【NGINX 介绍与安装】

前言

NGINX 因其高并发、低内存消耗和丰富功能，已成为 Web 服务器、反向代理和负载均衡器中的佼佼者。

一、NGINX 是什么？

NGINX（Engine X）是一款高性能、高并发、开源的 HTTP 服务器，同时也可用作反向代理、负载均衡、邮件代理（IMAP/POP3）等。由 Igor Sysoev 于 2004 年开发，旨在解决 C10k（处理上万个并发连接）问题。

• 事件驱动架构：采用异步非阻塞的事件驱动模型，在高并发场景下表现优异，内存消耗相对较低。
• 模块化设计：核心功能加上多种可选模块，用户可以编译所需模块，或使用动态模块。
• 广泛应用：很多大型网站（如 Netflix、Airbnb、GitHub、腾讯、阿里等）都在使用 NGINX 作为前端网关或负载均衡器。

当客户端发来大量并发请求时，NGINX 的事件模型可以高效地调度网络 I/O，避免线程/进程过多导致的上下文切换开销。

二、为什么选择 NGINX？

• 高并发处理能力：事件驱动使其能处理数万并发连接，资源利用效率高。
• 低内存消耗：相比传统进程/线程模型，内存使用更可控。
• 灵活的反向代理和负载均衡功能：支持多种负载均衡算法（轮询、IP 哈希、最少连接等）及健康检查。
• 丰富的缓存支持：可做静态资源缓存、反向代理缓存，提升响应速度并减轻后端压力。
• 易于扩展：通过第三方模块（如 Lua、Image Filter、GeoIP2 等）满足不同需求。
• 稳定成熟：社区活跃，文档丰富，生态完善。

三、安装 NGINX

1. 使用包管理器安装

以 Ubuntu/Debian 为例：

sudoaptupdatesudoaptinstall-y nginx

安装后，服务通常自动启动。使用以下命令检查状态：

sudosystemctl status nginx

在 CentOS/RHEL：

sudoyuminstall-y epel-releasesudoyuminstall-y nginxsudosystemctlenable--now nginx

2. 从源码编译安装

# 安装依赖sudoaptupdatesudoaptinstall-y build-essential libpcre3 libpcre3-dev zlib1g zlib1g-dev libssl-dev# 下载 NGINX 源码（以 1.24.0 为例）wgethttp://nginx.org/download/nginx-1.24.0.tar.gztarzxvf nginx-1.24.0.tar.gzcdnginx-1.24.0# 配置编译选项（可根据需求添加模块或路径）./configure\--prefix=/usr/local/nginx\--with-http_ssl_module\--with-http_v2_module\--with-stream\--with-stream_ssl_module\--with-http_gzip_static_module# 编译并安装makesudomakeinstall# 启动sudo/usr/local/nginx/sbin/nginx

四、NGINX 基本配置与工作原理

1. 主要配置文件结构

• 主配置文件：nginx.conf，通常位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。
• 其他配置：常将虚拟主机配置放在conf.d/或sites-available/、sites-enabled/目录中。
• 日志文件：access_log、error_log设置在配置文件内。

2. 核心指令块

• events {}：设置事件模型，如worker_connections。
• http {}：HTTP 功能及模块配置，包括server{}、upstream{}、proxy_*、gzip等。
• stream {}：TCP/UDP 流量代理，用于非 HTTP 协议负载均衡（如数据库、MQ 代理）。
• mail {}：邮件代理配置（IMAP/POP3/SMTP）。

3. 工作进程与事件模型

• worker_processes: 通常设置为 CPU 核心数或 auto。
• worker_connections: 每个 worker 可处理的并发连接数。
• 异步事件驱动：使用 epoll/kqueue 等高效 I/O 多路复用。

五、反向代理

NGINX 常用作反向代理，将请求转发到后端应用服务器。

1. 基本反向代理示例

http { upstream backend { server 127.0.0.1:8080; server 127.0.0.1:8081; } server { listen 80; server_name example.com; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_connect_timeout 5s; proxy_read_timeout 30s; } } }

• upstream定义后端服务器组。
• proxy_pass转发请求。
• 设置请求头确保后端可获知原始请求信息。

2. 路径转发与重写

• location /api/ { proxy_pass http://backend/api/; }

• 使用rewrite做 URL 重写：

  location /old/ { rewrite ^/old/(.*)$ /new/$1 permanent; }

六、负载均衡

1. 轮询（默认）

upstream backend { server 192.168.0.101; server 192.168.0.102; server 192.168.0.103; }

请求按顺序分配，简单易用。

2. 最少连接（least_conn）

upstream backend { least_conn; server 192.168.0.101; server 192.168.0.102; }

将请求发给当前活动连接数最少的后端，适合请求时间差异大的场景。

3. IP 哈希（ip_hash）

upstream backend { ip_hash; server 192.168.0.101; server 192.168.0.102; }

根据客户端 IP 分配后端，保证同一客户端请求分配到同一后端，有助于会话粘性。

4. 权重（weight）

upstream backend { server 192.168.0.101 weight=3; server 192.168.0.102 weight=1; }

对后端分配比例进行控制，资源更强的服务器可配置更高权重。

5. 健康检查

• NGINX 开源版需借助第三方模块（如 nginx-upstream-check-module）；NGINX Plus 原生支持健康检查。

• 或通过配置proxy_next_upstream、超时等，简单应对后端异常：

  proxy_connect_timeout 2s; proxy_read_timeout 5s; proxy_next_upstream error timeout invalid_header http_502 http_503 http_504;

七、缓存与加速

1. 反向代理缓存

http { proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=1g inactive=60m use_temp_path=off; server { listen 80; server_name example.com; location / { proxy_cache my_cache; proxy_cache_valid 200 302 10m; proxy_cache_valid 404 1m; proxy_cache_bypass $cookie_nocache $arg_nocache; add_header X-Cache-Status $upstream_cache_status; proxy_pass http://backend; } } }

• proxy_cache_path配置缓存存储位置和大小。
• proxy_cache_valid设置不同响应码的缓存时长。
• proxy_cache_bypass控制绕过缓存。
• 在响应头中添加X-Cache-Status便于调试。

2. 静态文件缓存

对于静态资源，可利用expires、add_header Cache-Control：

location ~* \.(js|css|png|jpg|jpeg|gif|svg)$ { root /var/www/static; expires 7d; add_header Cache-Control "public"; }

3. Gzip 压缩

http { gzip on; gzip_min_length 1024; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; }

通过压缩减少传输体积，加快加载。

八、SSL/TLS

1. 基本 SSL 配置

使用 Let’s Encrypt 生成证书（示例工具 certbot），并在 NGINX 中配置：

server { listen 80; server_name example.com; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; location / { proxy_pass http://backend; ... } }

• 强制 HTTP 跳转到 HTTPS。
• 开启 HTTP/2 提升多路复用性能。

2. 安全头部

add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "no-referrer-when-downgrade" always; add_header Content-Security-Policy "default-src 'self';" always;

帮助防止点击劫持、MIME 类型混淆等问题。

3. 限流与防护

• 限制连接数、请求速率：

  http { limit_conn_zone $binary_remote_addr zone=addr:10m; limit_req_zone $binary_remote_addr zone=req:10m rate=5r/s; server { ... location /login { limit_conn addr 1; limit_req zone=req burst=10 nodelay; proxy_pass http://backend; } } }

• 防止恶意请求：可结合 fail2ban、WAF（如 ModSecurity、OpenResty+Lua 规则）等。

九、日志与监控

1. 日志配置

• access_log：记录请求信息，可自定义格式：

  log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; error_log /var/log/nginx/error.log warn;

• 通过日志分析工具（如 GoAccess、ELK、Fluentd）进行流量趋势、错误率分析。

2. 简易状态监控

在配置中开启：

server { listen 127.0.0.1:8081; server_name localhost; location /nginx_status { stub_status on; allow 127.0.0.1; deny all; } }

访问http://127.0.0.1:8081/nginx_status，得到活动连接、请求计数等信息。可配合 Prometheus 的 nginx-exporter 采集指标，或自定义脚本定期抓取。

十、NGINX 高级特性

1. WebSocket 代理

location /ws/ { proxy_pass http://backend_ws; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "Upgrade"; proxy_set_header Host $host; }

支持实时通信应用。

2. gRPC 代理

http { upstream grpc_backend { server 127.0.0.1:50051; } server { listen 80 http2; location / { grpc_pass grpc://grpc_backend; } } }

3. Lua 扩展（OpenResty / ngx_lua）

借助 Lua 脚本进行动态处理、ACL、灰度发布等：

server { location /lua { content_by_lua_block { ngx.say("Hello from Lua!") } } }

4. 动态模块

许多第三方模块可以按需编译成动态模块并通过load_module引入，如ngx_brotli、ngx_pagespeed等。

5. HTTP/2 与 HTTP/3 支持

• HTTP/2 可提高多路复用效率；HTTP/3（QUIC）需在较新版 NGINX 或使用第三方 patch/模块支持。
• 在生产中，可根据客户端支持情况逐步部署 HTTP/2；HTTP/3 目前生态仍在发展，可视需求尝试。

6. 反向代理上传大文件

设置较大client_max_body_size：

http { client_max_body_size 100m; }

并调整相关超时，确保上传稳定。