原创

近期nginx使用总结

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://tuzongxun.blog.csdn.net/article/details/92440554

一、nginx背景了解

nginx由俄罗斯人开发,设计的初始目的是成为一个http服务器,以用来解决C10K问题,C10K实际上就是同时连接处理10000个连接请求的意思。
nginx具有多种web服务器功能特性,例如负载均衡、缓存、访问控制等,而我个人目前主要是因为ca证书的问题而使用nginx,因此更多的是集中在访问控制上,进一步细分的话,就是反向代理和ssl。

二、nginx作为http服务器的基本配置

个人目前了解到的nginx主要有两大用途,一个是http服务,一个是邮件服务(暂不确定是不是就是两个)。
邮件服务针对比较特殊的应用场景,而http相对而言就更加广泛,上边所述的反向代理和ssl也是仅针对http服务而言。
nginx的使用,除了安装之外,最重要的就是配置。安装的时候需要配置相应的支持模块,安装好了还需要针对具体的功能需求进行配置文件的配置。
一个完整http服务的nginx配置文件,结构应该大致如下:

#nginx基本指令配置,如日志、进程id、用户等,例如:
user tzx;
worker_processes 1;
pid logs/nginx.pid;
error_log logs/error.log;
#events配置,例如:
events {
worker_connections 1024;
}
#http服务配置,例如:
http {
#http服务基础配置,如:
include mime.types;
default_type application/octet-stream;
keepalive_timeout 65;
#虚拟服务器配置,这里就很重要了,一个nginx同时配置多个端口乃至域名,主要就是靠这里,例如:
server {
listen 8000;
server_name blog.tzx.cn;
#路由配置,如果说上一层的server解决了同一个nginx配置多个端口乃至域名的问题,那么这里路由配置就解决了一个域名端口下多个url映射的问题,例如:
location /test {
proxy_pass http://localhost:8080/test;
proxy_http_version 1.1;
}
location /test1 {
proxy_pass http://localhost:8088/test;
proxy_http_version 1.1;
}
}
}

三、nginx反向代理

实际上,上边配置中的路由配置location,就是所谓的nginx反向代理。
只不过上边的location配置的比较单一,除此之外,还有通配符配置,静态文件配置等各种方式,里边就涉及到请求的路径会加到路由url中和不会加到路由url中的不同场景,例如:

 location / {
       root   html;
       index  index.html index.htm;
  }
  

例如上边的配置,root指向的是一个本地目录,index指向的是静态文件。当一个请求访问根路径时,nginx服务器就会到html目录下寻找index.html或者index.htm返回。

四、https安全控制

https就是http+ssl,在http协议上增加了ssl安全校验,nginx要使用https,就要先配置支持ssl的模块,需要注意的是,nginx的ssl模块依赖于openssl。
当nginx添加了支持ssl的模块之后,就需要在nginx的配置文件中配置https请求相关的虚拟服务器,实际上就是在http的基础上添加ssl的配置,包括启用ssl、指定服务端证书、根证书、支持的协议类型等。
必要的情况下,还可以使用nginx内置的变量,用来将ssl证书相关的信息传递到实际目标服务中,例如上一篇说过的把证书信息放入header中,然后在java后台读取和使用。
加了ssl,并开启双向认证的nginx虚拟服务器配置大致如下:

 server {
       listen 443;
       server_name blog.tzx.cn; 
       ssl on;
       ssl_certificate  /usr/server.crt; #服务端证书
       ssl_certificate_key /usr/server.key; #服务端证书key
       ssl_session_timeout 5m;
       ssl_client_certificate /usr/root.pem; #根证书链
       ssl_verify_client on; #开启客户端认证。
       ssl_verify_depth 2; #根证书两层
       ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
       ssl_protocols  SSLv3 TLSv1 TLSv1.1 TLSv1.2;
       ssl_prefer_server_ciphers on;
	location /test {
          proxy_pass   http://localhost:8080/test;
          proxy_http_version 1.1;
        }
    }
    
文章最后发布于: 2019-06-16 23:23:18
展开阅读全文
0 个人打赏
私信求帮助

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 成长之路 设计师: Amelia_0503

分享到微信朋友圈

×

扫一扫,手机浏览