后端必备 Nginx 配置

概要

  • 防盗链
  • 根据文件类型设置过期时间
  • 静态资源访问
  • 日志配置
    • 日志字段说明
    • access_log 访问日志
    • error_log 日志
    • 日志切割
  • 反向代理
  • 禁止指定user_agent
  • nginx访问控制
  • 负载均衡

防盗链

location ~* \.(gif|jpg|png)$ {

    # 只允许 192.168.0.1 请求资源

    valid_referers none blocked 192.168.0.1;

    if ($invalid_referer) {

       rewrite ^/ http://$host/logo.png;

    }

}

根据文件类型设置过期时间

location ~.*\.css$ {

    expires 1d;

    break;

}

location ~.*\.js$ {

    expires 1d;

    break;

}

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {

    access_log off;

    expires 15d;    #保存15天

    break;

}

# curl -x127.0.0.1:80 http://www.test.com/static/image/common/logo.png -I #测试图片的max-age

 

静态资源访问

http {

    # 这个将为打开文件指定缓存,默认是没有启用的,max 指定缓存数量,

    # 建议和打开文件数一致,inactive 是指经过多长时间文件没被请求后删除缓存。

    open_file_cache max=204800 inactive=20s;

    # open_file_cache 指令中的inactive 参数时间内文件的最少使用次数,

    # 如果超过这个数字,文件描述符一直是在缓存中打开的,如上例,如果有一个

    # 文件在inactive 时间内一次没被使用,它将被移除。

    open_file_cache_min_uses 1;

    # 这个是指多长时间检查一次缓存的有效信息

    open_file_cache_valid 30s;

    # 默认情况下,Nginx的gzip压缩是关闭的, gzip压缩功能就是可以让你节省不

    # 少带宽,但是会增加服务器CPU的开销哦,Nginx默认只对text/html进行压缩 ,

    # 如果要对html之外的内容进行压缩传输,我们需要手动来设置。

    gzip on;

    gzip_min_length 1k;

    gzip_buffers 4 16k;

    gzip_http_version 1.0;

    gzip_comp_level 2;

    gzip_types text/plain application/x-javascript text/css application/xml;

    server {

        listen       80;

        server_name www.test.com;

        charset utf-8;

        root   /data/www.test.com;

        index  index.html index.htm;

    }

}

日志配置

日志字段说明

字段 说明  
remote_addr 和 http_x_forwarded_for 客户端 IP 地址
remote_user 客户端用户名称
request 请求的 URI 和 HTTP 协议
status 请求状态
body_bytes_sent 返回给客户端的字节数,不包括响应头的大小
bytes_sent 返回给客户端总字节数
connection 连接的序列号
connection_requests 当前同一个 TCP 连接的的请求数量
msec 日志写入时间。单位为秒,精度是毫秒
pipe 如果请求是通过HTTP流水线(pipelined)发送,pipe值为“p”,否则为“.”
http_referer 记录从哪个页面链接访问过来的
http_user_agent 记录客户端浏览器相关信息
request_length 请求的长度(包括请求行,请求头和请求正文)
time_iso8601 ISO8601标准格式下的本地时间
time_local 记录访问时间与时区

access_log 访问日志

http {

    log_format  access  '$remote_addr - $remote_user [$time_local] $host "$request" '

                  '$status $body_bytes_sent "$http_referer" '

                  '"$http_user_agent" "$http_x_forwarded_for" "$clientip"';

    access_log  /srv/log/nginx/talk-fun.access.log  access;

}复制代码

error_log 日志

error_log  /srv/log/nginx/nginx_error.log  error;

# error_log /dev/null; # 真正的关闭错误日志

http {

    # ...

}

日志切割

# 和apache不同的是,nginx没有apache一样的工具做切割,需要编写脚本实现。# 在/usr/local/sbin下写脚本



#!/bin/bash

dd=$(date -d '-1 day' +%F)[ -d /tmp/nginx_log ] || mkdir /tmp/nginx_log

mv /tmp/nginx_access.log /tmp/nginx_log/$dd.log

/etc/init.d/nginx reload > /dev/null

反向代理

http {

    include mime.types;

    server_tokens off;

    ## 配置反向代理的参数

    server {

        listen    8080;

        ## 1. 用户访问 http://ip:port,则反向代理到 https://github.com

        location / {

            proxy_pass  https://github.com;

            proxy_redirect     off;

            proxy_set_header   Host             $host;

            proxy_set_header   X-Real-IP        $remote_addr;

            proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

        }

        ## 2.用户访问 http://ip:port/README.md,则反向代理到

        ##   https://github.com/zibinli/blog/blob/master/README.md

        location /README.md {

            proxy_set_header  X-Real-IP  $remote_addr;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            proxy_pass https://github.com/zibinli/blog/blob/master/README.md;

        }

    }

}

禁止指定user_agent

#虚拟主机的配置文件里加入:

if ($http_user_agent ~* 'baidu|360|sohu') #禁止useragent为baidu、360和sohu,~*表示不区分大小写匹配

{

   return 403;

}

location /  和  location  ~ /  优先级是不一样的。

结合这个文章研究一下吧 http://blog.itpub.net/27181165/viewspace-777202/

curl -A "baidu" -x127.0.0.1:80 www.test.com/forum.php -I    该命令指定百度为user_agent,返回403

nginx访问控制

# 可以设置一些配置禁止一些ip的访问

deny 127.0.0.1;     #全局定义限制,location里的是局部定义的。如果两者冲突,以location这种精确地优先,

location ~ .*admin\.php$ {

    #auth_basic "cct auth";

    #auth_basic_user_file /usr/local/nginx/conf/.htpasswd;

    allow 127.0.0.1;  只允许127.0.0.1的访问,其他均拒绝

    deny all;

    include fastcgi_params;

    fastcgi_pass unix:/tmp/www.sock;

    fastcgi_index index.php;

    fastcgi_param SCRIPT_FILENAME /data/www$fastcgi_script_name;

}

负载均衡

 
http {

    upstream test.net {

        ip_hash;

        server 192.168.10.13:80;

        server 192.168.10.14:80  down;

        server 192.168.10.15:8009  max_fails=3  fail_timeout=20s;

        server 192.168.10.16:8080;

    }

    server {

        location / {

            proxy_pass  http://test.net;

        }

    }

}

后端必备 Nginx 配置的更多相关文章

  1. 前端必备 Nginx 配置

    Nginx (engine x) 是一个轻量级高性能的HTTP和反向代理服务器,同时也是一个通用 代理服务器 (TCP/UDP/IMAP/POP3/SMTP),最初由俄罗斯人Igor Sysoev编写 ...

  2. Vue 应用 nginx 配置 前后端不分离模式

    一.先在官网下载nginx 软件,解压后放在软件盘中如D盘 将nginx 文件夹拖到编译器中,打开conf 文件夹中的 nginx.conf 文件,找到其中的server {} 配置项,默认35 行. ...

  3. nginx配置跨域之后前后端调用,二次请求

    公司项目从前后端不分离转到前后端分离 首先遇到的问题就是前后端分离的时候跨域的问题 但是当跨域成功配置并且能访问成功的时候发现 每次客户端的请求都会发送两次 第一次是OPTIONS的请求,然后才是正常 ...

  4. 前后端分离项目 nginx配置实践

    新项目采用前后端分离的方式开发,前后端代码打算分开部署(同机器且同域名),但打算支持后端依然可访问静态资源. 搜索nginx配置大部分都通过url前缀进行转发来做前后端分离,不适用目前项目. 说明 前 ...

  5. 项目测试环境自动化部署[jenkins前后端配置、Nginx配置]

    持续部署:关注点在于项目功能部署到服务器后可以正常运行,为下一步测试环节或最终用户正式使用做准备.(问题点:一个环节有问题,其他环节跟着有问题) 持续集成:关注点是在于尽早发现项目整体运行问题,尽早解 ...

  6. 在nginx配置将请求转发到某个真实后端服务ip

    一.打开nginx机器的nginx配置文件 命令: locate nginx.conf 会列出所有nginx.conf文件的地址, 一般咱们要用的nginx配置文件是/usr/local/nginx/ ...

  7. 前后端分离 vue的nginx配置

    nginx配置vue 有全静态化  与 vue自己的应用端口 两种方式 以下是nginx跳转到vue自己的端口 https://www.jianshu.com/p/b7bd0d352db7 以下是全静 ...

  8. Nginx配置配置文件详解

    文章目录 配置文件 nginx.conf配置文件详解 用于调试.定位问题的配置参数 正常运行必备的配置参数 优化性能的配置参数 事件相关配置 Fastcgi相关配置参数 常需要调整的参数 nginx作 ...

  9. Nginx配置参数说明

    一.主配置段1.正常运行必备的配置#运行用户和组,组身份可以省略user nginx nginx; #指定nginx守护进程的pid文件pid path/to/nginx.pid; #指定所有work ...

随机推荐

  1. AQS系列(二)- ReentrantLock的释放锁

    前言 在AQS系列(一)中我们一起看了ReentrantLock加锁的过程,今天我们看释放锁,看看老Lea那冷峻的思维是如何在代码中笔走龙蛇的. 正文 追踪unlock方法: public void ...

  2. 使用Python进行防病毒免杀

    很多渗透工具都提供了权限维持的能力,如Metasploit.Empire和Cobalt Strike,但是都会被防病毒软件检测到这种恶意行为.在探讨一个权限维持技巧的时候,似乎越来越多的人关注的是,这 ...

  3. iOS 日志获取和实时浏览器显示日志

    https://juejin.im/entry/576252855bbb500063e51c7d iOS 日志获取和实时浏览器显示日志

  4. Java修炼——文件夹的复制

    文件夹的复制用到了俩个流:缓冲流和文件字节流 缓冲流用来加快写入和读取速度. 在这里我简述一下复制文件夹的过程,当然复制文件夹都可以,复制文件更是不在话下 1.首先要明确俩点.要复制的文件夹的位置(源 ...

  5. [TimLinux] django 下载功能中文文件名问题

    from django.utils.encoding import escape_uri_pathfrom django.http import HttpResponse def download(r ...

  6. Linux基础 - Crontab定时任务

    目录 设置Cron任务 创建任务 设置运行周期 配置命令 常见问题 如何列出所有的Cron任务 如何查看Cron任务运行log 如何配置带有虚拟venv的Python脚本 如何在Cron 任务中发送邮 ...

  7. 基于iCamera测试宽动态全局摄像头mt9v034或mt9v032小结

    基于iCamera测试宽动态全局摄像头mt9v034或mt9v032小结 先看看硬件特点 主要是:全局快门.宽动态 然后看看硬件测试,usb采集出图 再看看寄存器配置 主要测试,可以修改分辨率,修改曝 ...

  8. 更新Preloader与uboot

    1.用bsp-editor 产生Preloader 参考https://rocketboards.org/foswiki/Documentation/AVGSRD160Preloader 根据QSYS ...

  9. ELK输出nginx的日志(未完成)

    我们先准备3台centos7服务器 171 做 elasticsearch,kibana的操作 172 做logstash 的操作 173 做nginx 的操作 软件 版本号 elasticsearc ...

  10. php与Redis实现一个100万用户的投票项目,如何实现实时查看投票情况?

    好了,什么是冷热数据交换呢? 很土的解释一下,冷数据就是之前使用的数据,有种过去式的感觉,而热数据就是当前的数据,理解为现在进行时吧.如何交换呢?就是将Redis的数据周期存储到mysql中! 整体的 ...