简单记录 Nginx 反向代理相关的一些配置文件,描述不足之处请自行查阅相关资料。
1. HTTP 配置
upstream web {
server domain.com:80;
}
server {
# 监听 tcp4
listen 80;
# 监听 tcp6
listen [::]:80;
# 无效域名 _ 匹配任意域名,优先级最低
server_name _;
# 访问日志
access_log /var/log/nginx/access.log main;
# 错误日志
error_log /var/log/nginx/error.log notice;
# 客户端请求体大小,避免大文件上传 413
client_max_body_size 1024m;
# X-Frame-Options 标头
add_header X-Frame-Options sameorigin;
# 内容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# 允许的外域 URI
# add_header Access-Control-Allow-Origin *;
# 允许的 HTTP 方法,用于 OPTIONS 预检请求
# add_header Access-Control-Allow-Methods *;
# 允许的 HTTP 请求头,用于 OPTIONS 预检请求
# add_header Access-Control-Allow-Headers *;
# OPTIONS 预检请求结果缓存时间,单位秒
# add_header Access-Control-Max-Age 86400;
# 如果为 OPTIONS 预检请求,返回 204 No Content
# if ($request_method = OPTIONS) {
# return 204;
# }
# 前端静态文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 后端 API,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
location /api/ {
# 代理转发目标,注意需要添加请求协议
proxy_pass http://web/;
# Host 主机名
proxy_set_header Host $host;
# X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理服务器的主机名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定义客户端请求的原始端口
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
2. HTTPS 配置
实现 HTTPS 访问首先需要申请证书,制作自签名证书的方法网上很多,但因命令较为复杂,所以此处笔者使用的一键生成工具Fishdrowned/ssl,具体使用方法参考作者使用说明。
拉取仓库
$ git clone https://gitee.com/xiaoqqya/ssl.git
生成证书
$ ./ssl/gen.cert.sh domain.com
[TencentCloudSDKException] code:FailedOperation.ServiceIsolate message:service is stopped due to arrears, please recharge your account in Tencent Cloud requestId:1e49df33-eb8a-4f8f-937d-9e89c83f0646<details><summary>*<font color='gray'>[En]</font>*</summary>*<font color='gray'>[TencentCloudSDKException] code:FailedOperation.ServiceIsolate message:service is stopped due to arrears, please recharge your account in Tencent Cloud requestId:6727bf36-a9a6-4969-85a7-fcad0e113c93</font>*</details>
$ cp ./ssl/out/root.crt /data/www/domain.com/certs/ca.crt
[TencentCloudSDKException] code:FailedOperation.ServiceIsolate message:service is stopped due to arrears, please recharge your account in Tencent Cloud requestId:7b708c3b-979a-40ea-9068-2602917448ea<details><summary>*<font color='gray'>[En]</font>*</summary>*<font color='gray'>[TencentCloudSDKException] code:FailedOperation.ServiceIsolate message:service is stopped due to arrears, please recharge your account in Tencent Cloud requestId:513bab90-290f-41cb-8dde-6805a313562b</font>*</details>
$ cp ./ssl/out/domain.com/20220104-1757/domain.com.bundle.crt /data/www/domain.com/certs/server.crt
$ cp ./ssl/out/cert.key.pem /data/www/domain.com/certs/server.key
upstream web {
server domain.com:443;
}
server {
# 监听 tcp4 并开启 http2
listen 443 ssl http2;
# 监听 tcp6 并开启 http2
listen [::]:443 ssl http2;
# 无效域名 _ 匹配任意域名,优先级最低
server_name _;
# 访问日志
access_log /var/log/nginx/access.log main;
# 错误日志
error_log /var/log/nginx/error.log notice;
# 服务器证书文件
ssl_certificate /data/www/domain.com/certs/server.crt;
# 服务器证书密钥文件
ssl_certificate_key /data/www/domain.com/certs/server.key;
# 支持的 ssl 或 tls 的版本
ssl_protocols TLSv1.2 TLSv1.3;
# 是否由服务器决定采用哪种算法,默认 off;如果 ssl 协议支持 tlsv1、tlsv1.1 老协议,设置为 on 并配合 ssl_ciphers 使用,如果 ssl 协议为 tlsv1.2、tlsv1.3 新协议,设置为 off,新协议不再采纳该参数
ssl_prefer_server_ciphers off;
# 支持 ssl 协议的加密套件
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
# 启用 ssl session 缓存,占用 10m 内存,缓存时间由 ssl_session_timeout 决定
ssl_session_cache shared:SSL:10m;
# 客户端可以重用会话的时间
ssl_session_timeout 10m;
# 客户端请求体大小,避免大文件上传 413
client_max_body_size 1024m;
# HSTS: HTTP 严格传输安全
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# X-Frame-Options 标头
add_header X-Frame-Options sameorigin;
# 内容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# HTTPS 通过 HTTP 访问时 Nginx 触发 497 状态码,重定向到 HTTPS
error_page 497 https://$http_host$uri$is_args$args;
# 前端静态文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 后端 API,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
location /api/ {
# 代理转发目标,注意需要添加请求协议
proxy_pass http://web/;
# Host 主机名
proxy_set_header Host $host;
# X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理服务器的主机名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定义客户端请求的原始端口
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
3. WS 配置
upstream web {
server domain.com:80;
}
map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
# 监听 tcp4
listen 80;
# 监听 tcp6
listen [::]:80;
# 无效域名 _ 匹配任意域名,优先级最低
server_name _;
# 访问日志
access_log /var/log/nginx/access.log main;
# 错误日志
error_log /var/log/nginx/error.log notice;
# 客户端请求体大小,避免大文件上传 413
client_max_body_size 1024m;
# X-Frame-Options 标头
add_header X-Frame-Options sameorigin;
# 内容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# 前端静态文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 后端 WebSocket,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
location /websocket/ {
# 代理转发目标
proxy_pass http://web;
# 请求服务器升级协议为 WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# 设置读写超时时间,默认 60s 无数据连接将会断开
proxy_read_timeout 300s;
proxy_send_timeout 300s;
# Host 主机名
proxy_set_header Host $host;
# X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理服务器的主机名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定义客户端请求的原始端口
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
4. WSS 配置
详见 证书生成.
upstream web {
server domain.com:443;
}
map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
# 监听 tcp4 并开启 http2
listen 443 ssl http2;
# 监听 tcp6 并开启 http2
listen [::]:443 ssl http2;
# 无效域名 _ 匹配任意域名,优先级最低
server_name _;
# 访问日志
access_log /var/log/nginx/access.log main;
# 错误日志
error_log /var/log/nginx/error.log notice;
# 服务器证书文件
ssl_certificate /data/www/domain.com/certs/server.crt;
# 服务器证书密钥文件
ssl_certificate_key /data/www/domain.com/certs/server.key;
# 支持的 ssl 或 tls 的版本
ssl_protocols TLSv1.2 TLSv1.3;
# 是否由服务器决定采用哪种算法,默认 off;如果 ssl 协议支持 tlsv1、tlsv1.1 老协议,设置为 on 并配合 ssl_ciphers 使用,如果 ssl 协议为 tlsv1.2、tlsv1.3 新协议,设置为 off,新协议不再采纳该参数
ssl_prefer_server_ciphers off;
# 支持 ssl 协议的加密套件
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
# 启用 ssl session 缓存,占用 10m 内存,缓存时间由 ssl_session_timeout 决定
ssl_session_cache shared:SSL:10m;
# 客户端可以重用会话的时间
ssl_session_timeout 10m;
# 客户端请求体大小,避免大文件上传 413
client_max_body_size 1024m;
# HSTS: HTTP 严格传输安全
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# X-Frame-Options 标头
add_header X-Frame-Options sameorigin;
# 内容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# HTTPS 通过 HTTP 访问时 Nginx 触发 497 状态码,重定向到 HTTPS
error_page 497 https://$http_host$uri$is_args$args;
# 前端静态文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 后端 WebSocket,注意 proxy_pass 后的 /,携带 / 转发请求时会去掉匹配前缀
location /websocket/ {
# 代理转发目标
proxy_pass http://web;
# 请求服务器升级协议为 WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# 设置读写超时时间,默认 60s 无数据连接将会断开
proxy_read_timeout 300s;
proxy_send_timeout 300s;
# Host 主机名
proxy_set_header Host $host;
# X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理服务器的主机名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定义客户端请求的原始端口
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
5. Stream 配置
反向代理转发 ssh 连接等。
6. 跨域配置
server {
# 允许的外域 URI
add_header Access-Control-Allow-Origin *;
# 允许的 HTTP 方法,用于 OPTIONS 预检请求
add_header Access-Control-Allow-Methods *;
# 允许的 HTTP 请求头,用户 OPTIONS 预检请求
add_header Access-Control-Allow-Headers *;
# OPTIONS 预检请求结果缓存时间,单位秒
add_header Access-Control-Max-Age 86400;
# 如果为 OPTIONS 预检请求,返回 204 No Content
if ($request_method = OPTIONS) {
return 204;
}
}
参考链接:
Original: https://www.cnblogs.com/xiaoQQya/p/16305241.html
Author: Hit不死的小强
Title: Nginx 反向代理 HTTP、HTTPS、WS、WSS、SSH 配置(2022.03.31)
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/562946/
转载文章受原作者版权保护。转载请注明原作者出处!