通过nginx将本地请求打到开发机上

现在的工作的由于环境的隔离，所以开发需要在开发机上进行开发。

本地调试时，如果希望将请求打到开发机上起的本地服务，在windows下可以通过fiddler来进行，但是在mac下由于不存在像fiddler般简单易用的软件，所以可以使用比如nginx来进行转发。

配置起来需要如下几部：

对于nginx来讲，配置文件中关键的内容有以下几点：

日志中的内建变量

这篇文章介绍的比较详细

Nginx的日志配置参数详解

转发的规则

具体的转发规则location我们就不赘述了，有很多文章介绍。

dns的问题

在我们的场景中，我们需要一个比较特殊的情况是：我们需要拦截某些请求到本地，而希望其他的请求继续走原始的路径。但是由于我们通过了配置hosts将域名打到了本地127001，所以如果在proxy_pass中继续配置 http://crm-offwork-intcom 的话，由于仍会走本机的host，所以仍然会打到本机的nginx上。所以我们需要绕过本机的host的配置。为了解决这个问题，我们需要了解下nginx对于域名的解析规则。nginx在加载配置文件的时候，会将host加载到上下文中，然后对于配置文件中的域名会进行解析。而如果我们不希望进行该解析，则需要通过内置变量来进行。比如$http_host。这就是我们在上面的配置文件中看到了：

的原因。

以上的讨论，在文章 Nginx 教程二：利用nginx搭建静态文件服务、正向代理服务器、反向代理服务器 也有讨论，称之为正向代理，与反向代理所区别。可以理解为一个为出，一个为入。

但是，单纯的如此编辑后，仍然会存在问题，比如域名解析不出来等。此时我们需要配上域名解析器，也就是server模块：

那么有个问题就产生了，这个ip是如何产生的呢。

查找域名解析器

我们需要去查找我们的$http_host的dns服务器域名。这时候nslookup就出场了。

使用nslookup查找域名：

于是我们便获得了dns的服务器。实际如果访问的是公网的话，则直接填8888，是Google提供的免费DNS服务器的IP地址。

其中stop和quit的区别在于quit是一种较平滑的退出。

这一小节中，我们将实战 Nginx 的四层和七层负载均衡功能。条件有限，使用一台公网主机，在上面搭建好 Nginx 服务。公网 IP 为 18076152113。

首先会进行简单的四层负载均衡实验，不会涉及多种负载均衡算法，只使用默认的 Round-Robin算法。在后续的七层负载均衡实验中，会重点测试不同的负载均衡策略，完成相关实验。

首先在 nginxconf 中添加如下 stream 指令块配置:

上述配置用端口3000和3001模拟两个上游服务器，然后在 upstream 指令块中指定这两个上游服务器的地址，同时给第一个设置权重为2。由于默认采用的是加权的 Round-Robin 算法，默认服务器的权重为1。设置为2，表明3次请求中，2次会转发到3000端口，一次会转发到3001端口，下面的测试也验证了这一点。

和四层的配置其实差不多，在七层中除了测试最基本的，我们还将测试前面提到的几种负载均衡策略，进一步熟悉 Nginx 中的负载均衡配置。

在 nginxconf 中添加如下的 http 指令块:

上述配置中，我们用8000，8001和8002三个端口模拟了3个上游服务器，默认使用轮询负载均衡算法，而且三个的权重均为1。进行如下的 http 请求操作，可以看到 Nginx 转发 http 请求会均匀地分配到3个服务器上。

我们打开 ip_hash 指令的注释，这个时候默认是使用客户端的 ip 地址作为 hash 的 key，然后重启 Nginx 服务并进行如下的命令行操作：

接下来，注释 ip_hash 指令，我们打开 hash user_$arg_username 这行配置的注释， hash 指令可以让我们根据我们设置的 key 进行 hash，然后根据 hash 值选择上游的服务器。具体测试参看下面的 Linux 命令：

这里我们可以看到，在请求中带上 username 参数，Nginx 中配置的 hash 算法会根据请求中带的 username 参数作为 key 去进行 hash，然后在根据 hash 结果映射上游服务器。username 相同时，选择的上游服务器肯定是一样的，只有在 username 的值发生变化时，返回的响应才可能有变化。

今天我们完成了几个测试实验，主要是针对 Nginx 的四层和七层的负载均衡功能进行了测试。这个功能在微服务部署中会有较多的应用。因为高流量企业为保证服务的高可用性，往往会水平扩展多个相同功能的服务，部署在多台主机上，这个时候负载均衡技术就能派上用场了，而 Nginx 提供了完善的负载均衡功能以及多种负载均衡算法，能满足大部分企业的需求，如果还不够，可以通过编写内部开发模块并集成到 Nginx，实现相应的需求。所以说 Nginx 是非常值得学习和深入研究的。

对于很多刚学习建站的新手，都有着这样的苦恼，PHP程序越来越多，而且大部分都是开源，想学习php或用php程序建站，可看着php运行环境的设置，就不知道从何下手，和IIS设置不一样，php运行环境的软件比如：Apache,mysql等都是英文的，今天给大家介绍一款多功能运行环境搭建软件APMServ。

APMServ软件介绍：

APMServ 526 是一款拥有图形界面的快速搭建Apache 229、PHP 526、MySQL 5128 40两个版本，虚拟主机、虚拟目录、端口更改、SMTP、上传大小限制、自动全局变量、SSL证书制作、缓存性能优化等设置，只需鼠标一点即可完成。

1、注意事项：APMServ程序所在路径不能含有汉字和空格。

2、MySQL默认用户名：root，密码为空

3、MySQL数据库文件存放目录：MySQL51/data或MySQL40/data

4、网站根目录[HTML,PHP]www/htdocs [ASP]www/asp [CGI,Perl]www/cgi-bin

5、访问本机请用http://127001/或https://127001/ (如果开启SSL)

6、非默认端口，网址为http://127001:端口/或https://127001:端口/

7、如果在“扩展功能”中选择使用Memcached，它的端口为：11211

8、APMServ集成了以下软件：

Apache 229 HTTP服务器

Nginx 0719 HTTP服务器

NetBox 28 Build 4128 HTTP服务器＋ASP脚本解释引擎

PHP 526 PHP脚本解释引擎

MiniPerl 58 Perl脚本解释器

Memcached 124 key-value内存缓存系统

MySQL 5128 MySQL数据库服务器

MySQL 4026 MySQL数据库服务器

phpMyAdmin 21192 MySQL数据库在线管理工具

eAccelerator 0953 PHP脚本加速引擎

ZendOptimizer 333 PHP脚本加速引擎

OpenSSL 098h HTTPS(SSL)安全传输协议

附加组件：

一Perl、CGI支持（需下载ActivePerl）：

APMServ 526 附带的是MiniPerl，可以运行简单的Perl、CGI程序。如果运行复杂的Perl、CGI程序，请下载ActivePerl，安装在APMServ所在分区根目录下的usr目录中。假如APMServ所在目录为E:/APMServ526，则将ActivePerl的安装路径选为E:/usr

ActivePerl 588819 for Windows请到中国站长之家wwwcnzzcc下载

注意事项：

迅雷、Skype、PPLive、BT等软件启动后默认会占用80端口，导致Apache无法启动。解决方法：先关闭这些软件，启动完APMServ之后，再开启这些软件。

APMServ 下载安装

APMServ 最新版本下载地址：http://www/softs/9469html(官方下载：http://apmservs135com/)，软件为绿色版本，下载解压，双击运行自解压包，请解压到一个英文目录下，比如：D:/APMServ526即可。

上一页12 3 下一页

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginxorg/en/docs/

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：http://nginxorg/en/docs/configurehtml

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"/nginxstatus"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginxconf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/11）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginxconf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginxconf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginxconf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginxconf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginxconf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(requestgetAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-319/bin/httpdsh 在不影响其他代码的地方加入:-Dhttpsprotocols=TLSv12, 例如

原文地址: https://blogweiyigeektop/2019/9-2-122html