本篇会聊到两个问题,一是nginx配置的最佳实践,二是实际配置一次反向代理。
Best Practice
在对你的nginx进行配置之前,先做两个小步骤,对原始配置文件进行备份:
cp path/nginx.conf path/nginx.conf.backup-original
nginx -s reload
-
配置Worker Processes
Worker Processes指的是nginx要开启的进程数,在nginx的原始配置文件中默认设置为1,建议做法则是设置为auto或者机器的CPU核数
worker_processes auto;
-
关闭Server Tokens
默认情况下nginx的版本号是会暴露给所有访问该web服务器的客户端的,但是在实际的使用中,建议关闭Server Tokens,避免用户看到nginx版本,防止有人蓄意对特定版本号的nginx进行攻击。解决方式是在http block中添加
server_tokens off;
-
开通IPv4和IPv6的访问
默认情况下nginx会监听80端口和所有IPv4类型的地址,但如果你不是有意屏蔽IPv6地址,则需要手动配置,将其打开:
listen 80;
listen [::]:80;
反向代理配置
前文nginx负载均衡的实现(正向代理与反向代理)中已介绍过什么是反向代理,现介绍一下具体的使用场景:
我们将proxy_pass作为反代的指令,举个例子我们对百度进行反代,需求是只要流经localhost:80的请求,都返回百度首页
在conf.d/中新建example.conf文件:
server {
listen 80;
listen [::]:80;
server_name example.com;
location / {
proxy_pass http://www.baidu.com;
}
}
重新加载nginx配置文件:
nginx -s reload
访问localhost:80
curl localhost:80
得到如下图所示结果:
在对反代进行配置的过程中还有几种directives会经常被使用,proxy_set_header,proxy_buffers, proxy_bind。我们可以从以下几个场景进行解释:
代理服务器作为一个流量的中转,在转发时可以对请求进行再次包装:
proxy_set_header 设置代理服务器发送给被代理的服务器时请求的header
proxy_bind 设置代理服务器发送给被代理的服务器时请求的源ip,例如:
location / {
proxy_pass http://192.168.57.109:80;
proxy_bind $remote_addr transparent;
}
被代理的服务器收到的请求,来源不再是代理服务器的ip,而是客户端的ip
$proxy_buffers,前文我们也提到代理服务器可以提升访问性能,举个例子:当客户端处理实时数据的能力很差时,我们可以将被代理Server的response先缓存在proxy server本地,当response全部被proxy接收后,再返还给client。这样做对于处理实时数据很慢的client有益处,但是如果client实时处理能力不错,同时proxy_buffering被打开,则会导致整个请求时间变长(因为需要等到proxy server完全缓存来自目标server的response)。
