近期nginx使用总结

一、nginx背景了解

nginx由俄罗斯人开发，设计的初始目的是成为一个http服务器，以用来解决C10K问题，C10K实际上就是同时连接处理10000个连接请求的意思。
nginx具有多种web服务器功能特性，例如负载均衡、缓存、访问控制等，而我个人目前主要是因为ca证书的问题而使用nginx，因此更多的是集中在访问控制上，进一步细分的话，就是反向代理和ssl。

二、nginx作为http服务器的基本配置

个人目前了解到的nginx主要有两大用途，一个是http服务，一个是邮件服务（暂不确定是不是就是两个）。
邮件服务针对比较特殊的应用场景，而http相对而言就更加广泛，上边所述的反向代理和ssl也是仅针对http服务而言。
nginx的使用，除了安装之外，最重要的就是配置。安装的时候需要配置相应的支持模块，安装好了还需要针对具体的功能需求进行配置文件的配置。
一个完整http服务的nginx配置文件，结构应该大致如下：

#nginx基本指令配置，如日志、进程id、用户等，例如：
user tzx;
worker_processes 1;
pid logs/nginx.pid;
error_log logs/error.log;
#events配置，例如：
events {
worker_connections 1024;
}
#http服务配置，例如：
http {
#http服务基础配置，如：
include mime.types;
default_type application/octet-stream;
keepalive_timeout 65;
#虚拟服务器配置，这里就很重要了，一个nginx同时配置多个端口乃至域名，主要就是靠这里，例如：
server {
listen 8000;
server_name blog.tzx.cn;
#路由配置，如果说上一层的server解决了同一个nginx配置多个端口乃至域名的问题，那么这里路由配置就解决了一个域名端口下多个url映射的问题，例如：
location /test {
proxy_pass http://localhost:8080/test;
proxy_http_version 1.1;
}
location /test1 {
proxy_pass http://localhost:8088/test;
proxy_http_version 1.1;
}
}
}

三、nginx反向代理

实际上，上边配置中的路由配置location，就是所谓的nginx反向代理。
只不过上边的location配置的比较单一，除此之外，还有通配符配置，静态文件配置等各种方式，里边就涉及到请求的路径会加到路由url中和不会加到路由url中的不同场景，例如：

 location / {
       root   html;
       index  index.html index.htm;
  }
  

例如上边的配置，root指向的是一个本地目录，index指向的是静态文件。当一个请求访问根路径时，nginx服务器就会到html目录下寻找index.html或者index.htm返回。

四、https安全控制

https就是http+ssl，在http协议上增加了ssl安全校验，nginx要使用https，就要先配置支持ssl的模块，需要注意的是，nginx的ssl模块依赖于openssl。
当nginx添加了支持ssl的模块之后，就需要在nginx的配置文件中配置https请求相关的虚拟服务器，实际上就是在http的基础上添加ssl的配置，包括启用ssl、指定服务端证书、根证书、支持的协议类型等。
必要的情况下，还可以使用nginx内置的变量，用来将ssl证书相关的信息传递到实际目标服务中，例如上一篇说过的把证书信息放入header中，然后在java后台读取和使用。
加了ssl，并开启双向认证的nginx虚拟服务器配置大致如下：

 server {
       listen 443;
       server_name blog.tzx.cn; 
       ssl on;
       ssl_certificate  /usr/server.crt; #服务端证书
       ssl_certificate_key /usr/server.key; #服务端证书key
       ssl_session_timeout 5m;
       ssl_client_certificate /usr/root.pem; #根证书链
       ssl_verify_client on; #开启客户端认证。
       ssl_verify_depth 2; #根证书两层
       ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
       ssl_protocols  SSLv3 TLSv1 TLSv1.1 TLSv1.2;
       ssl_prefer_server_ciphers on;
	location /test {
          proxy_pass   http://localhost:8080/test;
          proxy_http_version 1.1;
        }
    }