nginx代理伺服器怎麼設置

① 【NGINX入門】3.Nginx的緩存伺服器proxy_cache配置

本文介紹NGINX緩存機制，配置和參數說明。

如圖所示，nginx緩存，可以在一定程度上，減少源伺服器的處理請求壓力。因為靜態文件（比如css，js， 圖片）中，很多都是不經常更新的。nginx使用proxy_cache將用戶的請求緩存到本地一個目錄。下一個相同請求可以直接調取緩存文件，就不用去請求伺服器了。畢竟，IO密集型服務的處理是nginx的強項。

Nginx的緩存加速功能是由proxy_cache（用於反向代理和靜態緩存）和fastcgi_cache（php動態緩存）兩個功能模塊完成。

Nginx緩存特點：

先上個例子：

因為我是在一台伺服器上做試驗，所以用了兩個埠 80 和 90 進行模擬兩台伺服器之間的交互。

接下來講一下配置項：

這里我設置了 圖片 、 css 、 js 靜態資源進行緩存。
當用戶輸入 http://wangxiaokai.vip 域名時，解析得到 ip:port 的訪問地址。 port 默認為80。所以頁面請求會被當前server截取到，進行請求處理。
當解析到上述文件名結尾的靜態資源，會到緩存區獲取靜態資源。
如果獲取到對應資源，則直接返回數據。
如果獲取不到，則將請求轉發給 proxy_pass 指向的地址進行處理。

這里直接處理 90 埠接受到的請求，到伺服器本地目錄 /mnt/blog 下抓取資源進行響應。

細心的讀者應該發現，我在第二段例子里，留了個彩蛋 add_header wall "hey!guys!give me a star." 。
add_header 是用於在報頭設置自定義的信息。
所以，如果緩存有效的話，那麼靜態資源返回的報頭，一定會帶上這個信息。

（1）Nginx系列教程（3）nginx緩存伺服器上的靜態文件
https://yq.aliyun.com/articles/752967

（2）proxy_cache
nginx 反向代理之 proxy_cache https://www.cnblogs.com/yyxianren/p/10832172.html

（3）Nginx使用upstream負載均衡和proxy_cache緩存實現反向代理
https://blog.51cto.com/13770206/2163952

② 不容錯過的Nginx配置詳解，一文帶你搞懂Nginx

Nginx是一個高性能的HTTP和反向代理伺服器，特點是佔用內存少，並發能力強，事實上Nginx的並發能力確實在同類型的網頁伺服器中表現好。Nginx專為性能優化而開發，性能是其最重要的考量，實現上非常注重效率，能經受高負載的考驗，有報告表明能支持高達50000個並發連接數。

需要客戶自己在瀏覽器配置代理伺服器地址。

例如：在大陸訪問www.google.com，我們需要一個代理伺服器，我們通過代理伺服器去訪問谷歌，這個過程就是正向代理。

反向代理，客戶端對代理是無感知的，因為客戶端不需要任何配置就可以訪問，我們只需要將請求發送到反向代理伺服器，由反向代理伺服器去選擇目標伺服器獲取數據後，在返回給客戶端，此時反向代理伺服器和目標伺服器對外就是一個伺服器，暴露的是代理伺服器地址，隱藏了真實伺服器ip地址。

單個伺服器解決不了，我們增加伺服器的數量，然後將請求分發到各個伺服器上，將原先請求集中到單個伺服器上的情況改為將請求分發到多個伺服器上，將負載分發到不同的伺服器，也就是我們說的負載均衡。

為了加快網站的解析速度，可以把動態頁面和靜態頁面由不同的伺服器來解析，加快解析速度。降低原來單個伺服器的壓力。

進入到下面的目錄，然後使用命令

配置文件所在位置：/usr/local/nginx/conf/nginx.conf

由全局塊+events塊+http塊組成

從配置文件開始到events之間的內容，主要會設置一些影響Nginx伺服器整體運行的配置指令，主要包括配置運行Nginx伺服器的用戶（組）、允許生成的worker process數，進程pid存放路徑、日誌存放路徑和類型以及配置文件的引入等。

events塊設計的指令主要影響Nginx伺服器與用戶的網路連接，常用的設置包括是否開啟對多work process下的網路連接進行序列化，是否允許同時接收多個網路連接，選取哪種事件驅動模型來處理連接請求，每個work process可以同時支持的最大連接數等。下面的例子表示每個work process支持的最大連接數為1024。這部分配置對Nginx的性能影響較大，在實際中應該靈活配置。

Nginx伺服器配置中最頻繁的部分，代理、緩存和日誌定義等絕大多數功能和第三方模塊的配置都在這里，http塊又包括http全局塊和server塊。

http全局塊配置的指令包括文件引入、MIME-TYPE定義、日誌自定義、連接超時時間、單鏈接請求數上限等。

這塊和虛擬主機有密切關系，虛擬主機從用戶角度看，和一台獨立的硬體主機是完全一樣的，該技術的產生是為了節省互聯網伺服器硬體成本。

每個http塊可以包括多個server塊，而每個server塊就相當於一個虛擬主機。

每個server塊也可以分為全局server塊，以及可以同時包含多個location塊。

最常見的配置時本虛擬主機的監聽配置和本虛擬主機的名稱或IP配置。

一個server塊可以配置多個location塊。

這塊的主要作用是基於Nginx伺服器接收到的請求字元串（例如server_name/uri-string），對虛擬主機名稱（也可以是IP別名）之外的字元串（例如前面的/uri-string）進行匹配，對特定的請求進行處理。地址定向、數據緩存和應答控制等功能，還有許多第三方模塊的配置也在這里進行。

訪問http://ip，訪問到的是Tomcat的主頁面http://ip:8080。

Nginx+JDK8+Tomcat

訪問：http://192.168.71.167/，看到的是Tomcat的首頁。

根據訪問的路徑跳轉到不同的伺服器中去。

訪問http://ip:9001/e 直接跳到http://127.0.0.1:8080/e

訪問http://ip:9001/vod 直接跳到http://127.0.0.1:9090/vod

Nginx+JDK8+配置兩個Tomcat，Tomcat的配置不再講述。

訪問http://192.168.71.167:9001/e/a.html跳到了http://127.0.0.1:8080/e/a.html頁面。

訪問http://192.168.71.167:9001/vod/a.html跳到了http://127.0.0.1:9090/vod/a.html頁面。

假如Nginx代理伺服器Server的配置為：192.168.71.167:9001，跳到：127.0.0.1:8080，訪問者的IP為：192.168.71.200:20604。

通過訪問http://192.168.71.167/e/a.html，實現負載均衡的效果，平均分攤到8080和8081埠中。

Nginx+JDK8+2台Tomcat，一台8080，一台8081。

訪問：http://192.168.71.167/e/a.html，8080和8081交替訪問。

1 輪詢（默認）

每個請求按時間順序逐一分配到不同的後端伺服器，如果後端伺服器down掉，能自動剔除。

2 weight

weight代表權重，默認為1，權重越高被分配的客戶端越多。

指定輪詢幾率，weight和訪問比率成正比，用於後端伺服器性能不均的情況。

3 ip_hash

每個請求按訪問IP的hash結果分配，這樣每個訪客固定訪問一個後端伺服器，可以解決session的問題，示例如下：

4 fair（第三方）

按後端伺服器的響應時間來分配請求，響應時間短的優先分配。

訪問圖片：http://192.168.71.167/image/1.jpg

訪問頁面：http://192.168.71.167/www/a.html

訪問目錄：http://192.168.71.167/image/（因為設置了autoindex on;）

兩台機器，每台機器都裝有keepalived+Nginx+Tomcat。

主備keepalived伺服器中只有master一台機器會出現VIP地址，否則會出現腦裂問題。

【提示】腳本要加+x的執行許可權：chmod +x chk_nginx.sh

在Nginx里把虛擬IP配置進去即可。

一個Nginx是由一個master進程和多個worker進程組成的。

客戶端發送請求到Master，然後給worker，再由這些work爭搶處理這個請求。

1 可以使用nginx -s reload進行熱部署方式；

2 每個worker是獨立的進程，如果有其中的一個worker出現了問題，其他worker獨立的繼續進行爭搶，實現請求的過程，不會造成服務的中斷；

Nginx和Redis類似，都採用了io多路復用機制。每個worker進程都可以把CPU發揮到極致，一般來說worker數和伺服器的CPU數相等是最為適宜的。

發送請求：訪問靜態資源佔用2個連接，反向代理佔用4個連接。

【溫馨提示】

③ 如何在 centos 7/cpanel 伺服器上配置 nginx 反向代理

註：本配置環境在CentOS下實現，其他方法請參考官方幫助文件

一、安裝Nginx軟體
Nginx官方網站：http://nginx.org
我們使用yum安裝(配置和升級方便)，需要配置官方的yum源，Nginx官方源配置提供的配置方法如下：

1.創建一個更新源
#vim /etc/yum.repos.d/nginx.repo

2.加入如下內容：
[nginx]
name=nginx repo baseurl=http://nginx.org/packages/OS/EOSRELEAS/$basearch/
gpgcheck=0
enabled=1

3.把上面藍色欄位換成的操作系統類型，比如rhel或者centos，把綠色部分替換成發行的主版本號，比如「5」 或者 「6」, 分別代表 5.x 或 6.x 對應的版本。

其他版本的系統（Debian/Ubuntu）也可以參考nginx官方的方法配置（英文內容）。

4.配置完以上三部，就可以開始用我們熟悉的yum命令安裝nginx了（默認安裝最新的nginx穩定發行版本）。
#yum install nginx

5.安裝完畢看看都生成了哪些文件，配置文件都放在哪裡
#rpm -ql nginx
/etc/logrotate.d/nginx
/etc/nginx
/etc/nginx/conf.d
/etc/nginx/conf.d/default.conf
/etc/nginx/conf.d/example_ssl.conf
/etc/nginx/fastcgi_params
/etc/nginx/koi-utf
/etc/nginx/koi-win
/etc/nginx/mime.types
/etc/nginx/nginx.conf
/etc/nginx/scgi_params
/etc/nginx/uwsgi_params
/etc/nginx/win-utf
/etc/rc.d/init.d/nginx
/etc/sysconfig/nginx
/usr/sbin/nginx
/usr/share/nginx
/usr/share/nginx/html
/usr/share/nginx/html/50x.html
/usr/share/nginx/html/index.html
/var/cache/nginx
/var/log/nginx

以上是我安裝完的配置文件位置，安裝的版本是1.4.2版本(查看版本：nginx -v) ，如下圖：

6.檢查是否安裝成功
啟動nginx服務，輸入伺服器ip訪問是否能打開默認網站：
#service nginx restart

如果nginx服務啟動成功，但打不開網站，排除如果不是網路問題，可能是因為iptables，iptables開放80埠即可：
#vim /etc/sysconfig/iptables
加入：-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 如下圖：

二、配置文件
1.由上面的步驟，我們看到配置文件放置在/etc/nginx/目錄下:
主要配置文件：/etc/nginx/nginx.conf 內容如下圖
擴展配置文件：/etc/nginx/conf.d/*.conf

圖中的主配置文件的末尾，載入所有擴展配置文件裡面以.conf結尾的文件。所以我們不要修改主要配置文件（不需要修改），用戶配置都放到了/etc/nginx/conf.d/目錄下，裡面默認有兩個配置文件，一個普通的配置，一個是ssl配置。

2.為一個域名配置一個文件(文件名任意，以.conf結尾即可)
#cd /etc/nginx/conf.d/
#vim www.test.com.conf
把內容修改如下：
---------------------------------------------------------------------------
server {
listen 80;
server_name www.test.com;

charset utf8;
access_log /var/log/nginx/www.test.com.access.log main;

location / {
proxy_pass http://192.168.1.20:80;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
---------------------------------------------------------------------------
如圖：

3.重啟nginx服務，檢查配置文件並生效（nginx -t）
#service nginx restart

4.如果沒出意外，你應該已經成功實現Nginx反向代理服務了！

三、其他幫助
1.幫助命令

2.官方幫助文檔：http://nginx.org/en/docs/

④ Nginx 最全操作——nginx反向代理(5)

將 NGINX 配置為 HTTP 和其他協議的反向代理，支持修改請求標頭和微調的響應緩沖。

本文介紹代理伺服器的基本配置。您將學習如何通過不同的協議將請求從 NGINX 傳遞到代理伺服器，修改發送到代理伺服器的客戶端請求標頭，以及配置來自代理伺服器的響應的緩沖。

代理通常用於在多個伺服器之間分配負載，無縫顯示來自不同網站的內容，或通過 HTTP 以外的協議將處理請求傳遞給應用程序伺服器。

當 NGINX 代理請求時，它會將請求發送到指定的代理伺服器，獲取響應，然後將請求發送回客戶端。可以使用指定的協議將請求代理到 HTTP 伺服器（另一個 NGINX 伺服器或任何其他伺服器）或非 HTTP 伺服器（可以運行使用特定框架開發的應用程序，例如 PHP 或 Python）。支持的協議包括FastCGI、uwsgi、SCGI和memcached。

要將請求傳遞給 HTTP 代理伺服器，需要在location中指定proxy_pass指令。例如：

此示例配置導致將在此位置處理的所有請求傳遞到指定地址的代理伺服器。此地址可以指定為域名或者 IP 地址。該地址還可能包括一個埠：

注意，在上面的第一個例子中，代理的伺服器的地址後面是一個URI， /link/ 。如果 URI 與地址一起指定，它將替換請求 URI 中與 location 參數匹配的部分。例如，這里帶有 /some/path/page.html URI的請求將被代理到 http://www.example.com/link/page.html . 如果指定的地址沒有問題 URI，或者無法確定要替換的 URI 部分，則傳遞完整的請求 URI（可能已修改）。

要將請求傳遞給非 HTTP 代理伺服器， **_pass 應使用適當的指令：

請注意，在這些情況下，指定地址的規則可能不同。您可能還需要將其他參數傳遞給伺服器（有關詳細信息，請參閱參考文檔）。

proxy_pass指令也可以指向一組命名的伺服器。在這種情況下，請求根據指定的方法在組中的伺服器之間分發。

默認情況下，NGINX 重新定義代理請求中的兩個 header 欄位，「Host」和「Connection」，並消除值為空字元串的 header 欄位。「Host」設置為 $proxy_host 變數，「Connection」設置為 close 。

要更改這些設置以及修改其他標頭欄位，請使用proxy_set_header指令。該指令可以在某個位置或更高位置指定。它也可以在特定的伺服器上下文或http塊中指定。例如：

在此配置中，「主機」欄位設置為$host變數。

要防止標頭欄位被傳遞到代理伺服器，請將其設置為空字元串，如下所示：

默認情況下，NGINX 緩沖來自代理伺服器的響應。響應存儲在內部緩沖區中，並且在收到整個響應之前不會發送到客戶端。緩沖有助於優化慢速客戶端的性能，如果響應從 NGINX 同步傳遞到客戶端，這可能會浪費代理伺服器的時間。但是，當啟用緩沖時，NGINX 允許代理伺服器快速處理響應，而 NGINX 存儲響應的時間與客戶端下載它們所需的時間一樣長。

負責啟用和禁用緩沖的指令是proxy_buffering。默認情況下，它設置為 on 並啟用緩沖器。

該proxy_buffers指令控制規模和分配的請求緩沖區的數目。來自代理伺服器的響應的第一部分存儲在單獨的緩沖區中，其大小由proxy_buffer_size指令設置。這部分通常包含一個相對較小的響應頭，並且可以做得比其餘響應的緩沖區小。

在以下示例中，緩沖區的默認數量增加了，並且響應的第一部分的緩沖區大小小於默認值。

如果禁用緩沖，則在從代理伺服器接收響應的同時將響應同步發送到客戶端。對於需要盡快開始接收響應的快速交互客戶端，此行為可能是可取的。

要在特定位置禁用緩沖，請將proxy_buffering指令放在帶有參數的位置 off ，如下所示：

在這種情況下，NGINX 僅使用proxy_buffer_size配置的緩沖區來存儲響應的當前部分。

反向代理的一個常見用途是提供負載平衡。閱讀免費的選擇軟體負載均衡器的五個理由電子書，了解如何通過快速部署來提高功能、性能和專注於您的應用程序。

如果您的代理伺服器有多個網路介面，有時您可能需要選擇特定的源 IP 地址連接到代理伺服器或上游。如果 NGINX 後面的代理伺服器配置為接受來自特定 IP 網路或 IP 地址范圍的連接，這可能很有用。

指定proxy_bind指令和必要網路介面的 IP 地址：

IP 地址也可以用變數指定。例如， $server_addr 變數傳遞接受請求的網路介面的 IP 地址：

簡單來說，把網路首頁代理到/test路徑，同時把java代理到/testapi，配置如下:

參考鏈接：https://docs.nginx.com/nginx/admin-guide/web-server/reverse-proxy/

歡迎大家提出不一樣的觀點，我們一起討論，

我是辣個男人，一個運維人。

⑤ 求助關於centos6.6搭建nginx反向代理伺服器

〉直接作為http server(代替apache，對PHP需要FastCGI處理器支持)；
〉另外一個功能就是作為反向代理伺服器實現負載均衡

以下我們就來舉例說明如何使用 nginx 實現負載均衡。因為nginx在處理並發方面的優勢，現在這個應用非常常見。當然了Apache的 mod_proxy和mod_cache結合使用也可以實現對多台app server的反向代理和負載均衡，但是在並發處理方面apache還是沒有 nginx擅長。

1)環境：

a. 我們本地是Windows系統，然後使用VirutalBox安裝一個虛擬的Linux系統。
在本地的Windows系統上分別安裝nginx(偵聽8080埠)和apache(偵聽80埠)。在虛擬的Linux系統上安裝apache(偵聽80埠)。
這樣我們相當於擁有了1台nginx在前端作為反向代理伺服器；後面有2台apache作為應用程序伺服器(可以看作是小型的server cluster。;-) )；

b. nginx用來作為反向代理伺服器，放置到兩台apache之前，作為用戶訪問的入口；
nginx僅僅處理靜態頁面，動態的頁面(php請求)統統都交付給後台的兩台apache來處理。
也就是說，可以把我們網站的靜態頁面或者文件放置到nginx的目錄下；動態的頁面和資料庫訪問都保留到後台的apache伺服器上。

c. 如下介紹兩種方法實現server cluster的負載均衡。
我們假設前端nginx(為127.0.0.1:80)僅僅包含一個靜態頁面index.html；
後台的兩個apache伺服器(分別為localhost:80和158.37.70.143:80)，一台根目錄放置phpMyAdmin文件夾和test.php(裡面測試代碼為print 「server1「;)，另一台根目錄僅僅放置一個test.php(裡面測試代碼為 print 「server2「;)。

2)針對不同請求 的負載均衡：

a. 在最簡單地構建反向代理的時候 (nginx僅僅處理靜態不處理動態內容，動態內容交給後台的apache server來處理)，我們具體的設置為：在nginx.conf中修改：
復制代碼 代碼如下:

location ~ \.php$ {
proxy_pass 158.37.70.143:80 ;
}

〉 這樣當客戶端訪問localhost:8080/index.html的時候，前端的nginx會自動進行響應；
〉當用戶訪問localhost:8080/test.php的時候(這個時候nginx目錄下根本就沒有該文件)，但是通過上面的設置 location ~ \.php$(表示正則表達式匹配以.php結尾的文件，詳情參看location是如何定義和匹配的 http://wiki.nginx.org/NginxHttpCoreMole) ，nginx伺服器會自動pass給 158.37.70.143的apache伺服器了。該伺服器下的test.php就會被自動解析，然後將html的結果頁面返回給nginx，然後 nginx進行顯示(如果nginx使用memcached模塊或者squid還可以支持緩存)，輸出結果為列印server2。

如上是最為簡單的使用nginx做為反向代理伺服器的例子；

b. 我們現在對如上例子進行擴展，使其支持如上的兩台伺服器。
我們設置nginx.conf的server模塊部分，將對應部分修改為：
復制代碼 代碼如下:

location ^~ /phpMyAdmin/ {
proxy_pass 127.0.0.1:80 ;
}
location ~ \.php$ {
proxy_pass 158.37.70.143:80 ;
}

上面第一個部分location ^~ /phpMyAdmin/，表示不使用正則表達式匹配(^~)，而是直接匹配，也就是如果客戶端訪問的 URL是以http://localhost:8080/phpMyAdmin/ 開頭的話(本地的nginx目錄下根本沒有phpMyAdmin目錄)，nginx會自動pass到127.0.0.1:80 的Apache伺服器，該伺服器對phpMyAdmin目錄下的頁面進行解析，然後將結果發送給nginx，後者顯示；
如果客戶端訪問URL是http://localhost/test.php 的話，則會被pass到158.37.70.143:80 的apache進行處理。

因此綜上，我們實現了針對不同請求的負載均衡。
〉如果用戶訪問靜態頁面index.html，最前端的nginx直接進行響應；
〉如果用戶訪問test.php頁面的話，158.37.70.143:80 的Apache進行響應；
〉如果用戶訪問目錄phpMyAdmin下的頁面的話，127.0.0.1:80 的Apache進行響應；

3)訪問同一頁面 的負載均衡：
即用戶訪問http://localhost:8080/test.php 這個同一頁面的時候，我們實現兩台伺服器的負載均衡 (實際情況中，這兩個伺服器上的數據要求同步一致，這里我們分別定義了列印server1和server2是為了進行辨認區別)。

a. 現在我們的情況是在windows下nginx是localhost偵聽8080埠；
兩台apache，一台是127.0.0.1:80(包含test.php頁面但是列印server1)，另一台是虛擬機的158.37.70.143:80(包含test.php頁面但是列印server2)。

b. 因此重新配置nginx.conf為：
〉首先在nginx的配置文件nginx.conf的http模塊中添加，伺服器集群server cluster(我們這里是兩台)的定義：
復制代碼 代碼如下:

upstream myCluster {
server 127.0.0.1:80 ;
server 158.37.70.143:80 ;
}

表示這個server cluster包含2台伺服器
〉然後在server模塊中定義，負載均衡：
復制代碼 代碼如下:

location ~ \.php$ {
proxy_pass http://myCluster ; #這里的名字和上面的cluster的名字相同
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

這樣的話，如果訪問http://localhost:8080/test.php 頁面的話，nginx目錄下根本沒有該文件，但是它會自動將其pass到myCluster定義的服務區機群中，分別由127.0.0.1:80;或者158.37.70.143:80;來做處理。
上面在定義upstream的時候每個server之後沒有定義權重，表示兩者均衡；如果希望某個更多響應的話例如：
復制代碼 代碼如下:

upstream myCluster {
server 127.0.0.1:80 weight=5;
server 158.37.70.143:80 ;
}

這樣表示5/6的幾率訪問第一個server,1/6訪問第二個。另外還可以定義max_fails和fail_timeout等參數。

綜上，我們使用nginx的反向代理伺服器reverse proxy server的功能，將其布置到多台apache server的前端。
nginx僅僅用來處理靜態頁面響應和動態請求的代理pass，後台的apache server作為app server來對前台pass過來的動態頁面進行處理並返回給nginx。

通過以上的架構，我們可以實現nginx和多台apache構成的機群cluster的負載均衡。
兩種均衡：
1)可以在nginx中定義訪問不同的內容，代理到不同的後台server； 如上例子中的訪問phpMyAdmin目錄代理到第一台server上；訪問test.php代理到第二台server上；
2)可以在nginx中定義訪問同一頁面，均衡 (當然如果伺服器性能不同可以定義權重來均衡)地代理到不同的後台server上。 如上的例子訪問test.php頁面，會均衡地代理到server1或者server2上。
實際應用中，server1和server2上分別保留相同的app程序和數據，需要考慮兩者的數據同步。

⑥ nginx如何配置代理

nginx源碼： https://trac.nginx.org/nginx/browser

nginx官網： http://www.nginx.org/

... #全局塊

events { #events塊

...

}

http #http塊

{

}

1、全局塊：全局模塊影響nginx的全局指令，一般有運行nginx伺服器的用戶，nginx進程pid存放路勁，日誌存放路徑，配置文件引入，允許生成worker，process數。

2、events塊：配置影響nginx伺服器或與用戶的網路連接， ，有每個進程的最大連接數，選取哪種事件驅動模型處理連接請求，是否允許同時接受多個連接，開啟多個網路連接序列化。

3、http塊：可以嵌套多個server，配置代理，緩存

4、server塊：配置虛擬主機參數，一個http中有多個server

5、location塊：配置請求的路由。

########### 每個指令必須有分號結束。#################

error_log log/error.log debug; #制定日誌路徑，級別。這個設置可以放入全局塊，http塊，server塊，級別以此為：

debug|info|notice|warn|error|crit|alert|emerg

events {

} http {

}

四、nginx的簡單命令

五、配置解析

server {

1、location 支持配置項目的絕對路徑

2、假設我們的後台API地址是以API開頭，location ^~ /user/ 代表nginx將會攔截請求地址中包含"/user/"字樣的請求，其實這就是我們的ajax請求路徑，攔截到請求之後根據寫法會分成兩種情況把這個請求轉發到 下面 proxy_pass 的地址上。

舉個例子:

a、如上圖，如果proxy_pass 的URL以 / 結尾 ，那麼請求轉發的時候 將 不會 帶上 匹配到的 /api/ ，也就是說如果 登錄請求 URL是 localhost:80/user/login，proxy_pass URL 是 http://a.xx.com:8080/platform/， Nginx將會 把這個請求轉發成 http://a.xx.com:8080/platform/user/login

b、如果proxy_pass 的URL不以 / 結尾 ，那麼請求轉發的時候 將 會帶上 匹配到的 /user/ ，也就是說如果 登錄請求 URL是 localhost:60001/user/login，proxy_pass URL 是 http://a.xx.com:8080/platform/， Nginx將會 把這個請求轉發成 http://a.xx.com:8080/user/login

3、一般我們登錄之後伺服器會通過Set-Cookie把token寫回到我們本地，如果不設置 proxy_cookie_path 的話，伺服器Set-Cookie命令會失效，本地存不了cookie，從而導致token丟失。

這里proxy_cookie_path有一點需要注意的是 如果 proxy_pass URL 是 http://a.xx.com:8080/user/ 這種情況 proxy_cookie_path應該設置成 /platform/ / (注意兩個斜杠之間有空格)。

如果 proxy_pass URL 是 http://a.xx.com:8080/這種情況 proxy_cookie_path應該設置成 / / (注意兩個斜杠之間有空格)

語法規則：location [=| | *|^~] /uri/ { … }

⑦ 安全開發運維必備的Nginx代理Web伺服器性能優化與安全加固配置

為了更好的指導部署與測試藝術升系統nginx網站伺服器高性能同時下安全穩定運行,需要對nginx服務進行調優與加固;

本次進行Nginx服務調優加固主要從以下幾個部分：

本文檔僅供內部使用，禁止外傳，幫助研發人員，運維人員對系統長期穩定的運行提供技術文檔參考。

Nginx是一個高性能的HTTP和反向代理伺服器，也是一個IMAP/POP3/SMTP伺服器。Nginx作為負載均衡伺服器, Nginx 既可以在內部直接支持 Rails 和 PHP 程序對外進行服務，也可以支持作為 HTTP代理伺服器對外進行服務。

Nginx版本選擇:

項目結構:

Nginx文檔幫助: http://nginx.org/en/docs/
Nginx首頁地址目錄: /usr/share/nginx/html
Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下後綴的靜態並判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數：http://nginx.org/en/docs/configure.html

http_gzip模塊
開啟gzip壓縮輸出(常常是大於1kb的靜態文件)，減少網路傳輸;

http_fastcgi_mole模塊
nginx可以用來請求路由到FastCGI伺服器運行應用程序由各種框架和PHP編程語言等。可以開啟FastCGI的緩存功能以及將靜態資源進行剝離，從而提高性能。

keepalive模塊
長連接對性能有很大的影響，通過減少CPU和網路開銷需要開啟或關閉連接;

http_ssl_mole模塊
Nginx開啟支持Https協議的SSL模塊

Linux內核參數部分默認值不適合高並發,Linux內核調優，主要涉及到網路和文件系統、內存等的優化，

下面是我常用的內核調優配置：

文件描述符
文件描述符是操作系統資源，用於表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。
例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理伺服器，如果開啟了HTTP 保持連接，這個比例會更低（譯註：為什麼更低呢）。

對於有大量連接服務的系統，下面的設置可能需要調整一下：

精簡模塊:Nginx由於不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的伺服器軟體使用源碼編譯安裝管理;

(1) 減小Nginx編譯後的文件大小

(2) 指定GCC編譯參數
修改GCC編譯參數提高編譯優化級別穩妥起見採用 -O2 這也是大多數軟體編譯推薦的優化級別。

GCC編譯參數優化 [可選項] 總共提供了5級編譯優化級別：

常用編譯參數:

緩存和壓縮與限制可以提高性能
NGINX的一些額外功能可用於提高Web應用的性能，調優的時候web應用不需要關掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉 (永久)

nginx配置文件指令優化一覽表

描述:Nginx因為安全配置不合適導致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協議等。
對Nginx進行安全配置可以有效的防範一些常見安全問題，按照基線標准做好安全配置能夠減少安全事件的發生,保證採用Nginx伺服器系統應用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應的源代碼文件後需重新編譯。

設置成功後驗證:

應配置非root低許可權用戶來運行nginx服務,設置如下建立Nginx用戶組和用戶，採用user指令指運行用戶

加固方法:

我們應該為提供的站點配置Secure Sockets Layer Protocol (SSL協議)，配置其是為了數據傳輸的安全，SSL依靠證書來驗證伺服器的身份，並為瀏覽器和伺服器之間的通信加密。

不應使用不安全SSLv2、SSLv3協議即以下和存在脆弱性的加密套件(ciphers), 我們應該使用較新的TLS協議也應該優於舊的,並使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發送者用來提高他們正在嘗試推廣的網站的互聯網搜索引擎排名一種技術，如果他們的垃圾信息鏈接顯示在訪問日誌中，並且這些日誌被搜索引擎掃描，則會對網站排名產生不利影響
加固方法:

當惡意攻擊者採用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應該在Nginx策略中禁用此規則。
加固方法: dav_methods 應設置為off

當訪問一個特製的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx伺服器狀態摘要,大多數情況下不應啟用此模塊。
加固方法：nginx.conf文件中stub_status不應設置為：on

如果在瀏覽器中出現Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發現伺服器的潛在漏洞
加固方法: 關閉"Server"響應頭中輸出的Nginx版本號將server_tokens應設置為：off

client_body_timeout設置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。
加固方法：nginx.conf文件中client_body_timeout應設置為：10

client_header_timeout設置等待client發送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設為超時。超時後Nginx返回HTTP狀態碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應設置為：10

keepalive_timeout設置與client的keep-alive連接超時時間。伺服器將會在這個時間後關閉連接。

加固方法：nginx.conf文件中keepalive_timeout應設置為：55

send_timeout設置客戶端的響應超時時間。這個設置不會用於整個轉發器，而是在兩次客戶端讀取操作之間。如果在這段時間內，客戶端沒有讀取任何數據，Nginx就會關閉連接。

加固方法：nginx.conf文件中send_timeout應設置為：10

GET和POST是Internet上最常用的方法。Web伺服器方法在RFC 2616中定義禁用不需要實現的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數。通過此模塊可以從一個地址限制分配會話的同時連接數量或特殊情況。

加固方法：nginx.conf文件中limit_zone應設置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數量，即限制來自單個IP地址的連接數量。

加固方法：nginx.conf 文件中 limit_conn 應設置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述後端獲取Proxy後的真實Client的IP獲取需要安裝--with-http_realip_mole，然後後端程序採用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區選擇,我們需要再nginx編譯時加入 --with-http_geoip_mole 編譯參數。

描述: 為了防止外部站點引用我們的靜態資源，我們需要設置那些域名可以訪問我們的靜態資源。

描述: 下面收集了Web服務中常規的安全響應頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們伺服器上, 導致伺服器被警告關停，將會對業務或者SEO排名以及企業形象造成影響，我們可以通過如下方式進行防範。

執行結果:

描述: 有時你的網站可能只需要被某一IP或者IP段的地址請求訪問，那麼非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現這個合並文件的功能。

(2) PHP-FPM的優化
如果您高負載網站使用PHP-FPM管理FastCGI對於PHP-FPM的優化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

⑧ nginx基本配置（參考）

Nginx是一款自由的、開源的、高性能的HTTP伺服器和反向代理伺服器；同時也是一個IMAP、POP3、SMTP代理伺服器；Nginx可以作為一個HTTP伺服器進行網站的發布處理，另外Nginx可以作為反向代理進行負載均衡的實現。

1、全局塊：配置影響nginx全局的指令。一般有運行nginx伺服器的用戶組，nginx進程pid存放路徑，日誌存放路徑，配置文件引入，允許生成worker process數等。

2、events塊：配置影響nginx伺服器或與用戶的網路連接。有每個進程的最大連接數，選取哪種事件驅動模型處理連接請求，是否允許同時接受多個網路連接，開啟多個網路連接序列化等。

3、http塊：可以嵌套多個server，配置代理，緩存，日誌定義等絕大多數功能和第三方模塊的配置。如文件引入，mime-type定義，日誌自定義，是否使用sendfile傳輸文件，連接超時時間，單連接請求數等。

4、server塊：配置虛擬主機的相關參數，一個http中可以有多個server。
5、location塊：配置請求的路由，以及各種頁面的處理情況。

6、緩存控制欄位cache-control的配置說明 ( https://www.cnblogs.com/kevingrace/p/10459429.html )

HTTP協議的Cache -Control指定請求和響應遵循的緩存機制。在請求消息或響應消息中設置 Cache-Control並不會影響另一個消息處理過程中的緩存處理過程。
請求時的緩存指令包括: no-cache、no-store、max-age、 max-stale、min-fresh、only-if-cached等。
響應消息中的指令包括: public、private、no-cache、no- store、no-transform、must-revalidate、proxy-revalidate、max-age。

no-cache: 數據內容不能被緩存, 每次請求都重新訪問伺服器, 若有max-age, 則緩存期間不訪問伺服器.
no-store: 不僅不能緩存, 連暫存也不可以(即: 臨時文件夾中不能暫存該資源).
private(默認): 只能在瀏覽器中緩存, 只有在第一次請求的時候才訪問伺服器, 若有max-age, 則緩存期間不訪問伺服器.
public: 可以被任何緩存區緩存, 如: 瀏覽器、伺服器、代理伺服器等.
max-age: 相對過期時間, 即以秒為單位的緩存時間.
no-cache, private: 打開新窗口時候重新訪問伺服器, 若設置max-age, 則緩存期間不訪問伺服器.

設置以分鍾為單位的絕對過期時間, 優先順序比Cache-Control低, 同時設置Expires和Cache-Control則後者生效. 也就是說要注意一點: Cache-Control的優先順序高於Expires

expires起到控制頁面緩存的作用，合理配置expires可以減少很多伺服器的請求, expires的配置可以在http段中或者server段中或者location段中. 比如控制圖片等過期時間為30天

客戶端必須設置正向代理伺服器，當然前提是要知道正向代理伺服器的IP地址，還有代理程序的埠。

"它代理的是客戶端，代客戶端發出請求"，是一個位於客戶端和原始伺服器(origin server)之間的伺服器，為了從原始伺服器取得內容，客戶端向代理發送一個請求並指定目標(原始伺服器)，然後代理向原始伺服器轉交請求並將獲得的內容返回給客戶端。客戶端必須要進行一些特別的設置才能使用正向代理。
正向代理的用途：
（1）訪問原來無法訪問的資源，如Google
（2） 可以做緩存，加速訪問資源
（3）對客戶端訪問授權，上網進行認證
（4）代理可以記錄用戶訪問記錄（上網行為管理），對外隱藏用戶信息

多個客戶端給伺服器發送的請求，Nginx伺服器接收到之後，按照一定的規則分發給了後端的業務處理伺服器進行處理了。此時~請求的來源也就是客戶端是明確的，但是請求具體由哪台伺服器處理的並不明確了，Nginx扮演的就是一個反向代理角色。

客戶端是無感知代理的存在的，反向代理對外都是透明的，訪問者並不知道自己訪問的是一個代理。因為客戶端不需要任何配置就可以訪問。

反向代理，"它代理的是服務端，代服務端接收請求"，主要用於伺服器集群分布式部署的情況下，反向代理隱藏了伺服器的信息。

反向代理的作用：
（1）保證內網的安全，通常將反向代理作為公網訪問地址，Web伺服器是內網
（2）負載均衡，通過反向代理伺服器來優化網站的負載