nginx相关场景配置
Salted Fish 2025/9/26 代理
# Nginx概述
简单说,Nginx 是个高性能的「反向代理服务器」,就像你公司门口的保安:
- 外部请求先经过它,再转发到你的后端服务(反向代理)
- 它能同时处理上万个并发连接,比 Tomcat 单线程傻等强 100 倍(高并发处理)
- 还能帮你处理静态文件、压缩数据、防恶意攻击(安全保镖)
举个栗子:你写了个电商接口,直接暴露 IP 怕被攻击?让 Nginx 当「中间人」,外部只知道 Nginx 的地址,真实服务器 IP 藏得严严实实。
# 实战场景一:反向代理 & 负载均衡(高并发必备)
场景: 多个后端服务负载不均,大促时部分服务器被压爆
配置目标: 让 Nginx 把请求均匀转发到 3 台后端服务器,隐藏真实 IP,还能自动剔除挂掉的节点
关键点:
- 后端服务器 IP 全藏在 Nginx 里,外部只能访问 Nginx 的公网 IP
- 大促时流量均匀分散到 3 台服务器,再也不用担心自己写的接口被压崩
# 全局配置:定义Nginx运行的基本参数
user nginx; # 运行用户,默认就行
worker_processes 1; # 工作进程数,一般设为CPU核心数,主机设1也行
# 错误日志和PID文件
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
# 负载均衡配置:定义后端服务器列表
upstream backend_servers {
# 轮询策略:默认按顺序转发请求
server 192.168.1.10:8080; # 后端服务器A
server 192.168.1.11:8080; # 后端服务器B
server 192.168.1.12:8080; # 后端服务器C
# 进阶配置:健康检查(服务器挂了自动踢掉)
least_conn; # 最小连接数策略,哪个服务器空闲就转发给谁
keepalive 32; # 保持32个长连接,减少TCP三次握手开销
proxy_next_upstream error timeout http_500; # 转发失败时,自动重试下一台服务器
}
# 服务器配置:定义Nginx对外提供服务的端口和规则
server {
# 监听80端口(HTTP)
listen 80;
# 域名,改成你的域名或IP
server_name www.yourdomain.com;
# 反向代理规则:所有以/api/开头的请求转发到后端服务器
location /api/ {
# 转发到upstream定义的服务器组
proxy_pass http://backend_servers/;
# 保持原始主机头
proxy_set_header Host $host;
# 传递客户端真实IP
proxy_set_header X-Real-IP $remote_addr;
# 传递代理链信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 传递协议类型(http/https)
proxy_set_header X-Forwarded-Proto $scheme;
# 连接后端服务器的超时时间
proxy_connect_timeout 30s;
# 读取后端服务器响应的超时时间
proxy_read_timeout 60s;
# 发送请求到后端服务器的超时时间
proxy_send_timeout 60s;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
# 实战场景二:静态资源处理 & 动静分离(网页加载速度起飞)
场景: 前端小姐姐抱怨图片 / JS 加载慢,甩锅说后端接口卡
配置目标: 让 Nginx 直接处理图片、CSS、JS 等静态文件,减轻后端压力
关键点:
- 静态文件直接由 Nginx 返回,速度比后端处理快 10 倍以上
- 浏览器缓存 + 压缩,用户第二次访问秒加载
server {
listen 80;
server_name www.yourdomain.com;
# 静态资源路径:假设图片存在/data/images/,JS/CSS在/data/static/
location /static/ {
root /data/; # 根路径,实际文件路径是/data/static/...
autoindex off; # 禁止列出目录(安全考虑)
expires 30d; # 浏览器缓存30天,减少重复请求
gzip on; # 开启压缩,减小文件传输大小
gzip_types text/css application/javascript image/png; # 压缩类型
}
location /images/ {
root /data/;
# 防盗链:防止其他网站盗用你的图片
valid_referers none blocked www.yourdomain.com;
if ($invalid_referer) {
return 403; # 非法引用返回403错误
}
}
# 动态请求(如登录接口)还是转发给后端
location /api/ {
proxy_pass http://backend_servers/;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# 实战场景三:限流防刷 & IP 黑白名单(防恶意攻击)
场景: 接口被恶意 IP 高频访问,服务器日志爆满
配置目标: 限制单个 IP 的并发连接数和请求频率,拉黑恶意 IP
关键点:
- 恶意 IP 频繁刷接口?直接返回 403,服务器日志再也不会爆了
- 登录接口限流后,再也不用担心被 CC 攻击打崩
# 先定义限流策略,放在http块里(和upstream同级)
http {
# 1. 并发连接限制:单个IP最多同时保持10个连接
limit_conn_zone $binary_remote_addr zone=ip_conn:10m; # 定义存储IP连接数的共享内存区
# 2. 请求频率限制:单个IP每秒最多5个请求(令牌桶算法)
limit_req_zone $binary_remote_addr zone=ip_req:10m rate=5r/s; # 每秒生成5个令牌
# 3. 黑白名单:定义允许/禁止访问的IP段
set $allow_ip "192.168.1.0/24"; # 允许访问的内网IP段
deny 10.0.0.1; # 单独禁止某个IP
}
server {
listen 80;
server_name www.yourdomain.com;
# 登录接口重点保护
location /api/login {
# 应用并发连接限制:每个IP最多10个并发连接
limit_conn ip_conn 10;
# 应用请求频率限制:突发请求最多排队10个(超出返回503)
limit_req zone=ip_req burst=10 nodelay;
# 黑白名单检查
if ($remote_addr !~* $allow_ip) { # 如果IP不在允许列表
return 403; # 禁止访问
}
proxy_pass http://backend_servers/;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
# 实战场景四:HTTPS 配置(数据加密传输)
场景: 用户反馈登录时浏览器提示「不安全」
配置目标: 启用 HTTPS,让数据加密传输,浏览器显示小绿锁
关键点:
- 小绿锁一亮。
- 数据加密传输,用户密码不怕被中间人窃取
server {
listen 443 ssl; # 监听443端口(HTTPS)
server_name www.yourdomain.com;
# 证书路径(从CA机构申请的证书和私钥)
ssl_certificate /etc/nginx/ssl/yourdomain.crt;
ssl_certificate_key /etc/nginx/ssl/yourdomain.key;
ssl_protocols TLSv1.2 TLSv1.3; # 启用安全的TLS协议版本
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384; # 加密算法
ssl_prefer_server_ciphers on; # 优先使用服务器端的加密算法
# 重定向HTTP到HTTPS(让用户输入http自动转https)
rewrite ^(.*)$ https://$host$1 permanent;
location / {
proxy_pass http://backend_servers/;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
2
3
4
5
6
7
8
9
10
11
12
13
14
15