Nginx常用經典配置|反向代理、HTTPS重定向、端口轉發

二級目錄映射
目前前后端項目分離場景多了以后，一般是前端一個端口，后端一個端口。

如前端是https://example.com/index.html，調用的接口是https://example.com:4433

如此部署對於一些小項目未免有些麻煩，當然你在公網環境下也可以選擇使用子域名、其他域名進行跨域訪問。

這里說的是同一個域名，同一個端口，讓前后端同時進行訪問服務。

前端地址：https://example.com/index.html

接口地址：https://example.com/api/

這里先記錄我已經測試通過的反向代理的方式，即不改變原本的server配置。直接通過反向代理將example.com/api 重定向到 example.com:4443/

location ^~ /api/ {
	proxy_pass  https://example.com:4433/;
	proxy_set_header X-Real-IP $remote_addr;
	proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

值得一提的是，location段的^~是代表某個字符作為開頭匹配，這里就是以/api/作為開頭進行匹配URL規則。

這里不能寫作_，因為是正則匹配的意思，用了正則就不能再proxy_pass段配置URI了，所謂URI就是4433端口后面的/。

如果不寫/，當訪問example.com/api/index.php時，會代理到example.com:4433/api/index.php。並不能定位到后端的根路徑，所以這里以/結束。

非標准HTTPS端口重定向
如果想讓你的非標准https端口，如2083支持HTTP跳轉HTTPS訪問，請參照如下配置。

error_page 497 https://$host:2083$request_uri;

如果不這么配置，默認當用戶不確定網站協議時，采用了HTTP協議訪問你的HTTPS網站就會出現無法訪問。

錯誤如：The plain HTTP request was sent to HTTPS port

HTTP強制跳轉HTTPS
日常為了保證訪客安全性，我們常常需要讓全站保持HTTPS訪問，那么你可以通過以下配置。

server {
    listen 80 default_server;
    server_name example.com;
    rewrite ^(.*) https://$server_name$1 permanent;
    #上面的rewrite也可以寫作
    return 301 https://$host$request_uri;
}
server {
	listen 443 ssl;
	server_name example.com;
}

做法是，讓80監聽到的HTTP鏈接全部重定向到HTTPS端口中。

HSTS策略保持HTTPS連接
與此同時，你也可以通過開啟HSTS策略強制讓訪客瀏覽器保持使用HTTPS鏈接，添加如下代碼：

• add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;preload" always;
• max-age：設置單位時間（秒）內強制使用 HTTPS 連接，這里為1年
• includeSubDomains：可選，站點所有子域同時生效
• preload：可選，非規范值，用於定義使用『HSTS 預加載列表』
• always：可選，保證所有響應都發送此響應頭，包括各種內置錯誤響應

Nginx反向代理
反向代理的場景很多，例如前面的前后端統一域名端口，例如負載均衡等。

location / {
    proxy_pass  http://example.com;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

完整參數配置

location / {
	proxy_pass  http://example.com;
	proxy_redirect     off;
	proxy_set_header   Host             $host;
	proxy_set_header   X-Real-IP        $remote_addr;
	proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
	proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
	proxy_max_temp_file_size 0;
	proxy_connect_timeout      90;
	proxy_send_timeout         90;
	proxy_read_timeout         90;
	proxy_buffer_size          4k;
	proxy_buffers              4 32k;
	proxy_busy_buffers_size    64k;
	proxy_temp_file_write_size 64k;
}
 

端口轉發
Nginx端口轉發性能也非常強大，可以用於內網數據庫、其他服務端口外露的場景。

如將內網的192.168.1.2MySQL數據庫端口通過Nginx所在服務器的33062端口進行外露。

upstream TCP3306 {
	hash $remote_addr consistent;
	server 192.168.1.2:3306;
}

server {
	listen 33062;
	proxy_connect_timeout 5s;
	proxy_timeout 300s;
	proxy_pass TCP3306;
}