Hexo历险记之十Nginx端口转发

前言

经过前面的文章，你已经成功将本地的文章推送到远程服务器上面了，恭喜你！

接下来，这篇文章会以CentOS系统为例，帮助你安装Nginx，配置端口转发和SSL密钥加密，实现域名加密访问。

时隔四年，重启Hexo历险计划！

Hexo历险记之十Nginx端口转发

---

至于域名的备案和解析的部分就不整理了，因为阿里云官网上面的指导贴比绝大部分经验贴还要好很多，所以我就不献丑了。

查看状态

查看Nginx的状态，确定当前机器上面是否有Nginx服务。

systemctl status nginx.service

服务正常

查看服务的状态为活跃正常，一般是不需要重新卸载安装的，直接去下面，看配置Nginx就可以了。

image-20220729151038757

查看nginx现在管理的端口

查看nginx master的主进程号

ps aux | grep nginx

image-20210530192407261

这一次主进程号为8806，故而：

netstat -anp | grep 8806

image-20210530192441369

查看 nginx目录

查看 nginx 安装目录

ps -ef | grep nginx

服务异常

查看服务的状态为死亡异常，可以杀死Nginx服务后再重启，一般就会恢复正常。

image-20210530202733234

: 强制杀死服务
pkill -9 nginx

: 重启服务
systemctl start nginx

服务异常且无法恢复

除非是排查无果的情况下，被迫重装Nginx，我才会建议你去安装，因为重装并不能一股脑解决所有问题，还是有可能会卡在原来的老Bug上面。博主甚至被迫重置系统后重新安装才绕过了坑，所以如果原先有可用的Nginx服务，不要轻易卸载重装。

再有，即使你决定要卸载旧的服务，那么有两个地方你也需要备份，一个是原本的编译参数，另一个是原来的配置文件。

: 属性configure arguments后的信息就是编译参数 
nginx -V

nginx

: 查看配置文件所在
nginx -t

而且注意，配置文件不是只有结果命令中的这一个，还有其他的文件，你必须打开这个文件后查看里面是否有include字符。等你找到了所有的配置文件，且完成了备份之后，你就可以去卸载了Nginx服务了。

cd /usr/local
mkdir nginx-back
#在当前文件夹建立nginx-back文件夹
cp -rf nginx/* nginx-back/
#复制nginx文件夹下所有文件到nginx-back文件夹下

卸载Nginx

第一步，停止Nginx服务。

systemctl disable nginx.service

第二步，删除Nginx的开机启动。

chkconfig nginx off

第三步，从文件上删除Nginx。

rm -rf /usr/sbin/nginx
rm -rf /etc/nginx
rm -rf /etc/init.d/nginx

最后一步，使用yum清理索引及其他内容。

yum remove nginx

安装Nginx

总共有两种方式来安装Nginx，一种是用包管理器，方便快捷；一种使用离线安装包，步骤繁琐，但好处是可以离线安装，在没有包管理器的情况下也可以安装，而且可以自定义更为美化的索引目录界面。

注意：在安装之前，强烈建议你先运行一遍卸载命令，防止残留的旧服务配置覆盖了新安装的服务配置！

安装-使用包管理器

以CentOS系统为例，使用yum安装Nginx。

: 添加源
sudo rpm -Uvh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm

: 使用yum安装nginx
yum install -y nginx

: 运行nginx
systemctl start nginx.service

注意：对应的配置文件路径即是/etc/nginx/nginx.conf，日志文件路径为/var/log/nginx。

可以使用命令设置开机自启。

systemctl enable nginx.service

这种方式会会自动创建nginx.service文件，所以比源码安装的方式容易一些。

此时用浏览器直接访问IP应该是会出现欢迎界面。

image-20210530203003391

安装-使用源码

下面以2019-08-14更新的1.17.3版本为例，向大家演示如何用源码安装。

下载和解压

从官网上下载下来源码，解压到同名文件夹里面。此时就可以删除下载的安装包或者是留作备份。

: 下载源码
wget http://nginx.org/download/nginx-1.17.3.tar.gz

: 解压到同名文件夹
tar xzf nginx-1.17.3.tar.gz

编译并安装

进入解压好的文件夹，设置编译路径，我是建议编译路径选择长一些的包括SSL协议，除非设置编译路径后无法安装，你再重新设置为不包括SSL的。

: 进入解压的文件夹
cd nginx-1.17.3

: 设置编译路径，无SSL 协议
: ./configure --prefix=/usr/local/nginx 
: 设置编译路径，包括SSL 协议
./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-file-aio --with-http_realip_module

: 编译并安装
make && make install

添加到环境变量

如果认为没有必要，可以在每次调用前给他取一个别名。

: 可以为nginx取别名，类似添加环境变量
alias nginx='/usr/local/nginx/sbin/nginx'

---

注意： 修改/etc/profile配置文件前一定要备份！

修改/etc/profile配置文件，添加PATH内容，保存后一定要重新加载配置文件。

vim /etc/profile

添加内容如下，保存后退出。

export PATH=/usr/local/nginx/sbin:$PATH

重新加载配置文件，加载后如果没有报错就是成功了；如果有错就重新加载备份的配置文件，然后重新修改。

source etc/profile

开机自启

由于这次是用源码编译安装的，需要手动创建/lib/systemd/system/nginx.service服务文件。

vim /lib/systemd/system/nginx.service

内容如下，保存后退出。

注意：[Service]的启动、重启、停止命令全部要求使用绝对路径

[Unit] 
Description=nginx 
After=network.target 
 
[Service] 
Type=forking 
ExecStart=/usr/local/nginx/sbin/nginx 
ExecReload=/usr/local/nginx/sbin/nginx -s reload 
ExecStop=/usr/local/nginx/sbin/nginx -s quit
PrivateTmp=true 
 
[Install] 
WantedBy=multi-user.target

• Unit： 服务的说明

  • Description： 描述服务

  • After： 描述服务类别

• Service： 服务运行参数的设置

  • Type=forking： 是后台运行的形式

  • ExecStart： 为服务的具体运行命令

  • ExecReload： 为重启命令

  • ExecStop： 为停止命令

  • PrivateTmp=True： 表示给服务分配独立的临时空间

• Install： 运行级别下服务安装的相关设置

  • WantedBy： 设置为多用户，即系统运行级别为3

使用命令运行该服务文件。

systemctl start nginx.service

配置Nginx

接下来，你可以根据自己的情况选择配置加密的Https连接或者是不加密的Http连接。然后就算是出师了，该学会的事情已经都告诉你了，直接访问域名就可以达到这样的效果。

检查配置文件

: 查看nginx版本
nginx -v

: 查看配置文件
nginx -t

: 启动
nginx

默认/etc/nginx/nginx.conf内容如下。

user  nginx;
worker_processes  auto;

error_log  /var/log/nginx/error.log notice;
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;    
    keepalive_timeout  65;
    include /etc/nginx/conf.d/*.conf;
}

注意：一定要在第一行修改使用者为博客目录的拥有者，上一篇新建的用户是keen，所以这里也要改成一样的。

user  keen;

注意： 在最后一行标注了会引用/etc/nginx/conf.d目录下所有的conf配置文件，所以接下来向大家展示如何配置Http和Https时，所有的配置文件都是在这个文件夹内的。

配置Http

在/etc/nginx/conf.d/建立一个端口文档80.conf，内容如下：

server {
    listen          80;#监听80端口
    server_name     www.clzly.xyz;#域名为这个

    location / {
        root    /home/git/projects/blog;#指向的根目录
        index   index.html index.htm;#指向的目录中的文件
    }
    location /about/ {
        root    /home/git/projects/blog/about/;#指向的根目录
        index   index.html index.htm;#指向的目录中的文件
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

• listen： 监听的端口，默认是监听80端口。

• server_name： 一般是域名www.clzly.xyz，也可以写为本地localhost

• location： 表示匹配的路径

  • root：表示当匹配这个请求的路径时，将会在机器的路径中寻找相应的HTML文件，这对加载静态文件很有用。

  • index：当没有指定主页时，默认会选择这个指定的文件，它可以有多个，并按顺序来加载，如果第一个不存在，则找第二个，依此类推。

  • 配置了/表示访问http://www.clzly.xyz/所有请求都被匹配到这里

  • 配置了/about/表示访问http://www.clzly.xyz/about/所有请求都被匹配到这里

  • 配置/50x.html标识访问http://www.clzly.xyz/50x.html所有请求都匹配到这里

• error_page： 是错误页面，暂时不管它。

修改配置文件后不会立刻生效，需要运行下面的命令重新加载配置才行。

nginx -s reload

此时你直接访问域名护着IP就可以看到博客了。

配置Https

上文配置了一个简单的http服务，但是他毕竟是不安全的，明文传输信息很容易被劫持和篡改的。而且重要的是浏览器总会提示该网页不安全，被某同学嬉笑着说建了一个小黄网不安全，我就留心要改变他。

Https比Http多的那一个字母s其实就是加密的意思，而现在比较成熟的加密方法就要用到证书了。生成一个自签名 SSL 证书，是继续下去的基础。

生成SSL-阿里云

由于我的域名是在阿里云注册的，所以SSL也是在阿里云生成的。

控制台搜索关键字ssl

image-20201028141221855

点击购买证书，如图选择免费的加密域名。

image-20201028141356961

支付0元后，回到原先的页面选择证书申请。

image-20201028141458168

填写想要设置的二级域名后，点击下一步，等到他签发成功之后下载即可。

image-20201028141839433

下载的压缩包里就有SSL文件，分别是pem和key文件。

生成SSL-使用freessl

也可以通过freessl，使用的TrustAsia TLS RSA CA颁发给我的证书，中间需要在本地安装一个叫做keymanager的应用。

在阿里云的服务器控制台，上传我的pem和key。

image-20200811150204936

上传成功之后，将证书导出，可以看到两个分别以key和crt为后缀的文件。

新建服务器路径/usr/local/nginx/conf/cert/，并将两个复制到其中。

image-20200811150431736

配置SSL端口转发

当你需要80端口使用加密链接的时候，你可以:

## 参考conf/nginx.conf文件，修改如下内容（此处只是关键需要修改的部分）
http {
    server {
        #   HTTP 和 HTTPS 都使用，如果不使用HTTP则注释掉80端口即可
     listen          80;
  listen              443 ssl;
  ssl_certificate     cert/www.clzly.xyz_chain.crt;
  ssl_certificate_key cert/www.clzly.xyz_key.key;
  server_name     www.clzly.xyz;
    }
}

• ssl_certificate： 用指明crt文件所在路径

• ssl_certificate_key： 用指明key文件所在路径

此时就可以正常使用链接https://www.clzly.xyz/来访问我的博客首页了。

配置Http强制跳转Https

使用语句，那么即使访问不安全的Http也会自动变到安全的Https的链接里去

rewrite ^(.*)$ https://${server_name}$1 permanent;

配置目录索引

可以通过新建配置文件/etc/nginx/conf.d/files.conf，实现页面访问服务器上的文件。

如果是个人使用，建议加上同名的MD5校验值，来让访问的人确定他下载到的文件和你发布的文件是一致的，中间没有被骇客篡改过。

location / {
        root /home/keen/outfile;
        autoindex on;
        autoindex_exact_size off;
        autoindex_localtime on;
        index index.html;
    }

image-20210602201248277

端口绑定失败

如果提示端口绑定失败，那么你可以选择强行关闭Nginx后，重启服务。

nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)
nginx: [emerg] still could not bind()

运行如下命令。

: 强制杀死服务
pkill -9 nginx

: 重新指定配置文件
nginx -c /etc/nginx/nginx.conf

: 重启服务
systemctl start nginx

个人使用配置留档

将我现在使用的几个配置公开留档，方便大家作为参考和借鉴。

server1内容如下。

server {
    listen       80 default_server;
    listen       [::]:80 default_server;
    server_name  clzly.xyz;
    rewrite ^(.*)$  https://www.clzly.xyz permanent;

}

server2内容如下。

server {
    listen 443 ssl;
    server_name  clzly.xyz www.clzly.xyz;
    ssl_certificate     /etc/nginx/conf.d/cert3/clzly.xyz.pem;
    ssl_certificate_key /etc/nginx/conf.d/cert3/clzly.xyz.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
 location /about/ {
 add_header 'Access-Control-Allow-Origin' $http_origin;
 add_header 'Access-Control-Allow-Credentials' 'true';
 add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
 add_header 'Access-Control-Allow-Headers' 'DNT,Authorization,Accept,Origin,Keep-Alive,User-Agent,X-Mx-ReqToken,X-Data-Type,X-Auth-Token,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
        proxy_pass   https://www.yanda.clzly.xyz/;   
 }
    location / {
        root /home/keen/projects/blog;
        index index.html;
    }

    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }
}

server3内容如下。

server {
    listen 443 ssl;
    server_name  images.clzly.xyz www.images.clzly.xyz;
    ssl_certificate     /etc/nginx/conf.d/cert3/www.images.clzly.xyz.pem;
    ssl_certificate_key /etc/nginx/conf.d/cert3/www.images.clzly.xyz.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    client_max_body_size 20M;
      location / {
            proxy_pass  https://www.clzly.xyz:1234; # 转发规则
      }

      location ~ .* {
            proxy_pass  https://www.clzly.xyz:1234; # 转发规则
            proxy_set_header Host $http_host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    error_page 404 /404.html;
        location = /40x.html {
    }

    error_page 500 502 503 504 /50x.html;
        location = /50x.html {
    }

server4内容如下。

 server {
        listen       9001;
        server_name  clzly.xyz www.clzly.xyz;
        location / {
            root /home/keen/withyanda;
            index index.html;
        }
        error_page 404 /404.html;
            location = /40x.html {
        }
        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
}

感激

感谢现在的好奇，为了能成为更好的自己。

Windows下Nginx+Tomcat整合的安装与配置

Nginx配置文件nginx.conf详解

nginx版本升级

Linux-Nginx平滑升级

Linux中nginx基本操作命令

NGINX配置使用HTTPS

如何查看Nginx监听的端口