使用nginx部署網站
前面的話
若是服務器只須要放置一個網站程序,解析網站到服務器的網站,網站程序監聽80端口就能夠了。若是服務器有不少應用,藉助nginx不只能夠實現端口的代理,還能夠實現負載均衡。本文將詳細介紹前端及nodeJS項目在服務器配置時須要用到的nginx配置javascript
安裝
【卸載nginx】php
在介紹如何安裝nginx以前,先要介紹如何卸載nginx。由於nginx不正確的安裝,致使沒法正常運行,因此須要卸載nginxcss
sudo apt-get remove nginx nginx-common # 卸載刪除除了配置文件之外的全部文件 sudo apt-get purge nginx nginx-common # 卸載全部東東,包括刪除配置文件 sudo apt-get autoremove # 在上面命令結束後執行,主要是卸載刪除Nginx的再也不被使用的依賴包 sudo apt-get remove nginx-full nginx-common #卸載刪除兩個主要的包
【安裝nginx】html
首先,更新包列表前端
sudo apt-get update
而後,必定要在sudo下安裝nginxvue
sudo apt-get install nginx
主機配置
【端口配置】java
listen 127.0.0.1:8000; listen *:8000; listen localhost:8000; # IPV6 listen [::]:8000; # other params listen 443 default_serer ssl; listen 127.0.0.1 default_server accept_filter=dataready backlog=1024
【主機名配置】node
server_name www.xiaohuochai.com xiaohuochai.com server_name *.xiaohuochai.com server_name ~^\.xiaohuochai\.com$
路徑配置
【location】react
nginx使用location指令來實現URI匹配linux
location = / { # 徹底匹配 = # 大小寫敏感 ~ # 忽略大小寫 ~* } location ^~ /images/ { # 前半部分匹配 ^~ # 可使用正則,如: # location ~* \.(gif|jpg|png)$ { } } location / { # 若是以上都未匹配,會進入這裏 }
【根目錄設置】
location / { root /home/test/; }
【別名設置】
location /blog { alias /home/www/blog/; } location ~ ^/blog/(\d+)/([\w-]+)$ { # /blog/20180402/article-name # -> /blog/20180402-article-name.md alias /home/www/blog/$1-$2.md; }
【首頁設置】
index /html/index.html /php/index.php;
【重定向頁面設置】
error_page 404 /404.html; error_page 502 503 /50x.html; error_page 404 =200 /1x1.gif; location / { error_page 404 @fallback; } location @fallback { # 將請求反向代理到上游服務器處理 proxy_pass http://localhost:9000; }
【try_files 設置】
try_files $uri $uri.html $uri/index.html @other; location @other { # 嘗試尋找匹配 uri 的文件,失敗了就會轉到上游處理 proxy_pass http://localhost:9000; } location / { # 嘗試尋找匹配 uri 的文件,沒找到直接返回 502 try_files $uri $uri.html =502; }
反向代理
代理分爲正向和反向代理,正向代理代理的對象是客戶端,反向代理代理的對象是服務端
反向代理(reserve proxy)方式是指用代理服務器來接受 Internet 上的鏈接請求,而後將請求轉發給內部網絡中的上游服務器,並將上游服務器上獲得的結果返回給 Internet 上請求鏈接的客戶端,此時代理服務器對外的表現就是一個 Web 服務器
【負載均衡設置】
upstream,定義一個上游服務器集羣
upstream backend { # ip_hash; server s1.barretlee.com; server s2.barretlee.com; } server { location / { proxy_pass http://backend; } }
【反向代理設置】
proxy_pass 將請求轉發到有處理能力的端上,默認不會轉發請求中的 Host 頭部
location /blog { prox_pass http://localhost:9000; ### 下面都是次要關注項 proxy_set_header Host $host; proxy_method POST; # 指定不轉發的頭部字段 proxy_hide_header Cache-Control; proxy_hide_header Other-Header; # 指定轉發的頭部字段 proxy_pass_header Server-IP; proxy_pass_header Server-Name; # 是否轉發包體 proxy_pass_request_body on | off; # 是否轉發頭部 proxy_pass_request_headers on | off; # 顯形/隱形 URI,上游發生重定向時,Nginx 是否同步更改 uri proxy_redirect on | off; }
HTTPS配置
server{
listen 80; server_name api.xiaohuochai.cc; return 301 https://api.xiaohuochai.cc$request_uri; } server{ listen 443; server_name api.xiaohuochai.cc; ssl on; ssl_certificate /home/www/blog/crt/api.xiaohuochai.cc.crt; ssl_certificate_key /home/www/blog/crt/api.xiaohuochai.cc.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; if ($ssl_protocol = "") { rewrite ^(.*)https://$host$1 permanent; } }
【HTTP2】
開啓HTTP2服務很是簡單,只須要在端口443後面添加http2便可
server{ listen 443 http2; ... }
gzip配置
開啓網站的 gzip 壓縮功能,一般能夠高達70%,也就是說,若是網頁有30K,壓縮以後就變成9K, 對於大部分網站,顯然能夠明顯提升瀏覽速度
gzip配置在nginx.conf文件中已經存在,只不過默認是註釋的狀態,只需將註釋符號去掉便可
## # Gzip Settings ## gzip on; gzip_disable "msie6"; gzip_vary on; gzip_proxied any; gzip_comp_level 6; gzip_buffers 16 8k; gzip_http_version 1.1; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
緩存配置
若是服務器中存在靜態資源,可設置本地強緩存。expires 7d表示在本地緩存7天
location / {
expires 7d;
...
}
設置完成後,瀏覽器會自動添加expires和cache-control字段
而對於協商緩存Etag和Last-Modified,nginx默認開啓,無需配置
CSP配置
跨域腳本攻擊 XSS 是最多見、危害最大的網頁安全漏洞。爲了防止它們,要採起不少編程措施,很是麻煩。不少人提出,能不能根本上解決問題,瀏覽器自動禁止外部注入惡意腳本?這就是"網頁安全政策"(Content Security Policy,縮寫 CSP)的來歷
CSP 的實質就是白名單制度,開發者明確告訴客戶端,哪些外部資源能夠加載和執行,等同於提供白名單。它的實現和執行所有由瀏覽器完成,開發者只需提供配置
目前,CSP有以下指令
指令 指令值示例 說明 default-src 'self' cnd.a.com 定義針對全部類型(js、image、css、web font,ajax 請求,iframe,多媒體等)資源的默認加載策略,某類型資源若是沒有單獨定義策略,就使用默認的。 script-src 'self' js.a.com 定義針對 JavaScript 的加載策略。 style-src 'self' css.a.com 定義針對樣式的加載策略。 img-src 'self' img.a.com 定義針對圖片的加載策略。 connect-src 'self' 針對 Ajax、WebSocket 等請求的加載策略。不容許的狀況下,瀏覽器會模擬一個狀態爲 400 的響應。 font-src font.a.com 針對 WebFont 的加載策略。 object-src 'self' 針對 <object>、<embed> 或 <applet> 等標籤引入的 flash 等插件的加載策略。 media-src media.a.com 針對 <audio> 或 <video> 等標籤引入的 HTML 多媒體的加載策略。 frame-src 'self' 針對 frame 的加載策略。 sandbox allow-forms 對請求的資源啓用 sandbox(相似於 iframe 的 sandbox 屬性)。 report-uri /report-uri 告訴瀏覽器若是請求的資源不被策略容許時,往哪一個地址提交日誌信息。 特別的:若是想讓瀏覽器只彙報日誌,不阻止任何內容,能夠改用 Content-Security-Policy-Report-Only 頭。
指令值能夠由下面這些內容組成:
指令值 指令示例 說明 img-src 容許任何內容。 'none' img-src 'none' 不容許任何內容。 'self' img-src 'self' 容許來自相同來源的內容(相同的協議、域名和端口)。 data: img-src data: 容許 data: 協議(如 base64 編碼的圖片)。 www.a.com img-src img.a.com 容許加載指定域名的資源。 .a.com img-src .a.com 容許加載 a.com 任何子域的資源。 https://img.com img-src https://img.com 容許加載 img.com 的 https 資源(協議需匹配)。 https: img-src https: 容許加載 https 資源。 'unsafe-inline' script-src 'unsafe-inline' 容許加載 inline 資源(例如常見的 style 屬性,onclick,inline js 和 inline css 等等)。 'unsafe-eval' script-src 'unsafe-eval' 容許加載動態 js 代碼,例如 eval()。
admin.xiaohuochai.cc中的CSP配置以下
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline'; frame-src https://demo.xiaohuochai.site https://xiaohuochai.site;";
隱藏信息
在請求響應頭中,有這麼一行 server: nginx,說明用的是 Nginx 服務器,但並無具體的版本號。因爲某些 Nginx 漏洞只存在於特定的版本,隱藏版本號能夠提升安全性。這隻須要在配置里加上這個就能夠了:
server_tokens off;
配置流程
下面在/etc/nginx/conf.d下新建一個配置文件,命名爲test-8081.conf,內容以下
注意:通常以域名-端口號來命名配置文件
upstream xiaohuochai { server 127.0.0.1:8081; } server{ listen 80; server_name 1.2.3.4; location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_pass http://test; proxy_redirect off; } }
下面使用sudo nginx -t來測試配置文件是否格式正確
若是不想讓報文顯示server的詳細信息,須要將/etc/nginx/nginx.conf主配置文件中的server_tockens off前面的註釋取消便可
接着,重啓nginx服務
sudo nginx -s reload
後端項目
下面來部署後端的nodejs項目,在/etc/nginx/conf.d目錄下新建文件,該項目佔用3000端口,則起名爲api-xiaohuochai-cc-3000.conf
upstream api { server 127.0.0.1:3000; } server{ listen 80; server_name api.xiaohuochai.cc; return 301 https://api.xiaohuochai.cc$request_uri; } server{ listen 443 http2; server_name api.xiaohuochai.cc; ssl on; ssl_certificate /home/www/blog/crt/api.xiaohuochai.cc.crt; ssl_certificate_key /home/www/blog/crt/api.xiaohuochai.cc.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; if ($ssl_protocol = "") { rewrite ^(.*)https://$host$1 permanent; } location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_pass http://api; proxy_redirect off; } }
後臺項目
後臺項目起名爲admin-xiaohuochai-cc-3001.conf。因爲項目採用react構建,與普通的靜態網站有些不一樣
一、前端路由
因爲使用前端路由,項目只有一個根入口。當輸入相似/posts的url時,找不到這個頁面,這是,nginx會嘗試加載index.html,加載index.html以後,react-router就能起做用並匹配咱們輸入的/posts路由,從而顯示正確的posts頁面
try_files $uri $uri/ /index.html = 404;
二、反向代理
因爲該項目須要向後端api.xiaohuochai.cc獲取數據,可是後臺佔用的是3000端口,至關於跨域訪問,這時就須要進行反向代理
location /api/ { proxy_pass http://api/; }
注意:必定要在api後面添加/,不然不生效
三、配置緩存及CSP
expires 7d; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline'; frame-src https://demo.xiaohuochai.site https://xiaohuochai.site;";
下面是詳細的配置文件
upstream admin { server 127.0.0.1:3001; } server{ listen 80; server_name admin.xiaohuochai.cc; return 301 https://admin.xiaohuochai.cc$request_uri; root /home/www/blog/admin/build; index index.html; } server{ listen 443 http2; server_name admin.xiaohuochai.cc; ssl on; ssl_certificate /home/www/blog/crt/admin.xiaohuochai.cc.crt; ssl_certificate_key /home/www/blog/crt/admin.xiaohuochai.cc.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; if ($ssl_protocol = "") { rewrite ^(.*)https://$host$1 permanent; } location /api/ { proxy_pass http://api/; } location / { index index.html; root /home/www/blog/admin/build; expires 7d; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline'; frame-src https://demo.xiaohuochai.site https://xiaohuochai.site;"; try_files $uri $uri/ /index.html = 404; } }
前臺項目
前臺項目起名爲www-xiaohuochai-cc-3002.conf。項目採用vue構建。該項目與後臺項目相似,但稍有些不一樣。不一樣之處在於,使用主域名xiaohuochai.cc或二級域名www.xiaohuochai.cc都須要跳轉
server{ listen 443 http2; server_name www.xiaohuochai.cc xiaohuochai.cc; ...
詳細配置以下
upstream client { server 127.0.0.1:3002; } server{ listen 80; server_name www.xiaohuochai.cc xiaohuochai.cc; return 301 https://www.xiaohuochai.cc$request_uri; root /home/www/blog/client/dist; index index.html; } server{ listen 443 http2; server_name www.xiaohuochai.cc xiaohuochai.cc; ssl on; ssl_certificate /home/www/blog/client/crt/www.xiaohuochai.cc.crt; ssl_certificate_key /home/www/blog/client/crt/www.xiaohuochai.cc.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; if ($ssl_protocol = "") { rewrite ^(.*)https://$host$1 permanent; } location /api/ { proxy_pass http://api/; } location / { index index.html; root /home/www/blog/client/source/dist; expires 7d; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://static.xiaohuochai.site ; img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline' https://static.xiaohuochai.site; frame-src https://demo.xiaohuochai.site https://xiaohuochai.site https://www.xiaohuochai.site;"; try_files $uri $uri/ /index.html = 404; } }
SSR項目
若是前端項目是服務器端渲染的SSR項目,則與普通的前端項目有很大不一樣,它不只須要守護後端程序,還有前端靜態資源的處理,若是是首頁,還須要處理www
詳細配置以下
upstream client { server 127.0.0.1:3002; } server{ listen 80; server_name www.xiaohuochai.cc xiaohuochai.cc; return 301 https://www.xiaohuochai.cc$request_uri; } server{ listen 443 http2; server_name www.xiaohuochai.cc xiaohuochai.cc; ssl on; ssl_certificate /home/blog/client/crt/www.xiaohuochai.cc.crt; ssl_certificate_key /home/blog/client/crt/www.xiaohuochai.cc.key; ssl_session_timeout 5m; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; if ($host = 'xiaohuochai.cc'){ rewrite ^/(.*)$ http://www.xiaohuochai.cc/$1 permanent; } location / { expires 7d; add_header Content-Security-Policy "default-src 'self' https://static.xiaohuochai.site; connect-src https://api.xiaohuochai.cc; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://static.xiaohuochai.site ; img-src 'self' data: https://pic.xiaohuochai.site https://static.xiaohuochai.site; style-src 'self' 'unsafe-inline' https://static.xiaohuochai.site; frame-src https://demo.xiaohuochai.site https://xiaohuochai.site https://www.xiaohuochai.site;"; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_pass http://client; proxy_redirect off; } }
相關文章
- 1. 使用Nginx部署靜態網站
- 2. 使用nginx部署靜態網站
- 3. nginx部署靜態網站
- 4. Nginx部署靜態網站
- 5. Nginx部署https網站
- 6. Python+uwsgi+nginx 部署網站
- 7. flask+uwsgi+nginx部署網站
- 8. 使用IIS部署網站
- 9. 使用GitHub部署網站
- 10. 使用phpstudy部署網站
- 更多相關文章...
- • Maven 自動化部署 - Maven教程
- • 網站 域名 - 網站主機教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 使用Nginx部署靜態網站
- 2. 使用nginx部署靜態網站
- 3. nginx部署靜態網站
- 4. Nginx部署靜態網站
- 5. Nginx部署https網站
- 6. Python+uwsgi+nginx 部署網站
- 7. flask+uwsgi+nginx部署網站
- 8. 使用IIS部署網站
- 9. 使用GitHub部署網站
- 10. 使用phpstudy部署網站