# 启动用户改为 root,避免权限问题报错。
user root;
# 定义了 nginx 在为你的网站提供服务时,worker 进程的数量。工作进程一般设置为 CPU 的线程数,这里设置成 auto,nginx 会自动获取 CPU 线程数,并启用相对应的 worker 进程。
worker_processes auto;
# 配置 nginx worker 进程最大打开文件数
worker_rlimit_nofile 65535;
# nginx 的错误日志路径,warn 表示只打印打印 warn 级别以上的日志。
error_log /var/log/nginx/error.log warn;
# nginx 的 pid 文件路径
pid /var/run/nginx.pid;
# 并发优化
events {
# 设置了一个 worker 进程可以同时打开的链接数。如:现有4个 worker 进程,则当前 nginx 服务器的同时打开链接数为 4*1024=4096 个。需根据当前服务器的 open files 值设定,使用 ulimit -a 查看当前服务器的 open files 值。
worker_connections 65535;
# 让nginx收到一个新连接通知后接受尽可能多的连接。
multi_accept on;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
# 定义一个 main 的日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
# http 服务的访问日志路径,日志格式为 main 定义的格式
access_log /var/log/nginx/access.log main;
# 指向 sendfile()函数。sendfile() 在磁盘和 TCP 端口(或者任意两个文件描述符)之间复制数据。
sendfile on;
# 配置 nginx 在一个包中发送全部的头文件,而不是一个一个发送。
tcp_nopush on;
# 配置 nginx 不要缓存数据,应该快速的发送小数据(这仅仅应该用于频繁发送小的碎片信息而无需立刻获取响应的,需要实时传递数据的应用中)。
tcp_nodelay on;
# 指定了与客户端的 keep-alive 链接的超时时间。服务器会在这个时间后关闭链接。我们可以降低这个值,以避免让 worker 过长时间的忙碌。
keepalive_timeout 60s;
# 限制客户端文件上传下载大小限制,默认1m
client_max_body_size 20m;
# 读取请求头的超时时间
client_header_timeout 60s;
# 读取请求实体的超时时间
client_body_timeout 60s;
# 开启 gzip 压缩模块
gzip on;
# 设置用于压缩响应的缓冲区的数量和大小
gzip_buffers 16 8k;
# 设置 gzip 压缩级别,值在 1 到 9 之间(值越大,压缩级别越高)
gzip_comp_level 6;
# IE 浏览器不开启 gzip,IE6 以下会乱码
gzip_disable 'MSIE [1-6].';
# 设置压缩所需的最小 HTTP 版本
gzip_http_version 1.0;
# 设置将被压缩的返回值的最小长度
gzip_min_length 1k;
# 需要压缩的文件的格式
gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png image/tiff image/x-ms-bmp;
gzip_vary off;
# fastcgi 调优参数
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
# 关闭页面中的 nginx 版本数字信息,提高安全性。
server_tokens off;
# nginx 的 http 块配置文件,可将块配置文件放入该目录。
include /etc/nginx/conf.d/*.conf;
server {
listen 80;
server_name www.ppxxxo.com;
# http 跳转 https
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443 ssl;
server_name www.ppxxxo.com;
ssl_certificate ssl/ppxxxo.com.pem;
ssl_certificate_key ssl/ppxxxo.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/www.ppxxxo.com_access.log main;
error_log /var/log/nginx/www.ppxxxo.com_error.log warn;
# 静态文件
location / {
root /usr/share/nginx/html;
index index.html;
}
location /anan/ {
alias /usr/share/nginx/html/anan/;
index index.html;
}
# 动态请求
location /base/ {
proxy_redirect off;
proxy_set_header Host spa.asxxxr.net;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://39.103.221.4:50006/;
}
# 缓存常见格式的图片
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|svg|webm)$ {
# 单位参数:d 天 | H 小时 | M 分
expires 1h;
}
}
}
server {
listen 80;
server_name admin.alxxj.cn;
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443 ssl;
server_name admin.alxxj.cn;
ssl_certificate /etc/nginx/conf.d/ssl/admin.alxxj.cn.pem;
ssl_certificate_key /etc/nginx/conf.d/ssl/admin.alxxj.cn.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
index index.html index.php;
root /var/www/html/alice/admin/web;
rewrite (\/\.svn|.git\/) /404/;
if ($http_user_agent ~* yahoo|bingbot) {
return 403;
}
if ($query_string ~* ".*(insert|select|delete|update|count|master|truncate|declare|'|%27|%22|%3C|%3E|;|%20and%20|%20or%20).*"){
return 404;
}
location / {
try_files $uri $uri/ /index.php$is_args$args;
}
location ~ .*\.(php|php5)?$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_param ENV 'prod';
fastcgi_index index.php;
include fastcgi.conf;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}
location ~ .*\.(js|css)?$
{
expires 1h;
}
#日志
access_log off;
}
Nginx 是一个优秀的高性能代理服务器,可以通过不同的配置进行反向代理、正向代理。
正向代理
正向代理的代理对象是客户端。正向代理就是nginx服务器替客户端去访问目标服务器。
server{
resolver 8.8.8.8;
listen 80;
location / {
proxy_pass http://$http_host$request_uri;
}
}
在客户端配置 http_proxy 环境变量,export http_proxy=http://你的正向代理服务器地址:代理端口,即可使用代理服务器上网。
通过这种方式访问网站,例如百度。百度那边只能看到nginx服务器的IP,而获取不到你的真实IP。
反向代理
客户端不需要了解nginx服务器后面的服务,直接访问nginx提供的地址。
server {
listen 80;
server_name nginx1.com;
location / {
proxy_set_header Host nginx1.com;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass https://www.baidu.com/;
}
}
server {
listen 80;
server_name nginx2.com;
location / {
proxy_set_header Host nginx2.com;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass https://www.sina.com.cn/;
}
}
访问:http://nginx1.com/,出现百度的页面。
访问:http://nginx2.com/,出现新浪的页面。
可以将 nginx 作为一个非常高效的 HTTP 负载均衡器,将流量分配到多个应用服务器上,并通过 nginx 提高 Web 应用的性能、可扩展性和可靠性。
nginx 可以通过添加一个 upstream,来实现 nginx 的负载均衡功能。
upstream myserver {
server 192.168.1.201;
server 192.168.1.202;
}
server {
listen 80;
location / {
proxy_pass http://myserver;
}
}
通过这样配置,可以通过访问 nginx 服务器的地址,实现轮询(默认)访问它反向代理的两个后端服务
参数 | 描述 |
---|---|
backup | 将服务器标记为备份服务器。当主服务器不可用时,将使用该服务器。 |
down | 将服务器标记为永久不可用 |
fail_timeout=time | 在指定次数的不成功尝试与服务器通信的时间范围内,应考虑服务器不可用 |
max_conns=number | 限制代理服务器的同时活动连接的最大数量。默认值为零,表示没有限制 |
max_fails=number | 设置与服务器通信失败的最大尝试次数 |
weight=number | 设置服务器的权重,默认情况下为1 |
可通过设置权重 weight 来达到性能好的服务器提供更多次的服务目的。如下:201这台服务器提供的访问量就是202服务器的2倍。
upstream myserver {
server 192.168.1.201 weight=2;
server 192.168.1.202 weight=1;
}
server {
listen 80;
location / {
proxy_pass http://myserver;
}
}
几种常见的策略:
upstream backend {
server 127.0.0.1:3000;
server 127.0.0.1:3001;
}
upstream backend {
server 127.0.0.1:3000 weight=2;
server 127.0.0.1:3001 weight=1;
}
upstream backend {
server 127.0.0.1:3000 backup;
server 127.0.0.1:3001;
}
upstream backend {
ip_hash;
server 127.0.0.1:3000 backup;
server 127.0.0.1:3001;
}
upstream backend {
least_conn;
server 127.0.0.1:3000;
server 127.0.0.1:3001;
}
Nginx 服务器的一个主要任务是提供静态HTML页面、图像或文件访问。
根据请求的不同,文件将从不同的本地目录提供。
/http/www
包含HTML文件
/http/data1/images
包含图像
/http/data2/file
包含文件
目录树:
http/
├── data1
│ └── images
│ ├── 1.jpg
│ └── 2.jpg
├── data2
│ └── file
│ ├── 1.txt
│ └── 1.zip
└── www
├── 50x.html
└── index.html
配置文件:
server {
listen 80;
server_name 127.0.0.1;
location / {
root /http/www;
index index.html index.htm;
}
location /data1/ {
root /http;
}
location /data2/ {
root /http;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /http/www;
}
}
可以访问一下链接查看效果:
HTML静态文件:http://192.168.1.200/
图像浏览:http://192.168.1.200/data1/images/1.jpg
文件下载:http://192.168.1.200/data2/file/1.zip
server {
listen 443 ssl;
server_name devskt.asxxxd.com;
ssl_certificate 3986794_devskt.asxxxd.com.pem;
ssl_certificate_key 3986794_devskt.asxxxd.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://172.26.155.95:31114;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
# http重写方式 一
server {
listen 80;
server_name www.xxx.com;
rewrite ^ https://$http_host$request_uri? permanent; # force redirect http to https
}
# http重写方式 二
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name spa.asxxxor.net;
root /usr/share/nginx/html;
if ($host = "spa.asdoctor.net") {
rewrite ^/(.*)$ https://spa.asxxxor.net permanent;
}
if ($host = "http://spa.asdoctor.net") {
rewrite ^/(.*)$ https://spa.asxxxor.net permanent;
}
if ($host = "https://spa.asdoctor.net") {
rewrite ^/(.*)$ https://spa.asxxxor.net permanent;
}
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
# 代理https
server {
listen 443 ssl;
server_name spa.asxxxor.net;
ssl_certificate /etc/letsencrypt/live/spa.asxxxor.net/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/spa.asxxxor.net/privkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host spa.asxxxor.net;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://172.29.117.155:50099/;
}
}
location ^~ /anan/ {
# 项目地址
alias /usr/local/nginx/html/anan/;
# 解决刷新报 404
try_files $uri $uri/ /anan/index.html;
index index.html;
access_log /home/log/nginx/access/www.anan.com.log main;
error_log /home/log/nginx/www.anan.com.log warn;
}
gzip on; # 开启Gzip
gzip_min_length 1k; # 不压缩临界值,大于1K的才压缩,一般不用改
gzip_buffers 4 16k; # 设置用于处理请求压缩的缓冲区数量和大小。
gzip_http_version 1.0; # 用于识别http协议的版本,早期的浏览器不支持gzip压缩,用户会看到乱码,所以为了支持前期版本加了此选项。
gzip_comp_level 6; # 设置gzip压缩级别,级别越底压缩速度越快文件压缩比越小,反之速度越慢文件压缩比越大
# 设置需要压缩的MIME类型,如果不在设置类型范围内的请求不进行压缩
gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
gzip_vary on; # 增加响应头”Vary: Accept-Encoding”
location / {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
if ($request_method = 'OPTIONS') {
return 204;
}
}
Access-Control-Allow-Origin
服务器默认是不被允许跨域的。给Nginx服务器配置Access-Control-Allow-Origin *
后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。
Access-Control-Allow-Headers
是为了防止出现以下错误:Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.
这个错误表示当前请求Content-Type的值不被支持。其实是我们发起了"application/json"的类型请求导致的。这里涉及到一个概念:预检请求(preflight request),请看下面"预检请求"的介绍。
Access-Control-Allow-Methods
是为了防止出现以下错误:Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.
给OPTIONS添加204的返回
是为了处理在发送POST请求时Nginx依然拒绝访问的错误,发送"预检请求"时,需要用到方法 OPTIONS ,所以服务器需要允许该方法。
IP访问控制可以加在 nginx 的任意一个块中。如:http、 server、 location。例如我们直接将以下配置加在 http 块中,这样整个 nginx 的服务会受到影响。
deny 192.168.1.66;
allow 192.168.1.0/24;
allow 10.1.20.6/16;
allow 34.26.157.0/24;
deny all;
以上配置实现的效果:
允许 192.168.1.0 该网段,除 192.168.1.66 这个IP都可访问nginx。
允许 10.1.20.6/16 该网段的IP访问。
允许 34.26.157.0/24 该网段的IP访问。
除上面指定的IP范围,其他IP禁止访问。
要设置一个HTTPS服务器,在nginx.conf文件中,在服务器块的listen指令中加入ssl参数,然后指定服务器证书和私钥文件的位置。
server {
listen 443 ssl;
server_name api.pxxxo.com;
ssl_certificate /etc/letsencrypt/live/api.pxxxo.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/api.pxxxo.com/privkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root /usr/share/nginx/html;
}
}
ssl_protocols 和 ssl_ciphers 指令可以用来要求客户端在建立连接时只使用SSL/TLS的强版本和密码。
会话存储在工作进程之间共享的SSL会话缓存中,并由ssl_session_cache指令配置。一兆字节的缓存包含大约4000个会话。缓存的默认超时时间是5分钟,这个超时时间可以使用ssl_session_cache指令增加。这个超时时间可以使用ssl_session_timeout指令来增加。
上面是一个为多核系统优化的配置示例,它有1兆字节的共享会话缓存。
动静分离的原理:nginx 将客户端发来的请求分为动态请求(php,jsp,cgi)与静态请求(html,css,js和图片资源),转发给不同的服务器。有负责动态处理的tomcat服务器,也有只负责静态文件存储的服务器。
# 动态页面交给http://myserver
location ~ .*\.(php|jsp|cgi)?$
{
proxy_pass http://tdt_wugk;
}
# 配置Nginx动静分离,定义的静态页面直接从Nginx发布目录读取。
location ~ .*\.(html|htm|gif|jpg|jpeg|bmp|png|ico|txt|js|css)$
{
root /data/www/file;
# expires定义用户浏览器缓存的时间为3天,如果静态页面不常更新,可以设置更长,这样可以节省带宽和缓解服务器的压力
expires 3d;
}
将 https://sales.bxxxd.cn 隐式转发到 https://sales.oxxxd.com
server {
listen 80;
listen 443 ssl;
server_name sales.bxxxd.cn;
access_log /usr/local/nginx/logs/sales.bxxxd.cn-access.log main;
error_log /usr/local/nginx/logs/sales.bxxxd.cn--error.log;
ssl_certificate /usr/local/nginx/conf/SSL/scs1665543427707_sales.bxxxd.cn_server.crt;
ssl_certificate_key /usr/local/nginx/conf/SSL/scs1665543427707_sales.bxxxd.cn_server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location ~* / {
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass https://sales.oxxxd.com;
}
}
server {
listen 443 ssl;
server_name xt.pxxxo.com;
ssl_certificate ssl/pxxxo.com.pem;
ssl_certificate_key ssl/pxxxo.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
access_log logs/access_xt.log main;
error_log logs/error_xt.log error;
location / {
rewrite ^.+apis/?(.*)$ /$1 break;
proxy_pass https://data.chxxxxc.org/;
}
}