緩存清理

當(dāng)緩存過多時(shí)，如果不及時(shí)清理會(huì)導(dǎo)致磁盤空間被“吃光”，因此我們需要一套完善的緩存清理機(jī)制去刪除緩存，在之前的proxy_cache_path參數(shù)中有purger相關(guān)的選項(xiàng)，開啟后可以幫我們自動(dòng)清理緩存，但遺憾的是：**purger系列參數(shù)只有商業(yè)版的NginxPlus才能使用，因此需要付費(fèi)才可使用。**

不過天無絕人之路，我們可以通過強(qiáng)大的第三方模塊ngx_cache_purge來替代，先來安裝一下該插件：①首先去到Nginx的安裝目錄下，創(chuàng)建一個(gè)cache_purge目錄：

[root@localhost]#mkdircache_purge&&cdcache_purge

②通過wget指令從github上拉取安裝包的壓縮文件并解壓：

[root@localhost]#wgethttps://github.com/FRiCKLE/ngx_cache_purge/archive/2.3.tar.gz
[root@localhost]#tar-xvzf2.3.tar.gz

③再次去到之前Nginx的解壓目錄下：

[root@localhost]#cd/soft/nginx/nginx1.21.6

④重新構(gòu)建一次Nginx，通過--add-module的指令添加剛剛的第三方模塊：

[root@localhost]#./configure--prefix=/soft/nginx/--add-module=/soft/nginx/cache_purge/ngx_cache_purge-2.3/

⑤重新根據(jù)剛剛構(gòu)建的Nginx，再次編譯一下，但切記不要make install：

[root@localhost]#make

⑥刪除之前Nginx的啟動(dòng)文件，不放心的也可以移動(dòng)到其他位置：

[root@localhost]#rm-rf/soft/nginx/sbin/nginx

⑦從生成的objs目錄中，重新復(fù)制一個(gè)Nginx的啟動(dòng)文件到原來的位置：

[root@localhost]#cpobjs/nginx/soft/nginx/sbin/nginx

至此，第三方緩存清除模塊ngx_cache_purge就安裝完成了，接下來稍微修改一下nginx.conf配置，再添加一條location規(guī)則：

location~/purge(/.*){
#配置可以執(zhí)行清除操作的IP（線上可以配置成內(nèi)網(wǎng)機(jī)器）
#allow127.0.0.1;#代表本機(jī)
allowall;#代表允許任意IP清除緩存
proxy_cache_purge$host$1$is_args$args;
}

然后再重啟Nginx，接下來即可通過http://xxx/purge/xx的方式清除緩存。

八、Nginx實(shí)現(xiàn)IP黑白名單

有時(shí)候往往有些需求，可能某些接口只能開放給對(duì)應(yīng)的合作商，或者購(gòu)買/接入API的合作伙伴，那么此時(shí)就需要實(shí)現(xiàn)類似于IP白名單的功能。而有時(shí)候有些惡意攻擊者或爬蟲程序，被識(shí)別后需要禁止其再次訪問網(wǎng)站，因此也需要實(shí)現(xiàn)IP黑名單。那么這些功能無需交由后端實(shí)現(xiàn)，可直接在Nginx中處理。

Nginx做黑白名單機(jī)制，主要是通過allow、deny配置項(xiàng)來實(shí)現(xiàn)：

allow xxx.xxx.xxx.xxx;#允許指定的IP訪問，可以用于實(shí)現(xiàn)白名單。
deny xxx.xxx.xxx.xxx;#禁止指定的IP訪問，可以用于實(shí)現(xiàn)黑名單。

要同時(shí)屏蔽/開放多個(gè)IP訪問時(shí)，如果所有IP全部寫在nginx.conf文件中定然是不顯示的，這種方式比較冗余，那么可以新建兩個(gè)文件BlocksIP.conf、WhiteIP.conf：

#--------黑名單：BlocksIP.conf---------
deny192.177.12.222;#屏蔽192.177.12.222訪問
deny192.177.44.201;#屏蔽192.177.44.201訪問
deny127.0.0.0/8;#屏蔽127.0.0.1到127.255.255.254網(wǎng)段中的所有IP訪問

#--------白名單：WhiteIP.conf---------
allow192.177.12.222;#允許192.177.12.222訪問
allow192.177.44.201;#允許192.177.44.201訪問
allow127.45.0.0/16;#允許127.45.0.1到127.45.255.254網(wǎng)段中的所有IP訪問
denyall;#除開上述IP外，其他IP全部禁止訪問

分別將要禁止/開放的IP添加到對(duì)應(yīng)的文件后，可以再將這兩個(gè)文件在nginx.conf中導(dǎo)入：

http{
#屏蔽該文件中的所有IP
include/soft/nginx/IP/BlocksIP.conf;
server{
locationxxx{
#某一系列接口只開放給白名單中的IP
include/soft/nginx/IP/blockip.conf;
}
}
}

對(duì)于文件具體在哪兒導(dǎo)入，這個(gè)也并非隨意的，如果要整站屏蔽/開放就在http中導(dǎo)入，如果只需要一個(gè)域名下屏蔽/開放就在sever中導(dǎo)入，如果只需要針對(duì)于某一系列接口屏蔽/開放IP，那么就在location中導(dǎo)入。

當(dāng)然，上述只是最簡(jiǎn)單的IP黑/白名單實(shí)現(xiàn)方式，同時(shí)也可以通過ngx_http_geo_module、ngx_http_geo_module第三方庫去實(shí)現(xiàn)（這種方式可以按地區(qū)、國(guó)家進(jìn)行屏蔽，并且提供了IP庫）。

九、Nginx跨域配置

跨域問題在之前的單體架構(gòu)開發(fā)中，其實(shí)是比較少見的問題，除非是需要接入第三方SDK時(shí)，才需要處理此問題。但隨著現(xiàn)在前后端分離、分布式架構(gòu)的流行，跨域問題也成為了每個(gè)Java開發(fā)必須要懂得解決的一個(gè)問題。

跨域問題產(chǎn)生的原因

產(chǎn)生跨域問題的主要原因就在于「同源策略」，為了保證用戶信息安全，防止惡意網(wǎng)站竊取數(shù)據(jù)，同源策略是必須的，否則cookie可以共享。由于http無狀態(tài)協(xié)議通常會(huì)借助cookie來實(shí)現(xiàn)有狀態(tài)的信息記錄，例如用戶的身份/密碼等，因此一旦cookie被共享，那么會(huì)導(dǎo)致用戶的身份信息被盜取。同源策略主要是指三點(diǎn)相同，「協(xié)議+域名+端口」相同的兩個(gè)請(qǐng)求，則可以被看做是同源的，但如果其中任意一點(diǎn)存在不同，則代表是兩個(gè)不同源的請(qǐng)求，同源策略會(huì)限制了不同源之間的資源交互。

Nginx解決跨域問題

弄明白了跨域問題的產(chǎn)生原因，接下來看看Nginx中又該如何解決跨域呢？其實(shí)比較簡(jiǎn)單，在nginx.conf中稍微添加一點(diǎn)配置即可：

location/{
#允許跨域的請(qǐng)求，可以自定義變量$http_origin，*表示所有
add_header'Access-Control-Allow-Origin'*;
#允許攜帶cookie請(qǐng)求
add_header'Access-Control-Allow-Credentials''true';
#允許跨域請(qǐng)求的方法：GET,POST,OPTIONS,PUT
add_header'Access-Control-Allow-Methods''GET,POST,OPTIONS,PUT';
#允許請(qǐng)求時(shí)攜帶的頭部信息，*表示所有
add_header'Access-Control-Allow-Headers'*;
#允許發(fā)送按段獲取資源的請(qǐng)求
add_header'Access-Control-Expose-Headers''Content-Length,Content-Range';
#一定要有?。?！否則Post請(qǐng)求無法進(jìn)行跨域！
#在發(fā)送Post跨域請(qǐng)求前，會(huì)以O(shè)ptions方式發(fā)送預(yù)檢請(qǐng)求，服務(wù)器接受時(shí)才會(huì)正式請(qǐng)求
if($request_method='OPTIONS'){
add_header'Access-Control-Max-Age'1728000;
add_header'Content-Type''text/plain;charset=utf-8';
add_header'Content-Length'0;
#對(duì)于Options方式的請(qǐng)求返回204，表示接受跨域請(qǐng)求
return204;
}
}

在nginx.conf文件加上如上配置后，跨域請(qǐng)求即可生效了。

但如果后端是采用分布式架構(gòu)開發(fā)的，有時(shí)候RPC調(diào)用也需要解決跨域問題，不然也同樣會(huì)出現(xiàn)無法跨域請(qǐng)求的異常，因此可以在你的后端項(xiàng)目中，通過繼承HandlerInterceptorAdapter類、實(shí)現(xiàn)WebMvcConfigurer接口、添加@CrossOrgin注解的方式實(shí)現(xiàn)接口之間的跨域配置。

十、Nginx防盜鏈設(shè)計(jì)

首先了解一下何謂盜鏈：「盜鏈即是指外部網(wǎng)站引入當(dāng)前網(wǎng)站的資源對(duì)外展示」，來舉個(gè)簡(jiǎn)單的例子理解：

好比壁紙網(wǎng)站X站、Y站，X站是一點(diǎn)點(diǎn)去購(gòu)買版權(quán)、簽約作者的方式，從而積累了海量的壁紙素材，但Y站由于資金等各方面的原因，就直接通過這種方式照搬了X站的所有壁紙資源，繼而提供給用戶下載。

那么如果我們自己是這個(gè)X站的Boss，心中必然不爽，那么此時(shí)又該如何屏蔽這類問題呢？那么接下來要敘說的「防盜鏈」登場(chǎng)了！

Nginx的防盜鏈機(jī)制實(shí)現(xiàn)，跟一個(gè)頭部字段：Referer有關(guān)，該字段主要描述了當(dāng)前請(qǐng)求是從哪兒發(fā)出的，那么在Nginx中就可獲取該值，然后判斷是否為本站的資源引用請(qǐng)求，如果不是則不允許訪問。Nginx中存在一個(gè)配置項(xiàng)為valid_referers，正好可以滿足前面的需求，語法如下：

valid_referers none | blocked | server_names | string ...;

none：表示接受沒有Referer字段的HTTP請(qǐng)求訪問。

blocked：表示允許http://或https//以外的請(qǐng)求訪問。

server_names：資源的白名單，這里可以指定允許訪問的域名。

string：可自定義字符串，支配通配符、正則表達(dá)式寫法。

簡(jiǎn)單了解語法后，接下來的實(shí)現(xiàn)如下：

#在動(dòng)靜分離的location中開啟防盜鏈機(jī)制
location~.*.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css){
#最后面的值在上線前可配置為允許的域名地址
valid_referersblocked192.168.12.129;
if($invalid_referer){
#可以配置成返回一張禁止盜取的圖片
#rewrite^/http://xx.xx.com/NO.jpg;
#也可直接返回403
return403;
}

root/soft/nginx/static_resources;
expires7d;
}

根據(jù)上述中的內(nèi)容配置后，就已經(jīng)通過Nginx實(shí)現(xiàn)了最基本的防盜鏈機(jī)制，最后只需要額外重啟一下就好啦！當(dāng)然，對(duì)于防盜鏈機(jī)制實(shí)現(xiàn)這塊，也有專門的第三方模塊ngx_http_accesskey_module實(shí)現(xiàn)了更為完善的設(shè)計(jì)，感興趣的小伙伴可以自行去看看。

PS：防盜鏈機(jī)制也無法解決爬蟲偽造referers信息的這種方式抓取數(shù)據(jù)。

十一、Nginx大文件傳輸配置

在某些業(yè)務(wù)場(chǎng)景中需要傳輸一些大文件，但大文件傳輸時(shí)往往都會(huì)會(huì)出現(xiàn)一些Bug，比如文件超出限制、文件傳輸過程中請(qǐng)求超時(shí)等，那么此時(shí)就可以在Nginx稍微做一些配置，先來了解一些關(guān)于大文件傳輸時(shí)可能會(huì)用的配置項(xiàng)：

在傳輸大文件時(shí)，client_max_body_size、client_header_timeout、proxy_read_timeout、proxy_send_timeout這四個(gè)參數(shù)值都可以根據(jù)自己項(xiàng)目的實(shí)際情況來配置。

上述配置僅是作為代理層需要配置的，因?yàn)樽罱K客戶端傳輸文件還是直接與后端進(jìn)行交互，這里只是把作為網(wǎng)關(guān)層的Nginx配置調(diào)高一點(diǎn)，調(diào)到能夠“容納大文件”傳輸?shù)某潭?。?dāng)然，Nginx中也可以作為文件服務(wù)器使用，但需要用到一個(gè)專門的第三方模塊nginx-upload-module，如果項(xiàng)目中文件上傳的作用處不多，那么建議可以通過Nginx搭建，畢竟可以節(jié)省一臺(tái)文件服務(wù)器資源。但如若文件上傳/下載較為頻繁，那么還是建議額外搭建文件服務(wù)器，并將上傳/下載功能交由后端處理。

十二、Nginx配置SLL證書

隨著越來越多的網(wǎng)站接入HTTPS，因此Nginx中僅配置HTTP還不夠，往往還需要監(jiān)聽443端口的請(qǐng)求，HTTPS為了確保通信安全，所以服務(wù)端需配置對(duì)應(yīng)的數(shù)字證書，當(dāng)項(xiàng)目使用Nginx作為網(wǎng)關(guān)時(shí)，那么證書在Nginx中也需要配置，接下來簡(jiǎn)單聊一下關(guān)于SSL證書配置過程：

①先去CA機(jī)構(gòu)或從云控制臺(tái)中申請(qǐng)對(duì)應(yīng)的SSL證書，審核通過后下載Nginx版本的證書。

②下載數(shù)字證書后，完整的文件總共有三個(gè)：.crt、.key、.pem：

.crt：數(shù)字證書文件，.crt是.pem的拓展文件，因此有些人下載后可能沒有。

.key：服務(wù)器的私鑰文件，及非對(duì)稱加密的私鑰，用于解密公鑰傳輸?shù)臄?shù)據(jù)。

.pem：Base64-encoded編碼格式的源證書文本文件，可自行根需求修改拓展名。

③在Nginx目錄下新建certificate目錄，并將下載好的證書/私鑰等文件上傳至該目錄。

④最后修改一下nginx.conf文件即可，如下：

#----------HTTPS配置-----------
server{
#監(jiān)聽HTTPS默認(rèn)的443端口
listen443;
#配置自己項(xiàng)目的域名
server_namewww.xxx.com;
#打開SSL加密傳輸
sslon;
#輸入域名后，首頁文件所在的目錄
roothtml;
#配置首頁的文件名
indexindex.htmlindex.htmindex.jspindex.ftl;
#配置自己下載的數(shù)字證書
ssl_certificatecertificate/xxx.pem;
#配置自己下載的服務(wù)器私鑰
ssl_certificate_keycertificate/xxx.key;
#停止通信時(shí)，加密會(huì)話的有效期，在該時(shí)間段內(nèi)不需要重新交換密鑰
ssl_session_timeout5m;
#TLS握手時(shí)，服務(wù)器采用的密碼套件
ssl_ciphersECDHE-RSA-AES128-GCM-SHA256ECDHHIGH!aNULL!ADH:!RC4;
#服務(wù)器支持的TLS版本
ssl_protocolsTLSv1TLSv1.1TLSv1.2;
#開啟由服務(wù)器決定采用的密碼套件
ssl_prefer_server_cipherson;

location/{
....
}
}

#---------HTTP請(qǐng)求轉(zhuǎn)HTTPS-------------
server{
#監(jiān)聽HTTP默認(rèn)的80端口
listen80;
#如果80端口出現(xiàn)訪問該域名的請(qǐng)求
server_namewww.xxx.com;
#將請(qǐng)求改寫為HTTPS（這里寫你配置了HTTPS的域名）
rewrite^(.*)$https://www.xxx.com;
}

OK~，根據(jù)如上配置了Nginx后，你的網(wǎng)站即可通過https://的方式訪問，并且當(dāng)客戶端使用http://的方式訪問時(shí)，會(huì)自動(dòng)將其改寫為HTTPS請(qǐng)求。

十三、Nginx的高可用

線上如果采用單個(gè)節(jié)點(diǎn)的方式部署Nginx，難免會(huì)出現(xiàn)天災(zāi)人禍，比如系統(tǒng)異常、程序宕機(jī)、服務(wù)器斷電、機(jī)房爆炸、地球毀滅....哈哈哈，夸張了。但實(shí)際生產(chǎn)環(huán)境中確實(shí)存在隱患問題，由于Nginx作為整個(gè)系統(tǒng)的網(wǎng)關(guān)層接入外部流量，所以一旦Nginx宕機(jī)，最終就會(huì)導(dǎo)致整個(gè)系統(tǒng)不可用，這無疑對(duì)于用戶的體驗(yàn)感是極差的，因此也得保障Nginx高可用的特性。

接下來則會(huì)通過keepalived的VIP機(jī)制，實(shí)現(xiàn)Nginx的高可用。VIP并不是只會(huì)員的意思，而是指Virtual IP，即虛擬IP。

keepalived在之前單體架構(gòu)開發(fā)時(shí)，是一個(gè)用的較為頻繁的高可用技術(shù)，比如MySQL、Redis、MQ、Proxy、Tomcat等各處都會(huì)通過keepalived提供的VIP機(jī)制，實(shí)現(xiàn)單節(jié)點(diǎn)應(yīng)用的高可用。

Keepalived+重啟腳本+雙機(jī)熱備搭建

①首先創(chuàng)建一個(gè)對(duì)應(yīng)的目錄并下載keepalived到Linux中并解壓：

[root@localhost]#mkdir/soft/keepalived&&cd/soft/keepalived
[root@localhost]#wgethttps://www.keepalived.org/software/keepalived-2.2.4.tar.gz
[root@localhost]#tar-zxvfkeepalived-2.2.4.tar.gz

②進(jìn)入解壓后的keepalived目錄并構(gòu)建安裝環(huán)境，然后編譯并安裝：

[root@localhost]#cdkeepalived-2.2.4
[root@localhost]#./configure--prefix=/soft/keepalived/
[root@localhost]#make&&makeinstall

③進(jìn)入安裝目錄的/soft/keepalived/etc/keepalived/并編輯配置文件：

[root@localhost]#cd/soft/keepalived/etc/keepalived/
[root@localhost]#vikeepalived.conf

④編輯主機(jī)的keepalived.conf核心配置文件，如下：

global_defs{
#自帶的郵件提醒服務(wù)，建議用獨(dú)立的監(jiān)控或第三方SMTP，也可選擇配置郵件發(fā)送。
notification_email{
root@localhost
}
notification_email_fromroot@localhost
smtp_serverlocalhost
smtp_connect_timeout30
#高可用集群主機(jī)身份標(biāo)識(shí)(集群中主機(jī)身份標(biāo)識(shí)名稱不能重復(fù)，建議配置成本機(jī)IP)
router_id192.168.12.129
}

#定時(shí)運(yùn)行的腳本文件配置
vrrp_scriptcheck_nginx_pid_restart{
#之前編寫的nginx重啟腳本的所在位置
script"/soft/scripts/keepalived/check_nginx_pid_restart.sh"
#每間隔3秒執(zhí)行一次
interval3
#如果腳本中的條件成立，重啟一次則權(quán)重-20
weight-20
}

#定義虛擬路由，VI_1為虛擬路由的標(biāo)示符（可自定義名稱）
vrrp_instanceVI_1{
#當(dāng)前節(jié)點(diǎn)的身份標(biāo)識(shí)：用來決定主從（MASTER為主機(jī)，BACKUP為從機(jī)）
stateMASTER
#綁定虛擬IP的網(wǎng)絡(luò)接口，根據(jù)自己的機(jī)器的網(wǎng)卡配置
interfaceens33
#虛擬路由的ID號(hào)，主從兩個(gè)節(jié)點(diǎn)設(shè)置必須一樣
virtual_router_id121
#填寫本機(jī)IP
mcast_src_ip192.168.12.129
#節(jié)點(diǎn)權(quán)重優(yōu)先級(jí)，主節(jié)點(diǎn)要比從節(jié)點(diǎn)優(yōu)先級(jí)高
priority100
#優(yōu)先級(jí)高的設(shè)置nopreempt，解決異常恢復(fù)后再次搶占造成的腦裂問題
nopreempt
#組播信息發(fā)送間隔，兩個(gè)節(jié)點(diǎn)設(shè)置必須一樣，默認(rèn)1s（類似于心跳檢測(cè)）
advert_int1
authentication{
auth_typePASS
auth_pass1111
}
#將track_script塊加入instance配置塊
track_script{
#執(zhí)行Nginx監(jiān)控的腳本
check_nginx_pid_restart
}

virtual_ipaddress{
#虛擬IP(VIP)，也可擴(kuò)展，可配置多個(gè)。
192.168.12.111
}
}

⑤克隆一臺(tái)之前的虛擬機(jī)作為從（備）機(jī)，編輯從機(jī)的keepalived.conf文件，如下：

global_defs{
#自帶的郵件提醒服務(wù)，建議用獨(dú)立的監(jiān)控或第三方SMTP，也可選擇配置郵件發(fā)送。
notification_email{
root@localhost
}
notification_email_fromroot@localhost
smtp_serverlocalhost
smtp_connect_timeout30
#高可用集群主機(jī)身份標(biāo)識(shí)(集群中主機(jī)身份標(biāo)識(shí)名稱不能重復(fù)，建議配置成本機(jī)IP)
router_id192.168.12.130
}

#定時(shí)運(yùn)行的腳本文件配置
vrrp_scriptcheck_nginx_pid_restart{
#之前編寫的nginx重啟腳本的所在位置
script"/soft/scripts/keepalived/check_nginx_pid_restart.sh"
#每間隔3秒執(zhí)行一次
interval3
#如果腳本中的條件成立，重啟一次則權(quán)重-20
weight-20
}

#定義虛擬路由，VI_1為虛擬路由的標(biāo)示符（可自定義名稱）
vrrp_instanceVI_1{
#當(dāng)前節(jié)點(diǎn)的身份標(biāo)識(shí)：用來決定主從（MASTER為主機(jī)，BACKUP為從機(jī)）
stateBACKUP
#綁定虛擬IP的網(wǎng)絡(luò)接口，根據(jù)自己的機(jī)器的網(wǎng)卡配置
interfaceens33
#虛擬路由的ID號(hào)，主從兩個(gè)節(jié)點(diǎn)設(shè)置必須一樣
virtual_router_id121
#填寫本機(jī)IP
mcast_src_ip192.168.12.130
#節(jié)點(diǎn)權(quán)重優(yōu)先級(jí)，主節(jié)點(diǎn)要比從節(jié)點(diǎn)優(yōu)先級(jí)高
priority90
#優(yōu)先級(jí)高的設(shè)置nopreempt，解決異?；謴?fù)后再次搶占造成的腦裂問題
nopreempt
#組播信息發(fā)送間隔，兩個(gè)節(jié)點(diǎn)設(shè)置必須一樣，默認(rèn)1s（類似于心跳檢測(cè)）
advert_int1
authentication{
auth_typePASS
auth_pass1111
}
#將track_script塊加入instance配置塊
track_script{
#執(zhí)行Nginx監(jiān)控的腳本
check_nginx_pid_restart
}

virtual_ipaddress{
#虛擬IP(VIP)，也可擴(kuò)展，可配置多個(gè)。
192.168.12.111
}
}

⑥新建scripts目錄并編寫Nginx的重啟腳本，check_nginx_pid_restart.sh：

[root@localhost]#mkdir/soft/scripts/soft/scripts/keepalived
[root@localhost]#touch/soft/scripts/keepalived/check_nginx_pid_restart.sh
[root@localhost]#vi/soft/scripts/keepalived/check_nginx_pid_restart.sh

#!/bin/sh
#通過ps指令查詢后臺(tái)的nginx進(jìn)程數(shù)，并將其保存在變量nginx_number中
nginx_number=`ps-Cnginx--no-header|wc-l`
#判斷后臺(tái)是否還有Nginx進(jìn)程在運(yùn)行
if[$nginx_number-eq0];then
#如果后臺(tái)查詢不到`Nginx`進(jìn)程存在，則執(zhí)行重啟指令
/soft/nginx/sbin/nginx-c/soft/nginx/conf/nginx.conf
#重啟后等待1s后，再次查詢后臺(tái)進(jìn)程數(shù)
sleep1
#如果重啟后依舊無法查詢到nginx進(jìn)程
if[`ps-Cnginx--no-header|wc-l`-eq0];then
#將keepalived主機(jī)下線，將虛擬IP漂移給從機(jī)，從機(jī)上線接管Nginx服務(wù)
systemctlstopkeepalived.service
fi
fi

⑦編寫的腳本文件需要更改編碼格式，并賦予執(zhí)行權(quán)限，否則可能執(zhí)行失?。?/p>

[root@localhost]#vi/soft/scripts/keepalived/check_nginx_pid_restart.sh

:setfileformat=unix#在vi命令里面執(zhí)行，修改編碼格式
:setff#查看修改后的編碼格式

[root@localhost]#chmod+x/soft/scripts/keepalived/check_nginx_pid_restart.sh

⑧由于安裝keepalived時(shí)，是自定義的安裝位置，因此需要拷貝一些文件到系統(tǒng)目錄中：

[root@localhost]#mkdir/etc/keepalived/
[root@localhost]#cp/soft/keepalived/etc/keepalived/keepalived.conf/etc/keepalived/
[root@localhost]#cp/soft/keepalived/keepalived-2.2.4/keepalived/etc/init.d/keepalived/etc/init.d/
[root@localhost]#cp/soft/keepalived/etc/sysconfig/keepalived/etc/sysconfig/

⑨將keepalived加入系統(tǒng)服務(wù)并設(shè)置開啟自啟動(dòng)，然后測(cè)試啟動(dòng)是否正常：

[root@localhost]#chkconfigkeepalivedon
[root@localhost]#systemctldaemon-reload
[root@localhost]#systemctlenablekeepalived.service
[root@localhost]#systemctlstartkeepalived.service

其他命令：
systemctldisablekeepalived.service#禁止開機(jī)自動(dòng)啟動(dòng)
systemctlrestartkeepalived.service#重啟keepalived
systemctlstopkeepalived.service#停止keepalived
tail-f/var/log/messages#查看keepalived運(yùn)行時(shí)日志

⑩最后測(cè)試一下VIP是否生效，通過查看本機(jī)是否成功掛載虛擬IP：

[root@localhost]#ipaddr

從上圖中可以明顯看見虛擬IP已經(jīng)成功掛載，但另外一臺(tái)機(jī)器192.168.12.130并不會(huì)掛載這個(gè)虛擬IP，只有當(dāng)主機(jī)下線后，作為從機(jī)的192.168.12.130才會(huì)上線，接替VIP。最后測(cè)試一下外網(wǎng)是否可以正常與VIP通信，即在Windows中直接ping VIP：

Ping-VIP

外部通過VIP通信時(shí)，也可以正常Ping通，代表虛擬IP配置成功。

Nginx高可用性測(cè)試

經(jīng)過上述步驟后，keepalived的VIP機(jī)制已經(jīng)搭建成功，在上個(gè)階段中主要做了幾件事：

一、為部署Nginx的機(jī)器掛載了VIP。

二、通過keepalived搭建了主從雙機(jī)熱備。

三、通過keepalived實(shí)現(xiàn)了Nginx宕機(jī)重啟。

由于前面沒有域名的原因，因此最初server_name配置的是當(dāng)前機(jī)器的IP，所以需稍微更改一下nginx.conf的配置：

sever{
listen80;
#這里從機(jī)器的本地IP改為虛擬IP
server_name192.168.12.111;
#如果這里配置的是域名，那么則將域名的映射配置改為虛擬IP
}

最后來實(shí)驗(yàn)一下效果：

Nginx宕機(jī)

在上述過程中，首先分別啟動(dòng)了keepalived、nginx服務(wù)，然后通過手動(dòng)停止nginx的方式模擬了Nginx宕機(jī)情況，過了片刻后再次查詢后臺(tái)進(jìn)程，我們會(huì)發(fā)現(xiàn)nginx依舊存活。

從這個(gè)過程中不難發(fā)現(xiàn)，keepalived已經(jīng)為我們實(shí)現(xiàn)了Nginx宕機(jī)后自動(dòng)重啟的功能，那么接著再模擬一下服務(wù)器出現(xiàn)故障時(shí)的情況：

服務(wù)器故障

在上述過程中，我們通過手動(dòng)關(guān)閉keepalived服務(wù)模擬了機(jī)器斷電、硬件損壞等情況（因?yàn)闄C(jī)器斷電等情況=主機(jī)中的keepalived進(jìn)程消失），然后再次查詢了一下本機(jī)的IP信息，很明顯會(huì)看到VIP消失了！

現(xiàn)在再切換到另外一臺(tái)機(jī)器：192.168.12.130來看看情況：

130的IP情況

此刻我們會(huì)發(fā)現(xiàn)，在主機(jī)192.168.12.129宕機(jī)后，VIP自動(dòng)從主機(jī)飄移到了從機(jī)192.168.12.130上，而此時(shí)客戶端的請(qǐng)求就最終會(huì)來到130這臺(tái)機(jī)器的Nginx上。

「最終，利用Keepalived對(duì)Nginx做了主從熱備之后，無論是遇到線上宕機(jī)還是機(jī)房斷電等各類故障時(shí)，都能夠確保應(yīng)用系統(tǒng)能夠?yàn)橛脩籼峁?x24小時(shí)服務(wù)?！?/strong>

upstreamxxx{
#長(zhǎng)連接數(shù)
keepalive32;
#每個(gè)長(zhǎng)連接提供的最大請(qǐng)求數(shù)
keepalived_requests100;
#每個(gè)長(zhǎng)連接沒有新的請(qǐng)求時(shí)，保持的最長(zhǎng)時(shí)間
keepalive_timeout60s;
}

sendfileon;#開啟零拷貝機(jī)制

tcp_nodelayon;
tcp_nopushon;

#自動(dòng)根據(jù)CPU核心數(shù)調(diào)整Worker進(jìn)程數(shù)量
worker_processesauto;

#每個(gè)Worker能打開的文件描述符，最少調(diào)整至1W以上，負(fù)荷較高建議2-3W
worker_rlimit_nofile20000;

worker_cpu_affinityauto;

events{
#使用epoll網(wǎng)絡(luò)模型
useepoll;
#調(diào)整每個(gè)Worker能夠處理的連接數(shù)上限
worker_connections10240;
}