Nginx配置文件主要分成四部分：main（全局設(shè)置）、server（主機設(shè)置）咳秉、upstream（上游服務(wù)器設(shè)置鸯隅，主要為反向代理向挖、負載均衡相關(guān)配置）和 location（URL匹配特定位置后的設(shè)置）何之，每部分包含若干個指令咽筋。main部分設(shè)置的指令將影響其它所有部分的設(shè)置；server部分的指令主要用于指定虛擬主機域名蒜危、IP和端口睹耐；upstream的指令用于設(shè)置一系列的后端服務(wù)器硝训，設(shè)置反向代理及后端服務(wù)器的負載均衡；location部分用于匹配網(wǎng)頁位置（比如晃酒，根目錄“/”,“/images”,等等）窄绒。他們之間的關(guān)系式：server繼承main，location繼承server蛔翅；upstream既不會繼承指令也不會被繼承位谋。它有自己的特殊指令，不需要在其他地方的應(yīng)用笋轨。

當前nginx支持的幾個指令上下文：

通用

下面的nginx.conf簡單的實現(xiàn)nginx在前端做反向代理服務(wù)器的例子赊淑，處理js、png等靜態(tài)文件钾挟，jsp等動態(tài)請求轉(zhuǎn)發(fā)到其它服務(wù)器tomcat：

user  www www;
worker_processes  2;
error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
pid        logs/nginx.pid;
events {
    use epoll;
    worker_connections  2048;
}
http {
    include       mime.types;
    default_type  application/octet-stream;
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';
    #access_log  logs/access.log  main;
    sendfile        on;
    # tcp_nopush     on;
    keepalive_timeout  65;
  # gzip壓縮功能設(shè)置
    gzip on;
    gzip_min_length 1k;
    gzip_buffers    4 16k;
    gzip_http_version 1.0;
    gzip_comp_level 6;
    gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;
    gzip_vary on;
  
  # http_proxy 設(shè)置
    client_max_body_size   10m;
    client_body_buffer_size   128k;
    proxy_connect_timeout   75;
    proxy_send_timeout   75;
    proxy_read_timeout   75;
    proxy_buffer_size   4k;
    proxy_buffers   4 32k;
    proxy_busy_buffers_size   64k;
    proxy_temp_file_write_size  64k;
    proxy_temp_path   /usr/local/nginx/proxy_temp 1 2;
  # 設(shè)定負載均衡后臺服務(wù)器列表 
    upstream  backend  { 
              #ip_hash; 
              server   192.168.10.100:8080 max_fails=2 fail_timeout=30s ;  
              server   192.168.10.101:8080 max_fails=2 fail_timeout=30s ;  
    }
  # 很重要的虛擬主機配置
    server {
        listen       80;
        server_name  itoatest.example.com;
        root   /apps/oaapp;
        charset utf-8;
        access_log  logs/host.access.log  main;
        #對 / 所有做負載均衡+反向代理
        location / {
            root   /apps/oaapp;
            index  index.jsp index.html index.htm;
            proxy_pass        http://backend;  
            proxy_redirect off;
            # 后端的Web服務(wù)器可以通過X-Forwarded-For獲取用戶真實IP
            proxy_set_header  Host  $host;
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For  $proxy_add_x_forwarded_for;
            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            
        }
        #靜態(tài)文件徽千，nginx自己處理汤锨，不去backend請求tomcat
        location  ~* /download/ {  
            root /apps/oa/fs;  
            
        }
        location ~ .*\.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)$   
        {   
            root /apps/oaapp;   
            expires      7d; 
        }
        location /nginx_status {
            stub_status on;
            access_log off;
            allow 192.168.10.0/24;
            deny all;
        }
        location ~ ^/(WEB-INF)/ {   
            deny all;   
        }
        #error_page  404              /404.html;
        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
  ## 其它虛擬主機闲礼，server 指令開始
}

常用指令說明

main全局配置

nginx在運行時與具體業(yè)務(wù)功能（比如http服務(wù)或者email服務(wù)代理）無關(guān)的一些參數(shù)位仁，比如工作進程數(shù)方椎，運行的身份等。

woker_processes 2

在配置文件的頂級main部分琳疏，worker角色的工作進程的個數(shù)闸拿，master進程是接收并分配請求給worker處理新荤。這個數(shù)值簡單一點可以設(shè)置為cpu的核數(shù)grep ^processor /proc/cpuinfo | wc -l，也是 auto 值篱瞎，如果開啟了ssl和gzip更應(yīng)該設(shè)置成與邏輯CPU數(shù)量一樣甚至為2倍痒芝，可以減少I/O操作。如果nginx服務(wù)器還有其它服務(wù)澄者，可以考慮適當減少请琳。

worker_cpu_affinity

也是寫在main部分俄精。在高并發(fā)情況下，通過設(shè)置cpu粘性來降低由于多CPU核切換造成的寄存器等現(xiàn)場重建帶來的性能損耗屈留。如worker_cpu_affinity 0001 0010 0100 1000; （四核）。

worker_connections 2048

寫在events部分康二。每一個worker進程能并發(fā)處理（發(fā)起）的最大連接數(shù)（包含與客戶端或后端被代理服務(wù)器間等所有連接數(shù)）勇蝙。nginx作為反向代理服務(wù)器味混，計算公式 最大連接數(shù) = worker_processes * worker_connections/4，所以這里客戶端最大連接數(shù)是1024蔓挖，這個可以增到到8192都沒關(guān)系馆衔，看情況而定角溃，但不能超過后面的worker_rlimit_nofile。當nginx作為http服務(wù)器時匆瓜，計算公式里面是除以2未蝌。

worker_rlimit_nofile 10240

寫在main部分。默認是沒有設(shè)置糠馆，可以限制為操作系統(tǒng)最大的限制65535怎憋。

use epoll

寫在events部分。在Linux操作系統(tǒng)下毕匀，nginx默認使用epoll事件模型癌别，得益于此，nginx在Linux操作系統(tǒng)下效率相當高躁垛。同時Nginx在OpenBSD或FreeBSD操作系統(tǒng)上采用類似于epoll的高效事件模型kqueue。在操作系統(tǒng)不支持這些高效模型時才使用select逊谋。

http服務(wù)器

與提供http服務(wù)相關(guān)的一些配置參數(shù)胶滋。例如：是否使用keepalive啊悲敷，是否使用gzip進行壓縮等后德。

sendfile on

開啟高效文件傳輸模式，sendfile指令指定nginx是否調(diào)用sendfile函數(shù)來輸出文件窟赏，減少用戶空間到內(nèi)核空間的上下文切換箱季。對于普通應(yīng)用設(shè)為 on棍掐，如果用來進行下載等應(yīng)用磁盤IO重負載應(yīng)用作煌，可設(shè)置為off，以平衡磁盤與網(wǎng)絡(luò)I/O處理速度奏寨，降低系統(tǒng)的負載病瞳。

keepalive_timeout 65

長連接超時時間悲酷，單位是秒，這個參數(shù)很敏感逗柴，涉及瀏覽器的種類顿肺、后端服務(wù)器的超時設(shè)置、操作系統(tǒng)的設(shè)置袍睡，可以另外起一片文章了肋僧。長連接請求大量小文件的時候，可以減少重建連接的開銷止潘，但假如有大文件上傳凭戴，65s內(nèi)沒上傳完成會導致失敗炕矮。如果設(shè)置時間過長，用戶又多档痪，長時間保持連接會占用大量資源腐螟。

send_timeout

用于指定響應(yīng)客戶端的超時時間困后。這個超時僅限于兩個連接活動之間的時間摇予，如果超過這個時間，客戶端沒有任何活動宁昭，Nginx將會關(guān)閉連接救鲤。

client_max_body_size 10m

允許客戶端請求的最大單文件字節(jié)數(shù)本缠。如果有上傳較大文件，請設(shè)置它的限制值

client_body_buffer_size 128k

緩沖區(qū)代理緩沖用戶端請求的最大字節(jié)數(shù)

模塊http_proxy

這個模塊實現(xiàn)的是nginx作為反向代理服務(wù)器的功能稀颁，包括緩存功能匾灶。

proxy_connect_timeout 60

nginx跟后端服務(wù)器連接超時時間(代理連接超時)

proxy_read_timeout 60

連接成功后，與后端服務(wù)器兩個成功的響應(yīng)操作之間超時時間(代理接收超時)

proxy_buffer_size 4k

設(shè)置代理服務(wù)器（nginx）從后端realserver讀取并保存用戶頭信息的緩沖區(qū)大小颊糜，默認與proxy_buffers大小相同衬鱼，其實可以將這個指令值設(shè)的小一點

proxy_buffers 4 32k

proxy_buffers緩沖區(qū)憔杨，nginx針對單個連接緩存來自后端realserver的響應(yīng)消别，網(wǎng)頁平均在32k以下的話，這樣設(shè)置

proxy_busy_buffers_size 64k

高負荷下緩沖大兴昃（proxy_buffers*2）

proxy_max_temp_file_size

當 proxy_buffers 放不下后端服務(wù)器的響應(yīng)內(nèi)容時荆虱，會將一部分保存到硬盤的臨時文件中怀读，這個值用來設(shè)置最大臨時文件大小骑脱，默認1024M叁丧，它與 proxy_cache 沒有關(guān)系。大于這個值蚊锹，將從upstream服務(wù)器傳回牡昆。設(shè)置為0禁用摊欠。

proxy_temp_file_write_size 64k

當緩存被代理的服務(wù)器響應(yīng)到臨時文件時柱宦，這個選項限制每次寫臨時文件的大小掸刊。proxy_temp_path（可以在編譯的時候）指定寫到哪那個目錄忧侧。

proxy_pass牌芋，proxy_redirect見 location 部分姜贡。

模塊http_gzip

gzip on

開啟gzip壓縮輸出，減少網(wǎng)絡(luò)傳輸熄捍。

gzip_min_length 1k

設(shè)置允許壓縮的頁面最小字節(jié)數(shù)母怜，頁面字節(jié)數(shù)從header頭得content-length中進行獲取苹熏。默認值是20。建議設(shè)置成大于1k的字節(jié)數(shù)蜓萄，小于1k可能會越壓越大朱巨。

gzip_buffers 4 16k

設(shè)置系統(tǒng)獲取幾個單位的緩存用于存儲gzip的壓縮結(jié)果數(shù)據(jù)流枉长。4 16k代表以16k為單位必峰，安裝原始數(shù)據(jù)大小以16k為單位的4倍申請內(nèi)存。

gzip_http_version 1.0

用于識別 http 協(xié)議的版本凭需，早期的瀏覽器不支持 Gzip 壓縮功炮，用戶就會看到亂碼，所以為了支持前期版本加上了這個選項薪伏，如果你用了 Nginx 的反向代理并期望也啟用 Gzip 壓縮的話滚澜，由于末端通信是 http/1.0，故請設(shè)置為 1.0嫁怀。

gzip_comp_level 6

gzip壓縮比设捐，1壓縮比最小處理速度最快，9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)

gzip_types

匹配mime類型進行壓縮塘淑，無論是否指定,”text/html”類型總是會被壓縮的萝招。

gzip_proxied any

Nginx作為反向代理的時候啟用，決定開啟或者關(guān)閉后端服務(wù)器返回的結(jié)果是否壓縮存捺，匹配的前提是后端服務(wù)器必須要返回包含”Via”的 header頭槐沼。

gzip_vary on

和http頭有關(guān)系捌治，會在響應(yīng)頭加個 Vary: Accept-Encoding 岗钩，可以讓前端的緩存服務(wù)器緩存經(jīng)過gzip壓縮的頁面，例如肖油，用Squid緩存經(jīng)過Nginx壓縮的數(shù)據(jù)兼吓。。

server虛擬主機

http服務(wù)上支持若干虛擬主機森枪。每個虛擬主機一個對應(yīng)的server配置項视搏，配置項里面包含該虛擬主機相關(guān)的配置。在提供mail服務(wù)的代理時县袱，也可以建立若干server浑娜。每個server通過監(jiān)聽地址或端口來區(qū)分。

listen

監(jiān)聽端口显拳，默認80棚愤，小于1024的要以root啟動搓萧≡邮可以為listen *:80、listen 127.0.0.1:80等形式瘸洛。

server_name

服務(wù)器名揍移，如localhost、www.example.com反肋，可以通過正則匹配那伐。

模塊http_stream

這個模塊通過一個簡單的調(diào)度算法來實現(xiàn)客戶端IP到后端服務(wù)器的負載均衡，upstream后接負載均衡器的名字，后端realserver以host:port options; 方式組織在 {} 中罕邀。如果后端被代理的只有一臺畅形，也可以直接寫在 proxy_pass 。

location

http服務(wù)中诉探，某些特定的URL對應(yīng)的一系列配置項日熬。

root /var/www/html

定義服務(wù)器的默認網(wǎng)站根目錄位置。如果locationURL匹配的是子目錄或文件肾胯，root沒什么作用竖席，一般放在server指令里面或/下。

index index.jsp index.html index.htm

定義路徑下默認訪問的文件名敬肚，一般跟著root放

proxy_pass http:/backend

請求轉(zhuǎn)向backend定義的服務(wù)器列表毕荐，即反向代理，對應(yīng)upstream負載均衡器艳馒。也可以proxy_pass http://ip:port憎亚。

proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

其它

訪問控制 allow/deny

Nginx 的訪問控制模塊默認就會安裝，而且寫法也非常簡單弄慰，可以分別有多個allow,deny虽填，允許或禁止某個ip或ip段訪問，依次滿足任何一個規(guī)則就停止往下匹配曹动。如：

location /nginx-status {
  stub_status on;
  access_log off;
#  auth_basic   "NginxStatus";
#  auth_basic_user_file   /usr/local/nginx-1.6/htpasswd;
  allow 192.168.10.100;
  allow 172.29.73.0/24;
  deny all;
}

我們也常用 httpd-devel 工具的 htpasswd 來為訪問的路徑設(shè)置登錄密碼：

# htpasswd -c htpasswd admin
New passwd:
Re-type new password:
Adding password for user admin
# htpasswd htpasswd admin    //修改admin密碼
# htpasswd htpasswd sean    //多添加一個認證用戶

這樣就生成了默認使用CRYPT加密的密碼文件斋日。打開上面nginx-status的兩行注釋，重啟nginx生效墓陈。

列出目錄 autoindex

Nginx默認是不允許列出整個目錄的恶守。如需此功能，打開nginx.conf文件贡必，在location兔港，server 或 http段中加入autoindex on;，另外兩個參數(shù)最好也加上去:

autoindex_exact_size off

默認為on仔拟，顯示出文件的確切大小衫樊，單位是bytes。改為off后利花，顯示出文件的大概大小科侈，單位是kB或者MB或者GB

autoindex_localtime on

默認為off，顯示的文件時間為GMT時間炒事。改為on后臀栈，顯示的文件時間為文件的服務(wù)器時間

location /images {
  root   /var/www/nginx-default/images;
  autoindex on;
  autoindex_exact_size off;
  autoindex_localtime on;
}