Nginx配置反向代理及基本参数解释说明

文章目录

• 一、前言
• • 反向代理的概念
• 二、反向代理配置
• • 第一种
  • • 第一步
    • 第二步
  • 第二种方式不使用upstream
• 三、完整配置文件
• 四、相关参数说明
• • 各参数说明
  • • user
    • worker_processes
    • worker_rlimit_nofile
    • pid
    • events
    • worker_connections
    • multi_accept
    • http
    • server
    • location
    • access_log
    • error_log
    • types
    • upstream
    • include
    • gzip on;
• 五、补充总结
• • worker_rlimit_nofile和worker_connections的关系
  • SSL证书配置相关信息

一、前言

反向代理的概念

通常情况下，客户端向Web服务器发送请求，Web服务器响应请求并返回数据。而在反向代理中，客户端的请求不直接发送到Web服务器，而是发送到反向代理服务器。反向代理服务器会将请求转发给真实的Web服务器，Web服务器响应请求并将数据返回给反向代理服务器，反向代理服务器再将数据返回给客户端。客户端认为它正在与反向代理服务器通信，但实际上是与真实的Web服务器通信。
使用反向代理可以带来以下优点：

• 负载均衡：反向代理服务器可以将请求分发到多台真实的Web服务器，从而实现负载均衡，避免单个服务器被过度负载。

• 安全加固：反向代理服务器可以隐藏后端Web服务器的真实IP地址，从而增强服务器的安全性，防止攻击者直接攻击后端服务器。

• 流量控制：反向代理服务器可以控制访问某些资源的流量，从而避免服务器被过度访问。
  Nginx反向代理的工作原理基于HTTP协议。当客户端向Nginx服务器发送请求时，Nginx服务器会根据请求的URL，查找其配置文件中的反向代理规则。如果找到了匹配的规则，Nginx会将请求转发到后端服务器，并将后端服务器的响应返回给客户端。
  具体来说，Nginx反向代理的工作流程如下：

• 客户端发送请求：客户端发送请求到Nginx服务器，请求的URL与Nginx的反向代理规则匹配。

• Nginx查找规则：Nginx查找其配置文件中的反向代理规则，并找到匹配的规则。

• 转发请求：Nginx将请求转发到后端服务器，后端服务器响应请求。

• 返回响应：Nginx将后端服务器的响应返回给客户端，客户端认为它正在与Nginx服务器通信。
  在Nginx的配置文件中，我们可以使用upstream指令定义后端服务器的列表，并使用server指令定义要代理的域名和端口号。在location {}部分，我们使用proxy_pass指令将请求转发到我们定义的后端服务器上。

这里说明一下在Nginx中怎么配置反向代理，
在nginx中的conf配置文件中开头的第一行是这个，

user  root;#设置Nginx的运行用户。

这里配置的user对应的nginx的启动用户，在linux中是区分的用户的，所以这里填写的时候要看你的nginx启动的时候是用什么用户身份启动的，不然会出现服务正常启动，但是配置的一些静态资源无法访问的问题这里要注意。

二、反向代理配置

第一种

第一步

在nginx.conf配置文件中找到http这个标签块，在http标签块中添加如下代码：

upstream backend {
	ip_hash;#定义的使用那个负载均衡策略
    server 127.0.0.1:8080;#这里放置要被代理的服务器域名或ip加端口，当然也可以不加
}

这个upstream是为了定义反向代理的后端服务器列表backend是名称，upstream还可以指定负载均衡算法，使用ip_hash算法对后端服务器进行负载均衡，即根据客户端IP地址的hash值来选择后端服务器。这样可以保证同一个客户端的请求始终由同一个后端服务器处理，从而避免数据不一致的问题。

第二步

找到一个server，在server内部的location规则区域下写入proxy_pass http://backend;这端代码，这里就是进行代理的操作，当有用户去访问你服务器的时就会执行你代理的这个域名地址了。proxy_pass指令使用http://backend作为反向代理的后端服务器，这里的backend就是之前定义的upstream名字。

http {
  upstream backend {
    server 127.0.0.1:8000;
  }

  server {
    listen 80;
    server_name localhost;

    location / {
      proxy_pass http://backend;
    }
  }
}

第二种方式不使用upstream

直接在proxy_pass后放入要被代理的服务器，这种情况具有局限性，并不能做到负载均衡只限于一个被代理服务器的情况下。

proxy_pass http://目标服务器域名或者ip+端口号

三、完整配置文件

以下是完整的配置文件

user  root;#设置Nginx的运行用户。
worker_processes  2;#设置Nginx启动时的worker进程数量
worker_rlimit_nofile 32768;#设置每个worker进程能够打开的最大文件数。

events {
    worker_connections  2048;#worker进程可以同时处理的连接数
}
http {#设置Nginx的HTTP协议相关参数。
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;

    keepalive_timeout  65;
  	upstream backend {#定义反向代理的后端服务器列表和负载均衡方式，可以使用round-robin、ip-hash等算法进行负载均衡
    server 127.0.0.1:8000;#这里配置了一个被代理服务器地址，仅做示例。可以配置多个。
  	}
  	
    server {
        listen       80;#设置Nginx监听的IP地址和端口号。
        server_name  localhost;#设置Nginx监听的服务器名称。
        location / {#设置Nginx的请求处理规则。		
		# 调整到100s
		proxy_connect_timeout    60;  #nginx跟后端服务器连接超时时间(代理连接超时)默认60s
		proxy_read_timeout       60; #后端服务器数据回传时间(代理发送超时)默认值60s
		proxy_send_timeout       60;  #连接成功后，后端服务器响应时间(代理接收超时)默认值60s
		proxy_pass http://backend;		#设置Nginx代理服务器的地址。
	}

}

四、相关参数说明

各参数说明

以下是Nginx中nginx.conf文件的常用参数列表：

user

指定Nginx运行的用户和组，格式为"user group;"

worker_processes

指定worker进程的数量，通常设置为CPU核心数的2倍或4倍

worker_rlimit_nofile

指定每个worker进程可以打开的最大文件数

pid

指定Nginx主进程的PID文件路径

events

定义Nginx处理连接的模式和参数，包括：

worker_connections

指定每个worker进程可以同时处理的连接数

multi_accept

指定是否启用多次accept

http

定义HTTP协议相关的参数，包括：

server

定义虚拟主机的配置，可以设置监听的IP地址和端口号，以及服务器名、域名等信息

location

定义URL路径的匹配规则和对应的处理方式，例如可以设置不同的反向代理、静态文件目录、CGI脚本等

access_log

指定访问日志的路径和格式

error_log

指定错误日志的路径和级别

types

定义文件类型的映射关系，可以设置不同的MIME类型和文件扩展名

upstream

定义反向代理的后端服务器列表和负载均衡方式，可以使用round-robin、ip-hash等算法进行负载均衡

include

用于导入其他配置文件，可以使用通配符和目录名，例如可以使用include /etc/nginx/conf.d/*.conf来导入conf.d目录下的所有配置文件。

gzip on;

该指令表示开启gzip压缩，将响应数据压缩后发送到客户端。

五、补充总结

worker_rlimit_nofile和worker_connections的关系

worker_rlimit_nofile和worker_connections的关系（最大打开文件数和worker的连接数之间有什么关系）
在Nginx服务器中，每个worker进程都可以打开一定数量的文件，其中包括socket连接、日志文件、配置文件等等。如果Nginx服务器的并发连接数很高，那么每个worker进程需要打开的文件数量也会相应增加。

如果Nginx服务器的最大打开文件数限制较低，可能会导致worker进程无法打开足够数量的文件，从而影响Nginx服务器的性能。因此，为了确保Nginx服务器的正常运行，通常需要将最大打开文件数设置为足够高的值。

另一方面，Nginx服务器的worker连接数也会受到最大打开文件数的限制。如果每个worker进程能够打开的文件数量受到限制，那么每个worker进程可以处理的连接数也会相应受到限制。因此，为了支持更高的并发连接数，通常需要将最大打开文件数设置为足够高的值。

需要注意的是，最大打开文件数和worker连接数之间的关系并不是线性的。如果Nginx服务器的worker连接数很高，那么需要打开的文件数量也会相应增加，但是增加的速度可能会比较慢，因此在设置最大打开文件数时，需要综合考虑Nginx服务器的实际情况和性能需求。

SSL证书配置相关信息

在Nginx中配置SSL证书需要经过以下步骤：

1. 获取SSL证书和私钥
   首先需要获取SSL证书和私钥。可以从一些受信任的证书颁发机构（CA）购买证书，也可以自己生成自签名证书。一般情况下，SSL证书和私钥都需要保存在同一个目录下，例如/etc/nginx/ssl/。

2. 修改Nginx配置文件
   在Nginx的配置文件中添加SSL相关的配置。一般来说，需要修改nginx.conf文件，找到对应的server块，添加以下配置项：

​server {
    listen 443 ssl;  # 启用SSL协议
    server_name example.com;  # 服务器名
    ssl_certificate /etc/nginx/ssl/example.com.crt;  # SSL证书路径
    ssl_certificate_key /etc/nginx/ssl/example.com.key;  # SSL私钥路径

    location / {
        # 站点配置
    }
}

上述配置中，listen指令启用SSL协议并指定监听端口为443，server_name指定服务器名，ssl_certificate和ssl_certificate_key分别指定SSL证书和私钥文件的路径。其中，证书文件一般以.crt结尾，私钥文件一般以.key结尾。

3. 配置加密协议
   在Nginx中，可以通过指令来配置SSL加密协议和加密套件。例如：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256;

上述配置指定了使用TLSv1、TLSv1.1和TLSv1.2协议，使用ECDHE-RSA-AES128-GCM-SHA256和ECDHE-ECDSA-AES128-GCM-SHA256加密套件。在配置加密协议时，需要权衡安全性和性能，选择适合自己的加密套件。

4. 配置SSL会话缓存
   在Nginx中，可以通过指令来配置SSL会话缓存，提高性能和安全性。例如：

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

上述配置指定了使用名为SSL的共享缓存，缓存大小为10MB，缓存时间为10分钟。在配置会话缓存时，需要注意缓存的大小和时间，根据实际情况调整。
5. 重启Nginx
修改Nginx配置文件后，需要重启Nginx服务，使配置生效。可以使用以下命令：

sudo systemctl restart nginx

需要注意的是，如果配置文件存在错误，Nginx会启动失败。可以使用以下命令检查配置文件是否正确：

sudo nginx -t

以上就是在Nginx中配置SSL证书的详细步