Nginx 从入门到底层原理

3886 words

19 minutes

Nginx 从入门到底层原理

2026-06-07

Web

Nginx

/

Web服务器

/

网络

/

运维

Nginx 是什么#

Nginx（发音 “engine-x”）是一个开源的高性能 Web 服务器和反向代理服务器。

核心功能#

HTTP 服务器 — 直接提供静态文件（HTML、CSS、JS、图片等），性能极高，采用事件驱动、异步非阻塞架构，能以少量内存处理大量并发连接
反向代理 — 接收客户端请求，转发给后端应用服务器（如 Node.js、Python、Java），再把响应返回给客户端。客户端不知道后端是谁
负载均衡 — 将请求分发到多台后端服务器，支持轮询、加权、最少连接等策略，实现水平扩展
邮件代理 — 支持 IMAP/POP3/SMTP 代理（较少使用）

典型使用场景#

1
客户端 → Nginx (80/443) → 后端服务 A (3000)
2
                         → 后端服务 B (3001)
3
                         → 静态文件 (/var/www)

为什么用它而不是直接暴露应用服务器#

应用服务器（如 Express、Django）擅长处理业务逻辑，不擅长处理高并发静态资源
Nginx 在前端挡一层，处理 SSL 终止、压缩、缓存、限流等
单机可以同时代理多个不同服务

关键配置示例#

1
server {
2
    listen 80;
3
    server_name example.com;
4

5
    location / {
6
        proxy_pass http://127.0.0.1:3000;  # 反向代理到 Node.js
7
    }
8

9
    location /static/ {
10
        root /var/www;  # 直接返回静态文件
11
    }
12
}

Nginx 是互联网基础设施中最常见的”前台接待”——它接客、分流、挡活，让后端应用专注于业务逻辑。全球约 1/3 的网站使用 Nginx。

Nginx 是网关吗#

在大多数 Web 架构里，Nginx 扮演的就是网关的角色，但不完全等同。

Nginx 作为网关做的事#

1
客户端 → [Nginx 网关] → 内部服务 A
2
                      → 内部服务 B
3
                      → 内部服务 C

统一入口，外部只暴露 Nginx 的端口
路由分发（按路径/域名转发到不同服务）
SSL 终止（HTTPS → HTTP）
限流、IP 黑白名单
负载均衡

和 API 网关的区别#

能力	Nginx	API 网关
路由/代理	✅	✅
负载均衡	✅	✅
SSL 终止	✅	✅
认证鉴权（JWT、OAuth）	需要插件/Lua	✅ 内置
限流/熔断	基础能力	✅ 更精细
服务发现	❌	✅
API 生命周期管理	❌	✅
动态配置（不改配置文件）	❌（需要 reload）	✅ 热更新
插件生态	有限	丰富

简单说：

Nginx 是网络层网关——处理”请求往哪转”的问题
API 网关（Kong、APISIX 等）是业务层网关——在 Nginx 之上加了认证、限流、服务发现等微服务治理能力
APISIX 底层其实就是基于 Nginx（OpenResty）的

Nginx 可以理解为网关的基础款，够用但功能有限。需要更复杂的微服务治理时，就在它上面加一层 API 网关。

Nginx 核心原理#

Nginx 的核心原理可以用一句话概括：一个主进程管理多个工作进程，每个工作进程用事件驱动的方式同时处理成千上万个连接，全程不阻塞。

进程模型#

1
Master 进程（1个）          — 管理、读配置、监控
2
  ├── Worker 进程 1         — 实际处理请求
3
  ├── Worker 进程 2
4
  ├── Worker 进程 3
5
  └── Worker 进程 N         — 通常 = CPU 核心数

Master 不处理业务，只负责启动 Worker、热加载配置
每个 Worker 是独立进程，互不干扰，一个挂了不影响其他的
Worker 数量通常设为 CPU 核心数，避免上下文切换开销

事件驱动（核心中的核心）#

传统服务器（如 Apache）用一个线程处理一个连接：

1
连接1 → 线程1（等着读数据...阻塞中...）
2
连接2 → 线程2（等着读数据...阻塞中...）
3
连接3 → 线程3（等着读数据...阻塞中...）
4
→ 1万个连接 = 1万个线程，内存炸了

Nginx 用 epoll（Linux）实现事件驱动：

1
Worker 进程（单个）:
2
  epoll 告诉我哪些连接有数据了？
3
  → 连接3有数据 → 处理
4
  → 连接7有数据 → 处理
5
  → 连接2有数据 → 处理
6
  → 没有数据的连接？不管它，不阻塞等

一个 Worker 用一个线程就能处理几万个连接
没有数据可读/可写时，不会阻塞等待，去处理其他连接
这是 Nginx 高并发的根本原因

一次请求的完整生命周期#

以反向代理为例：

1
客户端发请求
2
    │
3
    ▼
4
① Nginx Worker 接收连接（epoll 通知有新连接）
5
    │
6
    ▼
7
② 解析 HTTP 请求（读取 method、path、headers）
8
    │
9
    ▼
10
③ 匹配 location 规则（比如 location /api/ → proxy_pass）
11
    │
12
                    ┌─────────────────────┐
13
                    │  ④ 建立到后端的连接   │
14
                    │  把请求转发给后端服务  │
15
                    │  注意：这也是非阻塞的！│
16
                    └─────────────────────┘
17
    │
18
    ▼
19
⑤ 后端返回响应，epoll 通知 Worker
20
    │
21
    ▼
22
⑥ Worker 把响应写回客户端（非阻塞写入）
23
    │
24
    ▼
25
⑦ 关闭/复用连接

关键点：步骤 ④ 等后端响应时，Worker 不会傻等，而是去处理其他连接。后端响应到了，epoll 会再次通知它。

零拷贝技术（高效传输静态文件）#

普通方式：文件从磁盘 → 内核空间 → 用户空间 → 内核空间 → 网卡

Nginx 用 sendfile()：

1
磁盘 → 内核空间 → 网卡
2
（跳过了用户空间的拷贝，速度快一倍）

每个机制的贡献#

机制	解决什么问题
多 Worker 进程	多核利用 + 进程隔离
epoll 事件驱动	一个线程处理几万连接，不阻塞
非阻塞 I/O	等待时不占 CPU，去处理别的
零拷贝 sendfile	静态文件传输省去多余内存拷贝
内存池	小块内存复用，减少 malloc 开销

核心思想就八个字：事件驱动，非阻塞 I/O。这让它用极少的资源扛住巨大的并发。

底层原理深入#

epoll 的真正原理#

Nginx 高性能的根基是 Linux 的 epoll 系统调用。

select/poll 的问题（传统方式）：

1
// 每次调用都要把所有 fd 传给内核
2
select(all_fds, &readable_fds, NULL, NULL, &timeout);
3
// 内核遍历全部 10000 个 fd → O(n)
4
// 返回后，用户态再遍历一次找出哪些就绪 → 又 O(n)

每次调用都是 O(n) 遍历，1 万个连接就要扫描 1 万次。

epoll 的做法：三步分离

1
// 第1步：创建 epoll 实例（只做一次）
2
int epfd = epoll_create1(0);
3

4
// 第2步：注册感兴趣的 fd（每个连接只做一次）
5
epoll_ctl(epfd, EPOLL_CTL_ADD, client_fd, &event);
6

7
// 第3步：等待事件（只返回就绪的 fd）
8
epoll_wait(epfd, events, max_events, timeout);

关键区别：内核维护了一个红黑树（存放所有被监听的 fd）和一个就绪链表（存放已有数据的 fd）。

1
红黑树（所有被监听的 fd）     就绪链表（有数据到达的 fd）
2
    fd=3                        fd=7 ✅
3
    fd=5                        fd=12 ✅
4
    fd=7  ←── 网卡中断 ──→
5
    fd=12 ←── 网卡中断 ──→
6
    fd=15
7
    ...（共 10000 个）

网卡收到数据 → 触发硬件中断 → 内核中断处理程序找到对应 fd → 把它放进就绪链表
epoll_wait 只需从就绪链表取数据，O(1)，不管你监听了多少个 fd
注册/删除 fd 是 O(log n)（红黑树）

这就是 Nginx 能轻松处理 10 万并发连接的底层原因。

请求处理流水线（11 个阶段）#

Nginx 把一个 HTTP 请求拆成了 11 个阶段（phase），每个阶段挂载不同的 handler 模块：

1
请求进来
2
  │
3
  ▼
4
① NGX_HTTP_POST_READ_PHASE       — 刚读完请求头
5
② NGX_HTTP_SERVER_REWRITE_PHASE  — server 块内的 rewrite
6
③ NGX_HTTP_FIND_CONFIG_PHASE     — 查找匹配的 location
7
④ NGX_HTTP_REWRITE_PHASE         — location 块内的 rewrite
8
⑤ NGX_HTTP_POST_REWRITE_PHASE    — rewrite 后处理
9
⑥ NGX_HTTP_PREACCESS_PHASE       — 访问前（限流、连接数限制）
10
⑦ NGX_HTTP_ACCESS_PHASE          — 访问控制（IP黑白名单、认证）
11
⑧ NGX_HTTP_POST_ACCESS_PHASE     — 访问控制后
12
⑨ NGX_HTTP_PRECONTENT_PHASE      — 内容生成前（try_files）
13
⑩ NGX_HTTP_CONTENT_PHASE         — 生成内容（proxy_pass、静态文件）
14
⑪ NGX_HTTP_LOG_PHASE             — 记录日志

每个阶段可以挂多个 handler，按顺序执行。任何一个 handler 返回 NGX_DONE 就中断流水线。

这就是 Nginx 模块化的核心——不是一大坨 if-else，而是一条流水线，每个模块只管自己的阶段。

内存池（ngx_pool_t）#

Nginx 不用 malloc/free 管理请求内存，而是用自己的内存池：

1
ngx_pool_t（一个请求一个）
2
  │
3
  ├── 小块内存区（分配 <= 4096 字节）
4
  │     ┌──────────┬──────────┬──────────┐
5
  │     │ 已分配    │ 已分配    │ 剩余空间  │
6
  │     └──────────┴──────────┴──────────┘
7
  │     分配 = 移动指针，O(1)
8
  │
9
  ├── 大块内存区（分配 > 4096 字节）
10
  │     用 malloc 单独分配，挂在链表上
11
  │
12
  └── 请求结束时：一次性销毁整个 pool，全部释放

1
// 不需要 free 每个小块，请求结束时统一销毁
2
ngx_destroy_pool(request->pool);

好处：

分配：移动指针，O(1)，没有 malloc 的碎片和锁开销
释放：不需要逐个 free，整块回收
没有内存泄漏——请求结束，池子销毁，全部归还

连接的内核级数据流#

一次 proxy_pass 请求，数据在内核中怎么流动的：

1
用户空间（Nginx Worker 进程）
2
         │ ▲
3
   read()│ │write()
4
         │ ▲
5
─────────┼─┼────────── 内核空间边界
6
         │ │
7
    ┌────▼─┴────┐
8
    │  socket    │  ← 内核 socket 缓冲区
9
    │  接收缓冲区 │     （客户端 → Nginx）
10
    │  发送缓冲区 │     （Nginx → 客户端）
11
    └────────────┘
12
         │ ▲
13
         │ │  ← TCP/IP 协议栈
14
    ┌────▼─┴────┐
15
    │   网卡     │
16
    └────────────┘
17
         │ ▲
18
    客户端 ← → 后端服务器

Nginx 的 Worker 在用户空间维护了两个 socket：

client socket：和客户端的连接
upstream socket：和后端服务器的连接

数据流：client socket → 读到用户空间 → 写到 upstream socket

这是两次系统调用 + 两次数据拷贝。

sendfile 零拷贝（静态文件场景）#

返回静态文件时，Nginx 用了 sendfile() 系统调用，数据完全不经过用户空间：

1
普通 read() + write():
2
  磁盘 → 内核页缓存 → 用户空间 buffer → 内核 socket 缓冲区 → 网卡
3
          拷贝1          拷贝2            拷贝3
4

5
sendfile():
6
  磁盘 → 内核页缓存 → 网卡
7
          （只1次拷贝，用户空间完全不参与）

1
location /static/ {
2
    sendfile on;          # 开启零拷贝
3
    tcp_nopush on;        # 包满才发，减少小包
4
    tcp_nodely on;        # 最后的数据包不延迟
5
}

Worker 之间的通信#

Worker 进程之间不需要共享连接状态，但有些场景需要通信（比如热升级、缓存管理），Nginx 用 共享内存 + 进程间信号：

1
Worker 1 ←── 共享内存（缓存、限流计数器）──→ Worker 2
2
    │                                           │
3
    └── signal（SIGTERM、SIGHUP 等）──→ Master ──┘

限流：limit_req 模块的计数器放在共享内存里，所有 Worker 共用
缓存：proxy_cache 的缓存索引在共享内存，缓存文件在磁盘
热加载：Master 收到 SIGHUP → 加载新配置 → 启动新 Worker → 通知旧 Worker 优雅退出

优雅关闭（Graceful Shutdown）#

1
收到 SIGTERM / reload
2
    │
3
    ▼
4
① Worker 停止接受新连接
5
    │
6
    ▼
7
② 继续处理已建立的连接上的请求
8
    │
9
    ▼
10
③ 所有请求处理完毕 → 关闭连接
11
    │
12
    ▼
13
④ Worker 进程退出

worker_shutdown_timeout 可以设超时，防止某个长连接卡住不退出。

Nginx 快的底层原因总结#

层级	技术	效果
系统调用	epoll	O(1) 事件通知，不遍历
I/O 模型	非阻塞 + 异步	一个线程处理几万连接
数据传输	sendfile 零拷贝	静态文件少 2 次内存拷贝
内存管理	内存池	O(1) 分配，无碎片，无泄漏
进程模型	多 Worker 无锁	无锁竞争，CPU 亲和
架构设计	11 阶段流水线	模块解耦，灵活可扩展

本质上 Nginx 就是把操作系统提供的高性能原语（epoll、sendfile、共享内存）用到了极致，再加上精心的内存管理和无锁架构。

安装与配置#

安装方式#

1
# Ubuntu/Debian
2
sudo apt update && sudo apt install nginx
3

4
# CentOS/RHEL
5
sudo yum install nginx
6

7
# macOS
8
brew install nginx
9

10
# Docker（推荐开发用）
11
docker run -d -p 80:80 --name nginx nginx:latest

安装后：

1
sudo systemctl start nginx    # 启动
2
sudo systemctl enable nginx   # 开机自启
3
sudo systemctl status nginx   # 查看状态

配置文件结构#

1
/etc/nginx/
2
├── nginx.conf          ← 主配置文件
3
├── conf.d/             ← 自定义配置（推荐放这里）
4
│   └── mysite.conf
5
├── sites-available/    ← 可用的站点配置
6
├── sites-enabled/      ← 已启用的（软链接）
7
└── mime.types          ← 文件类型映射

主配置文件 nginx.conf 全貌#

1
# ===== 全局块 =====
2
worker_processes auto;          # Worker 数量，auto = CPU 核心数
3
worker_rlimit_nofile 65535;    # 每个 Worker 最大打开文件数
4
error_log /var/log/nginx/error.log warn;  # 错误日志级别
5
pid /run/nginx.pid;
6

7
events {
8
    worker_connections 4096;    # 每个 Worker 最大连接数
9
    use epoll;                  # Linux 用 epoll
10
    multi_accept on;            # 一次接受所有新连接
11
}
12

13
http {
14
    # ----- 基础设置 -----
15
    include       mime.types;
16
    default_type  application/octet-stream;
17

18
    # 日志格式
19
    log_format main '$remote_addr - $remote_user [$time_local] '
20
                    '"$request" $status $body_bytes_sent '
21
                    '"$http_referer" "$http_user_agent"';
22

23
    access_log /var/log/nginx/access.log main;
24

25
    # 性能优化
26
    sendfile        on;        # 零拷贝
27
    tcp_nopush      on;        # 包满再发
28
    tcp_nodelay     on;        # 不延迟
29
    keepalive_timeout 65;      # 长连接超时
30
    client_max_body_size 50m;  # 上传文件大小限制
31

32
    # Gzip 压缩
33
    gzip on;
34
    gzip_types text/plain text/css application/json
35
               application/javascript text/xml;
36
    gzip_min_length 1024;      # 小于 1KB 不压缩
37

38
    # ===== 包含其他配置 =====
39
    include /etc/nginx/conf.d/*.conf;
40
    include /etc/nginx/sites-enabled/*;
41
}

常见场景配置#

静态网站#

1
server {
2
    listen 80;
3
    server_name example.com www.example.com;
4

5
    root /var/www/html;
6
    index index.html;
7

8
    location / {
9
        try_files $uri $uri/ =404;
10
    }
11

12
    # 静态资源缓存
13
    location ~* \.(jpg|png|css|js|ico)$ {
14
        expires 30d;
15
        add_header Cache-Control "public, no-transform";
16
    }
17
}

反向代理#

1
server {
2
    listen 80;
3
    server_name api.example.com;
4

5
    location / {
6
        proxy_pass http://127.0.0.1:3000;       # 转发到后端
7
        proxy_set_header Host $host;            # 传递原始域名
8
        proxy_set_header X-Real-IP $remote_addr;
9
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
10
        proxy_set_header X-Forwarded-Proto $scheme;
11

12
        # WebSocket 支持
13
        proxy_http_version 1.1;
14
        proxy_set_header Upgrade $http_upgrade;
15
        proxy_set_header Connection "upgrade";
16

17
        # 超时设置
18
        proxy_connect_timeout 10s;
19
        proxy_read_timeout 60s;
20
        proxy_send_timeout 60s;
21
    }
22
}

负载均衡#

1
# 定义后端服务器组
2
upstream backend {
3
    # 默认轮询（round-robin）
4
    server 192.168.1.10:3000 weight=3;   # 权重 3，分到更多请求
5
    server 192.168.1.11:3000 weight=1;
6
    server 192.168.1.12:3000 backup;     # 备用，其他挂了才用
7

8
    # 保持会话一致（同一用户总是打到同一台）
9
    ip_hash;
10

11
    # 健康检查（商业版有主动检查，开源版用被动检查）
12
    # max_fails=3 fail_timeout=30s → 30秒内失败3次就标记不可用
13
}
14

15
server {
16
    listen 80;
17
    server_name app.example.com;
18

19
    location / {
20
        proxy_pass http://backend;
21
        proxy_set_header Host $host;
22
        proxy_set_header X-Real-IP $remote_addr;
23
    }
24
}

其他负载均衡策略：

1
upstream backend {
2
    # 最少连接数
3
    least_conn;
4
    server 192.168.1.10:3000;
5
    server 192.168.1.11:3000;
6
}
7

8
upstream backend {
9
    # IP 哈希（会话保持）
10
    ip_hash;
11
    server 192.168.1.10:3000;
12
    server 192.168.1.11:3000;
13
}

HTTPS（SSL）#

1
server {
2
    listen 443 ssl http2;
3
    server_name example.com;
4

5
    ssl_certificate     /etc/nginx/ssl/example.com.pem;
6
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
7

8
    ssl_protocols TLSv1.2 TLSv1.3;
9
    ssl_ciphers HIGH:!aNULL:!MD5;
10
    ssl_prefer_server_ciphers on;
11

12
    # SSL 会话复用，减少握手开销
13
    ssl_session_cache shared:SSL:10m;
14
    ssl_session_timeout 10m;
15

16
    location / {
17
        proxy_pass http://127.0.0.1:3000;
18
    }
19
}
20

21
# HTTP 自动跳转 HTTPS
22
server {
23
    listen 80;
24
    server_name example.com;
25
    return 301 https://$host$request_uri;
26
}

用 Let’s Encrypt 免费证书：

1
sudo apt install certbot python3-certbot-nginx
2
sudo certbot --nginx -d example.com   # 自动配置 SSL

多个服务共存#

1
# 前端
2
server {
3
    listen 80;
4
    server_name www.example.com;
5
    root /var/www/frontend;
6
    location / {
7
        try_files $uri $uri/ /index.html;  # SPA 路由兜底
8
    }
9
}
10

11
# API 后端
12
server {
13
    listen 80;
14
    server_name api.example.com;
15
    location / {
16
        proxy_pass http://127.0.0.1:3000;
17
    }
18
}
19

20
# 同一个域名，按路径分流
21
server {
22
    listen 80;
23
    server_name example.com;
24

25
    location / {
26
        proxy_pass http://127.0.0.1:8080;  # 前端
27
    }
28

29
    location /api/ {
30
        proxy_pass http://127.0.0.1:3000;  # 后端 API
31
    }
32

33
    location /ws/ {
34
        proxy_pass http://127.0.0.1:4000;  # WebSocket
35
        proxy_http_version 1.1;
36
        proxy_set_header Upgrade $http_upgrade;
37
        proxy_set_header Connection "upgrade";
38
    }
39
}

常用运维命令#

1
# 测试配置是否正确（改完配置必须先测）
2
sudo nginx -t
3

4
# 重新加载配置（不中断服务）
5
sudo nginx -s reload
6

7
# 停止
8
sudo nginx -s stop       # 立即停止
9
sudo nginx -s quit       # 优雅停止（处理完当前请求）
10

11
# 查看版本和编译参数
12
nginx -V
13

14
# 查看连接数
15
ss -tunlp | grep nginx
16

17
# 实时监控日志
18
tail -f /var/log/nginx/access.log

常见问题排查#

1
# 配置测试报错
2
sudo nginx -t
3
# → 看具体哪一行有语法错误
4

5
# 502 Bad Gateway → 后端服务没启动或挂了
6
# 检查后端是否在跑
7
curl http://127.0.0.1:3000/health
8

9
# 504 Gateway Timeout → 后端太慢
10
# 调大超时
11
proxy_read_timeout 120s;
12

13
# 权限问题
14
sudo chmod -R 755 /var/www/html
15
sudo chown -R www-data:www-data /var/www/html
16

17
# 端口被占用
18
sudo lsof -i :80

开发时的工作流#

1
# 1. 写配置
2
sudo vim /etc/nginx/conf.d/myapp.conf
3

4
# 2. 测试
5
sudo nginx -t
6

7
# 3. 生效
8
sudo nginx -s reload
9

10
# 4. 验证
11
curl -I http://localhost