#定义nginx运行的用户和用户组,系统中必须有此用户,为了安全性可设置为nologin
user www www;
#启动进程,通常设置成和cpu的数量一致,也可以绑定,设成auto会自动判断CPU的核数
#在高并发情况下,通过设置cpu粘性来降低由于多CPU核切换造成的寄存器等现场重建带来的性能损耗。如worker_cpu_affinity 0001 0010 0100 1000; (四核)。
worker_processes auto;
#全局错误日志及PID文件,日志等级可分为[ debug | info | notice | warn | error | crit ]
error_log /data/wwwlogs/error_nginx.log crit;
#日志格式设定
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
#进程文件
pid /var/run/nginx.pid;
#一个nginx进程打开的最多文件描述符数目,建议与ulimit -n的值保持一致
#如果尝试打开比可用文件描述符更多的套接字,会发现error.log中出现too many opened files的信息
worker_rlimit_nofile 51200;
#events模块来用指定nginx的工作模式和工作模式及连接数上限
events {
use epoll; #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但是仅用于linux2.6以上内核,可以大大提高nginx的性能,如果跑在FreeBSD上面,就用kqueue模型
worker_connections 51200; #单个后台worker process进程的最大并发链接数 (最大连接数=连接数*进程数)
multi_accept on; #告诉nginx收到一个新连接通知后接受尽可能多的连接,如果指令被禁用,worker进程将逐个接受连接
}
#http模块,核心模块,里边的server和upstream子模块至关重要
http {
#设定mime类型,类型由mime.type文件定义,告诉nginx识别文件类型
include mime.types;
#默认文件类型
default_type application/octet-stream;
#服务器名字的hash表大小
server_names_hash_bucket_size 128;
#请求头缓冲区大小,如果请求头大小大于指定的缓冲区,则使用large_client_header_buffers指令分配更大的缓冲区
client_header_buffer_size 32k;
large_client_header_buffers 4 32k;
#允许客户端请求的最大单文件字节数,如果请求大于指定的大小,则nginx会发送HTTTP 413(Request Entity too large)错误
client_max_body_size 1024m;
#设置用于请求主体缓冲区大小,如果主体超过缓冲区大涉,则完整主体或其一部分将写入临时文件,如果nginx配置为使用文件
#而不是内存缓冲区,则该指令会被忽略
client_body_buffer_size 10m;
#开启高效文件传输模式,sendfile指令指定nginx是否调用sendfile函数(zero copy方式)来输出文件,
#减少用户空间到内核空间的上下文切换,对于普通文件必须设为on,如果用来进行下载等应用磁盘IO重的负载应用,可设置为off,
#以平衡磁盘与网络I/O处理速度,降低系统的uptime
sendfile on;
#长连接超时时间,这个参数涉及浏览器、后端服务器、及操作系统的设置,长连接请求大量小文件的时候,
#可以减少重建连接的开销,但如有大文件上传,在设定时间内没完成会导致超时失败。
#如果设置时间垞,用户又多,长时间保持连接会占用大量资源
keepalive_timeout 120;
#隐藏不必要的信息
server_tokens off;
#禁用Nagle的缓冲算法,数据可用时立即发送,防止网络阻塞,默认情况下已禁用
tcp_nodelay on;
tcp_nopush on;
#FastCGI相关参数设定,减少资源占用,提高访问速度
fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
fastcgi_intercept_errors on;
#Gzip压缩设置
gzip on;
gzip_buffers 16 8k;
gzip_comp_level 6; #压缩等级
gzip_http_version 1.1; #压缩版本,默认1.1
gzip_min_length 256; #最小压缩文件大小
gzip_proxied any;
#压缩类型
gzip_vary on;
gzip_types
text/xml application/xml application/atom+xml application/rss+xml application/xhtml+xml image/svg+xml
text/javascript application/javascript application/x-javascript
text/x-json application/json application/x-web-app-manifest+json
text/css text/plain text/x-component
font/opentype application/x-font-ttf application/vnd.ms-fontobject
image/x-icon;
gzip_disable "MSIE [1-6]\.(?!.*SV1
#limit_zone crawler $binary_remote_addr 10m; #开启限制IP连接数的时候需要使用
#启用open_file_cache指令将存储以下信息的缓存
#打开的文件描述符和相关元数据,如大小、修改时间等,文件和目录的存在与查找相关的任何错误,如“权限被拒绝”,“文件未找到”等
#下述配置,为1000个元素定义一个缓存,inactive参数配置到期时间为20秒,默认为60秒
open_file_cache max=1000 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 2;
open_file_cache_errors on;
######################## default ############################
#默认虚拟主机配置
server {
#监听端口
listen 80;
#域名可以有多个,用空格隔开
server_name _;
#虚拟主机的访问日志
access_log /data/wwwlogs/access_nginx.log combined;
#虚拟主机指定的web根目录
root /xxx/default;
#全局定义访问的默认首页地址
index index.html index.htm index.php;
#设置查看nginx状态的入口
location /nginx_status {
stub_status on;
access_log off;
auth_basic “NginxStatus”;
auth_basic_user_file conf/htpasswd;
#htpasswd文件的内容可以用apache提供的htpasswd工具来产生。
allow 127.0.0.1
allow 172.29.73.0/24;
deny all;
}
#htpasswd -c htpasswd admin
#New passwd:
#Re-type new password:
#Adding password for user admin
#htpasswd htpasswd admin //修改admin密码
#htpasswd htpasswd sean //多添加一个认证用户
#禁止访问 .htxxx 文件
location ~ /.ht {
deny all;
}
#禁止访问.git文件
location ~ /.git {
deny all;
access_log off;
log_not_found off;
}
#PHP脚本请求全部转发到FastCGI处理. 使用FastCGI默认配置
location ~ [^/]\.php(/|$) {
#fastcgi_pass remote_php_ip:9000;
fastcgi_pass unix:/dev/shm/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
#静态文件缓存时间设置
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
expires 30d;
access_log off;
}
location ~ .*\.(js|css)?$ {
expires 7d;
access_log off;
}
}
########################## vhost #############################
#虚拟主机的配置文件目录
include vhost/*.conf;
}
##############################################################
#本地动静分离反向代理配置
#所有jsp的页面均交由tomcat或resin处理
location ~ .(jsp|jspx|do)?$ {
#只要用户在浏览器中访问的域名绑定了 VIP VIP 下面有RS;则就用$host ;host是访问URL中的域名和端口 www.taobao.com:80
proxy_set_header Host $host;
#把源IP 【$remote_addr,建立HTTP连接header里面的信息】赋值给X-Real-IP;这样在代码中 $X-Real-IP来获取 源IP
proxy_set_header X-Real-IP $remote_addr;
#在nginx 作为代理服务器时,设置的IP列表,会把经过的机器ip,代理机器ip都记录下来,用 【,】隔开;代码中用 echo $x-forwarded-for |awk -F, '{print $1}' 来作为源IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:8080;
}
#所有静态文件由nginx直接读取不经过tomcat或resin
location ~ .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$ {
expires 15d;
}
location ~ .*.(js|css)?$ {
expires 1h;
}
##############################################################
#对 "/" 启用反向代理
location / {
proxy_pass http://127.0.0.1:8080;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#以下是一些反向代理的配置,可选。
proxy_set_header Host $host;
client_max_body_size 10m; #允许客户端请求的最大单文件字节数
client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数,
proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
proxy_read_timeout 90; #连接成功后,后端服务器响应时间(代理接收超时)
proxy_buffer_size 4k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的设置
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传
}
===============================================================
#upstream模块
upstream mysvr {
server 127.0.0.1:7878 weight=2 max_fails=2 fail_timeout=2;
server 192.168.10.121:3333 weight=1 max_fails=2 fail_timeout=1;
}
server {
....
location ~*^.+$ {
proxy_pass mysvr; #请求转向mysvr 定义的服务器列表
}
upstream test_go_backend {
server 10.40.12.xxx:8080 weight=1 max_fails=2 fail_timeout=10s;
}
server {
location ~ ^/v1 {
add_header Cache-Control must-revalidate,no-cache;
add_header Vary Accept-Encoding;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header Missl $sslparam;
proxy_pass http://test_go_backend;
}
}
================================================================
#虚拟主机配置示例
server {
listen 80;
#https安全设置
listen 443 ssl http2;
ssl_certificate /usr/local/xxx.pem;
ssl_certificate_key /usr/local/xxx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;
server_name chegva.com www.chegva.com;
access_log /xxx/chegva.com_nginx.log combined buffer=1M;
index index.html index.htm index.php;
include /xxx/rewrite/wordpress.conf;
root /xxx/chegva.com;
#网页跳转设定
if ($ssl_protocol = "") { return 301 https://$host$request_uri; }
if ($host != chegva.com) {
rewrite ^/(.*)$ $scheme://chegva.com/$1 permanent;
}
location ~ .*\.(wma|wmv|asf|mp3|mmf|zip|rar|jpg|gif|png|swf|flv)$ {
valid_referers none blocked *.chegva.com chegva.com www.chegva.com;
if ($invalid_referer) {
#rewrite ^/ http://www.xxx.com/403.html;
return 403;
}
}
location ~ [^/]\.php(/|$) {
#fastcgi_pass remote_php_ip:9000;
fastcgi_pass unix:/dev/shm/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
expires 30d;
access_log off;
}
location ~ .*\.(js|css)?$ {
expires 7d;
access_log off;
}
}
参考: 1. nginx服务器安装及配置文件详解 2. nginx代理功能与负载均衡详解 3. nginx配置文件详解