为了加快网站的解析速度,可以把动态页面和静态页面由不同的服务器来解析,加快解析速度。降低原来单个服务器的压力。 简单来说,就是使用正则表达式匹配过滤,然后交个不同的服务器。
1.动静分离
准备一个nginx代理 两个http,分别处理动态和静态
配置nginx反向代理upstream;
upstream static {
server 192.168.49.140:80;
}
upstream phpserver {
server 192.168.49.143:80;
}
server {
listen 80;
server_name localhost
#动态资源加载
location ~ \.(php|jsp)$ {
proxy_pass http://phpserver;
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
#静态资源加载
location ~ .*\.(html|jpg|png|css|js)$ {
proxy_pass http://static;
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
静态资源配置
server {
listen 80;
server_name localhost;
location ~ \.(html|jpg|png|js|css) {
root /home/www/nginx;
}
}
动态资源配置:
yum 安装php7.1
[root@nginx-server ~]#rpm -Uvh https://mirror.webtatic.com/yum/el7/epel-release.rpm
[root@nginx-server ~]#rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm
[root@nginx-server ~]#yum install php71w-xsl php71w php71w-ldap php71w-cli php71w-common php71w-devel php71w-gd php71w-pdo php71w-mysql php71w-mbstring php71w-bcmath php71w-mcrypt -y
[root@nginx-server ~]#yum install -y php71w-fpm
[root@nginx-server ~]#systemctl start php-fpm
[root@nginx-server ~]#systemctl enable php-fpm
编辑nginx的配置文件:
server {
listen 80;
server_name localhost;
location ~ \.php$ {
root /home/nginx/html; #指定网站目录,注意访问权限755
fastcgi_pass 127.0.0.1:9000; #指定访问地址
fastcgi_index index.php; #指定默认文件
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; #站点根目录,取决于root配置项
include fastcgi_params; #包含nginx常量定义
}
}
当访问静态页面的时候location 匹配到 (html|jpg|png|js|css)
通过转发到静态服务器,静态服务通过location的正则匹配来处理请求。当访问动态页面时location匹配到 .\php 结尾的文件转发到后端php服务处理请求。
在浏览器输入代理服务器的ip/index.php,先访问动态服务器,在访问的过程中发现有一张静态的图片,再次访问静态服务器,查找图片,发送到代理服务器,返回到浏览器显示。
注意权限的问题。
2.nginx 防盗链问题
两个网站 A 和 B, B网站引用了A网站上的图片,这种行为就叫做盗链。 防盗链,就是要防止B引用A的图片。
1、nginx 防止网站资源被盗用模块
ngx_http_referer_module
如何区分哪些是不正常的用户?
HTTP Referer是Header的一部分,当浏览器向Web服务器发送请求的时候,一般会带上Referer,
告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理,例如防止未经允许
的网站盗链图片、文件等。因此HTTP Referer头信息是可以通过程序来伪装生成的,所以通过Referer
信息防盗链并非100%可靠,但是,它能够限制大部分的盗链情况.
2. 防盗链配置
配置要点:
[root@nginx-server ~]# vim /etc/nginx/nginx.conf
# 日志格式添加"$http_referer"
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
# valid_referers 使用方式
Syntax: valid_referers none | blocked | server_names | string ...;
Default: —
Context: server, location
-
none : 允许没有http_refer的请求访问资源;
-
blocked : 允许不是http://开头的,不带协议的请求访问资源—被防火墙过滤掉的;
-
server_names : 只允许指定ip/域名来的请求访问资源(白名单);
准备两台机器,一张图片
图片网站服务器:上传图片192.168.1.9 [root@nginx-server ~]# cp test.jpg /usr/share/nginx/html/ [root@nginx-server ~]# cd /etc/nginx/conf.d/ [root@nginx-server conf.d]# cp default.conf default.conf.bak [root@nginx-server conf.d]# mv default.conf nginx.conf [root@nginx-server conf.d]# vim nginx.conf server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; } } [root@nginx-server conf.d]# nginx -t [root@nginx-server conf.d]# systemctl restart nginx
访问:
Referer:这个匹配的连接为空 “-”
盗链机器配置:192.168.1.10 [root@nginx-client ~]# cd /usr/share/nginx/html/ [root@nginx-client html]# cp index.html index.html.bak [root@nginx-client html]# vim index.html <html> <head> <meta charset="utf-8"> <title>qf.com</title> </head> <body style="background-color:red;"> <img src="http://192.168.1.9/test.jpg"/> </body> </html> [root@nginx-client html]# systemctl restart nginx
查看服务器日志:
Referer记录了:连接是1.10这台机器。
在图片服务器操作 [root@nginx-server conf.d]# vim nginx.conf server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; valid_referers none blocked www.jd.com; #允许这些访问 if ($invalid_referer) { return 403; } } } [root@nginx-server conf.d]# systemctl restart nginx
测试访问:
图片服务器查看日志:
上面配置并没有允许192.168.1.10这台机器访问。
实例二,继续在图片服务器上面操作 [root@nginx-server html]# vim /etc/nginx/conf.d/nginx.conf #将原来的删除掉 server { listen 80; server_name localhost; location ~ .*\.(gif|jpg|png|jpeg)$ { root /usr/share/nginx/html; valid_referers none blocked *.qf.com 192.168.1.10; if ($invalid_referer) { return 403; } } } 重载nginx服务 [root@nginx-server ~]# nginx -s reload
在其中一台机器测试: 测试不带http_refer: [root@nginx-server conf.d]# curl -I "http://192.168.1.9/test.jpg" HTTP/1.1 200 OK Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:02:56 GMT Content-Type: image/jpeg Content-Length: 27961 Last-Modified: Mon, 02 Sep 2019 13:23:12 GMT Connection: keep-alive ETag: "5d6d17c0-6d39" Accept-Ranges: bytes 测试带非法http_refer: [root@nginx-server conf.d]# curl -e http://www.baidu.com -I "http://192.168.1.9/test.jpg" HTTP/1.1 403 Forbidden Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:03:48 GMT Content-Type: text/html Content-Length: 153 Connection: keep-alive 测试带合法的http_refer: [root@nginx-server conf.d]# curl -e http://www.qf.com -I "http://192.168.1.9/test.jpg" HTTP/1.1 200 OK Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:04:52 GMT Content-Type: image/jpeg Content-Length: 27961 Last-Modified: Mon, 02 Sep 2019 13:23:12 GMT Connection: keep-alive ETag: "5d6d17c0-6d39" Accept-Ranges: bytes [root@ansible-server conf.d]# curl -e http://192.168.1.10 -I "http://192.168.1.9/test.jpg" HTTP/1.1 200 OK Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:05:36 GMT Content-Type: image/jpeg Content-Length: 27961 Last-Modified: Mon, 02 Sep 2019 13:23:12 GMT Connection: keep-alive ETag: "5d6d17c0-6d39" Accept-Ranges: bytes
如果用户直接在浏览器输入你的图片地址,那么图片显示正常,因为它符合none这个规则。
在图片服务器查看日志: