代理就是通常所說的web伺服器加速,它是一種通過在繁忙的web伺服器和外部網路之間增加一個高速的web緩衝伺服器來降低實際的web伺服器的負載的一種技術。反向代理是針對web伺服器提高加速功能,作為代理快取,它並不是針對瀏覽器使用者,而針對一臺或多臺特定的web伺服器,它可以代理外部網路對內部網路的訪問請求。
反向代理伺服器會強制將外部網路對要代理的伺服器的訪問經過它,這樣反向代理伺服器負責接收客戶端的請求,然後到源伺服器上獲取內容,把內容返回給使用者,並把內容儲存到本地,以便日後再收到同樣的資訊請求時,它會把本地快取裡的內容直接發給使用者,以減少後端web伺服器的壓力,提高響應速度。因此Nginx還具有快取功能。
二、Nginx工作原理
Nginx由核心和模組組成。
Nginx本身做的工作實際很少,當它接到一個HTTP請求時,它僅僅是通過查詢配置檔案將此次請求對映到一個location block,而此location中所配置的各個指令則會啟動不同的模組去完成工作,因此模組可以看做Nginx真正的勞動工作者。通常一個location中的指令會涉及一個handler模組和多個filter模組(當然,多個location可以複用同一個模組)。handler模組負責處理請求,完成響應內容的生成,而filter模組對響應內容進行處理。
使用者根據自己的需要開發的模組都屬於第三方模組。正是有了這麼多模組的支撐,Nginx的功能才會如此強大。
Nginx的模組從結構上分為核心模組、基礎模組和第三方模組:
- 核心模組:HTTP模組、EVENT模組和MAIL模組
- 基礎模組:HTTP Access模組、HTTP FastCGI模組、HTTP Proxy模組和HTTP Rewrite模組,
- 第三方模組:HTTP Upstream Request Hash模組、Notice模組和HTTP Access Key模組。
Nginx的模組從功能上分為如下三類:
- Handlers(處理器模組)。此類模組直接處理請求,並進行輸出內容和修改headers資訊等操作。Handlers處理器模組一般只能有一個。
- Filters (過濾器模組)。此類模組主要對其他處理器模組輸出的內容進行修改操作,最後由Nginx輸出。
- Proxies (代理類模組)。此類模組是Nginx的HTTP Upstream之類的模組,這些模組主要與後端一些服務比如FastCGI等進行互動,實現服務代理和負載均衡等功能。
三、Nginx程序模型
Nginx預設採用多程序工作方式,Nginx啟動後,會執行一個master程序和多個worker程序。其中master充當整個程序組與使用者的互動介面,同時對程序進行監護,管理worker程序來實現重啟服務、平滑升級、更換日誌檔案、配置檔案實時生效等功能。worker用來處理基本的網路事件,worker之間是平等的,他們共同競爭來處理來自客戶端的請求。
nginx的程序模型如圖所示:
在建立master程序時,先建立需要監聽的socket(listenfd),然後從master程序中fork()出多個worker程序,如此一來每個worker程序多可以監聽使用者請求的socket。一般來說,當一個連線進來後,所有在Worker都會收到通知,但是隻有一個程序可以接受這個連線請求,其它的都失敗,這是所謂的驚群現象。nginx提供了一個accept_mutex(互斥鎖),有了這把鎖之後,同一時刻,就只會有一個程序在accpet連線,這樣就不會有驚群問題了。
先開啟accept_mutex選項,只有獲得了accept_mutex的程序才會去新增accept事件。nginx使用一個叫ngx_accept_disabled的變數來控制是否去競爭accept_mutex鎖。ngx_accept_disabled = nginx單程序的所有連線總數 / 8 -空閒連線數量,當ngx_accept_disabled大於0時,不會去嘗試獲取accept_mutex鎖,ngx_accept_disable越大,於是讓出的機會就越多,這樣其它程序獲取鎖的機會也就越大。不去accept,每個worker程序的連線數就控制下來了,其它程序的連線池就會得到利用,這樣,nginx就控制了多程序間連線的平衡。
每個worker程序都有一個獨立的連線池,連線池的大小是worker_connections。這裡的連線池裡面儲存的其實不是真實的連線,它只是一個worker_connections大小的一個ngx_connection_t結構的陣列。並且,nginx會通過一個連結串列free_connections來儲存所有的空閒ngx_connection_t,每次獲取一個連線時,就從空閒連線連結串列中獲取一個,用完後,再放回空閒連線連結串列裡面。一個nginx能建立的最大連線數,應該是worker_connections * worker_processes。當然,這裡說的是最大連線數,對於HTTP請求本地資源來說,能夠支援的最大併發數量是worker_connections * worker_processes,而如果是HTTP作為反向代理來說,最大併發數量應該是worker_connections * worker_processes/2。因為作為反向代理伺服器,每個併發會建立與客戶端的連線和與後端服務的連線,會佔用兩個連線