https配置
nginx的ssl模块安装
使用命令查看安装nginx时是否安装ssl模块
/usr/local/nginx/sbin/nginx -V
如果有 --with-http_ssl_module配置,则证明nginx已经支持https。如果不存在该模块,则详见我的另一篇博客【Nginx动态添加模块 平滑升级】。
ssl证书生成
如果windows机器没有安装openssl,最好使用linux生成,免去了安装的烦恼
1.检测openssl是否安装
详细安装详见:https://jingyan.baidu.com/article/c74d6000cf991d0f6a595de6.html
2.创建服务器私钥,命令会让你输入一个口令
openssl genrsa -des3 -out server.key 1024
3. 创建签名请求的证书(CSR)
openssl req -new -key server.key -out server.csr
- 在加载SSL支持的Nginx并使用上述私钥时除去必须的口令
openssl rsa -in server.key -out server_nopass.key
- 最后标记证书使用上述私钥和CSR
openssl x509 -req -days 365 -in server.csr -signkey server_nopass.key -out server.crt
通过上面的命令,生成四个文件,其中server.crt、server_nopass.key是需要的证书和私钥
nginx.conf配置
# 轮训
upstream upstream{
server 192.168.110.102:8081;
server 192.168.110.102:8082;
}
server {
listen 81; # 支持HTTP
listen 443 ssl; # 添加HTTPS支持
server_name 127.0.0.1;
#SSL配置
ssl_certificate /usr/local/nginx/cert/server.crt; # 配置证书
ssl_certificate_key /usr/local/nginx/cert/server_nopass.key; # 配置证书
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 配置SSL协议版本
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE; # 配置SSL加密算法
ssl_prefer_server_ciphers on; # 优先采取服务器算法
ssl_session_cache shared:SSL:10m; # 配置共享会话缓存大小
ssl_session_timeout 10m; # 配置会话超时时间
location /upstream {
proxy_pass http://upstream/;
}
}
防盗链
1.nginx防盗链配置
域名为test.com的server_name都是有效的refer,valid_referers的值为0(允许访问),除此之外为1(返回404)
location ~ \.(GIF|jpg|png|jpeg) {
# 对源站点验证
valid_referers *.test.com;
if ($invalid_referer) {
return 404;
}
root /com/jit/static/image;
}
缓存
nginx将静态图片等文件缓存起来,减少了Nginx与后端服务之间的网络交互,减轻了网络的压力,而且在减少数据传输的延迟时同时可以提升用户访问速度。当启用缓存时,Nginx会将相应数据保存在磁盘缓存中,只要缓存数据尚未过期,就会使用缓存数据来响应客户端的请求。
为什么使用缓存
-
服务器处理能力以及负载能力出现瓶颈,响应效率大大降低
-
为了减少网络传输延迟,提升响应效率
-
添加缓存配置
proxy_cache_path /usr/local/nginx/cache levels=1:2 keys_zone=mycache:10m max_size=1g inactive=60m use_temp_path=off;
命令 解释 proxy_cache_path /usr/local/nginx/cache 定义 proxy_cache 缓存数据存放的位置 levels=1:2 默认所有缓存文件都放在上面指定的根路径中,从而可能影响缓存的性能。推荐指定为 2 级目录来存储缓存文件 keys_zone=mycache:10m 缓存自定义名称。1m 可以存储 8000 个key,10m可以存在80000个key max_size=1g 最大 cache 空间。如果不指定,会使用掉所有 disk space。当达到 disk 上限后,会删除最少使用的 cache inactive=60m 内存中缓存的过期检查周期。示例配置中如果 1h 内都没有被访问,则不论状态是否为 expired,都会清除缓存。需要注意的是,inactive 和 expired 配置项的含义是不同的 expired 只是判断过期时间,不会删除缓存;而 inactive 是直接删除过期缓存 use_temp_path 如果为 off,则 nginx 会将缓存文件直接写入指定的 cache 文件中,而不使用 temp_path 指定的临时存储路径 -
引用缓存配置
可以在http,server,location中引入缓存配置
proxy_cache_path /usr/local/nginx/cache levels=1:2 keys_zone=mycache:10m max_size=1g inactive=60m use_temp_path=off;
server {
listen 81; # 服务端口
server_name localhost; # 服务地址,多个用逗号分隔
location / {
expires 2m;
root /com/jit/static;
index jit.html; # 默认访问首页文件
}
location /image {
proxy_cache mycache;
root /com/jit/static/;
}
}
未缓存前访问:
缓存后访问:
压缩
对输出到客户端的内容进行压缩,以减小传输文件体积,减少对网络带宽的占用。服务器端要压缩,客户端必须解压缩,这都将占用cpu时间。不过,由于传输内容减小了,传输过程中,各网卡、路由器、交换机对数据包的处理时间也会缩短。
-
客户端请求
客户端发送的HTTP报头必须含有 “Accept-Encoding” 字段,且其值包含 “gzip” 这个压缩类型。一般浏览器都会发 “Accept-Encoding:gzip, deflate, sdch” 这样的报头
-
nginx响应
服务器启用了gzip压缩,那么响应头会包含 Content-Encoding:gzip, 客户端根据这个来判断服务器返回的内容是否真正为gzip压缩过的内容
-
压缩配置
location ~ /(.*)\.(html|js|css|jpg|jpeg|png|gif)$ {#覆盖/re/a.htm路径 gzip on; # 启用gzip压缩,默认是off,不启用 设置是否开启gzip模块,减少带宽的开销,提高传输效率、渲染效率 # 对js、css、jpg、png、gif格式的文件启用gzip压缩功能 gzip_types application/javascript text/css image/jpeg image/png image/gif image/jpg; gzip_min_length 40; # 所压缩文件的最小值,小于这个的不会压缩 # gzip_buffers 4 1k; # 设置压缩响应的缓冲块的大小和个数,默认是内存一个页的大小 gzip_comp_level 1; # 压缩水平,默认1。取值范围1-9,取值越大压缩比率越大,但越耗cpu时间 root /usr/local/nginx/html/valid_referers; } #gzip on; # 设置是否开启gzip模块,减少带宽的开销,提高传输效率、渲染效率 #gzip_min_length 1k; #最小压缩文件大小 #gzip_comp_level 2; #gzip 压缩级别,1-9,数字越大压缩的越好,也越占用CPU时间 #gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png application/vnd.ms-fontobject font/ttf font/opentype font/x-woff image/svg+xml; #压缩类型,默认就已经包含textml,所以下面就不用再写了,写上去也不会有问题,但是会有一个warn。 #gzip_vary on; # 是否在http header中添加Vary: Accept-Encoding,建议开启
命令 配置值 解释 gzip on|off 是否开启压缩 gzip_min_length 1 当返回内容大于此值时才会使用gzip进行压缩,以K为单位,当值为0时,所有页面都进行压缩 gzip_buffers 4 16k 设置用于处理请求压缩的缓冲区数量和大小。比如32 4K表示按照内存页(one memory page)大小以4K为单位(即一个系统中内存页为4K),申请32倍的内存空间。建议此项不设置,使用默认值 gzip_comp_level 3 设置gzip压缩级别,级别越底压缩速度越快文件压缩比越小,反之速度越慢文件压缩比越大,但级别越高越占用CPU资源 gzip_disable 通过表达式,表明哪些UA头不使用gzip压缩 gzip_types text/pliain 设置需要压缩的MIME类型,如果不在设置类型范围内的请求不进行压缩 gzip_vary on|off 增加响应头”Vary: Accept-Encoding”
限速
location /download {
limit_rate 1m; // 限制每S下载速度为1M
limit_rate_after 30m; // 超过30M 之 后再限速
}
黑白名单(http_accesskey_module)
# 封禁规则从上至下依次执行
location / {
#封禁指定IP
deny 192.168.110.1;
#开放指定IP
allow 192.168.110.1;
#开放指定IP段
#斜杠后面的24代表 :匹配最后一位最大值 即 匹配 192.168.0.1 -> 192.168.0.254
# 16:匹配后两位最大值 192.168.0.1 -> 192.168.255.254
# 8:匹配后三位最大值的 192.0.0.1 -> 192.255.255.254
allow 192.168.0.0/24;
#封禁所有
deny all;
#开放所有
allow all;
}
如果感觉这篇文章对您有帮助,可以给博主点赞、评论、收藏,这样是对博主最大的鼓励,谢谢。