Nginx 常用配置汇总,从入门到干活足矣
点击下方公众号「关注」和「星标」
回复“1024”获取独家整理的学习资料!
众所周知,Nginx 是 Apache服务不错的替代品。其特点是占有内存少,并发能力强,事实上 Nginx 的并发能力在同类型的网页服务器中表现较好,因此国内知名大厂例如:淘宝,京东,百度,新浪,网易,腾讯等等都在使用Nginx网站。
Nginx简介
Nginx 是开源、高性能、高可靠的 Web 和反向代理服务器,而且支持热部署,同时也提供了 IMAP/POP3/SMTP 服务,可以不间断运行,提供热更新功能。占用内存少、并发能力强,最重要的是,Nginx 是免费的并可以商业化,配置使用都比较简单。
Nginx 特点
高并发、高性能
模块化架构使得它的扩展性非常好
异步非阻塞的事件驱动模型这点和 Node.js 相似
无需重启可不间断运行
热部署、平滑升级
完全开源,生态好
Nginx 最重要的几个使用场景:
静态资源服务
反向代理服务,包括缓存、负载均衡等
API 服务,OpenResty
所以,今天民工哥就给大家整理一份 Nginx的常用配置清单,供大家学习与生产配置参考使用。主要包括以下三个方面:
基础配置
高级配置
安全配置
基础配置
去掉不用的 Nginx 模块
./configure --without-module1 --without-module2 --without-module3
例如:
./configure --without-http_dav_module --withouthttp_spdy_module
#注意事项:配置指令是由模块提供的。确保你禁用的模块不包含你需要使用的指令!在决定禁用模块之前,应该检查Nginx文档中每个模块可用的指令列表。
Nginx 版本的平滑升级与回滚
1分钟搞定 Nginx 版本的平滑升级与回滚
进程相关的配置
worker_processes 8;
#Nginx 进程数,建议按照CPU数目来指定,一般为它的倍数 (如,2个四核的CPU计为8)。worker_rlimit_nofile 65535;
#一个Nginx 进程打开的最多文件描述符数目worker_connections 65535;
#每个进程允许的最多连接数
监听端口
server {listen 80; #监听端口server_name www.mingongge.com; #域名信息location / {root /www/www; #网站根目录index index.html index.htm; #默认首页类型deny 192.168.2.11; #禁止访问的ip地址,可以为allallow 192.168.3.44; #允许访问的ip地址,可以为all}}
小技巧补充:域名匹配的四种写法
精确匹配:server_name www.mingongge.com ;
左侧通配:server_name *.mingongge.com ;
右侧统配:server_name www.mingongge.* ;
正则匹配:server_name ~^www\.mingongge\.*$ ;匹配优先级:精确匹配 > 左侧通配符匹配 > 右侧通配符匹配 > 正则表达式匹配
配置 Nginx 状态页面
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf
… …location /NginxStatus {stub_status on;access_log on;auth_basic "NginxStatus";auth_basic_user_file conf/htpasswd;}
… …
[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
Nginx 日志(访问与错误日志管理)
error_log /var/log/nginx/error.log warn;
#配置错误日志的级别及存储目录events {worker_connections 1024;
}
http {
..................log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';#配置日志的模式access_log /var/log/nginx/access.log main;#配置访问日志存储目录
}
以上配置只是Nginx自身关于日志的基本配置,在实际生产环境中,我们需要收集日志、分析日志,才定更好的去定位问题,推荐给大家:超强干货!通过filebeat、logstash、rsyslog 几种方式采集 nginx 日志
http 相关的配置
http {sendfile on #高效传输文件的模式 一定要开启keepalive_timeout 65 #客户端服务端请求超时时间}
静态资源配置
server {
listen 80;
server_name mingongge.com;
location /static { root /wwww/web/web_static_site; }
}
也可以使用下面的方法
location /image {alias /web/nginx/static/image/;
}
注意:使用alias末尾一定要添加/,并且它只能位于location中
反向代理
比如生产环境(同一台服务中)有不同的项目,这个就比较实用了,用反向代理去做请示转发。
http {
.............upstream product_server{127.0.0.1:8081;}upstream admin_server{127.0.0.1:8082;}upstream test_server{127.0.0.1:8083;}server {#默认指向product的serverlocation / {proxy_pass http://product_server;}location /product/{proxy_pass http://product_server;}location /admin/ {proxy_pass http://admin_server;}location /test/ {proxy_pass http://test_server;}}
}
更多关于 Nginx 实践:location 路径匹配
负载均衡
upstream server_pools { server 192.168.1.11:8880 weight=5;server 192.168.1.12:9990 weight=1;server 192.168.1.13:8989 weight=6;#weigth参数表示权值,权值越高被分配到的几率越大
}
server { listen 80; server_name mingongge.com;location / { proxy_pass http://server_pools; }
}
代理相关的其它配置
proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffer_size 4k; #代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers缓冲区
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 64k; #设定缓存文件夹大小proxy_set_header Host $host;
proxy_set_header X-Forwarder-For $remote_addr; #获取客户端真实IP
高级配置
重定向配置
location / {return 404; #直接返回状态码
}
location / {return 404 "pages not found"; #返回状态码 + 一段文本
}
location / {return 302 /blog ; #返回状态码 + 重定向地址
}
location / {return https://www.mingongge.com ; #返回重定向地址
}
示例如下
server {
listen 80;
server_name www.mingongge.com;
return 301 http://mingongge.com$request_uri;
}
server {
listen 80;
server_name www.mingongge.com;
location /cn-url { return 301 http://mingongge.com.cn; }
}
server{listen 80;server_name mingongge.com; # 要在本地hosts文件进行配置root html;location /search {rewrite ^/(.*) https://www.mingongge.com redirect;}location /images {rewrite /images/(.*) /pics/$1;}location /pics {rewrite /pics/(.*) /photos/$1;}location /photos {}
}
设置缓冲区容量上限
这样的设置可以阻止缓冲区溢出攻击(同样是Server模块)
client_body_buffer_size 1k;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
#设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了
限制最大连接数
在http模块内server模块外配置limit_conn_zone,配置连接的IP,在http,server或location模块配置limit_conn,能配置IP的最大连接数。
limit_conn_zone $binary_remote_addr zone=addr:5m;
limit_conn addr 1;
Gzip压缩
gzip_types #压缩的文件类型text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascriptgzip on;
#采用gzip压缩的形式发送数据gzip_disable "msie6"
#为指定的客户端禁用gzip功能gzip_static;
#压缩前查找是否有预先gzip处理过的资源gzip_proxied any;
#允许或者禁止压缩基于请求和响应的响应流gzip_min_length 1000;
#设置对数据启用压缩的最少字节数gzip_comp_level 6;
#设置数据的压缩等级
缓存配置
open_file_cache
#指定缓存最大数目以及缓存的时间open_file_cache_valid
#在open_file_cache中指定检测正确信息的间隔时间open_file_cache_min_uses
#定义了open_file_cache中指令参数不活动时间期间里最小的文件数open_file_cache_errors
#指定了当搜索一个文件时是否缓存错误信息location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
#指定缓存文件的类型{expires 3650d; #指定缓存时间}location ~ .*\.(js|css)?${expires 3d; }
SSL 证书配及跳转HTTPS配置
server {listen 192.168.1.250:443 ssl;server_tokens off;server_name mingonggex.com www.mingonggex.com;root /var/www/mingonggex.com/public_html;ssl_certificate /etc/nginx/sites-enabled/certs/mingongge.crt;ssl_certificate_key /etc/nginx/sites-enabled/certs/mingongge.key;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}# Permanent Redirect for HTTP to HTTPS
server
{
listen 80;
server_name mingongge.com;
https://$server_name$request_uri;
}
流量镜像功能
location / {mirror /mirror;proxy_pass http://backend;
}location = /mirror {internal;proxy_pass http://test_backend$request_uri;
}
限流功能
流量限制配置两个主要的指令,limit_req_zone
和limit_req
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;server {location /login/ {limit_req zone=mylimit;proxy_pass http://my_upstream;}
}
更多、更详细的限流配置请参考:葵花宝典!一文搞定 Nginx 限流配置
Nginx常用的内置变量
安全配置
禁用server_tokens项
server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。只需要在nginx.conf中http模块设置server_tokens off即可,例如:
server {listen 192.168.1.250:80;Server_tokens off;server_name mingongge.com www.mingongge.com;access_log /var/www/logs/mingongge.access.log;error_log /var/www/logs/mingonggex.error.log error;root /var/www/mingongge.com/public_html;index index.html index.htm;
}
#重启Nginx后生效:
禁止非法的HTTP User Agents
User Agent是HTTP协议中对浏览器的一种标识,禁止非法的User Agent可以阻止爬虫和扫描器的一些请求,防止这些请求大量消耗Nginx服务器资源。
为了更好的维护,最好创建一个文件,包含不期望的user agent列表例如/etc/nginx/blockuseragents.rules包含如下内容:
map $http_user_agent $blockedagent {default 0;~*malicious 1;~*bot 1;~*backdoor 1;~*crawler 1;~*bandit 1;
}
然后将如下语句放入配置文件的server模块内
include /etc/nginx/blockuseragents.rules;
并加入if语句设置阻止后进入的页面:
阻止图片外链
location /img/ {valid_referers none blocked 192.168.1.250;if ($invalid_referer) {return 403;}
}
封杀恶意访问
挺带劲!通过 Nginx 来实现封杀恶意访问
禁掉不需要的 HTTP 方法
一些web站点和应用,可以只支持GET、POST和HEAD方法。在配置文件中的 serve r模块加入如下方法可以阻止一些欺骗攻击
if ($request_method !~ ^(GET|HEAD|POST)$) {return 444;
}
禁止 SSL 并且只打开 TLS
尽量避免使用SSL,要用TLS替代,以下配置可以放在Server模块内
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
通过这一系列的配置之后,相信你的Nginx服务器足够应付实际生产需求了。
也欢迎大家积极留言补充这份常用配置清单,以便它更完整、更完善。
Nginx 常用配置汇总,从入门到干活足矣相关推荐
- Nginx常用配置清单
本文来说下Nginx常用配置清单 文章目录 概述 侦听端口 访问日志 域名 静态资源 重定向 反向代理 负载均衡 SSL协议 概述 Nginx 是一个高性能的 HTTP 和反向代理 web 服务器,同 ...
- 酒浓码浓 - nginx常用配置
nginx常用配置 1. 基础配置 main # 全局配置events { # nginx工作模式配置 }http { # http设置....server { # 服务器主机配置....locati ...
- Nginx 常用配置(学习笔记三)
#drop_sql为防爬虫.SQL注入等常用配置 user www www; worker_processes 1; error_log /usr/local/local/logs/nginx_er ...
- 2、nginx常用配置----作为web服务端
目录 环境及目的 nginx配置文件特点和结构 1 特性 2 主配置文件结构 常用全局配置 1 main段 2 events段 web服务相关配置 1 server_namerootlisten 11 ...
- 2021 最新 Nginx 常用配置清单
Nginx 是一个高性能的 HTTP 和反向代理 web 服务器,同时也提供了 IMAP/POP3/SMTP 服务,其因丰富的功能集.稳定性.示例配置文件和低系统资源的消耗受到了开发者的欢迎. 本文, ...
- 性能怪兽-Nginx常用配置指北
目录 安装 Nginx操作命令 https反向代理 负载均衡 轮询 加权轮询 最少连接 加权最少连接 IP Hash 普通 Hash 动静分离 资源压缩 缓冲区 缓存机制 解决跨域 防盗链设计 配置S ...
- nginx常用配置详解
一.nginx配置文件结构: ... #全局块 events { #events块 ...} http #http块{ ... #http全局块 server #server块 { ... #serv ...
- nginx常用配置目录
Nginx配置"文件"路径(常修改文件) /etc/nginx/nginx.conf Nginx默认根目录"文件夹" /usr/share/nginx/html ...
- Nginx 常用配置清单
点击关注公众号,Java干货及时送达 作者 | vishnu chilamakuru 来源 | https://vishnu.hashnode.dev/nginx-cheatsheet?guid=no ...
最新文章
- android130 android启动
- 小程序真的能帮商家挣到钱吗
- VS 2010 使用项目 无法链接 DLL文件的问题
- C语言 泛型链表 如何计算(结构体中各元素)相对内存地址?(字节对齐,结构体对齐)offsetof()函数 ( (struct X*)0 ) -> Y)语法(匿名结构体)
- 双绞线传输距离_光纤传输有哪些特点 光纤传输原理介绍【图文】
- linux--select
- 小学计算机打字基础知识,浅谈小学计算机教学技巧5篇
- 前端每周清单第 34 期:Vue 现状盘点与 3.0 展望,React 代码迁移与优化,图片优化详论...
- gnuplot 常用命令大全
- mysql 合服_风云私服合区的方法详解(mysql数据库合并)
- PostScript 打印描述语言 介绍
- Python关键字keyword
- 梦中情盘!基于NextCloud搭建个人私有云!
- Unity 实用小技巧(更新ing)
- 认识中药(3)--桔(jie)梗
- 信用风险计量模型简述
- ctab提取dna流程图_DNA提取(CTAB法)
- 卖电子产品怎么引流?电子产品怎么线上引流?
- java设计模式————模板模式,手撸一个JDBCTemplate
- NDIS开发[网络驱动开发] NDIS开发1
热门文章
- 洗脑 方法篇 洗脑集中营(转载)
- SDF 文件格式说明
- ubuntu9.04新氧中文定制版类似ghost
- 广告人必看 | 广告素材资源都在这
- FPGA如何将.bdf文件转换成.v文件
- dnf加物理攻击的卡片有哪些_dnf物理攻击宝珠都有哪些呢 dnf90版本物理攻击力宝珠一览...
- MSF木马的简单利用
- Facebook广告营销指南!Facebook广告投放技巧与策略!新手教程
- 微型计算机的软 硬件组成,微型计算机的软、硬件组成及主要性能指标
- idea maven 下载源码出现:Cannot download sources Sources not found for: xxx