nginx 深入篇
nginx 防盗链
上文介绍了如何以最最简单的方式配置静态资源,还存在一定的隐患,一般的盗链如何预防,
设置验证referer,其实前端是可以不带referer的- - |,只需要设置img的属性referrerpolicy="no-referrer"即可。
server {
listen 8000;
server_name 120.79.249.130;
location / {
root /home/nginx/static/;
valid_referers none blocked server_names;
if ($invalid_referer) {return 403;}
# none:表示无Referer值的情况。
# blocked:表示Referer值被防火墙进行伪装。
# server_names:表示一个或多个主机名称,空格隔开。
# 当不满足访问条件时,$invalid_referer值为1。
}
}
location语法规则
location [ = | ~ | ~* | ^~ ] uri { ... }
语法规则很简单,一个location关键字,后面跟着可选的修饰符,后面是要匹配的字符,花括号中是要执行的操作。
修饰符
=表示精确匹配。只有请求的url路径与后面的字符串完全相等时,才会命中。~表示该规则是使用正则定义的,区分大小写。~*表示该规则是使用正则定义的,不区分大小写。^~表示如果该符号后面的字符是最佳匹配,采用该规则,不再进行后续的查找。
匹配顺序
首先先检查使用前缀字符定义的location,选择最长匹配的项并记录下来。
如果找到了精确匹配的location,也就是使用了=修饰符的location,结束查找,使用它的配置。
然后按顺序查找使用正则定义的location,如果匹配则停止查找,使用它定义的配置。
如果没有匹配的正则location,则使用前面记录的最长匹配前缀字符location。
基于以上的匹配过程,我们可以得到以下两点启示:
- 使用正则定义的location在配置文件中出现的顺序很重要。因为找到第一个匹配的正则后,查找就停止了,后面定义的正则就是再匹配也没有机会了。
- 使用精确匹配可以提高查找的速度。例如经常请求
/的话,可以使用=来定义location。
反向代理
正向代理,也就是传说中的代理,他的工作原理就像一个跳板,简单的说,我是一个用户,我访问不了某网站,但是我能访问一个代理服务器,这个代理服务器呢,他能访问那个我不能访问的网站,于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容,代理服务器去取回来,然后返回给我。 从网站的角度,只在代理服务器来取内容的时候有一次记录,有时候并不知道是用户的请求,也隐藏了用户的资料,这取决于代理告不告诉网站。结论就是,正向代理 是一个位于客户端和原始服务器(origin server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。
反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
从用途上来讲:
正向代理的典型用途是为在防火墙内的局域网客户端提供访问Internet的途径。 正向代理还可以使用缓冲特性减少网络使用率。反向代理的典型用途是将防火墙后面的服务器提供给Internet用户访问。 反向代理还可以为后端的多台服务器提供负载平衡,或为后端较慢的服务器提供缓冲服务。 另外,反向代理还可以启用高级URL策略和管理技术,从而使处于不同web服务器系统的web页面同时存在于同一个URL空间下。
模板
#sudo vim /usr/local/nginx/conf/nginx.conf
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://192.168.1.100;
#Proxy Settings
proxy_redirect off;
proxy_set_header Host $host; # 设置浏览器头
proxy_set_header X-Real-IP $remote_addr; # 设置请求的ip
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 记录proxy转发
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_max_temp_file_size 0;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
}
负载均衡
负载均衡是由多台服务器以对称的方式组成一个服务器集合,每台服务器都具有等价的地位,都可以单独对外提供服务而无须其他服务器的辅助。通过某种负载分担技术,将外部发送来的请求按照事先设定分配算法分配到对称结构中的某一台服务器上,而接收到请求的服务器独立地回应客户的请求。
均衡负载能够平均分配客户请求到服务器列阵,籍此提供快速获取重要数据,解决大量并发访问服务问题。
-
upstream模块
upstream name {...} 配置块 http upstream块定义一个上游服务器的集群,便于反向代理中的proxy_pass使用 upstream mynet{ server www.wopai1.com; server www.wopai2.com; server www.wopai3.com; } server { location /{ proxy_pass http://mynet; } } -
server模块
server name [paramenters] 配置块upstream server配置项指定了一台上游服务器的名字,可以是域名 IP地址端口 UNIX句柄 weight= number;设置向这台服务器转发的权重,默认为1 max_fails=number;该选项域fail_timeout配合使用 指在fail_timeout时间段内如果转发上游失败超过number次就认为当前的fail_timeout时间内 这台服务器不可用,max_fails默认为1 如果设置为0 表示不检查失败次数 fail_timeout=time; fail_timeout表示该时间内转发多少次失败后就认为上游不可用.默认10s down 表示上游服务器永久下线,只能在ip_hash配置时才有效 backup 在ip_hash配置时无效.只有所有非备份机都失败,才向上游备份服务器转发请求. upstream mynet{ server www.wopai1.com weight=5; server www.wopai2.com:8081 max_fails=3 fail_timeout=300s; server www.wopai2.com down; } -
ip_hash
配置块 upstream 希望来自某一个用户的请求始终落在固定的一台服务器上进行处理. 根据客户端的IP散列计算出一个key,将key按照upstream集群中的上游服务器进行取模,求得的值对应的主机接收转发请求. ip_hash不可以与weight同时使用 如果upstream配置中有一台服务器暂时不可用,不能直接删除该配置,而应该使用down标识. upstream mynet{ ip_hash; server www.wowpai1.top; server www.wowpai2.top; server www.wowpai3.top down; }
完整实例:
http {
upstream mynet {
#mynet是自定义的命名 在server结构中引用即可
#max_fails 表示尝试出错最大次数 即可认为该服务器 在fail_timeout时间内不可用
# server servername:port servername可以写主机名 或者点分式IP
server 192.168.1.30:80 max_fails=1 fail_timeout=300s;
server 192.168.1.31:80 max_fails=1 fail_timeout=300s;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass_header Server;
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Scheme $scheme; #https,http
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://mynet;
}
}
