Nginx 笔记

贡献者： addis

本词条处于草稿阶段。

一个知乎教程
官方文档
sudo apt install nginx
要重启 nginx 服务用 sudo systemctl restart nginx
要查看是否连接成功，用 curl localhost 或者 curl http://localhost（默认访问 80 接口）。如果打印出一个 html 文本，包含 Welcome to nginx!，就是成功了（当然也可以用浏览器访问，只是有时候只有命令行）。
如果要限制 nginx 只监听某个网卡，编辑配置文件 sudo vim /etc/nginx/sites-enabled/default，然后在 listen 80 default_server; 的 80 改成 网卡ip:80，然后重启 nginx 服务即可生效。
事实上不光是本机，监听的网卡所在的所有机器访问该网卡的 ip 的 80 端口都会收到
要重置所有 /etc/nginx 配置文件（为了确保可以先把这个文件夹删掉），用 apt purge nginx nginx-common nginx-full，然后 apt install nginx。

1. http 静态网站

配置文件：/etc/nginx/nginx.conf。在 http section 里面加入

server {
    listen 80;
    server_name 公网ip或域名;
    
    location / {
        root /静态网页根目录;
    }
}

要特别注意 静态网页根目录 以及它的所有上层目录需要可以被 nginx 的用户 www-data 读取和执行，里面的文件也一样。如果权限不对访问网页会出现错误 403 forbidden。
在非 ubuntu 系统中 nginx 可能会有别的用户名。要查看具体的用户名，用 ps aux | grep nginx，看第一列中除了 root 都有哪些用户。
要访问静态，在本机或者其他机器的命令行用 curl 公网ip或域名，如果 ip 不是公网 ip 就只能在局域网的机器上访问。如果机器上有 GUI 浏览器，也可以直接在网址栏输入 公网ip或域名。
如果只是从本机访问，那么 公网ip或域名 中可以使用任何域名不需要注册。

2. 使用 https

首先要申请一个 SSL/TLS 证书：比较著名的证书颁发机构如 Let's Encrypt。我们以它为例。
一般最好有一个域名（子域名也可以），因为 SSL/TLS 证书是颁发给域名而不是 ip 的。确保 80 端口可以访问：http://域名。
安装 Certbot，用于自动获取以及更新证书：
首先更新 snapd：sudo snap install core; sudo snap refresh core
卸载老版本：sudo apt remove certbot
安装 cerbot：sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
获取证书，指定 nginx：sudo certbot certonly --nginx，这时会互动提示输入域名等信息。
测试自动更新：sudo certbot renew --dry-run
生成的证书存在 /etc/letsencrypt/live/域名 中：cert.pem chain.pem fullchain.pem privkey.pem

更改 nginx 设置，在 http { ... } 的最后添加一个：

server {
    listen 443 ssl;
    server_name 域名;
    ssl_certificate /etc/letsencrypt/live/域名/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/域名/privkey.pem;

    location / {
        root /var/www/html;
        index index.html;
    }
}

重启 nginx：systemctl restart nginx.service
现在就可以访问域名：https://域名

创建多个网站

即使 ip 地址和端口号（80, 443）相同，nginx 也可以同时创建多个网站，通过 http 中的域名来判断用户需要的是哪个网站。
可以继续在 /etc/nginx/nginx.conf 中插入新的 section（包括下面的反向代理 section），同样先添加 80 端口，输入不同的域名和目录，重启 nginx 即可。

3. 反向代理其他网站

　　比如你在国内访问 github 很慢，但在美国有一个私人服务器，那么你可以用 Nginx 作为反向代理，这样你就可以访问你代理服务器的域名了。

　　同样只需要在设置中添加一个 server section 即可

　　如果只需要 http 代理，用

server {
   listen 80;
   server_name 公网ip或域名;

   location / {
       proxy_pass https://github.com/;
       proxy_set_header Host github.com;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   }
}

　　如果需要 https 代理，用

server {
  listen 443 ssl;
  server_name 域名;

  ssl_certificate /etc/letsencrypt/live/域名/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/域名/privkey.pem;

  location / {
    proxy_pass https://github.com/;
    proxy_set_header Host github.com;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

　　尝试了对 wikipedia 也进行反向代理，但根据 wikipedia 的设置浏览器 ulr 总是会跳转回 wikipedia.org，GPT-4 建议在 location 中添加以下设置，但仍然无效。这可能超出了 nginx 的能力范围。

proxy_set_header Referer "";
proxy_redirect https://wikipedia.org/ $scheme://$host/;

# Enable URL rewriting
sub_filter_once off;
sub_filter_types *;
sub_filter 'https://wikipedia.org' '$scheme://$host';
sub_filter 'https://www.wikipedia.org' '$scheme://$host';

致读者：小时百科一直以来坚持所有内容免费，这导致我们处于严重的亏损状态。长此以往很可能会最终导致我们不得不选择大量广告以及内容付费等。因此，我们请求广大读者热心打赏 ，使网站得以健康发展。如果看到这条信息的每位读者能慷慨打赏 10 元，我们一个星期内就能脱离亏损，并保证在接下来的一整年里向所有读者继续免费提供优质内容。但遗憾的是只有不到 1% 的读者愿意捐款，他们的付出帮助了 99% 的读者免费获取知识，我们在此表示感谢。