Как мы все знаем,NginxХорошая альтернатива сервисам Apache. Его характеристики заключаются в том, что он занимает меньше памяти и обладает мощными возможностями параллелизма.NginxВозможность параллелизма веб-сервера того же типа работает лучше, поэтому известные отечественные производители, такие как Taobao, Jingdong, Baidu, Sina, NetEase, Tencent и т. д., используютNginxВеб-сайт.
Введение в Nginx
NginxЭто высокопроизводительный, высоконадежный веб-сервер и обратный прокси-сервер с открытым исходным кодом, который поддерживает горячее развертывание, а также предоставляет службы IMAP/POP3/SMTP, которые могут работать бесперебойно и обеспечивать функции горячего обновления. Он занимает меньше памяти, обладает мощными возможностями параллелизма и, что наиболее важно,NginxЭто бесплатно и может быть коммерциализировано, а настройка и использование относительно просты.
Возможности Nginx
-
Высокий параллелизм и высокая производительность
-
Модульная архитектура делает его очень масштабируемым
-
Асинхронная неблокирующая модель, управляемая событиями, похожая на Node.js.
-
Бесперебойная работа без перезапуска
-
Горячее развертывание и плавное обновление
-
Полностью открытый исходный код, хорошая экология
Наиболее важные сценарии использования Nginx:
-
служба статических ресурсов
-
Обратные прокси-сервисы, включая кэширование, балансировку нагрузки и т. д.
-
Сервис API, OpenResty
Итак, сегодня брат гастарбайтер разберет для вас копию.NginxСписок часто используемых конфигураций предназначен для изучения и использования всеми в качестве справочного материала для производственной конфигурации. В основном он включает в себя следующие три аспекта:
-
Базовая конфигурация
-
Расширенная конфигурация
-
Конфигурация безопасности
Базовая конфигурация
Удалите неиспользуемые модули Nginx
./configure --without-module1 --without-module2 --without-module3例如:./configure --without-http_dav_module --withouthttp_spdy_module#注意事项:配置指令是由模块提供的。确保你禁用的模块不包含你需要使用的指令!在决定禁用模块之前,应该检查Nginx文档中每个模块可用的指令列表。
Плавное обновление и откат версии Nginx
Плавное обновление и откат версии Nginx за 1 минуту
Конфигурация, связанная с процессом
worker_processes 8;#Nginx 进程数,建议按照CPU数目来指定,一般为它的倍数 (如,2个四核的CPU计为8)。worker_rlimit_nofile 65535; #一个Nginx 进程打开的最多文件描述符数目worker_connections 65535;#每个进程允许的最多连接数
порт прослушивания
server { listen 80; #监听端口 server_name www.mingongge.com; #域名信息 location / { root /www/www; #网站根目录 index index.html index.htm; #默认首页类型 deny 192.168.2.11; #禁止访问的ip地址,可以为all allow 192.168.3.44; #允许访问的ip地址,可以为all } }
Советы по добавлению: четыре способа написания соответствия доменных имен
精确匹配:server_name www.mingongge.com ;左侧通配:server_name *.mingongge.com ;右侧统配:server_name www.mingongge.* ;正则匹配:server_name ~^www\.mingongge\.*$ ;匹配优先级:精确匹配 > 左侧通配符匹配 > 右侧通配符匹配 > 正则表达式匹配
Настроить страницу состояния Nginx
[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf… …location /NginxStatus { stub_status on; access_log on; auth_basic "NginxStatus"; auth_basic_user_file conf/htpasswd; }… …[root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload
Журналы Nginx (управление журналами доступа и ошибок)
error_log /var/log/nginx/error.log warn;#配置错误日志的级别及存储目录events { worker_connections 1024;}http {.................. log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; #配置日志的模式 access_log /var/log/nginx/access.log main; #配置访问日志存储目录}
Приведенная выше конфигурация является лишь базовой конфигурацией собственного журнала Nginx. В реальной производственной среде нам необходимо собрать и проанализировать журнал, чтобы лучше определить проблему. Я рекомендую это всем:Суперсухой товар! Собирайте логи nginx через filebeat, logstash и rsyslog.
конфигурация, связанная с http
http { sendfile on #高效传输文件的模式 一定要开启 keepalive_timeout 65 #客户端服务端请求超时时间 }
Конфигурация статического ресурса
server { listen 80; server_name mingongge.com; location /static { root /wwww/web/web_static_site; }}
Вы также можете использовать следующий метод
location /image { alias /web/nginx/static/image/;}注意:使用alias末尾一定要添加/,并且它只能位于location中
обратный прокси
Например, в продакшене (в одном сервисе) есть разные проекты, это практичнее, а для запроса и переадресации используется обратный прокси.
http {............. upstream product_server{ 127.0.0.1:8081; } upstream admin_server{ 127.0.0.1:8082; } upstream test_server{ 127.0.0.1:8083; }server { #默认指向product的server location / { proxy_pass http://product_server; } location /product/{ proxy_pass http://product_server; } location /admin/ { proxy_pass http://admin_server; } location /test/ { proxy_pass http://test_server; } }}
больше оПрактика Nginx: сопоставление пути к местоположению
Балансировка нагрузки
upstream server_pools { server 192.168.1.11:8880 weight=5; server 192.168.1.12:9990 weight=1; server 192.168.1.13:8989 weight=6; #weigth参数表示权值,权值越高被分配到的几率越大}server { listen 80; server_name mingongge.com; location / { proxy_pass http://server_pools; }}
Другая конфигурация, связанная с прокси
proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)proxy_buffer_size 4k; #代理服务器(nginx)保存用户头信息的缓冲区大小proxy_buffers 4 32k; #proxy_buffers缓冲区proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)proxy_temp_file_write_size 64k; #设定缓存文件夹大小proxy_set_header Host $host; proxy_set_header X-Forwarder-For $remote_addr; #获取客户端真实IP
Расширенная конфигурация
конфигурация перенаправления
location / { return 404; #直接返回状态码}location / { return 404 "pages not found"; #返回状态码 + 一段文本}location / { return 302 /blog ; #返回状态码 + 重定向地址}location / { return https://www.mingongge.com ; #返回重定向地址}
Примеры следующие
server { listen 80;server_name www.mingongge.com;return 301 http://mingongge.com$request_uri;}server {listen 80; server_name www.mingongge.com; location /cn-url { return 301 http://mingongge.com.cn; }}
server{ listen 80; server_name mingongge.com; # 要在本地hosts文件进行配置 root html; location /search { rewrite ^/(.*) https://www.mingongge.com redirect; } location /images { rewrite /images/(.*) /pics/$1; } location /pics { rewrite /pics/(.*) /photos/$1; } location /photos { }}
Установите верхний предел емкости буфера
Такая настройка может предотвратить атаки переполнения буфера (также модуль сервера).
client_body_buffer_size 1k;client_header_buffer_size 1k;client_max_body_size 1k;large_client_header_buffers 2 1k;#设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了
Ограничьте максимальное количество подключений
Настройте limit_conn_zone вне модуля сервера в модуле http, чтобы настроить подключенный IP-адрес Настройте limit_conn в модуле http, server или location, чтобы настроить максимальное количество IP-соединений.
limit_conn_zone $binary_remote_addr zone=addr:5m;limit_conn addr 1;
Gzip-сжатие
gzip_types #压缩的文件类型 text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascriptgzip on;#采用gzip压缩的形式发送数据gzip_disable "msie6"#为指定的客户端禁用gzip功能gzip_static;#压缩前查找是否有预先gzip处理过的资源gzip_proxied any;#允许或者禁止压缩基于请求和响应的响应流gzip_min_length 1000;#设置对数据启用压缩的最少字节数gzip_comp_level 6;#设置数据的压缩等级
конфигурация кэша
open_file_cache#指定缓存最大数目以及缓存的时间open_file_cache_valid#在open_file_cache中指定检测正确信息的间隔时间open_file_cache_min_uses #定义了open_file_cache中指令参数不活动时间期间里最小的文件数open_file_cache_errors #指定了当搜索一个文件时是否缓存错误信息location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$#指定缓存文件的类型 { expires 3650d; #指定缓存时间 } location ~ .*\.(js|css)?$ { expires 3d; }
SSL-сертификаты с конфигурацией HTTPS и прыжком
server { listen 192.168.1.250:443 ssl; server_tokens off; server_name mingonggex.com www.mingonggex.com; root /var/www/mingonggex.com/public_html; ssl_certificate /etc/nginx/sites-enabled/certs/mingongge.crt; ssl_certificate_key /etc/nginx/sites-enabled/certs/mingongge.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2;}# Permanent Redirect for HTTP to HTTPSserver { listen 80; server_name mingongge.com; https://$server_name$request_uri;}
Функция зеркалирования трафика
location / { mirror /mirror; proxy_pass http://backend;}location = /mirror { internal; proxy_pass http://test_backend$request_uri;}
Функция ограничения тока
Существуют две основные директивы для настройки ограничения трафика:limit_req_zoneа такжеlimit_req
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;server { location /login/ { limit_req zone=mylimit; proxy_pass http://my_upstream; }}
Для получения более подробной информации о настройке ограничения тока см.:Коллекция подсолнухов! Одна статья, чтобы получить текущую конфигурацию ограничения Nginx
Встроенные переменные, обычно используемые в Nginx
Конфигурация безопасности
Отключить элемент server_tokens
Когда server_tokens включен, на странице 404 будет отображаться номер текущей версии Nginx. Это явно небезопасно, так как хакеры будут использовать эту информацию, чтобы попробовать эксплойты в соответствующей версии Nginx. Просто отключите server_tokens в модуле http в nginx.conf, например:
server { listen 192.168.1.250:80; Server_tokens off; server_name mingongge.com www.mingongge.com; access_log /var/www/logs/mingongge.access.log; error_log /var/www/logs/mingonggex.error.log error; root /var/www/mingongge.com/public_html; index index.html index.htm;}#重启Nginx后生效:
Запретить незаконные пользовательские агенты HTTP
Пользовательский агент — это идентификатор браузера в протоколе HTTP.Запрет нелегальных пользовательских агентов может блокировать некоторые запросы от поисковых роботов и сканеров, не позволяя этим запросам потреблять много ресурсов сервера Nginx.
Для лучшего обслуживания лучше всего создать файл, содержащий список нежелательных пользовательских агентов, например, /etc/nginx/blockuseragents.rules содержит следующее:
map $http_user_agent $blockedagent { default 0; ~*malicious 1; ~*bot 1; ~*backdoor 1; ~*crawler 1; ~*bandit 1;}
Затем поместите следующий оператор в серверный модуль файла конфигурации.
include /etc/nginx/blockuseragents.rules;并加入if语句设置阻止后进入的页面:
Заблокировать ссылки на изображения
location /img/ { valid_referers none blocked 192.168.1.250; if ($invalid_referer) { return 403; }}
Заблокировать злонамеренный доступ
Очень волнующе! Блокировать вредоносный доступ через Nginx
Отключите нежелательные методы HTTP
Некоторые веб-сайты и приложения могут поддерживать только методы GET, POST и HEAD. Добавление следующих методов к серверному модулю в файле конфигурации может предотвратить некоторые спуфинговые атаки.
if ($request_method !~ ^(GET|HEAD|POST)$) { return 444;}
Отключить SSL и включить только TLS
Старайтесь избегать использования SSL и вместо этого используйте TLS.Следующую конфигурацию можно поместить в модуль сервера
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
После этой серии конфигураций я считаю, что вашего сервера Nginx достаточно для удовлетворения реальных производственных потребностей.
Вы также можете активно оставить сообщение, чтобы дополнить этот список общих конфигураций, чтобы он мог быть более полным и полным.