前言

在学习 Nginx 之前，我们要熟知它的配置文件(默认的配置文件是nginx.conf)。毕竟，我们下面需要做的所有配置（反向代理、负载均衡、动静分离等），都是基于它的配置文件。

主配置文件示例

worker_processes  1;

events {
    worker_connections  1024;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;

    server {
        listen       80;
        server_name  localhost;

        location / {
            root   html;
            index  index.html index.htm;
        }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
 }

nginx.conf 可分为三部分：

第一部分：全局块

 worker_processes  1;

从配置文件开始到 events 块之间的内容，主要会设置一些影响 Nginx 服务器整体运行的配置指令，主要包括：配置运行 Nginx 服务器的用户（组）、允许生成的 worker process 数，进程 PID 存放路径、日志存放路径和类型以及配置文件的引入等。

上面这行 worker_processes 配置，这是 Nginx 服务器并发处理服务的关键配置，该值越大，可以支持的并发处理量也越多，但是会受到硬件、软件等设备的制约。

第二部分：events 块

events {
 worker_connections  1024;
}

events 块涉及的指令主要影响 Nginx 服务器与用户的网络连接，常用的设置包括：是否开启对多 work process下的网络连接进行序列化，是否允许同时接收多个网络连接，选取哪种事件驱动模型来处理连接请求，每个 wordprocess 可以同时支持的最大连接数等。

上述例子就表示每个 work process 支持的最大连接数为 1024。这部分的配置对 Nginx 的性能影响较大，在实际中应该灵活配置。

第三部分：http 块

http {
    include       mime.types;
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;

    server {
        listen       80;
        server_name  localhost;

        location / {
            root   html;
            index  index.html index.htm;
        }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
    }
}

这部分是 Nginx 服务器配置中最频繁的部分，代理、缓存和日志定义等绝大多数功能和第三方模块的配置都在这里。需要注意的是：http 块也可以包括 http 全局块、server 块。下面的反向代理、动静分离、负载均衡都是在这部分中配置

①、http 全局块

http 全局块配置的指令包括：文件引入、MIME-TYPE 定义、日志自定义、连接超时时间、单链接请求数上限等。

②、server 块

这块和虚拟主机有密切关系，虚拟主机从用户角度看，和一台独立的硬件主机是完全一样的，该技术的产生是为了节省互联网服务器硬件成本。

每个 http 块可以包括多个 server 块，而每个 server 块就相当于一个虚拟主机。而每个 server 块也分为全局 server 块，以及可以同时包含多个 locaton 块。

• 1、全局 server 块: 最常见的配置是本虚拟机主机的监听配置和本虚拟主机的名称或 IP 配置。
• 2、location 块:一个 server 块可以配置多个 location 块。这块的主要作用是基于 Nginx 服务器接收到的请求字符串（例如 server_name/uri-string），对虚拟主机名称（也可以是 IP 别名）之外的字符串（例如 前面的 /uri-string）进行匹配，对特定的请求进行处理。地址定向、数据缓存和应答控制等功能，还有许多第三方模块的配置也在这里进行。

通用模版

通用模板是放在include指令指定的位置下的, 比如: include servers/*;

意思是nginx在读取主配置文件nginx.conf时，会加载servers目录下的所有配置文件, 配置文件建议写成domain.conf

以下是通用模板：

server {
    listen 80;
 
	#自动跳转到HTTPS(可选，如果需要强制https可以添加该配置)
    if ($server_port = 80){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
 
    #监听443端口(必须)
    listen 443 ssl;
    
    server_name www.a.cn www.b.cn;
    index index.html index.php index.htm;
    root /www/wwwroot/www.a.cn;
 
    #引用证书(必须，放在conf/ssl目录下可以用相对路径，其他位置用自己定义的绝对路径)
    ssl_certificate     ssl/www_a_cn.crt;
    ssl_certificate_key  ssl/www_b_cn.key;
 
    #其他的配置信息···
}

如果有多个server 可以并列写，如：

server {
    listen 80;
 
	#自动跳转到HTTPS(可选，如果需要强制https可以添加该配置)
    if ($server_port = 80){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
 
    #监听443端口(必须)
    listen 443 ssl;
    
    server_name www.a.cn www.b.cn;
    index index.html index.php index.htm;
    root /www/wwwroot/www.a.cn;
 
    #引用证书(必须，放在conf/ssl目录下可以用相对路径，其他位置用自己定义的绝对路径)
    ssl_certificate     ssl/www_a_cn.crt;
    ssl_certificate_key  ssl/www_b_cn.key;
 
    #其他的配置信息···
}

server {
    listen 80;
 
	#自动跳转到HTTPS(可选，如果需要强制https可以添加该配置)
    if ($server_port = 80){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
 
    #监听443端口(必须)
    listen 443 ssl;
    
    server_name www.c.cn;
    index index.html index.php index.htm;
    root /www/wwwroot/www.a.cn;
 
    #引用证书(必须，放在conf/ssl目录下可以用相对路径，其他位置用自己定义的绝对路径)
    ssl_certificate     ssl/www_a_cn.crt;
    ssl_certificate_key  ssl/www_b_cn.key;
 
    #其他的配置信息···
}

server {
    listen 80;
 
	#自动跳转到HTTPS(可选，如果需要强制https可以添加该配置)
    if ($server_port = 80){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
 
    #监听443端口(必须)
    listen 443 ssl;
    
    server_name www.a.cn www.b.cn;
    index index.html index.php index.htm;
    root /www/wwwroot/www.d.cn;
 
    #引用证书(必须，放在conf/ssl目录下可以用相对路径，其他位置用自己定义的绝对路径)
    ssl_certificate     ssl/www_a_cn.crt;
    ssl_certificate_key  ssl/www_b_cn.key;
 
    #其他的配置信息···
}

配置完成后，重启nginx服务即可。

代理相关概念

代理分正向代理和反向代理，下面用一段简短的漫画来加深我们对代理的理解：

周末，我正在网上搜索简历，准备给团队招聘新人。这时候，女朋友回来了，看起来并不是很高兴。

反向代理（reverse proxy):是指以代理服务器来接受internet上的连接请求，然后将请求转发给下游服务器（通常是内部网络上的服务器），并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个反向代理服务器。

正向代理（forward proxy）

是一个位于客户端和目标服务器之间的服务器(代理服务器)，为了从目标服务器取得内容，客户端向代理服务器发送一个请求并指定目标，然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。

这种代理其实在生活中是比较常见的，比如访问外国网站技术，其用到的就是代理技术。

有时候，用户想要访问某国外网站，该网站无法在国内直接访问，但是我们可以访问到一个代理服务器，这个代理服务器可以访问到这个国外网站。这样呢，用户对该国外网站的访问就需要通过代理服务器来转发请求，并且该代理服务器也会将请求的响应再返回给用户。这个上网的过程就是用到了正向代理。

这个过程其实和租房子很像。

租房子的时候，一般情况下，我们很难联系到房东，因为有些房东为了图方便，只把自己的房屋信息和钥匙交给中介了。而房客想要租房子，只能通过中介才能联系到房东。而对于房东来说，他可能根本不知道真正要租他的房子的人是谁，他只知道是中介在联系他。

这里面一共有三个角色，租客（用户）、中介（代理服务器）和房东（国外网站，目标服务器）。引入中介（代理服务器）的原因是用户无法联系上房东（用户无法访问国外网站）。

所以，正向代理，其实是”代理服务器”代理了”客户端”，去和”目标服务器”进行交互。

通过正向代理服务器访问目标服务器，目标服务器是不知道真正的客户端是谁的，甚至不知道访问自己的是一个代理（有时候中介也直接冒充租客）。

正向代理的用途

突破访问限制

通过代理服务器，可以突破自身IP访问限制，访问国外网站，教育网等。即，租客可以通过中介，来解决无法联系上房东的问题。

提高访问速度

通常代理服务器都设置一个较大的硬盘缓冲区，会将部分请求的响应保存到缓冲区中，当其他用户再访问相同的信息时， 则直接由缓冲区中取出信息，传给用户，以提高访问速度。即，中介手里留存了很多房源信息和钥匙，可以直接带租客去看房。

隐藏客户端真实IP

上网者也可以通过这种方法隐藏自己的IP，免受攻击。即，房东并不知道租客的真实身份。PS：但是中介知道了，可能骚扰更多….

反向代理

反向代理（reverse proxy）：是指以代理服务器来接受internet上的连接请求，然后将请求转发给下游服务器（通常是内部网络上的服务器），并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个反向代理服务器

我们在租房子的过程中，除了有些房源需要通过中介以外，还有一些是可以直接通过房东来租的。用户直接找到房东租房的这种情况就是我们不使用代理直接访问国内的网站的情况。

还有一种情况，就是我们以为我们接触的是房东，其实有时候也有可能并非房东本人，有可能是他的亲戚、朋友，甚至是二房东。但是我们并不知道和我们沟通的并不是真正的房东。这种帮助真正的房主租房的二房东其实就是反向代理服务器。这个过程就是反向代理。

对于常用的场景，就是我们在Web开发中用到的负载均衡服务器（二房东），客户端（租客）发送请求到负载均衡服务器（二房东）上，负载均衡服务器（二房东）再把请求转发给一台真正的服务器（房东）来执行，再把执行结果返回给客户端（租客）。

所以，反向代理，其实是”代理服务器”代理了”目标服务器”，去和”客户端”进行交互。

通过反向代理服务器访问目标服务器时，客户端是不知道真正的目标服务器是谁的，甚至不知道自己访问的是一个代理。

反向代理的用途

隐藏服务器真实IP

使用反向代理，可以对客户端隐藏服务器的IP地址。

即，租客并不房东知道的真实身份。

负载均衡

反向代理服务器可以做负载均衡，根据所有真实服务器的负载情况，将客户端请求分发到不同的真实服务器上。

即，二房东发现房主本人很忙，于是找到房主的妻子帮忙处理租房事宜。

提高访问速度

反向代理服务器可以对于静态内容及短时间内有大量访问请求的动态内容提供缓存服务，提高访问速度。

即，二房东同样有房屋信息和钥匙。

提供安全保障

反向代理服务器可以作为应用层防火墙，为网站提供对基于Web的攻击行为（例如DoS/DDoS）的防护，更容易排查恶意软件等。还可以为后端服务器统一提供加密和SSL加速（如SSL终端代理），提供HTTP访问认证等。

即，二房东可以有效的保护房东的安全。

正向代理和反向代理的区别

虽然正向代理服务器和反向代理服务器所处的位置都是客户端和真实服务器之间，所做的事情也都是把客户端的请求转发给服务器，再把服务器的响应转发给客户端，但是二者之间还是有一定的差异的。

• 1、正向代理其实是客户端的代理，帮助客户端访问其无法访问的服务器资源。反向代理则是服务器的代理，帮助服务器做负载均衡，安全防护等。
• 2、正向代理一般是客户端架设的，比如在自己的机器上安装一个代理软件。而反向代理一般是服务器架设的，比如在自己的机器集群中部署一个反向代理服务器。
• 3、正向代理中，服务器不知道真正的客户端到底是谁，以为访问自己的就是真实的客户端。而在反向代理中，客户端不知道真正的服务器是谁，以为自己访问的就是真实的服务器。
• 4、正向代理和反向代理的作用和目的不同。正向代理主要是用来解决访问限制问题。而反向代理则是提供负载均衡、安全防护等作用。二者均能提高访问速度。

反向代理实战

1、反向代理实例一

实现效果：使用 Nginx 反向代理，访问 http://scott-xiong.com 直接跳转到 127.0.0.1:8080。

注意：此处如果要想从 http://scott-xiong.com 跳转到本机指定的ip，需要修改本机的hosts文件。此处略过

配置代码:

server {
 listen       80;
 server_name  192.168.17.129;

 location / {
  root   html;
  index  index.html index.htm;
  proxy_pass  http://127.0.0.1:8080
 }
}

如上配置，我们监听 80 端口，访问域名为 http://scott-xiong.com （不加端口号时默认为 80 端口），故访问该域名时会跳转到 127.0.0.1:8080 路径上。

此处的意思为：nginx 反向代理服务监听 192.168.2.13的80端口，如果有请求过来，则转到proxy_pass配置的对应服务器上，仅此而已。

2、反向代理实例二

实现效果：使用 Nginx 反向代理，根据访问的路径跳转到不同端口的服务中，Nginx 监听端口为 9001。

• 访问 http://127.0.0.1:9001/edu/直接跳转到 127.0.0.1:8081
• 访问 http://127.0.0.1:9001/vod/ 直接跳转到 127.0.0.1:8082

第一步，需要准备两个 tomcat，一个 8001 端口，一个 8002 端口，并准备好测试的页面

第二步，修改 nginx 的配置文件，在 http 块中配置 server

server {
 listen       9001;
 server_name  192.168.17.129;

 location ~ /edu/ {
  proxy_pass  http://127.0.0.1:8080
 }

 location ~ /vod/ {
  proxy_pass  http://127.0.0.1:8081
 }
}

根据上面的配置，当请求到达 Nginx 反向代理服务器时，会根据请求进行分发到不同的服务上。

实验结果：

3、补充：location 指令说明

该指令用于匹配 URL， 语法如下：

location [ = | ~ | ~* | ^~] uri {

}

• = ：用于不含正则表达式的 uri 前，要求请求字符串与 uri 严格匹配， 如果匹配成功，就停止继续向下搜索并立即处理该请求。
• ~：用于表示 uri 包含正则表达式，并且区分大小写。
• ~*：用于表示 uri 包含正则表达式，并且不区分大小写。
• ^~：用于不含正则表达式的 uri 前，要求 Nginx 服务器找到标识 uri 和请求

字符串匹配度最高的 location 后，立即使用此 location 处理请求，而不再使用 location块中的正则 uri 和请求字符串做匹配。

注意：如果 uri 包含正则表达式，则必须要有 ~ 或者 ~* 标识

4、转发header

location /some/path/ {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_pass http://localhost:8000;
}

更多配置，请参看 nginx官方文档 和 DevOps Guidebook