Nginx基本配置介绍(待完善)

Author：友儿
发布时间：February 24, 2023
543 views
One comment
9676 words
Categories：架构

Nginx配置⽂件

Nginx主配置⽂件 /etc/nginx/nginx.conf 是⼀个纯⽂本类型的⽂件，整个配置⽂件是以区块的
形式组织的。⼀般，每个区块以⼀对⼤括号 {} 来表示开始与结束。
- Main位于nginx.conf配置⽂件的最⾼层
- Main层下可以有Event、HTTP层
- HTTP层下⾯有允许有多个Server层, ⽤于对不同的⽹站做不同的配置
- Server层也允许有多个Location, ⽤于对不同的路径进⾏不同模块的配置
nginx默认配置语法

user  nginx;                   # 设置nginx服务的系统使⽤⽤户
worker_processes  auto;        # ⼯作进程,配置和CPU个数保持⼀致

error_log  /var/log/nginx/error.log notice;  # 错误⽇志,后⾯接⼊的是存放文件路径
pid        /var/run/nginx.pid;               # Nginx服务启动时的pid,,后⾯接⼊的是存放文件路径

events {
    worker_connections  1024;
}
# ⾮虚拟主机的配置或公共配置定义在http{}段内,    server{}段外
http {        
    # 必须使⽤虚拟机配置站点,    每个虚拟机使⽤⼀个server{}段
    server    {
        listen 80; # 监听端⼝,    默认80
        server_name        localhost;    # 提供服务的域名或主机名
        #控制⽹站访问路径
        location    /    {
            root            /usr/share/nginx/html;            # 存放⽹站路径
            index        index.html    index.htm;                # 默认访问⾸⻚⽂件
        }
                                
        # 指定错误代码,    统⼀定义错误⻚⾯,    错误代码重定向到新的Locaiton
        error_page            500 502 503 504        /50x.html;
        location    =    /50x.html    {
            root html;
        }
    }
    # 第⼆个虚拟主机配置
    server    {
    }
}

Nginx⽇志配置规范

配置语法包括
- access.log
- error.log

Nginx默认日志格式设置

log_format    main    '$remote_addr - $remote_user [$time_local] "$request"'
                  '$status $body_bytes_sent "$http_referer"'
                  '"$http_user_agent"    "$http_x_forwarded_for"';

Nginx⽇志变量

参数	说明
$remote_addr	客户端地址
$remote_user	客户端用户名称
$time_local	访问时间和时区
$request	请求的URI和HTTP协议
$http_host	请求地址，即浏览器中你输入的地址（IP或域名）
$status	HTTP请求状态
$upstream_status	upstream状态
$body_bytes_sent	发送给客户端文件内容大小
$http_referer	url跳转来源
$http_user_agent	用户终端浏览器等信息
$ssl_protocol	SSL协议版本
$ssl_cipher	交换数据中的算法
$upstream_addr	后台upstream的地址，即真正提供服务的主机地址
$request_time	整个请求的总时间
$upstream_response_time	请求过程中，upstream响应时间

Nginx状态监控

开启Nginx监控模块 (--with-http_stub_status_module)

具体配置如下

location /mystatus {
  stub_status on;
  access_log off;
}

状态监控结果

Active connections: 2 
server accepts handled requests
 2 2 1 
Reading: 0 Writing: 1 Waiting: 1

状态监控结果详细解读
- Active connections: 2 当前nginx正处理的活动连接数
- server accepts handled requests 3 3 10 总共处理了3次连接，成功创建了3次连接，共请求了10次。总连接数-成功连接数为失败连接数
- Reading: o Writing: 1 Waiting: 1
  - reading为nginx读取到客户端的header信息数
  - Writing为nginx返回给客户端的Header信息数,Waiting开启 keep-alive的情况下，这个值等于active-(reading+writing)，意思指nginx已经处理完正在等候下一次请求的驻留连接

Nginx下载站点

autoindex常⽤参数
- autoindex_exact_size off;
  - 默认为on，显示出⽂件的确切⼤⼩，单位是bytes。
  - 修改为off，显示出⽂件的⼤概⼤⼩，单位是kB或者MB或者GB。
- autoindex_localtime on;
  - 默认为off，显示的⽂件时间为GMT时间。
  - 修改为on，显示的⽂件时间为⽂件的服务器时间。
- charset utf-8,gbk;
  - 默认中⽂⽬录乱码，添加上解决乱码
配置⽬录浏览功能

location /www {
  #root /data;
  alias /data/www/;             # 指定目录 
  autoindex    on;             # 列出整个目录列表
  autoindex_localtime    on;     # 显示的文件时间为文件的服务器时间
  charset utf-8,gbk;        # 解决中文乱码
  autoindex_exact_size    off;    # 以kB或者MB或者GB单位显示出文件的大小，而不是字节
}

Nginx访问限制

nginx 文档地址
ngx_http_limit_req_module 模块文档地址
配置
```
 http {
      #  http段配置请求限制, rate限制速率，限制⼀秒钟最多⼀个IP请求
      limit_req_zone    $binary_remote_addr    zone=req_zone:10m    rate=1r/s;
      server    {}
 }
```
- key 定义用于限制请求的变量，在这个示例中使用的是NGINX的自带变量 $binary_remote_addr(客户端的ip地址)
- zone 定义用于存储前面定义的key变量,如zone=mylimit:10m 就是一个名为mylimit的大小为10m的共享内存空间
- rate 允放相同标识的客户端的访问频次，在这个例子中：就是同一个ip地址在每秒内只能访问1次
使用
```
server {
     location / {
          # limit_req zone=req_zone;
          # limit_req zone=perip burst=2;
          limit_req zone=perip burst=2 nodelay;
     }   
}   
```
- burst 如上例子burst=2，允许2个突发，有大量请求时，超过频次限制的请求，会允许2个访问，注意：burst指定的请求数量，不会马上进行处理，而是按照rate指定的值，以固定的速率进行处理。
- nodelay 只是对放到burst队列中的请求立即处理，但处理完成后队列并不立即清空，队列清空的速度仍然按原来的速度每秒一个清空，所以当再有请求过来时，并不会马上又有两个burst请求被处理。

安装压力测试,以每秒处理1个请求的速率做限制

   limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;

  # centos
  sudo yum install -y httpd-tools  
  # ubuntu 
  sudo apt-get install -y apache2-utils

测试1

   location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       limit_req zone=req_zone;
   }

测试1重启nginx后执行ab

 vagrant@swarm3:/etc/nginx$ ab -n 10 -c 10  http://192.168.56.3/ 
 Concurrency Level:      10
 Time taken for tests:   0.002 seconds
 Complete requests:      10
 Failed requests:        9
  (Connect: 0, Receive: 0, Length: 9, Exceptions: 0)

只有一个成功，有9个请求失败，时长是0.002 seconds，同一个ip地址在每秒内只能访问1次

测试2

   location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       limit_req zone=req_zone burst=2;
   }

测试2重启nginx后执行ab
```
 vagrant@swarm3:/etc/nginx$ ab -n 10 -c 10  http://192.168.56.3/ 
 Concurrency Level:      10
 Time taken for tests:   2.001 seconds
 Complete requests:      10
 Failed requests:        7
    (Connect: 0, Receive: 0, Length: 7, Exceptions: 0)
```
- 有7个请求失败，注意时间变成了2.001 seconds，burst=2允许2个突发, 有大量请求时，超过频次限制的请求，会允许2个访问，burst指定的请求数量，不会马上进行处理，而是按照rate指定的值，以固定的速率进行处理。

测试3

   location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       limit_req zone=req_zone burst=2 nodelay;
   }

测试3重启nginx后执行ab
```
 vagrant@swarm3:/etc/nginx$ ab -n 10 -c 10  http://192.168.56.3/ 
 Concurrency Level:      10
 Time taken for tests:   0.002 seconds
 Complete requests:      10
 Failed requests:        7
 (Connect: 0, Receive: 0, Length: 7, Exceptions: 0)
```
- 有7个请求失败，注意时间:这次是0.002 seconds，burst的队列虽然可以处理用户的需求，但需要用户按照处理时间等待，对用户不够友好， nodelay参数允许请求在排队的时候就立即被处理，这里有一点要注意：因为nodelay允许立即处理，也就是有并发请求时，事实上已经超过了rate设置的处理速率了，所以要根据机器的实际情况设置这个值

Nginx连接限制

Nginx连接限制类似于Nginx请求限制，这里不再过多介绍，需要了解使用请移步ngx_http_limit_req_module 连接限制模块文档

连接限制没有请求限制有效?

多个请求可以建⽴在⼀次的TCP连接之上, 那么我们对请求的精度限制，当然⽐对⼀个连接的限制会更加的有效。
因为同⼀时刻只允许⼀个连接请求进⼊，但是同⼀时刻多个请求可以通过⼀个连接进⼊，所以请求限制才是⽐较优的解决⽅案。

Nginx访问控制

文档地址
- 基于IP的访问控制 ngx_http_access_module 模块
- 基于⽤户登陆认证 ngx_http_auth_basic_module 模块
基于IP的访问控制
- 配置拒绝某⼀个IP, 其他全部允许
```
location / {
     deny 192.168.56.1;
     allow all;
}
```
- 只允许某⼀个⽹段访问,其它全部拒绝
```
location / {
      allow 192.168.56.0/24;
      deny all;
}
```
- 缺陷
  - 当真实客户端直接访问目标服务器被deny拒绝之后，真实客户端通过多层代理服务器访问目标服务器仍然是可以访问的。
- 解决方法
  - 采用别的http头信息访问控制，如HTTP_X_FORWARDED_FOR。
    - 多层代理服务器以及目标服务开启http_x_forwarded_for，这个局限性很大，因为代理服务器可能不遵循开启http_x_forwarded_for，这是一个协议要求的，并不是所有的cdn和代理厂商它会按照要求来做，甚至x_forwarded_for存在被修改的可能，因为只是一个头信息，所以最终还是不真实。
    - http_x_forwarded_for 也是Nginx的http头变量的一个常用的变量，它和remote_addr是有区别的。不同的是，x_forwarded_for是http协议中规定头中要携带的，所以在客户端访问中间件，再访问服务端的时候，那么服务端通过Nginx会记录真实IP和中间件的IP。
    - 格式为http_x_forwarded_for = 客户端ip,第一台代理ip,第二台代理ip,第N台代理ip，所以http_x_forwarded_for是由一连串以逗号分隔的ip组成的。
    - 192.168.56.1(客户端) -> 192.168.56.2(代理机) -> 192.168.56.3(代理机) -> 192.168.56.5(目标机器)
```
 # 192.168.56.2
 location ^~ /proxy1/ {
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_set_header Host $http_host;
     proxy_set_header X-NginX-Proxy true;
     proxy_pass http://192.168.56.3:80;
     proxy_redirect off;
 }
 # 192.168.56.3
 location ^~ /proxy1/ {
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_set_header Host $http_host;
     proxy_set_header X-NginX-Proxy true;
     proxy_pass http://192.168.56.5:80;
     proxy_redirect off;
 }
 # 192.168.56.5
 location / {
     root   /usr/share/nginx/html;
     index   index.php index.html index.htm;
 }
 location ~ \.php$ {
    root /usr/share/nginx/html;
    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include        fastcgi_params;
 }
```
  - 结合geo模块想了解的话可以移步到使用Nginx+GeoIP获取IP信息
  - 通过HTTP自定义变量传递
基于IP的访问控制(待完善)
Nginx虚拟主机

Last modification：April 12, 2023

如果觉得我的文章对你有用，请随意赞赏

One comment

友儿
August 22nd, 2023 at 04:12 pm

大于某个页面的id 代理到新机器
location ~ ^/(game|app|soft|azyx|azrj)/([0-9]+)\.html$ {
set $id $2;
set_by_lua $isProxy '
local id = tonumber(ngx.var.id)
if id >= 270000 then return "1" else return "0" end
';
if ($isProxy = 1) {
proxy_pass http://proxy.t4t5.cn;
}
}

Reply

Nginx基本配置介绍(待完善)

友儿 • 2023 年 02 月 24 日

<h3>Nginx配置⽂件</h3><ul><li><p>Nginx主配置⽂件 /etc/nginx/nginx.conf 是⼀个纯⽂本类型的⽂件，整个配置⽂件是以区块的<br>形式组织的。⼀般，每个区块以⼀对⼤括号 {} 来表示开始与结束。</p><ul><li>Main位于nginx.conf配置⽂件的最⾼层</li><li>Main层下可以有Event、HTTP层</li><li>HTTP层下⾯有允许有多个Server层, ⽤于对不同的⽹站做不同的配置</li><li>Server层也允许有多个Location, ⽤于对不同的路径进⾏不同模块的配置</li></ul></li><li>nginx默认配置语法</li></ul><pre><code class="lang-conf">user  nginx;                   # 设置nginx服务的系统使⽤⽤户
worker_processes  auto;        # ⼯作进程,配置和CPU个数保持⼀致

error_log  /var/log/nginx/error.log notice;  # 错误⽇志,后⾯接⼊的是存放文件路径
pid        /var/run/nginx.pid;               # Nginx服务启动时的pid,,后⾯接⼊的是存放文件路径

events {
    worker_connections  1024;
}
# ⾮虚拟主机的配置或公共配置定义在http{}段内,    server{}段外
http {        
    # 必须使⽤虚拟机配置站点,    每个虚拟机使⽤⼀个server{}段
    server    {
        listen 80; # 监听端⼝,    默认80
        server_name        localhost;    # 提供服务的域名或主机名
        #控制⽹站访问路径
        location    /    {
            root            /usr/share/nginx/html;            # 存放⽹站路径
            index        index.html    index.htm;                # 默认访问⾸⻚⽂件
        }
                                
        # 指定错误代码,    统⼀定义错误⻚⾯,    错误代码重定向到新的Locaiton
        error_page            500 502 503 504        /50x.html;
        location    =    /50x.html    {
            root html;
        }
    }
    # 第⼆个虚拟主机配置
    server    {
    }
}
</code></pre><h3>Nginx⽇志配置规范</h3><ul><li><p>配置语法包括</p><ul><li>access.log</li><li>error.log</li></ul></li><li><p>Nginx默认日志格式设置</p><pre><code class="lang-conf">log_format    main    '$remote_addr - $remote_user [$time_local] &quot;$request&quot;'
                  '$status $body_bytes_sent &quot;$http_referer&quot;'
                  '&quot;$http_user_agent&quot;    &quot;$http_x_forwarded_for&quot;';
</code></pre></li></ul><h4>Nginx⽇志变量</h4><table><thead><tr><th>参数</th><th>说明</th></tr></thead><tbody><tr><td>$remote_addr</td><td>客户端地址</td></tr><tr><td>$remote_user</td><td>客户端用户名称</td></tr><tr><td>$time_local</td><td>访问时间和时区</td></tr><tr><td>$request</td><td>请求的URI和HTTP协议</td></tr><tr><td>$http_host</td><td>请求地址，即浏览器中你输入的地址（IP或域名）</td></tr><tr><td>$status</td><td>HTTP请求状态</td></tr><tr><td>$upstream_status</td><td>upstream状态</td></tr><tr><td>$body_bytes_sent</td><td>发送给客户端文件内容大小</td></tr><tr><td>$http_referer</td><td>url跳转来源</td></tr><tr><td>$http_user_agent</td><td>用户终端浏览器等信息</td></tr><tr><td>$ssl_protocol</td><td>SSL协议版本</td></tr><tr><td>$ssl_cipher</td><td>交换数据中的算法</td></tr><tr><td>$upstream_addr</td><td>后台upstream的地址，即真正提供服务的主机地址</td></tr><tr><td>$request_time</td><td>整个请求的总时间</td></tr><tr><td>$upstream_response_time</td><td>请求过程中，upstream响应时间</td></tr></tbody></table><h3>Nginx状态监控</h3><ul><li>开启Nginx监控模块 (--with-http_stub_status_module)</li><li><p>具体配置如下</p><pre><code class="lang-conf">location /mystatus {
  stub_status on;
  access_log off;
}</code></pre></li><li><p>状态监控结果</p><pre><code class="lang-text">Active connections: 2 
server accepts handled requests
 2 2 1 
Reading: 0 Writing: 1 Waiting: 1 </code></pre></li><li><p>状态监控结果详细解读</p><ul><li><code>Active connections: 2</code> <strong>当前nginx正处理的活动连接数</strong></li><li><code>server accepts handled requests 3 3 10</code> <strong>总共处理了3次连接，成功创建了3次连接，共请求了10次。总连接数-成功连接数为失败连接数</strong></li><li><p><code>Reading: o Writing: 1 Waiting: 1</code></p><ul><li><strong>reading为nginx读取到客户端的header信息数</strong></li><li><strong>Writing为nginx返回给客户端的Header信息数,Waiting开启 keep-alive的情况下，这个值等于active-(reading+writing)，意思指nginx已经处理完正在等候下一次请求的驻留连接</strong></li></ul></li></ul></li></ul><h3>Nginx下载站点</h3><ul><li><p>autoindex常⽤参数</p><ul><li><p>autoindex_exact_size    off;</p><ul><li>默认为on， 显示出⽂件的确切⼤⼩，单位是bytes。</li><li>修改为off，显示出⽂件的⼤概⼤⼩，单位是kB或者MB或者GB。</li></ul></li><li><p>autoindex_localtime    on;</p><ul><li>默认为off，显示的⽂件时间为GMT时间。</li><li>修改为on， 显示的⽂件时间为⽂件的服务器时间。</li></ul></li><li><p>charset    utf-8,gbk;</p><ul><li>默认中⽂⽬录乱码，添加上解决乱码</li></ul></li></ul></li><li>配置⽬录浏览功能</li></ul><pre><code class="lang-conf">location /www {
  #root /data;
  alias /data/www/;             # 指定目录 
  autoindex    on;             # 列出整个目录列表
  autoindex_localtime    on;     # 显示的文件时间为文件的服务器时间
  charset utf-8,gbk;        # 解决中文乱码
  autoindex_exact_size    off;    # 以kB或者MB或者GB单位显示出文件的大小，而不是字节
}</code></pre><h3>Nginx访问限制</h3><ul><li><span class="external-link"><a class="no-external-link" href="https://nginx.org/en/docs/" target="_blank"><i data-feather="external-link"></i>nginx 文档地址</a></span></li><li><span class="external-link"><a class="no-external-link" href="https://nginx.org/en/docs/http/ngx_http_limit_req_module.html" target="_blank"><i data-feather="external-link"></i>ngx_http_limit_req_module 模块文档地址</a></span></li><li>配置</li><li><pre><code> http {
      #  http段配置请求限制, rate限制速率，限制⼀秒钟最多⼀个IP请求
      limit_req_zone    $binary_remote_addr    zone=req_zone:10m    rate=1r/s;
      server    {}
 }</code></pre><ul><li><code>key</code>  定义用于限制请求的变量，在这个示例中使用的是NGINX的自带变量 $binary_remote_addr(客户端的ip地址)</li><li><code>zone</code> 定义用于存储前面定义的key变量,如zone=mylimit:10m 就是一个名为mylimit的大小为10m的共享内存空间</li><li><code>rate</code> 允放相同标识的客户端的访问频次， 在这个例子中：就是同一个ip地址在每秒内只能访问1次</li></ul></li><li><p>使用</p><pre><code>server {
     location / {
          # limit_req zone=req_zone;
          # limit_req zone=perip burst=2;
          limit_req zone=perip burst=2 nodelay;
     }   
}   </code></pre><ul><li><code>burst</code>  如上例子burst=2，允许2个突发，有大量请求时，超过频次限制的请求，会允许2个访问，注意：burst指定的请求数量，不会马上进行处理，而是按照rate指定的值，以固定的速率进行处理。</li><li><code>nodelay</code> 只是对放到burst队列中的请求立即处理，但处理完成后队列并不立即清空，队列清空的速度仍然按原来的速度每秒一个清空，所以当再有请求过来时，并不会马上又有两个burst请求被处理。</li></ul></li><li><p>安装压力测试,以每秒处理1个请求的速率做限制</p><pre><code>   limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;</code></pre><pre><code class="lang-bash">  # centos
  sudo yum install -y httpd-tools  
  # ubuntu 
  sudo apt-get install -y apache2-utils</code></pre></li><li><p>测试1</p><pre><code>   location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       limit_req zone=req_zone;
   }</code></pre></li><li><p>测试1重启nginx后执行ab</p><pre><code class="lang-bash"> vagrant@swarm3:/etc/nginx$ ab -n 10 -c 10  http://192.168.56.3/ 
 Concurrency Level:      10
 Time taken for tests:   0.002 seconds
 Complete requests:      10
 Failed requests:        9
  (Connect: 0, Receive: 0, Length: 9, Exceptions: 0)</code></pre><ul><li>只有一个成功，有9个请求失败，时长是0.002 seconds，同一个ip地址在每秒内只能访问1次</li></ul></li><li><p>测试2</p><pre><code>   location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       limit_req zone=req_zone burst=2;
   }</code></pre></li><li><p>测试2重启nginx后执行ab</p><pre><code class="lang-bash"> vagrant@swarm3:/etc/nginx$ ab -n 10 -c 10  http://192.168.56.3/ 
 Concurrency Level:      10
 Time taken for tests:   2.001 seconds
 Complete requests:      10
 Failed requests:        7
    (Connect: 0, Receive: 0, Length: 7, Exceptions: 0)</code></pre><ul><li>有7个请求失败，注意时间变成了2.001 seconds，burst=2允许2个突发, 有大量请求时，超过频次限制的请求，会允许2个访问，burst指定的请求数量，  不会马上进行处理， 而是按照rate指定的值，以固定的速率进行处理。</li></ul></li><li><p>测试3</p><pre><code>   location / {
       root   /usr/share/nginx/html;
       index  index.html index.htm;
       limit_req zone=req_zone burst=2 nodelay;
   }</code></pre></li><li><p>测试3重启nginx后执行ab</p><pre><code class="lang-bash"> vagrant@swarm3:/etc/nginx$ ab -n 10 -c 10  http://192.168.56.3/ 
 Concurrency Level:      10
 Time taken for tests:   0.002 seconds
 Complete requests:      10
 Failed requests:        7
 (Connect: 0, Receive: 0, Length: 7, Exceptions: 0)</code></pre><ul><li>有7个请求失败，注意时间:这次是0.002 seconds，burst的队列虽然可以处理用户的需求，但需要用户按照处理时间等待，  对用户不够友好， nodelay参数允许请求在排队的时候就立即被处理， 这里有一点要注意：因为nodelay允许立即处理，也就是有并发请求时，事实上已经超过了rate设置的处理速率了， 所以要根据机器的实际情况设置这个值</li></ul></li></ul><h3>Nginx连接限制</h3><ul><li>Nginx连接限制类似于Nginx请求限制，这里不再过多介绍，需要了解使用请移步<span class="external-link"><a class="no-external-link" href="https://nginx.org/en/docs/http/ngx_http_limit_conn_module.html" target="_blank"><i data-feather="external-link"></i>ngx_http_limit_req_module 连接限制模块文档</a></span></li></ul><h3>连接限制没有请求限制有效?</h3><ul><li>多个请求可以建⽴在⼀次的TCP连接之上, 那么我们对请求的精度限制，当然⽐对⼀个连接的限制会更加的有效。</li><li>因为同⼀时刻只允许⼀个连接请求进⼊，但是同⼀时刻多个请求可以通过⼀个连接进⼊，所以请求限制才是⽐较优的解决⽅案。</li></ul><h3>Nginx访问控制</h3><ul><li><p>文档地址</p><ul><li><span class="external-link"><a class="no-external-link" href="https://nginx.org/en/docs/http/ngx_http_access_module.html" target="_blank"><i data-feather="external-link"></i>基于IP的访问控制 ngx_http_access_module 模块</a></span></li><li><span class="external-link"><a class="no-external-link" href="https://nginx.org/en/docs/http/ngx_http_auth_basic_module.html" target="_blank"><i data-feather="external-link"></i>基于⽤户登陆认证 ngx_http_auth_basic_module 模块</a></span></li></ul></li><li><p>基于IP的访问控制</p><ul><li><p>配置拒绝某⼀个IP,    其他全部允许</p><pre><code>location / {
     deny 192.168.56.1;
     allow all;
}</code></pre></li><li><p>只允许某⼀个⽹段访问,其它全部拒绝</p><pre><code>location / {
      allow 192.168.56.0/24;
      deny all;
}</code></pre></li><li><p>缺陷</p><ul><li>当真实客户端直接访问目标服务器被deny拒绝之后，真实客户端通过多层代理服务器访问目标服务器仍然是可以访问的。</li></ul></li><li><p>解决方法</p><ul><li><p>采用别的http头信息访问控制，如HTTP_X_FORWARDED_FOR。</p><ul><li>多层代理服务器以及目标服务开启<code>http_x_forwarded_for</code>，这个局限性很大，因为代理服务器可能不遵循开启<code>http_x_forwarded_for</code>，这是一个协议要求的，并不是所有的cdn和代理厂商它会按照要求来做，甚至x_forwarded_for存在被修改的可能，因为只是一个头信息，所以最终还是不真实。</li><li><code>http_x_forwarded_for</code> 也是Nginx的http头变量的一个常用的变量，它和<code>remote_addr</code>是有区别的。不同的是，<code>x_forwarded_for</code>是http协议中规定头中要携带的，所以在客户端访问中间件，再访问服务端的时候，那么服务端通过Nginx会记录真实IP和中间件的IP。</li><li>格式为<code>http_x_forwarded_for = 客户端ip,第一台代理ip,第二台代理ip,第N台代理ip</code>，所以<code>http_x_forwarded_for</code>是由一连串以逗号分隔的ip组成的。</li><li><p>192.168.56.1(客户端) -&gt; 192.168.56.2(代理机) -&gt; 192.168.56.3(代理机) -&gt; 192.168.56.5(目标机器)</p><pre><code> # 192.168.56.2
 location ^~ /proxy1/ {
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_set_header Host $http_host;
     proxy_set_header X-NginX-Proxy true;
     proxy_pass http://192.168.56.3:80;
     proxy_redirect off;
 }
 # 192.168.56.3
 location ^~ /proxy1/ {
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     proxy_set_header Host $http_host;
     proxy_set_header X-NginX-Proxy true;
     proxy_pass http://192.168.56.5:80;
     proxy_redirect off;
 }
 # 192.168.56.5
 location / {
     root   /usr/share/nginx/html;
     index   index.php index.html index.htm;
 }
 location ~ \.php$ {
    root /usr/share/nginx/html;
    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include        fastcgi_params;
 }</code></pre></li></ul></li><li>结合geo模块 想了解的话可以移步到 <a href="https://niuzheng.net/archives/3092/">使用Nginx+GeoIP获取IP信息</a></li><li>通过HTTP自定义变量传递</li></ul></li></ul></li><li><p>基于IP的访问控制(待完善)</p><h3>Nginx虚拟主机</h3></li></ul>

Nginx基本配置介绍(待完善)

Nginx配置⽂件

Nginx⽇志配置规范

Nginx⽇志变量

Nginx状态监控

Nginx下载站点

Nginx访问限制

Nginx连接限制

连接限制没有请求限制有效?

Nginx访问控制

Nginx虚拟主机

One comment

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

带你走入redis的应用场景

php 管道/流水线/Pipeline模式指的是什么？

简单聊一聊Redis持久化

带你一步步用php实现redis分布式、高并发库存问题

go语言之IO操作(待补充)

php 使用 json_encode 同时设置中文不转为unicode并且不转义反斜杠

laravel 常用的一些例子总结

OpenResty基于Redis 的动态路由你知道吗？

咱们来看看PHP内核：工作原理和生命周期

php 操作kafka的实践

Nginx基本配置介绍(待完善)

Nginx配置⽂件

Nginx⽇志配置规范

Nginx⽇志变量

Nginx状态监控

Nginx下载站点

Nginx访问限制

Nginx连接限制

连接限制没有请求限制有效?

Nginx访问控制

Nginx虚拟主机

One comment

Leave a Comment Cancel reply 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Nginx基本配置介绍(待完善)

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款