Nginx經常使用經典配置|反向代理、HTTPS重定向、端口轉發

二級目錄映射
目前先後端項目分離場景多了之後，通常是前端一個端口，後端一個端口。

如前端是https://example.com/index.html，調用的接口是https://example.com:4433

如此部署對於一些小項目未免有些麻煩，固然你在公網環境下也能夠選擇使用子域名、其餘域名進行跨域訪問。

這裏說的是同一個域名，同一個端口，讓先後端同時進行訪問服務。

前端地址：https://example.com/index.html

接口地址：https://example.com/api/

這裏先記錄我已經測試經過的反向代理的方式，即不改變本來的server配置。直接經過反向代理將example.com/api 重定向到 example.com:4443/

location ^~ /api/ {
    proxy_pass  https://example.com:4433/;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

值得一提的是，location段的^~是表明某個字符做爲開頭匹配，這裏就是以/api/做爲開頭進行匹配URL規則。

這裏不能寫做~，由於~是正則匹配的意思，用了正則就不能再proxy_pass段配置URI了，所謂URI就是4433端口後面的/。

若是不寫/，當訪問example.com/api/index.php時，會代理到example.com:4433/api/index.php。並不能定位到後端的根路徑，因此這裏以/結束。

非標準HTTPS端口重定向
若是想讓你的非標準https端口，如2083支持HTTP跳轉HTTPS訪問，請參照以下配置。

error_page 497 https://$host:2083$request_uri;

若是不這麼配置，默認當用戶不肯定網站協議時，採用了HTTP協議訪問你的HTTPS網站就會出現沒法訪問。

錯誤如：The plain HTTP request was sent to HTTPS port

HTTP強制跳轉HTTPS
平常爲了保證訪客安全性，咱們經常須要讓全站保持HTTPS訪問，那麼你能夠經過如下配置。

server {
    listen 80 default_server;
    server_name example.com;
    rewrite ^(.*) https://$server_name$1 permanent;
    #上面的rewrite也能夠寫做
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name example.com;
}

作法是，讓80監聽到的HTTP連接所有重定向到HTTPS端口中。

HSTS策略保持HTTPS鏈接
與此同時，你也能夠經過開啓HSTS策略強制讓訪客瀏覽器保持使用HTTPS連接，添加以下代碼：

• add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
• max-age：設置單位時間（秒）內強制使用 HTTPS 鏈接，這裏爲1年
• includeSubDomains：可選，站點全部子域同時生效
• preload：可選，非規範值，用於定義使用『HSTS 預加載列表』
• always：可選，保證全部響應都發送此響應頭，包括各類內置錯誤響應

Nginx反向代理
反向代理的場景不少，例如前面的先後端統一域名端口，例如負載均衡等。

location / {
    proxy_pass  http://example.com;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

完整參數配置

location / {
    proxy_pass  http://example.com;
    proxy_redirect     off;
    proxy_set_header   Host             $host;
    proxy_set_header   X-Real-IP        $remote_addr;
    proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
    proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
    proxy_max_temp_file_size 0;
    proxy_connect_timeout      90;
    proxy_send_timeout         90;
    proxy_read_timeout         90;
    proxy_buffer_size          4k;
    proxy_buffers              4 32k;
    proxy_busy_buffers_size    64k;
    proxy_temp_file_write_size 64k;
}

端口轉發
Nginx端口轉發性能也很是強大，能夠用於內網數據庫、其餘服務端口外露的場景。

如將內網的192.168.1.2MySQL數據庫端口經過Nginx所在服務器的33062端口進行外露。

upstream TCP3306 {
    hash $remote_addr consistent;
    server 192.168.1.2:3306;
}

server {
    listen 33062;
    proxy_connect_timeout 5s;
    proxy_timeout 300s;
    proxy_pass TCP3306;
}