pay平台nginx配置文件详解
###全局块###
user www www; #指定运行worker process 的用户和用户组
worker_processes 4; #指定Nginx开启的子进程数量
error_log /data/www/logs/nginx/nginx_error.log ; #指定全局错误日志文件
pid /data/www/logs/nginx/nginx.pid; #指定nginx主进程的地址
worker_rlimit_nofile 65535; #指定一个Nginx进程最多可打开的文件描述符数量
##events 块用来指定Nginx的工作模式以及连接上限##
events
{
use epoll; #指定Nginx的工作模式 ,Nginx支持的工作模式又select、poll、kqueue、epoll、rtsig、和
/dev/poll,其中select和poll是标准工作模式,kqueue和 epoll是高效工作模式,epoll用于Linux平台
worker_connections 65535; #指定Nginx中每个进程的最大连接数(即接收客户端的最大请求数)
}
### http块负责HTTP服务器相关的属性配置 ###
http
{
include mime.types; #包含 etc/nginx/mine.type 文件,此文件用于设定文件的mime类型便于nginx识别
default_type application/octet-stream; #设置默认文件类型为二进制流
#nginx用ngx_http_proxy_module模块实现反向代理需求
proxy_redirect off;
proxy_set_header Host $host; #ngx_http_proxy_module模块需要读取的配置文件 修改http请求头
proxy_set_header X-Real-IP $remote_addr; #»ñæip
# X-Forwarded-For 字段表示该请求是由谁发起的
#proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #»ñúµÄæip
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90; #跟后端服务器连接超时时间,发起握手等候响应时间
proxy_send_timeout 90; #后端服务器回传时间,就是在规定时间内后端服务器必须传完所有数据
proxy_read_timeout 90; #连接成功后等待后端服务器的响应时间,已经进入后端的排队之中等候处理
proxy_buffer_size 4k; #代理请求缓冲区,会保存用户的头信息以供nginx进行处理
proxy_buffers 4 32k; #同上,告诉nginx保存单个用几个buffer最大用多少空间
proxy_busy_buffers_size 64k; #如果系统很忙的时候可以申请最大的 proxy_buffers
proxy_temp_file_write_size 64k; #proxy缓存临时文件的大小
charset utf-8;
server_names_hash_bucket_size 128;
client_header_buffer_size 32k; #客户端头信息
large_client_header_buffers 4 32k;
sendfile on; #开启高效的文件传输模式
tcp_nopush on; #设置 tcp_nopush 和 tcp_nodelay 为 on 是为防止网络阻塞。
keepalive_timeout 60; #设置客户端连接保活动的超时时间
#tcp_nodelay on;
gzip on;
gzip_min_length 1k;
gzip_buffers 4 16k;
gzip_http_version 1.0;
gzip_comp_level 2;
gzip_types text/plain application/x-javascript text/css application/xml;
gzip_vary on;
# limit_zone crawler $binary_remote_addr 10m;
log_format access_ssl '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" $http_x_forwarded_for';
### 开启nginx的缓存功能,需要添加如下两行 ###
#这一行分别表示:创建缓存的时候可能生成一些临时文件存放的位置
proxy_temp_path /home/proxy_temp_dir;
#这一行分别表示:定义缓存存储目录;缓存级别,表示缓存目录的第一级目录是1个字符,第二级目录是2个字符;内核中建立用于缓存缓存数据源数据的空间,查找缓存的时候,先从这个内核空间中找到,缓存数据的源数据,然后再到对应目录中查找缓存;这一行分别表示:缓存的数据,1小时内没有被访问过就删除;缓存空间最大值。
proxy_cache_path /home/passport levels=1:2 keys_zone=cache_passport:200m inactive=1d max_size=30g;
#nginx对于 upstream 默认使用的是基于IP的转发
upstream tomcats_pay { #upstream的负载均衡 采用 ip_hash 轮询策略
#ip_hash;
server 127.0.0.1:8080 max_fails=2 fail_timeout=10s;
}
##server 块用于配置HTTP虚拟服务器 ###
server {
listen 80; #此服务器监听的端口
server_name pay.kedou.com; #指定此服务器的IP地址或域名
#rewrite ^(.*) https://pay.kedou.com$1 permanent; #将HTTP请求重定向到 HTTPS
index index.html index.htm; #定义此虚拟服务器的默认首页地址,按序依次访问定义的文件
root /data/www/ROOT/pay/ROOT ; #定义虚拟服务器的根目录
access_log /data/www/logs/nginx/logs/pay.kedou.com.log access_ssl; #此虚拟服务器的访问日志
location / { #匹配访问路径以/开始的URI
if ($remote_addr ~ "172.16.19.[5|6]") {
access_log off;
}
proxy_next_upstream http_502 http_504 error timeout invalid_header; #失败连接的情形
proxy_pass http://tomcats_pay; #代理哪个web服务器
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr; #后端节点机器获取客户端真实ip的第一种方案
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #后端节点机器获取客户端真实ip的第二种方案
break;
#rewrite_by_lua 'eeye.capture_itf_invoke()';
}
#注释掉的如下location块 表示所有静态文件由nginx直接读取不经过 tomcat 或 resin
#location ~ .(gif|bmp|png|jpg|jpeg|swf|css|js)$ {
# expires 2h;
# root /data/www/ROOT/pay/ROOT ;
# index index.html index.htm;
# break;
# }
location /v/ {
rewrite ^/v/[0-9]+.[0-9]+.[0-9]+/(.*)$ /$1 break;
root /data/www/ROOT/;
}
location ~ ^/(assets)/ {
root /data/www/ROOT/;
}
}
###配置对HTTPS请求的处理###
server {
listen 443; #监听443端口
server_name kedou.com *.kedou.com; #虚拟服务器域名配置
index login.jsp; #定义此虚拟服务器的默认首页地址
root /data/www/ROOT/pay/ROOT ; #定义虚拟服务器的根目录
ssl on; #开启ssl参数
ssl_certificate 201713478180888.pem; #指定服务器证书
ssl_certificate_key 201713478180888.key; #指定私钥
ssl_session_timeout 5m; #指定 SSL 共享缓存的超时为 5 mins
#ssl_protocols SSLv2 SSLv3 TLSv1; #指定 SSL 协议(Nginx 默认使用)
#以 OpenSSL 库理解的格式指定密码(Nginx 默认使用)
#ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
#ssl_protocols SSLv3 TLSv1;# TLSv1.1 TLSv1.2;
#ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
#ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES128-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA
-AES128-GCM-SHA128:DHE-RSA-AES128-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA128:ECDHE-RSA-AES128-SHA384:ECDHE-RSA
-AES128-SHA128:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA128:DHE-RSA-AES128-SHA:DHE-RSA-AE
S128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA384:AES128-GCM-SHA128:AES128-SHA128:AES128-SHA128:AES128-SHA:AE
S128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m; #指定 SSL 共享缓存的大小为 10M。
ssl_session_tickets off;
ssl_stapling on; # Requires nginx >= 1.3.7
ssl_stapling_verify on; # Requires nginx >= 1.3.7
location ~ ^/druid {
proxy_pass http://tomcats_pay;
allow 127.0.0.0/24;
allow 192.168.17.0/24;
allow 192.168.172.0/24;
deny all;
access_log off;
}
location /
{
proxy_next_upstream http_502 http_504 error timeout invalid_header; #失败连接的情形
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_redirect off;
proxy_pass http://tomcats_pay; #代理的哪个服务器
}
location ~ .*.(jsp|do|html)?$
{
index index.jsp;
proxy_next_upstream http_502 http_504 error timeout invalid_header;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://tomcats_pay;
}
location /v/ {
rewrite ^/v/[0-9]+.[0-9]+.[0-9]+/(.*)$ /$1 break;
root /data/www/ROOT/;
}
location ~ ^/(assets)/ { #静态资源配置 location ~ ^/(assets)/ 指需要访问该localhost下的哪个文件夹
root /data/www/ROOT/; #root指资源在服务器中的绝对路径,此处配置不能出错,出错会找不到资源返回404
}
#log_format access_ssl '$remote_addr - $remote_user [$time_local] "$request" '
# '$status $body_bytes_sent "$http_referer" '
# '"$http_user_agent" $http_x_forwarded_for';
access_log /data/www/logs/nginx/logs/pay.kedou.com-1-ssl.log access_ssl;
}
}