Nginx详细配置指南（下）

动静分离的基本概念：

动静分离是指将动态内容和静态内容分开处理。静态内容通常包括：图片、CSS、JavaScript、HTML文件等，这些内容不需要经常更改。而动态内容则是经常变化的，如：PHP、ASP、JSP、Servlet等生成的内容。

Nginx配置动静分离

1、直接为静态内容设置一个别名或根目录：

location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
    root /path/to/static/files;
    expires 30d;  # 设置缓存时间
}

在上述配置中，所有的静态文件都被存放在/path/to/static/files目录下。expires指令设置了静态文件的缓存时间。

2、使用alias别名：

如果你的静态文件不在项目的主目录下，你可以使用alias来指定静态文件的实际路径。

location /static/ {
    alias /path/to/static/files/;
}

在这个配置中，URL中的/static/会映射到文件系统的/path/to/static/files/。

3、代理动态内容：

对于动态内容，你可能需要将请求代理到后端的应用服务器，如Tomcat、uWSGI等。

location / {
    proxy_pass http://backend_server_address;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
}

注意事项：

• 确保你的静态文件路径配置正确，避免404错误。
• 使用expires指令为静态内容设置缓存，这可以减少服务器的负载并提高页面加载速度。
• 动静分离不仅可以提高服务器的响应速度，还可以减少后端服务器的压力，因为静态文件通常由Nginx直接处理，而不需要代理到后端服务器。
• 静态资源优化
  
• 为了提高静态资源的传输效率，Nginx提供了以下三个主要的优化指令：
  
• sendfile
• tcp_nopush
• tcp_nodelay

       sendfile 指令

sendfile用于开启高效的文件传输模式。它通过调用系统内核的 sendfile函数来实现，从而避免了文件的多次拷贝，同时减少了用户态和内核态之间的切换，从而提高了静态文件的传输效率。

传统的静态资源请求过程：

1. 客户端通过网络接口向服务端发送请求。
2. 操作系统将这些请求传递给服务器端应用程序。
3. 服务器应用程序处理请求。
4. 处理完成后，操作系统将处理得到的结果通过网络适配器传递给客户端。

tcp_nopush 和 tcp_nodelay指令

tcp_nopush

当 sendfile 开启时，tcp_nopush也可以被启用。它的主要目的是提高网络数据包的传输效率。

tcp_nodelay

只有在 keep-alive 连接开启时，tcp_nodelay 才能生效。它的目的是提高网络数据包的实时性。

tcp_nopush 的工作原理是设置一个缓冲区，当缓冲区满时才进行数据发送，这样可以大大减少网络开销。

静态资源压缩

在数据的传输过程中，为了进一步优化，Nginx引入了gzip模块，用于对传输的资源进行压缩，从而减少数据的传输体积，提高传输效率。

Nginx中的静态资源压缩可以在http块、server块、location块中配置。涉及的主要模块有：

• ngx_http_gzip_module模块 (内置)
• ngx_http_gzip_static_module模块
• ngx_http_gunzip_module模块

Gzip模块配置指令

1、gzip：开启或关闭gzip功能。

• 语法：gzip on | off
• 默认值：gzip off
• 配置位置：http块，server块，location块

2、gzip_types：根据响应的MIME类型选择性地开启gzip压缩。

• 语法：gzip_types mime-type
• 默认值：gzip_types text/html
• 配置位置：http块，server块，location块
• 示例：gzip_types application/javascript

3、gzip_comp_level：设置Gzip压缩的程度，级别从1-9。

• 语法：gzip_comp_level level
• 默认值：gzip_comp_level 1
• 配置位置：http块，server块，location块

4、gzip_vary：设置是否携带"Vary:Accept-Encoding"的响应头部。

• 语法：gzip_vary on|off
• 默认值：gzip_vary off
• 配置位置：http块，server块，location块

5、gzip_buffers：处理请求压缩的缓冲区数量和大小。

• 语法：gzip buffers number size
• 默认值：gzip_buffer 32 4k | 16 8K
• 配置位置：http块，server块，location块

6、gzip_disable：选择性地开启和关闭gzip功能，基于客户端的浏览器标志。

• 语法：gzip_disable regex
• 默认值：gzip_disable -
• 配置位置：http块，server块，location块
• 示例：gzip_disable "MSIE [1-6]."

7、gzip_http_version：针对不同的http协议版本，选择性地开启和关闭gzip功能。

• 语法：gzip_http_version 1.0 | 1.1
• 默认值：gzip_http_version 1.1
• 配置位置：http块，server块，location块

8、gzip_min_length：根据响应内容的大小决定是否使用gzip功能。

• 语法：gzip_min_length length
• 默认值：gzip_min_length 20
• 配置位置：http块，server块, location块

9、gzip_proxied：设置是否对nginx服务器对后台服务器返回的结果进行gzip压缩。

• 语法：gzip_proxied off | expired |
• no-cache | no-store | private | no_last_modified | no_etag | auth | any
• 默认值：gzip_proxied off
• 配置位置：http块，server块, location块

Gzip与sendfile共存问题

Gzip在应用程序中进行压缩，而sendfile可以直接通过系统的网络设备发送静态资源文件，绕过应用程序的用户进程。为了解决这两者之间的冲突，Nginx提供了ngx_http_gzip_static_module模块的gzip_static指令。

1、gzip_static：对静态文件进行提前压缩。

• 语法：gzip_static on|off|always
• 默认值：gzip_static off
• 配置位置：http块，server块, location块

通过上述配置，Nginx可以有效地对静态资源进行压缩，提高数据传输效率，同时与sendfile功能共存，确保高效的资源传输。

跨域

跨域资源共享（CORS）是一种安全策略，用于控制哪些网站可以访问您的资源。当您的前端应用程序和后端API位于不同的域上时，通常会遇到跨域问题。Nginx可以通过设置响应头来帮助解决这个问题。

location / {
    # 其他配置...
    # 设置允许来自所有域名请求。如果需要指定域名，将'*'替换为您的域名。
    add_header 'Access-Control-Allow-Origin' '*';
    # 允许的请求方法。
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    # 允许的请求头。
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
    # 允许浏览器缓存预检请求的结果，单位为秒。
    add_header 'Access-Control-Max-Age' 1728000;
    # 允许浏览器在实际请求中携带用户凭证。
    add_header 'Access-Control-Allow-Credentials' 'true';
    # 设置响应类型为JSON。
    add_header 'Content-Type' 'application/json charset=UTF-8';
    # 针对OPTIONS请求单独处理，因为预检请求使用OPTIONS方法。
    if ($request_method = 'OPTIONS') {
        return 204;
    }
}

注意：在生产环境中，出于安全考虑，建议不要使用'Access-Control-Allow-Origin' '*'，而是指定确切的域名。

防盗链

防盗链是指防止其他网站直接链接到你的网站资源（如图片、视频等），从而消耗你的服务器带宽。Nginx提供了一个非常方便的模块——ngx_http_referer_module，用于实现防盗链功能。

基本的防盗链配置：

location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
    valid_referers none blocked www.example.com example.com *.example.net;
    if ($invalid_referer) {
        return 403;
    }
}

在上述配置中：

• valid_referers定义了合法的来源页面。none表示直接访问，blocked表示没有Referer头的访问，www.example.com和example.com是合法的来源域名，*.example.net表示example.net的所有子域名都是合法的来源。
  
• $invalid_referer变量会在来源不在valid_referers列表中时变为"true"。
  
• 如果来源不合法，服务器将返回403禁止访问的状态码。
  

使用错误图片代替原图片：

如果你不想显示403错误，而是想显示一个错误图片（例如：“禁止外链”的图片），你可以这样配置：

location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
    valid_referers none blocked www.example.com example.com *.example.net;
    if ($invalid_referer) {
        rewrite ^/.*$ /path/to/error/image.jpg;
    }
}

在上述配置中，当检测到盗链时，Nginx会重写请求的URL，将其指向一个错误图片。

注意事项：

• 防盗链配置可能会影响搜索引擎的爬虫，因此在实施防盗链策略时要小心。
  
• 如果你的网站使用了CDN，确保CDN的服务器也在valid_referers列表中，否则CDN可能无法正常工作。
  
• 为了确保防盗链配置正确，你应该在生产环境之前在测试环境中进行充分的测试。
  内置变量
  nginx的配置文件中可以使用的内置变量以美元符$开始。其中，大部分预定义的变量的值由客户端发送携带。
  

这些内置变量为nginx配置提供了极大的灵活性，使得nginx能够根据请求的各种属性进行决策和处理。