搭建这个站点的时候使用到Nginx这个代理服务器,虽然在系统中就是一个config文件的事情,但是由于本人的原罪——菜,足足搞了30个小时才把它弄好,这里说的弄好也只是能用,在后面的总结中可能出现很多bug,不过没关系,看见了就帮我纠正一下吧。
没用到Nginx的全部功能,只用到反向代理、SSL证书配置和屏蔽ip访问这三个功能,不敢叫详解,叫略解将就着看吧😂
以下命令运行环境:
- 系统:ubuntu 16.04
Nginx的安装
Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。
在高连接并发的情况下,Nginx是Apache服务器不错的替代品。
说白了,是一个web服务器,能响应web请求,反向代理服务器,能够把访问从A处引导到目标服务器B处。
完成此步骤后,可以使用http访问localhost并显示Nginx的欢迎页面。
下载和安装:
# apt update
# apt install nginx
需要下载大概50M的文件。命令执行完成后,Nginx安装完成,可以使用下面命令打开。
# service nginx start
开启后,即可在浏览器中输入localhost默认使用80端口,可以看到Nginx的欢迎页面:
一看好像很简单哦,一个站点就这样可以使用了,按照默认配置文件站点能够读到服务器本地的/usr/share/nginx/html/ 如果输入:localhost/path/documentname 就可以访问到对应目录下的对应文件。
好的,接着往下!
Nginx的配置文件
nginx的配置文件所在路径为:/etc/nginx/nginx.conf
刚刚安装好的Nginx配置如下:
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;
events {
worker_connections 1024;
}
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
# Load modular configuration files from the /etc/nginx/conf.d directory.
# See http://nginx.org/en/docs/ngx_core_module.html#include
# for more information.
include /etc/nginx/conf.d/*.conf;
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
root /usr/share/nginx/html;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
# Settings for a TLS enabled server.
#
# server {
# listen 443 ssl http2 default_server;
# listen [::]:443 ssl http2 default_server;
# server_name _;
# root /usr/share/nginx/html;
#
# ssl_certificate "/etc/pki/nginx/server.crt";
# ssl_certificate_key "/etc/pki/nginx/private/server.key";
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 10m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
#
# # Load configuration files for the default server block.
# include /etc/nginx/default.d/*.conf;
#
# location / {
# }
#
# error_page 404 /404.html;
# location = /40x.html {
# }
#
# error_page 500 502 503 504 /50x.html;
# location = /50x.html {
# }
# }
}
配置中包含了Nginx监听哪些端口,对不同的服务名做出何种响应。
每次调整完配置文件需要重启nginx才可以生效:
sudo nginx -t #用于监测配置文件是否出错
sudo service nginx restart # 重启Nginx服务
配置反向代理
我自己的web app开在8090端口,需要将http端口通过80的访问代理到8090端口,用户才可以访问到我的web app。
- 如果需要把http请求转发到8090端口,即修改80端口的反向代理
- 如果需要把https的请求转发到8090端口,即修改433端口的反向代理
完成此步骤后,可以将用户使用http通过80端口发来的请求转发到8090端口上。
以80端口为例:
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
#省略
location / {
}
# 省略
}
在location下添加目标,修改完应该是:
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
#省略
location / {
proxy_pass http://127.0.0.1:8090;
}
# 省略
}
本例中使用本地的8090端口接收请求,如果有别的需求,修改ip和端口号即可。
修改完成后重启Nginx生效。
配置SSL证书
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。
https中的“s”就是SSL,是一种网络传输之间的加密。具体如何实现加密的,需要参考TCP/IP协议族那篇文章。
- 完成此步骤后,可以使用https访问目标服务器。
- 此步骤需要在SSL证书发行商中获取SSL证书,三大云服务提供商都有这方面的帮助。
需要把443端口的整个server配置解注释:
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name _;
root /usr/share/nginx/html;
ssl_certificate 你的证书.pem;
ssl_certificate_key 你的证书.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
以下省略
配置完成后重启Nginx服务器,如果此时访问服务器的域名与发行证书时指定的域名一致,浏览器不会给出报警。用户可以使用https://localhost访问服务器。
禁止使用IP访问服务器
至此,访问服务器的方式有几种:
- 通过你备案的域名
- 通过服务器ip直接指定
- 被别人未备案的域名指定,此时会被工信部限制接入
完成此步骤后,用户只可以通过你指定的域名访问服务器,否则都会返回403,避免了第二第三种情况出现。
Nginx收到443请求后,会去每个listen 443的server下匹配server_name,如果没有找到对应的server_name,就会使用default_server中的配置进行响应。
举个例子:
http {
# 如果没有显式声明 default server 则第一个 server 会被隐式的设为 default server
server {
listen 80 default_server;
server_name _; # _ 并不是重点 __ 也可以 ___也可以
return 403; # 403 forbidden
}
server {
listen 80;
server_name www.a.com;
...
}
server {
listen 80;
server_name www.b.com;
...
}
}
- 如果使用www.a.com进行访问,会用第二个server块进行响应
- 如果使用www.b.com进行访问,会用第三个server块进行响应
- 如果是其他,则会使用default_server进行响应,也就是第一个块
- 如果是其他,并且没有定义default_server,会默认把第一个出现的server作为default_server进行响应,这么说,上述例子中的default_server其实是可以缺省的。
上述例子中如果没有使用用户指定的server_name进行访问,直接返回403。这个方法就可以避免用户使用其他未定义的域名进行服务器访问。
如果定义443端口的default_server,也需要配置ssl证书,否则Nginx会抛出502。我的配置在下面给出,不过不一定是最优的:
server {
listen 80 default_server;
listen 443 default_server;
ssl_certificate 我的证书.pem;
ssl_certificate_key 我的证书.key;
server_name _;
return 403; # 403 forbidden
}
多个服务时配置不同的映射
最后这个玩法没有实际去验证,因为服务器内存容量实在是太小,没有办法部署多个服务,闲着没事可以自己找个电脑来验证一下这个玩法。
假设你的域名是/happy.com,可以通过配置域名解析来支持下面几种不同的服务,我能想到的几个:
- 使用happy.com和www.happy.com解析成你的个人网站
- 使用git.happy.com解析成你的私有gitlab仓库
- 使用mirror.happy.com解析成你的个人Ubuntu镜像源
- 使用repository.happy.com解析成你的个人docker镜像仓库
- 需要自己进行域名解析配置,把上述的多个域名解析到你自己服务器的IP
- 在Nginx下建立多个server块来响应来自不同域名的请求。
- 如果你的SSL证书不是通配的付费版,你需要准备多个证书来分别验证上面多个域名。
- 在不同的server块中使用反向代理,把请求转发到相关接口
- 最好保留default_server配置,挡掉来自未定义域名的请求
参考网站
尾声
本身自己对服务器站点这个东西不是很了解,参加工作之后才第一次了解到Nginx是个什么东西。
如果有配置不当的地方,及时在评论区与我交流。我不是故意的,我是真的菜🙃
本来我想着这么菜不然就不要写了,但是想了想:写不写好像也不影响我菜不菜。算了算了,菜就菜了。
