Nginx 日常管理配置

代理

个人默认模板

http{
    server {
        listen       8088;
        listen       [::]:8088;
        server_name  xxxxxx;
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
        location / {
            client_max_body_size 100m;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_pass http://127.0.0.1:80;
        }

        error_page 404 /404.html;
        location = /404.html {
        }

        error_page 500 502 503 504 /50x.html;
        location = /50x.html {
        }
    }
}

适用场景

堡垒机

防止黑客的攻击,设置一台代理服务器,只有代理服务器能访问自己的主机

发布内外服务器

适用于公网ip不足的场景

缓存场景

类似cdn 静态信息放到代理服务器,动态的交给业务服务器,8:2 的比例

使用方法

代理服务器,客户机在发送请求时,不会直接发送给目的主机,而是先发送给代理

服务器,代理服务接受客户机请求之后,再向主机发出,并接收目的主机返回的数
据,存放在代理服务器的硬盘中,再发送给客户机。

  • 在配置文件中 server修改配置
  • server下的 location中
location / {
        proxy_pass http://需要代理哪个ip;
    }

额外设置

#以下是一些反向代理的配置可删除
proxy_redirect             off; 
#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header           Host $host; 
proxy_set_header           X-Real-IP $remote_addr; 
proxy_set_header           X-Forwarded-For $proxy_add_x_forwarded_for; 
client_max_body_size       10m; #允许客户端请求的最大单文件字节数
client_body_buffer_size    128k; #缓冲区代理缓冲用户端请求的最大字节数
proxy_connect_timeout      300; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout         300; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout         300; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffer_size          4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers              4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置
proxy_busy_buffers_size    64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传

限速

引用场景

  • DDOS防御
  • 下载场景保护IO

IP下载速率做限制

每处理一次请求,对突发超过5个以后的请求放入缓存区

http {
    # zone=缓存名:流速10m rate=美秒一个
    limit_req_zone $binary_remote_addr zone=baism:10m rate=1r/s; 
    server {
    location /search/ {
        # zone缓存区名 触发值5  返回503
        limit_req zone=baism burst=5 nodelay;
    } 
}

下载限速

  • 限制下载速度
  • 限制同时下载人数
# 基于IP做连接限制 限制同 IP并发为1 下载速度为100K limit_conn_zone $binary_remote_addr zone=addr:10m; 
server {
    listen 80; 
    server_name localhost; 
    location / {
        root html;
        index index.html index.htm; 
    }
    location /abc { 
        limit_conn addr 1; 
        limit_rate 100k;
    } 
}

web基本设置

'''默认网站'''
 server {
        #虚拟主机使用的端口
        listen       80;
        #虚拟主机域名
        server_name  localhost;

        #虚拟主机支持的字符集
        charset utf-8;

        #访问日志路径,多个网站必须单独设定
        #access_log  logs/host.access.log  main;

        #定义web根路径
        location / {
            #根目录路径
            root   html;
            #索引页
            index  index.html index.htm;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #

        #根据错误码 返回对应的页面
        error_page   500 502 503 504  /50x.html;

        #定义页面路径
        location = /50x.html {
            root   html;
        }

访问控制

某些链接只允许本机访问

location /a {
    allow 192.168.1.0/24;  或者 localhost
    deny all;  # 拒绝所有
    #return 404;  可以迷惑访问者
    #return http://www.jd.com; 
}

访问页面登录验证

location /c {
    auth_basic "登陆验证"; 
    auth_basic_user_file /etc/nginx/htpasswd;
}

自定义访问日志

  • log_format格式变 :
  • $remote_addr #记录访问 站的客户端地址
  • $remote_user #远程客户端 户名
  • $time_local #记录访问时间与时区
  • $request # 户的http请求起始 信息
  • $status #http状态码,记录请求返回的状态码, 如:200、301、404等
  • $body_bytes_sent #服务 发送给客户端的响应body字节数
  • $http_referer #记录此次请求是从哪个连接访问过来的,可以根据该参数进 防盗链设置。
  • $http_user_agent #记录客户端访问信息, 如:浏览 、 机客户端等
  • $http_x_forwarded_for #当前端有代 服务 时,设置web节点记录客户端地址的配置,此参数 效的前提是代 服务 也要进 相关的x_forwarded_for设置

自定义日志格式json

log_format main_json '{"@timestamp":"$time_local",' '"client_ip": "$remote_addr",'
'"request": "$request",'
'"status": "$status",'
'"bytes": "$body_bytes_sent",'
'"x_forwarded": "$http_x_forwarded_for",'
'"referer": "$http_referer"'
'}’;
access_log logs/access_json.log main_json;

防盗链

location /images/ {
    alias /data/images/;
    valid_referers none blocked *.ayitula.com; 
    if ($invalid_referer) {
        return 403;
} }

虚拟主机

同时发布两个网站:
目录:
DocumentRoot /usr/local/nginx/html/web1 
DocumentRoot /usr/local/nginx/html/web2
  • 基于IP的不同虚拟主机

!!缺点 需要多个IP 如果是公网IP 每个IP都需要付费

server {
    listen location / {
        root index
        192.168.10.42:80;
        html/web1;
        index.html index.htm index.php;
    } 
}

# 第二个
server { 
    listen location / { 
    root index
    192.168.10.52:80;
    html/web2; 
    index.html index.htm;
    } 
}
  • 基于端口的不同虚拟主机

!!缺点 缺点 端口你是无法告诉公网用户 无法适用于公网客户 适合内部用户

# 基于端口 

server {
    listen 80;
    #server_name www.abc.com;
    location / {
        root  html/web1;
        index  index.html index.htm index.php;
    }
}


server {
    listen 8080;
    #server_name www.abc.com;
    location / {
        root  html/web2;
        index  index.html index.htm index.php;
    }
}
  • 基于域名的不同虚拟主机

!!缺点 一个网站必然有一个域名

server {
    listen 80;
    server_name www.abc.com;
    location / {
        root  html/web2;
        index  index.html index.htm index.php;
    }
}

server {
    listen 80;
    server_name www.xxjb.com;
    location / {
        root  html/web2;
        index  index.html index.htm;
    }
}

配置文件详解

#启动子进程程序默认用户
#user  nobody;
#一个主进程和多个工作进程。工作进程是单进程的,且不需要特殊授权即可运行;这里定义的是工作进程数量
worker_processes  1;

#全局错误日志的位置及日志格式
#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    #每个工作进程最大的并发数
    worker_connections  1024;
}


#http服务器设置
http {
    #设定mime类型,类型由mime.type文件定义
    include       mime.types;

    #
    default_type  application/octet-stream;

    #日志格式
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';
    #$remote_addr与$http_x_forwarded_for用以记录客户端的ip地址;
    #$remote_user:用来记录客户端用户名称;
    #$time_local: 用来记录访问时间与时区;
    #$request: 用来记录请求的url与http协议;
    #$status: 用来记录请求状态;成功是200,
    #$body_bytes_sent :记录发送给客户端文件主体内容大小;
    #$http_referer:用来记录从那个页面链接访问过来的;
    #$http_user_agent:记录客户浏览器的相关信息;

    #全局访问日志路径 
    #access_log  logs/access.log  main;
    #sendfile指令指定 nginx 是否调用sendfile 函数(zero copy 方式)来输出文件,对于普通应用,必须设为on。如果用来进行下载等应用磁盘IO重负载应用,可设置为off,以平衡磁盘与网络IO处理速度,降低系统uptime。
    sendfile        on;

    #此选项允许或禁止使用socke的TCP_CORK的选项,此选项仅在使用sendfile的时候使用
    #tcp_nopush     on;

    #长连接超时时间
    #keepalive_timeout  0;
    keepalive_timeout  65;

    #开启压缩
    #gzip  on;

    #配置虚拟主机 一个server一个网站
    server {
        #虚拟主机使用的端口
        listen       80;
        #虚拟主机域名
        server_name  localhost;

        #虚拟主机支持的字符集
        #charset koi8-r;

        #虚拟主机的访问日志路径
        #access_log  logs/host.access.log  main;

        #定义web根路径
        location / {
            #根目录路径
            root   html;
            #索引页
            index  index.html index.htm;
        }

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #

        #根据错误码 返回对应的页面
        error_page   500 502 503 504  /50x.html;

        #定义页面路径
        location = /50x.html {
            root   html;
        }

        #定义反向代理服务器 数据服务器是lamp模型
        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}


        #定义PHP为本机服务的模型  
        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #拒绝apache DR目录及子目录下的.htaccess文件访问
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    #https的配置方案
    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}
赞(0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址