Nginx+tomcat+ssl安裝配置手冊(cè)

1、Nginx + tomcat + SSI安 裝配置手冊(cè)1.介紹Nginx ("engine x")是一個(gè)高性能的HTTP和 反向代理服務(wù)器，也是一個(gè)IMAP/P0P3/SMTP代理服務(wù)器。nginx有以下幾項(xiàng)基本特性：模塊化結(jié)構(gòu)過濾器包括 gzipping, byte ranges, chunked responses,以及 SSI-filter 等 filter 。高性能支持內(nèi)核Poll模型，能經(jīng)受高負(fù)載的考驗(yàn)，有報(bào)告表明能支持高達(dá)50,000個(gè)并發(fā)連接數(shù)。 高穩(wěn)定性Nginx采取了分階段資源分配技術(shù)，使得它的 CPU與內(nèi)存占用率非常低。官方表示保持10,000個(gè)沒有活動(dòng)

2、的連接，它只占2.5M內(nèi)存。多負(fù)載策略多種分配策略，并且分配均勻。自Nginx發(fā)布四年來，Nginx已經(jīng)因?yàn)樗姆€(wěn)定性、豐富的功能集、示例配置文件和低系統(tǒng)資源的消耗而聞名了。目前國(guó)內(nèi)各大門戶網(wǎng)站已經(jīng)部署了Nginx，如新浪、網(wǎng)易、騰訊等；國(guó)內(nèi)幾個(gè)重要的視頻分享網(wǎng)站也部署了Nginx，如六房間、酷6等。2.準(zhǔn)備2.1 資源Nginx 中文網(wǎng)站： Nginx 英文網(wǎng)站：/PCRE網(wǎng) 站：/2.2 相關(guān)軟件1) PCREPCRE(Perl Compatible Regular Expressions)中文含義：perl語言兼容正則表達(dá)

3、式)是一個(gè)用C語言編寫的正則表達(dá)式函數(shù)庫。neginx中使用正則表達(dá)式進(jìn)行靈活配置，安裝之前需要確認(rèn)PCRE已安裝。下載地址：/ ，使用版本 pcre-8.12.tar .gz2） nginx-upstream-jvm-routenginx_upstream_jvm_route 是一個(gè)Nginx的擴(kuò)展模塊，用來實(shí)現(xiàn)基于 Cookie的Session Sticky 的功能 下載地址（svn） : http:/nginx-upstream-jvm-3. 部署結(jié)構(gòu)nginx0安裝Nginx、 n gi nx_upstream _jvm_ro

4、ute實(shí)現(xiàn)負(fù)載均衡tomcat21tomcat32tomcat.xtomcat10配置Tomcat集群，修改server.xml ，增 加jvmRoute，實(shí)現(xiàn) session 同步4. 環(huán)境安裝4.1 Win dows 版安裝安裝文件為.zip文件，解壓縮后，運(yùn)行目錄中的nginx.exe（或使用命令），服務(wù)啟動(dòng)。瀏覽器中輸入：0,出現(xiàn)“ Welcome to nginx! ”頁面，安裝成功。4.2 Linux版安裝安裝說明 本例將nginx安裝在/home/a

5、pps目錄下。將 pcre-8.12.tar .gz、nginx-0.8.54.tar.gz 文件 ftp 到/home/apps 目錄下。將 nginx-upstream-jvm-route 文件夾 ftp 至U/home/apps目錄下。安裝步驟1) PCRE安裝#cd /home/apps#tar -xf pcre-8.12.tar .gz#cd pcre-8.12#./c onfig#make#make in stall默認(rèn)安裝路徑為：/usr/local/lib2) nginx-upstream-jvm-route 安裝#cd /home/apps#tar -xf nginx-0.8

6、.54.tar.gz#mv n gi nx-0.8.54 ngin x-0.8.54-src#cd ngi nx-0.8.54-src# patch -p0 < ./nginx-upstream-jvm-route/jvm_route.patch3) nginx 安裝#cd /home/apps/ngi nx-0.8.54#./c on figure -prefix=/home/apps/ngi nx-0.8.54 -with-http_ssl_module -with-http_gz ip_static_module -with-http_stub_status_module-add-

7、module=/home/apps/ngi nx-upstream-jvm-route#make#make in stall啟動(dòng)、驗(yàn)證#cd / home/apps/nginx-0854/sbin#./nginx瀏覽器中輸入：0,出現(xiàn)“ Welcome to nginx! ”頁面，安裝成功。5. Nginx配置5.1 通用參數(shù)配置1) worker_processes :指明了 nginx要開啟的進(jìn)程數(shù)，據(jù)官方說法，一般開一個(gè)就夠了，多開幾個(gè)，可 以減少機(jī)器io帶來的影響。(網(wǎng)上經(jīng)驗(yàn)，設(shè)置為cpu數(shù)的兩倍)。2) worker_connections :每個(gè)

8、工作進(jìn)程允許最大的同時(shí)連接數(shù)。5.2 負(fù)載均衡配置說明Nginx使用upstream模塊配置負(fù)載均衡，upstream目前支持5鐘配置方式，每 種方式是不同的負(fù)載策略，除了這五種外可以使用n gi nx-upstream-jvm-route擴(kuò)展模塊，在配置部分會(huì)針對(duì) 6中進(jìn)行示例。準(zhǔn)備工作安裝 nginx-upstream-jvm-route 擴(kuò)展模塊。修改 tomcat 的 server.xml 文件，在“ <Engine ” 節(jié)點(diǎn)增加“ jvmRoute="tomcat1""和“ jvmRoute="tomcat2" ”。配置1) 輪

9、詢(默認(rèn))每個(gè)請(qǐng)求按時(shí)間順序逐一分配到不同的后端服務(wù)器，如果后端服務(wù)器down掉，能自動(dòng)剔除。upstream server 0:8080;server 1:8081;2) weight指定輪詢幾率，weight和訪問比率成正比，用于后端服務(wù)器性能不均的情況。weight默認(rèn)為1.weight越大，負(fù)載的權(quán)重就越大。upstream server 0:8080 weight=1;server 1:8081 weight=2;3) ip_hash每個(gè)請(qǐng)求按訪問ip的hash結(jié)果分配，這樣每個(gè)訪客固定訪

10、問一個(gè)后端服 務(wù)器，可以解決session的問題。upstream ip_hash;server 0:8080;server 1:8081;4) fair按后端服務(wù)器的響應(yīng)時(shí)間來分配請(qǐng)求，響應(yīng)時(shí)間短的優(yōu)先分配。upstream server 0:8080;server 1:8081;fair;5) url按訪問url的hash結(jié)果來分配請(qǐng)求，使每個(gè)url定向到同一個(gè)后端服務(wù)器, 后端服務(wù)器為緩存時(shí)比較有效。upstream server 0:8080;server 192.1

11、68.15.41:8081;hash $request_uri; hash_method crc32;6) nginx-upstream-jvm-routeNginx的擴(kuò)展模塊，用來實(shí)現(xiàn)基于 Cookie的Session Sticky 的功能。upstream server 0:8080 srun_id=tomcat1;server 1:8081 srun_id=tomcat2;jvm_route $cookie_JSESSIONID|sessionid reverse;5.3 SSL模塊配置準(zhǔn)備證書，使用openssl將p12文件導(dǎo)出服務(wù)器證書

12、文件、服務(wù)器私鑰文件、客戶 證書的簽發(fā)證書（CA證書）。見openssl命令。說明Nginx可是實(shí)現(xiàn)SSL的配置，實(shí)現(xiàn)單向和雙向認(rèn)證，并能夠驗(yàn)證證書的狀態(tài)。 準(zhǔn)工作配置單項(xiàng)SSL需要準(zhǔn)備服務(wù)器證書文件和私鑰文件，配置雙向SSL還需要準(zhǔn)備用戶證書的簽發(fā)證書。CA服務(wù)器證書文件為p12格式（nginx不能配置p12格式？）,需將p12格式轉(zhuǎn)化為crt/cer、key文件格式。使用openssI做轉(zhuǎn)換，命令如下：ope nssl pkcs12 -in .pfx-no des -no certs -out server.keyope nssl pkcs12 -in .pfx5o des -n okey

13、s -clcerts -out server.crtope nssl pkcs12 -in rootca.pfx -no des -n okeys -clcerts -out ca.crt 配置 HTTPS修改nginx.conf文件，配置 HTTPS模塊，配置如下：server listen443;server_name localhost;sslon;ssl_certificateserver.crt;ssl_certificate_key server.key;ssl_client_certificate ca.crt;# 雙向認(rèn)證 ssl_verify_client on; # 雙向認(rèn)

14、證ssl_session_timeout 5m;ssl_protocols SSLv2 SSLv3 TLSv1;ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;ssl_prefer_server_ciphers on;location /XXXX_center/ proxy_pass 0/XXXX_center/;proxy_set_header X-Real-IP $remote_addr;proxy_set_header SSL_CERT $ssl_client_

15、cert;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;location / root html;注意1、Nginx配置了 SSL后，tomcat不需要再配置 SSL因?yàn)榇磙D(zhuǎn)向地址為 http 而非 https , 如: proxy_pass0/XXXX_center/ ;2、Nginx配置SSL后，web服務(wù)器部署的應(yīng)用不能再獲取到用戶證書，而服務(wù)器平臺(tái)必須要拿到用戶證書進(jìn)行業(yè)務(wù)驗(yàn)證。這就需要nginx將用戶證書透?jìng)鞯?web服務(wù)器，在這里將用戶證書添加到http頭中，應(yīng)用從htt

16、p頭獲取用戶證書，達(dá)到透?jìng)鞯哪康?，如：proxy_set_header SSCERT$ssl_client_cert;5.4 靜態(tài)文件配置說明Nginx可處置靜態(tài)文件，應(yīng)用服務(wù)器只處理動(dòng)態(tài)文件，提高訪問和處理能力。準(zhǔn)備工作將靜態(tài)文件放入 nginx服務(wù)器：在nginx目錄下創(chuàng)建 web目錄，將XXXX_center 下的 XXXX_center/static/sj 和 XXXX_center/static/smpush 文件放入 web 目錄，目錄 結(jié)構(gòu)為：XXXX_center/static/sj、/nginx-0.8.54/web/XXXX_center/static/smpush 。配置

17、location .(css|js)root web;#將應(yīng)用的靜態(tài)內(nèi)容放入web目錄下expires 1h;1、過濾條件根據(jù)需求改變表達(dá)式即可。2、 Tomcat下發(fā)布的XXXX_center應(yīng)用不需要在包含靜態(tài)文件，只需維護(hù)nginx的靜態(tài)文件即可。5.5 監(jiān)控模塊說明配置location A/NginxStatusstub_status on;監(jiān)控信息輸入 nginx 的 URL 0/NginxStatus，顯示如下內(nèi)容：Active connections: 70server accepts handled requests14553819 1455

18、3819 19239266Reading: 0 Writing: 3 Waiting: 67active connections:當(dāng)前Nginx正處理的活動(dòng)連接數(shù)。server accepts handled requests -總共處理了 14553819 個(gè)連接，成功創(chuàng)建 145538 19次握手（證明中間沒有失敗的）,總共處理了 19239266個(gè)請(qǐng)求（平均每次握手 處理了 1.3個(gè)數(shù)據(jù)請(qǐng)求）。reading - nginx讀取到客戶端的Header信息數(shù)。 writing - nginx返回給客戶端的 Header信息數(shù)。waiting -開啟 keep-alive 的情況下，這個(gè)值等

19、于 active - （reading + writing），意思 就是Nginx已經(jīng)處理完正在等候下一次請(qǐng)求指令的駐留連接。6. Tomcat集群配置：實(shí)現(xiàn)多臺(tái)web服務(wù)器的session同步。6.1 條件1、 確定nginx服務(wù)器和兩臺(tái)tomcat服務(wù)器可以互訪，并且兩個(gè)tomcat機(jī)器在一個(gè)網(wǎng) 段內(nèi)。2、 確定兩臺(tái)tomcat host多播已經(jīng)打開，在Linux機(jī)器上可以使用cat /proc/net/dev_mcast檢查，如果文件存在基本上就是打開了。6.2 配置1、修改 web.xml ，在其中 <display-name>XXXX_center</display

20、-name節(jié)點(diǎn) 后添加（distributable/，表明此應(yīng)用與集群服務(wù)器復(fù)制Session2、修改 tomcat 的 server.xml 文件，在"<Engine ”節(jié)點(diǎn)增加 “ jvmRoute="tomcat1" ”，改后為：<Enginename="Catalina" defaultHost="localhost" jvmRoute="tomcat1"> 、 <Engine name="Catalina"defaultHost="local

21、host" jvmRoute="tomcat2"> 。3、修改tomcat的server.xml文件，在"<Engine ”節(jié)點(diǎn)下增加如下內(nèi)容:vCluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster" channelSendOptions="6">vManager className="org.apache.catalina.ha.session.DeltaManager" expireSessionsOn

22、Shutdown="false" notif yListenersOnReplication="true"/>vChannel className="org.apache.catalina.tribes.group.GroupChannel">Membership className="org.apache.catalina.tribes.membership.McastService" address="" por t="45564" freq

23、uency="500" dropTime="3000"/>vReceiver className="org.apache.catalina.tribes.transport.nio.NioReceiver" address="0" por t="4001" selectorTimeout="100" maxThreads="6"/>vSender className="org.apache.catalina.t

24、ribes.transport.ReplicationTransmitter">vTransport className="org.apache.catalina.tribes.transport.nio.PooledParallelSender"/></Sender>vInterceptor className="erceptors.TcpFailureDetector"/>vInterceptor className="org.a

25、erceptors.MessageDispatch15lnterceptor"/></Channel><Valve className="org.apache.catalina.ha.tcp.ReplicationValve" filter=".*.gif;*.js;*.jpg;.*.png;*.htm;.*.html;.*.css;.*.txt;"/>vClusterListener className="org.apache.catalin

26、a.ha.session .Jv mRouteSessionIDBinderListener"/>vClusterListener className="org.apache.catalina.ha.session.ClusterSessionListener"/></Cluster>6.3 驗(yàn)證在兩臺(tái)tomcat服務(wù)器部署的應(yīng)用中放置test.jsp文件,在瀏覽器輸入U(xiǎn)RL:0:8081/XXXX center/test.isp ,輸入 URL:1:8082/XXXX

27、 center/test.isp，兩個(gè)頁面顯示出tomcatl和tomcat2上的session值，說明session同步起作用了。參考附錄中的test.jsp文件。7. Web服務(wù)器比較serverApacheNgi nxLighttpdProxy代理非常好非常好一般Rewriter好非常好一般Fcgi不好好非常好熱部署不支持支持不支持系統(tǒng)壓力比較很大很小比較小穩(wěn)定性好非常好不好安全性好一般一般技術(shù)支持非常好很少一般靜態(tài)文件處理一般非常好好Vhosts虛擬主機(jī)支持不支持支持反向代理一般非常好一般Sessi on sticky支持不支持不支持8.附錄8.1 nginx相關(guān)命令#啟動(dòng)./ngin

28、x#停止./nginx stop#重新加載./nginx reload#測(cè)試配置文件./nginx -t8.2 openssl相關(guān)命令openssl pkcs12 -in .pfx -nodes -nocerts -out server.keyopenssl pkcs12 -in .pfx -nodes -nokeys -clcerts -out server.crtopenssl pkcs12 -in rootca.pfx -nodes -nokeys -clcerts -out ca.crt8.3 nginx配置文件#user nobody; worker_processes 1;#pid

29、logs/nginx.pid;events worker_connections 1024;http includemime.types;default_typeapplication/octet-stream;#access_loglogs/access .log main;sendfileon;#tcp_nopush on;#keepalive_timeout 0;keepalive_timeout 65;gzip on;proxy_connect_timeout 3s;upstream #ip_hash;server 0:8080 srun_id=tomcat1;

30、server 0:8081 srun_id=tomcat2;jvm_route $cookie_JSESSIONID|sessionid reverse;server listen80;server_name localhost;charset utf-8;#access_log logs/host.access .log main;location A/NginxStatusstub_status on;location /XXXX_center/ proxy_pass proxy_set_header X-Real-IP $remote_addr;proxy_set

31、_header X-Forwarded-For $proxy_add_x_forwarded_for;location /provider_demo/ proxy_pass proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;location / root html;index index.html index.htm;#error_page 404/4O4.html;# redirect server error pages to the sta

32、tic page /50x.html#error_page 500 502 503 504 /50x.html;location = /50x.html root html;# HTTPS server#server listen443;server_name localhost;sslon;ssl_certificateserver.crt;ssl_certificate_key server.key; ssl_client_certificate ca.crt; ssl_verify_client on; ssl_session_timeout 5m;ssl_protocols SSLv2 SSLv3 TLSvl;ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;ssl_prefer_server_ciphers on;#error_page 497 "https:/$host$uri$is_args$args"location /XXXX_center/ proxy_pass proxy_set_header X-Real-IP $remote_addr;proxy_set_header SSL_CERT $ssl_client_cer