当前位置:首页 > 开发 > 开源软件 > 正文

nginx 试验配置(整体配置文件)

发表于: 2015-01-19   作者:annan211   来源:转载   浏览次数:
摘要: #user nobody; worker_processes 2;#开启的进程数,一般跟逻辑cpu核数一致 worker_cpu_affinity 00000001 00000010 ; error_log logs/error.log crit; #定于全局错误日志文件,级别以notice显示。还有debug、info、warn、error、crit模式,debug输出最多
  
#user  nobody;
worker_processes  2;#开启的进程数,一般跟逻辑cpu核数一致
worker_cpu_affinity 00000001 00000010 ;
error_log logs/error.log crit; #定于全局错误日志文件,级别以notice显示。还有debug、info、warn、error、crit模式,debug输出最多,。 
pid     nginx.pid;
worker_rlimit_nofile 102400; #指定一个nginx进程打开的最多文件描述符数目,受系统进程的最大打开文件数量限制 
events {
    use epoll;
    worker_connections  1024000;#允许连接数
}


http {
    include       mime.types;
	default_type  application/octet-stream;
	#include     proxy.conf;  #一定要指向代理文件
	log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; 
	client_max_body_size 20m; #设置允许客户端请求的最大的单个文件字节数 
	sendfile on; #开启高效文件传输模式 
	tcp_nopush on; #开启防止网络阻塞 
	charset utf-8;
	tcp_nodelay on; #开启防止网络阻塞 
	keepalive_timeout 120; #设置客户端连接保存活动的超时时间  
	client_header_timeout 10; #用于设置客户端请求读取超时时间 
	client_body_timeout 10; #用于设置客户端请求主体读取超时时间 
	client_header_buffer_size 4k;
	open_file_cache max=102400 inactive=20s;#max指定缓存数量,inactive是指经过多长时间文件没被请求后删除缓存。
	open_file_cache_valid 30s;#30秒检查一次缓存的有效信息
	open_file_cache_min_uses 1;#缓存中文件的使用次数少于1次将被删除
	
	send_timeout 10; #用于设置相应客户端的超时时间 
	
	#FastCGI相关参数是为了改善网站的性能:减少资源占用,提高访问速度。
	fastcgi_cache_key $host$uri$is_args$args;
	fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2
                keys_zone=TEST:10m
                inactive=5m;
	  fastcgi_connect_timeout 300;
	  fastcgi_send_timeout 300;
	  fastcgi_read_timeout 300;
	  fastcgi_buffer_size 64k;
	  fastcgi_buffers 16 64k;
	  fastcgi_busy_buffers_size 128k;
	  fastcgi_temp_file_write_size 128k;
	  fastcgi_cache TEST;
	  fastcgi_cache_valid 200  1h;
	  fastcgi_cache_valid 304 301 1d;
	  fastcgi_cache_valid any 1m;
	  fastcgi_cache_min_uses 1;
	  fastcgi_cache_use_stale error timeout invalid_header http_500;
	  
	proxy_http_version "1.1";
	proxy_cache_key $host$uri$is_args$args; 
	proxy_cache_valid  200 304 302 24h;
	proxy_temp_file_write_size 10m;
	proxy_temp_path /usr/local/nginx/nginx_cache/temp_dir;
	proxy_cache_path /usr/local/nginx/nginx_cache/cache  levels=1:2 keys_zone=cache_one:200m inactive=1d max_size=1g;
	
	proxy_connect_timeout 300s;
	proxy_send_timeout   900;
	proxy_read_timeout   900;
	proxy_buffer_size    32k;
	proxy_buffers     4 32k;
	proxy_busy_buffers_size 64k;
	proxy_redirect     off;
	proxy_hide_header  Vary;
	proxy_set_header   Accept-Encoding '';
	proxy_set_header   Host   $host;
	proxy_set_header   Referer $http_referer;
	proxy_set_header   Cookie $http_cookie;
	proxy_set_header   X-Real-IP  $remote_addr;
	proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
	
	#httpGzip modules 
	gzip on; #开启gzip压缩 
	gzip_disable "MSIE [1-6].";#禁止IE1-6压缩
	gzip_min_length 1k; #设置允许压缩的页面最小字节数 
	gzip_buffers 4 16k; #申请4个单位为16K的内存作为压缩结果流缓存 
	gzip_http_version 1.1; #设置识别http协议的版本,默认是1.1 
	gzip_comp_level 2; #指定gzip压缩比,1-9 数字越小,压缩比越小,速度越快. 
	gzip_types text/plain application/x-javascript text/css text/javascript application/x-httpd-php ;#image/jpeg image/gif image/png;
	
	# 这里实现轮询
	upstream www.dahongwa.com{ 
		   server 10.1.7.*:9000 weight=10 max_fails=4 fail_timeout=30s;
		   server 10.1.7.*:9001 weight=10 max_fails=4 fail_timeout=30s;
		   server 10.1.7.*:9002 weight=10 max_fails=4 fail_timeout=30s;
		   server 10.1.7.*:9003 weight=10 max_fails=4 fail_timeout=30s;
		   server 10.1.7.*:9004 weight=10 max_fails=4 fail_timeout=30s;
		   server 10.1.7.*:9007 weight=10 max_fails=4 fail_timeout=30s;
	}
	
	# 这里实现轮询
	upstream img.dahongwa.com{ 
		   server 10.1.7.*:9019 weight=10 max_fails=4 fail_timeout=30s;
		   server 10.1.7.*:9011 weight=10 max_fails=4 fail_timeout=30s;
	}
		
    server {
	    listen       80;
        server_name   www.dahongwa.com;
        root www.dahongwa.com;
        location /{
		   index  index.html  index.jsp index.htm;   
			
		   proxy_redirect off;
		   proxy_pass http://www.dahongwa.com;  #
		 }

		 location ~ .*\.(css|js)(.*) {
		       expires max;
			  access_log img.dahongwa.com.log;
         }
		 ## 缓存部分
		location ~ /photoserver/.*\.(gif|jpg|png|htm|jpeg|bmp|html|flv|ico|swf|doc)(.*) {
		      root nginx_cache/cache;
			  if (!-f $request_filename) {
					proxy_pass http://img.dahongwa.com;  #图片服务器
				}
			  proxy_cache cache_one;
			  proxy_cache_valid  200 304 302 24h;
			  proxy_cache_valid any 10m;
              proxy_cache_key $host$uri$is_args$args;
              proxy_redirect off;
              proxy_set_header Host $host;
			  proxy_set_header   X-Forwarded-For $remote_addr;
              proxy_cache_use_stale error timeout invalid_header http_500 http_502 http_503 http_504 http_404;
			  proxy_cache_methods GET HEAD POST;  
              proxy_cache_min_uses 1;			  
			  expires max;
			  access_log logs/img.dahongwa.com.log;
        }	

		location ~ /common/goods/images/.*\.(gif|jpg|png|htm|jpeg|bmp|html|flv|ico|swf|doc)(.*) {
		      if (!-f $request_filename) {
					proxy_pass http://img.dahongwa.com;  #图片服务器
				}
				if ( -f $request_filename ) {
					expires 10y;
			  }
			  proxy_cache cache_one;
			  proxy_cache_valid  200 304 302 24h;
			  proxy_cache_valid any 10m;
              proxy_cache_key $host$uri$is_args$args;
              proxy_redirect off;
              proxy_set_header Host $host;
			  proxy_set_header   X-Forwarded-For $remote_addr;
              proxy_cache_use_stale error timeout invalid_header http_500 http_502 http_503 http_504 http_404;
			  proxy_cache_methods GET HEAD POST;  
              proxy_cache_min_uses 1;			  
			  expires max;
			  access_log logs/img.dahongwa.com.log;
        }
		 location ~ .*\.(sh|bash)(.*){ 
			rewrite ^/(.*) http://www.dahongwa.com; 
		}
		
		location ~ /purge(/.*) {  
		    allow 10.244.1.170;
			allow 10.1.7.114;  
			allow 10.1.7.115;  
			deny  all;  
           proxy_cache_purge cache_one $host$uri$is_args$args;
        } 
		
		access_log logs/www.dahongwa.com.log;
    }
	
  } 




timer_resolution  100ms;
worker_processes  4;#为避免阻塞 加快处理进度,设置大一点

reset_timedout_conncetion off; 连接超时时 立马清除内存中相关对象。
 使用环境 http  server  location 

recursive_error_pages off; 防止错误页面递归
 使用环境 http  server  location 

send_timeout 100; 设置响应超时 当超过时间时 nginx 将会关闭连接。
使用环境 http  server  location 


linux 系统性能优化
1 nginx 每次访问完一个文件后,linux 将会对她的Access访问时间进行修改
  这对磁盘写操作影响是非常大的 因此需要关闭
  原配置 为 /dev/sdb1 /dataext3 defaults 0 0
  修改为    /dev/sdb1 /dataext3 defaults,noatime,nodiratime 0 0
  重启系统有效
2 ulimit -n 用户打开文件个数 默认 1024
  ulimit -u 用户打开进程数  默认 8040
  需要在 /etc/security/limits.conf 文件下添加 如下配置
  * soft nofile 65535
  * hard nofile 65535
  * soft nproc  65535
  * hard nproc  65535
  重启系统有效

  打开文件限制数量  也可以使用nginx配置完成
  worker_rlimit_nofile  65535

3 优化内核TCP 选项 
 fs.file-max = 65535

kernel.pid_max = 65536
 

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_synack_retries = 2

net.ipv4.tcp_syn_retries = 2

net.ipv4.tcp_timestsmps = 0

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_fin_timeout = 30


net.ipv4.tcp_keepalive_time = 1200

net.ipv4.ip_local_port_range = 10000 65535

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_max_tw_buckets = 5000


net.ipv4.tcp_wmem = 8192 436600 873200

net.ipv4.tcp_rmem  = 32768 436600 873200

net.ipv4.tcp_mem = 94500000 91500000 92700000

net.ipv4.tcp_max_orphans = 3276800



net.core.netdev_max_backlog = 32768

net.core.somaxconn = 32768

net.core.wmem_default = 8388608

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

sysctl -p /etc/sysctl.conf        // 作用:重新载入/etc/sysctl.conf文件

4 计算开启的进程数

5 限制流量
  limit_rate  4K // 该指令用于指定向客户端传输数据的速度,针对单个连接,如果同时有两个连接,
   那么他的速度将是该指令设置的2倍。默认值为 no
  使用环境:http  server location  if in location

  limit_rate_after 3m //以最大的速度下载3m之后  再如何如何,默认为 1m.
  使用环境 http  server location  if in location

  配置实例 
   location /download{
     
     limit_rate_after  3m;
     limit_rate 512k;
  }

解释为  以最大速度下载3m之后  再以51k的速度下载。

6 limit_zone 用于定义一个zone 用于存储回话状态  默认值 no
  FX: 
      limit_zone someone $binary_remote_addr 10m; 

  设置一个叫 someone  的zone,设置存储回话的大小 为10m
  $binary_remote_addr 长度为 4字节,可以存储更多的会话。直接使用IP地址 其长度为 7-15个字节。
  使用环境  http

7 limit_conn  设置一个会话最大的并发数 ,如果超出这个限制 将出现 503 默认 no
  使用环境  http  server location 

8 limit_conn_log_level 当达到连接级别时 将会产生日志
  语法 limit_conn_log_level info|notice|warn|error
  默认 error
 使用环境 http server location

举个例子 
  http{
   limit_zone  someone $binary_remote_addr 10m; 
   server{
   listen 80;
   location /download{
      limit_conn someone 1;
   }
  }

}

重新启动nginx之后,我们用两个浏览器去访问下载资源的时候,第一个会显示 下载另存为
后面的那个浏览器就不会了,只会显示 服务器太忙,暂时无法提供服务,实际上是同一个IP连接受限制了。
这个在资源下载的时候 用到比较合适。

  
9 隐藏nginx 版本号
  出于安全考虑 需要隐藏版本号 在http段 加入 server_tokens off;

10 open_log_file_cache 用于设置缓存 存储带有变量的日志文件路径而又频繁使用的文件描述符,这些被频繁使用的文件描述符将会被
   缓存在缓存中。默认值 off
   可选项:max 换存中可以存储的最大描述符数量。
     inactive :设置时间间隔 在这个时间间隔内 没有被命中的描述符将会被移除。默认 10秒。
     min_uses 用来设置访问次数。在一定的时间间隔内 一个文件描述符至少被访问多少次后就将该描述符放入换存中,默认为1.
     valid 用于设置检查同名文件存在的时间,默认值是 60秒。
   例如 open_log_file_cache  max=1000 inactive=20s min_uses=2 valid=1m;
   使用环境  http  server  location 


11 nginx 防止DDos攻击
   limit_req_log_level
   该指令用于控制记录延时消息日志的级别,他的默认值为warn 只能放置在http段。
   
   limit_req_zone
  该指令定义了一个区域,用于存储回话状态,至于会话中存储的是什么,则由变量来决定,
   该指令有三个值 指定变量是第一个值,在这里我们使用的是 $binary_remote_addr 在上面的实例中指定存储回话的zone名字为someone
  并且指定用于存储回话的空间为10mb 这是第二个值 至于第三个值 就是 rate=1r/s 他表示对该zone的平均查询速度,单位是每秒钟多少个请求。
  实际应用中可以将这个值设置为 10个左右。设置了回话限制后,访问这里的每一个回话都将会被跟踪。对于速度的单位,
  可以设置为 每秒钟请求数(r/s) 也可以设置每分钟请求书(r/m) 该指令只能放置在http段  没有默认值。

   limit_req  该指令指定的zone someone ,并且同时指定了该zone最大可能的突发请求数burst 如果请求的rate超过这个值,那么清酒就会
  被延迟 过量的请求被延迟时,直到请求的数量小于指定的burst值,因此对于请求率要有一个合适的速率,在这种情况下 如果你继续访问 将会出现503

  该指令可以放置在http  server location 

   访问 查看进程 lsof -i:80|grep nginx |wc -l
   查看请求情况 time ab -n 1000 -c 100 http://192.168.3.175/download
  
   预防DDos 攻击 还可以通过限制nginx的最高连接数 减少 keepalive_timeout 的值等措施。


12 缓存设置 其他选项不详解
  新增 must-revalidate 强制浏览器重新验证文件是否过期。
  add_header  Cache-Control  must-revalidate
  使用环境  http  location 

13 proxy-revalidate 如果设置改值则会强制proxy严格遵守在nginx服务器端设置的缓存规则。
   add_header  Cache-Control  proxy-revalidate

14 因系统频繁打开文件造成的500错误。
   empty_gif
   使用环境 location
   location = /1.gif{
      empty_gif;
   }
  



nginx 试验配置(整体配置文件)

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
前言 大家好,我们是OpenCDN团队的Twwy。这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击
ngx_cycle_t * ngx_init_cycle(ngx_cycle_t *old_cycle)分配内存,每个模块一个void *指针用来指向自
1,结构分析 nginx配置文件中主要包括六块:main,events,http,server,location,upstream 结构
开始接触项目的时候nginx服务器是别人帮我配好的,自己也没多想,就放那儿了,前些天自己做测试想要
             Nginx1.2.6 conf moved to conf.d from sites-*   nginx作者在将配置
转载 原文网址:http://www.cnblogs.com/ma6174/archive/2011/12/10/2283393.html 花了很长时间整理
花了很长时间整理的,感觉用起来很方便,共享一下。 我的vim配置主要有以下优点: 1.按F5可以直接编
服务和行为是并列的 对应到配置文件中 wcf的配置在system.serviceModel中 可以有多个服务 一个服务
solr配置通过两个文件,一个是solrconfig.xml,主要定义solr的处理程序(handler)和一些扩展程序;
在使用Ibatis时,我们首先要熟悉它的配置文件、映射文件以及如何加载它。 首先看看配置文件的结构: S
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号