Nginx 常用配置匯總！從入門到干活足矣

眾所周知，nginx?是 Apache服務不錯的替代品。其特點是占有內存少，并發能力強，事實上?Nginx?的并發能力在同類型的網頁服務器中表現較好，因此國內知名大廠例如：淘寶，京東，百度，新浪，網易，騰訊等等都在使用Nginx網站。

Nginx簡介

Nginx?是開源、高性能、高可靠的 Web 和反向代理服務器，而且支持熱部署，同時也提供了 IMAP/POP3/SMTP 服務，可以不間斷運行，提供熱更新功能。占用內存少、并發能力強，最重要的是，Nginx?是免費的并可以商業化，配置使用都比較簡單。

高并發、高性能

模塊化架構使得它的擴展性非常好

異步非阻塞的事件驅動模型這點和 Node.js 相似

無需重啟可不間斷運行

熱部署、平滑升級

完全開源，生態好

靜態資源服務

反向代理服務，包括緩存、負載均衡等

API 服務，OpenResty

所以，今天民工哥就給大家整理一份?Nginx的常用配置清單，供大家學習與生產配置參考使用。主要包括以下三個方面：

基礎配置

高級配置

安全配置

基礎配置

./configure --without-module1 --without-module2 --without-module3 例如： ./configure --without-http_dav_module --withouthttp_spdy_module #注意事項：配置指令是由模塊提供的。確保你禁用的模塊不包含你需要使用的指令！在決定禁用模塊之前，應該檢查Nginx文檔中每個模塊可用的指令列表。

1分鐘搞定 Nginx 版本的平滑升級與回滾

worker_processes 8; #Nginx 進程數，建議按照CPU數目來指定，一般為它的倍數 (如,2個四核的CPU計為8)。 worker_rlimit_nofile 65535; #一個Nginx 進程打開的最多文件描述符數目 worker_connections 65535; #每個進程允許的最多連接數

server { listen 80; #監聽端口 server_name www.mingongge.com; #域名信息 location / { root /www/www; #網站根目錄 index index.html index.htm; #默認首頁類型 deny 192.168.2.11; #禁止訪問的ip地址，可以為all allow 192.168.3.44； #允許訪問的ip地址，可以為all } }

小技巧補充：域名匹配的四種寫法

精確匹配：server_name www.mingongge.com ; 左側通配：server_name *.mingongge.com ; 右側統配：server_name www.mingongge.* ; 正則匹配：server_name ~^www\.mingongge\.*$ ; 匹配優先級：精確匹配 > 左側通配符匹配 > 右側通配符匹配 > 正則表達式匹配

[root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf … … location /NginxStatus { stub_status on; access_log on; auth_basic "NginxStatus"; auth_basic_user_file conf/htpasswd; } … … [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload

error_log /var/log/nginx/error.log warn; #配置錯誤日志的級別及存儲目錄 events { worker_connections 1024; } http { .................. log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; #配置日志的模式 access_log /var/log/nginx/access.log main; #配置訪問日志存儲目錄 }

以上配置只是Nginx自身關于日志的基本配置，在實際生產環境中，我們需要收集日志、分析日志，才定更好的去定位問題，推薦給大家：超強干貨！通過filebeat、logstash、rsyslog 幾種方式采集 nginx 日志

http { sendfile on #高效傳輸文件的模式 一定要開啟 keepalive_timeout 65 #客戶端服務端請求超時時間 }

server { listen 80; server_name mingongge.com; location /static { root /wwww/web/web_static_site; } }

也可以使用下面的方法

location /image { alias /web/nginx/static/image/; } 注意:使用alias末尾一定要添加/,并且它只能位于location中

比如生產環境（同一臺服務中）有不同的項目，這個就比較實用了，用反向代理去做請示轉發。

http { ............. upstream product_server{ 127.0.0.1:8081; } upstream admin_server{ 127.0.0.1:8082; } upstream test_server{ 127.0.0.1:8083; } server { #默認指向product的server location / { proxy_pass http://product_server; } location /product/{ proxy_pass http://product_server; } location /admin/ { proxy_pass http://admin_server; } location /test/ { proxy_pass http://test_server; } } }

更多關于?Nginx 實踐：location 路徑匹配

upstream server_pools { server 192.168.1.11:8880 weight=5; server 192.168.1.12:9990 weight=1; server 192.168.1.13:8989 weight=6; #weigth參數表示權值，權值越高被分配到的幾率越大 } server { listen 80; server_name mingongge.com; location / { proxy_pass http://server_pools; } }

proxy_connect_timeout 90; #nginx跟后端服務器連接超時時間(代理連接超時) proxy_send_timeout 90; #后端服務器數據回傳時間(代理發送超時) proxy_read_timeout 90; #連接成功后,后端服務器響應時間(代理接收超時) proxy_buffer_size 4k; #代理服務器（nginx）保存用戶頭信息的緩沖區大小 proxy_buffers 4 32k; #proxy_buffers緩沖區 proxy_busy_buffers_size 64k; #高負荷下緩沖大小（proxy_buffers*2） proxy_temp_file_write_size 64k; #設定緩存文件夾大小 proxy_set_header Host $host; proxy_set_header X-Forwarder-For $remote_addr; #獲取客戶端真實IP

高級配置

location / { return 404; #直接返回狀態碼 } location / { return 404 "pages not found"; #返回狀態碼 + 一段文本 } location / { return 302 /blog ; #返回狀態碼 + 重定向地址 } location / { return https://www.mingongge.com ; #返回重定向地址 }

示例如下

server { listen 80; server_name www.mingongge.com; return 301 http://mingongge.com$request_uri; } server { listen 80; server_name www.mingongge.com; location /cn-url { return 301 http://mingongge.com.cn; } }

server{ listen 80; server_name mingongge.com; # 要在本地hosts文件進行配置 root html; location /search { rewrite ^/(.*) https://www.mingongge.com redirect; } location /images { rewrite /images/(.*) /pics/$1; } location /pics { rewrite /pics/(.*) /photos/$1; } location /photos { } }

這樣的設置可以阻止緩沖區溢出攻擊（同樣是Server模塊）

client_body_buffer_size 1k; client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k; #設置后，不管多少HTTP請求都不會使服務器系統的緩沖區溢出了

在http模塊內server模塊外配置limit_conn_zone，配置連接的IP,在http，server或location模塊配置limit_conn，能配置IP的最大連接數。

limit_conn_zone $binary_remote_addr zone=addr:5m; limit_conn addr 1;

gzip_types #壓縮的文件類型 text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript gzip on; #采用gzip壓縮的形式發送數據 gzip_disable "msie6" #為指定的客戶端禁用gzip功能 gzip_static; #壓縮前查找是否有預先gzip處理過的資源 gzip_proxied any; #允許或者禁止壓縮基于請求和響應的響應流 gzip_min_length 1000; #設置對數據啟用壓縮的最少字節數 gzip_comp_level 6; #設置數據的壓縮等級

open_file_cache #指定緩存最大數目以及緩存的時間 open_file_cache_valid #在open_file_cache中指定檢測正確信息的間隔時間 open_file_cache_min_uses #定義了open_file_cache中指令參數不活動時間期間里最小的文件數 open_file_cache_errors #指定了當搜索一個文件時是否緩存錯誤信息 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ #指定緩存文件的類型 { expires 3650d; #指定緩存時間 } location ~ .*\.(js|css)?$ { expires 3d; }

server { listen 192.168.1.250:443 ssl; server_tokens off; server_name mingonggex.com www.mingonggex.com; root /var/www/mingonggex.com/public_html; ssl_certificate /etc/nginx/sites-enabled/certs/mingongge.crt; ssl_certificate_key /etc/nginx/sites-enabled/certs/mingongge.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; } # Permanent Redirect for HTTP to HTTPS server { listen 80; server_name mingongge.com; https://$server_name$request_uri; }

location / { mirror /mirror; proxy_pass http://backend; } location = /mirror { internal; proxy_pass http://test_backend$request_uri; }

流量限制配置兩個主要的指令，limit_req_zone和limit_req

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s; server { location /login/ { limit_req zone=mylimit; proxy_pass http://my_upstream; } }

更多、更詳細的限流配置請參考：葵花寶典！一文搞定 Nginx 限流配置

安全配置

server_tokens在打開的情況下會使404頁面顯示Nginx的當前版本號。這樣做顯然不安全，因為黑客會利用此信息嘗試相應Nginx版本的漏洞。只需要在nginx.conf中http模塊設置server_tokens off即可，例如：

server { listen 192.168.1.250:80; Server_tokens off; server_name mingongge.com www.mingongge.com; access_log /var/www/logs/mingongge.access.log; error_log /var/www/logs/mingonggex.error.log error; root /var/www/mingongge.com/public_html; index index.html index.htm; } #重啟Nginx后生效：

User Agent是HTTP協議中對瀏覽器的一種標識，禁止非法的User Agent可以阻止爬蟲和掃描器的一些請求，防止這些請求大量消耗Nginx服務器資源。

為了更好的維護，最好創建一個文件，包含不期望的user agent列表例如/etc/nginx/blockuseragents.rules包含如下內容：

map $http_user_agent $blockedagent { default 0; ~*malicious 1; ~*bot 1; ~*backdoor 1; ~*crawler 1; ~*bandit 1; }

然后將如下語句放入配置文件的server模塊內

include /etc/nginx/blockuseragents.rules; 并加入if語句設置阻止后進入的頁面：

location /img/ { valid_referers none blocked 192.168.1.250; if ($invalid_referer) { return 403; } }

挺帶勁！通過 Nginx 來實現封殺惡意訪問

一些web站點和應用，可以只支持GET、POST和HEAD方法。在配置文件中的 serve r模塊加入如下方法可以阻止一些欺騙攻擊

if ($request_method !~ ^(GET|HEAD|POST)$) { return 444; }

盡量避免使用SSL，要用TLS替代，以下配置可以放在Server模塊內

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

通過這一系列的配置之后，相信你的Nginx服務器足夠應付實際生產需求了。

也歡迎大家積極留言補充這份常用配置清單，以便它更完整、更完善。

HTTP Nginx 云計算 開源

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。