【Nginx】常用功能配置

日志

# 定义一个名为main的日志格式log_format  main  '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';# 使用名为main的格式作为access日志的格式access_log  /var/log/nginx/access.log  main;

日志格式参数

• $remote_addr：客户端地址
• $remote_user：客户端用户名称
• $time_local：访问时间和时区
• $request：请求的URI和HTTP协议
• $http_host：浏览器输入的地址（IP或域名）
• $status：HTTP的请求状态
• $upstream_status：upstream状态
• $body_bytes_sent：发送给客户端文件内容大小
• $http_referer：URL跳转来源
• $http_user_agent：用户终端浏览器等信息
• $ssl_protocol：SSL协议版本
• $ssl_cipher：交换数据中的算法
• $upstream_addr：真正提供服务的主机地址
• $request_time：整个请求的总时间
• $upstream_resopnse_time：请求过程中，upstream响应时间

---

访问限制

• 请求限制

http{    ...    #定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，    #以$binary_remote_addr 为key,限制平均每秒的请求为20个，    #1M能存储16000个状态，rete的值必须为整数，    #如果限制两秒钟一个请求，可以设置成30r/m    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;    ...    server{        ...        location {            ...            #限制每ip每秒不超过20个请求，漏桶数burst为5            #brust的意思就是，如果第1秒、2,3,4秒请求为19个，            #第5秒的请求为25个是被允许的。            #但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。            #nodelay，如果不设置该选项，严格使用平均速率限制请求数，            #第1秒25个请求时，5个请求放到第2秒执行，            #设置nodelay，25个请求将在第1秒执行。            limit_req zone=allips burst=5 nodelay;            ...        }        ...    }    ...}

• 连接限制

# limit_zone只能定义在http作用域，limit_conn可以定义在http server location作用域http{    ...    #定义一个名为one的limit_zone,大小10M内存来存储session，    #以$binary_remote_addr 为key    #nginx 1.18以后用limit_conn_zone替换了limit_conn    #且只能放在http作用域    limit_conn_zone   one  $binary_remote_addr  10m;      ...    server{        ...        location {            ...           limit_conn one 20;          #连接数限制           #带宽限制,对单个连接限数，如果一个ip两个连接，就是500x2k           limit_rate 500k;                        ...        }        ...    }    ...}

---

防盗链配置

• 在nginx.conf文件加入一个localtion配置项

location ~ .*\.(jpg|jpeg|JPG|png|gif|icon)$ {        valid_referers blocked www.mysite.com mysite.com;        if ($invalid_referer) {            return 404;        }}# gif|jpg|jpeg|….,这些是你想要屏蔽的文件类型，可以根据情况修改。# 只需要把文中 www.mysite.com mysite.com 修改为你允许显示 你网站图片的其他网站域名，注意中间用空格分开，而不是逗号。

---

负载均衡

upstream backend {             # down 表示单前的server暂时不参与负载.             # weight 默认为1.weight越大，负载的权重就越大。             # max_fails ：允许请求失败的次数默认为1.当超过最大次数时，返回proxy_next_upstream 模块定义的错误.             # fail_timeout : max_fails次失败后，暂停的时间。             # backup： 其它所有的非backup机器down或者忙的时候，请求backup机器。所以这台机器压力会最轻。             server 192.168.1.251 weight=10 down;             server 192.168.1.252 weight=20;             server 192.168.1.247 weight=30 backup;}server {        listen       80;        server_name  mysite;        location / {             # 反向代理的地址             proxy_pass http://backend;             }}