一文带你搞懂Nginx如何配置Http、Https、WS、WSS！-51CTO.COM

[[385631]]

作者个人研发的在高并发场景下，提供的简单、稳定、可扩展的延迟消息队列框架，具有精准的定时任务和延迟队列处理功能。自开源半年多以来，已成功为十几家中小型企业提供了精准定时调度方案，经受住了生产环境的考验。为使更多童鞋受益，现给出开源框架地址：https://github.com/sunshinelyz/mykit-delay

写在前面

当今互联网领域，Nginx是使用最多的代理服务器之一，很多大厂在自己的业务系统中都是用了Nginx作为代理服务器。所以，我们有必要了解下Nginx对于Http、Https、WS、WSS的各项配置。来来来，跟冰河一些学习Nginx，一起进阶，一起头秃~~

Nginx配置Http

首先，我们来聊聊Nginx如何配置Http，Nginx配置Http是Nginx最常用的功能之一。在nginx.conf中配置相应的信息，如下所示。

upstream message { 
  server localhost:8080 max_fails=3; 
} 
 
server { 
 listen       80; 
 server_name  localhost; 
 
 location / { 
  root   html; 
  index  index.html index.htm; 
  #允许cros跨域访问  
  add_header 'Access-Control-Allow-Origin' '*'; 
  #proxy_redirect default; 
  #跟代理服务器连接的超时时间，必须留意这个time out时间不能超过75秒，当一台服务器当掉时，过10秒转发到另外一台服务器。 
  proxy_connect_timeout 10; 
 } 
  
  location /message { 
    proxy_pass                  http://message; 
    proxy_set_header Host $host:$server_port; 
 } 
} 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.

此时，访问 http://localhost/message，就会被转发到 http://localhost:8080/message 上。

Nginx配置Https

如果业务对于网站的安全性要求比较高，此时可能就会在Nginx配置Https，具体配置信息可以参照如下方式进行。

upstream message { 
  server localhost:8080 max_fails=3; 
} 
 
server { 
 listen       443 ssl; 
 server_name localhost; 
 ssl_certificate    /usr/local/nginx-1.17.8/conf/keys/binghe.pem; 
 ssl_certificate_key /usr/local/nginx-1.17.8/conf/keys/binghe.key; 
 ssl_session_timeout 20m; 
 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
 ssl_prefer_server_ciphers on; 
 ssl_verify_client off; 
 location / { 
  root   html; 
  index  index.html index.htm; 
  #允许cros跨域访问  
  add_header 'Access-Control-Allow-Origin' '*'; 
  #跟代理服务器连接的超时时间，必须留意这个time out时间不能超过75秒，当一台服务器当掉时，过10秒转发到另外一台服务器。 
  proxy_connect_timeout 10; 
 } 
  
  location /message { 
    proxy_pass                  http://message; 
    proxy_set_header Host $host:$server_port; 
 } 
} 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.

此时访问https://localhost/message 就会被转发到 http://localhost:8080/message上。

Nginx配置WS

WS的全称是WebSocket，Nginx配置WebSocket也比较简单，只需要在nginx.conf文件中进行相应的配置。这种方式很简单，但是很有效，能够横向扩展WebSocket服务端的服务能力。

为了方便小伙伴们更好的理解，这里，我重点说下Nginx配置WS。

先直接展示配置文件，如下所示(使用的话直接复制，然后改改ip和port即可)

map $http_upgrade $connection_upgrade {  
 default upgrade;  
 '' close;  
}  
upstream wsbackend{  
 server ip1:port1;  
 server ip2:port2;  
 keepalive 1000; 
}  
  
server {  
 listen 20038;  
 location /{  
  proxy_http_version 1.1;  
  proxy_pass http://wsbackend;  
  proxy_redirect off;  
  proxy_set_header Host $host;  
  proxy_set_header X-Real-IP $remote_addr;  
  proxy_read_timeout 3600s;  
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
  proxy_set_header Upgrade $http_upgrade;  
  proxy_set_header Connection $connection_upgrade;  
 }  
} 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.

接下来，我们就分别分析上述配置的具体含义。

首先：

map $http_upgrade $connection_upgrade {  
 default upgrade;  
 '' close;  
}  
1.
2.
3.
4.

表示的是：

如果$http_upgrade 不为 '' (空)，则$connection_upgrade 为 upgrade 。
如果$http_upgrade 为 '' (空)，则 $connection_upgrade 为 close。

其次：

upstream wsbackend{  
 server ip1:port1;  
 server ip2:port2;  
 keepalive 1000;  
}  
1.
2.
3.
4.
5.

表示的是 nginx负载均衡：

两台服务器 (ip1:port1)和(ip2:port2) 。

keepalive 1000 表示的是每个nginx进程中上游服务器保持的空闲连接，当空闲连接过多时，会关闭最少使用的空闲连接.当然，这不是限制连接总数的，可以想象成空闲连接池的大小，设置的值应该是上游服务器能够承受的。

最后：

server {  
 listen 20038;  
 location /{  
  proxy_http_version 1.1;  
  proxy_pass http://wsbackend;  
  proxy_redirect off; 
  proxy_set_header Host $host;  
  proxy_set_header X-Real-IP $remote_addr;  
  proxy_read_timeout 3600s;  
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
  proxy_set_header Upgrade $http_upgrade;  
  proxy_set_header Connection $connection_upgrade;  
 }  
}  
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

表示的是监听的服务器的配置

listen 20038 表示 nginx 监听的端口
locations / 表示监听的路径(/表示所有路径，通用匹配，相当于default)
proxt_http_version 1.1 表示反向代理发送的HTTP协议的版本是1.1，HTTP1.1支持长连接
proxy_pass http://wsbackend; 表示反向代理的uri，这里可以使用负载均衡变量
proxy_redirect off; 表示不要替换路径，其实这里如果是/则有没有都没关系，因为default也是将路径替换到proxy_pass的后边
proxy_set_header Host $host; 表示传递时请求头不变， $host是nginx内置变量，表示的是当前的请求头，proxy_set_header表示设置请求头
proxy_set_header X-Real-IP $remote_addr; 表示传递时来源的ip还是现在的客户端的ip
proxy_read_timeout 3600s;表的两次请求之间的间隔超过 3600s 后才关闭这个连接，默认的60s，自动关闭的元凶
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 表示X-Forwarded-For头不发生改变
proxy_set_header Upgrade $http_upgrade; 表示设置Upgrade不变
proxy_set_header Connection $connection_upgrade; 表示如果 $http_upgrade为upgrade，则请求为upgrade(websocket)，如果不是，就关闭连接

此时，访问 ws://localhost:20038 就会被转发到 ip1:port1 和 ip2:port2 上。

Nginx配置WSS

WSS表示WebSocket + Https，通俗点说，就是安全的WebSocket，接下来，我们来看看如何配置WSS。在配置WS时，详细描述了配置的细节信息，这里，我就不详细介绍了。

map $http_upgrade $connection_upgrade {  
 default upgrade;  
 '' close;  
}  
upstream wsbackend{  
 server ip1:port1;  
 server ip2:port2;  
 keepalive 1000;  
}  
server{ 
 listen 20038 ssl; 
 server_name localhost; 
 ssl_certificate    /usr/local/nginx-1.17.8/conf/keys/binghe.com.pem; 
 ssl_certificate_key /usr/local/nginx-1.17.8/conf/keys/binghe.com.key; 
 ssl_session_timeout 20m; 
 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
 ssl_prefer_server_ciphers on; 
 ssl_verify_client off; 
 location /{ 
   proxy_http_version 1.1; 
   proxy_pass http://wsbackend; 
   proxy_redirect off;  
   proxy_set_header Host $host;  
   proxy_set_header X-Real-IP $remote_addr;  
   proxy_read_timeout 3600s;  
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
   proxy_set_header Upgrade $http_upgrade;  
   proxy_set_header Connection $connection_upgrade;  
 } 
} 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.

此时，访问 wss://localhost:20038 就会被转发到 ip1:port1 和 ip2:port2 上。

本文转载自微信公众号「冰河技术」，可以通过以下二维码关注。转载本文请联系冰河技术公众号。