前天二面鵝廠，面試官問出了“nginx你瞭解嗎？”這樣寬泛直白的句式，我一時抓不到重點，一時語噻。 下班想了一下，平時潛移默化用到不少nginx的能力，但在面試的時候沒有吹成對應的概念。  ### 面談nginx核心能力 nginx是老牌web伺服器，以下口水話的nginx基礎能力，大家都耳熟能詳，看看就行，面試官也不打算考查這個。 > 高併發連線: 官方稱單節點支援5萬併發連線數，實際生產環境能夠承受2-3萬併發。 > 記憶體消耗少: 在3萬併發連線下，開啟10個nginx程序僅消耗150M記憶體 (15M×10=150M) > 配置簡單 > 成本低廉: 開源免費 #### 1. 正向、反向代理 所謂“代理”，是指在內網邊緣 設定一個硬體/軟體轉發請求； “正向”還是“反向”的說法，取決於轉發的是"出站請求"還是"入站請求". **正向代理**：處理來自客戶端的出站請求，將其轉發到Internet，然後將生成的響應返回給客戶端。 **反向代理**：處理來自Internet的入站請求，將其轉發給後端工作程式，然後將響應返回給Internet。  1. 正向代理和反向代理 在代理的方向上不同，但都會代理處理HTTP請求/響應。 2. 代理伺服器存在的目的： - 堡壘機/隔離內網： 內網客戶端無法訪問外網需要設定堡壘機、隱藏內網工作伺服器 - 代理伺服器附加功能： 對流量執行操作、使用快取或壓縮來提高效能、防禦攻擊並過濾資訊 #### 2. 負載均衡 負載均衡一般伴隨著反向代理， 起到了 分配流量、透明代理、 增強容錯的效果 ``` http { upstream myapp1 { server srv1.example.com; server srv2.example.com; server srv3.example.com; } server { listen 80; location / { proxy_pass http://myapp1; } } } ``` 早期我們的核心產品部署在兩臺windows Sever IIS上，前面部署了一個nginx，做的負載均衡。  很明顯，這裡有個[負載均衡策略]的知識點。 - round-robin 顧名思義：輪詢 - least-connected ： 下一個請求將發往最小活動連結的伺服器 - ip-hash： 根據客戶端的ip地址和雜湊函式 決定將請求發往哪個伺服器 http://nginx.org/en/docs/http/load_balancing.html ✨ 延伸技能點： 1. [服務發現]: 在容器/K8S環境，服務地址是由集群系統動態分配，一般都內建了服務發現能力，docker-comppose/K8s中定義的服務名就代表了整個服務。 有個文章講述了: 《巧用nginx 實現Docker-Comppose服務多例項》 2. [會話親和力]： 又叫“粘性會話”，確保在有狀態的應用中，同一客戶端的請求打到後端一個伺服器上。 也有個示例可參考：《巧用話親和力做圖片上傳和預覽》 #### 3. 動靜分離 動靜分離與現在火熱的前後端分離概念火熱相關， 前端可以自行開發、測試，自行使用nginx形成靜態資源伺服器，後端服務僅作為附加資源。  下面的例子表明 靜態資源在/usr/share/nginx/html， 動態資源路徑包含api或swagger。 ``` upstream eap_website { server eapwebsite; } server { listen 80; location / { # 靜態資源 root /usr/share/nginx/html; index index.html index.htm; try_files $uri /index.html; } location ^~ /api/ { # 動態資源 proxy_pass http://eap_website/api/; } location ^~ /swagger/ { # 動態資源 proxy_pass http://eap_website/swagger/; } } ``` ✨ 延伸技能點 1. 以上流程也是《現代十二要素應用方法論》所推崇的第四點， 從這個體系來說，後端淪落為api開發，實屬遺憾 2. 這裡有個《有關在容器生成階段動態插入api基地址的妙招》，對動靜分離的容器化很有裨益。 ### 實用功能 1. 通過埠支援 同一域名下多個webapp 2. 繫結Https證書 1、2點一起體現：一個域名繫結到443和8080埠兩個https站點 ``` upstream receiver_server { server receiver:80; } upstream app_server { server app:80; } server { listen 443 ssl http2; server_name eqid.gridsum.com; ssl_certificate /conf.crt/live/gridsum.com.crt; ssl_certificate_key /conf.crt/live/gridsum.com.key; location / { proxy_pass http://receiver_server/; } } server { listen 8080 ssl http2; server_name eqid.gridsum.com:8080; ssl_certificate /conf.crt/live/gridsum.com.crt; ssl_certificate_key /conf.crt/live/gridsum.com.key; location / { proxy_pass http://app_server/; } } ``` 3. 支援rewrite重寫規則: 能夠根據域名、url的不同，將http請求分發到後端不同的應用伺服器節點上。 4. 內建健康檢查功能: 如果後端的某臺應用節點掛了，請求不會再轉發給這個節點，不影響線上功能。 關鍵指令： `max_fails`, `fail_timeout` ``` upstream backend { server backend1.example.com weight=5; server 127.0.0.1:8080 max_fails=3 fail_timeout=30s; server unix:/tmp/backend3; server backup1.example.com backup; } ``` 5. 節省頻寬: 支援gzip壓縮 6. 解決跨域問題 ① 反向代理 ② 增加CORS響應頭 5、6點一起體現： 在前後端分離專案，對跨域請求增加CORS響應頭、對靜態資源開啟gzip壓縮 ``` location / { gzip on; gzip_types application/javascript text/css image/jpeg; root /usr/share/nginx/html; index index.html index.htm; try_files $uri /index.html; add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE'; add_header 'Access-Control-Allow-Headers' 'Content-Type'; add_header 'Access-Control-Allow-Credentials' 'true'; } ``` --- 要進大廠， 技術棧要向舒適區以外拓展， 大廠人員大都具備多技能， 隨插隨用。 基礎知識牢固，才會融會貫通，更快解鎖​高難度姿勢。 鵝廠二面大概率掛了，實踐沒吹成概念，且行且分享。 本文回顧了小碼甲使用nginx的實踐，應該足夠在下一次面試中吹水了，如有錯誤，請留言賜教。