在linux系统下使用nginx作为web应用服务，用来提升网站访问速度的经验已五年多了，今天在此对nginx的使用做一简单总结。

　　Nginx是一个高性能的HTTP和反向代理服务器，也是一个 IMAP/POP3/SMTP代理服务器。Nginx 已经因为它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名了。

　　2）Nginx 本身只是一个 HTTP 和反向代理服务器，它无法像 Apache 一样通过安装各种模块来支持不同的页面脚本，例如 PHP、CGI 等；

　　Nginx由内核和一系列模块组成，内核提供web服务的基本功能,如启用网络协议,创建运行环境,接收和分配客户端请求,处理模块之间的交互。Nginx的各种功能和操作都由模块来实现。Nginx的模块从结构上分为核心模块、基础模块和第三方模块。

　　这样的设计使Nginx方便开发和扩展，也正因此才使得Nginx功能如此强大。Nginx的模块默认编译进nginx中，如果需要增加或删除模块，需要重新编译Nginx,这一点不如Apache的动态加载模块方便。如果有需要动态加载模块，可以使用由淘宝网发起的web服务器Tengine，在nginx的基础上增加了很多高级特性，完全兼容Nginx，已被国内很多网站采用。

　　nginx不会为每个连接派生进程或线程，而是由 worker 进程通过监听共享套接字接受新请求，并且使用高效的循环来处理数千个连接。Nginx 不使用仲裁器或分发器来分发连接，这个工作由操作系统内核机制完成。监听套接字在启动时就完成初始化，worker 进程通过这些套接字接受、读取请求和输出响应。

　　其中master进程的作用也是很明确的就是负责管理worker进程，同时监听连接请求，当连接请求到来之后将连接放入worker进程中去处理具体的业务请求，比如说http请求。 Nginx能够处理高并发的原因在于对socket的管理方式是异步非阻塞的，使用select/poll/epoll/kqueue 来实现对大量socket描述符的管理，每个worker进程有一个主线程，而没有其他的线程这样的好处就在于不需要进行线程间的切换，这样就节省了资源。所以总的来说：Nginx能够实现支持高并发的同时运行效率还很低的关键在于整个系统内部只有有限的几个工作进程和一个监听进程，而每个进程内部只有一个主线程，这样就不会引起很多的线程切换，从而降低了系统开销，同时每个线程内部使用异步非阻塞的方式来管理描述符这样就可以管理大量的描述符，当描述符多的时候也只是会占用较多的内存而已，而不会造成占用大量cpu时间。以上说的就是Nginx的进程模型和事件模型，事件模型中处理的情况主要有三种，分别是网络事件，如HTTP请求等，网络事件使用异步非阻塞模式就可以很好的解决；还有信号，定时器，信号和定时器还不是很明白。Nginx处理进程间争夺系统资源的方式：也就是进程间存在的惊群现象。

　　当 nginx 在启动后，会有一个 master 进程和多个 worker 进程。master进程主要用来管理worker进程，master 要做的就是：接收来自外界的信号，向各 worker 进程发送信号，监控 worker 进程的运行状态，当 worker 进程退出后(异常情况下)，会自动重新启动新的 worker 进程。

　　对于基本的网络事件，则是放在 worker 进程中来处理了。多个 worker 进程之间是对等的，他们同等竞争来自客户端的请求，各进程互相之间是独立的。一个请求，只可能在一个 worker 进程中处理，一个 worker 进程，不可能处理其它进程的请求（一对一）。然而 nginx 没有专门地仲裁或连接分布的 worker,这项工作是由操作系统内核机制完成的。在启动时,创建一组初始的监听套接字，HTTP 请求和响应之时，worker 连续接收、读取和写入套接字。

　　既然worker进程之间是平等的，每个进程，处理请求的机会也是一样的。当我们提供80端口的http服务时，一个连接请求过来，每个进程都有可能处理这个连接。那么问题来了，到底最后怎样处理，是由什么决定的呢？首先，每个 worker 进程都是从 master 进程 fork 过来，在 master 进程里面，先建立好需要 listen 的 socket（listenfd）之后，然后再 fork 出多个 worker 进程。所有 worker 进程的 listenfd 会在新连接到来时变得可读，为保证只有一个进程处理该连接，所有 worker 进程会在注册 listenfd 读事件前抢 accept_mutex，抢到互斥锁的那个进程注册 listenfd 读事件，然后在读事件里调用 accept 接受该连接。当一个 worker 进程在 accept 这个连接之后，就开始读取请求、解析请求、处理请求。产生数据后，再返回给客户端，最后才断开连接，这样一个完整的请求就是这样的了西刺免费代理官网。我们可以看到：一个请求，完全由 worker 进程来处理，而且只在一个 worker 进程中处理。

　　也许有个疑问，那就是nginx采用多worker 的方式来处理请求，每个 worker 里面只有一个主线程，那能够处理的并发数很有限啊，多少个 worker 就能处理多少个并发，何来高并发呢？

　　然而，这就是 nginx 的高明之处，nginx 采用了异步非阻塞的方式来处理请求，也就是说，nginx 是可以同时处理成千上万个请求的。

　　异步的概念是和同步相对的，也就是不同事件之间不是同时发生的。非阻塞的概念是和阻塞对应的，阻塞是事件按顺序执行，每一事件都要等待上一事件的完成，而非阻塞是如果事件没有准备好，这个事件可以直接返回，过一段时间再进行处理询问，这期间可以做其他事情。

　　nginx相对比apache，实在有太多的优势。可以说，现在Nginx才是Web服务器的首选！！

　　抗并发，nginx 处理请求是异步非阻塞的，而apache 则是阻塞型的，在高并发下nginx 能保持低资源低消耗高性能；

　　当然apache相对于nginx也有它自身的优点：rewrite比nginx 的rewrite强大；模块超多，基本想到的都可以找到；少bug，nginx的bug相对较多；超稳定；apache有自带php解析功能(apache环境部署好后，不需要再启动php服务，apache自动解析php文件，机器上只要有php命令即可；但是nginx不行，nginx必须结合php服务才能解析php文件，两则服务都要启动)

　　这里要注意一点，epoll(freebsd 上是 kqueue )网络IO 模型是nginx 处理性能高的根本理由，但并不是所有的情况下都是epoll 大获全胜的，如果本身提供静态服务的就只有寥寥几个文件，apache 的select 模型或许比epoll 更高性能。当然，这只是根据网络IO 模型的原理作的一个假设，真正的应用还是需要实测了再说的。

　　2）作为 Web 服务器：相比 Apache，Nginx 使用更少的资源，支持更多的并发连接，体现更高的效率，这点使 Nginx 尤其受到虚拟主机提供商的欢迎。在高连接并发的情况下，Nginx是Apache服务器不错的替代品: Nginx在美国是做虚拟主机生意的老板们经常选择的软件平台之一. 能够支持高达 50,000 个并发连接数的响应, 感谢Nginx为我们选择了 epoll and kqueue 作为开发模型.

　　Nginx作为负载均衡服务器: Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务, 也可以支持作为 HTTP代理 服务器对外进行服务. Nginx采用C进行编写, 不论是系统资源开销还是CPU使用效率都比 Perlbal 要好很多.

　　作为邮件代理服务器: Nginx 同时也是一个非常优秀的邮件代理服务器（最早开发这个产品的目的之一也是作为邮件代理服务器）, Last.fm 描述了成功并且美妙的使用经验.

　　Nginx 是一个安装非常的简单 , 配置文件非常简洁（还能够支持perl语法）, Bugs 非常少的服务器: Nginx 启动特别容易, 并且几乎可以做到7*24不间断运行，即使运行数个月也不需要重新启动. 你还能够不间断服务的情况下进行软件版本的升级 .

　　4）最核心的区别在于apache是同步多进程模型，一个连接对应一个进程；nginx是异步的，多个连接（万级别）可以对应一个进程

　　5）nginx处理静态文件好,耗费内存少.但apache目前也有它的优势,有很多丰富的特性.所以还需要搭配着来.当然如果能确定nginx就适合需求,那么使用nginx会是更经济的方式.

　　6）从个人过往的使用情况来看，nginx的负载能力比apache高很多。最新的服务器也改用nginx了。而且nginx改完配置能-t测试一下配置有没有问题，apache重启的时候发现配置出错了，会很崩溃，改的时候都会非常小心翼翼现在看有好多集群站，前端nginx抗并发，后端apache集群，配合的也不错。

　　7）nginx处理动态请求是鸡肋，一般动态请求要apache去做，nginx只适合静态和反向。

　　8）从个人经验来看，nginx是很不错的前端服务器，负载性能很好，linux服务器上运营nginx，用webbench模拟10000個个静态文件请求毫不吃力。apache对php等语言的支持很好，此外apache有強大的支持网路，反正时间相对nginx更久，bug少，但是apache有先天不支持多核心处理负载鸡肋的缺点，所以建议使用nginx做前端，后端用apache。大型网站建议用nginx自代的集群功能！

　　9）Nginx优于apache的主要两点还体现在：Nginx本身就是一个反向代理服务器；Nginx支持7层负载均衡；其他的当然，Nginx可能会比apache支持更高的并发；Aapche因为其成熟的技术和开发社区，总体来说也有非常不错的性能，很多大公司而言还比较青睐apache。

　　10）你对web server的需求决定你的选择。大部分情况下nginx都优于apache，比如说静态文件处理、PHP-CGI的支持、反向代理功能、前端Cache、维持连接等等。在Apache+PHP（prefork）模式下，如果PHP处理慢或者前端压力很大的情况下，很容易出现Apache进程数飙升，从而拒绝服务的现象。

　　11）对于nginx，我喜欢它配置文件写的很简洁，正则配置让很多事情变得简单运行效率高，占用资源少，代理功能强大，很适合做前端响应服务器

　　12）Apache在处理动态有优势，Nginx并发性比较好，CPU内存占用低，如果rewrite频繁，那还是Apache更好。

　　为了确保能在Nginx中使用正则表达式进行更灵活的配置，安装之前需要确定系统是否安装有PCRE（Perl Compatible Regular s）包。

　　接下来安装 Nginx，Nginx 一般有两个版本，分别是稳定版和开发版，您可以根据您的目的来选择这两个版本的其中一个，下面是把 Nginx 安装到 /opt/nginx 目录下的详细步骤：

　　其中Nginx的配置文件存放于f，Nginx只有一个程序文件位于sbin目录下的nginx文件。

　　确保系统的80端口没被其他程序占用，运行sbin/nginx命令来启动Nginx，打开浏览器访问此机器的 IP，如果浏览器出现 Welcome to nginx! 则表示 Nginx 已经安装并运行成功。

　　Nginx 安装后只有一个程序文件，本身并不提供各种管理程序，它是使用参数和系统信号机制对 Nginx 进程本身进行控制的。 Nginx 的参数包括有如下几个：

　　-t：测试配置文件是否正确，在运行时需要重新加载配置的时候，此命令非常重要，用来检测所修改的配置文件是否有语法错误。

　　上述配置中，首先我们定义了一个 location ~ ^/NginxStatus/，这样通过 就可以监控到 Nginx 的运行信息，显示的内容如下：

　　通过正则表达式，我们可让 Nginx 识别出各种静态文件，例如 images 路径下的所有请求可以写为：

　　对于例如图片、静态 HTML 文件、js 脚本文件和 css 样式文件等，我们希望 Nginx 直接处理并返回给浏览器，这样可以大大的加快网页浏览时的速度。因此对于这类文件我们需要通过 root 指令来指定文件的存放路径，同时因为这类文件并不常修改，通过 expires 指令来控制其在浏览器的缓存，以减少不必要的请求。 expires 指令可以控制 HTTP 应答中的“ Expires ”和“ Cache-Control ”的头标（起到控制页面缓存的作用）。您可以使用例如以下的格式来书写 Expires：

　　Nginx 本身并不支持现在流行的 JSP、ASP、PHP、PERL 等动态页面，但是它可以通过反向代理将请求发送到后端的服务器，例如 Tomcat、Apache、IIS 等来完成动态页面的请求处理。前面的配置示例中，我们首先定义了由 Nginx 直接处理的一些静态文件请求后，其他所有的请求通过 proxy_pass 指令传送给后端的服务器（在上述例子中是 Tomcat）。最简单的 proxy_pass 用法如下：

　　这里我们没有使用到集群，而是将请求直接送到运行在 8080 端口的 Tomcat 服务上来完成类似 JSP 和 Servlet 的请求处理。

　　当页面的访问量非常大的时候，往往需要多个应用服务器来共同承担动态页面的执行操作，这时我们就需要使用集群的架构。 Nginx 通过 upstream 指令来定义一个服务器的集群，最前面那个完整的例子中我们定义了一个名为 tomcats 的集群，这个集群中包括了三台服务器共 6 个 Tomcat 服务。而 proxy_pass 指令的写法变成了：

　　在 Nginx 的集群配置中，Nginx 使用最简单的平均分配规则给集群中的每个节点分配请求。一旦某个节点失效时，或者重新起效时，Nginx 都会非常及时的处理状态的变化，以保证不会影响到用户的访问。

　　^~开头表示uri以某个常规字符串开头，理解为匹配 url路径即可。nginx不对url做编码，因此请求为/static/20%/aa，可以被规则^~ /static/ /aa匹配到（注意是空格）。

　　多个location配置的情况下匹配顺序为（参考资料而来，还未实际验证，试试就知道了，不必拘泥，仅供参考）：

　　首先匹配 =，其次匹配^~, 其次是按文件中顺序的正则匹配，最后是交给 / 通用匹配。当有匹配成功时候，停止匹配，按当前匹配规则处理请求。

　　访问不会匹配规则F和规则G，不会匹配规则G，因为不区分大小写。规则F，规则G属于排除法，符合匹配规则但是不会匹配到，所以想想看实际应用中哪里会用到。

　　访问则最终匹配到规则H，因为以上规则都不匹配，这个时候应该是nginx转发请求给后端应用服务器，比如FastCGI（php），tomcat（jsp），nginx作为方向代理服务器存在。

　　尽管Nginx整个程序包只有500多K，但麻雀虽小、五脏俱全。 Nginx官方提供的各种功能模块应有尽有，结合这些模块可以完整各种各样的配置要求，例如：压缩、防盗链、集群、FastCGI、流媒体服务器、Memcached 支持、URL 重写等等，更关键的是Nginx拥有Apache和其他HTTP服务器无法比拟的高性能。甚至可以在不改变原有网站的架构上，通过在前端引入Nginx做负载均衡来提升网站的访问速度。

　　body_bytes_sent 响应时送出的body字节数数量。即使连接中断，这个数据也是精确的,如：40

　　request_completion 如果请求结束，设置为OK. 当请求未结束或如果该请求不是请求链串的最后一个时，为空(Empty)，如：OK

　　server_addr 服务器地址，在完成一次系统调用后可以确定这个值，如：192.168.4.129

　　break 中止Rewirte，不在继续匹配。就是说本条规则匹配完成后，终止匹配，不再匹配后面的规则。

　　permanent 返回永久重定向的HTTP状态301；浏览器地址会显示跳转后的URL地址。

　　2）多域名绑定一个目录，并且全部301跳转到其中一个域名（注意：多域名都要解析到本机ip上）

　　以上的配置也适用于：（前提是这些目录要真是存在于站点目录/var/www/html/中，并且权限要正确）

　　4.防盗链。关于Nginx防盗链具体设置，可参考：Nginx中防盗链（下载防盗链和图片防盗链）的操作记录

　　这里的return 412 是自定义的http状态码，默认为403，方便找出正确的盗链的请求

　　1）expires起到控制页面缓存的作用，合理的配置expires可以减少很多服务器的请求；

　　2）对于站点中不经常修改的静态内容（如图片，JS，CSS），可以在服务器中设置expires过期时间，控制浏览器缓存，达到有效减小带宽流量，降低服务器压力的目的。

　　3）Expires是Web服务器响应消息头字段，在响应http请求时告诉浏览器在过期时间前浏览器可以直接从浏览器缓存取数据，而无需再次请求。

　　如下：控制图片等过期时间为30天，如果图片文件不怎么更新，过期可以设大一点；如果频繁更新，则可以设置得小一点，具体视情况而定

　　time:可以使用正数或负数。“Expires”头标的值将通过当前系统时间加上设定time值来设定。

　　对于不支持http1.1的浏览器，还是需要expires来控制。所以最好能指定两个响应头。但HTTP规范规定max-age指令将重写expires头。

　　打开webkaka的网站速度诊断工具(，输入你的网页地址，检测后，立即可以看到设置是否生效了。如下图所示：

　　注意上述configs后面的斜杠不能少，否则所有以configs开头的目录或文件都将禁止访问。

　　当别人通过ip或者未知域名访问你的网站的时候，你希望禁止显示任何有效内容，可以给他返回500.

　　那么尽管上面已经做了返回500设置，也禁止不了ip访问！也就是说，只要server_name一行指明了ip访问，那么就禁止不了了。

　　不能使用ip，即访问配置中的站点。但是可以使用ip方式访问nginx默认的根目录下的内容（比如/usr/local/nginx/html）

　　下面的配置，指明了使用域名或ip都可以访问配置中的站点。（使用ip访问只限于只有一个vhost虚拟主机配置的情况，如果是多个，那么指明ip访问就会混淆）

　　对于提供下载的网站，肯定是要进行流量控制的，例如BBS、视频服务，还是其它专门提供下载的网站。在nginx中我们完全可以做到限流，由Nginx模块中的Core模块提供了limit_rate、limit_rate_after命令，我们只需要调用命令实现流量限制就行。

　　命令概述：限制向客户端传送响应的速率限制。参数 rate 的单位是字节/秒，设置为 0 将关闭限速。 nginx 按连接限速，需要明白的一点是该限制只是针对一个连接的设定，所以如果某个客户端同时开启了两个连接，那么客户端的整体速率是这条指令设置值的2倍。

　　可以发现配置之后，刚开始的时候传输速度很高，因为，传输量大于设定值的部分才会受到限制。这就说明，我们两个命令都发挥了作用！

　　本指令定义了一个数据区，里面记录会话状态信息。 variable 定义判断会话的变量；the_size 定义记录区的总容量。

　　指定一个会话最大的并发连接数。 当超过指定的最发并发连接数时，服务器将返回 Service unavailable (503)。

　　1）定义一个叫“one”的记录区，总容量为 10M，以变量$binary_remote_addr作为会话的判断基准（即一个地址一个会话）。

　　限制/ops/目录下，一个会话只能进行一个连接；简单来说，就是限制/ops/目录下，一个IP只能发起一个连接，多过一个，一律报错503。

　　中间一段时间，网站访问有点慢，初步怀疑是机房交换机问题（之前出现过网站访问很慢，热插拔网卡/重启网卡就好了）

　　最后查看，发现机房流量很大！主要是论坛流量大，主站流量很小，应该是论坛人数访问一多，就把带宽占满了。

　　允许某个 IP 或者某个 IP 段访问。如果指定 unix，那将允许 socket 的访问。注意：unix 在 1.5.1 中新加入的功能，如果你的版本比这个低，请不要使用这个方法。

　　禁止某个 IP 或者一个 IP 段访问。如果指定 unix，那将禁止 socket 的访问。注意：unix 在 1.5.1 中新加入的功能，如果你的版本比这个低，请不要使用这个方法。

　　ngx_http_access_module配置允许的地址能访问，禁止的地址被拒绝。这只是很简单的访问控制，而在规则很多的情况下，使用 ngx_http_geo_module 模块变量更合适。

　　DDOS的特点是分布式，针对带宽和服务攻击，也就是四层流量攻击和七层应用攻击，相应的防御瓶颈四层在带宽，七层的多在架构的吞吐量。

　　对于七层的应用攻击，还是可以做一些配置来防御的，使用nginx的http_limit_conn和http_limit_req模块通过限制连接数和请求数能相对有效的防御。

　　通过漏桶原理来限制单位时间内的请求数，一旦单位时间内请求数超过限制，就会返回 503 错误。

　　rate=20r/s表示限制频率为每秒20个请求；如果限制两秒钟一个请求，可以设置成30r/m。

　　总的来说：如何设置能限制某个IP某一时间段的访问次数是一个让人头疼的问题，特别面对恶意的ddos攻击的时候。其中CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包， 造成对方服务器资源耗尽，一直到宕机崩溃。

　　1）Http LimitReq Modul用来限制连单位时间内连接数的模块，使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量，就会返回503错误。

　　(3)限速白名单设置（可参考：nginx利用geo模块做限速白名单以及geo实现全局负载均衡的操作记录）

　　http_limit_conn和 http_limit_req模块限制了单IP单位时间内的连接和请求数，但是如果Nginx前面有lvs或者haproxy之类的负载均衡或者反向代理，nginx 获取的都是来自负载均衡的连接或请求，这时不应该限制负载均衡的连接和请求，就需要 geo 和 map 模块设置白名单：