一、Rewrite功能配置

1.1Rewrite的相关指令

1. set指令

该指令用来设置一个新的变量。

2.Rewrite常用全局变量

3.if指

该指令用来支持条件判断，并根据条件判断结果选择不同的 Nginx 配

置。

condition 为判定条件，可以支持以下写法：
1. 变量名。如果变量名对应的值为空或者是 0 ， if 都判断为 false, 其他条
件为 true 。
if ($param){
}
2. 使用 "=" 和 "!=" 比较变量和字符串是否相等，满足条件为 true ，不满
足为 false
if ($request_method = POST){
  return 405;
  }
注意：此处和 Java 不太一样的地方是字符串不需要添加引号。
3. 使用正则表达式对变量进行匹配，匹配成功返回 true ，否则返回
false 。变量与正则表达式之间使用 "~","~*","!~","!~*" 来连接。
"~" 代表匹配正则表达式过程中区分大小写，
"~*" 代表匹配正则表达式过程中不区分大小写
"!~" 和 "!~*" 刚好和上面取相反值，如果匹配上返回 false, 匹配不上返
回 true
if ($http_user_agent ~ MSIE){
  #$http_user_agent 的值中是否包含 MSIE 字符串，如果包含返回
true
  }
注意：正则表达式字符串一般不需要加引号，但是如果字符串中包
含 "}" 或者是 ";" 等字符时，就需要把引号加上。
4. 判断请求的文件是否存在使用 "-f" 和 "!-f",
当使用 "-f" 时，如果请求的文件存在返回 true ，不存在返回 false 。
当使用 "!f" 时，如果请求文件不存在，但该文件所在目录存在返回
true, 文件和目录都不存在返回 false, 如果文件存在返回 false
if (-f $request_filename){
# 判断请求的文件是否存在
}
if (!-f $request_filename){
# 判断请求的文件是否不存在
}
5. 判断请求的目录是否存在使用 "-d" 和 "!-d",
当使用 "-d" 时，如果请求的目录存在， if 返回 true ，如果目录不存在
则返回 false
当使用 "!-d" 时，如果请求的目录不存在但该目录的上级目录存在则返
回 true ，该目录和它上级目录都不存在则返回 false, 如果请求目录存
在也返回 false.
6. 判断请求的目录或者文件是否存在使用 "-e" 和 "!-e"
当使用 "-e", 如果请求的目录或者文件存在时， if 返回 true, 否则返回
false.
当使用 "!-e", 如果请求的文件和文件所在路径上的目录都不存在返回
true, 否则返回 false
7. 判断请求的文件是否可执行使用 "-x" 和 "!-x"
当使用 "-x", 如果请求的文件可执行， if 返回 true, 否则返回 false
当使用 "!-x", 如果请求文件不可执行，返回 true, 否则返回 false
 

4.break指令

该指令用于中断当前相同作用域中的其他 Nginx 配置。与该指令处于同

一作用域的 Nginx 配置中，位于它前面的指令配置生效，位于后面的指

令配置无效。

例子 :
location /{
if ($param){
set $id $1;
break;
limit_rate 10k;
}
}
 

5.return指令

该指令用于完成对请求的处理，直接向客户端返回响应状态代码。在

return 后的所有 Nginx 配置都是无效的。

code: 为返回给客户端的 HTTP 状态代理。可以返回的状态代码为 0~999
的任意 HTTP 状态代理
text: 为返回给客户端的响应体内容，支持变量的使用
URL: 为返回给客户端的 URL 地址
location /testreturn {

6.rewrite指令

7.rewrite_log指令

1.2Rewrite的案例

1. 域名跳转

2.域名镜像

3.独立域名

4.目录自动添加"/"

5.合并目录

6.防盗链

二、Nginx反向代理

2.1Nginx反向代理概述

(1) 服务端的设置：

http {

log_format main 'client send

request=>clientIp=$remote_addr serverIp=>$host';

  server{

  listen 80;

  server_name localhost;

  access_log logs/access.log main;

  location {

  root html;

  index index.html index.htm;

}

  }

  }

(2) 使用客户端访问服务端，打开日志查看结果

(3) 代理服务器设置：

server {

  listen 82;

  resolver 8.8.8.8;

  location /{

  proxy_pass http://$host$request_uri;

  }

  }

(4) 查看代理服务器的 IP(192.168.200.146) 和 Nginx 配置监听的端口 (82)

(5) 在客户端配置代理服务器

(6) 设置完成后，再次通过浏览器访问服务端

通过对比，上下两次的日志记录，会发现虽然我们是客户端访问服务

端，但是如何使用了代理，那么服务端能看到的只是代理发送过去的请

求，这样的化，就使用 Nginx 实现了正向代理的设置。

但是 Nginx 正向代理，在实际的应用中不是特别多，所以我们简单了解

下，接下来我们继续学习 Nginx 的反向代理，这是 Nginx 比较重要的一个

功能。

2.2Nginx反向代理的配置语法

proxy_pass

该指令用来设置被代理服务器地址，可以是主机名称、 IP 地址加端口号

形式。

URL: 为要设置的被代理服务器地址，包含传输协议 ( http , https:// ) 、

主机名称或 IP 地址加端口号、 URI 等要素。

举例：

proxy_pass http://www.baidu.com;

  location /server{}

  proxy_pass http://192.168.200.146;

  http://192.168.200.146/server/index.html

  proxy_pass http://192.168.200.146/;

  http://192.168.200.146/index.html

大家在编写 proxy_pass 的时候，后面的值要不要加 "/"?

接下来通过例子来说明刚才我们提到的问题：

server {

  listen 80;

  server_name localhost;

  location /{

  #proxy_pass http://192.168.200.146;

  proxy_pass http://192.168.200.146/;

  }

  }

  当客户端访问 http://localhost/index.html, 效果是一样的

  server{

  listen 80;

  server_name localhost;

  location /server{

  #proxy_pass http://192.168.200.146;

  proxy_pass http://192.168.200.146/;

  }

  }

  当客户端访问 http://localhost/server/index.html

  这个时候，第一个 proxy_pass 就变成了

http://localhost/server/index.html

第二个 proxy_pass 就变成了 http://localhost/index.html 效果

就不一样了。

proxy_set_header

该指令可以更改 Nginx 服务器接收到的客户端请求的请求头信息，然后

将新的请求头发送给代理的服务器

需要注意的是，如果想要看到结果，必须在被代理的服务器上来获取添

加的头信息。

被代理服务器： [192.168.200.146]

server {

listen 8080;

server_name localhost;

default_type text/plain;

return 200 $http_username;

}

代理服务器 : [192.168.200.133]

server {

listen 8080;

server_name localhost;

location /server {

proxy_pass

http://192.168.200.146:8080/;

proxy_set_header username TOM;

}

}

访问测试

proxy_redirect

该指令是用来重置头信息中的 "Location" 和 "Refresh" 的值。

》为什么要用该指令 ?

服务端 [192.168.200.146]

server {

listen 8081;

  server_name localhost;

  if (!-f $request_filename){

  return 302 http://192.168.200.146;

  }

  }

代理服务端 [192.168.200.133]

server {

  listen 8081;

  server_name localhost;

  location / {

  proxy_pass http://192.168.200.146:8081/;

  proxy_redirect http://192.168.200.146

http://192.168.200.133;

  }

  }

》该指令的几组选项

proxy_redirect redirect replacement;

redirect: 目标 ,Location 的值

replacement: 要替换的值

proxy_redirect default;

default;

将 location 块的 uri 变量作为 replacement,

将 proxy_pass 变量作为 redirect 进行替换

proxy_redirect off;

关闭 proxy_redirect 的功能

2.3Nginx反向代理实战

服务器1,2,3存在两种情况

2.4Nginx的安全控制

如何使用 SSL 对流量进行加密

翻译成大家能熟悉的说法就是将我们常用的 http 请求转变成 https 请求，

那么这两个之间的区别简单的来说两个都是 HTTP 协议，只不过 https 是

身披 SSL 外壳的 http.

HTTPS 是一种通过计算机网络进行安全通信的传输协议。它经由 HTTP 进

行通信，利用 SSL/TLS 建立全通信，加密数据包，确保数据的安全性。

SSL(Secure Sockets Layer) 安全套接层

TLS(Transport Layer Security) 传输层安全

上述这两个是为网络通信提供安全及数据完整性的一种安全协议， TLS 和

SSL 在传输层和应用层对网络连接进行加密。

总结来说为什么要使用 https:

http 协议是明文传输数据，存在安全问题，而 https 是加密传输，相当于

http+ssl ，并且可以防止流量劫持。

Nginx 要想使用 SSL ，需要满足一个条件即需要添加一个模块 -- with -

http_ssl_module , 而该模块在编译的过程中又需要 OpenSSL 的支持，

这个我们之前已经准备好了。

nginx 添加 SSL 的支持

（1）完成 -- with - http_ssl_module 模块的增量添加

》将原有 /usr/local/nginx/sbin/nginx 进行备份

》拷贝 nginx 之前的配置信息

》在 nginx 的安装源码进行配置指定对应模块 ./configure --

with-http_ssl_module

》通过 make 模板进行编译

》将 objs 下面的 nginx 移动到 /usr/local/nginx/sbin 下

》在源码目录下执行 make upgrade 进行升级，这个可以实现不停机添

加新模块的功能

Nginx 的 SSL 相关指令

因为刚才我们介绍过该模块的指令都是通过 ngx_http_ssl_module 模块

来解析的。

》 ssl: 该指令用来在指定的服务器开启 HTTPS, 可以使用 listen 443 ssl, 后

面这种方式更通用些。

server{

listen 443 ssl;

}

》 ssl_certifificate: 为当前这个虚拟主机指定一个带有 PEM 格式证书的证

书。

》 ssl_certifificate_key: 该指令用来指定 PEM secret key 文件的路径

》 ssl_session_cache: 该指令用来配置用于 SSL 会话的缓存

off: 禁用会话缓存，客户端不得重复使用会话

none: 禁止使用会话缓存，客户端可以重复使用，但是并没有在缓存中存

储会话参数

builtin: 内置 OpenSSL 缓存，仅在一个工作进程中使用。

shared: 所有工作进程之间共享缓存，缓存的相关信息用 name 和 size 来

指定

》 ssl_session_timeout ：开启 SSL 会话功能后，设置客户端能够反复使

用储存在缓存中的会话参数时间。

》 ssl_ciphers: 指出允许的密码，密码指定为 OpenSSL 支持的格式

可以使用 openssl ciphers 查看 openssl 支持的格式。

》 ssl_prefer_server_ciphers ：该指令指定是否服务器密码优先客户端

密码

生成证书

方式一：使用阿里云 / 腾讯云等第三方服务进行购买。

方式二 : 使用 openssl 生成证书

先要确认当前系统是否有安装 openssl

openssl version

安装下面的命令进行生成

mkdir /root/cert

cd /root/cert

openssl genrsa -des3 -out server.key 1024

openssl req -new -key server.key -out server.csr

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

openssl x509 -req -days 365 -in server.csr -signkey

server.key -out server.crt

开启 SSL 实例

server {

listen 443 ssl;

server_name localhost;

ssl_certificate server.cert;

ssl_certificate_key server.key;

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

（4）验证

反向代理系统调优

反向代理值 Buffffer 和 Cache

Buffffer 翻译过来是 " 缓冲 " ， Cache 翻译过来是 " 缓存 " 。

总结下：

相同点 :

两种方式都是用来提供 IO 吞吐效率，都是用来提升 Nginx 代理的性能。

不同点 :

缓冲主要用来解决不同设备之间数据传递速度不一致导致的性能低的问

题，缓冲中的数据一旦此次操作完成后，就可以删除。

缓存主要是备份，将被代理服务器的数据缓存一份到代理服务器，这样的

话，客户端再次获取相同数据的时候，就只需要从代理服务器上获取，效

率较高，缓存中的数据可以重复使用，只有满足特定条件才会删除 .

（1） Proxy Buffer 相关指令

》 proxy_buffering : 该指令用来开启或者关闭代理服务器的缓冲区；

》 proxy_buffers: 该指令用来指定单个连接从代理服务器读取响应的缓

存区的个数和大小。

number: 缓冲区的个数

size: 每个缓冲区的大小，缓冲区的总大小就是 number*size

》 proxy_buffer_size: 该指令用来设置从被代理服务器获取的第一部分响

应数据的大小。保持与 proxy_buffffers 中的 size 一致即可，当然也可以更

小。

》 proxy_busy_buffers_size ：该指令用来限制同时处于 BUSY 状态的缓

冲总大小。

》 proxy_temp_path: 当缓冲区存满后，仍未被 Nginx 服务器完全接受，

响应数据就会被临时存放在磁盘文件上，该指令设置文件路径

 

注意 path 最多设置三层。

》 proxy_temp_file_write_size ：该指令用来设置磁盘上缓冲文件的大

小。

通用网站的配置

proxy_buffering on;

proxy_buffer_size 4 32k;

proxy_busy_buffers_size 64k;

proxy_temp_file_write_size 64k;

根据项目的具体内容进行相应的调节。