web架构2------(nginx多站点配置,include配置文件,日志,basic认证,ssl认证)
一.前言
前面我们介绍了一下nginx的安装和基础配置,今天继续来深入讲解一下nginx的其他配置
二.nginx多站点配置
一个nginx上可以运行多个网站。有多种方式:
http:// + ip/域名 + 端口 + URI
其中,ip/域名变了,那么网站入口就变了,端口变了,网站入口也变了,而每个网站都需要有自己的入口
2.1 多端口
[root@web01 nginx]# cat nginx.conf
worker_processes 2;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
charset utf-8;
# 8yy复制8行,小p黏贴
server {
listen 80;
server_name localhost;
location / {
root /html/one;
index index.html index.htm;
}
}
server {
listen 81;
server_name localhost;
location / {
root /html/two;
index index.html index.htm;
}
}
server {
listen 82;
server_name localhost;
location / {
root /html/three;
index index.html index.htm;
}
}
}
[root@web01 nginx]# mkdir -p /html/{one,two,three}
[root@web01 nginx]# echo 'one' >/html/one/index.html
[root@web01 nginx]# echo 'two' >/html/two/index.html
2.2 多ip
我们首先要给centos7配置一下多个ip
[root@web01 three]# cd /etc/sysconfig/network-scripts/
[root@web01 network-scripts]# ls
[root@web01 network-scripts]# vim ifcfg-ens33
TYPE="Ethernet"
BOOTPROTO="static"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR1=192.168.61.139
IPADDR2=192.168.61.140
IPADDR3=192.168.61.141
NETMASK=255.255.255.0
GATEWAY=192.168.20.2
DNS1=223.5.5.5
# 保存退出
# 重启网卡服务:systemctl restart network,查看ip地址:
[root@web01 network-scripts]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:37:68:fd brd ff:ff:ff:ff:ff:ff
inet 192.168.61.139/24 brd 192.168.61.255 scope global noprefixroute ens33
valid_lft forever preferred_lft forever
inet 192.168.61.140/24 brd 192.168.61.255 scope global secondary
noprefixroute ens33
valid_lft forever preferred_lft forever
inet 192.168.61.141/24 brd 192.168.61.255 scope global secondary
noprefixroute ens33
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe37:68fd/64 scope link
valid_lft forever preferred_lft forever
多个ip地址都配置好了。那么之前的三个网站,我们调整一下配置即可,每个网站就可以都用80端口了。
[root@web01 nginx]# vim nginx.conf
worker_processes 2;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
charset utf-8;
server {
listen 80;
server_name localhost;
location / {
root /html/one;
index index.html index.htm;
}
}
server {
listen 192.168.61.139:80;
server_name localhost;
location / {
root /html/two;
index index.html index.htm;
}
}
server {
listen 192.168.61.140:80;
server_name localhost;
location / {
root /html/three;
index index.html index.htm;
}
}
}
[root@web01 nginx]# mkdir -p /html/{one,two,three}
[root@web01 nginx]# echo 'one' >/html/one/index.html
[root@web01 nginx]# echo 'two' >/html/two/index.html
2.3 多域名
多ip的方式其实也不太好,因为如果我们的多网站想在互联网上被公网访问,那么就需要多个ip,而公 网ip是收费的。那么有一种省钱的方式,就是多域名方式。
server {
listen 80;
server_name a.xxx.com;
location / {
root /html/one;
index index.html index.htm;
}
}
server {
listen 80;
server_name b.xxx.com;
location / {
root /html/two;
index index.html index.htm;
}
}
server {
listen 80;
server_name c.xxx.com;
location / {
root /html/three;
index index.html index.htm;
}
}
因为xxx.com不是我的,我们直接通过浏览器访问www.xxx.com可能会访问别人的网站,我们现在 做实验想暂用一下这个域名,那么我们可以修改我们物理机系统的hosts文件,添加一个ip和域名的对应 关系即可,因为hosts文件的优先级比DNS服务器要高
# C:\Windows\System32\drivers\etc\hosts
192.168.61.139 a.xxx.com b.xxx.com c.xxx.com # cmd来ping一下域名ping a.xxx.com
# cmd来ping一下域名
ping a.jaden.com
然后通过浏览器访问即可,可以看到一个ip地址可以对应多个域名,一个域名可以在nginx上配置一个站 点。这也是很多网站的玩法,多个域名指向了同一个网站。
自助建站服务好多都是这么玩的,他公司自己买个服务器,买个公网ip,买个域名,然后开一个自助建 站的网站,用户就可以来网站上注册账号,他就给用户分配个子域名,帮用户创建一个站点根目录,nginx上配置一下,再开一个ftp服务,让用户自己可以上传网站代码,这就搞定了,每年收个几百上千 的,也能挣钱。往往一个服务器上可能都能跑几百个网站。 那么这就有问题了,如果每来一个我们就在nginx主配置文件中添加一个server记录,那么nginx配置文 件会变得很大,很难管理,所以要换一种方式来管理配置文件,将每个人的配置都单独拆分出来即可。
三. include配置文件
[root@web01 nginx]# cat nginx.conf
worker_processes 2;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
charset utf-8;
include /etc/nginx/conf.d/*.conf; # 加载外部以.conf结尾的配置文件,如果你的路径下没 有conf.d就自行创建一个-- mkdir conf.d
}
[root@web01 conf.d]# cat d_com.conf
server {
listen 80;
server_name d.com;
location / {
root /html/four;
index index.html index.htm;
}
}
# nginx官网:www.nginx.org
# 可以在documentation文档中找到默认站点配置方式,下面这个网站就变成了默认网站,当访问的域名nginx不能匹配到对应网站时,就自动打开下面这个网站。
[root@web01 conf.d]# cat c_com.conf
server {
listen 80 default_server;
server_name c.com;
location / {
root /html/three;
index index.html index.htm;
}
}
四.nginx日志
现在web服务器都必须要开启日志记录功能,而且记录必须超过半年,这是网络安全法规定的。https://www.wangan.com/wenda/6791
之前我们也看过日志,系统的安全日志,就是ssh登录的时候我们看的,如下
[root@web01 conf.d]# cat /var/log/secure
登录系统就会被记录。
web服务程序也是一样,每次有人请求我们,我们就把本次请求相关信息给记录下来,有了记录,那么 如果服务器被网络攻击了,那么我们就可以在日志中去分析是谁在什么时候攻击我们的,什么样的攻 击,哪些成功了,哪些失败了。方便我们后面进行攻击溯源。
nginx默认已经帮我们记录了日志,在 /var/log/nginx/ 目录下面。
[root@web01 conf.d]# ls /var/log/nginx/
access.log access.log-20230412 error.log error.log-20230412
#每个日志是会按照当 天的日期进行切割
# 我们清空一下日志
[root@web01 nginx]# > access.log
[root@web01 nginx]# cat access.log
# 访问一下网站,再看日志
[root@web01 nginx]# cat access.log
192.168.61.1 - - [12/Apr/2023:15:17:44 +0800] "GET /icon/duimutou.png HTTP/1.1" 200 78796 "http://b.jaden.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36"
# 304状态码表示客户端浏览器用的是浏览器缓存页面,所以看到后面是0,表示没有响应任何数据
上面是访问日志的简单查看,除了访问日志,nginx还有错误日志。
4.1 错误日志
[root@web01 nginx]# cat error.log
2023/04/12 11:34:25 [error] 2342#2342: *1 open() "/web/one/favicon.ico" failed (2: No such file or directory), client: 192.168.61.1, server: localhost, request: "GET /favicon.ico HTTP/1.1", host: "192.168.61.139", referrer: "http://192.168.61.139/"
#没有favicon.ico文件,可以切换到站点目录中去下载一个:wget https://www.mi.com/favicon.ico
# 还有人故意访问一个错误的路径,让你的网站报错,显示出nginx的版本。
error_log /opt/nginx_error.log info;
4.2 访问日志
# 定制日志记录格式:这个必须配置在在server配置外面
log_format compression '$remote_addr - $remote_user [$time_local] '
'"$request" $status $bytes_sent '
'"$http_referer" "$http_user_agent" "$gzip_ratio"';
# compression可以理解为是这个格式的名字,谁想用这个格式,谁就用这个名字来指定格式
192.168.61.1 - - [12/Apr/2023:14:19:59 +0800] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36"
# $remote_addr 客户端的ip地址
# $remote_user 客户端的用户名
# $time_local 当前时间
# $request 请求起始行
# $status http状态码
# $bytes_sent 响应资源的大小
# $http_referer 记录资源的跳转地址
# $http_user_agent 用户的终端信息
# $gzip_ratio gzip的压缩级别
# 比如我们想让日志记录一下请求时间、客户端ip、请求uri、状态码、文件大小
# vim /etc/nginx/nginx.conf
worker_processes 1;
events {
worker_connections 1024;
}
http {
log_format test '[$time_local] $remote_addr "$request" $status $bytes_sent';
include mime.types;
default_type application/octet-stream;
charset utf-8;
include /etc/nginx/conf.d/*.conf;
}
# 每个网站都可以单独记录自己的日志
[root@web01 nginx]# cd conf.d/
[root@web01 conf.d]# ls
a.xxx.com.conf.stop b.jaden.com.conf c.xxx.com.conf
[root@web01 conf.d]# vim b.xxx.com.conf
server {
listen 80;
server_name b.xxx.com;
access_log /opt/nginx/b.xxx.com_log test; # test是上面指定的日志格式的名 称,/opt/目录下面没有nginx目录,需要我们手动创建,这个目录是随意指定的昂,mkdir /opt/nginx, 还要授权:chown nginx:nginx /opt/nginx,不然nginx用户没办法访问这个目录
location / {
root /web/two;
index index.html index.htm;
}
}
# 改完之后,重启nginx,然后访问网站,看一下/opt/nginx目录,看看日志格式。
# access_log /var/log/nginx/access.log compression;
# access_log /opt/nginx/access.log compression; # /opt/目录需要授权,不然没办法记录进 去
# 注意:错误日志的格式我们是不能自定义的,顶多能修改错误日志的保存路径。
#官方文档http://nginx.org/en/docs/http/ngx_http_log_module.html
五.开启basic认证
有些网站会开启一个叫做basic认证的东西,basic认证叫做http基本认证,就是给我们的网站多一把 锁,防止恶意访问,比如访问一些敏感后台路径等操作。
比如我们搭建的那个游戏网站,我只想自己玩,不想让其他人玩,就可以加上个basic认证。
首先生成一个叫做htpasswd的账号密码文件,有很多在线网站就能生成,如下
把生成的密码保存下来,比如保存到 /etc/nginx/htpasswd 文件中
vim /etc/nginx/htpasswd
# 写入刚才保存的用户和密码1111111:B9GTBWD5MLyMQ
然后修改一下nginx下的b网站的配置文件:
auth_basic "b.jaden.com"; #auth_basic表示开启这个功能,"b.xxx.com"是备注信息,随便 写,一些老浏览器能看到,新浏览器都看不到备注信息了。
auth_basic_user_file /etc/nginx/htpasswd; # 这是账号密码存放在哪个位置
如下
[root@web01 nginx]# cd /etc/nginx/conf.d/
[root@web01 conf.d]# ls
a.xxx.com.conf b.xxx.com.conf c.xxx.com.conf
[root@web01 conf.d]# vim b.xxx.com.conf
server {
listen 80;
server_name b.xxx.com;
access_log /opt/nginx/b.xxx.com_log xxx;
location / {
auth_basic "b.xxx.com";
auth_basic_user_file /etc/nginx/htpasswd;
root /web/two;
index index.html index.htm;
}
}
# 保存之后重新启动nginx就可以了
访问b网站效果如下:登录成功之后,在刷新页面就不会再弹出验证框了。
六.ssl证书配置
http协议访问的网站现在默认会显示不安全,因为数据默认是明文传输的。
https是http+ssl,ssl是加密协议,通过证书来进行加密的,安装了证书的网站才会用https协议来交 互,才不会提示不安全。
一般申请证书之前需要先申请一个域名,才有资格申请证书,比如,我的域名是在阿里云上买的,那么 我想申请https的证书,就需要到阿里云上去申请
搜索SSL证书-->证书管理控制台-->SSL证书-->免费证书-->创建证书-->按照操作提交申请即可-->审核通 过后下载证书
# 将证书放到opt目录的cert下,cert需要我们自己创建,其实名字随便起,一般都叫cert,表示证书的意思
[root@web01 conf.d]# cd /opt/
[root@web01 opt]# mkdir cert
[root@web01 opt]# cd cert/
[root@web01 cert]# unzip 9683539_wulaoban.top_nginx.zip [
root@web01 cert]# ls 9683539_wulaoban.top.key 9683539_wulaoban.top.pem 9683539_wulaoban.top_nginx.zip
#阿里云的nginx的证书部署文档中建议如下的配置:
#以下属性中,以ssl开头的属性表示与证书配置有关。
server {
#配置HTTPS的默认访问端口为443。
#如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
#如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。
listen 443 ssl; # http--80 https -- 443
#填写证书绑定的域名
server_name <yourdomain>;
root html;
index index.html index.htm;
#填写证书文件名称
ssl_certificate cert/<cert-file-name>.pem;
#填写证书私钥文件名称
ssl_certificate_key cert/<cert-file-name>.key;
ssl_session_timeout 5m;
#表示使用的加密套件的类型
ssl_ciphers ECDHE-RSA-AES128-GCMSHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#表示使用的TLS协议的类型,您需要自行评估是否配置TLSv1.1协议。
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
location / {
#Web网站程序存放目录
root html;
index index.html index.htm;
}
}
#比如,我们按照自己的网站修改为如下内容:
server {
listen 443 ssl;
server_name www.wulaoban.top;
ssl_certificate /opt/cert/9683539_wulaoban.top.pem;
ssl_certificate_key /opt/cert/9683539_wulaoban.top.key;
ssl_session_timeout 5m;
#表示使用的加密套件的类型
ssl_ciphers ECDHE-RSA-AES128-GCMSHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#表示使用的TLS协议的类型,您需要自行评估是否配置TLSv1.1协议。
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; # 如果不加TLSv1.1,就删掉
ssl_prefer_server_ciphers on;
location / {
#Web网站程序存放目录
root /web/www.wulaoban.top;
index index.html index.htm;
}
}
# 在/web目录下创建一个名叫www.wulaoban.top的文件夹
总结:
第一步:申请域名,然后申请证书,把证书下载下来
第二步:修改nginx对应网站的配置文件
第三步:准备站点源代码
#第四步:因为大家没有真实域名,所以我们还需要修改hosts文件,加一个dns解析记录192.168.61.139 www.xxx.top
第五步:访问https://www.xxx.top/smallboll/
另外:我们还可以把smallboll里面的文件拷贝到站点根目录中,就不用加上/smallboll/来访问了。
七.总结
大家肯定是看完就忘了,而我觉得大家可以了解个大概,点赞关注加收藏,需要用到的时候再来仔细看。