Nginx服务器Nginx虚拟主机Nginx反向代理
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nginx服务器Nginx虚拟主机Nginx反向代理相关的知识,希望对你有一定的参考价值。
nginx安装【依赖包,./configure模块】
nginx升级【make upgrade】
nginx【默认welcome测试网站】
nginx【用户认证】
nginx 【server{ }虚拟主机】
nginx【加密安全,密钥,证书】
nginx【调度器】多台后台web,负载均衡,web高可用
1 案例1:搭建Nginx服务器
nginx 并发量大,5w。速度快,稳定
apache 并发量2-3w
linux,nginx软件都是模块化设计 用户随便挑选功能安装模块,挑选越少越稳定
./configure 什么参数也不加就会安装默认模块
./configure --with-模块名称_xxx_module
--help 可以显示所有模块
1.1 问题
在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能:
?SSL加密功能
?设置Nginx账户及组名称均为nginx
可选项:Nginx服务器升级到更高版本。
然后客户端访问页面验证Nginx Web服务器:
?使用火狐浏览器访问
?使用curl访问
1.2 方案
使用2台RHEL6虚拟机,其中一台作为Nginx服务器(192.168.4.5)、另外一台作为测试用的Linux客户机(192.168.4.100),如图-1所示。
图-1
安装nginx-1.8.0版本时,需要使用如下参数:
?with-http_ssl_module:提供SSL加密功能
?user:指定账户
?group:指定组
1.3 步骤
步骤一:构建Nginx服务器
1)使用源码包安装nginx软件包
1.[[email protected] ~]# yum –y install gcc 必须的 pcre-devel 支持正则openssl-devel???支持加密?????//安装常见依赖包 【yum需要搭好】
2.[[email protected] ~]# useradd –s /sbin/nologin nginx
3.[[email protected] ~]# tar -xf nginx-1.8.0.tar.gz
4.[[email protected] ~]# cd nginx-1.8.0
5.[[email protected] nginx-1.8.0]# ./configure --with-http_ssl_modole 增加模块化设计,默认是20,扩大功能
6.> --prefix=/usr/local/nginx \????????????????//指定安装路径
7.> --user=nginx \????????????????????????????//指定用户
8.> --group=nginx \????????????????????????????//指定组
9.> --with-http_ssl_module????????????????????????//开启SSL加密功能
【[[email protected] conf]# cd
[[email protected] ~]# ls
[[email protected] ~]# cd lnmp_soft/
[[email protected] lnmp_soft]# ls
[[email protected] lnmp_soft]# cd nginx-1.8.0/
[[email protected] nginx-1.8.0]# ./configure --help
查询--with 所带的功能】
- .. ..
11.[[email protected] nginx-1.7.10]# make && make install????//编译并安装
Make 【C语言源码--二进制】【编译新的nginx】objs/nginx
Make install (升级时不要写)【 cp objs/nginx /usr/local/nginx/sbin】
升级有风险。老版本需要备份。
2)nginx命令的用法
1.[[email protected] ~]# /usr/local/nginx/sbin/nginx????????????????????//启动服务
2.[[email protected] ~]# /usr/local/nginx/sbin/nginx -s stop????????????//关闭服务
3.[[email protected] ~]# /usr/local/nginx/sbin/nginx -s reload????????//重新加载配置文件 不用重启
4.[[email protected] ~]# /usr/local/nginx/sbin/nginx –V????????????????//查看软件信息 nginx -V 快速了解已安装的nginx状态
nginx服务默认通过TCP 80端口监听客户端请求:
1.[[email protected] ~]# netstat -anptu | grep nginx
2.tcp????????0????????0 0.0.0.0:80????????0.0.0.0:*????????LISTEN????????10441/nginx
如果失败就killall squid 或varnish, 解决端口冲突
Nginx [firefox http://192.168.4.5] 界面为Welcome to nginx!
不重启的情况下直接生效:nginx -s reload
看nginx 的版本信息:nginx -V (别人的服务器新手可以查看这个)
3)为Nginx Web服务器建立测试首页文件
Nginx Web服务默认首页文档存储目录为/usr/local/nginx/html/,在此目录下建立一个名为index.html的文件:
1.[[email protected] ~]# cat /usr/local/nginx/html/index.html
2.<html>
3.<head>
4.<title>Welcome to nginx!</title>
5.</head>
6.<body bgcolor="white" text="black">
7.<center><h1>Welcome to nginx!</h1></center>
8.</body>
9.</html>
步骤二:升级Nginx服务器
1)编译新版本nginx软件 尽量不要跨版本升级,防止不稳定,跨不要跨太多
1.[[email protected] ~]# tar -zxvf nginx-1.9.0.tar.gz
2.[[email protected] ~]# cd nginx-1.9.0
3.[[email protected] nginx-1.9.0]# ./configure \
4.> --prefix=/usr/local/nginx \
5.> --user=nginx \
6.> --group=nginx \
7.> --with-http_ssl_module
8.[[email protected] nginx-1.9.0]# make?不用make install,只是升级就好
2) 备份老的nginx主程序,并使用编译好的新版本nginx替换老版本
1.[[email protected] nginx-1.9.0]# mv /usr/local/nginx/sbin/nginx \
2.>/usr/local/nginx/sbin/nginxold 保留一份老版本以防有用
3.[[email protected] nginx-1.9.0]# cp objs/nginx /usr/local/nginx/sbin/????//拷贝新版本
4.[[email protected] nginx-1.9.0]# make upgrade????????????????????????????//升级 半年到2年升级一次
5./usr/local/nginx/sbin/nginx -t
6.nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
7.nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
8.kill -USR2 cat /usr/local/nginx/logs/nginx.pid
9.sleep 1
10.test -f /usr/local/nginx/logs/nginx.pid.oldbin
11.kill -QUIT cat /usr/local/nginx/logs/nginx.pid.oldbin
12.[[email protected] ~]# /usr/local/nginx/sbin/nginx –v????????????????//查看版本
步骤三:客户端访问测试
1)分别使用浏览器和命令行工具curl测试服务器页面
1.[[email protected] ~]# firefox http://192.168.4.5
2.[[email protected] ~]# curl http://192.168.4.5
2 案例2:用户认证
2.1 问题
沿用练习一,通过调整Nginx服务端配置,实现以下目标:
1.访问Web页面需要进行用户认证
2.用户名为:tom,密码为:123456
2.2 方案
通过Nginx实现Web页面的认证,需要修改Nginx配置文件,在配置文件中添加auth语句实现用户认证。最后使用htpasswd命令创建用户及密码即可。
2.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:修改Nginx配置文件
全局配置【日志,并发,用户, 进程】 每个server是个虚拟主机
http{
Server {
Listen 80;
Server_name www.a.com;
Root html;
}
}
1)修改/usr/local/nginx/conf/nginx.conf 加两行:
1.[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.server {
- listen 80;
- server_name localhost;
- auth_basic "Input Password:";????????//认证提示符
- auth_basic_user_file"/usr/local/nginx/pass";????????//认证密码文件 (要把这个文件创出来)
- location / {
- root html;
- index index.html index.htm;
- }
- }
2)生成密码文件,创建用户及密码
使用htpasswd命令创建账户文件,需要确保系统中已经安装了httpd-tools。
1.[[email protected] ~]# yum -y install httpd-tools
2.[[email protected] ~]# htpasswd -cm /usr/local/nginx/pass tom????????//创建密码文件(加密的) 加用户就不用再写c了
【7版本默认自动加密不用写-m(对密码进行加密)】【-c 创建一个加密文件】
3.New password:
4.Re-type new password:
5.Adding password for user tom
6.[[email protected] ~]# htpasswd -m /usr/local/nginx/pass jerry????
7.//追加用户,不使用-c选项
8.New password:
9.Re-type new password:
10.Adding password for user jerry
3)重启Nginx服务
1.[[email protected] ~]# nginx –s reload????????
2.//请先确保nginx是启动状态才可以执行命令成功,否则报错
3.报错时检查日志tailf /usr/local/nginx/logs/access.log或tailf /usr/local/nginx/logs/error.log
步骤二:客户端测试
1)登录192.168.4.100客户端主机进行测试
1.[[email protected] ~]# firefox http://192.168.4.5????????????????????//输入密码后可以访问
虚拟主机:一个nginx 实现多个网站
基于域名,基于IP(listen 192.168.4.5 :80),基于端口
3 案例3:基于域名的虚拟主机
/etc/hosts 只能改变自己,自己解析域名。如果在真实情况下做网站需要搭建DNS和现有域名。破解软件可以用到域名对应本地IP
ctrl v下键 x 删#
3.1 问题
1.实现两个基于域名的虚拟主机,域名分别为www.aa.com和www.bb.com
2.对域名为www.aa.com的站点进行用户认证,用户名称为tom,密码为123456
3.2 方案
修改Nginx配置文件,添加server容器实现虚拟主机功能;对于需要进行用户认证的虚拟主机添加auth认证语句。
3.3 步骤
步骤一:修改配置文件
1)修改Nginx服务配置,添加相关虚拟主机配置如下 改几个点:
1.[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.server {
- listen 80; ????????????????????????????????????//端口
- server_name www.aa.com;????????????????????????????//域名
6.auth_basic "Input Password:";????????????????????????//认证提示符 - auth_basic_user_file "/usr/local/nginx/pass";????????//认证密码文件
8.location / { - root html;????????????????????????????????????//指定网站根路径
- index index.html index.htm;
- }
-
13.}
14.… … - server {
- listen 80;????????????????????????????????????????//端口(基于端口就改端口)1-1024端口是预留端口,轻易不用,要用1025-65535端口。
- server_name www.bb.com;????????????????????????????//域名 (基于域名就改servername)(基于IP就在域名前面加IP:)
18.location / {
19.root www; ????????????????????????????????//指定网站根路径
20.index index.html index.htm;
21.}
22.}
2)创建账户及密码 和上个案例一样的流程。可忽略。
1.[[email protected] ~]# htpasswd –cm /usr/local/nginx/pass tom????????//创建账户密码文件
2.New password:
3.Re-type new password:
4.Adding password for user tom
3)创建网站根目录及对应首页文件
1.[[email protected] ~]# mkdir /usr/local/nginx/www
2.[[email protected] ~]# echo "www" > /usr/local/nginx/www/index.html
4)重启nginx服务
1.[[email protected] ~]# /usr/local/nginx/sbin/nginx –s reload
步骤二:客户端测试 客户端需要在/etc/hosts添加域名和访问地址
1)修改客户端主机192.168.4.100的/etc/hosts文件,进行域名解析
1.[[email protected] ~]# vim /etc/hosts
2.添加一行192.168.4.5????www.aa.com www.bb.com
2)登录192.168.4.100客户端主机进行测试
注意:SSH –X远程连接调用虚拟机的firefox时,请先关闭真实机的firefox。
1.[[email protected] ~]# firefox http://www.aa.com????????????//输入密码后可以访问
2.[[email protected] ~]# firefox http://www.bb.com????????????//直接访问
4 案例4:SSL虚拟主机
用户认证【http协议明文协议】
https【s是加密】
加密算法:
对称密钥:适用于单机加密(加密解密用同一把钥匙)AES,DES
非对称密钥:适用于网络加密(加密解密不同,公私)RSA,DSA
信息摘要:数据安全 md5(已被破解) sha128 sha256
Md5sum 文件名 所有带码的都会被删
Key 私钥(解密)
Pem 公钥(加密)
md5sum 文件名 加密,只改名字不会改码,修改内容会改码。可以查看攻击者修改了哪个文件,数据安全:查看md5校验:
for i in ls -r /var/www/html/
do
md5sum $i >> data2.log
done
企业里不要用破解、汉化的东西。
4.1 问题
沿用练习二,配置基于加密网站的虚拟主机,实现以下目标:
1.域名为www.cc.com
2.该站点通过https访问
3.通过私钥、证书对该站点所有数据加密
4.2 方案
源码安装Nginx时必须使用--with-http_ssl_module参数,启用加密模块,对于需要进行SSL加密处理的站点添加ssl相关指令(设置网站需要的私钥和证书)。
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置SSL虚拟主机
1)生成私钥与证书
1.[[email protected] ~]# cd /usr/local/nginx/conf (存到nginx/conf下)
2.[[email protected] ~]# openssl genrsa > (另存,导出) cert.key???(名字)?????????????????????????//生成私钥(rsa 是密钥)
3.[[email protected] ~]# openssl req -new -x509 -key cert.key -out cert.pem ????//生成证书(公钥)
2)修改Nginx配置文件,设置加密网站的虚拟主机 改1行去掉注释
1.[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2.… …????
3.server {
- listen 443 ssl;
- server_name www.cc.com;
- ssl_certificate cert.pem;
- ssl_certificate_key cert.key;
- ssl_session_cache shared:SSL:1m;
- ssl_session_timeout 5m;
- ssl_ciphers HIGH:!aNULL:!MD5;
- ssl_prefer_server_ciphers on;
- location / {
- root html;
- index index.html index.htm;
- }
- }
步骤二:客户端验证
修改客户端主机192.168.4.100的/etc/hosts文件,进行域名解析
[[email protected] ~]# vim /etc/hosts
192.168.4.5????www.cc.com www.aa.com www.bb.com
登录192.168.4.100客户端主机进行测试
[[email protected] ~]# firefox https://www.cc.com????????????//信任证书后可以访问
添加例外(隐私与安全)客户端没有证书时可以使用,信任证书
证书:
1.自己做,默认浏览器不信任,手动导入,做插件(私网)
2.权威CA证书机构,找别人,需要费用(大众公开网)
5 案例4:Nginx反向代理
Client proxy web1
Web2 负载均衡,健康检查, poroxy没有单点是公司最基本要求
5.1 问题
使用Nginx实现Web反向代理功能,实现如下功能:
?后端Web服务器两台,可以使用httpd实现
?Nginx采用轮询的方式调用后端Web服务器
?两台Web服务器的权重要求设置为不同的值
?最大失败次数为1,失败超时时间为30秒
5.2 方案
使用4台RHEL7虚拟机,其中一台作为Nginx代理服务器,该服务器需要配置两块网卡,IP地址分别为192.168.4.5和192.168.2.5,两台Web服务器IP地址分别为192.168.2.100和192.168.2.200。客户端测试主机IP地址为192.168.4.100。如图-2所示。
图-2
5.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:部署实施后端Web服务器
1)部署后端Web1服务器
后端Web服务器可以简单使用yum方式安装httpd实现Web服务,为了可以看出后端服务器的不同,可以将两台后端服务器的首页文档内容设置为不同的内容。
1.[[email protected] ~]# yum -y install httpd
2.[[email protected] ~]# echo "192.168.2.100" > /var/www/html/index.html
3.[[email protected] ~]# systemctl restart httpd
2)部署后端Web2服务器
1.[[email protected] ~]# yum -y install httpd
2.[[email protected] ~]# echo "192.168.2.200" > /var/www/html/index.html
3.[[email protected] ~]# systemctl restart httpd
步骤二:配置Nginx服务器,添加服务器池,实现反向代理功能
添加 upstream abc{
server 192.168.2.100;
server 192.168.2.200;
} 定义服务器集群
server {
listen 80;
调用集群: server_name localhost;
location / {
proxy_pass http://abc (集群名) 自己转发集群
可以发现web的健康问题
1)修改/usr/local/nginx/conf/nginx.conf配置文件
weight加权重(使用的频率)
max_fail proxy查找web最大失败几次算失败
Fail_timeout:10秒超时时间 10秒后不找这个web了。每10秒测一次看web还在不在
web坏掉可以人为加注释或者最后加down可以关闭此web,修好后可以删掉down
Ip_hash 相同客户端访问相同web服务器 (不用换web服务器而重新输入密码)
步骤二:配置upstream服务器集群池属性
1)设置失败次数,超时时间,权重
1.[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.http {
4... ..
5.upstream webserver {
- server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
- server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
- }
9... ..
10.server { - listen????????80;
- server_name www.tarena.com;
- location / {
- proxy_pass http://webserver;
- }
16.}
2)重启nginx服务
1.[[email protected] ~]# /usr/local/nginx/sbin/nginx –s reload
3)使用浏览器访问代理服务器测试轮询效果
1.[[email protected] ~]# curl http://192.168.4.5????????????//使用该命令多次访问查看效果
4)设置相同客户端访问相同Web服务器
1.[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
2... ..
3.http {
4... ..
5.upstream webserver {
6.???????????????? ip_hash; 算法(默认算法是轮询) - server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
- server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
- }
10... ..
11.server { - listen????????80;
- server_name www.tarena.com;
- location / {
- proxy_pass http://webserver;
- }
17.}
5)重启nginx服务
1.[[email protected] ~]# /usr/local/nginx/sbin/nginx –s reload
6)使用浏览器访问代理服务器测试轮询效果
1.[[email protected] ~]# curl http://192.168.4.5????????????//使用该命令多次访问查看效果
(会一直出现同一地址,即权重大的那个)
Nginx配置文件和目录
/usr/local/nginx/ 安装目录
Conf/nginx.conf 主配置文件
Logs 日志文件
Sbin/nginx 启动脚本
Sbin/nginx -c conf/nginx.conf 启动Nginx服务
选项:-v 查看nginx版本
-V 查看编译参数(什么都能看)
-t 测试默认配置文件
-c 指定配置文件
php、python: apache Nginx Lighttpd
Java: Tomcat IBM Websphere Jboss
以上是关于Nginx服务器Nginx虚拟主机Nginx反向代理的主要内容,如果未能解决你的问题,请参考以下文章