Nginx 笔记

贡献者： addis

本文处于草稿阶段。

一个知乎教程
官方文档
sudo apt install nginx
要重启 nginx 服务用 sudo systemctl restart nginx
要查看是否连接成功，用 curl localhost 或者 curl http://localhost（默认访问 80 接口）。如果打印出一个 html 文本，包含 Welcome to nginx!，就是成功了（当然也可以用浏览器访问，只是有时候只有命令行）。
如果要限制 nginx 只监听某个网卡，编辑配置文件 sudo vim /etc/nginx/sites-enabled/default，然后在 listen 80 default_server; 的 80 改成 网卡ip:80，然后重启 nginx 服务即可生效。
事实上不光是本机，监听的网卡所在的所有机器访问该网卡的 ip 的 80 端口都会收到
要重置所有 /etc/nginx 配置文件（为了确保可以先把这个文件夹删掉），用 apt purge nginx nginx-common，然后 apt install nginx。

1. http 静态网站

配置文件：/etc/nginx/nginx.conf。在 http section 里面加入

server {
    listen 80;
    server_name 公网ip或域名1 [域名2] [域名3];
    
    location / {
        root /静态网页根目录;
    }
}

要特别注意 静态网页根目录 以及它的所有上层目录需要可以被 nginx 的用户 www-data 读取和执行，里面的文件也一样。如果权限不对访问网页会出现错误 403 forbidden。
在非 ubuntu 系统中 nginx 可能会有别的用户名。要查看具体的用户名，用 ps aux | grep nginx，看第一列中除了 root 都有哪些用户。
要访问静态，在本机或者其他机器的命令行用 curl 公网ip或域名，如果 ip 不是公网 ip 就只能在局域网的机器上访问。如果机器上有 GUI 浏览器，也可以直接在网址栏输入 公网ip或域名。
如果只是从本机访问，那么 公网ip或域名 中可以使用任何域名不需要注册。
nginx 默认上传文件大小限制是 1M，超过会提示 413 错误。要增加到 100M，在 http {}，server {} 或者 location / {} 中添加 client_max_body_size 100M;，会在对应的范围生效。

2. 使用 https

先确保 https 按照以上方式可以使用。
首先要申请一个 SSL/TLS 证书：比较著名的证书颁发机构如 Let's Encrypt。我们以它为例。
一般最好有一个域名（子域名也可以），因为 SSL/TLS 证书是颁发给域名而不是 ip 的。确保 80 端口可以访问：http://域名。
安装 Certbot，用于自动获取以及更新证书：
首先更新 snapd：sudo snap install core; sudo snap refresh core
卸载老版本：sudo apt remove certbot
安装 cerbot：sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
获取证书，指定 nginx：sudo certbot certonly --nginx，这时会互动提示输入域名等信息。这个命令会从 nginx.config 里面扫描 http 协议的域名，让你互动选择对一个或者多个获取证书。
测试自动更新：sudo certbot renew --dry-run
生成的证书存在 /etc/letsencrypt/live/域名 中：cert.pem chain.pem fullchain.pem privkey.pem

更改 nginx 设置，在 http { ... } 的最后添加一个：

server {
    listen 443 ssl;
    server_name 域名;
    ssl_certificate /etc/letsencrypt/live/域名/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/域名/privkey.pem;

    location / {
        root /var/www/html;
        index index.html;
    }
}

location 中的设置都是一样的，与 https 或 http 无关。
重启 nginx：systemctl restart nginx.service
现在就可以访问域名：https://域名

创建多个网站

即使 ip 地址和端口号（80, 443）相同，nginx 也可以同时创建多个网站，通过 http 中的域名来判断用户需要的是哪个网站。
可以继续在 /etc/nginx/nginx.conf 中插入新的 section（包括下面的反向代理 section），同样先添加 80 端口，输入不同的域名和目录，重启 nginx 即可。

3. 反向代理其他网站

　　比如你在国内访问 github 很慢，但在美国有一个私人服务器，那么你可以用 Nginx 作为反向代理，这样你就可以访问你代理服务器的域名了。

　　同样只需要在设置中添加一个 server section 即可

　　如果只需要 http 代理，用

server {
   listen 80;
   server_name 公网ip或域名;

   location / {
       proxy_pass https://github.com/;
       proxy_set_header Host github.com;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   }
}

　　如果需要 https 代理，用

server {
  listen 443 ssl;
  server_name 域名;

  ssl_certificate /etc/letsencrypt/live/域名/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/域名/privkey.pem;

  location / {
    proxy_pass https://github.com/;
    proxy_set_header Host github.com;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

　　尝试了对 wikipedia 也进行反向代理，但根据 wikipedia 的设置浏览器 ulr 总是会跳转回 wikipedia.org，GPT-4 建议在 location 中添加以下设置，但仍然无效。这可能超出了 nginx 的能力范围。

proxy_set_header Referer "";
proxy_redirect https://wikipedia.org/ $scheme://$host/;

# Enable URL rewriting
sub_filter_once off;
sub_filter_types *;
sub_filter 'https://wikipedia.org' '$scheme://$host';
sub_filter 'https://www.wikipedia.org' '$scheme://$host';

　　注意 nginx 存在客户端单文件上传大小限制（默认不足 100M），要修改全局限制，在 http { 后面的设置中加上 client_max_body_size 10000M;。

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        types_hash_max_size 2048;
        client_max_body_size 10000M;

4. 多个域名和网站

如果你只使用 ip 访问一个服务器，那么常用的像 80, 433 端口只能用一次。

但是你如果把不同的域名或子域名指向这个 ip，那么 nginx 就可以通过不同的 ip 给 80 和 433 端口提供不同的服务。例如

server {
    listen 80;
    server_name example1.com www.example1.com;

    location / {
        root /var/www/example1.com;
        index index.html;
    }
}

# /etc/nginx/sites-available/example2.com
server {
    listen 80;
    server_name example2.com www.example2.com;

    location / {
        root /var/www/example2.com;
        index index.html;
    }
}

注意如果一个在浏览器输入的域名是一个 CNAME 记录，那么 nginx 仍然会使用你输入的域名来提供服务而不是 CNAME 指向的域名。

如果要用不同的域名指向不同的 web app，就先用 web app 监听不同的端口（例如 5000 和 5001），然后再设置 nginx proxy（下文也有提）到 localhost 的这些端口即可：

server {
    listen 80;
    server_name app1.example.com;

    location / {
        proxy_pass http://localhost:5000;
    }
}

server {
    listen 80;
    server_name app2.example.com;

    location / {
        proxy_pass http://localhost:5001;
    }
}

如果要用 https，先设置好 SSL 证书（见下文），然后

server {
    listen 80;
    server_name app1.example.com;

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name app1.example.com;

    ssl_certificate /etc/letsencrypt/live/app1.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/app1.example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass http://localhost:5000;
    }
}

# /etc/nginx/sites-available/app2
server {
    listen 80;
    server_name app2.example.com;

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name app2.example.com;

    ssl_certificate /etc/letsencrypt/live/app2.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/app2.example.com/privkey.pem;
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass http://localhost:5001;
    }
}