3天精通nginx第二天-https配置、缓存、压缩、防盗链、限速、黑白名单

https配置

nginx的ssl模块安装

使用命令查看安装nginx时是否安装ssl模块
/usr/local/nginx/sbin/nginx -V

如果有 --with-http_ssl_module配置，则证明nginx已经支持https。如果不存在该模块，则详见我的另一篇博客【Nginx动态添加模块 平滑升级】。

ssl证书生成

如果windows机器没有安装openssl，最好使用linux生成，免去了安装的烦恼

1.检测openssl是否安装

详细安装详见：https://jingyan.baidu.com/article/c74d6000cf991d0f6a595de6.html

2.创建服务器私钥，命令会让你输入一个口令

openssl genrsa -des3 -out server.key 1024

3. 创建签名请求的证书（CSR）

openssl req -new -key server.key -out server.csr

4. 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令

openssl rsa -in server.key -out server_nopass.key

5. 最后标记证书使用上述私钥和CSR

openssl x509 -req -days 365 -in server.csr -signkey server_nopass.key -out server.crt

通过上面的命令，生成四个文件,其中server.crt、server_nopass.key是需要的证书和私钥

nginx.conf配置

	# 轮训
	upstream upstream{
		server 192.168.110.102:8081;
   		server 192.168.110.102:8082;
	}
    server {
        listen       81; # 支持HTTP
        listen       443 ssl; # 添加HTTPS支持
        server_name  127.0.0.1;
	   #SSL配置
        ssl_certificate      /usr/local/nginx/cert/server.crt; # 配置证书
        ssl_certificate_key  /usr/local/nginx/cert/server_nopass.key; # 配置证书
        ssl_protocols        TLSv1 TLSv1.1 TLSv1.2; # 配置SSL协议版本
        ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; # 配置SSL加密算法
        ssl_prefer_server_ciphers  on; # 优先采取服务器算法
        ssl_session_cache    shared:SSL:10m; # 配置共享会话缓存大小
        ssl_session_timeout  10m; # 配置会话超时时间
	   location /upstream {
          proxy_pass http://upstream/;
	   }	   
    }

防盗链

1.nginx防盗链配置

域名为test.com的server_name都是有效的refer,valid_referers的值为0（允许访问），除此之外为1（返回404）

location ~ \.(GIF|jpg|png|jpeg) {
    # 对源站点验证
    valid_referers *.test.com;
    if ($invalid_referer) {
    return 404;
    }
    root /com/jit/static/image;
}

缓存

nginx将静态图片等文件缓存起来，减少了Nginx与后端服务之间的网络交互，减轻了网络的压力，而且在减少数据传输的延迟时同时可以提升用户访问速度。当启用缓存时，Nginx会将相应数据保存在磁盘缓存中，只要缓存数据尚未过期，就会使用缓存数据来响应客户端的请求。

为什么使用缓存

1. 服务器处理能力以及负载能力出现瓶颈，响应效率大大降低

2. 为了减少网络传输延迟，提升响应效率
   

3. 添加缓存配置

   proxy_cache_path /usr/local/nginx/cache levels=1:2 keys_zone=mycache:10m max_size=1g inactive=60m use_temp_path=off;
   

   命令	解释
   proxy_cache_path /usr/local/nginx/cache	定义 proxy_cache 缓存数据存放的位置
   levels=1:2	默认所有缓存文件都放在上面指定的根路径中，从而可能影响缓存的性能。推荐指定为 2 级目录来存储缓存文件
   keys_zone=mycache:10m	缓存自定义名称。1m 可以存储 8000 个key,10m可以存在80000个key
   max_size=1g	最大 cache 空间。如果不指定，会使用掉所有 disk space。当达到 disk 上限后，会删除最少使用的 cache
   inactive=60m	内存中缓存的过期检查周期。示例配置中如果 1h 内都没有被访问，则不论状态是否为 expired，都会清除缓存。需要注意的是，inactive 和 expired 配置项的含义是不同的
   expired	只是判断过期时间，不会删除缓存；而 inactive 是直接删除过期缓存
   use_temp_path	如果为 off，则 nginx 会将缓存文件直接写入指定的 cache 文件中，而不使用 temp_path 指定的临时存储路径

4. 引用缓存配置

可以在http,server,location中引入缓存配置

proxy_cache_path /usr/local/nginx/cache levels=1:2 keys_zone=mycache:10m max_size=1g inactive=60m use_temp_path=off;

server {
	listen       81;          # 服务端口
	server_name  localhost;   # 服务地址，多个用逗号分隔

	
	location / {  
		expires 2m;
		root   /com/jit/static; 
		index  jit.html; # 默认访问首页文件
	}
	location /image {  
		proxy_cache mycache;
		root   /com/jit/static/; 
	}
}

未缓存前访问：

缓存后访问：

压缩

对输出到客户端的内容进行压缩，以减小传输文件体积，减少对网络带宽的占用。服务器端要压缩，客户端必须解压缩，这都将占用cpu时间。不过，由于传输内容减小了，传输过程中，各网卡、路由器、交换机对数据包的处理时间也会缩短。

1. 客户端请求

   客户端发送的HTTP报头必须含有 “Accept-Encoding” 字段，且其值包含 “gzip” 这个压缩类型。一般浏览器都会发 “Accept-Encoding:gzip, deflate, sdch” 这样的报头
   

2. nginx响应

   服务器启用了gzip压缩，那么响应头会包含 Content-Encoding:gzip， 客户端根据这个来判断服务器返回的内容是否真正为gzip压缩过的内容
   

3. 压缩配置

   location ~ /(.*)\.(html|js|css|jpg|jpeg|png|gif)$ {#覆盖/re/a.htm路径
   		gzip on; # 启用gzip压缩，默认是off，不启用 设置是否开启gzip模块，减少带宽的开销，提高传输效率、渲染效率
   		
   		# 对js、css、jpg、png、gif格式的文件启用gzip压缩功能
   		gzip_types application/javascript text/css image/jpeg image/png image/gif image/jpg;
   		gzip_min_length 40; # 所压缩文件的最小值，小于这个的不会压缩
   		# gzip_buffers 4 1k; # 设置压缩响应的缓冲块的大小和个数，默认是内存一个页的大小
   		gzip_comp_level 1; # 压缩水平，默认1。取值范围1-9，取值越大压缩比率越大，但越耗cpu时间
   		
   		root /usr/local/nginx/html/valid_referers;
   	}
   	
       #gzip  on;                    # 设置是否开启gzip模块，减少带宽的开销，提高传输效率、渲染效率
       #gzip_min_length 1k;    #最小压缩文件大小
       #gzip_comp_level 2;    #gzip 压缩级别，1-9，数字越大压缩的越好，也越占用CPU时间
       #gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png application/vnd.ms-fontobject font/ttf font/opentype font/x-woff image/svg+xml;    #压缩类型，默认就已经包含textml，所以下面就不用再写了，写上去也不会有问题，但是会有一个warn。
       #gzip_vary on; # 是否在http header中添加Vary: Accept-Encoding，建议开启
   

   命令	配置值	解释
   gzip	on|off	是否开启压缩
   gzip_min_length	1	当返回内容大于此值时才会使用gzip进行压缩,以K为单位,当值为0时，所有页面都进行压缩
   gzip_buffers	4 16k	设置用于处理请求压缩的缓冲区数量和大小。比如32 4K表示按照内存页（one memory page）大小以4K为单位（即一个系统中内存页为4K），申请32倍的内存空间。建议此项不设置，使用默认值
   gzip_comp_level	3	设置gzip压缩级别，级别越底压缩速度越快文件压缩比越小，反之速度越慢文件压缩比越大，但级别越高越占用CPU资源
   gzip_disable		通过表达式，表明哪些UA头不使用gzip压缩
   gzip_types	text/pliain	设置需要压缩的MIME类型,如果不在设置类型范围内的请求不进行压缩
   gzip_vary	on|off	增加响应头”Vary: Accept-Encoding”

限速

location /download {
    limit_rate 1m; // 限制每S下载速度为1M
    limit_rate_after 30m; // 超过30M 之 后再限速
}

黑白名单(http_accesskey_module)

# 封禁规则从上至下依次执行
location / {
    #封禁指定IP
    deny 192.168.110.1;
    #开放指定IP
    allow 192.168.110.1;
    #开放指定IP段  
    #斜杠后面的24代表 ：匹配最后一位最大值 即 匹配 192.168.0.1 -> 192.168.0.254
    # 16：匹配后两位最大值 192.168.0.1 -> 192.168.255.254
    # 8：匹配后三位最大值的 192.0.0.1 -> 192.255.255.254
    allow 192.168.0.0/24;
    #封禁所有
    deny    all;
    #开放所有
    allow    all;
}

如果感觉这篇文章对您有帮助，可以给博主点赞、评论、收藏，这样是对博主最大的鼓励，谢谢。