省政府网站集约化建设方案关键词优化推广排名软件
1. 全局块
示例
user nginx; # 运行Nginx的工作进程的用户和组
worker_processes auto; # 工作进程数,通常设置为CPU核心数
error_log /var/log/nginx/error.log warn; # 错误日志位置与级别
pid /var/run/nginx.pid; # 存储主进程ID的文件路径# 设置工作进程的最大打开文件数限制
worker_rlimit_nofile 2048;# 包含其他配置文件(如果有)
include /etc/nginx/conf.d/*.conf;# 工作进程的CPU亲和性设置
worker_cpu_affinity auto;# 日志轮转
env NGINX_LOG_ROTATE=1;user:指定运行Nginx工作进程的用户和组。通常使用非特权用户以提高安全性。worker_processes:定义工作进程数量。auto会根据CPU核心数自动调整。对于多核CPU,建议设置为CPU核心数或略高于此值。error_log:错误日志的位置和记录等级(如warn, error, crit等)。可以设置不同的日志级别以控制日志输出量。pid:存放Nginx主进程ID的文件路径。用于管理Nginx进程。worker_rlimit_nofile:设置每个工作进程可以打开的最大文件数。这对于高并发场景非常重要。include:包含其他配置文件,便于管理和扩展。例如,将虚拟主机配置放在单独的文件中。worker_cpu_affinity:绑定工作进程到特定的CPU核心,减少上下文切换开销。env:设置环境变量,例如用于日志轮转。
2. Events 块
示例
events {worker_connections 1024; # 每个工作进程可以同时处理的最大连接数use epoll; # 在Linux系统上使用epoll模型提高效率multi_accept on; # 当接收到新连接时,立即接受所有等待中的连接accept_mutex on; # 启动accept锁机制,防止惊群效应accept_mutex_delay 50ms; # 设置accept锁的延迟时间
}worker_connections:每个工作进程可以同时处理的最大连接数。结合worker_processes来计算最大并发连接数。use:指定使用的事件驱动模型(在Linux上推荐使用epoll,在FreeBSD上使用kqueue)。multi_accept:允许工作进程在接受到新的连接通知后立即接受所有等待中的连接,提高处理效率。accept_mutex:启用或禁用accept锁机制,防止多个工作进程同时尝试接受连接导致的性能问题。accept_mutex_delay:设置accept锁的延迟时间,以平衡性能和公平性。
3. HTTP 块
这是Nginx的核心部分,几乎所有的Web服务器配置都在这里完成。
MIME类型
include /etc/nginx/mime.types; # 包含MIME类型的定义文件
default_type application/octet-stream; # 当找不到匹配的MIME类型时,默认使用此类型日志格式与访问日志
log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main; # 访问日志的位置和使用的日志格式log_format:定义日志格式,支持多种变量。可以自定义日志格式以满足特定需求。access_log:指定访问日志的位置和使用的日志格式。可以通过日志分析工具进行流量分析。
性能优化相关配置
sendfile on; # 开启高效传输模式
tcp_nopush on; # 减少网络包的数量
tcp_nodelay on; # 提高响应速度
keepalive_timeout 65; # 长连接超时时间
gzip on; # 开启Gzip压缩以减少传输数据量
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
gzip_min_length 1000; # 只对超过1KB的数据进行压缩
gzip_proxied any; # 对代理请求也启用压缩
gzip_buffers 16 8k; # 设置Gzip缓冲区大小
gzip_http_version 1.1; # 启用HTTP/1.1协议下的Gzip压缩
gzip_comp_level 6; # 设置Gzip压缩级别sendfile:启用或禁用sendfile()方法,用于高效传输静态文件。tcp_nopush:减少网络包的数量,配合sendfile使用。tcp_nodelay:提高响应速度,适用于小数据包的即时发送。keepalive_timeout:长连接超时时间,保持客户端连接一段时间。gzip:开启Gzip压缩以减少传输数据量。gzip_types:指定哪些MIME类型的内容需要压缩。gzip_min_length:只对超过一定大小的数据进行压缩。gzip_proxied:对代理请求也启用压缩。gzip_buffers:设置Gzip缓冲区大小。gzip_http_version:启用HTTP/1.1协议下的Gzip压缩。gzip_comp_level:设置Gzip压缩级别(1-9),数值越大压缩率越高但消耗更多CPU资源。
Server 块
每个server块代表一个虚拟主机或网站。
基本配置
server {listen 80; # 监听端口server_name example.com www.example.com; # 服务器名称或域名root /usr/share/nginx/html; # 网站根目录index index.html index.htm; # 默认首页文件location / {try_files $uri $uri/ =404; # 尝试查找请求的文件或目录,如果不存在返回404}error_page 404 /404.html; # 自定义404错误页面location = /404.html {root /usr/share/nginx/errors; # 自定义错误页面存放位置}
}SSL/TLS 配置示例
server {listen 443 ssl; # 监听SSL端口server_name example.com;ssl_certificate /etc/nginx/ssl/example.com.crt; # SSL证书路径ssl_certificate_key /etc/nginx/ssl/example.com.key; # SSL证书密钥路径ssl_protocols TLSv1.2 TLSv1.3; # 启用的SSL协议版本ssl_ciphers HIGH:!aNULL:!MD5; # 使用的加密套件ssl_prefer_server_ciphers on; # 强制服务器选择加密套件ssl_session_cache shared:SSL:10m; # 设置共享缓存ssl_session_timeout 10m; # 设置会话超时时间ssl_stapling on; # 启用OCSP staplingssl_stapling_verify on; # 启用OCSP stapling验证resolver 8.8.8.8 8.8.4.4 valid=300s; # 设置DNS解析器resolver_timeout 5s; # 设置DNS解析超时时间location / {root /usr/share/nginx/html;index index.html index.htm;}
}ssl_certificate和ssl_certificate_key:指定SSL证书和密钥路径。ssl_protocols:启用的SSL协议版本,建议仅启用TLSv1.2及以上版本。ssl_ciphers:指定使用的加密套件。ssl_prefer_server_ciphers:强制服务器选择加密套件。ssl_session_cache:设置共享缓存以提高SSL会话复用效率。ssl_session_timeout:设置会话超时时间。ssl_stapling和ssl_stapling_verify:启用OCSP stapling以提高证书验证效率。resolver和resolver_timeout:设置DNS解析器和超时时间。
反向代理配置
server {listen 80;server_name proxy.example.com;location / {proxy_pass http://backend_server; # 转发请求到后台服务器proxy_set_header Host $host; # 设置转发头信息proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;proxy_connect_timeout 60s; # 设置连接超时时间proxy_read_timeout 60s; # 设置读取超时时间proxy_send_timeout 60s; # 设置发送超时时间proxy_buffer_size 128k; # 设置代理缓冲区大小proxy_buffers 4 256k; # 设置代理缓冲区数量和大小proxy_busy_buffers_size 256k; # 设置忙时缓冲区大小proxy_temp_file_write_size 512k; # 设置临时文件写入大小proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504; # 设置故障转移策略}
}proxy_pass:转发请求到后台服务器。proxy_set_header:设置转发头信息,以便后台服务器获取客户端的真实信息。proxy_connect_timeout、proxy_read_timeout、proxy_send_timeout:设置连接、读取和发送超时时间。proxy_buffer_size、proxy_buffers、proxy_busy_buffers_size、proxy_temp_file_write_size:设置代理缓冲区相关参数。proxy_next_upstream:设置故障转移策略,当出现指定错误时尝试下一个上游服务器。
负载均衡配置
upstream backend_servers {server backend1.example.com weight=3; # 权重分配server backend2.example.com;server backend3.example.com;least_conn; # 使用最少连接策略hash $remote_addr consistent; # 使用一致性哈希算法keepalive 32; # 保持活动连接池大小
}server {listen 80;server_name loadbalancer.example.com;location / {proxy_pass http://backend_servers;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;}
}upstream:定义一组上游服务器。weight:设置服务器权重,权重高的服务器接收更多请求。least_conn:使用最少连接策略,优先选择当前连接数最少的服务器。hash:使用一致性哈希算法,确保相同客户端请求总是被分发到同一台服务器。keepalive:保持活动连接池大小,减少TCP连接建立的开销。
4. 高级用法
缓存配置
proxy_cache_path /data/nginx/cache levels=1:2 keys_zone=my_cache:10m max_size=10g inactive=60m use_temp_path=off;server {location / {proxy_cache my_cache;proxy_pass http://backend_server;proxy_cache_valid 200 302 10m; # 缓存状态码200和302响应10分钟proxy_cache_valid 404 1m; # 缓存状态码404响应1分钟add_header X-Cache-Status $upstream_cache_status; # 添加缓存状态头部proxy_cache_methods GET HEAD; # 仅缓存GET和HEAD请求proxy_cache_min_uses 3; # 请求至少三次才缓存proxy_cache_lock on; # 启用缓存锁,避免缓存穿透proxy_cache_use_stale error timeout updating http_500 http_502 http_503 http_504; # 使用过期缓存应对错误}
}proxy_cache_path:定义缓存路径、层级结构、键空间、最大大小和不活跃时间。proxy_cache:启用缓存并指定缓存区域。proxy_cache_valid:设置不同状态码的缓存时间。add_header:添加自定义响应头,方便调试和监控。proxy_cache_methods:仅缓存特定HTTP方法的请求。proxy_cache_min_uses:请求至少几次才缓存。proxy_cache_lock:启用缓存锁,避免缓存穿透。proxy_cache_use_stale:在某些情况下使用过期缓存,提高可用性。
访问控制
location /admin/ {allow 192.168.1.0/24; # 允许特定IP段访问deny all; # 拒绝其他所有IP访问auth_basic "Restricted Area"; # 启用基本认证auth_basic_user_file /etc/nginx/.htpasswd; # 指定密码文件satisfy any; # 满足任一条件即可访问
}allow和deny:基于IP地址的访问控制。auth_basic和auth_basic_user_file:启用基本认证并指定密码文件。satisfy any:满足任一条件即可访问,即允许通过IP白名单或用户名密码认证。
限流配置
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;server {location /search/ {limit_req zone=one burst=5 nodelay; # 设置每秒请求数限制,并允许突发5个请求limit_req_status 503; # 设置限流状态码limit_conn_zone $binary_remote_addr zone=addr:10m; # 定义连接限制区域limit_conn addr 10; # 每个IP最多10个并发连接}
}limit_req_zone:定义限流区域和速率。limit_req:应用限流规则,指定区域、突发容量和是否延迟处理。limit_req_status:设置限流状态码。limit_conn_zone:定义连接限制区域。limit_conn:应用连接限制规则,指定区域和最大连接数。
注意事项
在修改完配置后,通过nginx -t命令检查配置文件的有效性,并使用nginx -s reload重新加载配置以应用更改生效。