nginx配置详解(二)
前一篇基本覆盖了nginx常用配置信息,但稍显简略,新增详细篇章。
Nginx 是一款高性能的开源 Web 服务器、反向代理服务器和负载均衡器,由 Igor Sysoev 于 2002 年开发,并于 2004 年首次发布。它以高效、稳定和低资源消耗著称,广泛用于处理静态文件、动态请求代理以及 HTTPS 加密传输。根据 W3Techs 的统计,Nginx 在全球 Web 服务器市场占有率超过 30%,是许多大型网站的首选(如 Netflix、Dropbox 等)。
Nginx 的强大之处在于其模块化的配置系统。配置文件通常名为 nginx.conf,采用基于块(block)的语法结构,每个块用大括号 {} 包围。配置指令以分号 ; 结尾,支持变量、条件判断和包含外部文件。Nginx 配置分为几个主要上下文(context):全局上下文、events、http、server、upstream、location 等。
Nginx 配置文件的结构概述
Nginx 配置文件的顶层是全局上下文,不属于任何块。常见的结构如下:
- 全局指令:影响整个 Nginx 进程。
- events 块:配置事件驱动模型和连接处理。
- http 块:HTTP 模块的核心配置,包含服务器和虚拟主机设置。
- mail 或 stream 块:可选,用于邮件代理或 TCP/UDP 代理。
- 包含文件:使用 include 指令加载外部配置文件,便于模块化管理。
配置文件的解析是自上而下的,指令的优先级取决于上下文:子上下文覆盖父上下文。
详细介绍配置中的各种字段
以下按上下文分类,列出常见指令及其含义、默认值、用法示例。指令分为简单指令(key value;)和块指令(key { ... })。
1. 全局上下文(Main Context)
这些指令位于配置文件的最外层,控制 Nginx 的整体行为。
- worker_processes:定义工作进程数。默认:auto(自动检测 CPU 核心数)。 示例:worker_processes auto; 作用:Nginx 使用 master-worker 模型,master 进程管理 worker 进程。建议设置为 CPU 核心数,以充分利用多核。
- worker_rlimit_nofile:每个 worker 进程的最大打开文件数。默认:无(受系统限制)。 示例:worker_rlimit_nofile 65535; 作用:防止文件描述符耗尽,高并发场景下需调高。
- error_log:错误日志路径和级别。默认:logs/error.log error;。 示例:error_log /var/log/nginx/error.log warn; 作用:记录错误信息,级别从 debug 到 emerg。
- pid:master 进程的 PID 文件路径。默认:logs/nginx.pid。 示例:pid /var/run/nginx.pid; 作用:用于进程管理,如重启或停止。
- user 和 group:运行 worker 进程的用户和组。默认:nobody nobody。 示例:user www-data; 作用:提升安全性,避免 root 权限运行。
- include:包含其他配置文件。 示例:include /etc/nginx/conf.d/*.conf; 作用:模块化配置,便于管理多个站点。
2. events 块
配置事件处理模型,优化连接处理。
- worker_connections:每个 worker 进程的最大连接数。默认:512。 示例:worker_connections 1024; 作用:包括客户端和后端连接,总连接数 = worker_processes * worker_connections。
- multi_accept:是否允许 worker 进程同时接受多个新连接。默认:off。 示例:multi_accept on; 作用:提高高并发性能。
- use:事件模型选择(如 epoll、kqueue)。默认:auto。 示例:use epoll; 作用:Linux 系统推荐 epoll,BSD 系统推荐 kqueue。
- accept_mutex:是否使用互斥锁处理新连接。默认:on。 示例:accept_mutex on; 作用:防止惊群效应(thundering herd)。
3. http 块
HTTP 模块的核心,包含全局 HTTP 设置。
- access_log:访问日志路径和格式。默认:logs/access.log combined。 示例:access_log /var/log/nginx/access.log main; 作用:记录请求细节,可自定义格式如 log_format。
- log_format:自定义日志格式。默认:combined。 示例:log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"'; 作用:支持变量如 $remote_addr(客户端 IP)、$request(请求行)。
- sendfile:是否使用 sendfile 零拷贝传输文件。默认:off。 示例:sendfile on; 作用:高效传输静态文件。
- tcp_nopush 和 tcp_nodelay:TCP 优化。默认:off。 示例:tcp_nopush on; tcp_nodelay on; 作用:nopush 结合 sendfile 打包数据,nodelay 禁用 Nagle 算法减少延迟。
- keepalive_timeout:保持连接超时。默认:75s。 示例:keepalive_timeout 60s; 作用:复用连接,减少开销。
- gzip:启用 Gzip 压缩。默认:off。 示例:gzip on; gzip_types text/plain application/json; 作用:压缩响应,节省带宽。
- server_tokens:是否在响应头显示 Nginx 版本。默认:on。 示例:server_tokens off; 作用:隐藏版本信息,提升安全性。
- client_max_body_size:客户端请求体最大大小。默认:1m。 示例:client_max_body_size 10m; 作用:限制上传文件大小。
4. upstream 块
定义后端服务器组,用于负载均衡。
- server:后端服务器地址和权重。 示例:upstream backend { server 192.168.1.1:8080 weight=3; server 192.168.1.2:8080; } 作用:weight 指定权重,默认为 1。支持 backup(备份服务器)、down(标记下线)等参数。
- ip_hash 或 hash:负载均衡算法。默认:round-robin(轮询)。 示例:ip_hash; 作用:ip_hash 基于客户端 IP 哈希,确保会话粘性。
- keepalive:与后端保持连接数。默认:无。 示例:keepalive 32; 作用:复用连接,提高性能。
5. server 块
虚拟主机配置,位于 http 块内。可有多个 server 块。
- listen:监听端口和地址。默认:80。 示例:listen 80; listen 443 ssl; 作用:支持 IPv6、reuseport(多 worker 共享端口)。对于 HTTPS,需添加 ssl。
- server_name:虚拟主机名。默认:_(匹配所有)。 示例:server_name example.com www.example.com; 作用:基于主机头匹配,支持正则如 ~^www\.。
- ssl_certificate 和 ssl_certificate_key:HTTPS 证书路径。 示例:ssl_certificate /etc/nginx/ssl/cert.pem; ssl_certificate_key /etc/nginx/ssl/key.pem; 作用:启用 TLS/SSL,支持多个证书(SNI)。
- return:直接返回响应。 示例:return 444; 作用:用于兜底服务器,返回状态码如 301 重定向或 444(关闭连接无响应)。
- root:文档根目录。默认:html。 示例:root /var/www/html; 作用:静态文件路径。
- index:默认索引文件。默认:index.html index.htm。 示例:index index.php index.html; 作用:目录请求时尝试的文件。
6. location 块
位于 server 块内,匹配 URI 并处理请求。
- location:URI 匹配规则。 示例:location / { ... } 或 location ~ \.php$ { ... } 作用:前缀匹配(/)、精确匹配(= /)、正则匹配(~ 或 ~* 不区分大小写)、内部重定向(@name)。
- proxy_pass:反向代理到后端。 示例:proxy_pass http://backend; 作用:转发请求到 upstream 或 URL。
- proxy_set_header:设置代理头。 示例:proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; 作用:传递客户端信息到后端。
- try_files:尝试文件存在性。 示例:try_files $uri $uri/ =404; 作用:检查文件或目录,不存在则返回 404。
- rewrite:URL 重写。 示例:rewrite ^/old/(.*)$ /new/$1 permanent; 作用:重定向,支持正则和标志(permanent 为 301)。
- limit_req:请求限速。 示例:limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; limit_req zone=one burst=5; 作用:防止 DDoS,zone 定义键和内存,rate/burst 控制速率和突发。
其他常见指令包括 if(条件判断,但不推荐滥用)、map(变量映射)、geo(基于 IP 的地理映射)等。
配置注意事项
- 变量:Nginx 支持内置变量如 $http_user_agent、$args(查询参数)。自定义变量用 set。
- 模块:Nginx 是模块化的,指令取决于加载的模块(如 ngx_http_ssl_module)。
- 测试配置:使用 nginx -t 检查语法错误。
- 重载:nginx -s reload 平滑重载配置。
- 安全性:启用 HTTPS、限制访问(如 allow/deny)、隐藏版本。
- 性能优化:结合缓存(如 proxy_cache)、Gzip 和连接池。
示例:一个常规的 nginx.conf 配置文件
以下是一个支持 HTTP 和 HTTPS 的示例配置文件。它包括反向负载均衡(upstream 定义两个后端服务器),并有一个兜底服务器返回 444 状态码(关闭连接无响应)。假设后端服务器在 192.168.1.100:8080 和 192.168.1.101:8080,证书文件。
# 全局配置
user www-data;
worker_processes auto;
pid /run/nginx.pid;
error_log /var/log/nginx/error.log warn;
events {
worker_connections 1024;
multi_accept on;
use epoll;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
gzip on;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
# 负载均衡 upstream
upstream backend {
server 192.168.1.100:8080 weight=1;
server 192.168.1.101:8080 weight=1;
keepalive 32;
}
# 主服务器:支持 HTTP 和 HTTPS,反向代理到 upstream
server {
listen 80;
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
# HTTP 到 HTTPS 重定向
if ($scheme != "https") {
return 301 https://$host$request_uri;
}
location / {
proxy_pass http://backend;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
# 静态文件示例
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
root /var/www/html;
expires 30d;
}
}
# 兜底服务器:返回 444(关闭连接无响应)
server {
listen 80 default_server;
listen 443 ssl default_server;
server_name _;
ssl_certificate /etc/nginx/ssl/default.crt; # 默认证书,如果需要
ssl_certificate_key /etc/nginx/ssl/default.key;
return 444;
}
}
完成配置后nginx -t配置检验,ok之后nginx -s reload热加载即可。
浙公网安备 33010602011771号