nginx详细讲解(nginx+)

nginx详细讲解

apache是通过mod_php来解析phpnginx是通过php-fpm(fast-cgi)来解析php1.PHP解释器是否嵌入Web服务器进程内部执行mod_php通过嵌入PHP解释器到Apache进程中，只能与Apache配合使用，而cgi和fast-cgi以独立的进程的形式出现，只要对应的Web服务器实现cgi或者fast-cgi协议，就能够处理PHP请求。

mod_php这种嵌入的方式最大的弊端就是内存占用大，不论是否用到PHP解释器都会将其加载到内存中，典型的就是处理CSS、JS之类的静态文件是完全没有必要加载解释器。我还是比较推荐你去后盾人上面看看里面有很多关于这类php之类的教学讲解视频哦你可以去看看

nginx+

1，下载PHP

　　php下载版本比较多，其中，

　　vc9=vs2008编译，推荐使用IIS+php搭配模式，

　　vc6=vs6编译，推荐使用apache+php方式搭配，

　　Thread Safe，线程安全，执行时会进行线程（Thread）安全检查，以防止有新要求就启动新线程的CGI执行方式而耗尽系统资源。Non Thread Safe是非线程安全，在执行时不进行线程（Thread）安全检查。

　　Non Thread Safe，

　　再来看PHP的两种执行方式：ISAPI和FastCGI。

　　ISAPI执行方式是以DLL动态库的形式使用，可以在被用户请求后执行，在处理完一个用户请求后不会马上消失，所以需要进行线程安全检查，这样来提高程序的执行效率，所以如果是以ISAPI来执行PHP，建议选择Thread Safe版本；

　　而FastCGI执行方式是以单一线程来执行操作，所以不需要进行线程的安全检查，除去线程安全检查的防护反而可以提高执行效率，所以，如果是以FastCGI来执行PHP，建议选择Non Thread Safe版本。

　　官方并不建议你将Non Thread Safe 应用于生产环境，所以我们选择Thread Safe 版本的PHP来使用。

2，配置php

　　解压到某个目录，如c:/php345

　　将php.ini-development重命名为php.ini

　　fastcgi.impersonate=1 默认为0，如果使用IIS，你需要开启：cgi.fix_pathinfo=1

　　cgi.force_redirect=0 默认开启，如果你使用IIS，可以将其关闭

　　其次指定extension_dir目录和date.timezone目录

　　extension_dir = "C:/php53iis/ext"

　　date.timezone= Asia/Shanghai

　　修改PHP.INI配置文件中的cgi.fix_pathinfo = 1，PHP 会修正 SCRIPT_FILENAME 为真实的文件地址，否则 PHP 将无法找到需要处理的 PHP 文件。

3，配置nginx

　　解压nginx，如c:/nginx

　　设定error.log的存放目录，将#error_log logs/error.log;的#去处，默认error.log是存放在Nginx安装目录中logs目录下。

nginx详细教程

　　ngx_upload模块是nginx中一个文件上传模式了，下面我们来看看nginx安装文件上传ngx_upload模块步骤，希望例子对各位有帮助.

　　安装nginx，并加入nginx upload module和nginx cache purge module:

　　mkdir ~/download

　　cd ~/download

　　wget http://www.grid.net.ru/nginx/download/nginx_upload_module-2.0.12.tar.gz

　　tar zxf nginx_upload_module-2.0.12.tar.gz

　　git clone https://github.com/FRiCKLE/ngx_cache_purge.git

　　yum groupinstall "Development Tools"

　　yum install pcre-devel zlib-devel openssl-devel

　　wget http://nginx.org/download/nginx-1.2.3.tar.gz

　　tar zxf nginx-1.2.3.tar.gz

　　cd nginx-1.2.3

　　./configure --prefix=/usr/local/nginx --with-pcre --with-http_ssl_module --add-module=../nginx_upload_module-2.0.12 --add-module=../ngx_cache_purge

　　make && make install

　　尝试启动：

　　/usr/local/nginx/sbin/nginx

　　ps aux | grep nginx

　　假如我的网站是放在 /home/mysite/www 下的，而nginx配置文件就放在 /home/mysite/etc 下：

　　省略了很多内容的配置文件，mysite.conf：

　　server {

　　listen 80;

　　server_name 192.168.1.123;

　　client_max_body_size 20M;

　　location /upload {

　　include /home/mysite/etc/nginx/ngx_upload.conf;

　　}

　　....其他的配置....

　　location @after_upload {

　　proxy_pass http://www_backend;

　　}

　　}

　　将nginx_upload.conf独立开来，是因为其他网站也可以包含此上传配置文件：

　　nginx_upload.conf：

　　upload_pass @after_upload;

　　upload_pass_args on;

　　upload_cleanup 400 404 499 500-505;

　　upload_store /home/mysite/www/uploads/tmp;

　　upload_store_access user:r;

　　upload_limit_rate 128k;

　　upload_set_form_field "${upload_field_name}_name" $upload_file_name;

　　upload_set_form_field "${upload_field_name}_content_type" $upload_content_type;

　　upload_set_form_field "${upload_field_name}_path" $upload_tmp_path;

　　upload_aggregate_form_field "${upload_field_name}_md5" $upload_file_md5;

　　upload_aggregate_form_field "${upload_field_name}_size" $upload_file_size;

　　upload_pass_form_field "^.*$";

　　而最后那个参数：upload_pass_form_field，代表可以将表单的所有参数保持原样传递到后端，需要区分文件保存类型时很有用。

nginx -h

以Nginx对OpenSSL的使用为入口，来分析OpenSSL的API的模型。OpenSSL是两个库，如果以握手为目的只会使用libssl.so这个库，但是如果有加密的需求，会使用libcrypto.so这个库。Nginx中对于OpenSSL的使用大部分是直接使用的libssl.so的接口API的，但是仍然会有少部分使用libcrypto.so。除了Nginx，本章还会分析一个s_server程序，通过这个程序的设计，能够对OpenSSL的内部架构有一个初探。

Nginx的Stream中SSL的实现

Nginx的Stream Proxy中有对于SSL的Terminator的支持。这个终端的意思是可以在Nginx层面把SSL解掉，然后把明文传输给后端。也就是说支持SSL的Nginx的Stream模块实际上是一个TLS的握手代理，将TLS信道在本地解了再发送到后端，所以整个过程是一个纯粹的握手过程，至于ALPN这种功能就需要后端与TLS的配合才可以，所以这种行为在stream 的SSL中是不能支持的。

这是一个Nginx的Stream SSL模块相关的函数列表，主要的Stream模块特有的功能也都就在这个列表里了。可以看到除去配置和模块的整体初始化函数，只剩下一个连接初始化，ssl的入口handler和握手的handler。显然握手的handler是入口handler的深入部分。鉴于Nginx的异步模型，可以很容易的想到是Nginx在收到一个连接的时候首先使用ssl_handler作为通用入口，在确定是SSL连接之后就会切换到handshaker_handler作为后续的握手handler函数。

但是Nginx在支持SSL的时候并不是这样的轻松，因为大量的SSL相关函数在ngx_event_openssl.c文件里，这个文件里的函数被HTTP模块和Stream模块或者其他需要SSL支持的模块共同使用。包括Session Cache等Nginx重新实现的OpenSSL功能。通过这个例子可以看到如果要自己实现一个SSL支持，我们需要两个东西，一个是SSL的用户端的接口封装库（ngx_event_openssl.c），一个是如何把封装库的逻辑嵌入到我们的代码流程的逻辑。Nginx作为一个强大的负载均衡设备，这一部分的接口嵌入应该是要追求的最小化实现的。也就是说Stream模块相关的代码越少越好（ngx_stream_ssl_module.c）。所以我们可以看到几乎就几个钩子函数的定义。

无论是Stream还是HTTP模式，整个TLS握手的核心函数都是ngx_ssl_handshake函数。我们看这个函数就能看到一个企业级的握手接口的使用案例。以下是一个简化版的函数流程：

以上是一个同步版本的大体逻辑，异步版本的就没有显示。可以看到主要的SSL握手的入口函数是SSL_do_handshake。如果握手正常，函数返回1之后，使用SSL_get_current_cipher或得到服务器根据客户端发来的密码学参数的列表选择得到的密码学套件。这里会返回服务器选择的那个，如果返回为空，那么就代表了服务器没有找到匹配的套件，连接就不能继续。SSL_CIPHER_description函数输入活的指针，返回一个字符串格式的套件的描述信息，Nginx这里使用了这个信息，最后一步就是查找当前的Session Cache中是否有可以复用的逻辑。这里只是一个查询，并不是就是复用的决定。因为是否复用是在连接建立之前由配置决定的，如果Nginx配置了不使用OpenSSL的Session Cache，这个查询就会一直返回0，表示没有被复用。而且这里查询的OpenSSL中是否有复用，并不代表Nginx内部是否有复用，Nginx内部还有一套自己的Session Cache实现，但是使用SSL_开头的API函数都是OpenSSL的接口。

这个简单的接口可以看出对OpenSSL的API的使用的一些端倪。OpenSSL提供的API非常多，我们写一个简单的示例程序仅仅会用到几个最简单的接口，例如SSL_new等。但是一个正式的项目，会用到很多细节的API接口。由于OpenSSL只会暴露他认为应该暴露的API函数出来给调用者使用，其他的函数调用者是用不到的，并且OpenSSL内部的结构体外部也是不能使用的，所以使用者所有的行为都是要基于API进行设计。

OpenSSL分为libcrypto.so和libssl.so两个库。在使用TLS握手的时候，主要的调用API都位于ssl.h文件中定义，都是SSL_开头的API。但是这并不意味着只能调用libssl.so的接口，高级的用户并不是想要使用OpenSSL的TLS握手功能，完全可以直接调用libcrypto.so里面的各种各样的密码学库。总的来说libssl.so是一个TLS握手库，而libcrypto.so是一个通用的密码学的库。只是libssl.so的握手使用的密码学是完全依赖libcryto.so中提供的。也就是因此，在使用TLS握手的时候，是基本上不会直接用到libcrypto.so中的API的。

s_server

openssl s_server是一个简单的SSL服务器，虽然说是简单，但是其中包含了大部分用户SSL编程需要考虑的东西。证书，密码，过期校验，密码学参数定制，随机数定制等等。这是一个功能性的程序，用于验证openssl内部的各项SSL握手服务器的功能是否能够正常使用，并不能用于直接服务于线上业务。

s_server程序启动的第一步是解析各种参数，在正常运作的时候，第一步是加载key。

我们看到OpenSSL内部调用的函数和在使用OpenSSL库接口的时候是不一样的，OpenSSL的子程序会调用一些内部的接口。比如这里使用了ENGINE_init，直接初始化了底层的引擎系统。ENGINE系统是OpenSSL为了适配下层不同的数据引擎设计的封装层。有对应的一系列API，所有的ENGINE子系统的API都是ENGINE_开头的。一个引擎代表了一种数据计算方式，比如内核的密码学套件可以有一个专门的OpenSSL引擎调用到内核的密码学代码，QAT硬件加速卡也会有一个专门的引擎，OpenSSL自己的例如RSA等加密算法的实现本身也是一个引擎。这里在加载key的时候直接初始化一个引擎，这个引擎在init之前还要先调用一个setup_engine函数，这个函数能够设置这个将要被初始化的引擎的样子。s_server之所以要自己用引擎的API接口是因为它支持从命令行输入引擎的参数，指定使用的引擎。

可以看到，如果指定了auto，就会加载所有默认的引擎。如果指定了特定ID的引擎，就只会加载特定的引擎。一个引擎下面是所有相关的密码学的实现，加载key就是一个密码学层面的操作，所以也要使用ENGINE提供的接口。事实上，最后都是分别调用了对应的ENGINE的具体实现，这中间都是通过方法表的指针的方式完成的。ENGINE定义的通用的接口还有很多，这里只是用到了加载密钥。

表内都是对不同的EVP_CIPHER和EVP_MD的接口的定义。

我们回到加载key的函数，继续阅读发现一个 key = bio_open_default(file, 'r', format); 这个key是一个BIO类型的指针，这个BIO类型的指针就是另外一个OpenSSL的子系统，所有的IO操作都会被封装到这个子系统之下。例如这里使用的文件IO，用于从文件中读取key的结果。BIO被设计为一个管道式的系统，类似于Shell脚本中见到的管道的效果。有两种类型的BIO，一种是source/sink类型的，就是我们最常见的读取文件或者Socket的方式。另外一种是管道BIO，就是两个BIO可以通过一个管道BIO连接起来，形成一个数据流。所以BIO的方式是一个很重量级的IO系统的实现，只是目前只是被OpenSSL内部使用的比较多。

继续向下阅读加载密钥的函数，会发现PEM_read_bio_PrivateKey函数，这一步就是实际的从一个文件中读取密钥了。我们现在已经有了代表文件读写的BIO，代表密码学在程序中的封装EVP，中间缺的桥梁就是文件中密钥存储的格式。这里的以PEM_开头的函数就代表了PEM格式的API。PEM是密码学的存储格式，PEM_开头的API就是解析或者生成这种格式的API，当然它需要从文件中读取，所以参数中也会有BIO的结构体，PEM模块使用BIO模块提供的文件服务按照定义的格式将密钥加载到内存。

OpenSSL的所有apps都会共享一些函数，这些函数的实现都在一个apps.c文件中，以上的加载密钥的函数也是其中的一个。s_server程序在调用完load_key之后会继续调用load_cert来加载证书。load_cert使用的子系统与load_key非常类似，类似的还有后面的load_crl函数，CRL（Certificate revocation lists）是CA吊销的证书列表，这项技术已经基本被OCSP淘汰。OpenSSL还提供一个随机数文件的功能，可以从文件中加载随机数。

s_server在加载完相关的密码学相关参数后，就会开始创建上下文，SSL_CTX_new函数的调用就代表了上下文的创建。这个上下文是后面所有SSL连接的母板，对SSL的配置设置都会体现在这个上下文的设置中。随后，s_server会开始设置OpenSSL服务器支持的TLS握手版本范围，分别调用SSL_CTX_set_min_proto_version和SSL_CTX_set_max_proto_version两个函数完成所有操作。

OpenSSL在共享TLS握手的Session时，需要生成一个Session ID，默认的情况，OpenSSL会在内部决定Session ID怎么生成。但是也提供了用户设置这个生成算法的API。s_server程序调用SSL_CTX_set_generate_session_id函数设置一个自己的回调函数，在这个回调函数中就可以完成Session ID的设置，从而取代掉OpenSSL自带的内部Session ID的生成器。OpenSSL在证书协商的时候还会允许外部的库使用者动态的修改采用的证书，这个机制是通过SSL_CTX_set_cert_cb来设置证书回调函数实现的。s_server也有这个函数的设置。程序走到这里，基本能看到OpenSSL的一个很大的特性，就是大部分的内部流程都会提供一个回调函数给使用者来注册，使用者可以按照自己的需求取代掉或者修改OpenSSL内部的功能。显然这个s_server程序是一个功能展示的程序，会用上大量的函数回调点。比如紧接着调用的SSL_CTX_set_info_callback函数就是在生成SSL的时候调用的，可以用于使用者获得状态。不但OpenSSL外部的机制可以在用户端设置，用户甚至可以设置加密算法的参数。例如s_server就会接下来根据用户是否提供DH参数来设置内部的参数。如果调用了SSL_CTX_set_dh_auto就意味着参数是使用内部的机制生成，这也是默认的行为。但是仍然可以提前提供，主要是为了性能的考虑，比如提前提供DH的大素数，DH算法在运算的过程中需要一个取模操作，这个取模是对一个大素数进行取模的，而这个大素数默认是在运行的时候动态生成的，但是我们可以提供这个素数，从而以牺牲一定的安全性为代价换来性能的提高。

s_server在设置完整个上下文之后，就会进入Socket监听和处理的模式。由于BIO框架包含了Socket的能力，所以这一步本质上就是调用BIO的接口。

这是一个典型的OpenSSL的Socket逻辑。BIO_sock_init这个函数在Linux下就是空函数，没有意义。BIO_lookup是一个通用的获取地址的方法，对于Socket就是IP:PORT的字符串，对于文件是文件的目录。BIO_socket意思就相当于在使用Socket变成的socket函数。BIO_listen也就自然对应listen函数，BIO_accept_ex和BIO_closesocket也是类似的意思。整个流程其实就与一个普通的Socket流程没有太大区别，只是BIO多了一层封装。因为OpenSSL是个跨平台的库，这层封装更多的意义在于用在跨平台的应用上的。

通过一个简单的s_server程序的分析可以看到整个OpenSSL的主要设计思路。它对外封装了不同的模块，例如ENGINE，EVP，BIO之类的封装。在大部分的流程上都提供了回调函数API，使用者可以用回调函数来修改OpenSSL原来的逻辑或者获得其他的信息。在使用OpenSSL的时候一般需要遵循类似的流程，就是创建上下文，然后配置上下文，然后运行服务。

nginxe

Nginx是一款高性能的http 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器。由俄罗斯的程序设计师Igor Sysoev所开发，官方测试nginx能够支支撑5万并发链接，并且cpu、内存等资源消耗却非常低，运行非常稳定。

应用场景

1、http服务器。Nginx是一个http服务可以独立提供http服务。可以做网页静态服务器。

2、虚拟主机。可以实现在一台服务器虚拟出多个网站。例如个人网站使用的虚拟主机。

3、反向代理，负载均衡。当网站的访问量达到一定程度后，单台服务器不能满足用户的请求时，

需要用多台服务器集群可以使用nginx做反向代理。并且多台服务器可以平均分担负载，

不会因为某台服务器负载高宕机而某台服务器闲置的情况。

Docker 是一个开源的应用容器引擎，基于 Go 语言 并遵从 Apache2.0 协议开源。

Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。

容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）,更重要的是容器性能开销极低。

nginx 介绍

集群的分类

负载均衡集群（Load Balancing clusters），简称LBC或LB

高可用性集群（High-Availability clusters），简称HAC

高性能计算集群（High-performance clusters），简称HPC

1.负载均衡集群

负载均衡集群为了提供更为实用，性价比更高的系统架构解决方案，可以把很多客户集中的访问请求尽可能平均分摊在计算机集群中处理。

2.高可用性集群

在集群任意一个节点失效的情况下，该节点的所有任务会自动转移到其他正常的节点上，并且不影响真个集群的运行。

3.高性能计算集群

通常，高性能计算集群设置为集群开发的并行应用程序，以解决负复杂的科学问题（天气预报，石油勘探，核反应模拟等）