使用ngx_http_ssl_module模塊實現 https
爲指定虛擬機啓用HTTPS protocol, 建議用listen指令代替
ssl_certificate file;
當前虛擬主機使用PEM格式的證書文件
ssl_certificate_key file;
當前虛擬主機上與其證書匹配的私鑰文件
ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 支持ssl協議版本,默認爲後三個
ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
none: 通知客戶端支持ssl session cache,但實際不支持
builtin[:size]:使用OpenSSL內建緩存,爲每worker進程私有
[shared:name:size]:在各worker之間使用一個共享的緩存
ssl_session_timeout time;
客戶端連接可以複用ssl session cache中緩存的ssl參數的有效時長,默認5m
[root@CentOS74 ~]# tree /etc/nginx/conf.d/
/etc/nginx/conf.d/
├── certs
│ ├── centos.crt #使用的證書文件與密鑰
│ ├── centos.key
│ ├── linux.crt
│ └── linux.key
└── vhost
├── centos.com.conf #兩個虛擬主機的配置文件
└── linux.com.conf
2 directories, 6 files
[root@CentOS74 ~]# cat /etc/nginx/conf.d/vhost/{centos,linux}.com.conf
server{
listen 443 ssl;
server_name www.centos.com;
root /data/vhost/centos;
ssl on; #啓用ssl加密
ssl_certificate /etc/nginx/conf.d/certs/centos.crt; #指定證書的存放路徑
ssl_certificate_key /etc/nginx/conf.d/certs/centos.key; #指定密鑰文件的存放路徑
ssl_session_cache shared:sslcache:20m; #啓用會話緩存,並多進程共享
ssl_session_timeout 10m; #會話緩存時間
}
server{
listen 443 ssl;
server_name www.linux.com;
root /data/vhost/linux;
ssl on;
ssl_certificate /etc/nginx/conf.d/certs/linux.crt;
ssl_certificate_key /etc/nginx/conf.d/certs/linux.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
}
[root@CentOS69 ~]# curl -k https://www.linux.com
linux
[root@CentOS69 ~]# curl -k https://www.centos.com
centos
[root@CentOS69 ~]# curl -k https://www.centos.com/test/
test
Rewrite 重寫
將用戶請求的URI基於PCRE regex所描述的模式進行檢查,而後完成重定向替換
rewrite regex replacement [flag]
將用戶請求的URI基於regex所描述的模式進行檢查,匹配到時將其替換爲replacement指定的新的URI
注意:如果在同一級配置塊中存在多個rewrite規則,那麼會自下而下逐個檢查;被某條件規則替換完成後,會重新一輪的替換檢查隱含有循環機制,但不超過10次;如果超過,提示500響應碼,[flag]所表示的標誌位用於控制此循環機制
如果replacement是以http://或https://開頭,則替換結果會直接以重向返回給客戶端, 即永久重定向301
[flag]:
last:重寫完成後停止對當前URI在當前location中後續的其它重寫操作,而後對新的URI啓動新一輪重寫檢查;提前重啓新一輪循環,不建議在location中使用break:重寫完成後停止對當前URI在當前location中後續的其它重寫操作,而後直接跳轉至重寫規則配置塊之後的其它配置;結束循環,建議在location中使用
redirect:臨時重定向,重寫完成後以臨時重定向方式直接返回重寫後生成的新URI給客戶端,由客戶端重新發起請求;使用相對路徑,或者http://或https://開頭,狀態碼:302
permanent:重寫完成後以永久重定向方式直接返回重寫後生成的新URI給客戶端,由客戶端重新發起請求,狀態碼:301
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location /redhat {
rewrite ^/redhat/(.*)$ /centos/$1;
rewrite ^/centos/6/(.*)$ /centos/6.9/$1;
rewrite ^/centos/7/(.*)$ /centos/7.5/$1;
rewrite ^/centos/7.4/(.*)$ /centos/7.5/$1;
}
}
[root@CentOS69 ~]# curl http://www.linux.com/redhat/
centos
[root@CentOS69 ~]# curl http://www.linux.com/redhat/6/
centos6.9
return:停止處理,並返回給客戶端指定的響應碼
return code [text];
return code URL;
if (condition) { ... }
條件滿足時,執行配置塊中的配置指令;server, location
比較操作符:= 相同 != 不同
~:模式匹配,區分字符大小寫
~*:模式匹配,不區分字符大小寫
!~:模式不匹配,區分字符大小寫
!~*:模式不匹配,不區分字符大小寫
文件及目錄存在性判斷:
-e, !-e 存在(包括文件,目錄,軟鏈接)
-f, !-f 文件 -d, !-d 目錄 -x, !-x 執行
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
listen 443 ssl;
server_name www.linux.com;
root /data/vhost/linux;
ssl_certificate /etc/nginx/conf.d/certs/linux.crt;
ssl_certificate_key /etc/nginx/conf.d/certs/linux.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
location / {
if ( $scheme = http ) {
rewrite /(.*) https://www.linux.com/$1 break;
}
}
location /redhat {
rewrite ^/redhat/(.*)$ /centos/$1;
rewrite ^/centos/6/(.*)$ /centos/6.9/$1;
rewrite ^/centos/7/(.*)$ /centos/7.5/$1;
rewrite ^/centos/7.4/(.*)$ /centos/7.5/$1;
}
}
[root@CentOS69 ~]# curl -kL www.linux.com
linux
[root@CentOS69 ~]# curl -kL www.linux.com/redhat/
centos
valid_referers none|blocked|server_names|string ...;
定義referer首部的合法可用值,不能匹配的將是非法值
none:請求報文首部沒有referer首部blocked:請求報文有referer首部,但無有效值
server_names:參數,其可以有值作爲主機名或主機名模式
arbitrary_string:任意字符串,但可使用*作通配符
regular expression:被指定的正則表達式模式匹配到的字符串,要使用~開頭
反向代理
proxy_pass URL;
Context:location, if in location, limit_except
代理的同時重寫(存疑)
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location / {
proxy_pass http://192.168.30.174/;
}
location /test {
rewrite ^/test/(.*)$ /redhat/$1 redirect;
}
}
[root@CentOS69 ~]# curl -L www.linux.com
192.168.30.174
[root@CentOS69 ~]# curl -L www.linux.com/test
174redhat
注意:主機後是否有"/"決定着代理的結果
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location /redhat {
proxy_pass http://192.168.30.174; #URL後沒有/
}
}
[root@CentOS69 ~]# curl www.linux.com/redhat/ #代理結果是在主機後添加請求的uri
174redhat
[root@CentOS69 ~]# curl www.linux.com/redhat/web1/
web1
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location /redhat {
proxy_pass http://192.168.30.174/; #URL後有/
}
}
[root@CentOS69 ~]# curl www.linux.com/redhat #redhat唄替換爲/
192.168.30.174
[root@CentOS69 ~]# curl www.linux.com/redhat/redhat/web1/ #uir等同於/redhat/web1/
web1
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location / {
proxy_pass http://192.168.30.174/redhat/;
}
}
[root@CentOS69 ~]# curl www.linux.com/web1/indasd #觀察錯誤頁面提示
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /redhat/web1/indasd was not found on this server.</p> #在redhat後加web1,是因爲redhat將/替換了
</body></html>
proxy_set_header field value;設定發往後端主機的請求報文的請求首部的值
Context: http, server, location
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;累加報文頭部,在每臺需要記錄代理服務器上配置
請求報文的標準格式如下:
X-Forwarded-For: client1, proxy1, proxy2
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location / {
proxy_pass http://192.168.30.174;
proxy_set_header X_Real_IP $remote_addr; #在反向代理服務器向後端服務器的請求報文中添加報文頭部
}
}
[root@CentOS174 ~]# cat /etc/httpd/conf/httpd.conf | grep LogFormat #修改日誌記錄內容格式
LogFormat "%{X_Real_IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
日誌文件中源地址IP記錄可以修改爲真正的客戶端地址,而不是反向代理服務器地址。同樣也可修改爲需要的字符串
192.168.30.74 - - [14/Jul/2018:04:09:46 +0800] "GET / HTTP/1.0" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
192.168.30.69 - - [14/Jul/2018:04:10:47 +0800] "GET / HTTP/1.0" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
proxy_cache_path;定義可用於proxy功能的緩存;Context:http
proxy_cache_path path [選項]...
選項:
[levels=levels]:目錄分級
[use_temp_path=on|off]:是否啓用臨時路徑
keys_zone=name:size:緩存名稱與大小限制(內存)
[inactive=time]:緩存時間
[max_size=size]:最大佔用空間(磁盤)
proxycache 指內存中緩存的大小,主要用於存放key和metadata(如:使用次數)
max_size 指磁盤存入文件內容的緩存空間最大值
proxy_cache zone | off; 默認off
指明調用的緩存,或關閉緩存機制;Context:http, server, location
proxy_cache_key string;緩存中用於“鍵”的內容
默認值:proxy_cache_key $scheme$proxy_host$request_uri;
proxy_cache_valid [code ...] time;定義對特定響應碼的響應內容的緩存時長
在主配置文件夾中定義緩存路徑和相關屬性
[root@CentOS74 vhost]# cat /etc/nginx/nginx.conf | grep proxy_cache
proxy_cache_path /var/cache/nginx levels=1:2:1 keys_zone=testcache:20m inactive=120s max_size=1g;
在子配置文件中聲明使用緩存方式
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location / {
proxy_pass http://192.168.30.174;
proxy_cache testcache; #使用指定空間的緩存
proxy_cache_key $request_uri; #緩存內存中鍵記錄的內容
proxy_cache_valid 200 301 302 1h; #緩存內容和時間
proxy_cache_valid any 1m;
}
}
訪問後端服務器站點後查看緩存文件
[root@CentOS74 vhost]# tree /var/cache/nginx/
/var/cache/nginx/
├── 3
│ └── ac
│ └── 2
│ └── 8568ba40bf40a2f0c1026178eeb32ac3
└── 9
└── 7d
└── c
└── 6666cd76f96956469e7be39d750cc7d9
6 directories, 2 files
proxy_cache_use_stale;proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...
在被代理的後端服務器出現哪種情況下,可以真接使用過期的緩存響應客戶端
proxy_cache_methods GET | HEAD | POST ...;對哪些客戶端請求方法對應的響應進行緩存,GET和HEAD方法總是被緩存
proxy_hide_header field;
默認nginx在響應報文不傳遞後端服務器的首部字段Date, Server, X-Pad, X-Accel-等,用於隱藏後端服務器特定的響應首部
proxy_connect_timeout time;定義與後端服務器建立連接的超時時長,如超時會出現502錯誤,默認爲60s,一般不建議超出75s
proxy_send_timeout time;將請求發送給後端服務器的超時時長;默認爲60s
proxy_read_timeout time;等待後端服務器發送響應報文的超時時長,默認爲60s
add_header name value [always];
添加自定義響應報文首部
add_header X-Via $server_addr;
add_header X-Cache $upstream_cache_status;
add_header X-Accel $server_name;
[root@CentOS74 vhost]# cat linux.com.conf
server{
listen 80;
server_name www.linux.com;
root /data/vhost/linux;
location / {
proxy_pass http://192.168.30.174;
proxy_set_header X_Real_IP "jiangbowen";
proxy_cache testcache;
proxy_cache_key $request_uri;
proxy_cache_valid 200 301 302 1h;
proxy_cache_valid any 1m;
add_header X-Cache $upstream_cache_status; #自定義頭部,顯示是否命中緩存
}
}
[root@CentOS69 ~]# curl -I -s www.linux.com/test/redhat/ | grep X-Cache
X-Cache: MISS
[root@CentOS69 ~]# curl -I -s www.linux.com/test/redhat/ | grep X-Cache
X-Cache: HIT
add_trailer name value [always];添加自定義響應信息的尾部尾部