Nginx 配置解析

Nginx配置文件

Nginx 主配置文件 /etc/nginx/nginx.conf 是一个纯文本类型的文件,整个配置文件是以区块的形式组织,通常每一个区块以一对大括号{}来表示开始与结束。
提示:若编译安装则 nginx.conf 位于编译时所指定目录。

  • Main 位于 nginx.conf 配置文件的最高层;
  • Main 层下可以有 Event、HTTP 层;
  • Http 层下面允许有多个 Server 层,用于对不同的网站做不同的配置;
  • Server 层下面允许有多个 Location,用于对不同的路径进行不同模块的配置。

全局配置部分用来配置对整个 server 都有效的参数。主要会设置一些影响 nginx 服务器整体运行的配置指令,主要包括配置运行 Nginx 服务器的用户(组)、允许生成的 worker process 数,进程 PID 存放路径、日志存放路径和类型以 及配置文件的引入等。 示例:

#如下为全局Main配置:

user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events 块涉及的指令主要影响 Nginx 服务器与用户的网络连接,常用的设置包括是否开启对多 worker process 下的网络连接进行序列化,是否允许同时接收多个网络连接,选取哪种事件驱动模型来处理连接请求,每个 worker process 可以同时支持的最大连接数等。

#如下为Event配置:

events {
     worker_connections  1024;
}

http 全局块配置的指令包括文件引入、MIME-TYPE 定义、日志自定义、连接超时时间、单链接请求数上限等。

#如下为http配置:

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    #tcp_nopush     on;
    keepalive_timeout  65;
    #gzip  on;
    include /etc/nginx/conf.d/*.conf;
}

提示:通常 Server 配置在独立的/etc/nginx/conf.d/*.conf中,通过引用的方式调用,如下/etc/nginx/conf.d/default.conf:

Server 块也被叫做“虚拟主机”部分,它描述的是一组根据不同 server_name 指令逻辑分割的资源,这些虚拟服务器响应 HTTP 请求,因此都包含在 http 部分。最常见的配置是本虚拟机主机的监听配置和本虚拟主机的名称或 IP 配置。一个 server 块可以配置多个 location 块。location 匹配规则参考

server {
    listen       80;
    server_name  localhost;
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

 Nginx全局配置

  user  nginx;					        #进程用户
  worker_processes  1;				        #工作进程,配合和CPU个数保持一致
  error_log  /var/log/nginx/error.log warn;	        #错误日志路径及级别
  pid        /var/run/nginx.pid;			#Nginx服务启动的pid

Nginx events事件配置

  events {
      worker_connections  1024;			#每个worker进程支持的最大连接数
      use epoll;				#内核模型,select、poll、epoll
  }


Nginx公共配置

http {
    include       /etc/nginx/mime.types;	#指定在当前文件中包含另一个文件的指令
    default_type  application/octet-stream;	#指定默认处理的文件类型可以是二进制

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';	#日志格式

    access_log  /var/log/nginx/access.log  main;			#访问日志

    sendfile        on;		#优化静态资源
    #tcp_nopush     on;		#nginx不要缓存数据,而是一段一段发送

    keepalive_timeout  65;	#给客户端分配连接超时时间,服务器会在这个时间过后关闭连接。

    #gzip  on;			#压缩

Nginx server配置

Nginx必须使用虚拟机配置站点,每个虚拟主机使用一个server。
server {
        listen       80;			        #监听端口,默认80
        server_name  localhost;			#提供服务的域名或主机名

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {				#控制网站访问路径
            root   /usr/share/nginx/html;	        #存放网站的路径
            index  index.html index.htm;	        #默认访问的首页
        }
        #error_page  404              /404.html;	#错误页面

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;	#定义请求错误,指定错误代码
        location = /50x.html {			#错误代码重定向到新的location
            root   html;
        }
    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {					#server段配置
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {					#server段配置
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;		#SSL证书配置

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}
}

提示:index指令中列出多个文件名,Nginx 按指定的顺序搜索文件并返回它找到的第一个文件。


Nginx网站配置

在默认虚拟机 default.conf 基础上新建虚拟机。

[root@nginx ~]# vi /etc/nginx/conf.d/mysite.conf
server {
    server_name  www.cainiaojc.com;
    location / {
        root   /usr/share/nginx/base;
        index  index.html;
    }
}

[root@cainiaojc ~]# mkdir -p /usr/share/nginx/base
[root@cainiaojc ~]# echo '<h1>cainiaojc</h1>' > /usr/share/nginx/base/index.html
[root@cainiaojc ~]# nginx -t -c /etc/nginx/nginx.conf		#检查配置文件
[root@cainiaojc ~]# nginx -s reload				#重载配置文件


测试访问

浏览器访问:www.cainiaojc.com,可以输出 cainiaojc 。


Nginx配置自定义错误页面

[root@nginx01 ~]# vi /etc/nginx/conf.d/mystie.conf
server {
    server_name  www.cainiaojc.com;
    
    error_page  404 403 500 502 503 504  /error.html;	#配置错误页
    location / {
        root   /usr/share/nginx/base;
        index  index.html;
    }
}

[root@cainiaojc ~]# echo '<h1>Error</h1>' > /usr/share/nginx/error.html
[root@cainiaojc ~]# nginx -t -c /etc/nginx/nginx.conf		#检查配置文件
[root@cainiaojc ~]# nginx -s reload				#重载配置文件


2.4 测试Error

浏览器访问任何一个不存在的页面,将返回自定义错误 html。


Nginx相关安全策略

禁止访问 htaccess

location ~/\.ht {
     deny all;
}

禁止访问多个目录

 location ~ ^/(picture|move)/ {
      deny all;
      break;
 }

禁止访问 /data 开头的文件

 location ~ ^/data {
      deny all;
  }

禁止访问单个目录

 location /imxhy/images/ {
      deny all;
 }

允许特定 ip 访问

root /usr/share/nginx/rewrite/;
allow 208.97.167.194;
allow 222.33.1.2;
allow 231.152.49.4;
deny all;