深入浅出 Nginx 配置——从入门到精通
01 什么是 Nginx?
Nginx是一个高性能的 HTTP 和反向代理服务器,同时也支持 IMAP/POP3 邮件代理功能。它以其轻量级、高并发处理能力和稳定性而著称。
Nginx 由俄罗斯程序员 Igor Sysoev 于 2004 年首次发布,并迅速成为全球最受欢迎的 Web 服务器之一。其开源版本和商业版 NGINX Plus 均广泛应用于各种规模的企业和项目中。
01 特点概述
高效的并发处理:使用异步非阻塞 I/O 模型,能够同时处理数千个并发连接,极大地提高了 Web 服务的响应速度。
轻量级:相比其他 Web 服务器,Nginx 占用的系统资源较少,运行效率更高。
模块化设计:通过加载不同的模块扩展功能,如 SSL/TLS 支持、压缩、缓存等,满足多样化需求。
反向代理和负载均衡:可以作为反向代理服务器将客户端请求转发给后端应用服务器,并提供简单的负载均衡功能以分散流量压力。
静态文件服务:快速高效地分发静态文件(HTML、CSS、JavaScript 等),减少应用程序服务器的负担。
灵活的配置语法:基于文本的配置文件易于理解和修改,支持丰富的配置选项,便于定制化部署。
Nginx 不仅是一个强大的 Web 服务器,还可以与其他工具和技术结合使用,构建复杂的网络基础设施。
- 例如,它可以与 FastCGI、uWSGI 或 gRPC 协议配合工作,支持 PHP、Python、Ruby 等多种编程语言的应用程序;也可以集成到 Kubernetes、Docker Swarm 等容器编排平台中,实现自动化的服务发现和流量管理。
02 常用配置示例
01 配置静态文件服务器
创建目录并放置静态文件
假设我们有一个简单的 HTML 文件 index.html 和一些静态资源(如 CSS 和图片),这些文件位于 /var/www/html 目录下。
sudo mkdir -p /var/www/html
sudo echo "<html><body><h1>Hello, Nginx!</h1></body></html>" > /var/www/html/index.html
配置 Nginx
编辑 Nginx 的默认配置文件或创建一个新的配置文件(例如
/etc/nginx/sites-available/static-site),添加以下内容:
server {
listen 80;
server_name your_domain_or_IP;
root /var/www/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
expires max;
log_not_found off;
}
}
- listen 80;:监听 HTTP 端口 80。
- server_name:指定服务器名称或 IP 地址。
- root:定义静态文件的根目录。
- index:设置默认索引文件。
- location /:处理所有请求,尝试匹配文件路径;如果找不到则返回 404 错误。
- *location ~ .(jpg|jpeg|png|gif|ico|css|js)$**:对特定类型的静态文件启用缓存,并禁用未找到文件的日志记录。
启用配置并重启 Nginx
确保配置文件正确无误后,启用站点配置并重新加载 Nginx:
sudo ln -s /etc/nginx/sites-available/static-site /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx
现在,访问您的域名或 IP 地址应该可以看到静态页面,并且静态资源会被高效地提供给客户端。
02 配置反向代理
后端应用服务器
假设您有一个运行在 http://localhost:3000 上的 Node.js 应用程序。
配置 Nginx
编辑 Nginx 的默认配置文件或创建一个新的配置文件(例如
/etc/nginx/sites-available/reverse-proxy),添加以下内容:
server {
listen 80;
server_name your_domain_or_IP;
location / {
proxy_pass http://localhost:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
- proxy_pass:指定后端应用服务器的地址。
- proxy_set_header:传递原始请求头信息给后端服务器,以便应用程序能够正确处理请求。
启用配置并重启 Nginx
同样地,启用站点配置并重新加载 Nginx:
sudo ln -s /etc/nginx/sites-available/reverse-proxy /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx
现在,所有发送到 Nginx 的请求都会被透明地转发给后端应用程序服务器,而客户端只会看到 Nginx 提供的统一接口。
03 配置负载均衡
后端服务器列表
假设您有三台后端服务器分别运行在 http://backend1:3000、http://backend2:3000 和 http://backend3:3000。
配置 Nginx
编辑 Nginx 的默认配置文件或创建一个新的配置文件(例如
/etc/nginx/sites-available/load-balancer),添加以下内容:
upstream backend_servers {
server backend1:3000;
server backend2:3000;
server backend3:3000;
}
server {
listen 80;
server_name your_domain_or_IP;
location / {
proxy_pass http://backend_servers;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
- upstream:定义一组后端服务器,Nginx 会自动选择其中一台来处理每个请求,默认采用轮询算法。
- 其他配置项:与之前的反向代理配置相同,用于传递请求头信息。
启用配置并重启 Nginx
启用站点配置并重新加载 Nginx:
sudo ln -s /etc/nginx/sites-available/load-balancer /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl reload nginx
现在,Nginx 将根据配置的负载均衡策略将流量分散到不同的后端服务器上,从而提高了系统的可靠性和响应速度。
03 高级配置技巧
在掌握了 Nginx 的基本配置之后,了解一些高级配置技巧可以帮助您进一步优化性能、增强安全性和实现更复杂的功能。本节将详细介绍 SSL/TLS 配置、内容缓存和安全加固等高级配置方法。
01 SSL/TLS 配置
启用 HTTPS 是确保 Web 应用程序安全的关键步骤。通过 SSL/TLS 加密传输的数据可以保护用户信息免受中间人攻击和其他安全威胁。以下是配置 Nginx 支持 HTTPS 的步骤:
获取 SSL 证书
您可以从 Let's Encrypt 等免费证书颁发机构(CA)获取 SSL 证书,或者购买商业证书。以 Let's Encrypt 为例:
sudo apt install certbot python3-certbot-nginx # 对于 Debian/Ubuntu
sudo yum install certbot python3-certbot-nginx # 对于 CentOS/RHEL
sudo certbot --nginx -d your_domain_or_IP
Certbot 会自动完成证书申请和配置过程,并修改 Nginx 配置文件以启用 HTTPS。
手动配置 SSL
如果您已经拥有 SSL 证书,可以通过编辑 Nginx 配置文件手动启用 HTTPS:
server {
listen 80;
server_name your_domain_or_IP;
# 重定向 HTTP 请求到 HTTPS
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name your_domain_or_IP;
ssl_certificate /etc/letsencrypt/live/your_domain/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your_domain/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
proxy_pass http://backend_servers;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
- listen 443 ssl;:监听 HTTPS 端口 443。
- ssl_certificate 和 ssl_certificate_key:指定 SSL 证书和私钥路径。
- ssl_protocols 和 ssl_ciphers:设置支持的 SSL 协议版本和加密套件,确保使用强加密算法。
自动更新证书
对于 Let's Encrypt 证书,建议定期自动更新以避免过期。可以通过 cron 任务来实现:
# 编辑 crontab 文件
crontab -e
# 添加以下行以每天凌晨 2 点检查并更新证书
0 2 * * * /usr/bin/certbot renew --quiet && systemctl reload nginx
02 内容缓存
启用缓存可以显著提高 Web 应用程序的响应速度,减少服务器负载。Nginx 提供了灵活的内容缓存机制,可以根据需要进行配置。
配置缓存区
首先,在 http 块中定义一个或多个缓存区:
http {
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=1g inactive=60m use_temp_path=off;
}
10.212.4.107 0011-43a3-388f 0 D-0 Eth4/0/42
- proxy_cache_path:定义缓存存储路径、层级结构、键空间名称、最大大小和失效时间等参数。
配置缓存规则
接下来,在 server 或 location 块中应用缓存规则:
server {
listen 80;
server_name your_domain_or_IP;
location / {
proxy_pass http://backend_servers;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_cache my_cache;
proxy_cache_valid 200 301 302 10m;
proxy_cache_valid 404 1m;
add_header X-Proxy-Cache $upstream_cache_status;
}
}
- proxy_cache:指定使用的缓存区名称。
- proxy_cache_valid:根据响应状态码设置不同的缓存有效期。
- add_header:添加自定义头信息,显示缓存状态(如 HIT、MISS)。
03 安全加固
增强 Nginx 的安全性是保护 Web 应用程序免受潜在威胁的重要措施。以下是几个常用的安全配置技巧:
限制 HTTP 方法
仅允许必要的 HTTP 方法(如 GET、POST),禁止其他不常用的方法(如 DELETE、PUT):
if ($request_method !~ ^(GET|POST)$ ) {
return 405;
}
防止点击劫持
通过设置 X-Frame-Options 头信息来防止页面被嵌入到其他网站的 iframe 中:
add_header X-Frame-Options SAMEORIGIN;
防止 MIME 类型嗅探
禁用浏览器的 MIME 类型嗅探功能,防止某些类型的攻击:
add_header X-Content-Type-Options nosniff;
启用严格传输安全(HSTS)
强制浏览器只通过 HTTPS 访问您的站点,并在一段时间内记住这个设置:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
限制上传文件大小
根据应用程序需求设置合理的上传文件大小限制,防止恶意上传大文件导致服务器资源耗尽:
client_max_body_size 10M;
启用安全标头
综合使用多种安全标头来提升整体安全性:
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline';";
add_header Referrer-Policy "no-referrer-when-downgrade";
add_header Permissions-Policy "geolocation=(), microphone=()";
04 常见问题及解决方法
01 配置文件语法错误
启动或重新加载 Nginx 时失败,并报告配置文件中有语法错误。
解决方法:使用 nginx -t 检查配置文件语法是否正确。该命令会验证配置文件并在发现问题时提供具体的错误信息。修复错误后重新加载 Nginx。
sudo nginx -t
sudo systemctl reload nginx
02 端口冲突
Nginx 启动失败,提示端口已被占用。
解决方法:检查是否有其他服务正在使用相同端口(如 Apache)。可以使用 netstat 或 ss 命令查看端口占用情况,并调整 Nginx 或其他服务的监听端口。
sudo netstat -tuln | grep :80
sudo ss -tuln | grep :80
03 反向代理超时
访问反向代理后的应用程序时出现 504 Gateway Time-out 错误。
解决方法:增加 proxy_read_timeout 和 proxy_connect_timeout 的值以允许更长的处理时间。例如:
location / {
proxy_pass http://backend_servers;
proxy_read_timeout 300s;
proxy_connect_timeout 300s;
}
04 SSL/TLS 握手失败
客户端无法建立 HTTPS 连接,提示 SSL/TLS 握手失败。
解决方法:确保 SSL 证书有效且未过期;检查 ssl_protocols 和 ssl_ciphers 设置是否兼容客户端浏览器。使用在线工具(如 SSL Labs)测试 SSL 配置并根据建议进行调整。
05 日志分析
遇到不明原因的问题,难以定位具体原因。
解决方法:启用详细的错误日志级别 (error_log) 并结合访问日志 (access_log) 分析请求模式。使用工具如 grep、awk 和 sed 来过滤和解析日志文件。
error_log /var/log/nginx/error.log debug;
版权声明:
作者:SE_YJ
链接:https://www.cnesa.cn/2925.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论