nginx配置文件注释

#定义nginx运行的用户和用户组，系统中必须有此用户，为了安全性可设置为nologin
user www www;  

#启动进程，通常设置成和cpu的数量一致，也可以绑定，设成auto会自动判断CPU的核数
#在高并发情况下，通过设置cpu粘性来降低由于多CPU核切换造成的寄存器等现场重建带来的性能损耗。如worker_cpu_affinity 0001 0010 0100 1000; （四核）。
worker_processes auto;

#全局错误日志及PID文件，日志等级可分为[ debug | info | notice | warn | error | crit ]
error_log /data/wwwlogs/error_nginx.log crit;
#日志格式设定
log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_for"';

#进程文件
pid /var/run/nginx.pid;

#一个nginx进程打开的最多文件描述符数目，建议与ulimit -n的值保持一致
#如果尝试打开比可用文件描述符更多的套接字，会发现error.log中出现too many opened files的信息
worker_rlimit_nofile 51200;

#events模块来用指定nginx的工作模式和工作模式及连接数上限
events {
    use epoll;    #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但是仅用于linux2.6以上内核,可以大大提高nginx的性能，如果跑在FreeBSD上面，就用kqueue模型
    worker_connections 51200;    #单个后台worker process进程的最大并发链接数 （最大连接数=连接数*进程数）
    multi_accept on;    #告诉nginx收到一个新连接通知后接受尽可能多的连接，如果指令被禁用，worker进程将逐个接受连接
    }

#http模块，核心模块，里边的server和upstream子模块至关重要
http {
    #设定mime类型，类型由mime.type文件定义，告诉nginx识别文件类型
    include mime.types;
    #默认文件类型
    default_type application/octet-stream;

    #服务器名字的hash表大小
    server_names_hash_bucket_size 128;
    #请求头缓冲区大小，如果请求头大小大于指定的缓冲区，则使用large_client_header_buffers指令分配更大的缓冲区
    client_header_buffer_size 32k;
    large_client_header_buffers 4 32k;
    #允许客户端请求的最大单文件字节数，如果请求大于指定的大小，则nginx会发送HTTTP 413(Request Entity too large)错误
    client_max_body_size 1024m;
    #设置用于请求主体缓冲区大小，如果主体超过缓冲区大涉，则完整主体或其一部分将写入临时文件，如果nginx配置为使用文件
    #而不是内存缓冲区，则该指令会被忽略
    client_body_buffer_size 10m;

    #开启高效文件传输模式，sendfile指令指定nginx是否调用sendfile函数（zero copy方式)来输出文件，
    #减少用户空间到内核空间的上下文切换，对于普通文件必须设为on,如果用来进行下载等应用磁盘IO重的负载应用，可设置为off,
    #以平衡磁盘与网络I/O处理速度，降低系统的uptime
    sendfile on；

    #长连接超时时间，这个参数涉及浏览器、后端服务器、及操作系统的设置，长连接请求大量小文件的时候，
    #可以减少重建连接的开销，但如有大文件上传，在设定时间内没完成会导致超时失败。
    #如果设置时间垞，用户又多，长时间保持连接会占用大量资源
    keepalive_timeout 120;

    #隐藏不必要的信息
    server_tokens off;


    #禁用Nagle的缓冲算法，数据可用时立即发送，防止网络阻塞，默认情况下已禁用
    tcp_nodelay on;
    tcp_nopush on;

    #FastCGI相关参数设定，减少资源占用，提高访问速度
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 128k;
    fastcgi_intercept_errors on;

    #Gzip压缩设置
    gzip on;
    gzip_buffers 16 8k;
    gzip_comp_level 6;  #压缩等级
    gzip_http_version 1.1;  #压缩版本，默认1.1
    gzip_min_length 256;  #最小压缩文件大小
    gzip_proxied any;
    #压缩类型
    gzip_vary on;
    gzip_types
        text/xml application/xml application/atom+xml application/rss+xml application/xhtml+xml image/svg+xml
        text/javascript application/javascript application/x-javascript
        text/x-json application/json application/x-web-app-manifest+json
        text/css text/plain text/x-component
        font/opentype application/x-font-ttf application/vnd.ms-fontobject
        image/x-icon;
    gzip_disable "MSIE [1-6]\.(?!.*SV1
    #limit_zone crawler $binary_remote_addr 10m; #开启限制IP连接数的时候需要使用

    #启用open_file_cache指令将存储以下信息的缓存
    #打开的文件描述符和相关元数据，如大小、修改时间等，文件和目录的存在与查找相关的任何错误，如“权限被拒绝”，“文件未找到”等
    #下述配置，为1000个元素定义一个缓存，inactive参数配置到期时间为20秒，默认为60秒
    open_file_cache max=1000 inactive=20s;
    open_file_cache_valid 30s;
    open_file_cache_min_uses 2;
    open_file_cache_errors on;

######################## default ############################
    #默认虚拟主机配置
    server {
    #监听端口
    listen 80;
    #域名可以有多个，用空格隔开
    server_name _;
    return 403；
    # ipv6监控配置
    #listen [::]:80;
    #server_name ipv6.chegva.com;
    #虚拟主机的访问日志
    access_log /data/wwwlogs/access_nginx.log combined;
    #虚拟主机指定的web根目录
    root /xxx/default;
    #全局定义访问的默认首页地址
    index index.html index.htm index.php;

    #设置查看nginx状态的入口
    location /nginx_status {
        stub_status on;
        access_log off;
        auth_basic “NginxStatus”;
        auth_basic_user_file conf/htpasswd;
        #htpasswd文件的内容可以用apache提供的htpasswd工具来产生。
        allow 127.0.0.1
        allow 172.29.73.0/24;
        deny all;
        }
    #htpasswd -c htpasswd admin
    #New passwd:
    #Re-type new password:
    #Adding password for user admin
    #htpasswd htpasswd admin    //修改admin密码
    #htpasswd htpasswd sean    //多添加一个认证用户

    #禁止访问以下后缀名文件
    location ~* \.(rar|zip|gz|tar|tgz|tar.gz|7z|z|bz2|tar.bz2|sql|log|rar|ini|bak|conf|DS_Store|idea|swp|svn|entries|git|config|sh|bash)$ {
        deny all;
        access_log off;
        log_not_found off;
        }
    #PHP脚本请求全部转发到FastCGI处理. 使用FastCGI默认配置
    location ~ [^/]\.php(/|$) {
        #fastcgi_pass remote_php_ip:9000;
        fastcgi_pass unix:/dev/shm/php-cgi.sock;
        fastcgi_index index.php;
        include fastcgi.conf;
        }

    #静态文件缓存时间设置
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
        expires 30d;
        access_log off;
        }
    location ~ .*\.(js|css)?$ {
        expires 7d;
        access_log off;
        }
    }

########################## vhost #############################
    #虚拟主机的配置文件目录
    include vhost/*.conf;

}
##############################################################
    #本地动静分离反向代理配置
    #所有jsp的页面均交由tomcat或resin处理
    location ~ .(jsp|jspx|do)?$ {
        #只要用户在浏览器中访问的域名绑定了 VIP VIP 下面有RS；则就用$host ；host是访问URL中的域名和端口  www.taobao.com:80
        proxy_set_header Host $host;
        #把源IP 【$remote_addr,建立HTTP连接header里面的信息】赋值给X-Real-IP;这样在代码中 $X-Real-IP来获取 源IP
        proxy_set_header X-Real-IP $remote_addr;
        #在nginx 作为代理服务器时，设置的IP列表，会把经过的机器ip，代理机器ip都记录下来，用 【，】隔开；代码中用 echo $x-forwarded-for |awk -F, '{print $1}' 来作为源IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8080;
    }
    #所有静态文件由nginx直接读取不经过tomcat或resin
    location ~ .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|ppt|pdf|xls|mp3|wma)$ {
        expires 15d;
    }
    location ~ .*.(js|css)?$ {
        expires 1h;
    }

##############################################################
    #对 "/" 启用反向代理
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        #后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        #以下是一些反向代理的配置，可选。
        proxy_set_header Host $host;
        client_max_body_size 10m; #允许客户端请求的最大单文件字节数
        client_body_buffer_size 128k; #缓冲区代理缓冲用户端请求的最大字节数，
        proxy_connect_timeout 90; #nginx跟后端服务器连接超时时间(代理连接超时)
        proxy_send_timeout 90; #后端服务器数据回传时间(代理发送超时)
        proxy_read_timeout 90; #连接成功后，后端服务器响应时间(代理接收超时)，已经进入后端排队中等待处理
        proxy_buffer_size 4k; #设置代理服务器（nginx）保存用户头信息的缓冲区大小
        proxy_buffers 4 32k; #proxy_buffers缓冲区，网页平均在32k以下的设置
        proxy_busy_buffers_size 64k; #高负荷下缓冲大小（proxy_buffers*2）
        proxy_temp_file_write_size 64k; #设定缓存文件夹大小，大于这个值，将从upstream服务器传
    }

===============================================================
    #upstream模块
    upstream mysvr {
        server 127.0.0.1:7878 weight=2 max_fails=2 fail_timeout=2s;
        server 192.168.10.121:3333 weight=1 max_fails=2 fail_timeout=1s;
    }

    server {
        ....
        location  ~*^.+$ {
        proxy_pass  mysvr;  #请求转向mysvr 定义的服务器列表
    }
    
    upstream test_go_backend {
        server   10.40.12.xxx:8080 weight=1 max_fails=2 fail_timeout=10s;
    }
    
    server {
    location ~ ^/v1 {
		add_header Cache-Control must-revalidate,no-cache;
		add_header Vary Accept-Encoding;
		proxy_set_header Host  $host;
		proxy_set_header X-Forwarded-For  $remote_addr;
		proxy_set_header Missl $sslparam;
		proxy_pass http://test_go_backend;
	}
    }

================================================================
#虚拟主机配置示例
#limit_req_zone $binary_remote_addr zone=WPRATELIMIT:10m rate=2r/s;
#
server {
    server_name www.chegva.com;
    #return 301 $scheme://chegva.com$request_uri;
    return 301 https://chegva.com$request_uri;
}


server {
 listen 80;
 #listen [::]:80;
 listen 443 ssl http2  reuseport  default_server;
#listen [::]:443 ssl http2 default_server;
#set $sslparam "";
#if ( $server_port = 443 ) {
#  set $sslparam on;
#}
#if ( $http_sslparam = https ){
#    set $sslparam on;
#}
server_tokens off;
ssl_certificate /usr/local/nginx/conf/ssl/chegva.com.pem;
ssl_certificate_key /usr/local/nginx/conf/ssl/chegva.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_tickets      on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Access-Control-Allow-Origin *;
#add_header Access-Control-Allow-Origin https://chegva.com;
add_header Access-Control-Allow-Headers X-Requested-With;
add_header Access-Control-Allow-Methods GET,POST,OPTIONS,HEAD;
add_header X-Content-Type-Options nosniff;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
add_header X-Frame-Options SAMEORIGIN;
ssl_stapling on;
ssl_stapling_verify on;
server_name chegva.com www.chegva.com;
access_log /data/wwwlogs/chegva.com_nginx.log combined buffer=32k;
client_max_body_size    1024m;
index index.html index.htm index.php;
error_page 400 403 404 500 502 503 504 = /_404_.html;
include /usr/local/nginx/conf/rewrite/wordpress.conf;
root /data/wwwroot/chegva.com;
if ($ssl_protocol = "") { return 301 https://chegva.com$request_uri; }
if ( $host ~* "\d+\.\d+\.\d+\.\d+" ) { return 403; }
#if ($sslparam = "") { return 301 https://$http_host$request_uri; }
#if ($host != chegva.com) {
#    rewrite ^/(.*)$ $scheme://chegva.com/$1 permanent;
#   return https://chegva.com$request_uri;
#    }


location ~* /xmlrpc.php {
        deny all;
        }

if ( $fastcgi_script_name ~ \..*\/.*php ) {
	return 403;
}

if ($request_method !~ ^(GET|PUT|HEAD|POST|OPTIONS)$ ) {
	return 403;
}

#location ~ ^/upload/.*\.php {
#	return 403;
#}

location ~* \.(gz|tar|tgz|tar.gz|7z|z|bz2|tar.bz2|sql|log|ini|bak|conf|DS_Store|idea|swp|svn|entries|git|config)$ {
        deny all;
        }
# protect wp-cron.php & install.php
location ~ ^/wp-cron\.php {
	allow 127.0.0.1;  #本地IP
	allow 47.104.xx.xx;  #服务器IP
	deny all;
}

location ^~ /wp-content/uploads/.*.php$ {
	deny all;
	access_log off;
	log_not_found off;
}

#location ~* /(?:uploads|files|static|wp-content|ueditor|wp-includes|akismet)/.*.php$ {
#    deny all;
#    access_log off;
#    log_not_found off;
#}


location ~ ^/wp-admin/install\.php {
	deny all;
	log_not_found off;
	access_log off;
}

# protect wp-login.php
#location ~ ^/wp-login.php {
#    limit_req zone=WPRATELIMIT;
#}

location ~ .*\.(wma|wmv|asf|mp3|mmf|zip|rar|jpg|gif|png|swf|flv|css)$ {
    #valid_referers none blocked *.chegva.com chegva.com www.chegva.com;

    add_header       Access-Control-Allow-Origin *;

    valid_referers none blocked *.chegva.com cdn.chegva.com chegva.com www.chegva.com ~\.google\. ~\.baidu\. ~\.bing\. ~\.sogou\. ~\.so\. ~\.youdao\. ~\.soso\. ~\.haoso\. ~\.qbox\. ~\.qnssl\.;
    if ($invalid_referer) {
       rewrite ^/ https://chegva.com/404.html;
       #return 403;
      }
    }

location ~ [^/]\.php(/|$) {
    #fastcgi_pass remote_php_ip:9000;
    fastcgi_pass unix:/dev/shm/php-cgi.sock;
    fastcgi_index index.php;
    include fastcgi.conf;
    }
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
    expires 30d;
    access_log off;
    }
location ~ .*\.(js|css)?$ {
    expires 7d;
    access_log off;
    }
#if ($http_user_agent ~* (wget|curl) ) {
#     return 403;
#    }
}