nginx反向代理配置nginx.conf

原创
2020/03/12 16:45
阅读数 202
#user  nobody;

#启动进程,通常设置成和cpu的数量相等
worker_processes  4;

#全局错误日志及PID文件
#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#默认pid的保存位置如下,可更改
#pid        logs/nginx.pid;

#工作模式及连接数上限
events {
    #epoll是多路复用IO(I/O Multiplexing)中的一种方式,
    #仅用于linux2.6以上内核,可以大大提高nginx的性能
    #use   epoll;

    #单个worker process进程的最大并发链接数
    worker_connections  1024;

    # 并发总数是 worker_processes 和 worker_connections 的乘积
    # 即 max_clients = worker_processes * worker_connections
    # 在设置了反向代理的情况下,max_clients = worker_processes * worker_connections / 4  为什么
    # 为什么上面反向代理要除以4,应该说是一个经验值
    # 根据以上条件,正常情况下的Nginx Server可以应付的最大连接数为:4 * 8000 = 32000
    # worker_connections 值的设置跟物理内存大小有关
    # 因为并发受IO约束,max_clients的值须小于系统可以打开的最大文件数
    # 而系统可以打开的最大文件数和内存大小成正比,一般1GB内存的机器上可以打开的文件数大约是10万左右
    # 我们来看看360M内存的VPS可以打开的文件句柄数是多少:
    # $ cat /proc/sys/fs/file-max
    # 输出 34336
    # 32000 < 34336,即并发连接总数小于系统可以打开的文件句柄总数,这样就在操作系统可以承受的范围之内
    # 所以,worker_connections 的值需根据 worker_processes 进程数目和系统可以打开的最大文件总数进行适当地进行设置
    # 使得并发总数小于操作系统可以打开的最大文件数目
    # 其实质也就是根据主机的物理CPU和内存进行配置
    # 当然,理论上的并发总数可能会和实际有所偏差,因为主机还有其他的工作进程需要消耗系统资源。
    # ulimit -SHn 65535
}

http {
    #设定mime类型,类型由mime.type文件定义
    include       mime.types;
    #默认的传输文件方式
    default_type  application/octet-stream;

    #设定名称为main的日志格式取代默认的combined格式,$time_iso8601(标准格式2017-01-19T09:10:52+08:00)。
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';
    #access日志位置和格式, 需要增加http_x_forwarded_for的显示,日志需要定时移除或改名,不支持按天分文件
    access_log  logs/access.log  main;
    #缓冲,避免每次都关闭打开日志文件
    open_log_file_cache max=1000 inactive=60s valid=60s min_uses=2;

    #sendfile 指令指定 nginx 是否调用 sendfile 函数(zero copy 方式)来输出文件,
    #对于普通应用,必须设为 on,
    #如果用来进行下载等应用磁盘IO重负载应用,可设置为 off,
    #以平衡磁盘与网络I/O处理速度,降低系统的uptime.
    sendfile        on;
    #激活tcp_nopush参数可以允许把httpresponse header和文件的开始放在一个文件里发布,积极的作用是减少网络报文段的数量
    tcp_nopush     on;

    #长连接超时时间,默认是75s
    keepalive_timeout  60s;
    #激活tcp_nodelay,内核会等待将更多的字节组成一个数据包,从而提高I/O性能
    tcp_nodelay on;

    #开启gzip压缩
    gzip  on;
    #IE6及以下版本性能太差,不压缩
    gzip_disable "MSIE [1-6].";
    gzip_min_length 1000;
    gzip_buffers   4 16k;
    gzip_types    text/plain application/x-javascript text/css;

    #设定请求缓冲
    client_header_buffer_size    128k;
    large_client_header_buffers  4 128k;

    #禁止嵌套访问
    add_header X-Frame-Options SAMEORIGIN;
    #设置httponly
    add_header Set-Cookie "HttpOnly=true; max-age=1800";

    #限制每个IP只能访问60次/分钟,以及白名单,同时需在location中开启代码
    limit_req_zone $binary_remote_addr zone=allips:10m rate=60r/m;
    geo $limited{
        default 1;
        #My IPs
        127.0.0.1/32 0;
        192.168.0.0/32 0;
    }
    
    upstream mywebapp {
        #ip_hash负载,如果没加这条指令,nginx会使用默认的round robin负载均衡(指定weight比重)
        #ip_hash;
        #max_fails表示超时重试的最大次数,当在fail_timeout时间段内重试次数达到上限则标记服务器不可用,将在fail_timeout后取消标记并重新尝试计数。此处超时计算依赖请求的超时时间,即nginx到后端server的请求超时时间设置见server的location /部分
        server 127.0.0.1:8888 weight=1 max_fails=1 fail_timeout=30s;
        #server 127.0.0.1:7001 weight=1 max_fails=1 fail_timeout=30s;
    }

    #设定虚拟主机配置,第一个主机为默认主机
    #设置默认server防御host头攻击
    server {
        listen       8100  default_server;
        server_name _;
        location / {
            return 403;
        }
    }
    server {
        #访问端口
        listen       8100;
        server_name  192.168.11.150;    #此处必须是用户浏览器内输入的IP或域名
        #定义服务器的默认网站根目录位置,可相对/绝对地址,指定了静态文件的存放位置,千万不要写成\
        #root  D:/bea12/user_projects/domains/base_domain/autodeploy/DefaultWebApp;
        root  D:/java/tomcat-9.0.10/webapps/root;

        #charset koi8-r;
        
        #禁止Scrapy等工具的抓取,HttpClient仍可用
        if ($http_user_agent ~* (Scrapy|Curl)) {
            return 403;
        }
        #禁止指定UA及UA为空的访问,会导致一些使用接口没法访问了,因此需要仔细分别
        #if ($http_user_agent ~* "WinHttp|WebZIP|FetchURL|node-superagent|java/|FeedDemon|Jullo|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|Java|Feedly|Apache-HttpAsyncClient|UniversalFeedParser|ApacheBench|Microsoft URL Control|Swiftbot|ZmEu|oBot|jaunty|Python-urllib|lightDeckReports Bot|YYSpider|DigExt|HttpClient|MJ12bot|heritrix|EasouSpider|Ezooms|BOT/0.1|YandexBot|FlightDeckReports|Linguee Bot|^$" ) {
        #     return 403;
        #}
        #屏蔽GET|POST|OPTIONS之外的请求方式:delete put trace,貌似trace默认就是返回405
        if ($request_method !~* GET|POST|OPTIONS) {
            return 403;
        }
        
        #location匹配规则:=最先,^~次之,然后按配置出现顺序(建议按请求频率确定顺序),最后是/根通配
        #默认请求策略
        location / {
            #使用限制器,每秒最多30个请求
            limit_req zone=allips burst=30 nodelay;
            proxy_pass http://mywebapp;
            #proxy_redirect  off;   
            proxy_set_header        Host    $http_host;   
            proxy_set_header        X-Real-IP       $remote_addr;   
            proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

            #proxy_set_header   Cookie $http_cookie;
            #nginx与server的连接超时时间(与server线程是否阻塞无关,不是等待后端返回页面的时间),默认值是60s,不能超过75s
            proxy_connect_timeout       3;
            #nginx发送请求给server的超时时间。超时设置不是为了整个发送期间,而是在两次write操作期间,默认值是60s
            #proxy_send_timeout       60s
            #nginx会等待多长时间来获得server的响应,这个时间不是获得整个response的时间,而是两次reading操作的时间
            #(与server线程是否阻塞有关,应根据server是否有大时长运算调整,同时也要增加keepalive_timeout的时间),默认值是60s
            #proxy_read_timeout       60s;

            #设置off避免编码转换出现不对的情况
            chunked_transfer_encoding       off;
            #让cookies写在根目录下,这样才不会丢失,如果出现cookies丢失的话
            #proxy_cookie_path /examples/ /;
        }

        #给icon图标响应空白图片,避免读硬盘并记录日志
        location ~ /(favicon.ico|apple-touch-icon.png|apple-touch-icon-precomposed.png)$ {
            empty_gif;
            access_log off;
        }

        #静态文件缓存,必须设置正确的root,不记录access日志,另外如果静态文件是在其他服务器,应使用反向代理并缓存(见后:location ~ \.php$)
        #如果使用了模板引擎等,不要把html\htm设置为静态缓存,否则可以
        location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|json|css|swf|zip|rar|7z|exe|doc|docx|xls|xlsx|ppt|pptx|cab|eot|otf|fon|font|ttf|ttc|woff|woff2)$ {
            expires    7d;
            access_log off;
        }

        #关闭robots.txt不存在时记录日志
        location = /robots.txt {
            allow all;
            log_not_found off;
            access_log off;
        }
        
        # 不允许访问隐藏文件例如 .htaccess, .htpasswd, .DS_Store (Mac).
        location ~ /\. {
            deny all;
            access_log off;
            log_not_found off;
        }
        
        #404页面
        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #错误页面
        error_page   500 502 503 504  /50x.html;
        #指定50x页面的响应
        location = /50x.html {
            root   html;
        }

        #指定特定的请求使用反向代理到指定的服务,比如使用验证码
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        #指定特定的请求使用特定服务
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        #指定特定的请求拒绝服务,比如禁止访问/web-info/
        #location ~ /\.ht {
        #    deny  all;
        #}
    }
}

 

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部