企业化运维(2)

###1.nginx源码安装部署###

###2.平滑升级###

（1）版本升级

当服务器在运行时，需要升级的情况下，平滑升级即就是不断开服务器就可以进行升级，最大限度保证数据的完整性。

下载nginx新版本软件，正常执行./configure和make但不要执行make install。

备份原程序：

cd /usr/local/lnmp/nginx/sbin
cp nginx nginx.old

拷贝新程序：

cd nginx-1.23.1/objs
cp -f nginx /usr/local/lnmp/nginx/sbin

获取当前nginx主进程pid，即master进程：

ps ax|grep nginx
29636 ? Ss 0:00 nginx: master process nginx
29637 ? S 0:00 nginx: worker process
29638 ? S 0:00 nginx: worker process

升级新程序，开启新版本：

kill -USR2 29636
ps ax|grep nginx
29636 ? Ss 0:00 nginx: master process nginx
29637 ? S 0:00 nginx: worker process
29638 ? S 0:00 nginx: worker process
29761 ? S 0:00 nginx: master process nginx
29762 ? S 0:00 nginx: worker process
29763 ? S 0:00 nginx: worker process

关闭原worker进程但保留主进程master，为了回退

kill -WINCH 29636 
ps ax|grep nginx 
29636 ? Ss 0:00 nginx: master process nginx 
29761 ? S 0:00 nginx: master process nginx 
29762 ? S 0:00 nginx: worker process 
29763 ? S 0:00 nginx: worker process

因为有时候我们会发现新版本并没有旧版本用着顺手，那么关闭worker进程但保留主进程就是为了回退，即就是关闭工作端worker，保留master。

（2）版本回退

回退的过程是相反的，先还原nginx程序，唤醒原进程，回收新版本，并且关闭。

还原nginx程序：
# cp -f nginx.old nginx 
唤醒原进程：
# kill -HUP 29636 
回收新版本的worker进程： 
kill -WINCH 29761 
关闭新版本主进程： 
kill -QUIT 29761

###3.负载均衡+反向代理###

（1）默认轮询

①修改nginx服务启动用户

[root@server1 conf]# useradd -M -d /usr/local/nginx/ -s /sbin/nologin nginx
[root@server1 ~]# cd /usr/local/nginx/conf/
[root@server1 conf]# vim nginx.conf
user nginx;
...[root@server1 conf]# nginx  -s reload
[root@server1 conf]# ps axu |grep nginx
root      19100  0.0  0.0  46020  2000 ?        Ss   16:13   0:00 nginx: master process nginx
nginx     19279  0.0  0.1  46452  2036 ?        S    17:24   0:00 nginx: worker process

②nginx进程与cpu核心绑定

推荐设置：nginx进程数量与cpu和核心数一致

[root@server1 conf]# vim nginx.confuser nginx;worker_processes 2;worker_cpu_affinity 01 10;   ##如果上边是3，则此处为001 010 100...[root@server1 conf]# nginx -s reload[root@server1 conf]# ps axu |grep nginxroot 19100 0.0 0.0 46020 2000 ? Ss 16:13 0:00 nginx: master process nginxnginx 19279 0.0 0.1 46452 2036 ? S 17:24 0:00 nginx: worker processnginx 19280 0.0 0.1 46452 2036 ? S 17:24 0:00 nginx: worker process

③修改nginx并发连接数

[root@server1 conf]# vim nginx.conf
...
events {worker_connections  65535;
}修改系统限制
[root@server1 conf]# vim /etc/security/limits.conf
nginx - nofile  65535内核参数是根据本机物理资源自动配置的，一般不需要修改
[root@server1 conf]# sysctl fs.file-max
fs.file-max = 197384

④负载均衡设置

文档：https://docs.nginx.com/nginx/admin-guide/load-balancer/http-load-balancer/[root@server1 conf]# vim nginx.conf
...
http {upstream westos {server 192.168.56.12;server 192.168.56.13:8080;server 192.168.56.11:8080 backup;}
...server {listen       80;server_name  localhost;location / {#root   html;#index  index.html index.htm;proxy_pass http://westos;}
...[root@server1 conf]# nginx  -s reload

⑤nginx对后端自带健康检测(backup)

（2）改变权重，默认为1

在server1主机中修改配置文件，增加server2主机的权重，检测语法，重启服务。

###server1------改变权重
cd /usr/local/nginx/conf/
vim nginx.conf
///
http {upstream westos {server 172.25.24.2:80 weight=2;			##增加权重
///
nginx -t
nginx -s reload

（3）ip_hash

ip_hash表示来自同一客户端的请求，将会发往同一个后端服务器

ip_hash对后端做健康检测，如果server3出问题，则调度server2
如果后端全挂，则http报错502(500表示服务器错误)
在server1主机中修改配置文件，在负载均衡模块中添加ip_hash，检测语法，重启服务。

ip_hash算法不支持backup

vim nginx.conf
///
http {upstream westos {ip_hash;
///
nginx -t
nginx -s reload

（4）基于cookie

基于cookie能够区分客户端来源，测试时只能在浏览器中进行

先停止nginx服务
[root@server1 conf]# nginx  -s stop[root@server1 ~]# yum install -y unzip
[root@server1 ~]# unzip nginx-goodies-nginx-sticky-module-ng-08a395c66e42.zip[root@server1 ~]# cd nginx-1.22.1/
[root@server1 nginx-1.22.1]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_stub_status_module  --add-module=/root/nginx-goodies-nginx-sticky-module-ng-08a395c66e42
[root@server1 nginx-1.22.1]# make[root@server1 nginx-1.22.1]# \cp -f objs/nginx  /usr/local/nginx/sbin/nginx[root@server1 objs]# cd /usr/local/nginx/conf/
[root@server1 conf]# vim nginx.conf
...upstream westos {#ip_hash;sticky;server 192.168.56.12 weight=2;server 192.168.56.13:8080;#server 192.168.56.11:8080 backup;}检测语法
[root@server1 conf]# nginx  -t			
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful启动服务
[root@server1 conf]# nginx使用浏览器测试 按F12可以查看cookie值

###4.安全控制###

（1）基于域名的虚拟主机

[root@server1 nginx]# mkdir /www1/
[root@server1 nginx]# echo web1 > /www1/index.html[root@server1 nginx]# vim conf/nginx.conf
http {
...
server {listen 80;server_name www1.westos.org;location / {root /www1;index index.html;}
}
}[root@server1 nginx]# nginx  -s reload

测试
[root@server4 ~]# vim /etc/hosts
192.168.56.11   server1 www1.westos.org[root@server4 ~]# curl  www1.westos.org
web1

（2）限制并发连接数

建立目录用于存放实验素材
[root@server1 nginx]# cd html/
[root@server1 html]# mkdir download
[root@server1 ~]# cp vim.jpg /usr/local/nginx/html/download/

[root@server1 nginx]# vim conf/nginx.conf
http {
...
limit_conn_zone $binary_remote_addr zone=addr:10m;server {
...
location / {root   html;index  index.html index.htm;#proxy_pass http://westos;}location /download/ {limit_conn addr 1;}}
}
[root@server1 nginx]# nginx  -s reload

必须单线程下载，超出的并发连接会失败
测试：
[root@server4 ~]# ab -c 10 -n 10 http://192.168.56.11/download/vim.jpg
查看日志
[root@server1 nginx]# cat logs/access.log

（3）限制请求数

[root@server1 nginx]# vim conf/nginx.conf
http {
...
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;server {location /download/ {limit_conn addr 1;limit_req zone=one burst=5 nodelay;}}
}
[root@server1 nginx]# nginx  -s reload

测试
[root@server4 ~]# ab -c 1 -n 10 http://192.168.56.11/download/vim.jpg
查看日志
[root@server1 ~]# cat /usr/local/nginx/logs/access.log

（4）限制速率

[root@server1 nginx]# vim conf/nginx.conf
http {
...
server {location /download/ {limit_conn addr 1;limit_rate 100k;}}
}
[root@server1 nginx]# nginx  -s reload

测试
[root@server4 ~]# ab -c 1 -n 5 http://192.168.56.11/download/vim.jpg
查看日志
[root@server1 ~]# cat /usr/local/nginx/logs/access.log

###5.nginx基础配置###

（1）https配置

生成https证书
[root@server1 conf]# cd /etc/pki/tls/certs
[root@server1 certs]# make cert.pem
[root@server1 certs]# mv cert.pem  /usr/local/nginx/conf/

修改配置文件
[root@server1 conf]# vim nginx.conf# HTTPS server#server {listen       443 ssl;server_name  www1.westos.org;ssl_certificate      cert.pem;ssl_certificate_key  cert.pem;ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_ciphers  HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers  on;location / {root   /www1;index  index.html index.htm;}}

测试
[root@server1 conf]# nginx  -t
[root@server1 conf]# nginx  -s reload
[root@server4 ~]# curl  -k https://www1.westos.org
web1

（2）自动索引

可以在浏览器访问，下载软件更方便。
在配置文件中设定自动索引，注意注释上文参数设定，重启服务。

vim nginx.conf
///location /download/ {limit_conn addr 1;#limit_req zone=one burst=5 nodelay;#limit_rate 50k;		##注释autoindex.on;
///	
nginx -s reload

测试：在浏览器访问
http://192.168.76.11/download

（3）nginx empire缓存配置

nginx默认可以做缓存服务器。缓存可以降低网站带宽，加速用户访问。
编辑配置文件，设定对图片等进行缓存，缓存时间为1年，在此期间访问就会减少访问时间。

vim nginx.conf
///location /download/ {limit_conn addr 1;#limit_req zone=one burst=5 nodelay;#limit_rate 50k;autoindex on;}	##在此位置下方进行设定location ~ .*\.(gif|jpg|png)$ {		##对图片等进行缓存expires 365d;root html;}
///
nginx -s reload

测试
curl -I 192.168.76.11/download/vim.jpg
///Expires: Thu, 13 Jun 2025 04:53:01 GMT

（4）禁用不必要的日志记录，以节省磁盘IO的消耗

cd conf/
vim nginx.conf
///location ~ .*\.(gif|jpg|png)$ {expires 365d;root html;}		##在这个位置的下面加入设定location /status {stub_status on;access_log off;}
///
nginx -t
nginx -s reload

在浏览器访问
192.168.76.11/status	##刷新会增加访问次数,但不会有日志生成
cd ../logs
ls
cat access.log		##为空

（5）站点限制

在配置文件中设定指定目录只能本机访问，拒绝其他所有请求。

cd conf/
vim nginx.conf
///location /status {stub_status on;access_log off;allow 127.0.0.1;deny all;}
///
nginx -t
nginx -s reload

测试：
真机浏览器中访问http://192.168.76.11/status
##403报错拒绝访问server4测试机curl  192.168.76.11/status	
##403报错拒绝访问

（6）中文乱码

nginx默认不支持中文字符，在浏览器访问时，中文会变成乱码。
在nginx发布文件中加入一行中文，在浏览器中访问为乱码。

cd ..(nginx)
cd html/
vim index.html
///
你好
///
#在浏览器访问时中文是乱码

编辑配置文件，设定nginx支持中文字符，并重启服务。

vim nginx.conf
///server {listen       80;server_name  localhost;charset utf-8;
///
nginx -s reload

（7）日志轮询

编写一个脚本，设定打开nginx时会生成日志文件，命名格式为前一天。

[root@server1 ~]# vim /opt/nginx_log.sh
#!/bin/bash
cd /usr/local/nginx/logs && mv access.log access_$(date +%F -d -1day).log
kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`

给脚本执行权限，执行脚本，切入到日志目录，产生日志。

[root@server1 ~]# chmod +x /opt/nginx_log.sh
[root@server1 ~]#  /opt/nginx_log.sh[root@server1 ~]# cd /usr/local/nginx/logs/
[root@server1 logs]# ls
access_2023-02-21.log  ##生成日志

再加入crontab定时任务

crontab -e
00 00 * * * /opt/nginx_log.shcrontab -l  执行

（8）重定向

①端口重定向

编辑配置文件，将80端口定向到443端口。

[root@server1 conf]# vim nginx.conf
...
server {listen 80;server_name www1.westos.org;rewrite ^/(.*)$ https://www1.westos.org/$1 permanent;location / {root /www1;index index.html;}
}
...
[root@server1 conf]# nginx -s reload

②虚拟主机重定向

www1.westos.org >> bbs.westos.org

cd ..(nginx)
cd html
mkdir bbs
mv bbs/ /
vim nginx.conf
///
server {    listen 80;server_name www.westos.org;#rewrite ^/(.*)$ https://www.westos.org/$1 permanent;rewrite ^/bbs$ http://bbs.westos.org permanent;		##^/bbs$表示匹配以/开头，bbs结尾，，比如www.westos.org/bbs，如果后加其他url，则不能重定向rewrite ^/(.*)$ http://bbs.westos.org/$1 permanent;##^/(.*)$表示匹配以/开头，$结尾，后面可以加url，比如www.westos.org/bbs/bbs.html}server {listen 80;server_name bbs.westos.org;location / {root /bbs;index index.html;}}
///
nginx -s reload

测试：用curl命令查看
curl -I www1.westos.org/bbs/
curl -I www1.westos.org/bbs/bbs.html

（9）防盗链

配置server2上的apache服务，在server2中编辑一发布文件，写入访问该文件时，盗取server1主机中的某一图片

[root@server2 ~]# cd /var/www/html/
[root@server2 html]# vim index.html
<html>
<body>
<img src="http://www1.westos.org/vim.jpg"/>
</body>
</html>

配置nginx网页防盗链

[root@server1 conf]# vim nginx.conf
...
location ~ \.(jpg|png)$ {root /www1;valid_referers none blocked www1.westos.org;if ($invalid_referer) {#return 403;rewrite ^/ http://bbs.westos.org/daolian.jpg;}}
[root@server1 conf]# nginx -s reload

测试：
要显示图片，要在测试机server4中安装图形
192.168.76.11/index.html-->指定图片