搞定 Nginx 生产部署：避坑指南 + 最佳实践

01

Nginx 是啥？能摸鱼吗？

02

场景一：反向代理 & 负载均衡

# 全局配置：定义Nginx运行的基本参数
user  nginx;  # 运行用户，默认就行
worker_processes  1;  # 工作进程数，一般设为CPU核心数，摸鱼主机设1也行
# 错误日志和PID文件
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
# 负载均衡配置：定义后端服务器列表
upstream backend_servers {
    # 轮询策略：默认按顺序转发请求
    server 192.168.1.10:8080;  # 后端服务器A
    server 192.168.1.11:8080;  # 后端服务器B
    server 192.168.1.12:8080;  # 后端服务器C
    
    # 进阶配置：健康检查（服务器挂了自动踢掉）
    least_conn;  # 最小连接数策略，哪个服务器空闲就转发给谁
    keepalive 32;  # 保持32个长连接，减少TCP三次握手开销
    proxy_next_upstream error timeout http_500;  # 转发失败时，自动重试下一台服务器
}
# 服务器配置：定义Nginx对外提供服务的端口和规则
server {
    listen       80;  # 监听80端口（HTTP）
    server_name  www.yourdomain.com;  # 域名，改成你的域名或IP
    
    # 反向代理规则：所有以/api/开头的请求转发到后端服务器
    location /api/ {
        proxy_pass http://backend_servers/;  # 转发到upstream定义的服务器组
        
        # 传递客户端真实IP（后端需要获取用户IP时用）
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        # 超时配置：防止某个请求长时间阻塞
        proxy_connect_timeout 30s;
        proxy_read_timeout 60s;
        proxy_send_timeout 60s;
    }
}

摸鱼关键点：

03

场景二：静态资源处理 & 动静分离

server {
    listen       80;
    server_name  www.yourdomain.com;
    # 静态资源路径：假设图片存在/data/images/，JS/CSS在/data/static/
    location /static/ {
        root /data/;  # 根路径，实际文件路径是/data/static/...
        autoindex off;  # 禁止列出目录（安全考虑）
        expires 30d;  # 浏览器缓存30天，减少重复请求
        gzip on;  # 开启压缩，减小文件传输大小
        gzip_types text/css application/javascript image/png;  # 压缩类型
    }
    location /images/ {
        root /data/;
        # 防盗链：防止其他网站盗用你的图片
        valid_referers none blocked www.yourdomain.com;
        if ($invalid_referer) {
            return 403;  # 非法引用返回403错误
        }
    }
    # 动态请求（如登录接口）还是转发给后端
    location /api/ {
        proxy_pass http://backend_servers/;
    }
}

摸鱼关键点：

04

场景三：限流防刷 & IP 黑白名单

# 先定义限流策略，放在http块里（和upstream同级）
http {
    # 1. 并发连接限制：单个IP最多同时保持10个连接
    limit_conn_zone $binary_remote_addr zone=ip_conn:10m;  # 定义存储IP连接数的共享内存区
    # 2. 请求频率限制：单个IP每秒最多5个请求（令牌桶算法）
    limit_req_zone $binary_remote_addr zone=ip_req:10m rate=5r/s;  # 每秒生成5个令牌
    # 3. 黑白名单：定义允许/禁止访问的IP段
    set$allow_ip"192.168.1.0/24";  # 允许访问的内网IP段
    deny 10.0.0.1;  # 单独禁止某个IP
}
server {
    listen 80;
    server_name www.yourdomain.com;
    location /api/login {  # 登录接口重点保护
        # 应用并发连接限制：每个IP最多10个并发连接
        limit_conn ip_conn 10;
        # 应用请求频率限制：突发请求最多排队10个（超出返回503）
        limit_req zone=ip_req burst=10 nodelay;
        
        # 黑白名单检查
        if ($remote_addr !~* $allow_ip) {  # 如果IP不在允许列表
            return 403;  # 禁止访问
        }
        proxy_pass http://backend_servers/;
    }
}

摸鱼关键点：

05

场景四：HTTPS 配置

server {
    listen       443 ssl;  # 监听443端口（HTTPS）
    server_name  www.yourdomain.com;
    # 证书路径（从CA机构申请的证书和私钥）
    ssl_certificate      /etc/nginx/ssl/yourdomain.crt;
    ssl_certificate_key  /etc/nginx/ssl/yourdomain.key;
    ssl_protocols TLSv1.2 TLSv1.3;  # 启用安全的TLS协议版本
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384;  # 加密算法
    ssl_prefer_server_ciphers on;  # 优先使用服务器端的加密算法
    # 重定向HTTP到HTTPS（让用户输入http自动转https）
    rewrite ^(.*)$ https://$host$1 permanent;
    location / {
        proxy_pass http://backend_servers/;
    }
}

摸鱼关键点：

06

如何让 Nginx 跑起来？

sudo systemctl start nginx  # 启动
sudo systemctl restart nginx  # 改完配置后重启

nginx -t  # 报错的话回去改配置，别硬启动！

07

总结：Nginx 摸鱼指南