众所周知,Nginx是Apache服务的一个很好的替代品。它的特点是内存少,并发性强。事实上,Nginx的并发性优于其他同类型的Web服务器。因此,淘宝、京东、百度、新浪、网易、腾讯等国内知名厂商的网站都使用了Nginx。Nginx简介Nginx是一个开源、高性能、高可靠的Web和反向代理服务器,支持热部署。还提供IMAP/POP3/SMTP服务,可以持续运行,提供热更新功能。占用内存少,并发能力强。最重要的是,Nginx是免费的,可以商业化,配置和使用都比较简单。Nginx特性高并发高性能模块化架构使其具有很强的可扩展性异步非阻塞事件驱动模型这个类似于Node.js无需重启热部署,平滑升级完全开源,Nginx最重要的几个用法场景:静态资源服务反向代理服务,包括缓存和负载均衡等API服务,OpenResty那么,今天我就整理一份Nginx的常用配置,供大家学习和生产配置参考。主要包括以下三个方面:基础配置高级配置安全配置基础配置去除不用的Nginx模块。-withouthttp_spdy_module#注意:配置指令由模块提供。确保您禁用的模块不包含您需要使用的指令!在决定禁用模块之前,应该查看Nginx文档以获取每个模块可用的指令列表。Nginx版本平滑升级回滚,1分钟搞定。Nginx版本worker_processes8平滑升级回滚过程相关配置;#Nginx进程号,建议根据CPU个数指定,一般为它的倍数(比如2个四核CPU算8个)。worker_rlimit_nofile65535;#一个Nginx进程最多打开的文件描述符数worker_connections65535;#每个进程允许的最大连接数Listeningportserver{listen80;#监听端口server_namewww.mingongge.com;#域名信息位置/{root/www/www;#网站根目录索引index.htmlindex.htm;#默认首页类型deny192.168.2.11;#禁止访问的ip地址可以全部allow192.168.3.44;#允许访问的ip地址都可以}}提示补充:域名匹配四种写法完全匹配:server_namewww.mingongge.com;左边的通配符:server_name*.mingongge.com;右边通用匹配:server_namewww.mingongge.*;正则匹配:server_name~^www\.mingongge\.*$;匹配优先级:精确匹配>左通配匹配>右通配匹配>正则表达式匹配配置Nginx状态页面[root@proxy~]#cat/usr/local/nginx/conf/nginx.conf……location/NginxStatus{stub_statuson;访问登录;auth_basic"Nginx状态";auth_basic_user_fileconf/htpasswd;}……[root@proxy~]#/usr/local/nginx/sbin/nginx-sreloadNginxlog(访问和错误日??志管理)error_log/var/log/nginx/error.logwarn;#配置错误日志事件的级别和存放目录{worker_connections1024;}http{............................log_formatmain'$remote_addr-$remote_user[$time_local]"$request"''$status$body_bytes_sent"$http_referer"'"$http_user_agent""$http_x_forwarded_for"';#配置日志方式access_log/var/log/nginx/access.日志主;#Configureaccesslogstoragedirectory}以上配置只是Nginx本身关于日志的基本配置。在实际生产环境中,我们需要收集日志,分析日志,才能更好的定位问题。推荐给大家:超强干货!通过filebeat、logstash、rsyslog收集nginx日志http相关配置http{sendfileon#高效文件传输模式必须开启keepalive_timeout65#客户端服务器请求超时时间}静态资源配置server{listen80;server_name民工阁.com;位置/static{root/wwww/web/web_static_site;}}你也可以使用下面的方法location/image{alias/web/nginx/static/image/;}注意:一定要在别名末尾加上/,它只能定位在location中的反向代理中。比如生产环境中有不同的项目(在同一个服务中)。这个比较实用。使用反向代理转发请求http{............上游product_server{127.0.0.1:8081;}上游admin_server{127.0.0.1:8082;}上游测试服务器{127.0.0.1:8083;}server{#default点产品的服务器位置/{proxy_passhttp://product_server;}location/product/{proxy_passhttp://product_server;}location/admin/{proxy_passhttp://admin_server;}location/test/{proxy_passhttp://test_server;}}}更多Nginx实践:位置路径匹配负载均衡upstreamserver_pools{server192.168.1.11:8880weight=5;服务器192.168.1.12:9990权重=1;服务器192.168.1.13:8989权重=6;#weight参数表示权重值,权重值越高,被分配的概率越大}server{listen80;server_namemingongge.com;位置/{proxy_passhttp://server_pools;}}其他代理相关配置proxy_connect_timeout90;#nginx与后端服务器连接超时(代理连接超时)proxy_send_timeout90;#后端服务器数据返回时间(代理发送超时)proxy_read_timeout90;#连接成功后,后端服务器响应时间(代理接收超时)proxy_buffer_size4k;#代理服务器(nginx)保存用户头信息缓冲区大小proxy_buffers432k;#proxy_buffers缓冲区proxy_busy_buffers_size64k;#高负载缓冲区大小(proxy_buffers*2)proxy_temp_file_write_size64k;#设置缓存文件夹大小proxy_set_headerHost$host;proxy_set_headerX-Forwarder-For$remote_addr;#获取客户端真实IP高级配置重定向配置位置/{return404;#直接返回状态码}location/{return404"找不到页面";#return状态码+一段文字}location/{return302/blog;#return状态码+重定向地址}location/{returnhttps://www.mingongge.com;#return重定向地址}示例如下server{listen80;server_namewww.mingongge.com;return301http://mingongge.com$request_uri;}server{listen80;server_namewww.mingongge.com;location/cn-url{return301http://mingongge.com.cn;}}服务器{听80;server_namemingongge.com;#在本地hosts文件roothtml中配置;location/search{重写^/(.*)https://www.mingongge.comredirect;}location/images{rewrite/images/(.*)/pics/$1;}location/pics{重写/pics/(.*)/照片/$1;}location/photos{}}设置缓存容量上限。这个设置可以防止缓冲区溢出攻击(Server模块也一样)client_body_buffer_size1k;client_header_buffer_size1k;client_max_body_size1k;large_client_header_buffers21k;#设置后无论HTTP请求多少,服务器系统的缓冲区都不会溢出.配置IP的最大连接数limit_conn_zone$binary_remote_addrzone=addr:5m;limit_connaddr1;Gzipcompressiongzip_types#压缩文件类型text/plaintext/cssapplication/jsonapplication/x-javascripttext/xmlapplication/xmlapplication/xml+rsstext/javascriptgzipon;#使用gzip压缩发送数据gzip_disable"msie6"#禁用指定客户端的gzip功能gzip_static;#压缩前查找是否有经过gzip处理的资源gzip_proxiedany;#根据请求和响应启用或禁止响应压缩流gzip_min_length1000;#设置对数据启用压缩的最小字节数gzip_comp_level6;#设置数据缓存配置的压缩级别open_file_cache#指定最大缓存数和缓存时间open_file_cache_valid#指定检测open_file_cache中正确信息的间隔时间open_file_cache_min_uses#定义指令不活动时间段内的最小文件数open_file_cache中的参数open_file_cache_errors#指定搜索文件位置时是否缓存错误信息~.*\.(gif|jpg|jpeg|png|bmp|swf)$#指定缓存文件的类型{expires3650d;#指定缓存时间}location~.*\.(js|css)?${expires3d;}SSL证书配置和跳转HTTPS配置服务器{listen192.168.1.250:443ssl;服务器令牌关闭;server_namemingonggex.comwww.mingoggex.com;root/var/www/mingongex.com/public_html;ssl_certificate/etc/nginx/sites-enabled/certs/mingongge.crt;ssl_certificate_key/etc/nginx/sites-enabled/certs/mingongge.key;ssl_protocolsTLSv1TLSv1.1TLSv1.2;}#将HTTP永久重定向到HTTPSserver{listen80;server_namemingongge.com;return301https://$server_name$request_uri;}流量镜像功能位置/{mirror/mirror;proxy_passhttp://backend;}location=/mirror{内部;proxy_passhttp://test_backend$request_uri;}限流功能限流配置主要有两条指令,limit_req_zone和limit_reqlimit_req_zone$binary_remote_addrzone=mylimit:10mrate=10r/s;server{location/login/{limit_reqzone=mylimit;proxy_passhttp://my_upstream;}}更多更详细的限流配置请参考:葵花宝典!一文修复Nginx限流配置Nginx常用内置变量安全配置disablesserver_tokens项server_tokens开启后会出现404页面显示Nginx当前版本号。你只需要在nginx.conf中的http模块中设置server_tokensoff即可,例如:server{listen192.168.1.250:80;Server_tokens关闭;server_namemingongge.comwww.mingongge.com;access_log/var/www/logs/mingongge.access.log;error_log/var/www/logs/mingongex.error.log错误;root/var/www/mingongge.com/public_html;indexindex.htmlindex.htm;}#重启Nginx生效:禁止非法HTTPUserAgentsUserAgent是HTTP协议中对浏览器的一种标识。禁止非法UserAgents可以阻止爬虫和扫描器的一些请求,防止这些请求大量消耗Nginx服务器资源。为了更好地维护,最好创建一个包含不期望的用户代理列表的文件。例如,/etc/nginx/blockuseragents.rules包含以下内容:map$http_user_agent$blockedagent{default0;~*恶意1;~*机器人1;~*后门1;?*爬虫1;~*bandit1;}然后在配置文件的server模块include/etc/nginx/blockuseragents.rules中加入如下语句;并添加一个if语句来设置被阻止的页面:Blockimagelinkslocation/img/{valid_referersnoneblocked192.168.1.250;如果($invalid_referer){返回403;}}阻止恶意访问非常令人兴奋!使用Nginx来阻止恶意访问并阻止不必要的HTTP方法。一些网站和应用程序只能支持GET、POST和HEAD方法。在配置文件中的server模块添加如下方法可以防止一些欺骗攻击if($request_method!~^(GET|HEAD|POST)$){return444;}禁用SSL只开启TLS尽量避免使用SSL,使用代替TLS,可以在Server模块ssl_protocolsTLSv1TLSv1.1TLSv1.2中放入如下配置;经过这一系列的配置,相信你的Nginx服务器已经足够满足实际生产需要了。也欢迎大家积极留言补充这份常用配置清单,使其更加完善完善。
