家喻户晓,Nginx 是 Apache 服务不错的替代品。其特点是占有内存少,并发能力强,事实上 Nginx 的并发能力在同类型的网页服务器中体现较好,因而国内出名大厂例如:淘宝,京东,百度,新浪,网易,腾讯等等都在应用 Nginx 网站。
Nginx 简介
Nginx 是开源、高性能、高牢靠的 Web 和反向代理服务器,而且反对热部署,同时也提供了 IMAP/POP3/SMTP 服务,能够不间断运行,提供热更新性能。占用内存少、并发能力强,最重要的是,Nginx 是收费的并能够商业化,配置应用都比较简单。
Nginx 特点
- 高并发、高性能
- 模块化架构使得它的扩展性十分好
- 异步非阻塞的事件驱动模型这点和 Node.js 类似
- 无需重启可不间断运行
- 热部署、平滑降级
- 齐全开源,生态好
Nginx 最重要的几个应用场景:
- 动态资源服务
- 反向代理服务,包含缓存、负载平衡等
- API 服务,OpenResty
所以,明天民工哥就给大家整顿一份 Nginx 的罕用配置清单,供大家学习与生产配置参考应用。次要包含以下三个方面:
- 根底配置
- 高级配置
- 平安配置
根底配置
去掉不必的 Nginx 模块
./configure --without-module1 --without-module2 --without-module3 例如:./configure --without-http_dav_module --withouthttp_spdy_module# 注意事项:配置指令是由模块提供的。确保你禁用的模块不蕴含你须要应用的指令!在决定禁用模块之前,应该查看 Nginx 文档中每个模块可用的指令列表。Nginx 版本的平滑降级与回滚
1 分钟搞定 Nginx 版本的平滑降级与回滚
过程相干的配置
worker_processes 8;#Nginx 过程数,倡议依照 CPU 数目来指定,个别为它的倍数 (如,2 个四核的 CPU 计为 8)。worker_rlimit_nofile 65535; #一个 Nginx 过程关上的最多文件描述符数目 worker_connections 65535;# 每个过程容许的最多连接数 监听端口
server {
listen 80; #监听端口
server_name www.mingongge.com; #域名信息
location / {
root /www/www; #网站根目录
index index.html index.htm; #默认首页类型
deny 192.168.2.11; #禁止拜访的 ip 地址,能够为 all
allow 192.168.3.44;#容许拜访的 ip 地址,能够为 all
}
} 小技巧补充:域名匹配的四种写法
准确匹配:server_name www.mingongge.com ;
左侧通配:server_name *.mingongge.com ;
右侧统配:server_name www.mingongge.* ;
正则匹配:server_name ~^www\.mingongge\.*$ ;
匹配优先级:准确匹配 > 左侧通配符匹配 > 右侧通配符匹配 > 正则表达式匹配 配置 Nginx 状态页面
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf
… …
location /NginxStatus {
stub_status on;
access_log on;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd;
}
… …
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reloadNginx 日志(拜访与谬误日志治理)
error_log /var/log/nginx/error.log warn;
#配置谬误日志的级别及存储目录
events {worker_connections 1024;}
http {
..................
log_format main '$remote_addr - $remote_user [$time_local]"$request"''$status $body_bytes_sent "$http_referer" ''"$http_user_agent""$http_x_forwarded_for"';
#配置日志的模式
access_log /var/log/nginx/access.log main;
#配置拜访日志存储目录
}以上配置只是 Nginx 本身对于日志的根本配置,在理论生产环境中,咱们须要收集日志、剖析日志,才定更好的去定位问题,举荐给大家:超强干货!通过 filebeat、logstash、rsyslog 几种形式采集 nginx 日志
http 相干的配置
http {
sendfile on #高效传输文件的模式 肯定要开启
keepalive_timeout 65 #客户端服务端申请超时工夫
}动态资源配置
server {
listen 80;
server_name mingongge.com;
location /static {root /wwww/web/web_static_site;}
}也能够应用上面的办法
location /image {alias /web/nginx/static/image/;}
留神: 应用 alias 开端肯定要增加 /, 并且它只能位于 location 中 反向代理
比方生产环境(同一台服务中)有不同的我的项目,这个就比拟实用了,用反向代理去做请示转发。
http {
.............
upstream product_server{127.0.0.1:8081;}
upstream admin_server{127.0.0.1:8082;}
upstream test_server{127.0.0.1:8083;}
server {
#默认指向 product 的 server
location / {proxy_pass http://product_server;}
location /product/{proxy_pass http://product_server;}
location /admin/ {proxy_pass http://admin_server;}
location /test/ {proxy_pass http://test_server;}
}
}更多对于 Nginx 实际:location 门路匹配
负载平衡
upstream server_pools {
server 192.168.1.11:8880 weight=5;
server 192.168.1.12:9990 weight=1;
server 192.168.1.13:8989 weight=6;
#weigth 参数示意权值,权值越高被调配到的几率越大
}
server {
listen 80;
server_name mingongge.com;
location / {proxy_pass http://server_pools;}
}代理相干的其它配置
proxy_connect_timeout 90; #nginx 跟后端服务器连贯超时工夫 (代理连贯超时)
proxy_send_timeout 90; #后端服务器数据回传工夫 (代理发送超时)
proxy_read_timeout 90; #连贯胜利后, 后端服务器响应工夫 (代理接管超时)
proxy_buffer_size 4k; #代理服务器(nginx)保留用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers 缓冲区
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)proxy_temp_file_write_size 64k; #设定缓存文件夹大小
proxy_set_header Host $host;
proxy_set_header X-Forwarder-For $remote_addr; #获取客户端实在 IP高级配置
重定向配置
location / {return 404; #间接返回状态码}
location / {
return 404 "pages not found";
#返回状态码 + 一段文本
}
location / {
return 302 /blog ;
#返回状态码 + 重定向地址 }
location / {
return https://www.mingongge.com ;
#返回重定向地址
}示例如下
server {
listen 80;
server_name www.mingongge.com;
return 301 http://mingongge.com$request_uri;
}
server {
listen 80;
server_name www.mingongge.com;
location /cn-url {return 301 http://mingongge.com.cn;}
}
server{
listen 80;
server_name mingongge.com; # 要在本地 hosts 文件进行配置
root html;
location /search {rewrite ^/(.*) https://www.mingongge.com redirect;
}
location /images {rewrite /images/(.*) /pics/$1;
}
location /pics {rewrite /pics/(.*) /photos/$1;
}
location /photos {}}设置缓冲区容量下限
这样的设置能够阻止缓冲区溢出攻打(同样是 Server 模块)
client_body_buffer_size 1k;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
#设置后,不论多少 HTTP 申请都不会使服务器零碎的缓冲区溢出了 限度最大连接数
在 http 模块内 server 模块外配置 limit_conn_zone,配置连贯的 IP, 在 http,server 或 location 模块配置 limit_conn,能配置 IP 的最大连接数。
limit_conn_zone $binary_remote_addr zone=addr:5m;
limit_conn addr 1;Gzip 压缩
gzip_types
#压缩的文件类型
text/plain text/css
application/json
application/x-javascript
text/xml application/xml
application/xml+rss
text/javascript
gzip on;
#采纳 gzip 压缩的模式发送数据
gzip_disable "msie6"
#为指定的客户端禁用 gzip 性能
gzip_static;
#压缩前查找是否有事后 gzip 解决过的资源
gzip_proxied any;
#容许或者禁止压缩基于申请和响应的响应流
gzip_min_length 1000;
#设置对数据启用压缩的起码字节数
gzip_comp_level 6;
#设置数据的压缩等级 缓存配置
open_file_cache
#指定缓存最大数目以及缓存的工夫
open_file_cache_valid
#在 open_file_cache 中指定检测正确信息的间隔时间
open_file_cache_min_uses
#定义了 open_file_cache 中指令参数不流动工夫期间里最小的文件数
open_file_cache_errors
#指定了当搜寻一个文件时是否缓存错误信息
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
#指定缓存文件的类型
{
expires 3650d;
#指定缓存工夫
}
location ~ .*\.(js|css)?$
{expires 3d;}SSL 证书配及跳转 HTTPS 配置
server {
listen 192.168.1.250:443 ssl;
server_tokens off;
server_name mingonggex.com www.mingonggex.com;
root /var/www/mingonggex.com/public_html;
ssl_certificate /etc/nginx/sites-enabled/certs/mingongge.crt;
ssl_certificate_key /etc/nginx/sites-enabled/certs/mingongge.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}
# Permanent Redirect for HTTP to HTTPS
server
{
listen 80;
server_name mingongge.com;
return 301 https://$server_name$request_uri;
}流量镜像性能
location / {
mirror /mirror;
proxy_pass http://backend;
}
location = /mirror {
internal;
proxy_pass http://test_backend$request_uri;
}限流性能
流量限度配置两个次要的指令,limit_req_zone 和 limit_req
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;
server {
location /login/ {
limit_req zone=mylimit;
proxy_pass http://my_upstream;
}
}更多、更具体的限流配置请参考:葵花宝典!一文搞定 Nginx 限流配置
Nginx 罕用的内置变量
平安配置
禁用 server_tokens 项
server_tokens 在关上的状况下会使 404 页面显示 Nginx 的以后版本号。这样做显然不平安,因为黑客会利用此信息尝试相应 Nginx 版本的破绽。只须要在 nginx.conf 中 http 模块设置 server_tokens off 即可,例如:
server {
listen 192.168.1.250:80;
Server_tokens off;
server_name mingongge.com www.mingongge.com;
access_log /var/www/logs/mingongge.access.log;
error_log /var/www/logs/mingonggex.error.log error;
root /var/www/mingongge.com/public_html;
index index.html index.htm;
}
#重启 Nginx 后失效:禁止非法的 HTTP User Agents
User Agent 是 HTTP 协定中对浏览器的一种标识,禁止非法的 User Agent 能够阻止爬虫和扫描器的一些申请,避免这些申请大量耗费 Nginx 服务器资源。
为了更好的保护,最好创立一个文件,蕴含不冀望的 user agent 列表例如 /etc/nginx/blockuseragents.rules 蕴含如下内容:
map $http_user_agent $blockedagent {
default 0;
~*malicious 1;
~*bot 1;
~*backdoor 1;
~*crawler 1;
~*bandit 1;
}而后将如下语句放入配置文件的 server 模块内
include /etc/nginx/blockuseragents.rules;
并退出 if 语句设置阻止后进入的页面:阻止图片外链
location /img/ {
valid_referers none blocked 192.168.1.250;
if ($invalid_referer) {return 403;}
}封杀歹意拜访
挺带劲!通过 Nginx 来实现封杀歹意拜访
禁掉不须要的 HTTP 办法
一些 web 站点和利用,能够只反对 GET、POST 和 HEAD 办法。在配置文件中的 serve r 模块退出如下办法能够阻止一些坑骗攻打
if ($request_method !~ ^(GET|HEAD|POST)$) {return 444;}禁止 SSL 并且只关上 TLS
尽量避免应用 SSL,要用 TLS 代替,以下配置能够放在 Server 模块内
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;通过这一系列的配置之后,置信你的 Nginx 服务器足够应酬理论生产需要了。
也欢送大家踊跃留言补充这份罕用配置清单,以便它更残缺、更欠缺。