坑爹 ssl 的问题:一开始 nginx 服务器 上面有 两个 443 虚拟主机设置,然后 呢我在一个 地方 配置了 ssl ,在另一个 地方 没有 配置ssl,发现 两个虚拟主机的地址 都无法访问,显示 connection reset ,然后我 尝试 将所有主机都添加完 ssl ,发现OK了,两边地址都能够访问了。
Category: nginx
nginx配置文件-流量控制-域名跳转url重定向及https跳转问题
一、域名跳转方法 rewrite 和 return
Don’t feel bad here, it’s easy to get confused with regular expressions. In fact, it’s so easy to do that we should make an effort to keep them neat and clean. Quite simply, don’t add cruft.
BAD:
rewrite ^/(.*)$ http://example.com/$1 permanent;
GOOD:
rewrite ^ http://example.com$request_uri? permanent;
BETTER:
return 301 http://example.com$request_uri;
Look at the above. Then back here. Then up, and back here. OK. The first rewrite captures the full URI minus the first slash. By using the built-in variable $request_uri
we can effectively avoid doing any capturing or matching at all.
return 语义更加明确,『到此为止』,结果就是 301 了。
正如你所说,正则匹配的性能损失;文中末尾也解释了『BAD』和 『GOOD』的区别
二、http域名跳转
跳转到本主机域名还是其他网站域名,都没有问题,不会报错。
server { listen 80; server_name .myolddomain.se; return 301 http://www.mynewdomain.se$request_uri; }
三、https域名跳转
只能在本机配置的https域名中跳转,无法跳转到别家公司的https网站。因为https连接时,事先会读取网站证书。跳转的网站域名和本机提供的网站证书不匹配,导致浏览器报错。只能调转到本机的其他https网站,因为其他的https网站域名,本机已经提供了证书。
3.1 一个ip多个https网站
如果浏览器支持 TLS SNI 扩展:使用nginx -V
命令可以查看
server { listen X.X.X.X:443 ssl; ssl_certificate /path/to/myolddomain.cert; ssl_certificate_key /path/to/myolddomain.key; server_name .myolddomain.se; return 301 https://www.mynewdomain.se$request_uri; } server { listen X.X.X.X:443 ssl; ssl_certificate /path/to/mynewdomain.cert; ssl_certificate_key /path/to/mynewdomain.key; server_name .mynewdomain.se; [ ... ] # Your stuff }
如果证书已经包含多个域名:
ssl_certificate /path/to/domain.cert; ssl_certificate_key /path/to/domain.key; server { listen X.X.X.X:443; server_name .myolddomain.se; return 301 https://www.mynewdomain.se$request_uri; } server { listen X.X.X.X:443; server_name .mynewdomain.se; [ ... ] # Your stuff }
3.2不同ip多个https网站
server { listen X.X.X.X:443 ssl; ssl_certificate /path/to/myolddomain.cert; ssl_certificate_key /path/to/myolddomain.key; server_name .myolddomain.se; return 301 https://www.mynewdomain.se$request_uri; } server { listen Y.Y.Y.Y:443 ssl; ssl_certificate /path/to/mynewdomain.cert; ssl_certificate_key /path/to/mynewdomain.key; server_name .mynewdomain.se; [ ... ] # Your stuff }
nginx问题-配置出错-无法绑定端口
马蛋的 一开始 在主配置文件中配置了443端口转发,后面又再监听443端口发来的请求,导致 一直显示 端口 绑定不上。
根本原因:一个端口被配置了两次,导致启动的时候端口无法绑定,造成启动失败。
nginx配置文件-安全配置-https(ssl/tls)和http2的配置
前期准备
# 查看 nginx 是否已经安装及具体版本号 sh-4.2# rpm -qa | grep -i nginx nginx-1.12.2-1.el7_4.ngx.x86_64
# 查看 nginx 的安装目录 sh-4.2# rpm -ql nginx-1.12.2-1.el7_4.ngx.x86_64 /etc/logrotate.d/nginx /etc/nginx /etc/nginx/conf.d /etc/nginx/conf.d/default.conf /etc/nginx/fastcgi_params /etc/nginx/koi-utf /etc/nginx/koi-win /etc/nginx/mime.types /etc/nginx/modules /etc/nginx/nginx.conf /etc/nginx/scgi_params /etc/nginx/uwsgi_params /etc/nginx/win-utf /etc/sysconfig/nginx /etc/sysconfig/nginx-debug /usr/lib/systemd/system/nginx-debug.service /usr/lib/systemd/system/nginx.service /usr/lib64/nginx /usr/lib64/nginx/modules /usr/libexec/initscripts/legacy-actions/nginx /usr/libexec/initscripts/legacy-actions/nginx/check-reload /usr/libexec/initscripts/legacy-actions/nginx/upgrade /usr/sbin/nginx /usr/sbin/nginx-debug /usr/share/doc/nginx-1.12.2 /usr/share/doc/nginx-1.12.2/COPYRIGHT /usr/share/man/man8/nginx.8.gz /usr/share/nginx /usr/share/nginx/html /usr/share/nginx/html/50x.html /usr/share/nginx/html/index.html /var/cache/nginx /var/log/nginx sh-4.2#
将 证书相关 文件 放到 /etc/nginx/https_cert目录里。
新建这个https_cert目录,其实可以指定的别的目录,只要配置文件引用目录正确就行了。
https证书的获取,可以查看密码和证书-https(ssl/tls)之证书的概述及获取和网站部署
一、配置https的操作:
1.1、开启443 端口
listen 443 ssl;
1.2、添加密钥
备注:nginx 即可以 读取 crt 文件 也可以读取 pem 文件。
# 这里是 相对路径 ,绝对路径是 /etc/nginx/https_cert/huaijiujia_ca_chained.crt # 因为 nginx的主配置文件路径是 /etc/nginx/nginx.conf # 证书文件,里面有公钥 ssl_certificate https_cert/huaijiujia_ca_chained.crt; # 私钥 ssl_certificate_key https_cert/huaijiujia_private.key;
(1)补充:ssl_client_certificate /etc/ssl/certs/ca.crt;
这个是客户端证书文件,用来验证客户端的身份的,比如访问银行网站需要的K宝证书文件。一般的网站基本用不到。
(2)补充:一般申请的证书,会给出三个文件。
第一个是证书文件,里面有公钥。第二个是私钥。第三个是证书组文件,因为公钥是由中间机构签发的,一些浏览器可能不能识别,所以证书组就是为了证明从根证书到中间签发机构都是可信的。
SSLCertificateFile /etc/ssl/example_com.crt SSLCertificateKeyFile /etc/ssl/private/example_com.key SSLCertificateChainFile /etc/ssl/example_com.ca-bundle
在nginx配置文件中:只有ssl_certificate
和 ssl_certificate_key
,所以需要将证书文件和证书组文件,组合在一起,生成一个证书链文件。
cat example_com.crt example_com.ca-bundle > example_com.chained.crt
记得一定要先将证书放在前面,然后将证书组放在后面。这样才能解析成功。
但是在实际生成过程中:证书链生成的还是有问题。实际用cat生成时,中间的
-----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### 会合并成一行 -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### 特别注意:切分的时候,每一行的格式都是统一的,前面都是 ----- 五个破折号
下面举例,正确的证书链文件内容:
-----BEGIN CERTIFICATE----- MIIFbDCCBFSgAwIBAgISA5WD5KQw2Su8QWrrv6G5nlVfMA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xODExMjMxMDAwMjdaFw0x OTAyMjExMDAwMjdaMB0xGzAZBgNVBAMTEnd3dy5odWFpaml1amlhLmNvbTCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAPB7xpQSEdD5ZvYU80fBiWaTRHa4 p1ONueojFD6NabMRMw2ct4PLHsiIt8z5hGF02JhKb/ZxLIIBh5dtqFxAy4OcYRWa J+7Qi+1tgD695t0JkqsW/KGbbZtZRFHikhx4TTLyd5IWuEKjJA87+8ufgCv/zuEM hpdqNs5YhjqrVNjLo5yIIwVWF4FRs3rkSqUthaw6bF3+ER5Cnlrmy4nM6t811KuS aFAFU9ZpfxzbtFefVNZGn79CxMf9huvHUklJTZeUmtr8SkfRLSC8yclP2vW4l70G EiT1UK7jPb+/x2qynnDMv+/EfYk3oJq1emTg1UNizLmKPAItWDhI50BGKa8CAwEA AaOCAncwggJzMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYI KwYBBQUHAwIwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUCG4SDRTDi0shGxdi/x7S ZFrxaSswHwYDVR0jBBgwFoAUqEpqYwR93brm0Tm3pkVl7/Oo7KEwbwYIKwYBBQUH AQEEYzBhMC4GCCsGAQUFBzABhiJodHRwOi8vb2NzcC5pbnQteDMubGV0c2VuY3J5 cHQub3JnMC8GCCsGAQUFBzAChiNodHRwOi8vY2VydC5pbnQteDMubGV0c2VuY3J5 cHQub3JnLzAtBgNVHREEJjAkgg5odWFpaml1amlhLmNvbYISd3d3Lmh1YWlqaXVq aWEuY29tMEwGA1UdIARFMEMwCAYGZ4EMAQIBMDcGCysGAQQBgt8TAQEBMCgwJgYI KwYBBQUHAgEWGmh0dHA6Ly9jcHMubGV0c2VuY3J5cHQub3JnMIIBBAYKKwYBBAHW eQIEAgSB9QSB8gDwAHYAdH7agzGtMxCRIZzOJU9CcMK//V5CIAjGNzV55hB7zFYA AAFnQDpiswAABAMARzBFAiEAyP9RowhmAeFy0FIw864vexsfEi7+I8eXXgRBgdma lXACIFuyRLDwlDSymNcSibTq/RJt4AlYtVAs2zA9lOUOGwN4AHYAY/Lbzeg7zCzP C3KEJ1drM6SNYXePvXWmOLHHaFRL2I0AAAFnQDpiuAAABAMARzBFAiEAtLhwBegO 6Hvo3lTzkb1OBW1pmI00QMalMyyp7a8l3DICICdx6IzPP8Q9Aj5nwHXr7TZId+ye pT2ApN87VE74fiT8MA0GCSqGSIb3DQEBCwUAA4IBAQBJZ0dI9Uq8WzRagYaRZI3p BelzOZ0ImRW3iipi/XBHFB3hXbEIMBvaPlzduZzYe70WRYJFkHTCdVWrUqhUuEv9 B0Q5ovW9KDcrDJVw7C9Y4UbpfDnq6NBxXXRr3azNUahCoYIVvTTNcfFiWXvhW2Ie Yw3v1dfH4pxdeZodBInaikJ1o2IAYWXQVRuX06ywcItFIcH9aUuvP8g0DEEe3xwf iIV3IJ+rUzEHLh/r+9CabSotT5TqwvYPLWnhBUD3YaD56VXGlipdZ7bQiH80CUXw WvmDH84qEJ+D7btxFBYl+OP7irl3cdcQNmYYJOQWyMOK0h+AhSEBx7qpDOC/Ew1b -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8 SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0 Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj /PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/ wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6 KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE-----
1.3、配置 SSL协议和加密方式
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5;
二、配置http2的操作:
2.1、在443 监听端口时,配置 http2 标签。
listen 443 http2 ssl;
2.2、提高加密的方式:【http 2 需要安全度高的加密方式】
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
三、具体配置文件:
server { # listen 80; listen [::]:443 ssl http2 ipv6only=on; listen 443 http2 ssl; server_name www.huaijiujia.com; ssl_certificate https_cert/huaijiujia_ca_chained.crt; ssl_certificate_key https_cert/huaijiujia_private.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # ssl_ciphers HIGH:!aNULL:!MD5; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; #charset koi8-r; #access_log /var/log/nginx/host.access.log main; root /var/www/www.huaijiujia.com; #wordpress local index index.php index.html index.htm; location / { # try_files $uri $uri/ =404; try_files $uri $uri/ /index.php?q=$uri&args; } location ~ \.php$ { try_files $uri =404; # fastcgi_pass 127.0.0.1:9000; # fastcgi_pass unix:/var/run/php-fpm/php-fcgi.sock; fastcgi_pass unix:/dev/shm/php-fcgi.sock; # put into memorey ,but get error , i give up,finally get ok https://blog.linuxeye.cn/364.html fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } }
四、其他问题
注意nginx开启了,https后,要记得 防火墙 开 443 端口的 tcp
firewall–cmd —permanent —add–port=443/tcpfirewall–cmd —reload
如果是源码编译安装nginx,可能没有安装ssl模块,需要重新 编译安装。
[楼主是用yum安装,和源码安装的目录位置 可能不同 ]
1.the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37 原因是nginx缺少http_ssl_module模块,编译安装时带上--with-http_ssl_module配置就可以了 2.如果已经安装过nginx,想要添加模块看下面 1)切换到nginx源码包 cd /usr/local/src/nginx-1.11.3 2)查看ngixn原有的模块 /usr/local/nginx/sbin/nginx -V 3)重新配置 ./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module 4)重新编译,不需要make install安装。否则会覆盖 make 5)备份原有已经安装好的nginx cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak 6)将刚刚编译好的nginx覆盖掉原来的nginx(ngixn必须停止) cp ./objs/nginx /usr/local/nginx/sbin/ 这时,会提示是否覆盖,请输入yes,直接回车默认不覆盖 7)启动nginx,查看nginx模块,发现已经添加 /usr/local/nginx/sbin/nginx -V
nginx配置文件-安全配置-静止ip访问服务器
1、listen 指令后面有一个参数default_server
,这个参数是在 0.8.21 版本以后才有的,而之前是default
指令。Nginx 的虚拟主机是通过HTTP请求中的Host值来找到对应的虚拟主机配置,如果找不到呢?那 Nginx 就会将请求送到指定了 default_server 的 节点来处理,如果没有指定为 default_server 的话,就跑到 localhost 的节点,如果没有 localhost 的节点,那只好 404 了。
2、server_name _;
这里指定的不是什么特别的名字,它只是一个无效的域名。从来不会匹配任何真实名字相匹配。
一、80端口访问时:
这里介绍修改配置文件nginx.conf两种方法: 1)在server段里插入如下正则: listen 80; server_name www.yuyangblog.net; if ($host != 'www.yuyangblog.net'){ return 403; } 2)添加一个server 新加的server(注意是新增,并不是在原有的server基础上修改) server { listen 80 default; server_name _; return 403; }
二、443端口访问时:
必须要提供 ssl证书,才能 正确执行 ip 屏蔽 操作。
server { listen 443 ssl default_server; ssl_certificate path_to_your_fullchain.cer; ssl_certificate_key paht_to_your_key; return 301 https://demo.com; #other return way #return 400; # ban ip access to https server ,return 444, 404 is also OK }
nginx配置文件-流量控制-端口转发与反向代理
一、端口转发
编辑主配置文件:/etc/nginx/nginx.conf
下面的配置是将 443 端口的所有流量,转发给 本机的 8443 端口。
stream { upstream simple-obfs-support { hash $remote_addr consistent; server 127.0.0.1:8443; # ip:port } server { listen 443; proxy_pass simple-obfs-support; } }
二、反向代理
大白话:就是将一台服务器的请求转发给后面多台服务器。
upstream backend { #① server backend1.example.com weight=5; server backend2.example.com:8080; server unix:/tmp/backend3; server backup1.example.com:8080 backup; server backup2.example.com:8080 backup; } server { location / { proxy_pass http://backend; #② } }
注意有①,和②行的写法。要引用backend模块,只需把它制定成http://backend
就行。
nginx配置文件-常用配置
一、找到Nginx安装目录
在centos下:可以用 rpm 查找
# 查看 nginx 是否已经安装 sh-4.2# rpm -qa | grep -i nginx nginx-1.12.2-1.el7_4.ngx.x86_64
# 查看 具体 软件名 的安装目录 sh-4.2# rpm -ql nginx-1.12.2-1.el7_4.ngx.x86_64 /etc/logrotate.d/nginx /etc/nginx /etc/nginx/conf.d /etc/nginx/conf.d/default.conf /etc/nginx/fastcgi_params /etc/nginx/koi-utf /etc/nginx/koi-win /etc/nginx/mime.types /etc/nginx/modules /etc/nginx/nginx.conf /etc/nginx/scgi_params /etc/nginx/uwsgi_params /etc/nginx/win-utf /etc/sysconfig/nginx /etc/sysconfig/nginx-debug /usr/lib/systemd/system/nginx-debug.service /usr/lib/systemd/system/nginx.service /usr/lib64/nginx /usr/lib64/nginx/modules /usr/libexec/initscripts/legacy-actions/nginx /usr/libexec/initscripts/legacy-actions/nginx/check-reload /usr/libexec/initscripts/legacy-actions/nginx/upgrade /usr/sbin/nginx /usr/sbin/nginx-debug /usr/share/doc/nginx-1.12.2 /usr/share/doc/nginx-1.12.2/COPYRIGHT /usr/share/man/man8/nginx.8.gz /usr/share/nginx /usr/share/nginx/html /usr/share/nginx/html/50x.html /usr/share/nginx/html/index.html /var/cache/nginx /var/log/nginx sh-4.2#
从 Nginx 安装目录可以知道,
nginx 系统配置文件:/etc/sysconfig/nginx
# Configuration file for the nginx service. NGINX=/usr/sbin/nginx CONFFILE=/etc/nginx/nginx.conf
所以nginx服务器的 配置文件是 /etc/nginx/nginx.conf
查看 此配置文件 发现 ,会加载 /etc/nginx/conf.d/default.conf
简单来说,/etc/nginx/nginx.conf 是主配置文件,会自动 加载 /etc/nginx/conf.d/文件夹下面的所有字配置文件
注意nginx的坑爹之处,nginx 在配置 服务器 名字时,可以是 ip地址,可以是 localhost,可以是 域名。
但是如果 一个 未配置 的 域名指向 该nginx 服务器时,nginx 在配置 文件中 找不到 该 域名的 配置文件,
于是 nginx 会 默认 选择 第一个 配置文件,作为 该域名的 nginx服务器 配置文件。
简单来说,nginx 的所有配置文件中 的server name 没有包括ip 访问的话,如果用 ip直接 访问服务器,
nginx就会 默认 选择 第一个 配置 文件,来进行解析。
二、Nginx基本参数配置
全局配置
我们分片段一点点的介绍默认的配置文件
#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid logs/nginx.pid; events { worker_connections 1024; }
这些是配置文件开始的默认行。通常的环境下,你不需要修改这些选项。这一部分有几个方面需要我们注意:
- 所有以#号开的行是注释,nginx不会解析。默认的配置文件有许多说明解释的注释块
- 指令是以一个变量名开头(例如,worker_processes或pid),然后包含一个参数(例如,1或 logs/nginx.pid)或者多个参数(例如,”logs/error.log notice”)
- 所有指令以分号结尾
- 某些指令,像上面的
events
可以包含多个子指令作为参数。这些子指令以花括号包围。 - 虽然nginx不解析空白符(例如tab,空格,和换行符),但是良好的缩进能提高你维护长期运行配置文件的效率。良好的缩进使配置文件读起来更流畅,能让你很容易明白配置的策略,即使几个月前。
下面我们继续读配置文件
http { include mime.types; default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" ' # '$status $body_bytes_sent "$http_referer" ' # '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on;
“http { }”块的开头像配置文件的开头一样都是标准配置不需要修改。这里我们需要把注意力放在这些元素上:
- 这部分内容的开始”include”语句包含/usr/loca/nginx/mime.types文件到nginx.conf文件include语句所在位置。include对ningx.conf文件的可读性和组织性很有用。
- 不能过多使用include,如果太多递归地include文件会产生混乱,所以需要合理有限制地使用include来保证配置文件的清晰和可管理。
- 你可以去掉log_format指令前的注释并修改这几行设置的变量为你想记录的信息。
- gzip指令告诉nginx使用gzip压缩的方式来降低带宽使用和加快传输速度。如果想使用gzip压缩,需要添加如下配置到配置文件的gzip位置。
gzip on; gzip_http_version 1.1; gzip_comp_level 2; gzip_types text/plain text/html text/css application/x-javascript text/xml application/xml application/xml+rss text/javascript;
使用gizp压缩并不是没有代价的。在降低带宽的同时也增加了CPU的使用。gzip_cop_level的参数取值范围1-9,9代表最用CPU和1代表最少用CPU,其默认值是1.
另外,请注意上面的片段 “http { ” 是http的前半部分,其余部分解下面继续,直到匹配的”}”。
虚拟机server配置
我们家是nginx.conf接下来的配置文件是这样
server { listen 80; server_name localhost; access_log logs/localhost.access.log main; location / { root html; index index.html index.htm; } } }
我们可以看到http{ }块到此结束。
server指令块,像上面例子中那个一样,是我们nginx用户主要配置自己虚拟主机的地方。在server块里有许多重要的指令。listen指令告诉nginx在一个特定的hostname,ip或者tcp端口监听连接。默认,http服务运行在80端口。一下这些listen指令都是有效的:
listen 127.0.0.1:80; listen localhost:80; listen 127.0.0.1:8080; listen localhost:8080; listen 192.168.3.105:80; listen 192.168.3.105:8080; listen 80; listen *:80; listen 8080; listen *:8080; listen 12.34.56.77:80; listen 12.34.56.78:80; listen 12.34.56.79:80;
在这些例子中,我们可以看到很多不同表达方式:
- 第一组2个指令指明服务器监听在127.0.0.1或localhost的80端口,localhost通常定义在/etc/hosts指向127.0.0.1
- 第二组除了端口号监听在8080而不是80外,与第一组相同。
- 第三组例子定义服务器监听在192.168.3.105的80和8080端口
- 第四组例子是在所有地址上监听特定的端口。listen 80与listen *:80相同,listen 8080与listen *:80相同。
- 最后一组例子设置服务器只监听在12.34.56.77/78/79的80端口上的请求。
server_name指令可以设置基于域名的虚拟主机,根据请求头部的内容,一个ip的服务器可以配置多个域名。下面这些server_name的参数是有效的:
server_name nginx.cn; server_name nginx.cn www.nginx.cn; server_name *.nginx.cn; server_name .nginx.cn; server_name nginx.*; server_name nginx.cng bucknell.net brackley.org; server_name localhost litchfield bleddington; server_name "";
多个域名之间以空格分隔。nginx允许一个虚拟主机有一个或多个名字,也可以使用通配符”*”来设置虚拟主机的名字。上面的例子我们看到了很多特殊的地方:
- 第一组例子,首先定义server_name为nginx.cn,那么来自http://nginx.cn的请求就会发到该主机上。第二个例子配置了nginx.cn和www.nginx.cn,那么http://nginx.cn和http://www.nginx.cn的请求会发到这个主机上。
- *.nginx.cn和.nginx.cn是等同的配置,设置该主机处理所有来自nginx.cn的子域名,比如www.nginx.cn,blog.nginx.cn等
- 第二组server_name配置nginx.*,配置服务器处理所有以nginx.开头的请求。例如,nginx.com,nginx.cn,nginx.net,nginx.baidu.com
- 接下来一组第一个server_name配置,设置主机处理来自三个域名的请求。nginx允许设置不是有效域名的名字。比如接下来这个配置我们可以看到三个不是有效域名的例子,localhost,litchfiled和bledington。nginx只查找请求的HTTP头中的域名但并不判断域名是否有效,这个例子中这些主机名可以配制在/etc/hosts中。当你在本机调试时使用非域名的主机名有时候更适合些。
- 最后一组例子,server_name设置为空的双引号,它告诉nginx捕捉所有没有hostname的请求,或者hostname没有在其它server_name中指定的。
我们继续分析接下来的server指令块,看看access_log指令。
access_log logs/nginx.access.log; access_log /srv/http/ducklington.org/logs/access.log; access_log /var/log/nginx/access/ducklington.org; access_log off;
第一个例子,日志使用相对路径,log文件放在与配置文件同级的目录中,也就是日志存储在/usr/local/nginx/logs/nginx.access.log;接下来的两个例子定义了完整的绝对路径;最后一个例子是关闭access log,不会记录访问日志到文件。
server块的最后部分是location指令块,对于client的不同请求目标,location是用来配置服务器的不同响应。
就像server_name指令配置nginx处理请求使用包含在请求中的信息一样,location指令配置如何响应不同位置资源的请求。例如:
location / { } location /images/ { } location /blog/ { } location /planet/ { } location /planet/blog/ { } location ~ IndexPage.php$ { } location ~ ^/BlogPlanet(/|/index.php)$ { } location ~* .(pl|cgi|perl|prl)$ { } location ~* .(md|mdwn|txt|mkdn)$ { } location ^~ /images/IndexPage/ { } location ^~ /blog/BlogPlanet/ { } location = / { }
前五个例子是按字面逐字匹配,匹配请求url域名后面开始的部分。假设一个请求http://www.nginx.cn,我们假设server_name已经匹配www.nginx.cn,那么”location /”指令将捕获这个请求。nginx使用匹配度最高的location。比如http://ducklington.org/planet/blog/和http://ducklington.org/planet/blog/about/会匹配”location /planet/blog”,而不是”location /planet/”
location配置
对于特定的请求,一旦nginx匹配一个location来处理。那么这个请求的响应内容就会由这个location块中的指令决定。我们先来看一个最基本的locaiton配置块。
location / { root html; index index.html index.htm; }
在这个例子中文档根(doucument root)位于html/目录。根据nginx的安装目录/usr/local/nginx,这个location的完整路径是/usr/local/nginx/html。假设一个请求访问位于/blog/includes/styles.css文件同时没有别的location块匹配,那么nginx会用位于文件系统的/usr/local/nginx/html/blog/includes/styles.css响应。当然你也可以用绝对路径设置root指令。
index指令会告诉nginx使用哪个资源如果请求中没有文件名。因此,如果请求http://.ducklington.org/将会补全资源位置为/usr/local/nginx/html/index.html。如果index配置了多个文件,nginx会按顺序处理直到找到第一个存在的补全资源。如果index.html在相关目录中没有,那么将使用index.htm。如果两个都不存在,会返回404错误。
让我们看另外一个location指令的例子,这些location指令都在ducklington.org的server指令块里。
root /srv/www/ducklington.org/public_html; location / { index index.html index.htm; } location ~ .php$ { gzip off; include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; }
在这个例子中,所有以.php结尾的请求都被第二个location块处理。第二个语句块对所有请求指定了一个fastcgi句柄。其它的请求,nginx会使用第一个location块来处理。
请求http://ducklington.org/将会返回/srv/www/ducklington.org/public_html/index.html如果存在的话,如果不存在这返回/srv/www/ducklington.org/public_html/index.htm,如果两个都不存在则返回404错误。
请求 http://ducklington.org/blog/将会返回/srv/www/ducklington.org/public_html/blog/index.html如果存在的话,如果不存在则返回/srv/www/ducklington.org/public_html/blog/index.htm,如果两个都不存在则返回404错误。
请求http://ducklington.org/tasks.php将会被发给fastcgi去执行位于/srv/www/ducklington.org/public_html/tasks.php的文件
请求 http://ducklington.org/squire/roster.php也将使用fastcgi句柄执行位于 /srv/www/ducklington.org/public_html/squire/roster.pl的文件,并返回结果。
具体的location匹配规则这就不说了,不明白的可以看这里nginx location匹配
最佳实践
上面这些例子和解释应该足够让你能够配置自己的nginx server了。下面列出配置nginx server最佳实践。
首先,把具体某一个要配置的server指令块的所有指令放在一个文件中,然后使用include语句把它包含到配置文件中。
例如绑定ducklington.org域名,首先把ducklington.org的 server指令块配置放在/srv/www/ducklington.org/nginx.conf。然后增加指令include /srv/www/ducklington.org/nginx.conf;到配置文件的http块中。像这样:
http { # [...] include /srv/www/ducklington.org/nginx.conf; # [...] }
三、Nginx配置php环境
无需修改主配置文件,只需新建一个域名配置文件。示例如下
[root@testdb ~]# cat /etc/nginx/conf.d/www.example.net.conf server { listen 80; server_name example.net , www.example.net; #charset koi8-r; #access_log /var/log/nginx/host.access.log main; root /var/www/www.example.net; #wordpress location index index.php index.html index.htm; location / { # try_files $uri $uri/ =404; try_files $uri $uri/ /index.php?q=$uri&args; } error_page 404 /404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } # proxy the PHP scripts to Apache listening on 127.0.0.1:80 # #location ~ \.php$ { # proxy_pass http://127.0.0.1; #} # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 # location ~ \.php$ { try_files $uri =404; fastcgi_pass 127.0.0.1:9000; # fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } # deny access to .htaccess files, if Apache's document root # concurs with nginx's one # #location ~ /\.ht { # deny all; #} location ~ ^/\.user\.ini { deny all; } } [root@testdb ~]#
部分内容转载自:http://www.nginx.cn/591.html
nginx安装配置-在centos7上
一、Nginx 简介
Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。其特点是占有内存少,并发能力强。
二、配置Nginx 源
Official Red Hat/CentOS packages
To add NGINX yum repository, create a file named /etc/yum.repos.d/nginx.repo
and paste one of the configurations below:
CentOS:
[nginx]
name=nginx repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=0
enabled=1
RHEL:
[nginx] name=nginx repo baseurl=http://nginx.org/packages/rhel/$releasever/$basearch/ gpgcheck=0 enabled=1
Due to differences between how CentOS, RHEL, and Scientific Linux populate the $releasever
variable, it is necessary to manually replace $releasever
with either 5
(for 5.x) or 6
(for 6.x), depending upon your OS version.
三、centos7 安装 Nginx
1、利用 yum 进行安装
yum install nginx
2、利用命令行 进行编译安装 make install 待补充。。。
四、运行Nginx
#直接运行命令即可 nginx
五、Nginx使用帮助
# 运行帮助 命令即可 nginx -h nginx version: nginx/1.12.2 Usage: nginx [-?hvVtTq] [-s signal] [-c filename] [-p prefix] [-g directives] Options: -?,-h : this help -v : show version and exit -V : show version and configure options then exit -t : test configuration and exit -T : test configuration, dump it and exit -q : suppress non-error messages during configuration testing -s signal : send signal to a master process: stop, quit, reopen, reload -p prefix : set prefix path (default: /etc/nginx/) -c filename : set configuration file (default: /etc/nginx/nginx.conf) -g directives : set global directives out of configuration file
直接输入 nginx 就可以启动 nginx 了或者 如下命令
#启动 nginx 服务 systemctl start nginx; systemctl start nginx.service #设置开机启动 systemctl enable nginx; systemctl enable  nginx.service #取消开启启动  systemctl disable nginx #查看状态 systemctl status nginx.service #停止运行 systemctl stop nginx.service