基于Nginx的中间件架构（一）：配置语法、Nginx模块、请求限制和访问控制、静态WEB服务

1、I/O介绍和Nginx简介

1.1 I/O 类型(理解)

同步和异步：关注的是消息通知机制；

同步： 调用发出以后不会当即返回，但一旦返回，则返回最终结果；

异步：调用发出以后，被调用方当即返回消息，但返回的并不是最终结果。被调用者经过状态、通知机制等来通知调用者，或经过回调函数来处理结果；

阻塞block和非阻塞nonblock：关注的是调用者等待被调用者返回调用结果时的状态。

阻塞： 调用结果返回以前，调用者会被挂起，调用者只有在获得返回结果以后才能继续。

非阻塞：调用者在结果返回以前，不会被挂起；

1.2 I/O模型

blocking IO：阻塞式IO 
nonblocking IO：非阻塞IO
multiplexing：多路复用IO 
signal driven IO：事件驱动式IO 
asynchronous IO：异步IO

真正执行IO过程的阶段是内核内存数据拷贝到进程内存中。

1.3 Nginx优势

Nginx（发音同 engine x）是一个异步框架的 Web服务器，也能够用做 反向代理， 负载平衡器 和 请求分发。

1.3.1 I/O多路复用（重点）

多个描述符的IO操做都可以在 一个线程内并发交替的顺序完成，这就叫作IO多路复用，这里的复用指的是复用同一个线程。（就像多个学生同时完成做业，同时共享一个老师，学生作完做业举手请求老师。）

select：线性遍历，效率低，监视文件描述符的数量存在最大限制为1024。
epoll：每当FD就绪，采用系统的回调函数之间将FD放入，效率更高，最大链接无限制。（例：服务器告诉老板给顾客结帐，'select'只告诉老板有客人结帐，老板须要挨个询问，而'epoll'同时告诉老板是哪些顾客要结帐。）
Nginx就是采用的epoll模型。

1.3.2 轻量级

一、功能模块少
二、代码模块化（易读易开发）

1.3.3 CPU的亲和（affinity）

nginx的CPU的亲和，有多个工做进程运行方式减小性能损耗，是一种把CPU核心和nginx工做进程绑定方式，把每一个worker进程固定在一个cpu上执行，减小切换cpu的cache miss，得到更好的性能。

1.3.4 sendfile

不经过User space,减小静态文件用户空间切换，直接经过内核零拷贝，明显提升传输效率。

2、配置语法（很是经常使用）

2.1 默认配置语法

nginx.conf 做为主配置文件
include /etc/nginx/conf.d/*.conf 读到这会把该目录的.conf也读进来

一、全局性的和服务级别的

user 设置使用用户
worker_processes 进行增大并发链接数的处理 跟cpu保持一致 八核设置八个
error_log nginx的错误日志
pid  nginx服务启动时候pid

二、event对事件的模块

worker_connections 一个进程容许处理的最大链接数
use 定义使用的内核模型

三、server

root 首页的路径
index 首页默认访问哪一个页面
error_page 500 502 503 504  /50x.html  错误页面 前面的500是**`http状态码`**

systemctl restart nginx.service 重启nginx
systemctl reload nginx.service 不关闭服务柔和地重启

2.2 HTTP

curl -v http://www.baidu.com >/dev/null #-v 同时显示状态码等信息
nginx -V #显示nginx版本及配置文件等信息

2.3 日志

日志类型：error.log和access.log

error.log（记录处理http请求的错误状态以及nginx自己服务的错误状态）
access.log（每次http请求的访问状态）

log_format：设置了日志的记录格式，定义日志以什么样的样式记录到error.log、access.log中，log_format的配置只能配置在http模块中。

access_log配置在http中。

2.4 变量

3、Nginx模块

Nginx官方模块
第三方模块

3.1 默认模块

http_stub_status_module：监控NGINX客户端状态

location /mystatus{
        stub_status;
        }

浏览器访问：www.xxxx.com/mystatus

random_index off | on 写在默认的配置文件loaction 里面，这个配置是随机访问主页页面，若是有隐藏的主页面则不会访问（以.开头的文件）

sub_filter 字符串替换
sub_filter_once默认是开启（on）只替换一个，改成off的话，多个要替换的都会替换掉；这个配置做用在 http server location这三个做用域中

4、请求限制和访问控制

4.1 请求限制

limit_conn_module 链接频率限制
limit_req_module 请求频率限制

HTTP请求事创建在 TCP之上的，会进行三次握手；
长链接： keepalive。

连接限制：

请求限制：

Syntax: limit_req_zone key zone=name:size rate =rate;
Default:——
Context:http

Syntax: limit_req_zone=name [burst=number] [nodelay];
Default:——
Context:http,server,location

存储remote_add回避binary_remote_addr多10个字节

CentOS 7 安装 ab（Apache Benchmark）压力测试工具

sudo yum -y install httpd-tools

ab -n 50 -c 20 http://www.xxx.com/xxx.html # -n 发起的请求数  -c 并发数

4.2 访问控制

4.2.1 基于IP的访问控制 - http_access_module

Syntax: allow address | CIDR | unix: | all;
  Default:——
  Context:http,server,location,limit_except

  Syntax:deny address | CIDR | unix: | all;
  Default:——
  Context:http,server,location,limit_except

location ~(模式匹配)

4.2.2 基于用户的信任登陆 - http_auth_basic_module

5、静态资源WEB服务

5.1 静态资源类型

5.2 静态资源服务场景-CND

5.3 压缩与解压缩

5.4 浏览器缓存(重要)

5.4.1 浏览器无缓存

5.4.2 浏览器有缓存

5.4.3 校验过时机制

5.4.4 配置语法 - expires

5.5 跨站访问

5.5.1 为何浏览器禁止跨站访问

不安全，容易出现 CSRF攻击！

5.6 防盗链（重要)

防止资源被盗用

防盗链思路：

首要方式：区别哪些请求时非正常的用户请求

5.6.1 基于http_refer防盗链配置模块

curl -I http://api.go-qxd.com/static/images/nx-xds-logo.jpg # 只请求头信息    
curl -e "http://baidu.com" -I http://api.go-qxd.com/static/images/nx-xds-logo.jpg #表示从百度refer过去的

下一篇：基于Nginx的中间件架构（二）：代理服务、负载均衡、缓存服务、动静分离

参考视频资料：Nginx入门到实践 不论是运维仍是开发 Nginx都是你的必备技能