nginx动静分离与网页优化(内含Web群集，版本号，缓存时间，日志切割，网页压缩，防盗链优化）

前言

• nginx的静态处理能力很强，但是动态处理能力不足，因此在企业中常采用动静分离技术

• 针对PHP，将静态页面交给nginx处理，动态页面交给PHP-FPM模块或Apache处理

• 在nginx的配置文件中，是通过location配置段配合正则匹配来实现静态与动态页面的不同处理方式

• 在企业信息化应用环境中，服务器的安全性和响应速度需要根据实际情况进行相应参数配置，以达到最优的用户体验

• 默认的nginx安装参数只能供最基本的服务，还需要调整如网页缓存时间，连接超时，网页压缩等相应参数，餐能发挥出服务器的最大作用

一：部署Nginx+Apache动静分离

1.1：什么是Nginx动静分离？

• Nginx的静态处理能力很强，但是动态处理能力不足，因此，在企业中常用动静分离技术

• 针对PHP的动静分离

静态页面交给 Nginx处理

动态页面交给 PHP-FPM模块或 Apache处理

• 在 Nginx的配置中，是通过 ocation配置段配合正则匹配实现静态与动态页面的不同处理方式

1.2：反向代理的原理是什么？

• Nginx不仅能作为Web服务器，还具有反向代理、负载均衡和缓存的功能
• Nginx通过 proxy模块实现将客户端的请求代理至上游服务器，此时ngInx与上游服务器的连接是通过http协议进行的
• Nginx在实现反向代理功能时的最重要指令为proxy pass，它能够并能够根据UR、客户端参数或其它的处理逻辑将用户请求调度至上游服务器

1.3：Nginx实现动静分离最重要的是配置什么？

1.3.1:需求

• 根据需要，将配置 Nginx实现动静分离，对php页面的请求转发给LAMP处理，而静态页面交给Nginx处理，以实现动静分离

1.3.2:配置要点2-1

• 架设并调试后端LAMP环境

• 安装配置 Nginx处理静态页面请求，在 server{}；段中加入

[root@nginxphp5]# vim/usr/local/httpd/conf/nginx.conf
location ~.*\.（gif|jpg|jpeg|bmp|swf）${
    root html;
    index index.html index.htm;
};

1.3.3：配置要点2-2

• 在 Apache工作目录新建 test. php

• 重启Nginx并测试

[root@nginxphp5]# vim /usr/local/httpd/conf/nginx.conf
  server {
  ...
  location ~\.php${
      proxy_pass http://192.168.100.10：8080 '//将原本的127.0.0.1修改'
  } 
'//192.168.100.10：8080是LAMP的IP地址'

1.4：Nginx动静分离方法总结

• 静态页面交给 Nginx处理
• 动态页面交给 PHP-FPM模块或 Apache处理

1.5：动静分离详细过程整理

1.5.1：动态Apache主机设置

yum install httpd httpd-devel -y 	'//安装Apache'

systemctl start httpd.service 

firewall-cmd --permanent --zone=public --add-service=http
success 

firewall-cmd --permanent --zone=public --add-service=https
success 

firewall-cmd --reload 		'//以上的是防火墙设置，也可以直接关闭防火墙'
success 

yum install mariadb mariadb-server mariadb-libs mariadb-devel -y 	'//安装数据库，是mysql的一个分支'

systemctl start mariadb 

mysql_secure_installation	'//一键式设置数据库信息'

yum -y install php

yum install php-mysql -y	'建立php和mysq1关联'

yum install -y php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap curl curl-devel php-bcmath	'安装php插件'

cd /var/www/html
vim index.php

<?php
phpinfo();
?>

'//重启服务'

1.5.2：静态nginx主机设置

'//1.挂载宿主机的共享文件夹，读取下载好的源码文件'

'//2.解压跨平台组件包和源码包'

'//3.安装编译器和其他工具'
yum -y install gcc \
gcc-c++ \
make \
pcre-devel \
expat-devel \
perl \
zlib-devel \
pcre


'//4.configure配置'
./configure \
--prefix=/usr/local/nginx \
--user=nginx \
--group=nginx \
--with-http_stub_status_module

'//5.make编译和make install'

6，ln -s /usr/local/nginx/sbin/nginx  /usr/local/sbin	'//nginx命令执行路径优化'

'//添加用户'
useradd -M -s /sbin/nologin nginx

'//使用systemctl控制'
 vim /lib/systemd/system/nginx.service		'//添加使用systemctl工具进行管理'

###要刷配置参数###
[Unit]
Description=nginx	
After=network.target	

[Service]
Type=forking	
PIDFile =/usr/local/nginx/logs/nginx.pid	
ExecStart=/usr/local/nginx/sbin/nginx		
ExecReload=/usr/bin/kill -S HUP $MAINPID
ExecStop=/usr/bin/kill -S QUIT $MAINPID		
PrivateTmp=true

[Install]
WantedBy=multi-user.target


chmod 754 /lib/systemd/system/nginx.service		'//添加权限'


'//修改配置文件，设置动静分离'

vim /usr/local/nginx/conf/nginx.conf
'//添加一段'
location ~ \.php$ {
            proxy_pass   http://指向处理动态请求的IP地址;
        }


'//proxy_pass  ：反向代理，请求重定向'

重启服务
关闭防火墙

其他主机访问 ip/index.html （静态）
            ip/index.php （动态）

二：Nginx常规的优化

2.1：如何隐藏 Nginx版本号

• 在生产环境中，需要隐藏Ngnx的版本号，以避免安全漏洞的泄漏

• 查看方法

  使用fdde工具在 Windows客户端查看 Nginx版本号

  在 Centos系统中使用“curl -l 网址”命令查看N

• nginx隐藏版本号的方法

  修改配置文件法

  修改源码法

2.1.1：centos系统查看版本号的命令是什么？

curl -I http://192.168.235.144/  ##查看版本号

2.1.2：配置 Nginx隐藏版本号–修改配置文件法

• Nginx的配置文件中的 server_tokens选项的值设置为off

vim /usr/local/nginx/conf/nginx.conf 

http {
    include       mime.types;
    default_type  application/octet-stream;
    server_tokens off;	##添加
}

• 重启服务，访问网站使用curl -l 命令检测

[root@www conf]# service nginx restart
[root@wwwconf]# curl -I http://192.168.235.144/  ##查看版本号
HTTP/1.1 200 Ok 
Server:nginx

• 若php配置文件中配置了 fastcgi_ param SERVER SOFTWARE选项

• 则编辑 php-fpm配置文件，将 fastcgi_param SERVER SOFTWARE对应的值修改为

  fastcgi_param SERVER_SOFTWARE nginx

2.1.3:配置 Nginx隐藏版本号–修改源码法

• Nginx源码文件/usr/src/ nginx-1.12.2/src/ core/nginx. h包含了版本信息，可以随意设置

• 重新编译安装，隐藏版本信息

• 示例：

  #define NGINX_VERSION “1.1.1″，修改版本号为1.1.1

  #define NGINX_VER “IIS/"，修改软件类型为lls

  vim /opt/nginx-1.12.2/src/core/nginx.h

#define nginx_version      1012002
#define NGINX_VERSION      "1.12.2"	##1.12.2是版本号，直接修改
#define NGINX_VER          "nginx/" NGINX_VERSION

重新编译，configure，make && make install
重启
curl -I http://192.168.235.144/  ##查看版本号

2.2：为何修改Nginx用户与组？

• Nginx运行时进程需要有用户与组的支持，以实现对网站文件读取时进行访问控制

• Nginx默认使用 nobody用户账号与组账号，一般也要进行修改

• 修改的方法

  编译安装时指定用户与组

  修改配置文件时指定用户与组

2.2.1：编译安装时指定

• 创建用户账号与组账号，如 nginx
• 在编译安装时–user与- -group指定Nginx服务的运行用户与组账号

2.2.2：修改配置文件时指定用户与组

• 新建用户账号，如 nginx

• 修改主配置文件user选项，指定用户账号

• 重启 nginx服务，使配置生效

• 使用 ps aux命令查看nginx的进程信息，验证运行用户账号改变效果

vim /opt/nginx-1.12.2/src/core/nginx.h

#define nginx_version      1012002
#define NGINX_VERSION      "1.12.2"	##1.12.2是版本号，直接修改
#define NGINX_VER          "nginx/" NGINX_VERSION

重新编译，configure，make && make install
重启
curl -I http://192.168.235.144/  ##查看版本号

2.3：如何优化Nginx网页缓存时间？

• 当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度

• 一般针对静态网页设置，对动态网页不设置缓存时间

• 可在 Windows客户端中使用 fiddler查看网页缓存时间

• 设置方法

  可修改配置文件，在http段、或者 server段、或者 location段加入对特定内容的过期参数

• 示例

  修改 Nginx的配置文件，在 location段加入 expires参数

vim /opt/nginx-1.12.2/src/core/nginx.h

#define nginx_version      1012002
#define NGINX_VERSION      "1.12.2"	##1.12.2是版本号，直接修改
#define NGINX_VER          "nginx/" NGINX_VERSION

重新编译，configure，make && make install
重启
curl -I http://192.168.235.144/  ##查看版本号

2.4：如何实现Nginx的日志切割？

• 随着 Nginx运行时间增加，日志也会增加。为了方便掌握 Nginx运行状态，需要时刻关注Ngnx日志文件

• 太大的日志文件对监控是一个大灾难

  定期进行日志文件的切割

• Nginx自身不具备日志分割处理的功能，但可以通过Nginx信号控制功能的脚本实现日志的自动切割，并通过Lnux的计划任务周期性地进行日志切割

2.4.1：编写脚本进行日志切割的思路

• 设置时间变量

• 设置保存日志路径

• 将目前的日志文件进行重命名

• 删除时间过长的日志文件

• 设置cron任务，定期执行脚本自动进行日志分割

[root @www logs]# vim /opt/fenge.sh
#!/bin/bash
# Filename:fenge.sh
d=$(date -d "-1 day" "+%Y%m%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path
mv /usr/local/nginx/logs/access.log ${logs_path}/test.com-access.log-$d
kill -USR1 $(cat $pid_path)
find $logs_path -mtime +30 | xargs rm -rf


chmod +x fenge.sh

crontab -e	'//设置周期性任务'

0 1 * * * /opt/fenge.sh 

----date -d +1（second minute hour day month year)--
--------kill -QUIT 5410 结束进程 -HUP 平滑重启 类似 reload -USRl 日志分隔 -USR2平滑升级-----


date -d "-1 day" "+%Y%m%d"		'//##时间向前推进一天'

date -s 2019-12-25 			'//##时间向后推移一天'

2.5：如何配置Nginx实现连接超时？

• 在企业网站中，为了避免同一个客户长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现控制连接访向问时间

• 使用 Fiddler工具查看 connection参数

• 超时参数讲解

  • Keepalive_timeout

    • 设置连接保持超时时间，一般可只设置该参数，默认为75秒，可根据网站的情况设置，或者关闭，可在http段、 server段、或者 location段设置

  • Client_header_timeout

    • 指定等待客户端发送请求的超时时间

  • Client_body_timeout

    • 设置请求体读超时时间

vim /usr/local/nginx/conf/nginx.conf

keepalive_timeout  65 120;	'//识别后面的120'
Client_header_timeout 80；
Client_body_timeout 80；

三：Nginx深入优化

3.1：更改Ngnx运行进程数

• 在高并发场景，需要启动更多的 Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞

• 可以使用 ps auxi命令查看Ngnx运行进程的个数

• 更改进程数的配置方法

  修改配置文件，修改进程配置参数

• 修改配置文件的 worker_ processes参数

  一般设为CPU的个数或者核数

  在高并发情况下可设置为CPU个数或者核数的2倍

• 运行进程数多一些，响应访问请求时， Nginx就不会临时启动新的进程提供服务，减少了系统的开销，提升了服务速度

• 使用 ps aux查看运行进程数的变化情况

• 默认情况， Nginx的多个进程可能跑在一个cPU上，可以分配不同的进程给不同的CPU处理，充分利用硬件多核多CPU

• 在一台4核物理服务器，可进行以下配置，将进程进行分配

Worker_cpu_affinity 0001 0010 0100 1000 ‘//核心数的序列位置'

vim /opt/nginx-1.12.2/src/core/nginx.h

#define nginx_version      1012002
#define NGINX_VERSION      "1.12.2"	##1.12.2是版本号，直接修改
#define NGINX_VER          "nginx/" NGINX_VERSION

重新编译，configure，make && make install
重启
curl -I http://192.168.235.144/  ##查看版本号

3.2：如何配置Nginx实现网页压缩功能

• Nginx的ngx_htto_gzip_ module压缩模块提供对文件内容压缩的功能
• 允许Nginx服务器将输出内容在发送客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，默认已经安装
• 可在配置文件中加入相应的压缩功能参数对压缩性能进行优化

3.2.1：压缩功能参数，了解一下？！

• gzip on：开启gzip压缩输出g
• zip_min_length 1k：用于设置允许压缩的页面最小字节数
• gzip_buffers 4 16k：表示申请4个单位为16k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相 同的内存空间来存储gzip压缩结果(buffers:缓存区)
• zip_http_version1.0：用于设置识别htt协议版本，默认是1.1，目前大部分浏览器已经支持gzip解压，但处理最慢，也比较消耗服务器CPU资源
• gzip_comp_level2：用来指定gzp缩比，1压缩比最小，处理速度最快；9压缩比最大，传输速度快，但处理速度最慢，使用默认即可
• gzip_types text/plain：压缩类型，是就对哪些网页文档启用压缩功能
• gzip_vary on：选项可以让前端的缓存服务器缓存经过gzi压缩的页面
• 将以上的压缩功能参数加入到主配置文件httpd配置中
• 重启服务，并用 Fiddler工具查看开启结果

3.2.2：优化网页压缩设置，了解一下？！

vim /opt/nginx-1.12.2/src/core/nginx.h

#define nginx_version      1012002
#define NGINX_VERSION      "1.12.2"	##1.12.2是版本号，直接修改
#define NGINX_VER          "nginx/" NGINX_VERSION

重新编译，configure，make && make install
重启
curl -I http://192.168.235.144/  ##查看版本号

3.3：防盗链优化

3.3.1：防盗链概述

• 在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失
• Nginx防盗链功能也非常强大。默认情况下，只需要进行简单的配置，即可实现防盗链处理

3.3.2：盗链配置环境

• 一台Windows
• 两台centos7（两台centos服务器的nginx服务我都是源码编译安装的，你们可以直接yum安装，同样修改配置文件就可以了）
  

3.3.3：配置盗链

• 正常服务器设置：（IP地址为192.168.197.193）

[root@localhost ~]# yum install bind -y
[root@localhost ~]# vim /etc/named.conf 
    127.0.0.1修改成any
    localhost修改成any
[root@localhost ~]# vim /etc/named.rfc1912.zones 
zone "erbao.com" IN {	'//添加此段'
     type master;
     file "erbao.com.zone";
     allow-update { none; };
};
[root@localhost ~]# cp -p /var/named/named.localhost /var/named/erbao.com.zone
[root@localhost ~]# vim /var/named/erbao.com.zone 
www  IN A       192.168.197.193		'//最后一行换成它'
[root@localhost ~]# systemctl start named
[root@localhost mnt]# cd /usr/local/nginx/html
[root@localhost html]# ls
50x.html  aaa.jpg  bbs  index.html 
[root@localhost html]# vim index.html 
...
<h1>Welcome to nginx!</h1>
<img src="aaa.jpg"/>	'//添加图片进去'
...
开启服务，关闭防火墙

• 盗链服务器设置：（IP地址为192.168.197.141）

[root@localhost mnt]# cd /usr/local/nginx/html
[root@localhost html]# ls
50x.html   bbs  index.html 
[root@localhost html]# vim index.html 
....
<h1>this is daolian</h1>
<img src="http://www.erbao.com/aaa.jpg"/>
	'//设置盗链'
...
开启服务，关闭防火墙

• 测试机设置
  
• 盗链检查
  

3.3.4：设置防盗链

• 正常服务器设置

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
...
location ~*\.(jpg|gif|jepg)$ {	'//添加一下内容'
             valid_referers none blocked *.erbao.com erbao.com;
             if ( $invalid_referer ) {
                rewrite ^/ http://www.erbao.com/error.png;
             }
        }
...
重启服务

• 查看防盗链是否成功

3.3.5：配置说明

• valid_referers：设置信任的网站，即能引用相应图片的网站
• none：浏览器中 Referer为空的情况，就是直接在浏览器访问图片
• blocked：referer不为空的情况，但是值被代理或防火墙删除了，这些值不以http://或者https://开头
• 后面的网址或者域名：referer中包含相关字符串的网址
• if句：如果链接的来源域名不在 valid_referers所列出的列表中， $invalid_referer为1，则执行后面的操作，即进行重写或返回403页面

3.4：对FPM模块进行参数优化

3.4.1：FPM模块概述

• Nginx的PHP解析功能实现如果是交由FPM处理的，为了提高PHP的处理速度，可对FPM模块进行参数的调整

• FPM模块参数调整，要根据服务器的内存与服务负载进行调整

• 启动fpm进程方式

  static：将产生固定数量的fpm进程

  dynamic：将以动态的方式产生fpm进程

  通过pm参数指定

3.4.2：FPM优化参数讲解

• Static的方式的参数
  • pm.max_children：指定启动的进程数量
• Dynamic方式的参数
  • pm.max_children：指定启动的进程数量最大的数量
  • pm.start_servers：动态方式下初始的m进程数量
  • pm.min_spare_servers：动态方式下最小的fpm空闭进程数
  • pm.max_spare_servers：动态方式下最大的fpm空闭进程数

3.4.3：FPM优化参数实例

• 优化原因：

  • 服务器为云服务器，运行了个人论坛，内存为15G，fpm进程数为20，内存消耗近1G，处理比较慢

• 优化参数调整

  • FPM启动时有5个进程，最小空闲2个进程，最大空闲8个进程，最多可以有20个进程存在

pm=dynamic
pm.max_children=20
pm.start_servers = 5
pm.min_spare_servers = 2
pm.max_spare_servers = 8
整，要根据服务器的内存与服务负载进行调整

- 启动fpm进程方式

  static：将产生固定数量的fpm进程
  

  dynamic：将以动态的方式产生fpm进程

  通过pm参数指定

##### 3.4.2：FPM优化参数讲解

- Static的方式的参数
  - pm.max_children：指定启动的进程数量
- Dynamic方式的参数
  - pm.max_children：指定启动的进程数量最大的数量
  - pm.start_servers：动态方式下初始的m进程数量
  - pm.min_spare_servers：动态方式下最小的fpm空闭进程数
  - pm.max_spare_servers：动态方式下最大的fpm空闭进程数

##### 3.4.3：FPM优化参数实例

- 优化原因：

  - 服务器为云服务器，运行了个人论坛，内存为15G，fpm进程数为20，内存消耗近1G，处理比较慢

- 优化参数调整

  FPM启动时有5个进程，最小空闲2个进程，最大空闲8个进程，最多可以有20个进程存在

```css
pm=dynamic
pm.max_children=20
pm.start_servers = 5
pm.min_spare_servers = 2
pm.max_spare_servers = 8