Nginx安装与配置
- 一、简介
- 二、安装
- 三、功能与配置
- 3.1、正向代理
- 3.2、反向代理
- 3.3、负责均衡
- 3.4、ip_hash
- 3.5、轮询
- 3.6、加权轮询
- 四、nginx安全相关配置
- 五、常用命令
一、简介
Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好。
二、安装
安装命令
yum -y install nginx
启动命令
/usr/sbin/nginx -c /etc/nginx/nginx.conf
主要配置文件
/etc/nginx/nginx.conf
/etc/nginx/conf.d/default.conf
在nginx.cong中 include /etc/nginx/conf.d/*.conf; 表示默认加载 conf.d下所有配置文件
三、功能与配置
3.1、正向代理
客户端 <一> 代理 一>服务端
正向代理服务器位于客户端和服务器之间,为了从服务器获取数据,客户端要向代理服务器发送一个请求,并指定目标服务器,代理服务器将目标服务器返回的数据转交给客户端。
这里客户端需要要进行一些正向代理的设置的。
正向代理中被代理的是客户端的请求
3.2、反向代理
客户端 一>代理 <一> 服务端
反向代理,客户端对代理是无感知的,客户端不需要任何配置就可以访问,客户端将请求发送到反向代理服务器,由反向代理服务器去选择目标服务器获取数据后,再返回给客户端,此时反向代理服务器和目标服务器对外就是一个服务器,暴露的是代理服务器地址,隐藏了真实服务器IP地址。
反向代理为常用配置,至于访问哪一个服务器,交给代理服务器处理
3.3、负责均衡
分为:内置策略、扩展策略。
内置策略:ip_hash、轮询、加权轮询。
扩展策略:自定义。
3.4、ip_hash
ip_hash:通过固定IP请求分配到固定IP服务器
nginx配置:
upstream web_serverr {
ip_hash;
server localhost:8080 weight=1 max_conns=10000 max_fails=3 fail_timeout=15;
server localhost:8081 weight=1 max_conns=10000 max_fails=3 fail_timeout=15;
server localhost:8082 weight=1 max_conns=10000 max_fails=3 fail_timeout=15;
}
server {
listen 8888;
server_name 127.0.0.1;
location /web-api{
access_log /etc/nginx/logs/https_web_api.log;
proxy_pass http://web_server/web-api;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /web-h5/ {
add_header Access-Control-Allow-Origin *;
alias /web/h5/;
}
}
3.5、轮询
nginx配置:
upstream web_serverr {
server localhost:8080 weight=1 max_conns=10000 max_fails=3 fail_timeout=15;
server localhost:8081 weight=1 max_conns=10000 max_fails=3 fail_timeout=15;
server localhost:8082 weight=1 max_conns=10000 max_fails=3 fail_timeout=15;
}
server {
listen 8888;
server_name 127.0.0.1;
location /web-api{
access_log /etc/nginx/logs/https_web_api.log;
proxy_pass http://web_server/web-api;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /web-h5/ {
add_header Access-Control-Allow-Origin *;
alias /web/h5/;
}
}
3.6、加权轮询
nginx配置:
upstream web_serverr {
server localhost:8080 weight=2 max_conns=10000 max_fails=3 fail_timeout=15;
server localhost:8081 weight=3 max_conns=10000 max_fails=3 fail_timeout=15;
server localhost:8082 weight=5 max_conns=10000 max_fails=3 fail_timeout=15;
}
server {
listen 8888;
server_name 127.0.0.1;
location /web-api{
access_log /etc/nginx/logs/https_web_api.log;
proxy_pass http://web_server/web-api;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
location /web-h5/ {
add_header Access-Control-Allow-Origin *;
alias /web/h5/;
}
}
四、nginx安全相关配置
4.1、http中的配置
server_tokens off;
server_names_hash_bucket_size 128;
client_header_buffer_size 32k;
large_client_header_buffers 4 64k;
client_max_body_size 50m;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 80;
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 256k;
proxy_buffer_size 64k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 2;
gzip_types text/plain application/x-javascript text/css application/xml;
gzip_vary on;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
4.2、X-XSS-Protection配置
add_header X-XSS-Protection 1;
4.3、静态资源安全配置
Access-Control-Allow-Origin配置为固定IP
location /web-pc/ {
#add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Origin http://192.169.80.1;
add_header X-XSS-Protection 1;
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
if ($request_method = 'OPTIONS') {
return 204;
}
add_header X-Frame-Options SAMEORIGIN;
add_header Content-Security-Policy "worker-src 'self'";
add_header X-Content-Type-Options nosniff;
alias /web/h5/;
}
4.4、静态文件下载配置
location /web-download/ {
valid_referers 192.168.80.1 192.168.80.2;
if ($invalid_referer) {
return 403;
}
if ($request_uri ~* ^.*\/(.*)\.(xls|xlsx|java|txt|doc|pdf|rar|gz|zip|docx|exe|xlsx|ppt|pptx|jpg|png)(\?attname=([^&]+))$) {
add_header Content-Disposition "attachment;filename=$arg_attname";
}
add_header Access-Control-Allow-Origin *;
alias /web/download/;
}
五、常用命令
启动命令
/usr/sbin/nginx -c /etc/nginx/nginx.conf
重新加载配置文件
nginx -s reload
强制停止服务
nginx -s stop
安全退出服务
nginx -s quit
参考链接:
https://www.cnblogs.com/Lxxv5/p/16529477.html#DHrQB2bW
https://www.fke6.com/html/93207.html
