一.多套业务配置问题

在企业中，我们有很多的业务服务A，B，C等等，按照最最传统的财大气粗方式就是在一台机器上搭建一个Nginx，并且一个Nginx只为一个业务进行服务，如下图所示，我们有3个业务服务，我们就在3个机器上搭建3个Nginx，这显然是很浪费资源的一种不合理方式。

传统的业务服务方式

虚拟主机方式

  虚拟主机的方式是指，我们在同一个Nginx上运行多套单独服务，而且这些服务是独立的，如下图所示：

虚拟主机方式

虚拟主机配置方式

方式一：基于主机多IP的方式

基于主机多IP的方式

  基于主机多IP的方式有两种：

1.1：多网卡多IP的方式

1.2：单网卡多IP的方式

单网卡多IP的关键实现步骤：

第一步：在单网卡上添加多个IP--ip a add ip地址 设备名
第二步：我们找到nginx.conf中的http中的include的配置，找到其include的文件路径
第三步：找到默认配置文件，进行复制，将server中的listen进行改动，改为ip:port，在这里如果我们要为3个业务服务的话，我们就设置三个.conf的配置文件，每个配置文件中的ip不同即可。
第四步：nginx -s stop -c /etc/nginx/nginx.conf
nginx -s表示给nginx的主进程发送信号，停止应用。-c表示启动的时候使用哪个配置文件。

方式二：基于端口的配置方式

基于端口的配置方式

关键实现步骤：

第一步：我们找到nginx.conf中的http中的include的配置，找到其include的文件路径
第二步：找到默认配置文件，进行复制，将server中的listen 端口进行改动即可，每个配置文件中的端口不同即可。
第三步：nginx -tc /etc/nginx/nginx.conf 对刚才修改的配置文件进行语法检查
第四步：nginx -c /etc/nginx/nginx.conf 启动nginx

方式三：基于多个host名称方式（多域名方式也是企业中最常用的方式）

基于多个host名称方式

关键实现步骤：

更改server_name：

server {
    listen       80;
    server_name  zzm1.zzm1.com;

二.日志

  Nginx的日志类型有error.log和access_log两类。error.log用于记录错误类型的日志，access_log记录的是请求访问的相关的日志。Nginx使用了log_format把各种类型的变量进行组织，然后记录到access_log当中去。
  log_format只能配置到http模块下，所以我们看到nginx.conf中，会看到log_format的使用方式如下图所示：

  log_format的语法规则是：
  log_format name [escape=default|json] string ...;
  其中log_format是关键字，name可以随便命名
  前文提到了log_format组织了一堆变量，然后输入到了日志文件中，这里所说的变量分为三种类型：
  HTTP请求变量 - arg_PARAMETER、http_HEADER、sent_http_HEADER
  内置变量 - Nginx内置的
  自定义变量 -自己定义的
  我们可以在nginx.conf中修改了对应的变量之后使用nginx -s reload -c /etc/nginx/nginx.conf使配置文件生效。更多的变量可以参考http://nginx.org/en/docs/http/ngx_http_core_module.html#var_status

三.模块

  Nginx的模块分为官方的模块和第三方的模块，我们可以通过命令行nginx -V看到很多的--with-XXXX，这些就是Nginx中的模块。

http_stub_status_module模块

  编译选项--with-http_stub_status_module，用于展示Nginx当前处理连接的状态。这个模块默认是没有打开的，它必须要用户显示的server和location模块中进行配置。

使用方式

  我们在nginx.conf中配置好后，通过IP:PORT/mystatus进行访问，会看到以下结果：

  第一行表示当前活跃的连接数，28 28 19分别表示的，Nginx当前接受的握手次数，Nginx处理的连接数，总的请求数。

random_index模块

image.png该模块使用的比较少，它表示是从目录中随机选取一个主页。语法规则 random_index on | off，默认情况下是random_index off;只能放在location的上下文中。

http_sub模块

这个模块也用的不多，它主要用于对http的响应内容作替换。包含了很多用法：
  sub_filter string replacement 默认是不开启的，可以用在http,server,location中,作用是替换html中的字符。
  sub_filter_last_modified on | off，默认是off，可以用在http,server,location中，作用是否阻止response header中写入Last-Modified，防止缓存，默认是off，即防止缓存。
  sub_filter_once on | off，默认是on,可以用在http,server,location中，作用sub_filter指令是执行一次，还是重复执行，默认是只执行一次。

四.请求限制

  Nginx中可以对连接频率和请求频率做限制。其中连接频率限制的模块是limit_conn_module，请求频率限制的模块是limit_req_module。
  请求和连接到底有什么区别呢？我们知道HTTP协议是建立在TCP协议之上的，客户端在向服务端发起请求的时候，必须先建立三次握手连接，建立完连接之后才开始发送请求，为了保持这个连接我们使用FIN和ACK，这样就可以在一个连接中多次发起请求，因此我们可以说HTTP请求建立在一次TCP连接基础上，一次TCP请求至少产生一次HTTP请求。

  连接限制的语法：
  定义空间：
  limit_conn_zone key zone=name:size 默认是没有的，只能在http中配置，如果说我们想对用户的IP地址做限制，那么这里的key我们可以配置成$remote_addr，这里的name可以随便命名，size设置大小
  limit_conn zone number;这里的zone必须和上面的limit_conn_zone中的name对应，number表示的是连接数，默认是没有的，可以在http,server,location中配置。
  请求限制的语法：
  定义空间：
  limit_req_zone key zone=name:size rate=rate默认是没有的，只能在http中配置
  limit_req zone name [burst=number] [nodelay];这里的zone必须和上面的limit_req_zone中的name对应，number表示的是连接数，默认是没有的，可以在http,server,location中配置;burst爆发的意思，这个配置的意思是设置一个大小为N的缓冲区，当有大量请求（爆发）过来时，超过了访问频次限制的请求可以先放到这个缓冲区内;nodelay，如果设置，超过访问频次而且缓冲区也满了的时候就会直接返回503，如果没有设置，则所有请求会等待排队.

  实战

具体使用

  $binary_remote_addr是限制同一客户端ip地址,binary_remote_addr和remote_addr其实是一样的，但是binary_remote_addr要更节省空间。1m 可以储存 32000 个并发会话。zone=req_zone:1m表示生成一个大小为1M，名字为req_one的内存区域，用来存储访问的频次信息;rate=1r/s表示允许相同标识的客户端的访问频次，这里限制的是每秒1次，还可以有比如30r/m的。这里我使用abtest来演示一下各种情况：

  测试一：

配置每秒钟最多一次请求：

limit_conn_zone $binary_remote_addr zone=conn_zone:1m;
    limit_req_zone $binary_remote_addr zone=req_zone:1m rate=1r/s;
server {
    listen       80;
    server_name  localhost;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;
    location /mystatus{
        stub_status;
    }
    location / {
        root   /usr/share/nginx/html;
        #limit_conn conn_zone 1;
        #limit_req zone=req_zone burst=3 nodelay;
        #limit_req zone=req_zone burst=3;
        limit_req zone=req_zone;
        index  index.html index.htm;
    }

使用abtest发起请求，设置并发数20，发起20次请求。测试结果，成功1次，失败19次，符合预期：

查看nginx错误日志，图中刚好有19个error记录，而且是被限制了，符合预期：

  测试二：

设置一个大小为3的缓冲区，超过访问频次限制的请求将会放入到缓冲区中：

    limit_conn_zone $binary_remote_addr zone=conn_zone:1m;
    limit_req_zone $binary_remote_addr zone=req_zone:1m rate=1r/s;
server {
    listen       80;
    server_name  localhost;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;
    location /mystatus{
        stub_status;
    }
    location / {
        root   /usr/share/nginx/html;
        #limit_conn conn_zone 1;
        limit_req zone=req_zone burst=3 nodelay;
        #limit_req zone=req_zone burst=3;
        #limit_req zone=req_zone;
        index  index.html index.htm;
    }

使用abtest发起请求，设置并发数20，发起20次请求。测试结果，成功4次，失败16次，符合预期，因为第一次成功后，超过了请求限制，放了3个请求到缓冲区中，所以总共成功4个：

查看nginx错误日志，图中刚好有16个error记录，而且是被限制了，符合预期：

  测试三：

设置最大连接数为1：

        limit_conn conn_zone 1;
        #limit_req zone=req_zone burst=3 nodelay;
        #limit_req zone=req_zone burst=3;
        #limit_req zone=req_zone;
        index  index.html index.htm;
    

使用abtest发起请求，设置并发数20，发起20次请求。测试结果，成功20次，失败0次，符合预期：

查看nginx错误日志，无任何错误日志，符合预期。

五.Nginx的访问控制

基于IP的访问控制

  nginx的http_access_module模块实现的，相关语法如下图所示：

相关语法
  使用方式之阻止某一个IP访问页面
  配置nginx.conf

server {
    listen       80;
    server_name  localhost;

    #charset koi8-r;
    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    location ~ ^/admin.html {
        root   /usr/share/nginx/html;
        deny 180.158.232.219;
        allow all;
        index  index.html index.htm;
    }

~表示模式匹配，这里我们表示凡是访问admin.html的请求，阻止180.158.232.219的访问，同时允许所有的IP访问。结果如下图所示：

  使用方式之只允许某一个IP访问页面
  配置nginx.conf

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

#    location ~ ^/admin.html {
#        root   /usr/share/nginx/html;
#        deny 180.158.232.219;
#        allow all;
#        index  index.html index.htm;
#    }

    location ~ ^/admin.html {
        root   /usr/share/nginx/html;
        allow 180.158.232.219;
        deny all;
        index  index.html index.htm;
    }

请求成功：

  那么http_access_module有什么局限性呢？

  如何解决呢
解决方式
  http_x_forwarded_for方式
x_forwarded_for与remote_addr的比较
  X-Forwarded-For 是一个扩展头。HTTP/1.1（RFC 2616）协议并没有对它的定义，它最开始是由 Squid 这个缓存代理软件引入，用来表示 HTTP 请求端真实 IP，现在已经成为事实上的标准，被各大 HTTP 代理、负载均衡等转发服务广泛使用.如果一个 HTTP 请求到达服务器之前，经过了三个代理 Proxy1、Proxy2、Proxy3，IP 分别为 IP1、IP2、IP3，用户真实 IP 为 IP0，那么按照 XFF 标准，服务端最终会收到以下信息X-Forwarded-For: IP0, IP1, IP2。是不是这种方式就很稳了呢？答案是否定的。因为X-Forwarded-For是一个协议要求的，并不是所有的代理厂商或者CDN厂商会按照要求来做，而且这个X-Forwarded-For作为头信息极有可能被客户端修改。

  基于用户的信任登录

  是nginx的http_auth_basic_module模块实现的，使用方式可以具体参考http://nginx.org/en/docs/http/ngx_http_auth_basic_module.html 这里不再赘述
  Nginx的基础篇就讲到这里，欢迎大家指正，下一篇文章我将介绍如何使用Nginx作为静态资源Web服务。