nginx常用配置说明

1.nginx设置访问白名单

在 Nginx 中设置白名单可以通过以下步骤实现：

创建一个文本文件，用于存储白名单 IP 地址。例如，可以创建一个名为 whitelist.txt 的文件，并将允许访问的 IP 地址逐行添加到该文件中，每个 IP 地址占据一行。
将 whitelist.txt 文件放置到 Nginx 的配置目录中，通常位于 /etc/nginx 下。
在 Nginx 配置文件中，找到针对要保护的 URL 或路径的 location 块。例如，以下示例中的 location 块用于保护 /secured 路径：

location /secured {
# 引入白名单文件
include /etc/nginx/whitelist.txt;

# 拒绝除白名单以外的所有访问
deny all;

# 允许白名单中的 IP 地址访问
allow <IP 地址>;

# 可选：允许特定网段的 IP 地址访问
allow <IP 网段>;

# 可选：允许多个 IP 地址或网段访问，可以用空格分隔
allow <IP 地址/网段> <IP 地址/网段>;

# 可选：拒绝所有其他 IP 地址的访问
deny all;

# 其他配置
...
}
注意，上述配置中的 <IP 地址>、<IP 网段> 等需要替换为实际的 IP 地址或网段，用于指定白名单中允许访问的 IP 地址。可以根据需要添加多个 allow 行来允许多个 IP 地址或网段的访问。如果没有在白名单中的 IP 地址尝试访问 /secured 路径，将会被拒绝访问。
重新加载或重启 Nginx 服务，以使配置生效。
请注意，配置白名单时要谨慎，确保只有信任的 IP 地址被添加到白名单中，以避免未经授权的访问。同时，定期检查和更新白名单，以确保只有合法的 IP 地址能够访问。

2.nginx 使用 if和map来分流

在 Nginx 中，可以使用 if 和 map 指令来进行分流设置，以根据请求的条件将流量分发到不同的后端服务器或处理逻辑。以下是一个简单的示例：

http {
map $http_user_agent $backend {
# 定义 user agent 到后端服务器的映射关系
default backend1.example.com;
"~*Firefox" backend2.example.com;
"~*Chrome" backend3.example.com;
}

server {
listen 80;
server_name example.com;

location / {
# 使用 if 判断条件并进行分流
if ($http_user_agent ~* "MSIE") {
proxy_pass http://backend1.example.com;
}

if ($http_user_agent ~* "Firefox") {
proxy_pass http://backend2.example.com;
}

if ($http_user_agent ~* "Chrome") {
proxy_pass http://backend3.example.com;
}

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
}

在上面的配置中，使用了 map 指令将不同的 User Agent 映射到不同的后端服务器，并使用 if 指令根据请求的 User Agent 条件进行分流，将请求代理到相应的后端服务器。

需要注意的是，if 指令在 Nginx 中使用时要小心，因为它的使用可能会引发一些不期望的问题，如配置错误、性能下降等。建议使用 map 指令来处理分流逻辑，因为它更加高效和可维护。如果使用 if 指令时要谨慎，并遵循最佳实践。例如，避免在 if 指令中使用复杂的正则表达式或多个条件，以及避免在 if 指令中修改请求头或请求体等。

3 nginx使用proxy_redirect来分流

在 Nginx 中，proxy_redirect 指令用于配置代理服务器的重定向规则，可以用来分流请求到不同的目标服务器。proxy_redirect 指令的语法如下：

proxy_redirect default replacement [flag];

其中：

default 是需要被替换的字符串，通常是目标服务器的域名或 IP 地址。
replacement 是替换后的字符串，通常是目标服务器的新域名或 IP 地址。
flag 是一个可选的标志，用于指定重定向规则的行为，例如 permanent 表示使用 301 永久重定向，break 表示在第一个匹配的重定向规则后停止继续处理。

以下是一个使用 proxy_redirect 进行请求分流的示例配置：

http {
upstream backend1 {
server backend1.example.com;
}

upstream backend2 {
server backend2.example.com;
}

server {
listen 80;
server_name example.com;

location / {
proxy_pass http://backend1;
proxy_redirect http://backend1 http://backend2;
}
}
}
在上面的示例中，当请求到达 Nginx 服务器时，会被代理到 backend1.example.com，然后通过 proxy_redirect 指令将响应中的 http://backend1 替换为 http://backend2，从而实现请求分流到不同的后端服务器。请注意，这只是一个简单的示例，实际的配置可能需要根据您的具体需求和环境进行调整。

4.nginx限制并发数

在 Nginx 中，可以通过配置一些参数来限制并发连接数，从而控制服务器的负载和性能。以下是一些常见的方法：

worker_connections 参数：worker_connections 参数指定了每个 worker 进程可以同时处理的最大连接数。它的默认值通常是 512 或者 1024，可以根据服务器的性能和负载情况进行调整。例如，可以在 Nginx 配置文件中的 events 部分添加如下配置来设置 worker_connections 参数的值为 1024：

events {
worker_connections 1024;
}
2.worker_processes 参数：worker_processes 参数指定了 Nginx 使用的 worker 进程数。每个 worker 进程都可以处理一定数量的连接，因此通过调整 worker_processes 参数的值，可以间接地限制并发连接数。例如，可以在 Nginx 配置文件中的 events 部分添加如下配置来设置 worker_processes 参数的值为 4

events {
worker_processes 4;
}
3.limit_conn_module 模块：Nginx 提供了一个 limit_conn_module 模块，它可以用来限制并发连接数。可以在 Nginx 配置文件中使用 limit_conn 指令来设置每个 IP 地址的最大并发连接数。例如，以下配置会限制每个 IP 地址的并发连接数为 10：

http {
limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
server {
location / {
limit_conn conn_limit_per_ip 10;
# 其他配置...
}
}
}
4.limit_req_module 模块：Nginx 还提供了一个 limit_req_module 模块，它可以用来限制请求速率。可以使用 limit_req 指令来设置每个 IP 地址的请求速率和请求的最大数量。例如，以下配置会限制每个 IP 地址的请求速率为 10 req/s，且最多处理 100 个请求：

http {
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=10r/s;
server {
location / {
limit_req zone=req_limit_per_ip burst=100;
# 其他配置...
}
}
}
这些方法可以根据需要进行组合使用，以实现对并发连接数的精细控制。需要注意的是，合理地配置并发连接数限制参数可以保护服务器免受恶意请求和过载攻击，但设置过低可能会影响服务器的性能和响应能力，因此需要根据实际情况进行调整。

5.在nginx 日志中获取get、post请求参数

在 Nginx 的日志中，默认情况下是不会记录 GET 和 POST 请求的参数的。Nginx 的访问日志只记录了请求的一般信息，如访问时间、客户端 IP、请求方法、请求的 URL 等。

如果你需要在 Nginx 的日志中记录 GET 和 POST 请求参数，可以通过配置 Nginx 的日志格式来实现。下面是一个示例，展示如何配置 Nginx 访问日志格式来记录 GET 和 POST 请求参数：

http {
# ... 其他配置 ...

log_format custom_log '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent" '
'GET: $arg_param1=$arg_value1&$arg_param2=$arg_value2 '
'POST: $request_body';

access_log /var/log/nginx/access.log custom_log;

# ... 其他配置 ...
}

在上面的配置中，我们定义了一个名为 custom_log 的日志格式，其中包含了 GET 和 POST 请求参数的记录。$arg_param1 和 $arg_param2 表示 URL 查询字符串中的参数名，$arg_value1 和 $arg_value2 表示对应的参数值；$request_body 表示 POST 请求的请求体。

然后，我们将这个自定义的日志格式 custom_log 应用到 access_log 指令中，将访问日志记录到 /var/log/nginx/access.log 文件中。

请注意，开启记录 GET 和 POST 请求参数的日志可能会涉及到隐私和安全方面的考虑，因为请求参数可能包含敏感信息。在实际应用中，应谨慎处理日志中的敏感信息，确保符合相关法律法规和隐私政策的要求。同时，建议在生产环境中禁用记录请求参数的日志，以减少潜在的安全风险。

6.nginx配置开启跨域访问

要在nginx中配置允许跨域访问，可以使用以下方法：

添加CORS头信息：在nginx的配置文件中，可以使用add_header指令来添加CORS（Cross-Origin Resource Sharing）头信息。例如，以下配置将允许所有来源（*）的请求访问该服务器，并允许使用GET、POST、PUT、DELETE等HTTP方法：

location / {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,DELETE,OPTIONS';
add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
}

2.配置CORS的具体规则：如果你想为特定的来源或URL配置CORS规则，可以使用if语句结合$http_origin变量来实现。以下示例配置了只允许example.com域名下的请求访问该服务器：

location / {
if ($http_origin ~* (http://example\.com)$) {
add_header 'Access-Control-Allow-Origin' '$http_origin';
add_header 'Access-Control-Allow-Methods' 'GET,OPTIONS';
add_header 'Access-Control-Allow-Headers' 'DNT,Content-Type';
}
}

3.处理预检请求（OPTIONS请求）：当浏览器发送带有自定义头信息、使用PUT、DELETE等非简单请求方法的跨域请求时，会先发送一个OPTIONS请求进行预检。可以使用以下配置来处理OPTIONS请求：

location / {
if ($request_method = OPTIONS) {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET,Content-Type';
add_header 'Content-Length' 0;
add_header 'Content-Type' 'text/plain charset=UTF-8';
return 200;
}
# 其他请求处理逻辑
}
需要注意的是，配置CORS时要谨慎，避免将Access-Control-Allow-Origin设置为通配符*，除非你确定服务器上的资源对任何来源都是安全的。最好根据实际需求配置具体的来源或URL，以增强安全性。同时，还应该遵循CORS的安全策略，不允许不安全的跨域请求访问服务器上的敏感信息。

原文地址：https://blog.csdn.net/hy1308060113/article/details/130266488