我要评论nginx 深度解析:概念、架构、配置与虚拟主机实战
一、nginx 的概念
nginx(发音 “engine x”)是由俄罗斯开发者 igor sysoev 设计的高性能 http 服务器、反向代理服务器、负载均衡器和 imap/pop3/smtp 代理服务器。其核心设计理念是 “事件驱动、异步非阻塞 i/o 模型”,旨在以极低的资源消耗支撑超高并发连接,同时提供丰富的扩展功能。
从本质上讲,nginx 是一个 “请求分发与处理中枢”:
- 作为 web 服务器:直接处理静态资源(html、css、js、图片等)的请求,无需依赖后端应用;
- 作为反向代理:接收客户端请求后,转发到后端业务服务器(tomcat、node.js 等),并将响应结果返回给客户端,隐藏后端服务细节;
- 作为负载均衡器:将海量客户端请求均匀分发到多台后端服务器,提升系统并发能力和可用性;
- 其他角色:支持 ssl 终结、url 重写、缓存、限流等附加功能,适配复杂业务场景。
nginx 广泛应用于互联网架构的 “接入层”,是目前全球使用最广泛的 web 服务器之一(据 w3techs 统计,全球 top 1000 网站中约 60% 采用 nginx)。
二、nginx 的特点
nginx 之所以成为行业主流,核心源于以下六大特点,且每个特点都与底层设计深度绑定:
- 高并发支持:基于事件驱动(epoll/kqueue)和异步非阻塞 i/o 模型,单台服务器可轻松支撑 10 万 + 并发连接(远高于 apache 的进程 / 线程模型)。其核心逻辑是 “一个工作进程处理多个连接”,避免了进程 / 线程切换的巨大开销;
- 资源占用极低:空闲状态下内存占用仅几 mb,运行时 cpu 使用率远低于同类服务器。例如,4 核 8g 服务器部署 nginx 后,仅占用 10-20mb 内存,可将大部分资源留给业务服务;
- 功能全面且灵活:集静态资源服务、反向代理、负载均衡、ssl 配置、url 重写、缓存、限流等功能于一体,支持第三方模块扩展(如 lua 脚本、图片处理模块);
- 稳定性极强:核心代码简洁(约 10 万行),故障率极低,支持 “热部署”(
nginx -s reload)—— 无需重启服务即可重载配置,保障业务不中断; - 跨平台兼容:可运行在 linux、windows、freebsd、solaris 等多种操作系统,主流 linux 发行版(centos、ubuntu)默认提供安装源;
- 配置简单易维护:配置文件采用文本格式,结构清晰(块级层级),支持主配置 + 子配置拆分,便于批量管理和自动化部署。
三、nginx 的进程结构(详细解析)
nginx 启动后,会生成多进程架构,核心由 “主进程(master process)” 和 “工作进程(worker process)” 组成,部分场景会包含 “辅助进程”(缓存加载进程、日志轮转进程等)。这种架构设计是 nginx 高并发、高稳定的核心保障,以下分进程详解:
3.1 进程结构总览
plaintext
# 启动 nginx 后,通过 ps 命令查看进程(以 4 核服务器为例) ps -ef | grep nginx root 1234 1 0 10:00 ? 00:00:00 nginx: master process /usr/local/nginx/sbin/nginx nginx 1235 1234 0 10:00 ? 00:00:02 nginx: worker process nginx 1236 1234 0 10:00 ? 00:00:02 nginx: worker process nginx 1237 1234 0 10:00 ? 00:00:02 nginx: worker process nginx 1238 1234 0 10:00 ? 00:00:02 nginx: worker process
- 1 个主进程(root 用户运行,权限高,负责管理);
- 4 个工作进程(nginx 普通用户运行,权限低,负责处理请求);
- (可选)缓存加载进程(
cache loader process):启动时加载磁盘缓存到内存,完成后自动退出; - (可选)缓存管理进程(
cache manager process):定期清理过期缓存,维持缓存大小在配置阈值内。
3.2 主进程(master process)——“管理者”
核心作用:
- 读取并验证配置文件:启动时加载
nginx.conf,检查语法正确性;支持热重载(nginx -s reload),重新读取配置并生效,无需中断服务; - 创建并管理工作进程:根据
worker_processes配置(默认与 cpu 核心数一致),通过fork()系统调用创建工作进程;监控工作进程状态,若工作进程异常退出,立即自动创建新的工作进程,保障服务可用性; - 接收并处理信号:响应管理员发送的信号(如启动、停止、重载、日志切割),例如:
kill -hup 主进程pid:重载配置;kill -term 主进程pid:优雅停止服务(处理完当前请求后退出);
- 管理辅助进程:按需启动缓存加载 / 管理进程、日志轮转进程等。
运行权限:
主进程必须以 root 用户运行,原因是:
- nginx 需监听 80(http)、443(https)等特权端口(linux 中,非 root 用户无法绑定 1024 以下端口);
- 主进程需要创建 / 管理工作进程,且工作进程通常以低权限用户(如 nginx)运行,避免因工作进程被攻击导致系统权限泄露。
3.3 工作进程(worker process)——“执行者”
核心作用:
处理客户端的 http 请求,是 nginx 并发能力的核心载体,其工作流程如下:
- 竞争接收连接:所有工作进程通过 “共享监听套接字”(主进程创建监听端口后,工作进程继承该套接字),采用 “惊群效应优化”(nginx 1.11+ 已解决)竞争接收客户端连接;
- 异步非阻塞处理请求:每个工作进程通过 epoll/kqueue 事件模型,同时处理成千上万个连接(由
worker_connections配置限制),无需为每个连接创建线程 / 进程,资源消耗极低; - 请求处理流程:
- 接收客户端请求数据;
- 解析 http 协议(请求行、请求头、请求体);
- 匹配
server块(通过监听端口 +server_name); - 匹配
location块(通过请求路径); - 执行处理逻辑(返回静态资源、反向代理到后端服务、负载均衡分发等);
- 构建 http 响应,发送给客户端;
- 无状态设计:工作进程之间完全独立,无共享内存,每个工作进程处理的请求互不影响,避免了进程间通信的开销,也提升了稳定性(单个工作进程故障不影响其他进程)。
关键配置与并发能力:
工作进程的并发能力由两个核心配置决定:
worker_processes:工作进程数,推荐设置为 cpu 核心数(如 4 核服务器设为 4),避免进程切换开销,充分利用多核 cpu;worker_connections:每个工作进程的最大连接数(默认 1024),表示单个工作进程可同时处理的客户端连接数。
最大并发连接数计算公式:最大并发数 = worker_processes × worker_connections ÷ 2(除以 2 是因为每个 http 连接包含 “客户端→nginx” 和 “nginx→后端服务” 两个连接,若仅处理静态资源,可无需除以 2)
例如:worker_processes=4,worker_connections=1024,则最大并发连接数约为 2048。
运行权限:
工作进程以低权限用户(如 nginx)运行,由主进程在创建时通过 setuid()/setgid() 系统调用切换用户,目的是:
- 降低安全风险:若工作进程被恶意攻击,攻击者仅能获取 nginx 用户权限,无法操作系统核心资源;
- 限制文件访问:工作进程仅能访问 nginx 用户有权限的文件(如网站根目录、日志文件),避免误操作系统文件。
3.4 进程间通信机制
nginx 进程间通信主要依赖以下方式:
- 共享内存:用于共享配置信息(如
upstream后端服务器状态、缓存元数据),避免每个进程重复加载配置,提升效率; - 信号:主进程通过信号(如
sigchld)监控工作进程状态,工作进程异常退出时,主进程收到信号后创建新的工作进程; - 文件锁:用于日志写入、缓存操作等场景,避免多个工作进程同时写入同一文件导致数据错乱。
四、nginx 的配置(详细解析 + 流量流程)
nginx 的核心配置文件为 /usr/local/nginx/conf/nginx.conf(源码安装路径),采用块级层级结构,从外到内依次为:全局块 → i/o事件块 → http块 → server块 → location块。
配置文件整体结构模板
nginx
# 一、全局配置(全局块)
worker_processes 4; # 工作进程数,与cpu核心数一致
error_log logs/error.log warn; # 错误日志路径+日志级别
pid logs/nginx.pid; # pid文件路径
worker_rlimit_nofile 65535; # 每个工作进程的最大文件描述符限制
# 二、i/o事件配置(events块)
events {
use epoll; # 使用epoll事件模型(linux推荐)
worker_connections 10240; # 每个工作进程最大连接数
multi_accept on; # 允许工作进程一次性接收多个连接
accept_mutex on; # 开启连接接收互斥锁,解决惊群效应
}
# 三、http配置(http块)
http {
include mime.types; # 引入mime类型映射文件
default_type application/octet-stream; # 默认mime类型(未知文件类型)
# 日志格式定义(main为格式名,可在server/location块引用)
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main; # 访问日志路径+使用main格式
# 核心性能优化配置
sendfile on; # 启用高效文件传输模式(零拷贝)
tcp_nopush on; # 配合sendfile,减少tcp数据包数量
tcp_nodelay on; # 禁用tcp延迟,提升实时性(适用于短连接)
keepalive_timeout 65; # 长连接超时时间(秒)
keepalive_requests 100; # 每个长连接最多处理100个请求
# 开启gzip压缩
gzip on;
gzip_min_length 1k; # 小于1k的文件不压缩
gzip_types text/plain text/css application/json application/javascript; # 压缩的文件类型
# 负载均衡集群配置(可选)
upstream backend_servers {
server 192.168.1.101:8080 weight=1; # 后端服务器1,权重1
server 192.168.1.102:8080 weight=2; # 后端服务器2,权重2(接收更多请求)
}
# 四、web服务的监听配置(server块,虚拟主机核心)
server {
listen 80; # 监听80端口(http默认端口)
listen 192.168.1.100:80; # 绑定特定ip+端口(多ip服务器时使用)
server_name www.test.com test.com; # 绑定域名(多个域名用空格分隔)
charset utf-8; # 网页字符编码
access_log logs/www.test.com.access.log main; # 该虚拟主机的访问日志
# 五、其他配置(location块,路径匹配核心)
# 匹配根路径(/)
location / {
root /usr/local/nginx/html; # 网站根目录(静态资源存放路径)
index index.html index.htm; # 默认首页文件(优先级:index.html > index.htm)
try_files $uri $uri/ /index.html; # 尝试访问文件→目录→跳转index.html(spa应用常用)
}
# 匹配静态资源路径(图片、css、js)
location ~* \.(jpg|jpeg|png|gif|css|js)$ {
root /usr/local/nginx/static; # 静态资源独立存放目录
expires 7d; # 浏览器缓存7天,减少重复请求
add_header cache-control "public"; # 允许缓存
}
# 反向代理配置(匹配/api路径的请求)
location /api/ {
proxy_pass http://backend_servers; # 转发到负载均衡集群
proxy_set_header host $host; # 传递客户端请求的host头
proxy_set_header x-real-ip $remote_addr; # 传递客户端真实ip
proxy_set_header x-forwarded-for $proxy_add_x_forwarded_for; # 传递代理链ip
proxy_connect_timeout 60; # 代理连接超时时间
}
# 错误页面配置
error_page 404 /404.html; # 404错误跳转至404.html
error_page 500 502 503 504 /50x.html; # 5xx错误跳转至50x.html
location = /50x.html {
root html; # 错误页面存放目录
}
}
}4.1 全局配置(全局块)
核心指令解析
| 指令 | 作用 | 配置建议 |
|---|---|---|
worker_processes | 定义工作进程数,直接影响并发能力 | 设为 cpu 核心数(grep -c "processor" /proc/cpuinfo 查看),如 4 核设为 4 |
error_log | 定义错误日志的路径和日志级别(debug/info/notice/warn/error/crit) | 生产环境设为 warn 或 error,避免日志过大;路径建议放在 /var/log/nginx/ |
pid | 定义 nginx 主进程 pid 文件的存放路径 | 默认在 logs/nginx.pid,无需修改,便于管理进程 |
worker_rlimit_nofile | 限制每个工作进程的最大文件描述符数(linux 中,连接、文件都属于文件描述符) | 设为 65535(与系统最大文件描述符一致,需先修改系统配置:echo "* soft nofile 65535" >> /etc/security/limits.conf) |
worker_cpu_affinity | 绑定工作进程到指定 cpu 核心,避免进程切换开销 | 4 核服务器配置:worker_cpu_affinity 0001 0010 0100 1000(每个进程绑定一个核心) |
流量流程中的作用:
全局配置是 nginx 启动时加载的 “基础配置”,对所有工作进程和服务全局生效,不直接参与请求的路由,但决定了 nginx 的整体性能上限(如并发连接数、进程资源限制)。
4.2 i/o 事件配置(events 块)
核心指令解析
| 指令 | 作用 | 配置建议 |
|---|---|---|
use | 指定 i/o 事件模型(epoll/kqueue/poll/select) | linux 系统优先选 epoll(高效处理海量并发连接);freebsd 选 kqueue;windows 选 select |
worker_connections | 每个工作进程的最大连接数(包括客户端连接、后端代理连接) | 1g 内存服务器设为 10240,2g 设为 20480,需与 worker_processes 配合调整最大并发数 |
multi_accept | 允许工作进程一次性接收多个新连接(默认 off) | 开启(on),提升连接接收效率,尤其高并发场景 |
accept_mutex | 开启连接接收互斥锁(默认 on),解决 “惊群效应”(多个工作进程同时竞争一个连接,导致资源浪费) | 保持开启,避免惊群效应导致的性能损耗 |
worker_aio_requests | 每个工作进程的异步 i/o 请求数(适用于大文件传输) | 设为 1024,提升大文件(如视频、安装包)的传输效率 |
流量流程中的作用:
i/o 事件配置决定了工作进程 “如何接收和处理网络连接”,是 nginx 高并发的核心保障。当客户端发起连接时,工作进程通过配置的事件模型(如 epoll)监听连接事件,高效接收并处理连接,避免阻塞。
4.3 http 配置(http 块)
http 块是 nginx 处理 http/https 请求的 “核心全局配置”,包含所有与 http 协议相关的配置,且可嵌套多个 server 块(虚拟主机)。
核心指令解析
| 指令 | 作用 | 配置建议 |
|---|---|---|
include mime.types | 引入 mime 类型映射文件(定义文件扩展名与 content-type 的对应关系,如 .html → text/html) | 必须配置,否则 nginx 无法正确返回文件的 content-type 头,导致浏览器无法识别文件 |
default_type | 未匹配到 mime 类型时的默认类型 | 默认为 application/octet-stream(浏览器会下载文件),无需修改 |
log_format | 定义访问日志的格式(可自定义字段,如 ip、时间、请求路径、状态码) | 生产环境保留 main 格式,便于日志分析(如统计访问 ip、错误请求) |
access_log | 定义访问日志的路径和使用的格式 | 每个虚拟主机可单独配置,便于区分不同网站的日志 |
sendfile | 开启 “零拷贝” 文件传输模式(nginx 直接将文件数据从磁盘写入网络套接字,无需经过用户态缓冲区) | 开启(on),大幅提升静态资源传输效率,减少 cpu 占用 |
tcp_nopush | 配合 sendfile 使用,将多个小数据包合并为一个数据包发送,减少 tcp 握手次数 | 开启(on),提升网络传输效率 |
tcp_nodelay | 禁用 tcp 延迟(nagle 算法),立即发送小数据包,提升实时性 | 短连接(如 api 接口)开启(on),长连接(如文件下载)关闭(off) |
keepalive_timeout | 长连接(http/1.1)的超时时间,客户端在超时前可复用连接发送多个请求 | 设为 60 秒,减少连接建立 / 关闭的开销,提升并发能力 |
gzip | 开启 gzip 压缩,减少文本类文件(html、css、js、json)的传输体积 | 开启(on),配合 gzip_types 配置需要压缩的文件类型 |
upstream | 定义负载均衡集群(后端业务服务器组),用于反向代理时的请求分发 | 后端多服务器部署时配置,支持轮询、权重、ip 哈希等负载策略 |
流量流程中的作用:
客户端请求到达 nginx 后,首先进入 http 块进行 “全局预处理”:
- 解析 http 协议,识别请求行(方法、路径、协议版本)、请求头;
- 应用 gzip 压缩配置(若请求头支持压缩);
- 记录访问日志(按
log_format格式); - 根据请求的 “监听端口” 和 “host 头”,匹配对应的
server块,进入虚拟主机处理流程。
4.4 web 服务的监听配置(server 块)
server 块是 “虚拟主机” 的核心配置,每个 server 块对应一个独立的 web 服务(可理解为一个网站),通过 listen(监听端口)和 server_name(绑定域名 / ip)区分不同的虚拟主机。
核心指令解析
| 指令 | 作用 | 配置示例 |
|---|---|---|
listen | 定义虚拟主机的监听端口 / ip + 端口,支持多端口监听 | - 监听所有 ip 的 80 端口:listen 80;- 监听特定 ip 的 80 端口:listen 192.168.1.100:80;- 监听 https 端口:listen 443 ssl; |
server_name | 定义虚拟主机绑定的域名 / ip,支持精确匹配、泛域名匹配、正则匹配 | - 精确匹配:server_name www.test.com test.com;- 泛域名匹配:server_name *.test.com;(匹配所有子域名)- 正则匹配:server_name ~^www\.(.*)\.com$;(匹配 www.xxx.com 格式域名) |
charset | 定义网页的字符编码(如 utf-8、gbk) | 设为 utf-8,避免中文乱码 |
access_log | 定义该虚拟主机的独立访问日志 | 路径建议包含域名,如 logs/www.test.com.access.log,便于日志拆分和分析 |
流量路由逻辑(关键):
nginx 如何通过 listen 和 server_name 匹配虚拟主机?
- 第一步:匹配
listen端口 —— 客户端请求的端口必须与server块的listen配置一致,否则直接拒绝; - 第二步:匹配
server_name—— 根据客户端请求头中的host字段(如host: www.test.com),按以下优先级匹配:- 精确匹配(如
www.test.com); - 左泛域名匹配(如
*.test.com); - 右泛域名匹配(如
www.*); - 正则匹配(如
~^www\..*\.com$); - 默认匹配(第一个
listen端口一致的server块,或server_name _;的块)。
- 精确匹配(如
流量流程中的作用:
经过 http 块预处理后,请求根据 “端口 + host” 匹配到对应的 server 块,进入该虚拟主机的专属处理流程,后续的 location 块匹配、请求处理都基于该 server 块的配置。
4.5 其他配置(location 块)
location 块是 server 块的子配置,用于 “按请求路径匹配处理逻辑”,是 nginx 路由配置的核心。一个 server 块可包含多个 location 块,按匹配优先级执行。
核心指令解析
| 指令 | 作用 | 配置示例 | |
|---|---|---|---|
location 匹配规则 | 定义请求路径的匹配规则,支持多种匹配模式(见下文) | - 前缀匹配:location /api/ { ... }- 精确匹配:location = /index.html { ... }- 正则匹配:`location ~* .(jpg | png)$ { ... }` |
root | 定义静态资源的根目录,请求路径会拼接在 root 后,形成文件的绝对路径 | location /static/ { root /usr/local/nginx/; } → 访问 /static/img.jpg 时,实际路径为 /usr/local/nginx/static/img.jpg | |
alias | 定义路径别名,直接替换请求路径,与 root 不同(alias 不拼接路径) | location /static/ { alias /usr/local/nginx/static/; } → 效果同上,但更灵活(可自定义别名路径) | |
index | 定义默认首页文件,当请求路径为目录时,自动查找该文件 | index index.html index.htm index.php; | |
try_files | 按顺序尝试访问文件 / 目录,若前面的路径不存在,执行最后一个动作(如跳转、返回 404) | try_files $uri $uri/ /index.html; → 尝试访问文件→目录→跳转至 index.html(spa 应用路由配置) | |
proxy_pass | 反向代理指令,将请求转发到后端服务(如 tomcat、负载均衡集群) | proxy_pass http://backend_servers;(转发到 upstream 集群)或 proxy_pass http://127.0.0.1:8080;(转发到本地服务) | |
expires | 配置浏览器缓存时间,适用于静态资源(图片、css、js) | expires 7d;(缓存 7 天),减少重复请求,提升访问速度 | |
error_page | 配置错误页面跳转,当请求返回指定状态码时,跳转至对应的页面或路径 | error_page 404 /404.html;(404 错误跳转至 404.html) |
location 匹配模式与优先级(关键)
| 匹配模式 | 语法 | 优先级 | 说明 | |
|---|---|---|---|---|
| 精确匹配 | location = /path { ... } | 1(最高) | 完全匹配请求路径,不包含子路径,例如 = /index.html 仅匹配 /index.html,不匹配 /index.html?a=1 | |
| 前缀匹配(^~) | location ^~ /path { ... } | 2 | 以 /path 开头的路径,匹配成功后不再检查其他模式 | |
| 正则匹配(~ 区分大小写,~* 不区分大小写) | `location ~* .(jpg | png)$ { ... }` | 3 | 按正则表达式匹配路径,优先级低于精确匹配和 ^~ 前缀匹配 |
| 普通前缀匹配 | location /path { ... } | 4(最低) | 以 /path 开头的路径,匹配成功后仍会检查更高优先级的模式 |
流量流程中的作用:
请求匹配到 server 块后,进入 location 块匹配流程:
- 按优先级顺序匹配所有
location块的规则; - 匹配成功后,执行该
location块的处理逻辑:- 若为静态资源请求(如图片、html):通过
root/alias找到文件,返回给客户端(开启 gzip 压缩、缓存等); - 若为动态请求(如
/api):通过proxy_pass转发到后端服务,接收后端响应后返回给客户端;
- 若为静态资源请求(如图片、html):通过
- 若未匹配到任何
location块,执行server块的默认逻辑(如返回 404)。
五、nginx 虚拟主机
虚拟主机(virtual host)是指在一台服务器上通过 nginx 配置,同时运行多个独立的 web 服务(多个网站),共享服务器的 ip 和端口资源,通过 server_name、ip、端口区分不同服务。
5.1 访问状态统计配置
nginx 提供 ngx_http_stub_status_module 模块,用于统计 nginx 的连接状态(如活跃连接数、请求数),需在编译时启用(--with-http_stub_status_module)。
配置步骤:
- 编辑
nginx.conf的server块,添加location块:
nginx
server {
listen 80;
server_name www.test.com;
# 访问状态统计配置
location /nginx_status {
stub_status on; # 开启状态统计
allow 192.168.1.0/24; # 允许访问的ip网段(内网)
deny all; # 拒绝其他所有ip访问,保障安全
}
}- 验证配置并重载 nginx:
nginx -t # 检查配置语法 nginx -s reload # 重载配置
- 访问测试:在允许的 ip 网段内,通过浏览器或 curl 访问
http://www.test.com/nginx_status,输出结果如下:
plaintext
active connections: 2 # 当前活跃连接数(包含等待连接) server accepts handled requests 100 100 200 # 累计接收连接数、累计处理连接数、累计请求数 reading: 0 writing: 1 waiting: 1 # 正在读取请求头的连接数、正在写入响应的连接数、等待请求的连接数(长连接)
5.2 基于授权的访问控制(http 基本认证)
通过用户名 / 密码验证客户端身份,仅授权用户可访问网站,适用于后台管理系统、内部服务等场景。
配置步骤:
- 安装
htpasswd工具(用于生成密码文件):
yum install -y httpd-tools # centos/rhel apt install -y apache2-utils # ubuntu/debian
- 生成密码文件(用户名:admin,密码:123456):
htpasswd -c /usr/local/nginx/conf/.htpasswd admin # 输入密码(123456),生成密码文件 .htpasswd(隐藏文件,避免泄露)
- 编辑 nginx 配置,添加授权控制:
server {
listen 80;
server_name admin.test.com;
location / {
root /usr/local/nginx/admin; # 后台管理系统根目录
index index.html;
auth_basic "请输入用户名密码"; # 认证提示信息
auth_basic_user_file /usr/local/nginx/conf/.htpasswd; # 密码文件路径
}
}- 验证配置并重载 nginx:
nginx -t && nginx -s reload
- 访问测试:访问
http://admin.test.com,浏览器会弹出登录框,输入正确的用户名(admin)和密码(123456)才能访问,错误则返回 401 unauthorized。
5.3 基于客户端的访问控制(ip 黑白名单)
通过限制客户端的 ip 地址,允许或拒绝特定 ip / 网段访问,适用于防止恶意攻击、仅允许内网访问等场景。nginx 支持两种配置方式:allow/deny 指令(简单)和 ngx_http_limit_req_module 模块(限流)。
5.3.1 allow/deny 指令(ip 黑白名单)
server {
listen 80;
server_name www.test.com;
location / {
root /usr/local/nginx/html;
index index.html;
# 允许的ip/网段(白名单)
allow 192.168.1.100; # 允许单个ip
allow 192.168.1.0/24; # 允许192.168.1.0网段
allow 127.0.0.1; # 允许本地访问
deny all; # 拒绝其他所有ip(必须放在最后,顺序影响结果)
}
# 仅拒绝特定ip(黑名单)
location /api/ {
deny 10.0.0.1; # 拒绝10.0.0.1访问
deny 172.16.0.0/16; # 拒绝172.16.0.0网段
allow all; # 允许其他所有ip
}
}- 规则:
allow和deny按配置顺序执行,匹配到第一个规则后立即生效; - 适用场景:简单的 ip 限制,如仅允许内网访问后台服务。
5.3.2 基于访问频率的控制(限流)
通过 ngx_http_limit_req_module 模块,限制单个客户端的访问频率(如每秒最多 10 个请求),防止恶意请求压垮服务器。
nginx
http {
# 定义限流规则:以客户端ip为key,缓存区大小10m,访问频率10r/s(每秒10个请求)
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
server {
listen 80;
server_name www.test.com;
location / {
limit_req zone=one burst=5 nodelay; # 应用限流规则
# burst=5:允许突发5个请求(超过10r/s的部分,最多5个排队)
# nodelay:突发请求不排队,直接返回503(避免客户端等待)
root /usr/local/nginx/html;
index index.html;
}
}
}- 测试:通过
ab -n 100 -c 10 http://www.test.com/模拟高并发请求,超过频率限制的请求会返回 503 service temporarily unavailable。
5.4 基于域名的 nginx 虚拟主机
核心原理:服务器绑定多个域名(如 www.test1.com、www.test2.com),所有域名解析到同一服务器 ip;nginx 通过 server_name 匹配客户端请求的 host 头,分发到对应的虚拟主机。
配置步骤:
- 服务器绑定多个域名(需在 dns 服务器配置解析,本地测试可修改
/etc/hosts):
# 本地测试:编辑 /etc/hosts,添加域名映射 echo "192.168.1.100 www.test1.com www.test2.com" >> /etc/hosts
- 准备两个网站的根目录和测试页面:
# 网站1:www.test1.com mkdir -p /usr/local/nginx/html/test1 echo "<h1>test1 website</h1>" > /usr/local/nginx/html/test1/index.html # 网站2:www.test2.com mkdir -p /usr/local/nginx/html/test2 echo "<h1>test2 website</h1>" > /usr/local/nginx/html/test2/index.html
- 编辑 nginx 配置,添加两个
server块:
# 虚拟主机1:www.test1.com
server {
listen 80;
server_name www.test1.com;
location / {
root /usr/local/nginx/html/test1;
index index.html;
}
}
# 虚拟主机2:www.test2.com
server {
listen 80;
server_name www.test2.com;
location / {
root /usr/local/nginx/html/test2;
index index.html;
}
}- 验证配置并重载 nginx:
nginx -t && nginx -s reload
- 访问测试:
- 访问
http://www.test1.com,显示test1 website; - 访问
http://www.test2.com,显示test2 website。
5.5 基于 ip 的 nginx 虚拟主机
核心原理:服务器配置多个 ip 地址(如 192.168.1.100、192.168.1.101);nginx 通过 listen 指令绑定不同的 ip,客户端访问不同的 ip 时,匹配到对应的虚拟主机。
配置步骤:
- 给服务器添加多个 ip(以 centos 7 为例):
# 临时添加ip(重启网络失效) ifconfig ens33:1 192.168.1.101 netmask 255.255.255.0 up # 永久添加ip:编辑网卡配置文件 cat > /etc/sysconfig/network-scripts/ifcfg-ens33:1 << eof type=ethernet bootproto=static ipaddr=192.168.1.101 netmask=255.255.255.0 device=ens33:1 onboot=yes eof # 重启网络 systemctl restart network
- 准备两个网站的根目录(同 5.4 步骤 2);
- 编辑 nginx 配置,
listen绑定不同 ip:
nginx
# 虚拟主机1:绑定192.168.1.100
server {
listen 192.168.1.100:80; # 绑定ip+端口
server_name 192.168.1.100;
location / {
root /usr/local/nginx/html/test1;
index index.html;
}
}
# 虚拟主机2:绑定192.168.1.101
server {
listen 192.168.1.101:80;
server_name 192.168.1.101;
location / {
root /usr/local/nginx/html/test2;
index index.html;
}
}- 验证配置并重载 nginx;
- 访问测试:
- 访问
http://192.168.1.100,显示test1 website; - 访问
http://192.168.1.101,显示test2 website。
5.6 基于端口的 nginx 虚拟主机
核心原理:nginx 的不同 server 块监听不同的端口(如 80、8080、8888);客户端通过 “ip + 端口” 访问,nginx 根据端口匹配对应的虚拟主机,是最简单的虚拟主机配置方式。
配置步骤:
- 准备两个网站的根目录(同 5.4 步骤 2);
- 编辑 nginx 配置,
listen绑定不同端口:
nginx
# 虚拟主机1:监听80端口
server {
listen 80;
server_name 192.168.1.100;
location / {
root /usr/local/nginx/html/test1;
index index.html;
}
}
# 虚拟主机2:监听8080端口
server {
listen 8080;
server_name 192.168.1.100;
location / {
root /usr/local/nginx/html/test2;
index index.html;
}
}- 开放端口(若防火墙开启):
firewall-cmd --add-port=8080/tcp --permanent firewall-cmd --reload
- 验证配置并重载 nginx;
- 访问测试:
- 访问
http://192.168.1.100:80,显示test1 website; - 访问
http://192.168.1.100:8080,显示test2 website。
三种虚拟主机对比
| 类型 | 核心区分依据 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|---|
| 基于域名 | server_name(域名) | 多网站共享同一 ip + 端口(如共享 80/443),互联网场景最常用 | 用户友好(无需记端口),节省 ip 资源 | 需配置 dns 解析,本地测试需修改 hosts |
| 基于 ip | listen(绑定 ip) | 服务器有多个 ip,需区分不同 ip 对应的服务(如内网 / 外网服务分离) | 配置简单,无需依赖 dns | 浪费 ip 资源,ip 数量有限 |
| 基于端口 | listen(端口) | 测试环境、内部服务(如后台管理系统),无需域名解析 | 配置最简单,无需额外资源 | 用户需记端口(如 8080),不适合互联网场 |
到此这篇关于nginx概念、架构、配置与虚拟主机实战操作指南的文章就介绍到这了,更多相关nginx架构与虚拟主机内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论