一、环境说明

序号	操作系统（版本号）	基础软件（版本号）
001	CentOS/RedHat/Oracle Linux 6/7 x86_64	nginx 1.8.0

Nginx服务器实现如下场景和需求：

(1) 作为http协议静态资源服务器，支持SSL加密。

(2) 作为http协议反向代理服务器，支持ssl加密。

(3) 作为http/https正向代理服务器。

(4) TCP协议反向代理转发。

(5) UDP协议反向代理转发。

以上场景可在某一台web服务器同时实现，也可按功能划分分别实现。

二、软件安装

Nginx根据功能需求，可在编译时自行添加和定制官方模块、第三方模块，可以应用最新的安全补丁，可以禁用不使用的模块。

2.1 版本和依赖库

截止2020年8月20日，nginx官方发布的稳定版本最新为1.18.0。Nginx的一些模块需要依赖一些常用的工具库。依赖库原则上要做到独立于操作系统，与 NGINX 编译版本一同打包发布，以便于及时更新和重新编译。以下三个库为必要组件所需库，已将相应版本放置到nginx源码中的src目录中，以便随时编译使用。

• PCRE 支持正则表达式语法。用于 NGINX Core 、Rewrite 模块。
• zlib 支持头部压缩。用于 NGINX Gzip 模块。
• OpenSSL 支持 HTTPS 协议。用于 NGINX SSL 和其它模块。

2.2 安装模块选择

Nginx 源码下载网页：http://nginx.org/download/。模块选择的基本原则：以满足生产配置需要的最小集合为准。在最小集合的基础上可以定制化模块、添加第三方模块、满足特殊系统需求的模块等等。

模块最小集合列表如下（以勾选为准）：

[x] http_access_module	[ ] http_auth_basic_module	[ ] http_autoindex_module
[x] http_browser_module	[x] http_charset_module	[ ] http_empty_gif_module
[ ] http_fastcgi_module	[x] http_geo_module	[x] http_gzip_module
[x] http_limit_conn_module	[x] http_limit_req_module address.	[x] http_map_module
[ ] http_memcached_module	[x] http_proxy_module	[x] http_referer_module
[x] http_rewrite_module	[ ] http_scgi_module	[ ] http_ssi_module
[ ] http_split_clients_module	[x] http_upstream_hash_module	[x] http_upstream_ip_hash_module
[x] http_upstream_keepalive_module	[x] http_upstream_least_conn_module	[x] http_upstream_zone_module
[x] http_userid_module	[ ] http_uwsgi_module	[x] http_gzip_static_module
[x] http_mp4_module	[x] http_realip_module	[x] http_ssl_module
[x] http_sub_module	[ ] http_v2_module	[x] stream
[x] stream_ssl_module	[x] stream_realip_module	[ ] stream_geoip_module
[x] http_secure_link_module	[x] http_slice_module	[X] threads
[x] ngx_http_proxy_connect_module	[x] nginx_upstream_check_module

构建到 Nginx 开放源码中的大多数模块都是静态链接的: 它们在编译时构建到 Nginx 开放源码中，并静态地链接到 Nginx 二进制文件。
其中：

• 正向代理模块ngx_http_proxy_connect_module的源码下载网页为https://github.com/chobits/ngx_http_proxy_connect_module。
• 健康检查模块nginx_upstream_check_module的源码下载网页为https://github.com/yaoweibin/nginx_upstream_check_module。
• 会话保持模块nginx-sticky-module-ng目录为： https://bitbucket.org/nginx-goodies/nginx-sticky-module-ng/src/master/。
• 日志过滤模块ngx_log_if下载链接为：https://github.com/cfsego/ngx_log_if。

将四个模块的源码目录放入nginx源码文件夹src下（已存在于nginx-1.18.0.src.tar.gz中）。

源码结构如下：

[root@ks-allinone src]# tree -L 1 .
.
├── core
├── event
├── http
├── mail
├── misc
├── nginx-sticky-module-ng
├── nginx_upstream_check_module
├── ngx_http_proxy_connect_module
├── ngx_log_if
├── openssl-1.1.1g
├── os
├── pcre-8.44
├── stream
└── zlib-1.2.11

如果需要将模块添加到二进制文件中，需要重新构建 Nginx，并加上如下列的配置选项：

$./configure ... --add-module=/usr/build/nginx-rtmp-module

2.3 安装目录说明

安装目录根：/usr/local/nginx ，也就是配置参数 --prefix 指定的目录，也是 Nginx 的推荐默认目录。该目录中要包含几个子目录：

注意： 该目录是 root 权限，可以根据需要授权给应用用户。

子目录	说明
$PREFIX/logs	日志存储目录，存放 访问日志、错误日志、nginx.pid
$PREFIX/sbin	程序文件目录，存放执行程序 nginx
$PREFIX/conf	配置文件目录，存放配置文件，例如：nginx.conf

2.4 配置模块选项

构建和编译的目录结构：

nginx-x.y.z: Nginx 源文件目录。

nginx-x.y.z/src：Nginx 源代码目录，其子目录中包含库源代码目录和模块源代码目录。

cd nginx-1.18.0/

如要安装正向代理和健康检查模块，需要单独打入专有的补丁。命令如下：

  patch -p1 < src/ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_1018.patchpatch -p1 < src/nginx_upstream_check_module/check_1.16.1+.patch

./configure --prefix="/usr/local/nginx" --user=nobody--group=nobody --with-pcre="src/pcre-8.44" --with-zlib="src/zlib-1.2.11" --with-openssl="src/openssl-1.1.1g" --without-http_autoindex_module --without-http_auth_basic_module --without-http_empty_gif_module --without-http_fastcgi_module --without-http_geo_module --without-http_memcached_module --without-http_scgi_module --without-http_ssi_module --without-http_split_clients_module --without-http_uwsgi_module --without-http_upstream_zone_module --with-http_gzip_static_module --with-http_mp4_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-stream_realip_module --with-threads --add-module=src/ngx_http_proxy_connect_module/ --add-module=src/nginx_upstream_check_module/ --add-module=src/ngx_log_if --add-module=src/nginx-sticky-module-ng

2.5 编译构建打包

编译环境和支持操作系统：CentOS/RedHat/Oracle Linux 6/7 x86_64

执行

make & make install
cd /usr/local/nginx #查看nginx

三、配置规范

3.1 主配置文件说明

Nginx各模块中考虑推荐配置，详细配置如下：

nginx.conf

#定义Nginx运行的用户和用户组
user nobody nobody;#nginx进程数，建议设置为等于CPU总核心数。
worker_processes 1;  #全局错误日志定义类型，[ debug | info | notice | warn | error | crit ]
error_log  /var/log/nginx/error.log;  #进程文件
pid /usr/local/nginx/logs/nginx.pid;#一个nginx进程打开的最多文件描述符数目，理论值应该是最多打开文件数（系统的值ulimit -n）与nginx进程数相除，但是nginx分配请求并不均匀，所以建议与ulimit -n的值保持一致。
worker_rlimit_nofile  51200;events {    #参考事件模型，use [ kqueue | rtsig |  epoll | /dev/poll | select | poll ]; epoll模型是Linux 2.6以上版本内核中的高性能网络I/O模型,linux2.6以上内核开启，提高Nginx性能，如果跑在FreeBSD上面，就用kqueue模型。use epoll;    #单个进程最大连接数（最大连接数=连接数*进程数）worker_connections 51200; multi_accept on;
}    include http.conf
include stream.conf

3.3 http服务器配置说明

http.conf

http {#文件扩展名与文件类型映射表include /usr/local/nginx/conf/mime.types;#默认文件类型default_type application/octet-stream;#默认编码charset utf-8;#隐藏版本号server_tokens off; #输出到本地目录log_format main'$remote_addr - $remote_user [$time_local]"$request"''$status$body_bytes_sent "$http_referer"''"$http_user_agent" "$http_x_forwarded_for"';access_log /var/log/nginx/access.log main;#日志块（输出到web日志分析系统）#log_format ccb-combined '\'$proxy_add_x_forwarded_for\'$remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" $request_time $hostname';#access_log syslog:server=10.214.170.17:514,facility=local4,tag=C_AMP_CP_CP_APQD,severity=info ccb-combined;#开启高效文件传输模式，sendfile指令指定nginx是否调用sendfile函数来输出文件，对于普通应用设为 on，如果用来进行下载等应用磁盘IO重负载应用，可设置为off，以平衡磁盘与网络I/O处理速度，降低系统的负载。注意：如果图片显示不正常把这个改成off。sendfile on;#长连接超时时间，单位是秒keepalive_timeout 120;#防止网络阻塞tcp_nopush on;#防止网络阻塞tcp_nodelay on;#允许客户端请求的最大单文件字节数client_max_body_size 60m;#缓冲区代理缓冲用户端请求的最大字节数client_body_buffer_size 128k;types_hash_max_size 2048;client_header_buffer_size 32k;large_client_header_buffers 4 32K;#开启gzip压缩输出gzip on;#允许压缩的页面的最小字节数,页面字节数从header偷得content-length中获取.默认是0,不管页面多大都进行压缩.建议设置成大于1k的字节数,小于1k可能会越压越大gzip_min_length 1k;#表示申请4个单位为16k的内存作为压缩结果流缓存,默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果gzip_buffers 4 16k;#压缩版本（默认1.1,目前大部分浏览器已经支持gzip解压.前端如果是squid2.5请使用1.0）gzip_http_version 1.1;#压缩等级.1压缩比最小,处理速度快.9压缩比最大,比较消耗cpu资源,处理速度最慢,但是因为压缩比最大,所以包最小,传输速度快gzip_comp_level 4;#压缩类型,默认就已经包含text/html,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn.gzip_types text/plain application/javascript application/x-javascript text/javascript text/xml text/css image/gif image/png image/jpg;#选项可以让前端的缓存服务器缓存经过gzip压缩的页面.例如:用squid缓存经过nginx压缩的数据gzip_vary on;#引入http服务器include http-server.conf#引入正向代理模块include forward-proxy.conf
}

http-server.conf

#weight 默认为1.weight越大，负载的权重就越大    upstream myserver {        server 192.168.24.200:8080 weight=2;        server 192.168.24.205:8080 weight=2;        #健康检查插件。 检查的协议为 http，每隔3秒检测一次， 请求3次正常则标记 realserver 状态为 up        #如果检测 5 次都失败， 则标记 realserver 状态为 down,  超时时间为1秒        check interval=3000 rise=3 fall=5 timeout=1000;        #check_http_send "HEAD / HTTP/1.0\r\n\r\n";        #check_http_expect_alive http_2xx http_3xx;    }    #静态页面和反向代理    server {        listen 80;                # 域名或IP可以有多个,用空格隔开        server_name 127.0.0.1;                     #负载均衡上的健康检查采用HEAD请求，可排除日志打印      access_log_bypass_if ($request_method = HEAD);        #限定http请求方法只能是GET\POST\HEAD        if ($request_method !~* GET|POST|HEAD) {        return 403;        }        #处理静态文件请求        location ^~ /static/ {            #只要用户在浏览器中访问的域名绑定了 VIP VIP 下面有RS；则就用$host ；host是访问URL中的域名和端口 www.taobao.com:80            proxy_set_header Host $host;            #把源IP 【$remote_addr,建立HTTP连接header里面的信息】赋值给X-Real-IP;这样在代码中 $X-Real-IP来获取 源IP            proxy_set_header X-Real-IP $remote_addr;            #在nginx作为代理服务器时，设置的IP列表，会把经过的机器ip，代理机器ip都记录下来            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;            alias /home/ap/cloudapp/webroot/static/;            index index.html index.htm;        }        location ~* \.(gif|jpg|jpeg|png|css|js|ico)$ {            alias /home/ap/cloudapp/webroot/resource/;        }        # 转发请求错误页面到特定的特定静态网页        error_page 403 404 /40x.html;        location = /40x.html {            alias /usr/local/nginx/html;        }        # 转发错误页面到特定的特定静态网页        error_page 500 502 503 504 /50x.html;        location = /50x.html {            alias /usr/local/nginx/html;        }        #禁用隐藏文件        location ~ /\. {            deny all;        }        #也可以通过请求的参数来指定格式，假设‘/nsstatus’是你状态页面的URL，format参数改变页面的格式/nsstatus?format=json        location /nsstatus {            check_status;            access_log off;            allow 127.0.0.1;            deny all;        }        #对 "/" 启用反向代理        location / {            proxy_pass http://myserver;            #proxy_redirect off;            #proxy_redirect ~^http://([^:]+)(:\d+)?(.*)$ https://$1$3;            proxy_set_header X-Real-IP $remote_addr;            proxy_set_header Cookie $http_cookie;            proxy_pass_header Set-Cookie;            add_header Response-IP $upstream_addr;            add_header Response-Status $upstream_status;            #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;            proxy_set_header Host $host;            #以下是一些反向代理的配置，可选。           #nginx跟后端服务器连接超时时间(代理连接超时)            proxy_connect_timeout 90s;            #后端服务器数据回传时间(代理发送超时)            proxy_send_timeout 90s;            #连接成功后，后端服务器响应时间(代理接收超时)            proxy_read_timeout 90s;            #设置代理服务器（nginx）保存用户头信息的缓冲区大小            proxy_buffer_size 4k;            #proxy_buffers缓冲区，网页平均在32k以下的设置            proxy_buffers 4 32k;            #高负荷下缓冲大小（proxy_buffers*2）            proxy_busy_buffers_size 64k;            #设定缓存文件夹大小，大于这个值，将从upstream服务器传            proxy_temp_file_write_size 64k;        }    }

3.4 正向代理配置说明

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ldek7QeF-1626919064944)(C:\Users\mi\AppData\Roaming\Typora\typora-user-images\image-20210224095331114.png)]

3.4.1 服务器配置说明

forward-proxy.conf

  #正向代理模块    server {        listen 3188;        # 建行云dns服务器        #resolver 183.60.83.19 ipv6=off;        resolver 114.114.114.114 ipv6=off;        # 正向代理使用了connect请求的请求配置        proxy_connect;        # 出访的服务端口需要补充        proxy_connect_allow 80 443 563;        proxy_connect_connect_timeout 60s;        proxy_connect_read_timeout 60s;        proxy_connect_send_timeout 60s;        # 非Connect请求的配置        location / {            proxy_pass http://$http_host;            proxy_set_header Host $host;            proxy_connect_timeout 60s;            proxy_read_timeout 60s;            proxy_send_timeout 60s;        }    }

3.4.2 客户端配置说明

方法一：设置java的启动参数,在启动java时增加环境变量参数。

java –jar xxx.war -Dhttp.proxyHost=ip -Dhttp.proxyPort=port -Dhttps.proxyHost=ip -Dhttps.proxyPort=port -Dhttp.nonProxyHosts="localhost"

方法二：在java代码初始化时设置环境变量：

System.setProperty("http.proxyHost", "代理ip");System.setProperty("http.proxyPort", "3128");System.setProperty("https.proxyHost", "代理ip");System.setProperty("https.proxyPort", "3128");

方法三：在java代码中设置使用代理：

URL url = new URL("https://某网址");Proxy proxy = new Proxy(Proxy.Type.DIRECT.HTTP, new InetSocketAddress("代理ip",port));  HttpURLConnection conn = (HttpURLConnection) url.openConnection(proxy);

3.5 TCP/UDP流服务器配置说明

stream.conf

#4层网络流量转发配置stream {    upstream socket_proxy {        server 192.168.1.100:9000 ;        server 192.168.1.101:9000 ;    }    server {        #根据协议选择tcp或udp,默认tcp        listen 9001;        proxy_connect_timeout 5s;        proxy_timeout 60m;        proxy_pass socket_proxy;    }}

四、安装规范

1、将安装介质上传至/usr/local/下，root用户使用tar –xzvf nginx-1.18.0_el7_x86_64.tar.gz解压缩，并根据需要修改/usr/local/nginx/conf下配置文件。其中nginx日志（包括error_log和access_log）要求一致输出到/var/log/nginx/下，请参考示例配置。

2、使用root用户按照如下脚本，初始化运行环境。

chmod -R 755 /usr/local/nginx chmod u+s /usr/local/nginx/sbin/nginx #关键步骤，可允许非root启动nginxmkdir /var/log/nginx/ chmod 777 /var/log/nginx/

4.4 如何启动

使用应用用户登录操作系统后，执行

/usr/local/nginx/nginx –c /usr/local/nginx/conf/nginx.conf

五、日志归档

为保证操作系统内文件系统被nginx日志输出占满，现要求nginx日志输出按日期分割，并定期清理。 操作系统内部默认安装了logrotate日志管理工具，在/etc/logrotate.d/下vi nginx,并输入如下内容并保存。logrotate将每日切割一个日志文件，压缩和定期清理。

/var/log/nginx/*log {    su root cloudapp    create 0666 root cloudapp       daily       rotate 5    dateext missingok       notifempty      compress    sharedscripts       postrotate              /bin/kill -USR1 `cat /usr/local/nginx/logs/nginx.pid 2>/dev/null` 2>/dev/null || true       endscript}

测试：logrotate –f /etc/logrotate.d/nginx #查看是否截取出现

注意：脚本中的cat /usr/local/nginx/logs/nginx.pid这一段如果按照第四章标准模式安装，此路径pid正确，如果自行其他形式安装，请根据情况修改。

六、常见安全问题

6.1 Nginx目录及文件权限配置不当

提示原因：Nginx目录及文件属于非root用户，或者nginx安装介质放在了其他用户的home目录中。

解决办法：nginx目录及文件的所有者和所属组应为root。安装步骤如按照第四章标准模式，皆可以满足。如不满足，请使用root将nginx目录及其内部所有文件归属修改为root，其中proxy_temp目录和client_body_temp目录及其内部文件所属用户必须设置为nobody。

6.2 未限制Nginx账户登录系统

提示原因：nginx帐户不应该具有登录的能力，防止nginx账户被恶意利用。nginx进程使用了cloudapp等可登录用户启动。

解决办法：首先保证按照第一章第一节和第二节做过相应配置，尤其是给二进制文件加过s位，并且所有nginx目录文件所属为root。在nginx.conf文件中添加一条如下指令：

user nobody nobody;

该指令定义nginx运行的用户和用户组为nobody，并且因为nginx二进制启动文件添加了s位，即使应用用户cloudapp启动，进程仍具备root用户权限。

6.3 nginx server_tokens基线

提示原因：Nginx未禁用server_tokens配置，server_tokens指令负责在错误页面和ServerHTTP响应头字段中显示NGINX版本号和操作系统版本。 不应显示此信息。

解决办法：在nginx配置文件中配置

server_tokens off;

6.4 nginx未禁用隐藏文件

提示原因：Nginx的server中没有对隐藏文件进行禁止，造成location文件夹内的隐藏文件也可被web终端访问到。

解决办法：编辑nginx配置文件，server段中添加以下配置：

location ~ /\. {   deny all;   }

6.5 正向代理http请求配置修正

问题现象：nginx作为正向代理时，出访非80标准端口的web服务无法访问。

解决办法：如示例程序的forward-proxy.conf的文件中，确认如下语句:

proxy_pass $scheme://$http_host; #注意此处$host修改为了$http_host

Nginx安装和配置规范相关推荐

1. centos7php自启动,centos7系统下nginx安装并配置开机自启动操作

   这篇文章主要介绍了centos7系统下nginx安装并配置开机自启动操作方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下 这篇文章主要介绍了centos7系统下nginx安装并配置开机自启动操作 ...

2. Nginx安装及配置教程

   Nginx安装及配置教程 Nginx安装及配置详细教程 Nginx安装及配置过程中遇到的问题 遇到的问题的解决方案 Nginx安装及配置详细教程 Nginx安装及配置教程很多,但是哪一个适合自己,还需 ...

3. linux nginx安装以及配置

   一.Nginx简介 Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器.Nginx是由Igor Sysoev为 ...

4. Linux系统下Nginx安装与配置

   Nginx安装与配置 准备工作 安装(/usr/local) 检查安装情况 配置SSL 0.准备工作 1.重新配置加入SSL模块 2.重新编译 3.覆盖原来编译的版本 4.配置SSL 准备工作 从 n ...

5. Nginx 安装及配置

   概念 了解 Nginx 的基本概念 安装 apt-get install nginx # Ubuntu yum install nginx -y # CentOS 配置文件 nginx -t # 检查 ...

6. windows下nginx安装、配置与使用

   目前国内各大门户网站已经部署了Nginx,如新浪.网易.腾讯等:国内几个重要的视频分享网站也部署了Nginx,如六房间.酷6等.新近发现Nginx 技术在国内日趋火热,越来越多的网站开始部署Nginx ...

7. Nginx安装、配置及使用总结

   版权声明:本文为博主原创文章,未经博主允许不得转载. Nginx的安装.配置及使用总结: Nginx是一个高性能的HTTP及反向代理服务器,也是IMAP/POP3/SMTP代理服务器.在高并发情况下, ...

8. Centos 6.0/ Nginx 安装与配置

   系统:Centos 6.0 下载nginx(nginx-1.2.4.tar.g)   http://nginx.org/ 下载pcre(pcre-8.31.tar.gz)    http://pcre ...

9. Nginx-windows下nginx安装、配置与使用

   目前国内各大门户网站已经部署了Nginx,如新浪.网易.腾讯等:国内几个重要的视频分享网站也部署了Nginx,如六房间.酷6等.新近发现Nginx 技术在国内日趋火热,越来越多的网站开始部署Nginx ...

最新文章

1. 水仙花数（3.1）（Java）
2. Android 布局文件Graphical Layout不显示预览+不能实现拖置功能
3. 能ping通外网的域名，浏览器不能上网的解决办法
4. 乔氏西去，敬告各位!
5. 你随便动幕布，投影跟不上算我输，动态投影黑科技，AE特效秒变成真
6. emlog充值插件_常用十大必备Emlog插件
7. windows上编译zlib-1.2.8
8. 操作系统之文件管理：9、磁盘的结构与磁盘调度算法(先来先服务FCFS、最短寻找时间优先SSTF、扫描算法SCAN、循环扫描算法C-SCAN、LOOK调度算法、C-LOOK调度算法)
9. phpfpm怎么连接mysql_php-fpm连不上mysql的问题？
10. 轮播图高度自适应_【2020顶会NIPS】用于交通预测的自适应图卷积循环网络
11. linux怎么开启httpd服务公钥,在Apache httpd服务器上部署SSL证书
12. iOS网络编程---根据URL下载网络文件的方法
13. python多找表格进行数据对比
14. 目标与计划：仰望星空且脚踏实地
15. HttpClient上传文件到微信素材乱码问题解决
16. TypeScript学习-函数
17. Java实习（一维）线性回归方程
18. QT 实现Label上画线
19. 微信小程序图片转换成文字_微信小程序中用canvas将文字转成图片，文字自动换行...
20. Java大数据学习路线图

热门文章

1. 神雕侠侣手游答疑大全
2. 创建ESXi 6.7安装程序USB闪存盘的前3个免费工具
3. LoRaWAN终端产品的“身份证”
4. List的初始化大小
5. coreldraw x5安装视频教程_CorelDRAW菜单栏不见了如何找回 - CG平面软件问答-CDR经验知识 CorelDraw知道 AI怎么安装 LR问答...
6. html input只读属性设置和移除
7. 四招让你在疫情期间每天只需工作2小时~
8. OpenShift 4 - 用 OpenShift Serverless Functions 为 Knative 开发 FaaS
9. 淘宝技术这十年——读书笔记
10. 【python】pandas某一列中每一行拆分成多行的方法