核心概念:
-
指令 (Directives): 配置文件的基本构建块。每条指令以分号
;结束。指令可以设置参数(如worker_processes auto;)。 -
上下文 (Contexts): 指令被组织在特定的块(用花括号
{}包围)中,称为上下文。上下文定义了指令的作用范围,并可以嵌套。不同上下文中的指令可以继承或覆盖外层上下文的值。 -
继承性: 内层上下文中的指令可以继承外层上下文的值(如果内层没有显式设置该指令)。内层指令的设置会覆盖外层指令的设置。
主要配置文件结构:
一个典型的 nginx.conf 文件遵循以下层次结构:
# 全局上下文 (Main Context) - 影响整个 Nginx 进程
user nginx; # 运行 worker 进程的用户和组
worker_processes auto; # 工作进程数,通常设为 CPU 核心数或 'auto'
error_log /var/log/nginx/error.log warn; # 错误日志路径和级别 (debug, info, notice, warn, error, crit, alert, emerg)
pid /run/nginx.pid; # 存储主进程 ID 的文件
# 事件处理模型配置 (Events Context) - 配置网络连接处理
events {
worker_connections 1024; # 每个工作进程的最大并发连接数(直接影响最大并发量)
# multi_accept on; # 是否一次接受所有新连接 (默认 off)
# use epoll; # 指定高效的事件模型 (Linux 下推荐 epoll)
}
# HTTP 核心配置 (HTTP Context) - 所有 HTTP 相关配置的根上下文
http {
# 基础配置
include /etc/nginx/mime.types; # 包含 MIME 类型定义文件
default_type application/octet-stream; # 默认 MIME 类型
# 日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main; # 访问日志路径和格式
# 性能优化
sendfile on; # 启用高效文件传输 (sendfile 系统调用)
tcp_nopush on; # 在 sendfile 开启时启用,优化网络包发送
tcp_nodelay on; # 禁用 Nagle 算法,降低延迟
keepalive_timeout 65; # 客户端保持连接的超时时间(秒)
types_hash_max_size 2048; # 类型哈希表大小,影响性能
# Gzip 压缩
gzip on; # 启用 Gzip 压缩
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; # 压缩的文件类型
gzip_min_length 1024; # 最小压缩文件大小
gzip_comp_level 2; # 压缩级别 (1-9, 越高压缩率越高但越耗 CPU)
gzip_vary on; # 根据客户端是否支持 Gzip 添加 Vary 头
# 虚拟主机配置 (Server Context) - 定义一个网站或服务
server {
listen 80; # 监听端口 (常用 80 或 443)
server_name example.com www.example.com; # 服务器名称(域名),用于区分不同虚拟主机
# 根目录和索引文件
root /var/www/example.com; # 网站文件的根目录
index index.html index.htm; # 默认索引文件名(按顺序查找)
# 位置块 (Location Context) - 匹配特定 URI 路径,进行精细化配置
location / {
# 尝试访问文件 $uri, 找不到则尝试目录 $uri/, 再找不到则返回 404
try_files $uri $uri/ =404;
}
# 处理静态文件 (如图片、CSS、JS) 的 location 示例 (通常有性能优化)
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
expires 30d; # 设置浏览器缓存过期时间 (30天)
add_header Cache-Control "public"; # 添加缓存控制头
access_log off; # 可选:关闭此 location 的访问日志以减少日志量
}
# 反向代理配置示例 (将请求转发给后端应用服务器)
location /api/ {
proxy_pass http://backend_server; # 定义在 upstream 块中的后端服务器组名或具体地址
proxy_set_header Host $host; # 将原始请求的 Host 头发给后端
proxy_set_header X-Real-IP $remote_addr; # 将客户端真实 IP 传给后端
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 传递代理链信息
proxy_set_header X-Forwarded-Proto $scheme; # 传递原始请求协议 (http/https)
}
# 错误页面自定义
error_page 404 /404.html; # 自定义 404 错误页面
location = /404.html {
internal; # 该页面只能由 Nginx 内部重定向访问
root /usr/share/nginx/html; # 错误页面的根目录
}
error_page 500 502 503 504 /50x.html; # 自定义 5xx 错误页面
location = /50x.html {
internal;
root /usr/share/nginx/html;
}
}
# HTTPS 服务器配置示例 (在 server 块内)
server {
listen 443 ssl http2; # 监听 443 端口,启用 SSL/TLS 和 HTTP/2
server_name secure.example.com;
# SSL 证书和密钥路径
ssl_certificate /etc/nginx/ssl/example.com.crt; # 证书文件 (通常包含完整链)
ssl_certificate_key /etc/nginx/ssl/example.com.key; # 私钥文件
# SSL 协议和加密套件配置 (强调安全性和兼容性)
ssl_protocols TLSv1.2 TLSv1.3; # 启用 TLS 1.2 和 1.3 (禁用不安全的 TLSv1, TLSv1.1)
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...'; # 推荐的安全加密套件列表
ssl_prefer_server_ciphers on; # 优先使用服务器端提供的加密套件
ssl_session_cache shared:SSL:10m; # 配置 SSL 会话缓存以提高性能
ssl_session_timeout 10m; # SSL 会话超时时间
# 其他配置 (root, location 等) 和 HTTP 服务器类似...
# 通常会将 HTTP 请求重定向到 HTTPS
}
# 负载均衡配置 (Upstream Context) - 定义一组后端服务器
upstream backend_server {
# 负载均衡算法 (默认轮询 round-robin)
# least_conn; # 最少连接数
# ip_hash; # 基于客户端 IP 的哈希 (用于会话保持)
# 定义后端服务器
server backend1.example.com:8080 weight=3; # 服务器地址:端口, weight 设置权重 (越高被分配请求越多)
server backend2.example.com:8080; # 默认权重为 1
server backup.example.com:8080 backup; # 标记为备份服务器,主服务器不可用时才启用
# server unix:/tmp/backend.sock; # 也可以使用 Unix 域套接字
}
}