企业级高性能 Web 服务器：Nginx 核心架构与实战 | 极客日志

Shell / Bash大前端java

企业级高性能 Web 服务器：Nginx 核心架构与实战

深入解析 Nginx 在企业级高性能 Web 服务中的应用。涵盖 I/O 模型对比、零拷贝技术原理、Master-Worker 进程架构及平滑升级机制。详细讲解编译安装、核心配置指令（如 event、http、server、location）、Rewrite 规则、防盗链策略及反向代理负载均衡方案。结合 LNMP 架构与 FastCGI 集成实战，并提供 OpenResty 与 Tengine 二次开发版本的选型建议，帮助工程师构建高可用、高并发的 Web 基础设施。

t ag发布于 2026/3/16更新于 2026/5/54 浏览

一、Web 服务基础介绍

1.1 Apache 经典 Web 服务端

Apache 历经 1.X、2.X 两大版本，支持编译安装定制功能。其核心有三种工作模型，均基于多进程/线程架构，各有适用场景：

模型	核心原理	优点	缺点	适用场景
prefork（预派生）	主进程生成多个独立子进程，单进程单线程，select 模型，最大并发 1024	稳定性极高，进程独立互不影响	内存占用大，并发能力弱，每个请求对应一个进程	访问量小、对稳定性要求高的场景
worker（多进程多线程）	主进程启动子进程，子进程包含固定线程，线程处理请求，线程不足时新建子进程	内存占用比 prefork 少，并发能力更高	keepalive 长连接会占用线程至超时，高并发下易无可用线程	中等访问量场景
event（事件驱动）	2.4.X 版本正式支持，epoll 模型，与 worker 类似，新增专门线程管理 keepalive 线程	单线程响应多请求，内存占用最低，高并发表现优秀，解决 keepalive 线程资源浪费	无线程安全控制	高并发访问场景

1.2 Nginx 高性能 Web 服务端

1.2.1 基础信息

开发者：伊戈尔・赛索耶夫，为俄罗斯 rambler.ru 开发，2004 年首次公开发布。
版本分类：开发版、稳定版、过期版，核心模块代码量约 19.8 万行。
官网：www.nginx.org。
行业应用：天猫、淘宝、京东、小米等一线互联网公司均使用或二次开发。

1.2.2 核心优势与功能

高性能：解决 C10K（万级连接）问题，低内存消耗（10000 个 keep-alive 非活动连接仅需 2.5M 内存）。
功能丰富：可作为 HTTP/HTTPS 服务器、反向代理、邮件代理、TCP/UDP 代理；支持 FastCGI、SSL、虚拟主机、URL 重写、Gzip、负载均衡（1.9 + 开启 stream 模块），支持第三方扩展。
高可靠性：模块化设计、支持热部署（不停机更新配置/升级/换日志）。

1.2.3 典型工作场景

Nginx 前置处理请求，静态资源直接返回，动态资源转发至 Tomcat 等应用服务器，数据存储至 MySQL，图片等资源由专用存储服务器提供，实现动静分离与服务分层。

1.3 服务端 I/O 流程

1.3.1 核心概念

I/O：Input/Output，指用户空间进程与内核空间的数据交换，需将内核内存数据复制到用户进程内存。
IOPS：每秒输入输出量，衡量磁盘性能的核心指标，指单位时间内处理的读/写请求数。
服务器 I/O 类型：磁盘 I/O（进程请求磁盘资源，内核加载后复制至进程）、网络 I/O（对 socket 文件的读写，网络协议栈与用户进程的数据交换）。

1.3.2 通用 I/O 阶段

无论磁盘/网络 I/O，均分为两个阶段：

数据从文件/网卡加载至内核内存缓冲区，等待数据准备完成（耗时较长）；
数据从内核缓冲区复制至用户空间进程内存（耗时较短）。

1.4 I/O 模型

特性	select	poll	epoll
操作方式	线性遍历	线性遍历	事件回调
底层实现	数组	链表	哈希表
IO 效率	O(n)	O(n)	O(1)
最大连接数	1024(x86)/2048(x64)	无上限	无上限
IO 拷贝	每次调用均从用户态拷贝至内核态	每次调用均从用户态拷贝至内核态	仅 epoll_ctl 时拷贝，epoll_wait 不拷贝

进程类型	核心功能
Master（主进程）	读取/验证配置、管理 Worker 进程、监控 Worker 状态（异常自动重启）、绑定/关闭 socket、接收外部指令（重启/升级/退出）、实现平滑升级、开启日志文件
Worker（工作进程）	处理实际网络请求、平等竞争新连接、I/O 调用、与后端服务器通信、缓存数据、发送响应结果、接收主进程指令；数量一般等于 CPU 核心数，避免进程竞争 CPU

模块类型	核心功能	示例
核心模块	Nginx 运行必备，负责基础功能	错误日志、配置解析、事件驱动、进程管理
标准 HTTP 模块	HTTP 协议解析，基础 Web 功能	端口配置、网页编码、HTTP 响应头设置
可选 HTTP 模块	扩展 HTTP 功能，需编译指定	Gzip 压缩、SSL、GeoIP 解析、Flash 传输
邮件服务模块	支持邮件代理协议	POP3、IMAP、SMTP 协议处理
Stream 服务模块	实现 TCP/UDP 反向代理	四层负载均衡、TCP 协议转发
第三方模块	开发者自定义功能	Lua 支持、Json 解析、Rds-json

# 安装依赖
dnf install gcc pcre-devel zlib-devel openssl-devel -y

# 解压源码
tar zxf nginx-1.24.0.tar.gz && cd nginx-1.24.0

# 配置编译参数（自定义路径、功能）
./configure --prefix=/usr/local/nginx \
 --user=nginx --group=nginx \
 --with-http_ssl_module --with-http_v2_module \
 --with-http_realip_module --with-http_stub_status_module \
 --with-http_gzip_static_module --with-pcre --with-stream

# 编译并安装
make && make install

目录	功能
/usr/local/nginx/conf	所有配置文件，核心为 nginx.conf
/usr/local/nginx/html	静态 Web 文件，包含默认错误页面（50x.html）
/usr/local/nginx/logs	访问日志、错误日志、PID 文件
/usr/local/nginx/sbin	二进制启动脚本（nginx），支持多种命令参数

nginx -v # 查看版本
nginx -V # 查看版本 + 编译参数
nginx -t # 测试配置文件有效性
nginx -s reload # 平滑重载配置
nginx -s quit # 优雅退出
nginx -s stop # 强制停止
nginx -g "worker_processes 6;" # 临时指定全局指令

[Unit]
Description=The NGINX HTTP and reverse proxy server
After=syslog.target network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/usr/local/nginx/logs/nginx.pid
ExecStartPre=/usr/local/nginx/sbin/nginx -t
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true

[Install]
WantedBy=multi-user.target

指令	功能	推荐值
user nginx nginx;	启动 Worker 进程的用户和组	专用 nginx 用户
worker_processes n;	Worker 进程数量	等于 CPU 核心数（或 auto）
worker_cpu_affinity 掩码；	将 Worker 进程绑定到指定 CPU 核心	如 4 核心：0001 0010 0100 1000
error_log 路径级别；	错误日志路径与级别	/usr/local/nginx/logs/error.log error
pid 路径；	PID 文件保存路径	/usr/local/nginx/logs/nginx.pid
worker_priority n;	Worker 进程优先级	0（范围 - 20~20，值越高优先级越高）
worker_rlimit_nofile n;	Worker 进程最大打开文件数	65536（与系统 ulimit -n 一致）
daemon on/off;	是否以守护进程运行	on（生产）/off（测试/容器）
master_process on/off;	是否启用 Master-Worker 模型	on（生产）/off（调试）

指令	功能	推荐值
worker_connections n;	单个 Worker 进程最大并发连接数	65535
use 模型；	事件驱动模型	epoll（Linux）/kqueue（FreeBSD）
accept_mutex on/off;	连接互斥锁，防止惊群效应	on
multi_accept on/off;	单个 Worker 进程是否同时接受多个连接	on

指令	功能	推荐值
include mime.types;	引入 MIME 类型映射文件	必加
default_type 类型；	未匹配 MIME 类型的默认文件类型	application/octet-stream（下载）/text/html
sendfile on/off;	启用零拷贝 SENDFILE 技术	on
keepalive_timeout n [m];	keep-alive 长连接超时时间	65 60（服务器 65s，告知客户端 60s）
keepalive_requests n;	单条长连接最大请求数	500（默认 100）
log_format 名称格式；	定义访问日志格式	包含、request、$status 等
access_log 路径格式；	访问日志路径与格式	/usr/local/nginx/logs/access.log main

server {
    listen 80; # 监听端口（可加 IP，如 192.168.1.100:80）
    server_name example.com www.example.com; # 虚拟主机域名，支持多个、通配符、正则
    root /webdata/nginx/example/html; # 站点根目录
    index index.html index.htm index.php; # 默认首页文件
    error_page 404 500 502 /error.html; # 自定义错误页面
    access_log /var/log/nginx/example.access.log main; # 独立访问日志
}

修饰符	功能	示例
=	精确匹配 URI，匹配成功立即停止	location = /logo.png { ... }
^~	前缀匹配，匹配成功后终止后续正则匹配	location ^~ /static/ { ... }
~	正则匹配，区分大小写	location ~ .php$ { ... }
~*	正则匹配，不区分大小写	location ~* .(jpg
无	普通前缀匹配，按匹配度最高匹配	location /web/ { ... }

# 创建子配置目录
mkdir /usr/local/nginx/conf.d

# 主配置文件引入子配置
echo 'include conf.d/*.conf;' >> /usr/local/nginx/conf/nginx.conf

# 创建站点配置文件
vim /usr/local/nginx/conf.d/site1.conf
server {
    listen 80;
    server_name site1.example.com;
    root /webdata/nginx/site1/html;
    index index.html;
}

vim /usr/local/nginx/conf.d/site2.conf
server {
    listen 80;
    server_name site2.example.com;
    root /webdata/nginx/site2/html;
    index index.html;
}

server {
    listen 80;
    server_name site1.example.com;
    root /webdata/nginx/site1/html;
    error_page 404 /404.html; # 404 错误指向 404.html
    error_page 500 502 503 504 /50x.html; # 服务器错误指向 50x.html
    # 错误页面独立路径
    location = /404.html {
        root /webdata/nginx/site1/errors;
    }
    location = /50x.html {
        root /webdata/nginx/site1/errors;
    }
}

server {
    listen 80;
    server_name site1.example.com;
    root /webdata/nginx/site1/html;
    # 检查$uri → $uri.html → $uri/index.html，均不存在则指向/error/default.html
    try_files $uri $uri.html $uri/index.html /error/default.html;
}

server {
    listen 80;
    server_name site1.example.com;
    root /webdata/nginx/site1;
    location /download {
        autoindex on; # 启用自动索引
        autoindex_exact_size off; # 显示文件近似大小（K/M/G）
        autoindex_localtime on; # 显示服务器本地时间
        limit_rate 1024k; # 限速 1MB/s
    }
}

# 安装 htpasswd，生成密码文件
yum install httpd-tools -y
htpasswd -cmb /usr/local/nginx/conf/.htpasswd admin 123456

location /admin {
    root /webdata/nginx/site1/html;
    auth_basic "Admin Login"; # 认证提示语
    auth_basic_user_file /usr/local/nginx/conf/.htpasswd; # 密码文件路径
}

location /nginx_status {
    stub_status; # 启用状态页
    auth_basic "Nginx Status"; # 认证保护
    auth_basic_user_file /usr/local/nginx/conf/.htpasswd;
    allow 192.168.1.0/24; # 允许指定 IP 段访问
    allow 127.0.0.1;
    deny all; # 拒绝其他 IP
}

Active connections: 291 # 当前活动连接数（Reading+Writing+Waiting）
server accepts handled requests 16630948 16630948 31070465 # 接受连接数/处理连接数/总请求数
Reading: 6 Writing: 179 Waiting: 106 # 读取请求/发送响应/空闲等待连接数

http {
    gzip on; # 启用 gzip 压缩
    gzip_comp_level 5; # 压缩级别 1-9，5 为平衡值（值越高压缩比越高，CPU 消耗越大）
    gzip_min_length 1k; # 最小压缩文件大小，小于 1k 不压缩
    gzip_types text/plain text/html text/css application/javascript application/json image/png; # 压缩的文件类型
    gzip_vary on; # 响应头添加 Vary: Accept-Encoding，告知浏览器支持压缩
    gzip_disable "MSIE [1-6]."; # 禁用 IE6 及以下压缩（不支持）
    gzip_static on; # 启用预压缩（直接使用.gz 文件，无需实时压缩）
}

curl --head --compressed http://site1.example.com/data.txt

// 编辑源码头文件
vim nginx-1.26.1/src/core/nginx.h
// 修改版本号
#define NGINX_VERSION "1.0"
// 可选：修改服务器标识
#define NGINX_VER "HAHA/" NGINX_VERSION
// 重新编译安装
make && make install

变量	功能
$remote_addr	客户端 IP 地址
$request_uri	包含参数的完整 URI（如 /var?id=1）
$document_uri	不包含参数的 URI（如 /var）
$host	客户端请求的主机名
$server_name	虚拟主机名
$server_port	监听端口
$http_user_agent	客户端浏览器信息
$args	URL 中的所有参数
$scheme	请求协议（http/https）

location /var {
    default_type text/html;
    set $name lee; # 自定义变量
    set $web_addr $scheme://$host:$server_port; # 拼接内置变量
    echo $name; # 输出变量（需 ngx_http_echo_module）
    echo $web_addr;
}

Flag	类型	功能
redirect	跳转型	临时重定向（302），客户端重新发起请求，适用于临时调整
permanent	跳转型	永久重定向（301），客户端缓存重定向记录，适用于永久域名变更
break	代理型	停止当前 location 的后续 Rewrite，直接执行后续配置，结束循环
last	代理型	停止当前 location 的后续 Rewrite，对新 URI 启动新一轮 Rewrite 检查

server {
    listen 80;
    server_name www.example.com;
    root /webdata/nginx/www/html;
    if (!-e $request_filename) {
        rewrite .* /index.html redirect;
    }
}

server {
    listen 80;
    listen 443 ssl;
    server_name www.example.com;
    ssl_certificate /usr/local/nginx/certs/cert.pem;
    ssl_certificate_key /usr/local/nginx/certs/key.pem;
    if ($scheme = http) {
        rewrite ^(.*)$ https://$host$1 redirect;
    }
    root /webdata/nginx/www/html;
}

server {
    listen 80;
    server_name site1.example.com;
    rewrite ^(.*)$ http://www.example.com$1 permanent;
}

类型	功能
none	无 Referer（用户直接输入域名访问）
blocked	Referer 无有效值（如为空）
server_names	Referer 包含本站域名（$server_name）
通配符	自定义域名，如 *.example.com
正则	正则匹配 Referer，如～/.baidu/（允许百度搜索）

server {
    listen 80;
    server_name www.example.com;
    root /webdata/nginx/www/html;
    # 对图片资源防盗链
    location ~* \.(jpg|png|gif|jpeg)$ {
        # 允许的 Referer
        valid_referers none blocked server_names *.example.com ~/.baidu/ ~/.google/;
        # 无效 Referer 返回 404 或重定向至防盗链图片
        if ($invalid_referer) {
            # return 404;
            rewrite ^/ http://www.example.com/daolian.png permanent;
        }
    }
}

指令	功能
proxy_pass 地址；	核心指令，转发请求至后端服务器（IP: 端口/域名/upstream 组）
proxy_set_header 头名值；	修改/添加请求头，转发至后端服务器
proxy_connect_timeout n;	Nginx 与后端服务器的连接超时时间
proxy_read_timeout n;	Nginx 等待后端服务器响应的超时时间
proxy_hide_header 头名；	隐藏后端服务器的响应头，不返回给客户端
proxy_pass_header 头名；	透传后端服务器的响应头，返回给客户端

location / {
    proxy_pass http://172.25.254.30; # 透传客户端真实 IP
    proxy_set_header X-Forwarded-For $remote_addr; # 透传请求主机名
    proxy_set_header Host $host; # 透传请求协议
    proxy_set_header X-Forwarded-Proto $scheme;
}

http {
    # 定义缓存池，配置在 http 段
    proxy_cache_path /var/cache/nginx/proxy_cache \
    levels=1:2:2 \
    # 缓存目录层次
    keys_zone=proxycache:20m \
    # 内存缓存区（20M，存放 key 和元数据）
    inactive=120s \
    # 缓存非活动时间，超时清理
    max_size=10g; # 缓存最大磁盘占用

    server {
        listen 80;
        server_name www.example.com;
        location / {
            proxy_pass http://172.25.254.30;
            proxy_cache proxycache; # 启用缓存池
            proxy_cache_key $request_uri; # 缓存 key（基于 URI）
            proxy_cache_valid 200 302 10m; # 200/302 状态码缓存 10 分钟
            proxy_cache_valid 404 1m; # 404 状态码缓存 1 分钟
            proxy_cache_valid any 1m; # 其他状态码缓存 1 分钟
            proxy_cache_use_stale error http_502 http_503; # 后端错误时使用过期缓存
        }
    }
}

http {
    # 定义后端服务器组，名称为 webserver
    upstream webserver {
        server 172.25.254.20:80 weight=2; # 权重 2，优先级更高
        server 172.25.254.30:80 weight=1; # 权重 1
        server 172.25.254.40:80 backup; # 备份服务器，主服务器不可用时启用
        server 172.25.254.50:80 down; # 标记为下线，平滑移除
    }

    server {
        listen 80;
        server_name www.example.com;
        # 转发至 upstream 组
        location / {
            proxy_pass http://webserver;
            proxy_set_header X-Forwarded-For $remote_addr;
        }
    }
}

参数	功能
weight=n	调度权重，默认为 1，值越高被调度的概率越大
max_fails=n	连续失败 n 次后，标记服务器为不可用
fail_timeout=n	服务器不可用后，每隔 n 秒检测一次，恢复后重新加入调度
backup	备份服务器，所有主服务器不可用时启用
down	标记服务器为下线，不参与调度
max_conns=n	服务器最大并发连接数，默认为 0（无限制）

算法	原理	适用场景
轮询（默认）	按顺序依次分发请求至后端服务器	后端服务器配置一致
加权轮询	按权重分发，权重越高分发越多	后端服务器配置不一致（性能差异）
ip_hash	基于客户端 IP 哈希，固定 IP 转发至固定服务器	需会话保持的场景（如登录状态）
least_conn	分发至当前并发连接数最少的服务器	后端服务器请求处理时间差异大
hash $key	基于自定义 key 哈希（如、cookie）	缓存服务器、需按 URL/COOKIE 会话保持
fair	基于后端服务器响应时间分发，响应越快优先级越高	第三方模块，需单独编译

# 四层配置段，与 http 同级
stream {
    # 定义 MySQL 后端服务器组
    upstream mysql_server {
        server 172.25.254.20:3306 max_fails=3 fail_timeout=30s;
        server 172.25.254.30:3306 max_fails=3 fail_timeout=30s;
    }
    # 监听 TCP 3306 端口，转发至 MySQL 组
    server {
        listen 172.25.254.10:3306 tcp;
        proxy_pass mysql_server;
        proxy_connect_timeout 30s; # 连接超时
        proxy_timeout 300s; # 转发超时
    }
}

stream {
    # 定义 DNS 后端服务器组
    upstream dns_server {
        server 172.25.254.20:53;
        server 172.25.254.30:53;
    }
    # 监听 UDP 53 端口，转发至 DNS 组
    server {
        listen 172.25.254.10:53 udp;
        proxy_pass dns_server;
        proxy_timeout 1s;
        proxy_responses 1; # UDP 协议，响应 1 个报文后终止会话
    }
}

指令	功能
fastcgi_pass 地址；	转发 PHP 请求至 PHP-FPM（127.0.0.1:9000/本地套接字）
fastcgi_index index.php;	PHP 默认首页文件
fastcgi_param 键值；	设置 FastCGI 参数，传递给 PHP-FPM
include fastcgi_params;	引入 FastCGI 默认参数文件（必加）

server {
    listen 80;
    server_name php.example.com;
    root /webdata/nginx/php/html; # PHP 站点根目录
    index index.html index.php; # 支持 PHP 首页
    # 匹配所有.php 文件，转发至 PHP-FPM
    location ~ \.php$ {
        fastcgi_pass 127.0.0.1:9000; # PHP-FPM 监听地址
        fastcgi_index index.php; # 定义 PHP 脚本文件路径，必须正确
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params; # 引入默认参数
    }
    # 处理静态资源，Nginx 直接返回
    location ~ \.(jpg|png|gif|css|js)$ {
        expires 30d; # 浏览器缓存 30 天
    }
}

<?php phpinfo(); ?>

# 安装依赖
dnf install gcc pcre-devel openssl-devel perl -y

# 创建运行用户
useradd -r -s /sbin/nologin nginx

# 下载源码并解压
wget https://openresty.org/download/openresty-1.17.8.2.tar.gz
tar xf openresty-1.17.8.2.tar.gz && cd openresty-1.17.8.2

# 配置编译参数
./configure --prefix=/apps/openresty \
 --user=nginx --group=nginx \
 --with-http_ssl_module --with-http_v2_module \
 --with-http_realip_module --with-http_stub_status_module

# 编译并安装
make && make install

# 配置环境变量
ln -s /apps/openresty/bin/* /usr/bin/

# 启动服务
openresty