nginx常用配置

2023-05-19 17:51:39 浏览数 (2)

# 虚拟主机

虚拟主机的三种方式:基于端口、IP地址、域名

代码语言:javascript复制
server {
​ listen 80;
​ server_name www.accp.com  (opens new window);
​ charset utf-8;
​ access_log logs/www.accp.com.access.log  (opens new window);
​ location / {
​ root /var/www/html/accp;
​ index index.html index.htm;
​ }
​ error_page 500 502 503 504 /50x.html;
​ location = /50x.html {
​ root html;
​ }
}

# nginx负载均衡

代码语言:javascript复制
upstream cluster {
ip_hash; #如果你的系统中没有使用第三方缓存管理工具 ,建议使用此方式
server 192.168.1.210:80 weight=5;
server 192.168.1.211:80 weight=3;
server 192.168.1.212:80 weight=1;
}
upstream dxTreasureIsland_http { server dal05iis39.sl.dx weight=40 max_fails=3 fail_timeout=60s; server iis01.zl.dx:8093 weight=10 max_fails=3 fail_timeout=60s; }

# 反向代理

代码语言:javascript复制
​ location / {
​ proxy_pass http://localhost:8000/;
​ proxy_redirect off;
​ proxy_set_header Host $http_host;
​ proxy_set_header X-Real-IP $remote_addr;
​ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
​ location / {
​ proxy_pass http://172.18.184.130:10085;
​ proxy_set_header Host $host;
​ proxy_set_header X-Real-IP $remote_addr;
​ proxy_redirect http:// $scheme://; #以上指令会将后端响应header location内容中的http://替换成用户端协议https://
​ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

​ }

location / {

proxy_pass http://baidunode;

proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host; #HTTP header 中的 Host 含义为所请求的目的主机名。当 nginx 作为反向代理使用,而后端真实 web 服务器设置有类似 防盗链功能

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #HTTP header 中的 X_Forward_For 表示该条 http 请求是由谁发起的

proxy_set_header X-Real-IP $remote_addr;
 proxy_redirect off;

}

常用的代理

代码语言:javascript复制
    location / {
        proxy_pass         http://localhost:8000/;
        proxy_set_header   Host             $http_host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

proxy_redirect的作用

proxy_redirect 该指令用来修改被代理服务器返回的响应头中的Location头域和“refresh”头域

  1. proxy_redirect 旧地址 新地址;
  2. proxy_redirect default; #默认配置
  3. proxy_redirect off; #关闭重定向

# 代理oss

代码语言:javascript复制
server {
 listen 443 ssl;
 server_name gyt.1quant.com;
 ssl on;
 ssl_certificate /cert/1quant.com/9298143__1quant.com.pem;
 ssl_certificate_key /cert/1quant.com/9298143__1quant.com.key;
 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_prefer_server_ciphers on;
 location / {
 proxy_set_header Host gaoying-tong.1quant.com;
 proxy_pass https://gaoying-tong.1quant.com;
 proxy_hide_header Content-Disposition;
 add_header Content-Disposition 'inline';

 }
}
这里我们使用了 proxy_hide_header Content-Disposition; 来删除从 OSS 接收到的原始 Content-Disposition 头,然后用 add_header Content-Disposition 'inline'; 添加新的 Content-Disposition 头。将其值设置为 inline 可以让浏览器尝试在线查看文件(如果支持的话)而不是下载它们。

# location规则

配置location /wandou可以匹配/wandoudouduo请求,也可以匹配/wandou*/duoduo等等,只要以wandou开头的目录都可以匹配到。而location /wandou/必须精确匹配/wandou/这个目录的请求,不能匹配/wandouduoduo/或/wandou*/duoduo等请求。

第一种:加"/" location /wddd/ { proxy_pass http://127.0.0.1:8080/ (opens new window); } 测试结果,请求被代理跳转到:http://127.0.0.1:8080/index.html

第二种: 不加"/" location /wddd/ { proxy_pass http://127.0.0.1:8080 (opens new window); } 测试结果,请求被代理跳转到:http://127.0.0.1:8080/wddd/index.html

第三种: 增加目录加"/" location /wddd/ { proxy_pass http://127.0.0.1:8080/sun/; } 测试结果,请求被代理跳转到:http://127.0.0.1:8080/sun/index.html 第四种:增加目录不加"/" location /wddd/ { proxy_pass http://127.0.0.1:8080/sun; } 测试结果,请求被代理跳转到:http://127.0.0.1:8080/sun/index.html 总结 location目录后加"/",只能匹配目录,不加“/”不仅可以匹配目录还对目录进行模糊匹配。而proxy_pass无论加不加“/”,代理跳转地址都直接拼接

符号

说明

~

正则匹配,区分大小写

~*

正则匹配,不区分大小写

^~

普通字符匹配,如果该选项匹配,则,只匹配改选项,不再向下匹配其他选项

=

普通字符匹配,精确匹配

@

定义一个命名的 location,用于内部定向,例如 error_page,try_files

符号@使用例子

代码语言:javascript复制
server {
    listen 80;
    client_max_body_size 100M;
    keepalive_timeout 5;
    root /app/static;
    location /backend {
    rewrite ^/backend/(.*) /$1 break;
    try_files $uri @proxy_to_app;
    }
    location / {
    try_files $uri @proxy_to_app;
    }
    location @proxy_to_spp {
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header   X-Real-IP        $remote_addr;
        proxy_redirect off;
        proxy_pass http://app_server;
    }
}
nginx禁止、允许访问某些后缀的文件 location ~* .(ini|cfg|dwt|lbi)$ {
 deny all;
 }

# 证书

​ ssl_certificate /etc/ssl/private/.crt; ​ ssl_certificate_key /etc/ssl/private/.key; ​ ssl_session_timeout 5m; ​ ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ​ ssl_ciphers HIGH:!ADH:!aNULL:!eNULL:!MD5:!DSS:!DH:!RC4; ​ ssl_prefer_server_ciphers on;

代码语言:javascript复制
server {
    listen 443;
    listen 80;
    server_name m.goldmanfutures.com;
    ssl on;
    ssl_certificate      /etc/nginx/cert/m.goldmanfutures.com/m.goldmanfutures.com_chain.crt;
    ssl_certificate_key  /etc/nginx/cert/m.goldmanfutures.com/m.goldmanfutures.com_key.key;
    proxy_ssl_session_reuse   off;
    ssl_session_cache         shared:SSL:1m;
    ssl_session_timeout       5m;
    ssl_ciphers               ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols             TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    client_max_body_size 1g;
    client_body_buffer_size 1m;
        if ($scheme = http) {
                rewrite ^(.*)$ https://m.goldmanfutures.com$1 permanent;
        }


    index   index.html index.htm index.php;
    location / {
        proxy_pass   http://172.31.186.20:10584/;
        proxy_set_header Host      $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

# 日志

代码语言:javascript复制
​ access_log /var/log/nginx/jenkins.dx.com.access.log;
​ error_log /var/log/nginx/jenkins.dx.com.errors.log;
​

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
 '$status $body_bytes_sent "$http_referer" '
 '"$http_user_agent" "$http_x_forwarded_for"';

# php配置

代码语言:javascript复制
​ location ~ .php$ {
​ root /data/erp5/website/erp5.pdvee.com/public;
​ index index.php;
​ fastcgi_pass 192.168.14.20:9005;
​ fastcgi_index index.php;
​ fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
​ include fastcgi_params;
​ }

# 模块

concat模块:Nginx concat通过合并静态文件来减少http请求数来达到优化前端性能,可以在一定程度上能减少web服务器的压力。

代码语言:javascript复制
location / {
 concat on;
 concat_max_files 100;
 concat_unique off;
 concat_ignore_file_error on;
 if (!-e $request_filename) {
 rewrite ^(.*)$ /index.php?s=/$1 last;
 break;
 }

# 跳转、重定向

代码语言:javascript复制
​ if ($host ~ ^www.dealextreme.com.com$) {
​ rewrite ^(.*)$ $scheme://www.dx.com permanent;
​ }
if ($scheme = http) {
            rewrite ^(.*)$ https://www.dx.com$1 permanent;
    }
server { listen 80; server_name www.zzppjj.top  (opens new window) zzppjj.top;
    location ~* / {
            rewrite ^(.*)$ https://www.zzppjj.top$1 permanent;
    }
}
server {
    listen 80;
    server_name getpro-h5-business.goingf.hk getpro-php-business.goingf.hk;



    location / {
        rewrite ^ https://$http_host$request_uri? permanent;    # force redirect http to https
        return 301 https://$http_host$request_uri;
    }

}

重定向到另外一台服务器示例:(查找目录下是否存在文件,如果不存在转到@new_uploads下,new_uploads对应代理到172.17.0.101上)

代码语言:javascript复制
location ^~ /uploads/ { root /data/weiwend/weiwang; try_files $uri @new_uploads; }
location @new_uploads {
    proxy_redirect off;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://172.17.0.101:80;
}
  • 将 /api/v1/game/data?id= 新网站路径地址映射到 http://gameid.escape.com/api/v1/new_game/ 老网站的 API 上面,给开发提供获取游戏用户信息的接口
代码语言:javascript复制
server { listen 80; server_name gameid.escape.com;
access_log /var/log/nginx/gameid.nginx.access.log  netdata;
error_log  /var/log/nginx/gameid.nginx.error.log   error;

location / {
    return 404;
}

location /api/v1/ {
    proxy_pass_header Server;
    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Scheme $scheme;
    proxy_http_version 1.1;
    if ($request_uri ~* "/api/v1/game/data?id=(.*)") {
        set $id $1;
        rewrite .* /api/v1/new_game/$id break;
        proxy_pass http://gameid.escape.com;
    }
}
}

# 虚拟目录

​ location /media { ​ alias /usr/share/nginx/html/media; ​ }

# nginx跨域

代码语言:javascript复制
     #是否允许请求带有验证信息
     add_header Access-Control-Allow-Credentials true;
     #允许跨域访问的域名,可以是一个域的列表,也可以是通配符*
     add_header Access-Control-Allow-Origin  $allow_url;
     #允许脚本访问的返回头
     add_header Access-Control-Allow-Headers 'x-requested-with,content-type,Cache-Control,Pragma,Date,x-timestamp';
     #允许使用的请求方法,以逗号隔开
     add_header Access-Control-Allow-Methods 'POST,GET,OPTIONS,PUT,DELETE';
     #允许自定义的头部,以逗号隔开,大小写不敏感
     add_header Access-Control-Expose-Headers 'WWW-Authenticate,Server-Authorization';
     #P3P支持跨域cookie操作
     add_header P3P 'policyref="/w3c/p3p.xml", CP="NOI DSP PSAa OUR BUS IND ONL UNI COM NAV INT LOC"';
     add_header test  1;

需求为浏览器访问B的时候要直接显示A的主页,这样对A做一个代理,浏览器的URL还是B并不是重定向到A。

在A的nginx中加入一下内容

代码语言:javascript复制
location /api/ {
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Credentials 'true';
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'Origin, X-Requested-With, Content-Type, Accept';
proxy_pass http://gateway_proxy/  (opens new window);

# php配置

代码语言:javascript复制
server {
        listen 80;
        listen 8888;

        server_name  api.erp.pdvee.com;

        access_log /var/log/nginx/api.erp.pdvee.com.access.log site_log2;
        error_log  /var/log/nginx/api.erp.pdvee.com.errors.log;

        proxy_set_header Host $host;
        proxy_set_header Real-IP $remote_addr;
        proxy_set_header Region $geoip_country_code;
        proxy_set_header X-Forwarded-For $remote_addr;

        root /data/erp/website/erp.pdvee.com;
        index index.php index.html index.htm;


      keepalive_timeout 18000s;
        client_body_timeout 18000s;
        client_header_timeout 18000s;
        proxy_connect_timeout 18000s;
        proxy_send_timeout 18000s;
        proxy_read_timeout 18000s;


    fastcgi_connect_timeout 18000;
    fastcgi_send_timeout 18000;
    fastcgi_read_timeout 18000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 8 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    ##
    client_max_body_size 2048m;        
    client_body_buffer_size 256k;




        location / {
#        proxy_cache my_cache;
#        proxy_cache_revalidate on;
                concat on;
                concat_max_files 100;
                concat_unique off;
#                concat_ignore_file_error on;
            if (!-e $request_filename) {
            rewrite ^(.*)$ /index.php?s=/$1 last;
            break;
           }

        }

        location ~ .php$ {
            root /data/website/erp.pdvee.com;
            index index.php;
            fastcgi_pass   192.168.14.13:9001;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }

}

全局变量

代码语言:javascript复制
$bytes_sent             发送给客户端的字节数
$connection             连接序列号
$connection_requests    当前通过连接发出的请求数量
$content_length         “Content-Length” 请求头字段
$content_type           “Content-Type” 请求头字段
$cookie_name            cookie名称
$document_root          当前请求的文档根目录或别名
$uri                    请求中的当前URI(不带请求参数,参数位于$args),可以不同于浏览器传递的$request_uri的值,它可以通过内部重定向,或者使用index指令进行修改,$uri不包含主机名,如”/foo/bar.html”。
$document_uri           同 $uri
$host                   优先级如下:HTTP请求行的主机名>”HOST”请求头字段>符合请求的服务器名
$hostname               主机名
$http_name              匹配任意请求头字段; 变量名中的后半部分“name”可以替换成任意请求头字段,如在配置文件中需要获取http请求头:“Accept-Language”,那么将“-”替换为下划线,大写字母替换为小写,形如:$http_accept_language即可。
$https                  如果开启了SSL安全模式,值为“on”,否则为空字符串。
$is_args                如果请求中有参数,值为“?”,否则为空字符串。
$limit_rate             用于设置响应的速度限制
$nginx_version          nginx版本
$pid                    工作进程的PID
$pipe                   如果请求来自管道通信,值为“p”,否则为“.” (1.3.12, 1.2.7)
$proxy_protocol_addr    获取代理访问服务器的客户端地址,如果是直接访问,该值为空字符串。
$realpath_root          当前请求的文档根目录或别名的真实路径,会将所有符号连接转换为真实路径。
$msec                   以秒为单位的时间,日志写入时的毫秒分辨率
$request_length         请求长度(包括请求行,标题和请求主体)
$request_method         HTTP请求方法,通常为“GET”或“POST”
$request_time           处理客户端请求使用的时间;从读取客户端的第一个字节开始计时。
$request_uri            这个变量等于包含一些客户端请求参数的原始URI,它无法修改,请查看$uri更改或重写URI,不包含主机名,例如:”/cnphp/test.php?arg=freemouse”。
$request_time           以毫秒分辨率请求处理时间,以秒为单位; 从客户端读取第一个字节之间的时间并在最后一个字节发送到客户端后进行日志写入
$status                 响应状态码
$time_local             本地时间采用通用日志格式
$arg_name               请求中的的参数名,即“?”后面的arg_name=arg_value形式的arg_name
$args                   请求中的参数值
$binary_remote_addr     客户端地址的二进制形式, 固定长度为4个字节
$body_bytes_sent        传输给客户端的字节数,响应头不计算在内;这个变量和Apache的mod_log_config模块中的“%B”参数保持兼容
$remote_addr            客户端地址
$remote_port            客户端端口
$remote_user            用于HTTP基础认证服务的用户名
$request                客户端请求地址
$request_body           客户端的请求主体,此变量可在location中使用,将请求主体通过proxy_pass, fastcgi_pass, uwsgi_pass, 和 scgi_pass传递给下一级的代理服务器。
$request_body_file      将客户端请求主体保存在临时文件中。文件处理结束后,此文件需删除。如果需要之一开启此功能,需要设置client_body_in_file_only。如果将次文件传递给后端的代理服务器,需要禁用request body,即设置proxy_pass_request_body off,fastcgi_pass_request_body off, uwsgi_pass_request_body off, or scgi_pass_request_body off 。
$request_completion     如果请求成功,值为”OK”,如果请求未完成或者请求不是一个范围请求的最后一部分,则为空。
$request_filename       当前连接请求的文件路径,由root或alias指令与URI请求生成。
$scheme                 请求使用的Web协议, “http” 或 “https”
$sent_http_name         可以设置任意http响应头字段; 变量名中的后半部分“name”可以替换成任意响应头字段,如需要设置响应头Content-length,那么将“-”替换为下划线,大写字母替换为小写,形如:$sent_http_content_length 4096即可。
$server_addr            服务器端地址,需要注意的是:为了避免访问linux系统内核,应将ip地址提前设置在配置文件中。
$server_name            服务器名,域名
$server_port            服务器端口
$server_protocol        服务器的HTTP版本, 通常为 “HTTP/1.0” 或 “HTTP/1.1”
$tcpinfo_rtt, $tcpinfo_rttvar, $tcpinfo_snd_cwnd, $tcpinfo_rcv_space 客户端TCP连接的具体信息
代码语言:javascript复制
nginx中$host、$http_host和$proxy_host区别
$host    不显示端口       浏览器请求的ip,不显示端口
$http_host 端口存在则显示        浏览器请求的ip和端口号
$proxy_host    默认80端口不显示,其它显示    被代理服务的ip和端口号

# 防止域名恶意解析

代码语言:javascript复制
server {
listen 80 default_server;
server_name _;
return 404;
}
server { listen 443 default_server; server_name _; ssl on; return 444; }

大概解释如下:

default_server:默认域名配置,如果找不到,会自动匹配

server_name _: 无效域名匹配

return 444: 非标准状态码,是Nginx服务器扩展的Http错误状态码,服务器不向客户端返回任何信息,并关闭连接, 断开客户端和服务器的连接,防止恶意软件攻击威胁

三、配置上面到主配置文件后。

重启动nginx ,就会为我们屏蔽恶意访问了。

# 网站置灰

代码语言:javascript复制
sub_filter  '</head>'  '<style type="text/css">html {-webkit-filter: grayscale(.95);}</style></head>';
    sub_filter_once on; 

0 人点赞