预备
0.nginxRewrite
1.什么是rewrite
Rewrite主要实现url地址重写, 以及地址重定向,就是将用户请求web服务器的地址重新定向到其他URL的过程。
2.Rewrite使用场景
1.地址跳转,用户访问www.xuliangwei.com/class这个URL时,将其定向至一个新的域名class.xuliangwei.com
2.协议跳转,用户通过http协议请求网站时,将其重新跳转至https协议方式
3.伪静态,将动态页面显示为静态页面方式的一种技术, 便于搜索引擎的录入, 同时减少动态URL地址对外暴露过多的参数, 提升更高的安全性。
3.搜索引擎,SEO优化依赖于url路径, 好记的url便于支持搜索引擎录入
rewrite指令根据表达式来重定向URI,或者修改URI字符串。
每行rewrite指令最后跟一个flag标记,支持的flag标记有如下表格所示:
flag
last 本条规则匹配完成后,停止匹配,不在匹配后面的规则
break 本条规则匹配完成后,停止匹配,不在匹配后面的规则
redirect 返回302临时重定向, 地址栏会显示跳转后的地址
permanent 返回301永久重定向, 地址栏会显示跳转后的地址
4.last和 break 都是一个作用,都是表示停止rewrite规则,那last和break区别在哪呢
break匹配到规则,则会去本地路径中目录中寻找对应请求的文件。
last匹配到规则,会对其所在的server{...}标签重新发起请求。
所以,在访问/break和/last请求时,虽然对应的请求目录/test都是不存在了,理论上都应该返回404,但是实际请求/last的时候,是会有后面localtion所匹配到的结果返回的,如果last匹配不到location的结果则在返回错误。
9.redirect和permanent都是跳转,那redirect和permanent区别在哪呢
redirect是临时跳转,也就是用户每次请求都会询问服务器的新地址在哪。
permanent是永久跳转,第一次会询问服务器的新地址,后续浏览器会保存新地址,无论服务端是否改变,都按原来的方式请求。
redirect临时跳转对用户体验高,但会带来服务端的性能损耗。
permanent永久跳转对用户体验差,但不会带来过高的服务性能损耗。
例1:用户访问/abc/1.html实际上真实访问是/ccc/bbb/2.html
http://www.bgx.com/abc/1.html ==> http://www.bgx.com/ccc/bbb/2.html
[root@lb01 conf.d]# mkdir /code/ccc/bbb/ -p
[root@lb01 conf.d]# echo "ccc+bbbb+2" > /code/ccc/bbb/2.html
[root@lb01 conf.d]# cat rewrite.conf
server {
listen 80;
server_name rewrite.oldboy.com;
root /code;
location / {
index index.html;
rewrite ^/abc/1.html /ccc/bbb/2.html break;
}
}
例2:用户访问/2019/ccc/bbb/2.html实际上真实访问是/2014/ccc/bbb/2.html
http://www.bgx.com/2019/ccc/bbb/2.html ==> http://www.bgx.com/2014/ccc/bbb/2.html
[root@lb01 conf.d]# mkdir /code/2014
[root@lb01 conf.d]# mv /code/ccc/ /code/2014/
[root@lb01 conf.d]# ls /code/2014/
ccc
[root@lb01 conf.d]# vim rewrite.conf
server {
listen 80;
server_name rewrite.oldboy.com;
root /code;
location / {
index index.html;
rewrite ^/abc/1.html /ccc/bbb/2.html break;
}
location ~ ^/2019 {
rewrite ^/2019/(.*)/(.*)/(.*) /2014/$1/$2/$3 break;
}
}
例3:用户访问course-11-22-33.html实际上真实访问是/course/11/22/33/course_33.html
[root@lb01 conf.d]# cat rewrite.conf
server {
listen 80;
server_name rewrite.oldboy.com;
root /code;
location / {
index index.html;
rewrite ^/abc/1.html /ccc/bbb/2.html break;
}
location ~ ^/2019 {
rewrite ^/2019/(.*)/(.*)/(.*) /2014/$1/$2/$3 break;
}
location ~ ^/course {
rewrite ^(.*)-(.*)-(.*)-(.*).html $1/$2/$3/$4/$1_$4.html break;
# course-11-22-33.html course/11/22/33/course_33.html
}
}
[root@lb01 conf.d]# mkdir -p /code/course/33/44/55
[root@lb01 conf.d]# echo "33_44_55_linux" > /code/course/33/44/55/course_55.html
例3:用户访问/test目录下任何内容, 实际上真实访问是http://www.xuliangwei.com
例5:将http请求,跳转至https(最简单)
server {
listen 80;
server_name bgx.com;
rewrite ^(.*) https://1 redirect; #旧的一种写法,不建议使用
#return 302 https://request_uri; #新的写法,建议使用 $request_uri;
}
server {
listen 443;
server_name bgx.com;
ssl on;
}
discuz网站通过rewrite实现伪静态示例。
登陆discuz后台,全局->SEO设置->URL静态化->勾选确定->查看rewrite规则如下
URL 静态化可以提高搜索引擎抓取,开启本功能需要对 Web 服务器增加相应的 Rewrite 支持,
注意: 启用Rewrite会轻微增加服务器负担。
Nginx Web Server
rewrite ([.])/topic-(.+).html1/portal.php?mod=topic&topic=
2&page=
2&page=
2&extra=page%3D
3 last;
rewrite ([.])/group-([0-9]+)-([0-9]+).html1/forum.php?mod=group&fid=
3 last;
rewrite ([.])/space-(username|uid)-(.+).html1/home.php?mod=space&
3 last;
rewrite ([.])/blog-([0-9]+)-([0-9]+).html1/home.php?mod=space&uid=
3 last;
rewrite ([.])/(fid|tid)-([0-9]+).html1/archiver/index.php?action=
3 last;
rewrite ([.])/([a-z]+[a-z0-9_]*)-([a-z0-9_-]+).html1/plugin.php?id=
3 last;
实际上nginx的Rewrite,一般都是写文件,然后include包含
5.Rewrite规则补充
1.Rewrite匹配优先级
1.先执行server块的rewrite指令
2.其次执行location匹配规则
3.最后执行location中的rewrite
2.Rewrite在匹配过程中会用到的一些Nginx全局变量
request_filename 当前请求的文件路径名(带网站的主目录/code/images/test.jpg)
scheme用的协议,比如http或者https
3.如何更加规范的书写Rewrite规则
server {
listen 80;
server_name www.oldboyedu.com oldboyedu.com;
if (1;
}
}
推荐的书写格式
server {
listen 80;
server_name oldboyedu.com;
rewrite ^ http://www.oldboyedu.com$request_uri;
}
server {
listen 80;
server_name www.oldboyedu.com;
}
1.介绍rewrite干什么的
1.地址改写,能实现伪静态
2.地址跳转,a域名跳转到b域名
3.地址跳转,将http跳转https
2.rewrite使用过程中,一些标记。
地址改写
break 会搜索本地文件,搜索不到则404
last 从新的像location发起请求(开发用的多)
地址跳转
redirect 临时
permanent 永久
建议的写法: return 301 return 302
3.rewrite修改伪静态的实例
discuz论坛
作业: 看看wordpress怎么实现url伪静态。
4.rewrite优先级,等等
http不安全
[root@lb01 conf.d]# cat proxy_web.oldboy.com.conf
server {
listen 80;
server_name web.oldboy.com;
location / {
proxy_pass http://10.0.0.7:80;
sub_filter 'web01-7...' '<a href=https://www.xuliangwei.com> Linux Course</a>';
include proxy_params;
}
}
<img src="https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1554024141222&di=df269b2bbc2cdb462b4775593beb4ae7&imgtype=0&src=http%3A%2F%2F5b0988e595225.cdn.sohucs.com%2Fimages%2F20171217%2F5080ee5d44094e76a160389e7e02f379.jpeg">
证书的选择
DV 个人使用 免费
OV 企业使用(中小企业)
EV 企业使用(大型站点)
HTTPS证书购买选择
保护1个域名 www www.xuliangwei.com
保护5个域名 www images cdn test m
通配符域名 *.oldboy.com *.alipay.com
HTTPS注意事项
Https不支持续费,证书到期需重新申请新并进行替换.
Https不支持三级域名解析,如test.m.oldboy.com
Https显示绿色,说明整个网站的url都是https的,并且都是安全的。
Https显示黄色,说明网站代码中有部分URL地址是http不安全协议的。
Https显示红色,要么证书是假的,要么证书已经过期。
1.弄一个假证书实现单台https
[root@web01 conf.d]# mkdir /etc/nginx/ssl_key -p
[root@web01 conf.d]# cd /etc/nginx/ssl_key/
[root@web01 ssl_key]# openssl genrsa -idea -out server.key 2048 #配4位密码 1234
[root@Nginx ssl_key]# openssl req -days 36500 -x509
-sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt
Nginx配置文件
[root@web01 conf.d]# cat s.conf
server {
listen 80;
server_name s.oldboy.com;
return 302 https://request_uri; #80跳转443
}
server {
listen 443;
server_name s.oldboy.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
root /code;
index index.html;
}
}
2.使用假证书实现多台https,全站(nginx负载+后端2台web,https捆绑在我们部署过的wordpress产品和wecenter上)
1.web01---------------------------------------------------------------------------
[root@web01 ~]# vim /etc/nginx/conf.d/s.conf
server {
listen 80;
server_name s.oldboy.com;
location / {
root /code;
index index.html;
}
}
[root@web01 conf.d]# echo "Https_web01..." > /code/index.html
[root@web01 conf.d]# systemctl restart nginx
2.web02---------------------------------------------------------------------------
[root@web02 ~]# vim /etc/nginx/conf.d/s.conf
server {
listen 80;
server_name s.oldboy.com;
location / {
root /code;
index index.html;
}
}
[root@web02 ~]# echo "Https_web02..." > /code/index.html
[root@web02 ~]# systemctl restart nginx
3.lb负载均衡
[root@lb01 conf.d]# cat proxy_s.oldboy.com.conf
upstream ssl {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
server {
listen 80;
server_name s.oldboy.com;
location / {
proxy_pass http://ssl;
proxy_set_header Host $http_host;
}
}
[root@lb01 conf.d]# systemctl restart nginx
4.lb实现https(假的)
[root@lb01 nginx]# scp -rp 172.16.1.7:/etc/nginx/ssl_key ./ #准备假证书
[root@lb01 nginx]# cat /etc/nginx/conf.d/proxy_s.oldboy.com.conf
upstream ssl {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
server {
listen 80;
server_name s.oldboy.com;
return 302 https://request_uri;
}
server {
listen 443;
server_name s.oldboy.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass http://ssl;
proxy_set_header Host $http_host;
}
}
PS:注意:Nginx负载均衡配置https,而负载均衡与后端走http协议会导致项目无法识别https的方式
https://www.cnblogs.com/kevingrace/p/5681023.html #参考解决方案
在后端的web上配置,fastcgi_param HTTPS on;
-------------------------wordpress产品如果需要修改域名---------------------------------------------------
MariaDB [wordpress]> select option_name,option_value from wp_options where option_value='http://blog.oldboy.com';
+-------------+------------------------+
| option_name | option_value |
+-------------+------------------------+
| siteurl | http://blog.oldboy.com |
| home | http://blog.oldboy.com |
+-------------+------------------------+
2 rows in set (0.00 sec)
MariaDB [wordpress]> update wp_options set option_value='http://test.oldboy.com' where option_name='siteurl' or option_name='home';
Query OK, 2 rows affected (0.00 sec)
Rows matched: 2 Changed: 2 Warnings: 0
MariaDB [wordpress]> select option_name,option_value from wp_options where option_value='http://test.oldboy.com';
+-------------+------------------------+
| option_name | option_value |
+-------------+------------------------+
| siteurl | http://test.oldboy.com |
| home | http://test.oldboy.com |
+-------------+------------------------+
2 rows in set (0.00 sec)
-------------------------wordpress产品如果需要修改域名---------------------------------------------------
5.如果就是想负载均衡,以及所有的后端web通讯都是https方式,可以参考如下配置
PS: 注意:后端的web必须都是支持https443端口
[root@lb01 nginx]# cat /etc/nginx/conf.d/proxy_s.oldboy.com.conf
upstream ssl {
server 172.16.1.7:443;
server 172.16.1.8:443;
}
server {
listen 80;
server_name s.oldboy.com;
return 302 https://request_uri;
}
server {
listen 443;
server_name s.oldboy.com;
ssl on;
ssl_certificate ssl_key/server.crt;
ssl_certificate_key ssl_key/server.key;
location / {
proxy_pass https://ssl;
proxy_set_header Host $http_host;
}
}
3.基于阿里云,申请一个证书
实现单台的https
配置参考如下本地的操作
实现负载均衡+多台web集群的全站https
配置参考如下本地的操作
基于阿里云的SLB实现全站https
4.ssl的优化
ssl_session_cache shared:SSL:10m; #在建立完ssl握手后如果断开连接,在session_timeout时间内再次连接,是不需要在次建立握手,可以复用之前的连接
ssl_session_timeout 1440m; #ssl连接断开后的超时时间
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #使用的TLS版本协议
ssl_prefer_server_ciphers on; #Nginx决定使用哪些协议与浏览器进行通讯
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #配置加密套间
NginxRewrite
地址重写、url静态化、地址跳转、协议跳转(http-https)
NginxHttps
http被劫持的场景实例
https证书颁发的过程
https类型DV、OV、EV
https注意事项:
购买什么样的证书(单个、多个、通配符、)
正常情况下,都不支持三级域名,如果有特殊需求,需要再次申请。(参考阿里云购买证书详解)
https显示(绿色(所有的url都是https)、黄色(部分URL地址是http的,部分url地址是https)、红色(要么过期,要么假的))
本地(假证书,不用过多关系,生成使用就完事。)
1.单台静态资源的https
2.多台静态资源的https(全站https,证书一定是配置在负载均衡上的)
3.多台动态资源的https(基于wordpress、wecenter产品的场景实践)
云环境(真的证书)
1.如何申请阿里云的免费DV型证书
2.多台ecs如何实现全站https
3.SLB+多台web实现全站https
下周:
keepalived(高可用软件,和nginx没有关系)
nginx常见问题,nginx常用模块、nginx优化、nginx总结
扩展
nginx配合tomcat、
nginx配合uwsgi实现django的站点
-----------------------------------------------维护页面挂失败
[root@lb01 conf.d]# cat proxy_all.conf
upstream oldboy {
server 172.16.1.7:80;
server 172.16.1.8:80;
}
server {
listen 80;
server_name blog.oldboy.com;
root /code;
rewrite ^(.*)$ /page/wh.png break; #不生效
#将location注释则生效
location / {
proxy_pass http://oldboy;
include proxy_params;
}
}
