Nginx基础03：配置文件nginx.conf（Part2）

上一篇文章概述与罗列了"全局配置块、events配置块、http全局块"的基本配置与属性，本篇文章将继续深入server块的配置项，以及相关应用。

上篇文章地址：Nginx基础02：配置文件nginx.conf（Part1）

如何使用本篇文章

• 本文作为一篇高度总结和罗列nginx.conf中所有的基础配置项，循规蹈矩地按照文章的顺序阅读的方式不可取
• 笔者建议所有读者，先看目录，掌握Nginx都有哪些基础的配置块，再想要了解那一个配置块时，再详细去看
• 作为一篇字典类的文章，建议读者善用浏览器的全文查找功能，按Ctrl + F调出查找功能，搜索你感兴趣的关键字，针对性地学习

内容导览

• http-server块
  • 公有配置
    • 防盗链
    • 地址重写
    • 流程控制
  • listen: 监听端口
    • 参数
    • 实例
  • server_name: 指定域名
  • location: URL映射
    • URI映射
    • 路径替换
    • 反向代理
    • SSL
    • 访问控制
• 内置变量

正式开始前，还是再次强调server块在配置文件中的位置

http-server块

server块和“虚拟主机”的概念有密切联系

• 虚拟主机技术主要应用于HTTP、FTP及EMAIL等多项服务，将一台服务器的某项或者全部服务内容逻辑划分为多个服务单位，对外表现为多个服务器，从而充分利用服务器硬件资源。从用户角度来看，一台虚拟主机和一台独立的硬件主机是完全一样的。
• 在使用Nginx服务器提供Web服务时，利用虚拟主机的技术就可以避免为每一个要运行的网站提供单独的Nginx服务器，也无需为每个网站对应运行一组Nginx进程。虚拟主机技术使得Nginx服务器可以在同一台服务器上只运行一组Nginx进程，就可以运行多个网站。
• 一个http块都可以包含多个server块，而每个server块就相当于一台虚拟主机，它内部可有多台主机联合提供服务，一起对外提供在逻辑上关系密切的一组服务（或网站）。

公有配置

error_page指令

• 配置Nginx出现错误时，返回自定义页面以及错误代码，或将浏览器重定向到其他URI。
• 出现404错误时，响应根目录下的html文件：error_page 404 /404.html;

防盗链

valid_referers none | blocked | server_names | string...

• 功能：控制是否需要检验referer，设定校验referer时的校验值
• 应用场景：防盗链
• 参数
  • none：如果Header中的Referer为空，允许访问
  • blocked：在Header中的Referer不为空，但是该值被防火墙或代理进行伪装过，如不带"http://" 、"https://"等协议头的资源允许访问。
  • server_names：指定具体的域名或者IP。也就是说Request中的Referer必须为这里指定的参数，才让访问
  • string: 可以支持正则表达式和*的字符串。如果是正则表达式，需要以`~`开头表示
• 位置：server、location
• 防盗链实现原理：将Request中的Referer与valid_referers设定的值进行比对，如果匹配到了就将$invalid_referer变量置0，如果没有匹配到，则将$invalid_referer变量置为1，通过if语句判定不符合条件的响应403

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name res.hackyle.com;
    
    ssl_certificate "/etc/nginx/cert/res.hackyle.com.pem";
    ssl_certificate_key "/etc/nginx/cert/res.hackyle.com.key";
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  10m;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    
    #防盗链：验证所有请求中的Referer是否来自*.hackyle.com，否则响应403
    valid_referers blocked *.hackyle.com;
       if ($invalid_referer){
        return 403;
    }
    
    #客户端：增删改查的接口
    #对外提供静态资源的地址：https://res.hackyle.com/桶名/年份/月份/uuid.文件拓展名
    location / {
        proxy_pass http://localhost:9000/;
    }
}

地址重写

rewrite regex replacement [flag];

• 地址重写（Rewrite）：等价于请求重定向；地址转发（Forward）：等价于请求转发
• 功能：将请求中的regex替换为replacement
• 参数
  • regex：匹配URI中将要被替换的内容
  • replacement：替换成谁。如果该字符串是以"http://"或者"https://"开头的，则不会继续向下对URI进行其他处理，而是直接返回重写后的URI给客户端。
  • flag：用来设置rewrite对URI的处理行为
    • last:
    • break
    • redirect
    • permanent
  • 位置：server、location、if

rewrite_log on | off（默认值）;

• 功能：开启后，URL重写的相关日志将以notice级别输出到error_log指令配置的日志文件汇总。
• 位置：http、server、location、if

流程控制

 set $variable value;

• variable：变量的名称，用"$"作为变量的第一个字符，且不能与Nginx服务器预设的全局变量同名。
• value：变量的值，可以是字符串、其他变量或者变量的组合等。
• 位置：server、location、if

if (condition){...}

• 语法要求：if与左括号之间存在一个空格
• 位置：server、location
• condition的写法

1. 变量名：对应的值为空或者是0，if都判断为false，其他条件为true。
2. "="和"!="：满足条件为true，不满足为false。例如：if ($request_method = POST){ return 405; }
3. 正则表达式：匹配成功返回true，否则返回false。变量与正则表达式之间使用"~","~*","!~","!~\*"来连接。

• • "~"代表匹配正则表达式过程中区分大小写，
  • "~\*"代表匹配正则表达式过程中不区分大小写
  • "!~"和"!~\*"刚好和上面取相反值，如果匹配上返回false,匹配不上返回true
  • 例子：

if ($http_user_agent ~ MSIE){

      #$http_user_agent的值中是否包含MSIE字符串，如果包含返回true

}

• • 注意：正则表达式字符串一般不需要加引号，但是如果字符串中包含"}"或者是";"等字符时，就需要把引号加上。

4. 文件是否存在：

if (-f $request_filename){

   #判断请求的文件是否存在。文件存在时返回true

}

if (!-f $request_filename){

   #判断请求的文件是否不存在。文件不存在且文件目录存在时返回true，其他情况返回false

}

5. 判断请求的目录是否存在使用"-d"和"!-d"
   1. 当使用"-d"时，如果请求的目录存在，if返回true，如果目录不存在则返回false
   2. 当使用"!-d"时，如果请求的目录不存在但该目录的上级目录存在则返回true，该目录和它上级目录都不存在则返回false,如果请求目录存在也返回
6. 判断请求的目录或者文件是否存在使用"-e"和"!-e"
   1. 当使用"-e",如果请求的目录或者文件存在时，if返回true,否则返回
   2. 当使用"!-e",如果请求的文件和文件所在路径上的目录都不存在返回true,否则返回false
7. 判断请求的文件是否可执行使用"-x"和"!-x"
   1. 当使用"-x",如果请求的文件可执行，if返回true,否则返回false
   2. 当使用"!-x",如果请求文件不可执行，返回true,否则返回false

break;

中断当前作用域break后面的指令，即位于它前面的指令配置生效，位于后面的指令配置无效

位置：server、location、if

 

return code [text] | code URL | URL;

• 功能：立即响应给客户端，其后面的配置都将失效
• 参数
  • code：状态代码
  • text：响应体内容，支持变量的使用
  • URL：响应URL地址，客户端收到后会重定向
• 位置：server、location、if

listen: 监听端口

Listen指令：指定本个server所使用的端口（监听端口）

listen address[:port] 
[default_server] 
[ssl] 
[http2 | spdy] 
[proxy_protocol] 
[setfib=number] 
[fastopen=number] 
[backlog=number] 
[rcvbuf=size] 
[sndbuf=size] 
[accept_filter=filter] 
[deferred] 
[bind] 
[ipv6only=on|off] 
[reuseport] 
[so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

listen port
[default_server] 
[ssl] 
[http2 | spdy] 
[proxy_protocol] 
[setfib=number] 
[fastopen=number] 
[backlog=number] 
[rcvbuf=size] 
[sndbuf=size] 
[accept_filter=filter] 
[deferred] 
[bind] 
[ipv6only=on|off] 
[reuseport] 
[so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

listen unix:path
[default_server] 
[ssl] 
[http2|spdy] 
[proxy_protocol] 
[backlog=number] 
[rcvbuf=size] 
[sndbuf=size] 
[accept_filter=filter] 
[deferred] 
[bind] 
[so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

参数

address：监听请求来的IP地址

• 如果是IPv6的地址，需要使用中括号“[]”括起来，比如[fe80::1]等。
• 也即本个server只针对指定请求IP的访问。

port：端口号

• 如果只定义了IP地址没有定义端口号，就使用80端口。
• 要是没配置listen指令，且Nginx以超级用户权限运行，则使用:80，否则使用:8000。
• 多个虚拟主机可以同时监听同一个端口，但是server_name需要设置成不一样；

default_server：默认server

• 如果没有找到address:port，则使用本个配置指定的地址。

backlog=number

• 设置监听函数listen()最多允许多少网络连接同时处于挂起状态
• 在FreeBSD中默认为-1，其他平台默认为511。

accept_filter=filter：设置监听端口对请求的过滤，被过滤的内容不能被接收和处理。

• 本指令只在FreeBSD和NetBSD 5.0+平台下有效。
• filter可以设置为dataready或httpready，具体参阅Nginx的官方文档。

bind：标识符

• 使用独立的bind()处理此address:port；
• 一般情况下，对于端口相同而IP地址不同的多个连接，Nginx服务器将只使用一个监听命令，并使用bind()处理端口相同的所有连接。

实例

• listen 127.0.0.1:8000; #只监听来自0.0.1这个IP，请求8000端口的请求
• listen localhost:8000; #和上面效果一样
• listen 127.0.0.1; #只监听来自0.0.1这个IP，请求80端口的请求（不指定端口，默认80）
• listen 8000; #监听来自所有IP请求8000端口的请求
• listen *:8000; #和上面效果一样

server_name: 指定域名

功能：用于配置虚拟主机的名称

语法：server_name name…;

实例：server_name myserver.com www.myserver.com

 

name：域名，多个用空格分割

• name可以使用通配符“*”，注意的是通配符不能出现在域名的中间，只能出现在首段或尾段
  • *.baidu.com：表示百度下的所有子域
  • *：所有顶级域名下，名为“baidu”的域
  • 错误的配置：*.cn www.itheima.c*
• name可以使用正则：例如：server_name ~^www\.(\w+)\.com$;

 

name匹配优先级：

1. 准确匹配server_name
2. 通配符在开始时匹配server_name成功
3. 通配符在结尾时匹配server_name成功
4. 正则表达式匹配server_name成功

location: URL映射

功能：映射URL请求（支持正则）到具体的页面、处理器上

语法：location [ = | ~ | ~* | ^~ ] uri { 
	root 请求访问的根目录(使用绝对路径);
	index 设置网站的首页;
}

URI映射

• “=”：进行普通字符精确匹配，也就是完全匹配。如果已经匹配成功，就停止继续向下搜索并立即处理此请求。
• “^～”：前缀匹配。如果匹配成功，则不再匹配其他location。
• “～”：表示执行一个正则匹配，区分大小写。
• “~*”：表示执行一个正则匹配，不区分大小写。

匹配的优先级：

• 等号类型（=）的优先级最高。一旦匹配成功，则不再查找其他匹配项，停止搜索。
• ^~类型表达式，不属于正则表达式。一旦匹配成功，则不再查找其他匹配项，停止搜索。
• 正则表达式类型（~ ~*）的优先级次之。如果有多个location的正则能匹配的话，则使用正则表达式最长的那个。
• 常规字符串匹配类型。按前缀匹配。
• / 通用匹配，如果没有匹配到，就匹配通用的

前置参数（“=”）示例

server {
	listen 80;
	server_name 127.0.0.1;
	location =/abc {
		...
	}
}
可以匹配到
http://192.168.200.133/abc
http://192.168.200.133/abc?p1=TOM
匹配不到
http://192.168.200.133/abc/
http://192.168.200.133/abcdef

前置参数（“~”）示例

server {
	listen 80;
	server_name 127.0.0.1;
	location ~^/abc\w${ #红色部分是正则，^表示一行的开始，$表示一行的结束，/表示请求中的斜杠
		default_type text/plain;
		return 200 "access success";
	}
}
server {
	listen 80;
	server_name 127.0.0.1;
	location ~*^/abc\w${
		default_type text/plain;
		return 200 "access success";
	}
}

前置参数（“^~”）示例

server {
	listen 80;
	server_name 127.0.0.1;
	location ^~/abc{
		default_type text/plain;
		return 200 "access success";
	}
}

路径替换

请求别名：alias file-path | directory-path;

例子：

location /img/ {
      alias /usr/local/image/; #将”/img/”替换为”/usr/local/image/”
      #例如：请求/img/aa.jpg，在本机中将会被替换为/usr/local/image/aa.jpg
}

指定根目录：root path;

例子：

location /img/ {
	root /usr/data/;  #请求/img/aa.jpg，将会拼接为/usr/data/img/aa.jpg
}

反向代理

Reverse Proxy：用Nginx来接收internet上的连接请求，然后将请求转发给内部网络上的服务器去具体处理

proxy_pass URL;

• 设置被代理服务器地址，可以是主机名称、IP地址加端口号形式。
• URL为要设置的被代理服务器地址，包含传输协议(`http`,`https://`)、主机名称或IP地址加端口号、URI等要素。
• 位置：location

proxy_set_header field value;

• 更改Nginx服务器接收到的客户端请求的请求头信息，然后将新的请求头发送给代理的服务器
• 默认值proxy_set_header Host $proxy_host; proxy_set_header Connection close;
• 位置：http、server、location
• 例子：

proxy_redirect redirect replacement; | proxy_redirect default; | proxy_redirect off;

• 重置头信息中的"Location"和"Refresh"的值
• 参数
  • redirect：目标，Location的值；replacement：要替换的值
  • default：将location块的uri变量作为replacement，将proxy_pass变量作为redirect进行替换
  • off：关闭proxy_redirect
• 默认：proxy_redirect default;
• 位置：http、server、location

proxy_buffering on（默认值）|off;

• 开启或者关闭代理服务器的缓冲区
• 位置：http、server、location

proxy_buffers number size;

• 指定单个连接从代理服务器读取响应的缓存区的个数和大小
• 默认值：proxy_buffers 8 4k | 8K;(与系统平台有关)
• number:缓冲区的个数
• size:每个缓冲区的大小，缓冲区的总大小就是number*size
• 位置：http、server、location

proxy_buffer_size size;

• 设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可，当然也可以更小。
• 默认值：proxy_buffer_size 4k | 8k;(与系统平台有关)
• 位置：http、server、location

proxy_busy_buffers_size size;

• 限制同时处于BUSY状态的缓冲总大小。
• 默认值proxy_busy_buffers_size 8k | 16K;
• 位置http、server、location

proxy_temp_path path;

• 当缓冲区存满后，仍未被Nginx服务器完全接受，响应数据就会被临时存放在磁盘文件上，该指令设置文件路径
• 位置http、server、location

proxy_temp_file_write_size size;

• 用来设置磁盘上缓冲文件的大小
• 默认值：proxy_temp_file_write_size 8K\|16K;
• 位置http、server、location

SSL

HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信，利用SSL/TLS建立全通信，加密数据包，确保数据的安全性。

SSL(Secure Sockets Layer)安全套接层

TLS(Transport Layer Security)传输层安全

 

ssl_certificate file;

• 为当前这个虚拟主机指定一个带有PEM格式证书的证书。
• 位置：http、server

ssl_ceritificate_key file;

• 指定PEM secret key文件的路径
• 位置：http、server

ssl_sesion_cache off | none | [builtin[:size]] [shared:name:size]

• 配置用于SSL会话的缓存
• 默认值：ssl_session_cache none;
• 参数
  • off:禁用会话缓存，客户端不得重复使用会话
  • none:禁止使用会话缓存，客户端可以重复使用，但是并没有在缓存中存储会话参数
  • builtin:内置OpenSSL缓存，仅在一个工作进程中使用。
  • shared:所有工作进程之间共享缓存，缓存的相关信息用name和size来指定
• 位置：http、server

ssl_session_timeout time;

• 开启SSL会话功能后，设置客户端能够反复使用储存在缓存中的会话参数时间。
• 默认值：ssl_session_timeout 5m;
• 位置：http、server

ssl_ciphers ciphers;

• 指出允许的密码，密码指定为OpenSSL支持的格式
• 默认值：ssl_ciphers HIGH:!aNULL:!MD5;
• 位置：http、server

ssl_perfer_server_ciphers on |off（默认值）;

• 指定是否服务器密码优先客户端密码
• 位置：http、server

访问控制

允许访问：allow [ address | CIDR | all ]

• 使用字段：http, server, location, limit_except

禁止访问：deny all/IP网段;

• 使用字段：http, server, location, limit_except

例子：

location / {
	deny 10.1.100.100;  #不允许该IP访问
	allow 10.1.200.0/24;  #允许该网段访问
	allow 192.168.1.0/16;  #允许该网段访问
	deny all;  #除了allow允许的网段，其他请求IP都禁止访问
}

内置变量

nginx的配置文件中可以使用的内置变量以美元符$开始，也有人叫全局变量。其中，部分预定义的变量的值是可以改变的。

 

$args：

• 这个变量等于请求行中的参数，同$query_string。
• 例如：/aa/bb?name=kyle&age=22中的“name=kyle&age=22”

$content_length ：请求头中的Content-length字段。

$content_type ：请求头中的Content-Type字段。

$document_root ：当前请求在root指令中指定的值。

$host ：请求主机头字段，否则为服务器名称。

$http_user_agent ：客户端agent信息

$http_cookie ：客户端cookie信息

$limit_rate ：这个变量可以限制连接速率。

$request_method ：客户端请求的动作，通常为GET或POST。

$remote_addr ：客户端的IP地址。

$remote_port ：客户端的端口。

$remote_user ：已经经过Auth Basic Module验证的用户名。

$request_filename ：当前请求的文件路径，由root或alias指令与URI请求生成。

$scheme ：HTTP方法（如http，https）。

$server_protocol ：请求使用的协议，通常是HTTP/1.0或HTTP/1.1。

 

$server_addr ：服务器地址，在完成一次系统调用后可以确定这个值。

$server_name ：服务器名称。

$server_port ：请求到达服务器的端口号。

$request_uri ：包含请求参数的原始URI，不包含主机名，如：”/foo/bar.php?arg=baz”。

$uri ：不带请求参数的当前URI，$uri不包含主机名，如”/foo/bar.html”。

$document_uri ：与$uri相同