Nginx 常用配置汇总!从入门到干活足矣
转载自公众号:民工哥
众所周知,Nginx 是 Apache服务不错的替代品。其特点是占有内存少,并发能力强,事实上 Nginx 的并发能力在同类型的网页服务器中表现较好,因此国内知名大厂例如:淘宝,京东,百度,新浪,网易,腾讯等等都在使用Nginx网站。
Nginx简介
Nginx 是开源、高性能、高可靠的 Web 和反向代理服务器,而且支持热部署,同时也提供了 IMAP/POP3/SMTP 服务,可以不间断运行,提供热更新功能。占用内存少、并发能力强,最重要的是,Nginx 是免费的并可以商业化,配置使用都比较简单。
Nginx 特点
- 高并发、高性能
- 模块化架构使得它的扩展性非常好
- 异步非阻塞的事件驱动模型这点和 Node.js 相似
- 无需重启可不间断运行
- 热部署、平滑升级
- 完全开源,生态好
Nginx 最重要的几个使用场景:
- 静态资源服务
- 反向代理服务,包括缓存、负载均衡等
- API 服务,OpenResty
所以,今天民工哥就给大家整理一份 Nginx的常用配置清单,供大家学习与生产配置参考使用。主要包括以下三个方面:
- 基础配置
- 高级配置
- 安全配置
基础配置
去掉不用的 Nginx 模块
1 2 3 4 | ./configure --without-module1 --without-module2 --without-module3 例如: ./configure --without-http_dav_module --withouthttp_spdy_module #注意事项:配置指令是由模块提供的。确保你禁用的模块不包含你需要使用的指令!在决定禁用模块之前,应该检查Nginx文档中每个模块可用的指令列表。 |
Nginx 版本的平滑升级与回滚
进程相关的配置
1 2 3 4 5 6 7 8 | worker_processes 8; #Nginx 进程数,建议按照CPU数目来指定,一般为它的倍数 (如,2个四核的CPU计为8)。 worker_rlimit_nofile 65535; #一个Nginx 进程打开的最多文件描述符数目 worker_connections 65535; #每个进程允许的最多连接数 |
监听端口
1 2 3 4 5 6 7 8 9 10 | server { listen 80; #监听端口 server_name www.mingongge.com; #域名信息 location / { root /www/www; #网站根目录 index index.html index.htm; #默认首页类型 deny 192.168.2.11; #禁止访问的ip地址,可以为all allow 192.168.3.44; #允许访问的ip地址,可以为all } } |
小技巧补充:域名匹配的四种写法
1 2 3 4 5 6 | 精确匹配:server_name www.mingongge.com ; 左侧通配:server_name *.mingongge.com ; 右侧统配:server_name www.mingongge.* ; 正则匹配:server_name ~^www\.mingongge\.*$ ; 匹配优先级:精确匹配 > 左侧通配符匹配 > 右侧通配符匹配 > 正则表达式匹配 |
配置 Nginx 状态页面
1 2 3 4 5 6 7 8 9 10 11 | [root@proxy ~]# cat /usr/local/nginx/conf/nginx.conf … … location /NginxStatus { stub_status on ; access_log on ; auth_basic "NginxStatus" ; auth_basic_user_file conf/htpasswd; } … … [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload |
Nginx 日志(访问与错误日志管理)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | error_log / var /log/nginx/error.log warn; #配置错误日志的级别及存储目录 events { worker_connections 1024; } http { .................. log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"' ; #配置日志的模式 access_log / var /log/nginx/access.log main; #配置访问日志存储目录 } |
以上配置只是Nginx自身关于日志的基本配置,在实际生产环境中,我们需要收集日志、分析日志,才定更好的去定位问题,推荐给大家:超强干货!通过filebeat、logstash、rsyslog 几种方式采集 nginx 日志
http 相关的配置
1 2 3 4 5 | http { sendfile on #高效传输文件的模式 一定要开启 keepalive_timeout 65 #客户端服务端请求超时时间 } |
静态资源配置
1 2 3 4 5 6 7 | server { listen 80; server_name mingongge.com; location / static { root /wwww/web/web_static_site; } } |
也可以使用下面的方法
1 2 3 4 | location /image { alias /web/nginx/ static /image/; } 注意:使用alias末尾一定要添加/,并且它只能位于location中 |
反向代理
比如生产环境(同一台服务中)有不同的项目,这个就比较实用了,用反向代理去做请示转发。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 | http { ............. upstream product_server{ 127.0.0.1:8081; } upstream admin_server{ 127.0.0.1:8082; } upstream test_server{ 127.0.0.1:8083; } server { #默认指向product的server location / { proxy_pass http: //product_server; } location /product/{ proxy_pass http: //product_server; } location /admin/ { proxy_pass http: //admin_server; } location /test/ { proxy_pass http: //test_server; } } } |
负载均衡
1 2 3 4 5 6 7 8 9 10 11 12 13 | upstream server_pools { server 192.168.1.11:8880 weight=5; server 192.168.1.12:9990 weight=1; server 192.168.1.13:8989 weight=6; #weigth参数表示权值,权值越高被分配到的几率越大 } server { listen 80; server_name mingongge.com; location / { proxy_pass http: //server_pools; } } |
代理相关的其它配置
1 2 3 4 5 6 7 8 9 10 | proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时) proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时) proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时) proxy_buffer_size 4k; #代理服务器(nginx)保存用户头信息的缓冲区大小 proxy_buffers 4 32k; #proxy_buffers缓冲区 proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2) proxy_temp_file_write_size 64k; #设定缓存文件夹大小 proxy_set_header Host $host; proxy_set_header X-Forwarder-For $remote_addr; #获取客户端真实IP |
高级配置
重定向配置
1 2 3 4 5 6 7 8 9 10 11 12 | location / { return 404; #直接返回状态码 } location / { return 404 "pages not found" ; #返回状态码 + 一段文本 } location / { return 302 /blog ; #返回状态码 + 重定向地址 } location / { return https: //www.mingongge.com ; #返回重定向地址 } |
示例如下
1 2 3 4 5 6 7 8 9 10 11 12 | server { listen 80; server_name www.mingongge.com; return 301 http: //mingongge.com$request_uri; } server { listen 80; server_name www.mingongge.com; location /cn-url { return 301 http: //mingongge.com.cn; } } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | server{ listen 80; server_name mingongge.com; # 要在本地hosts文件进行配置 root html; location /search { rewrite ^/(.*) https: //www.mingongge.com redirect; } location /images { rewrite /images/(.*) /pics/$1; } location /pics { rewrite /pics/(.*) /photos/$1; } location /photos { } } |
设置缓冲区容量上限
这样的设置可以阻止缓冲区溢出攻击(同样是Server模块)
1 2 3 4 5 | client_body_buffer_size 1k; client_header_buffer_size 1k; client_max_body_size 1k; large_client_header_buffers 2 1k; #设置后,不管多少HTTP请求都不会使服务器系统的缓冲区溢出了 |
限制最大连接数
在http模块内server模块外配置limit_conn_zone,配置连接的IP,在http,server或location模块配置limit_conn,能配置IP的最大连接数。
1 2 | limit_conn_zone $binary_remote_addr zone=addr:5m; limit_conn addr 1; |
Gzip压缩
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | gzip_types #压缩的文件类型 text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript gzip on ; #采用gzip压缩的形式发送数据 gzip_disable "msie6" #为指定的客户端禁用gzip功能 gzip_static; #压缩前查找是否有预先gzip处理过的资源 gzip_proxied any; #允许或者禁止压缩基于请求和响应的响应流 gzip_min_length 1000; #设置对数据启用压缩的最少字节数 gzip_comp_level 6; #设置数据的压缩等级 |
缓存配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | open_file_cache #指定缓存最大数目以及缓存的时间 open_file_cache_valid #在open_file_cache中指定检测正确信息的间隔时间 open_file_cache_min_uses #定义了open_file_cache中指令参数不活动时间期间里最小的文件数 open_file_cache_errors #指定了当搜索一个文件时是否缓存错误信息 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ #指定缓存文件的类型 { expires 3650d; #指定缓存时间 } location ~ .*\.(js|css)?$ { expires 3d; } |
SSL 证书配及跳转HTTPS配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | server { listen 192.168.1.250:443 ssl; server_tokens off; server_name mingonggex.com www.mingonggex.com; root / var /www/mingonggex.com/public_html; ssl_certificate /etc/nginx/sites-enabled/certs/mingongge.crt; ssl_certificate_key /etc/nginx/sites-enabled/certs/mingongge.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; } # Permanent Redirect for HTTP to HTTPS server { listen 80; server_name mingongge.com; https: //$server_name$request_uri; } |
流量镜像功能
1 2 3 4 5 6 7 8 9 | location / { mirror /mirror; proxy_pass http: //backend; } location = /mirror { internal ; proxy_pass http: //test_backend$request_uri; } |
限流功能
流量限制配置两个主要的指令,limit_req_zone
和limit_req
1 2 3 4 5 6 7 8 9 | limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s; server { location /login/ { limit_req zone=mylimit; proxy_pass http: //my_upstream; } } |
更多、更详细的限流配置请参考:葵花宝典!一文搞定 Nginx 限流配置
Nginx常用的内置变量
安全配置
禁用server_tokens项
server_tokens在打开的情况下会使404页面显示Nginx的当前版本号。这样做显然不安全,因为黑客会利用此信息尝试相应Nginx版本的漏洞。只需要在nginx.conf中http模块设置server_tokens off即可,例如:
1 2 3 4 5 6 7 8 9 10 | server { listen 192.168.1.250:80; Server_tokens off; server_name mingongge.com www.mingongge.com; access_log / var /www/logs/mingongge.access.log; error_log / var /www/logs/mingonggex.error.log error; root / var /www/mingongge.com/public_html; index index.html index.htm; } #重启Nginx后生效: |
禁止非法的HTTP User Agents
User Agent是HTTP协议中对浏览器的一种标识,禁止非法的User Agent可以阻止爬虫和扫描器的一些请求,防止这些请求大量消耗Nginx服务器资源。
为了更好的维护,最好创建一个文件,包含不期望的user agent列表例如/etc/nginx/blockuseragents.rules包含如下内容:
1 2 3 4 5 6 7 8 | map $http_user_agent $blockedagent { default 0; ~*malicious 1; ~*bot 1; ~*backdoor 1; ~*crawler 1; ~*bandit 1; } |
然后将如下语句放入配置文件的server模块内
1 2 | include /etc/nginx/blockuseragents.rules; 并加入 if 语句设置阻止后进入的页面: |
阻止图片外链
1 2 3 4 5 6 | location /img/ { valid_referers none blocked 192.168.1.250; if ($invalid_referer) { return 403; } } |
封杀恶意访问
禁掉不需要的 HTTP 方法
一些web站点和应用,可以只支持GET、POST和HEAD方法。在配置文件中的 serve r模块加入如下方法可以阻止一些欺骗攻击
1 2 3 | if ($request_method !~ ^(GET|HEAD|POST)$) { return 444; } |
禁止SSL 并且只打开 TLS
尽量避免使用SSL,要用TLS替代,以下配置可以放在Server模块内
1 | ssl_protocols TLSv1 TLSv1.1 TLSv1.2; |
通过这一系列的配置之后,相信你的Nginx服务器足够应付实际生产需求了。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本