Nginx обработка ошибок

Время на прочтение
6 мин

Количество просмотров 22K

Является ли ошибкой ответ 5хх, если его никто не видит? [1]

Вне зависимости от того, как долго и тщательно программное обеспечение проверяется перед запуском, часть проблем проявляется только в рабочем окружении. Например, race condition от параллельного обслуживания большого количества клиентов или исключения при валидации непредвиденных данных от пользователя. В результате эти проблемы могут привести к 5хх ошибкам.

HTTP 5хх ответы зачастую возвращаются пользователям и могут нанести ущерб репутации компании даже за короткий промежуток времени. В то же время, отладить проблему на рабочем сервере зачастую очень непросто. Даже простое извлечение проблемной сессии из логов может превратиться в поиск иголки в стоге сена. И даже если будут собраны все необходимые логи со всех рабочих серверов — этого может быть недостаточно для понимания причин проблемы.

Для облегчения процесса поиска и отладки могут быть использованы некоторые полезные приёмы в случае, когда NGINX используется для проксирования или балансировки приложения. В этой статье будет рассмотрено особое использование директивы error_page в применении к типичной инфраструктуре приложения с проксированием через NGINX.

Сервер отладки

Сервер отладки (отладочный сервер, Debug Server) — специальный сервер, на который перенаправляются запросы, вызывающие ошибки на рабочих серверах. Это достигается использованием того преимущества, что NGINX может детектировать 5xx ошибки, возвращаемые из upstream и перенаправлять приводящие к ошибкам запросы из разных групп upstream на отладочный сервер. А так как отладочный сервер будет обрабатывать только запросы, приводящие к ошибкам, то в логах будет информация, относящаяся исключительно к ошибкам. Таким образом, проблема поиска иголок в стоге сена сводится к горстке иголок.

Так как отладочный сервер не обслуживает рабочие клиентские запросы, то нет нужды затачивать его на производительность. Вместо этого, на нём можно включить максимальное логирование и добавить инструменты диагностики на любой вкус. Например:

• Запуск приложения в режиме отладки
• Включение подробного логирования на сервере
• Добавление профилирования приложения
• Подсчет ресурсов использованных сервером

Инструменты отладки обычно отключаются для рабочих серверов, так как зачастую замедляют работу приложения. Однако, для отладочного сервера их можно безопасно включить. Ниже приведён пример инфраструктуры приложения с отладочным сервером.

В идеальном мире, процесс конфигурирования и выделение ресурсов для отладочного сервера не должен отличаться от процесса настройки обычного рабочего сервера. Но если сделать сервер отладки в виде виртуальной машины, то в этом могут быть свои преимущества (например, клонирование и копирование для автономной аналитики). Однако, в таком случае, существует риск, что сервер может быть перегружен в случае возникновения серьёзной проблемы, которая вызовет внезапный всплеск ошибок 5xx. В NGINX Plus этого можно избежать с помощью параметра max_conns для ограничения количества параллельных соединений (ниже будет приведён пример конфигурации).

Так как сервер отладки загружен не так, как рабочий сервер, то не все ошибки 5xx могут воспроизводиться. В такой ситуации можно предположить, что вы достигли предела масштабирования приложения и исчерпали ресурсы, и никакой ошибки в самом приложении нет. Независимо от основной причины, использование отладочного сервера поможет улучшить взаимодействие с пользователем и предостеречь его от 5xx ошибок.

Конфигурация

Ниже приведен простой пример конфигурации сервера отладки для приема запросов, которые привели к 5xx ошибке на одном из основных серверов.

upstream app_server {
    server 172.16.0.1;
    server 172.16.0.2;
    server 172.16.0.3;
}

upstream debug_server {
    server 172.16.0.9 max_conns=20;
}

server {
    listen *:80;
    location / {
        proxy_pass http://app_server;
        proxy_intercept_errors on;
        error_page 500 503 504 @debug;
    }

   location @debug {
        proxy_pass http://debug_server;
        access_log /var/log/nginx/access_debug_server.log detailed;
        error_log  /var/log/nginx/error_debug_server.log;
    }
}

В блоке upstream app_server указаны адреса рабочих серверов. Далее указывается один адрес сервера отладки в upstream debug_server.

Первый блок location настраивает простое проксирование с помощью директивы proxy_pass для балансировки серверов приложения в upstream app_server (в примере не указан алгоритм балансировки, поэтому используется стандартный алгоритм Round Robin). Включенная директива proxy_intercept_errors означает, что любой ответ с HTTP статусом 300 или выше будет обрабатываться с помощью директивы error_page. В нашем примере перехватываются только 500, 503 и 504 ошибки и передаются на обработку в блок location @debug. Все остальные ответы, такие как 404, отсылаются пользователю без изменений.

В блоке @debug происходят два действия: во-первых, проксирование в группу upstream debug_server, которая, разумеется, содержит сервер отладки; во-вторых, запись access_log и error_log в отдельные файлы. Изолируя сообщения, сгенерированные ошибочными запросами на рабочие сервера, можно легко соотнести их с ошибками, которые сгенерируются на самом отладочном сервере.

Отметим, что директива access_log ссылается на отдельный формат логирования — detailed. Этот формат можно определить, указав в директиве log_format на уровне http следующие значения:

log_format detailed '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" $request_length $request_time '
                    '$upstream_response_length $upstream_response_time '
                    '$upstream_status';

Формат detailed расширяет формат по умолчанию combined добавлением пяти переменных, которые предоставляют дополнительную информацию о запросе к отладочному серверу и его ответе.

• $request_length – полный размер запроса, включая заголовки и тело, в байтах
• $request_time – время обработки запроса, в миллисекундах
• $upstream_response_length – длинна ответа полученного от отладочного сервера, в байтах
• $upstream_response_time– время затраченное на получение ответа от отладочного сервера, в миллисекундах
• $upstream_status – код статуса ответа от отладочного сервера

Перечисленные выше дополнительные поля в логе очень полезны для детектирования некорректных запросов и запросов с большим временем выполнения. Последние могут указывать на неверные таймауты в приложении или другие межпроцессные коммуникационные проблемы.

Идемпотентность при переотправке запросов

Возможно, в некоторых случаях, хочется избежать перенаправления запросов на сервер отладки. Например, если в приложении произошла ошибка при попытке изменить несколько записей в базе данных, то новый запрос может повторить обращение к базе данных и внести изменения ещё раз. Это может привести к беспорядку в базе данных.

Поэтому безопасно переотправлять запрос можно только в случае, если он идемпотентный – то есть запрос, при повторных отправках которого, результат будет один и тот же. HTTP GET, PUT, и DELETE методы идемпотентны, в то время как POST – нет. Однако, стоит отметить, что идемпотентность HTTP методов может зависеть от реализации приложения и отличаться от формально определенных.

Есть три варианта как обрабатывать идемпотентность на отладочном сервере:

1. Запустить отладочный сервер в режиме read-only для базы данных. В таком случае переотправка запросов безопасна, так как не вносит никаких изменений. Логирование запросов на отладочном сервере будет происходить без изменений, но меньше информации будет доступно для диагностики проблемы (из-за режима read-only).
2. Переотправлять на отладочный сервер только идемпотентные запросы.
3. Развернуть второй отладочный сервер в режиме read-only для базы данных и переотправлять на него неидемпотентные запросы, а идемпотентные продолжать отправлять на основной сервер отладки. В таком случае будут обрабатываться все запросы, но потребуется дополнительная настройка.

Для полноты картины, рассмотрим конфигурацию для третьего варианта:

upstream app_server {
    server 172.16.0.1;
    server 172.16.0.2;
    server 172.16.0.3;
}

upstream debug_server {
    server 172.16.0.9 max_conns=20;
}

upstream readonly_server {
    server 172.16.0.10 max_conns=20;
}

map $request_method $debug_location {
    'POST'  @readonly;
    'LOCK'  @readonly;
    'PATCH' @readonly;
    default @debug;
}

server {
    listen *:80;
    location / {
        proxy_pass http://app_server;
        proxy_intercept_errors on;
        error_page 500 503 504 $debug_location;
    }

   location @debug {
        proxy_pass http://debug_server;
        access_log /var/log/nginx/access_debug_server.log detailed;
        error_log  /var/log/nginx/error_debug_server.log;
    }

   location @readonly {
        proxy_pass http://readonly_server;
        access_log /var/log/nginx/access_readonly_server.log detailed;
        error_log  /var/log/nginx/error_readonly_server.log;
    }
}

Используя директиву map с переменной $request_method, в зависимости от идемпотентности метода, устанавливается значение новой переменной $debug_location. При срабатывании директивы error_page вычисляется переменная $debug_location, и определяется, на какой именно отладочный сервер будет переотправляться запрос.

Нередко для повторной отправки неудавшихся запросов на остальные сервера в upstream (перед отправкой на отладочный сервер) используется директива proxy_next_upstream. Хотя, как правило, это используется для ошибок на сетевом уровне, но возможно также расширение и для 5xx ошибок. Начиная с версии NGINX 1.9.13 неидемпотентные запросы, которые приводят к ошибкам 5xx, не переотправляются по умолчанию. Для включения такого поведения, нужно добавить параметр non_idempotent в директиве proxy_next_upstream. Такое же поведение реализовано в NGINX Plus начиная с версии R9 (апрель 2016г.).

location / {
    proxy_pass http://app_server;
    proxy_next_upstream http_500 http_503 http_504 non_idempotent;
    proxy_intercept_errors on;
    error_page 500 503 504 @debug;
}

Заключение

Не стоит игнорировать ошибки 5хх. Если вы используете модель DevOps, экспериментируете с Continuous Delivery или просто желаете уменьшить риск при обновлениях — NGINX предоставляет инструменты, которые могут помочь лучше реагировать на возникающие проблемы.

Директивы

absolute_redirect on;

Если запрещено, то перенаправления, выдаваемые nginx’ом, будут относительными.

См. также директивы server_name_in_redirect
и port_in_redirect.

aio off;

Разрешает или запрещает использование файлового асинхронного ввода-вывода (AIO)
во FreeBSD и Linux:

location /video/ {
    aio            on;
    output_buffers 1 64k;
}

Во FreeBSD AIO можно использовать, начиная с FreeBSD 4.3.
До FreeBSD 11.0
AIO можно либо собрать в ядре статически:

options VFS_AIO

либо загрузить динамически через загружаемый модуль ядра:

kldload aio

В Linux AIO можно использовать только начиная с версии ядра 2.6.22.
Кроме того, необходимо также дополнительно включить
directio,
иначе чтение будет блокирующимся:

location /video/ {
    aio            on;
    directio       512;
    output_buffers 1 128k;
}

В Linux
directio
можно использовать только для чтения блоков, выравненных
на границу 512 байт (или 4К для XFS).
Невыравненный конец файла будет читаться блокированно.
То же относится к запросам с указанием диапазона запрашиваемых байт
(byte-range requests) и к запросам FLV не с начала файла: чтение
невыравненных начала и конца ответа будет блокирующимся.

При одновременном включении AIO и sendfile в Linux
для файлов, размер которых больше либо равен указанному
в директиве directio, будет использоваться AIO,
а для файлов меньшего размера
или при выключенном directio — sendfile:

location /video/ {
    sendfile       on;
    aio            on;
    directio       8m;
}

Кроме того, читать и отправлять
файлы можно в многопоточном режиме (1.7.11),
не блокируя при этом рабочий процесс:

location /video/ {
    sendfile       on;
    aio            threads;
}

Операции чтения или отправки файлов будут обрабатываться потоками из указанного
пула.
Если пул потоков не задан явно,
используется пул с именем “default”.
Имя пула может быть задано при помощи переменных:

aio threads=pool$disk;

По умолчанию поддержка многопоточности выключена, её сборку следует
разрешить с помощью конфигурационного параметра
--with-threads.
В настоящий момент многопоточность совместима только с методами
epoll,
kqueue
и
eventport.
Отправка файлов в многопоточном режиме поддерживается только на Linux.

См. также директиву sendfile.

aio_write off;

При включённом aio разрешает его использование для записи файлов.
В настоящий момент это работает только при использовании
aio threads
и ограничено записью временных файлов с данными,
полученными от проксируемых серверов.

Задаёт замену для указанного location’а.
Например, при такой конфигурации

location /i/ {
    alias /data/w3/images/;
}

на запрос
“/i/top.gif” будет отдан файл
/data/w3/images/top.gif.

В значении параметра путь можно использовать переменные,
кроме $document_root и $realpath_root.

Если alias используется внутри location’а, заданного
регулярным выражением, то регулярное выражение должно содержать
выделения, а сам alias — ссылки на эти выделения
(0.7.40), например:

location ~ ^/users/(.+\.(?:gif|jpe?g|png))$ {
    alias /data/w3/images/$1;
}

Если location и последняя часть значения директивы совпадают:

location /images/ {
    alias /data/w3/images/;
}

то лучше воспользоваться директивой
root:

location /images/ {
    root /data/w3;
}

auth_delay 0s;

Задерживает обработку неавторизованных запросов с кодом ответа 401
для предотвращения атак по времени в случае ограничения доступа по
паролю, по
результату подзапроса
или по JWT.

chunked_transfer_encoding on;

Позволяет запретить формат передачи данных частями (chunked transfer
encoding) в HTTP/1.1.
Это может понадобиться при использовании программ, не поддерживающих
chunked encoding, несмотря на требования стандарта.

client_body_buffer_size 8k|16k;

Задаёт размер буфера для чтения тела запроса клиента.
Если тело запроса больше заданного буфера,
то всё тело запроса или только его часть записывается во
временный файл.
По умолчанию размер одного буфера равен двум размерам страницы.
На x86, других 32-битных платформах и x86-64 это 8K.
На других 64-битных платформах это обычно 16K.

client_body_in_file_only off;

Определяет, сохранять ли всё тело запроса клиента в файл.
Директиву можно использовать для отладки и при использовании переменной
$request_body_file
или метода
$r->request_body_file
модуля
ngx_http_perl_module.

При установке значения on временные файлы
по окончании обработки запроса не удаляются.

Значение clean разрешает удалять временные файлы,
оставшиеся по окончании обработки запроса.

client_body_in_single_buffer off;

Определяет, сохранять ли всё тело запроса клиента в одном буфере.
Директива рекомендуется при использовании переменной
$request_body
для уменьшения требуемого числа операций копирования.

client_body_temp_path client_body_temp;

Задаёт каталог для хранения временных файлов с телами запросов клиентов.
В каталоге может использоваться иерархия подкаталогов до трёх уровней.
Например, при такой конфигурации

client_body_temp_path /spool/nginx/client_temp 1 2;

путь к временному файлу будет следующего вида:

/spool/nginx/client_temp/7/45/00000123457

client_body_timeout 60s;

Задаёт таймаут при чтении тела запроса клиента.
Таймаут устанавливается не на всю передачу тела запроса,
а только между двумя последовательными операциями чтения.
Если по истечении этого времени клиент ничего не передаст,
обработка запроса прекращается с ошибкой
408 (Request Time-out).

client_header_buffer_size 1k;

Задаёт размер буфера для чтения заголовка запроса клиента.
Для большинства запросов достаточно буфера размером в 1K байт.
Однако если в запросе есть длинные cookies, или же запрос
пришёл от WAP-клиента, то он может не поместиться в 1K.
Поэтому, если строка запроса или поле заголовка запроса
не помещаются полностью в этот буфер, то выделяются буферы
большего размера, задаваемые директивой
large_client_header_buffers.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

client_header_timeout 60s;

Задаёт таймаут при чтении заголовка запроса клиента.
Если по истечении этого времени клиент не передаст полностью заголовок,
обработка запроса прекращается с ошибкой
408 (Request Time-out).

client_max_body_size 1m;

Задаёт максимально допустимый размер тела запроса клиента.
Если размер больше заданного, то клиенту возвращается ошибка
413 (Request Entity Too Large).
Следует иметь в виду, что
браузеры не умеют корректно показывать
эту ошибку.
Установка параметра размер в 0 отключает
проверку размера тела запроса клиента.

connection_pool_size 256|512;

Позволяет производить точную настройку выделения памяти
под конкретные соединения.
Эта директива не оказывает существенного влияния на
производительность, и её не следует использовать.
По умолчанию размер равен
256 байт на 32-битных платформах и 512 байт на 64-битных платформах.

До версии 1.9.8 по умолчанию использовалось значение 256 на всех платформах.

default_type text/plain;

Задаёт MIME-тип ответов по умолчанию.
Соответствие расширений имён файлов MIME-типу ответов задаётся
с помощью директивы types.

directio off;

Разрешает использовать флаги
O_DIRECT (FreeBSD, Linux),
F_NOCACHE (macOS)
или функцию directio() (Solaris)
при чтении файлов, размер которых больше либо равен указанному.
Директива автоматически запрещает (0.7.15) использование
sendfile
для данного запроса.
Рекомендуется использовать для больших файлов:

directio 4m;

или при использовании aio в Linux.

directio_alignment 512;

Устанавливает выравнивание для
directio.
В большинстве случаев достаточно 512-байтового выравнивания, однако
при использовании XFS под Linux его нужно увеличить до 4K.

disable_symlinks off;

Определяет, как следует поступать с символическими ссылками
при открытии файлов:

off

Символические ссылки в пути допускаются и не проверяются.
Это стандартное поведение.

on

Если любой компонент пути является символической ссылкой,
доступ к файлу запрещается.

if_not_owner

Доступ к файлу запрещается, если любой компонент пути
является символической ссылкой, а ссылка и объект, на
который она ссылается, имеют разных владельцев.

from=часть

При проверке символических ссылок
(параметры on и if_not_owner)
обычно проверяются все компоненты пути.
Можно не проверять символические ссылки в начальной части пути,
указав дополнительно параметр
from=часть.
В этом случае символические ссылки проверяются лишь начиная
с компонента пути, который следует за заданной начальной частью.
Если значение не является начальной частью проверяемого пути,
путь проверяется целиком, как если бы этот параметр не был указан вовсе.
Если значение целиком совпадает с именем файла,
символические ссылки не проверяются.
В значении параметра можно использовать переменные.

Пример:

disable_symlinks on from=$document_root;

Эта директива доступна только на системах, в которых есть
интерфейсы openat() и fstatat().
К таким системам относятся современные версии FreeBSD, Linux и Solaris.

Параметры on и if_not_owner
требуют дополнительных затрат на обработку.

На системах, не поддерживающих операцию открытия каталогов только для поиска,
для использования этих параметров требуется, чтобы рабочие процессы
имели право читать все проверяемые каталоги.

Модули
ngx_http_autoindex_module,
ngx_http_random_index_module
и ngx_http_dav_module
в настоящий момент игнорируют эту директиву.

Задаёт URI, который будет показываться для указанных ошибок.
В значении uri можно использовать переменные.

Пример:

error_page 404             /404.html;
error_page 500 502 503 504 /50x.html;

При этом делается внутреннее перенаправление на указанный uri,
а метод запроса клиента меняется на “GET”
(для всех методов, отличных от
“GET” и “HEAD”).

Кроме того, можно поменять код ответа на другой,
используя синтаксис вида “=ответ”, например:

error_page 404 =200 /empty.gif;

Если ошибочный ответ обрабатывается проксированным сервером или
FastCGI/uwsgi/SCGI/gRPC-сервером,
и этот сервер может вернуть разные коды ответов,
например, 200, 302, 401 или 404, то можно выдавать возвращаемый им код:

error_page 404 = /404.php;

Если при внутреннем перенаправлении не нужно менять URI и метод,
то можно передать обработку ошибки в именованный location:

location / {
    error_page 404 = @fallback;
}

location @fallback {
    proxy_pass http://backend;
}

Если при обработке uri происходит ошибка,
клиенту возвращается ответ с кодом последней случившейся ошибки.

Также существует возможность использовать перенаправления URL для обработки
ошибок:

error_page 403      http://example.com/forbidden.html;
error_page 404 =301 http://example.com/notfound.html;

В этом случае по умолчанию клиенту возвращается код ответа 302.
Его можно изменить только на один из кодов ответа, относящихся к
перенаправлениям (301, 302, 303, 307 и 308).

До версий 1.1.16 и 1.0.13 код 307 не обрабатывался как перенаправление.

До версии 1.13.0 код 308 не обрабатывался как перенаправление.

Директивы наследуются с предыдущего уровня конфигурации при условии, что
на данном уровне не описаны свои директивы error_page.

etag on;

Разрешает или запрещает автоматическую генерацию поля “ETag”
заголовка ответа для статических ресурсов.

Предоставляет контекст конфигурационного файла, в котором указываются
директивы HTTP-сервера.

if_modified_since exact;

Определяет, как сравнивать время модификации ответа с
временем в поле
“If-Modified-Since”
заголовка запроса:

off

ответ всегда считается изменившимся (0.7.34);

exact

точное совпадение;

before

время модификации ответа меньше или равно времени, заданному в поле
“If-Modified-Since” заголовка запроса.

ignore_invalid_headers on;

Если включено, nginx игнорирует поля заголовка с недопустимыми именами.
Допустимыми считаются имена, состоящие из английских букв, цифр, дефисов
и возможно знаков подчёркивания (последнее контролируется директивой
underscores_in_headers).

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

Указывает, что location может использоваться только для внутренних запросов.
Для внешних запросов клиенту будет возвращаться ошибка
404 (Not Found).
Внутренними запросами являются:

• запросы, перенаправленные директивами
  error_page,
  index,
  internal_redirect,
  random_index и
  try_files;
• запросы, перенаправленные с помощью поля
  “X-Accel-Redirect” заголовка ответа вышестоящего сервера;
• подзапросы, формируемые командой
  “include virtual”
  модуля
  ngx_http_ssi_module,
  директивами модуля
  ngx_http_addition_module,
  а также директивами
  auth_request и
  mirror;

• запросы, изменённые директивой
  rewrite.

Пример:

error_page 404 /404.html;

location = /404.html {
    internal;
}

Для предотвращения зацикливания, которое может возникнуть при
использовании некорректных конфигураций, количество внутренних
перенаправлений ограничено десятью.
По достижении этого ограничения будет возвращена ошибка
500 (Internal Server Error).
В таком случае в лог-файле ошибок можно увидеть сообщение
“rewrite or internal redirection cycle”.

keepalive_disable msie6;

Запрещает keep-alive соединения с некорректно ведущими себя браузерами.
Параметры браузер указывают, на какие браузеры это
распространяется.
Значение msie6 запрещает keep-alive соединения
со старыми версиями MSIE после получения запроса POST.
Значение safari запрещает keep-alive соединения
с Safari и подобными им браузерами на macOS и подобных ей ОС.
Значение none разрешает keep-alive соединения
со всеми браузерами.

До версии 1.1.18 под значение safari подпадали
все Safari и подобные им браузеры на всех ОС, и keep-alive
соединения с ними были по умолчанию запрещены.

keepalive_requests 1000;

Задаёт максимальное число запросов, которые можно
сделать по одному keep-alive соединению.
После того, как сделано максимальное число запросов,
соединение закрывается.

Периодическое закрытие соединений необходимо для освобождения
памяти, выделенной под конкретные соединения.
Поэтому использование слишком большого максимального числа запросов
может приводить к чрезмерному потреблению памяти и не рекомендуется.

До версии 1.19.10 по умолчанию использовалось значение 100.

keepalive_time 1h;

Ограничивает максимальное время, в течение которого
могут обрабатываться запросы в рамках keep-alive соединения.
По достижении заданного времени соединение закрывается
после обработки очередного запроса.

keepalive_timeout 75s;

Первый параметр задаёт таймаут, в течение которого keep-alive
соединение с клиентом не будет закрыто со стороны сервера.
Значение 0 запрещает keep-alive соединения с клиентами.
Второй необязательный параметр задаёт значение в поле
“Keep-Alive: timeout=время”
заголовка ответа.
Два параметра могут отличаться друг от друга.

Поле
“Keep-Alive: timeout=время”
заголовка понимают Mozilla и Konqueror.
MSIE сам закрывает keep-alive соединение примерно через 60 секунд.

large_client_header_buffers 4 8k;

Задаёт максимальное число и размер
буферов для чтения большого заголовка запроса клиента.
Строка запроса не должна превышать размера одного буфера, иначе клиенту
возвращается ошибка
414 (Request-URI Too Large).
Поле заголовка запроса также не должно превышать размера одного буфера,
иначе клиенту возвращается ошибка
400 (Bad Request).
Буферы выделяются только по мере необходимости.
По умолчанию размер одного буфера равен 8K байт.
Если по окончании обработки запроса соединение переходит в состояние
keep-alive, эти буферы освобождаются.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

Ограничивает HTTP-методы, доступные внутри location.
Параметр метод может быть одним из
GET,
HEAD,
POST,
PUT,
DELETE,
MKCOL,
COPY,
MOVE,
OPTIONS,
PROPFIND,
PROPPATCH,
LOCK,
UNLOCK
или
PATCH.
Если разрешён метод GET, то метод
HEAD также будет разрешён.
Доступ к остальным методам может быть ограничен при помощи директив модулей
ngx_http_access_module,
ngx_http_auth_basic_module
и
ngx_http_auth_jwt_module
(1.13.10):

limit_except GET {
    allow 192.168.1.0/32;
    deny  all;
}

Обратите внимание, что данное ограничение действует для всех методов,
кроме GET и HEAD.

limit_rate 0;

Ограничивает скорость передачи ответа клиенту.
Скорость задаётся в байтах в секунду.
Значение 0 отключает ограничение скорости.

Ограничение устанавливается на запрос, поэтому, если клиент одновременно
откроет два соединения, суммарная скорость будет вдвое выше
заданного ограничения.

В значении параметра можно использовать переменные (1.17.0).
Это может быть полезно в случаях, когда скорость нужно ограничивать
в зависимости от какого-либо условия:

map $slow $rate {
    1     4k;
    2     8k;
}

limit_rate $rate;

Ограничение скорости можно также задать в переменной
$limit_rate,
однако начиная с 1.17.0 использовать данный метод не рекомендуется:

server {

    if ($slow) {
        set $limit_rate 4k;
    }

    ...
}

Кроме того, ограничение скорости может быть задано в поле
“X-Accel-Limit-Rate” заголовка ответа проксированного сервера.
Эту возможность можно запретить с помощью директив
proxy_ignore_headers,
fastcgi_ignore_headers,
uwsgi_ignore_headers
и
scgi_ignore_headers.

limit_rate_after 0;

Задаёт начальный объём данных, после передачи которого начинает
ограничиваться скорость передачи ответа клиенту.
В значении параметра можно использовать переменные (1.17.0).

Пример:

location /flv/ {
    flv;
    limit_rate_after 500k;
    limit_rate       50k;
}

lingering_close on;

Управляет закрытием соединений с клиентами.

Со значением по умолчанию “on” nginx будет
ждать и
обрабатывать дополнительные данные,
поступающие от клиента, перед полным закрытием соединения, но только
если эвристика указывает на то, что клиент может ещё послать данные.

Со значением “always” nginx всегда будет
ждать и обрабатывать дополнительные данные, поступающие от клиента.

Со значением “off” nginx не будет ждать поступления
дополнительных данных и сразу же закроет соединение.
Это поведение нарушает протокол и поэтому не должно использоваться без
необходимости.

Для управления закрытием
HTTP/2-соединений
директива должна быть задана на уровне server (1.19.1).

lingering_time 30s;

Если действует lingering_close,
эта директива задаёт максимальное время, в течение которого nginx
будет обрабатывать (читать и игнорировать) дополнительные данные,
поступающие от клиента.
По прошествии этого времени соединение будет закрыто, даже если
будут ещё данные.

lingering_timeout 5s;

Если действует lingering_close, эта директива задаёт
максимальное время ожидания поступления дополнительных данных от клиента.
Если в течение этого времени данные не были получены, соединение закрывается.
В противном случае данные читаются и игнорируются, и nginx снова
ждёт поступления данных.
Цикл “ждать-читать-игнорировать” повторяется, но не дольше чем задано
директивой lingering_time.

listen *:80 | *:8000;

Задаёт адрес и порт для IP
или путь для UNIX-сокета,
на которых сервер будет принимать запросы.
Можно указать адрес и порт,
либо только адрес или только порт.
Кроме того, адрес может быть именем хоста, например:

listen 127.0.0.1:8000;
listen 127.0.0.1;
listen 8000;
listen *:8000;
listen localhost:8000;

IPv6-адреса (0.7.36) задаются в квадратных скобках:

listen [::]:8000;
listen [::1];

UNIX-сокеты (0.8.21) задаются при помощи префикса “unix:”:

listen unix:/var/run/nginx.sock;

Если указан только адрес, то используется порт 80.

Если директива не указана, то используется либо *:80,
если nginx работает с привилегиями суперпользователя,
либо *:8000.

Если у директивы есть параметр default_server, то сервер,
в котором описана эта директива, будет сервером по умолчанию для указанной пары
адрес:порт.
Если же директив с параметром default_server нет, то
сервером по умолчанию будет первый сервер, в котором описана пара
адрес:порт.

До версии 0.8.21 этот параметр назывался просто
default.

Параметр ssl (0.7.14) указывает на то, что все соединения,
принимаемые на данном порту, должны работать в режиме SSL.
Это позволяет задать компактную конфигурацию для сервера,
работающего сразу в двух режимах — HTTP и HTTPS.

Параметр http2 (1.9.5) позволяет принимать на этом порту
HTTP/2-соединения.
Обычно, чтобы это работало, следует также указать параметр
ssl, однако nginx можно также настроить и на приём
HTTP/2-соединений без SSL.

Параметр устарел, вместо него следует использовать
директиву http2.

Параметр quic (1.25.0) позволяет принимать на этом порту
QUIC-соединения.

Параметр proxy_protocol (1.5.12)
указывает на то, что все соединения, принимаемые на данном порту,
должны использовать
протокол
PROXY.

Протокол PROXY версии 2 поддерживается начиная с версии 1.13.11.

В директиве listen можно также указать несколько
дополнительных параметров, специфичных для связанных с сокетами
системных вызовов.
Эти параметры можно задать в любой директиве listen,
но только один раз для указанной пары
адрес:порт.

До версии 0.8.21 их можно было указывать лишь в директиве
listen совместно с параметром default.

setfib=число

этот параметр (0.8.44) задаёт таблицу маршрутизации, FIB
(параметр SO_SETFIB) для слушающего сокета.
В настоящий момент это работает только на FreeBSD.

fastopen=число

включает
“TCP Fast Open”
для слушающего сокета (1.5.8) и
ограничивает
максимальную длину очереди соединений, которые ещё не завершили процесс
three-way handshake.

Не включайте “TCP Fast Open”, не убедившись, что сервер может адекватно
обрабатывать многократное получение

одного и того же SYN-пакета с данными.

backlog=число

задаёт параметр backlog в вызове
listen(), который ограничивает
максимальный размер очереди ожидающих приёма соединений.
По умолчанию backlog устанавливается равным -1 для
FreeBSD, DragonFly BSD и macOS, и 511 для других платформ.

rcvbuf=размер

задаёт размер буфера приёма
(параметр SO_RCVBUF) для слушающего сокета.

sndbuf=размер

задаёт размер буфера передачи
(параметр SO_SNDBUF) для слушающего сокета.

accept_filter=фильтр

задаёт название accept-фильтра
(параметр SO_ACCEPTFILTER) для слушающего сокета,
который включается для фильтрации входящих соединений
перед передачей их в accept().
Работает только на FreeBSD и NetBSD 5.0+.
Можно использовать два фильтра:
dataready
и
httpready.

deferred

указывает использовать отложенный accept()
(параметр TCP_DEFER_ACCEPT сокета) на Linux.

bind

указывает, что для данной пары
адрес:порт нужно делать
bind() отдельно.
Это нужно потому, что если описаны несколько директив listen
с одинаковым портом, но разными адресами, и одна из директив
listen слушает на всех адресах для данного порта
(*:порт), то nginx сделает
bind() только на *:порт.
Необходимо заметить, что в этом случае для определения адреса, на который
пришло соединение, делается системный вызов getsockname().
Если же используются параметры setfib,
fastopen,
backlog, rcvbuf,
sndbuf, accept_filter,
deferred, ipv6only,
reuseport
или so_keepalive,
то для данной пары
адрес:порт всегда делается
отдельный вызов bind().

ipv6only=on|off

этот параметр (0.7.42) определяет
(через параметр сокета IPV6_V6ONLY),
будет ли слушающий на wildcard-адресе [::] IPv6-сокет
принимать только IPv6-соединения, или же одновременно IPv6- и IPv4-соединения.
По умолчанию параметр включён.
Установить его можно только один раз на старте.

До версии 1.3.4,
если этот параметр не был задан явно, то для сокета действовали
настройки операционной системы.

reuseport

этот параметр (1.9.1) указывает, что нужно создавать отдельный слушающий сокет
для каждого рабочего процесса
(через параметр сокета
SO_REUSEPORT для Linux 3.9+ и DragonFly BSD
или SO_REUSEPORT_LB для FreeBSD 12+), позволяя ядру
распределять входящие соединения между рабочими процессами.
В настоящий момент это работает только на Linux 3.9+, DragonFly BSD
и FreeBSD 12+ (1.15.1).

Ненадлежащее использование параметра может быть
небезопасно.

so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]

этот параметр (1.1.11) конфигурирует для слушающего сокета
поведение “TCP keepalive”.
Если этот параметр опущен, то для сокета будут действовать
настройки операционной системы.
Если он установлен в значение “on”, то для сокета
включается параметр SO_KEEPALIVE.
Если он установлен в значение “off”, то для сокета
параметр SO_KEEPALIVE выключается.
Некоторые операционные системы поддерживают настройку параметров
“TCP keepalive” на уровне сокета посредством параметров
TCP_KEEPIDLE, TCP_KEEPINTVL и
TCP_KEEPCNT.
На таких системах (в настоящий момент это Linux 2.4+, NetBSD 5+ и
FreeBSD 9.0-STABLE)
их можно сконфигурировать с помощью параметров keepidle,
keepintvl и keepcnt.
Один или два параметра могут быть опущены, в таком случае для
соответствующего параметра сокета будут действовать стандартные
системные настройки.
Например,

so_keepalive=30m::10

установит таймаут бездействия (TCP_KEEPIDLE) в 30 минут,
для интервала проб (TCP_KEEPINTVL) будет действовать
стандартная системная настройка, а счётчик проб (TCP_KEEPCNT)
будет равен 10.

Пример:

listen 127.0.0.1 default_server accept_filter=dataready backlog=1024;

Устанавливает конфигурацию в зависимости от URI запроса.

Для сопоставления используется URI запроса в нормализованном виде,
после декодирования текста, заданного в виде “%XX”,
преобразования относительных элементов пути “.” и
“..” в реальные и возможной
замены двух и более подряд идущих
слэшей на один.

location можно задать префиксной строкой или регулярным выражением.
Регулярные выражения задаются либо с модификатором “~*”
(для поиска совпадения без учёта регистра символов),
либо с модификатором “~” (с учётом регистра).
Чтобы найти location, соответствующий запросу, вначале проверяются
location’ы, заданные префиксными строками (префиксные location’ы).
Среди них ищется location с совпадающим префиксом
максимальной длины и запоминается.
Затем проверяются регулярные выражения, в порядке их следования
в конфигурационном файле.
Проверка регулярных выражений прекращается после первого же совпадения,
и используется соответствующая конфигурация.
Если совпадение с регулярным выражением не найдено, то используется
конфигурация запомненного ранее префиксного location’а.

Блоки location могут быть вложенными,
с некоторыми исключениями, о которых говорится ниже.

Для операционных систем, нечувствительных к регистру символов, таких
как macOS и Cygwin, сравнение с префиксными строками производится
без учёта регистра (0.7.7).
Однако сравнение ограничено только однобайтными locale’ями.

Регулярные выражения могут содержать выделения (0.7.40), которые могут
затем использоваться в других директивах.

Если у совпавшего префиксного location’а максимальной длины указан модификатор
“^~”, то регулярные выражения не проверяются.

Кроме того, с помощью модификатора “=” можно задать точное
совпадение URI и location.
При точном совпадении поиск сразу же прекращается.
Например, если запрос “/” случается часто, то
указав “location = /”, можно ускорить обработку
этих запросов, так как поиск прекратится после первого же сравнения.
Очевидно, что такой location не может иметь вложенные location’ы.

В версиях с 0.7.1 по 0.8.41, если запрос точно совпал с префиксным
location’ом без модификаторов “=” и “^~”,
то поиск тоже сразу же прекращается и регулярные выражения также
не проверяются.

Проиллюстрируем вышесказанное примером:

location = / {
    [ конфигурация А ]
}

location / {
    [ конфигурация Б ]
}

location /documents/ {
    [ конфигурация В ]
}

location ^~ /images/ {
    [ конфигурация Г ]
}

location ~* \.(gif|jpg|jpeg)$ {
    [ конфигурация Д ]
}

Для запроса “/” будет выбрана конфигурация А,
для запроса “/index.html” — конфигурация Б,
для запроса “/documents/document.html” — конфигурация В,
для запроса “/images/1.gif” — конфигурация Г,
а для запроса “/documents/1.jpg” — конфигурация Д.

Префикс “@” задаёт именованный location.
Такой location не используется при обычной обработке запросов, а
предназначен только для перенаправления в него запросов.
Такие location’ы не могут быть вложенными и не могут содержать
вложенные location’ы.

Если location задан префиксной строкой со слэшом в конце
и запросы обрабатываются при помощи
proxy_pass,
fastcgi_pass,
uwsgi_pass,
scgi_pass,
memcached_pass или
grpc_pass,
происходит специальная обработка.
В ответ на запрос с URI равным этой строке, но без завершающего слэша,
будет возвращено постоянное перенаправление с кодом 301
на URI с добавленным в конец слэшом.
Если такое поведение нежелательно, можно задать точное совпадение
URI и location, например:

location /user/ {
    proxy_pass http://user.example.com;
}

location = /user {
    proxy_pass http://login.example.com;
}

log_not_found on;

Разрешает или запрещает записывать в
error_log
ошибки о том, что файл не найден.

log_subrequest off;

Разрешает или запрещает записывать в
access_log
подзапросы.

Ограничивает максимальное допустимое число диапазонов в запросах с
указанием диапазона запрашиваемых байт (byte-range requests).
Запросы, превышающие указанное ограничение, обрабатываются как
если бы они не содержали указания диапазонов.
По умолчанию число диапазонов не ограничено.
Значение 0 полностью запрещает поддержку диапазонов.

merge_slashes on;

Разрешает или запрещает преобразование URI путём замены двух и более подряд
идущих слэшей (“/”) на один.

Необходимо иметь в виду, что это преобразование необходимо для корректной
проверки префиксных строк и регулярных выражений.
Если его не делать, то запрос “//scripts/one.php”
не попадёт в

location /scripts/ {
    ...
}

и может быть обслужен как статический файл.
Поэтому он преобразуется к виду “/scripts/one.php”.

Запрет преобразования может понадобиться, если в URI используются имена,
закодированные методом base64, в котором задействован символ
“/”.
Однако из соображений безопасности лучше избегать отключения преобразования.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

msie_padding on;

Разрешает или запрещает добавлять в ответы для MSIE со статусом больше 400
комментарий для увеличения размера ответа до 512 байт.

msie_refresh off;

Разрешает или запрещает выдавать для MSIE клиентов refresh’ы вместо
перенаправлений.

open_file_cache off;

Задаёт кэш, в котором могут храниться:

• дескрипторы открытых файлов, информация об их размерах и времени модификации;
• информация о существовании каталогов;
• информация об ошибках поиска файла — “нет файла”, “нет прав на чтение”
  и тому подобное.

  Кэширование ошибок нужно разрешить отдельно директивой
  open_file_cache_errors.

У директивы есть следующие параметры:

max

задаёт максимальное число элементов в кэше;
при переполнении кэша удаляются наименее востребованные элементы (LRU);

inactive

задаёт время, после которого элемент кэша удаляется, если к нему
не было обращений в течение этого времени; по умолчанию 60 секунд;

off

запрещает кэш.

Пример:

open_file_cache          max=1000 inactive=20s;
open_file_cache_valid    30s;
open_file_cache_min_uses 2;
open_file_cache_errors   on;

open_file_cache_errors off;

Разрешает или запрещает кэширование ошибок поиска файлов в
open_file_cache.

open_file_cache_min_uses 1;

Задаёт минимальное число обращений к файлу
в течение времени, заданного параметром inactive
директивы open_file_cache, необходимых для того, чтобы дескриптор
файла оставался открытым в кэше.

open_file_cache_valid 60s;

Определяет время, через которое следует проверять актуальность информации
об элементе в
open_file_cache.

output_buffers 2 32k;

Задаёт число и размер буферов,
используемых при чтении ответа с диска.

До версии 1.9.5 по умолчанию использовалось значение 1 32k.

port_in_redirect on;

Разрешает или запрещает указывать порт в
абсолютных
перенаправлениях, выдаваемых nginx’ом.

Использование в перенаправлениях основного имени сервера управляется
директивой server_name_in_redirect.

postpone_output 1460;

Если это возможно, то отправка данных клиенту будет отложена пока nginx не
накопит по крайней мере указанное количество байт для отправки.
Значение 0 запрещает отложенную отправку данных.

read_ahead 0;

Задаёт ядру размер предчтения при работе с файлами.

На Linux используется системный вызов
posix_fadvise(0, 0, 0, POSIX_FADV_SEQUENTIAL),
поэтому параметр размер там игнорируется.

На FreeBSD используется системный вызов
fcntl(O_READAHEAD,
размер),
появившийся во FreeBSD 9.0-CURRENT.
Для FreeBSD 7 необходимо установить
патч.

recursive_error_pages off;

Разрешает или запрещает делать несколько перенаправлений через директиву
error_page.
Число таких перенаправлений ограничено.

request_pool_size 4k;

Позволяет производить точную настройку выделений памяти
под конкретные запросы.
Эта директива не оказывает существенного влияния на
производительность, и её не следует использовать.

reset_timedout_connection off;

Разрешает или запрещает сброс соединений по таймауту,
а также при
закрытии
соединений с помощью нестандартного кода 444 (1.15.2).
Сброс делается следующим образом.
Перед закрытием сокета для него задаётся параметр
SO_LINGER
с таймаутом 0.
После этого при закрытии сокета клиенту отсылается TCP RST, а вся память,
связанная с этим сокетом, освобождается.
Это позволяет избежать длительного нахождения уже закрытого сокета в
состоянии FIN_WAIT1 с заполненными буферами.

Необходимо отметить, что keep-alive соединения по истечении таймаута
закрываются обычным образом.

Задаёт серверы DNS, используемые для преобразования имён вышестоящих серверов
в адреса, например:

resolver 127.0.0.1 [::1]:5353;

Адрес может быть указан в виде доменного имени или IP-адреса,
и необязательного порта (1.3.1, 1.2.2).
Если порт не указан, используется порт 53.
Серверы DNS опрашиваются циклически.

До версии 1.1.7 можно было задать лишь один DNS-сервер.
Задание DNS-серверов с помощью IPv6-адресов поддерживается
начиная с версий 1.3.1 и 1.2.2.

По умолчанию nginx будет искать как IPv4-, так и IPv6-адреса
при преобразовании имён в адреса.
Если поиск IPv4- или IPv6-адресов нежелателен,
можно указать параметр ipv4=off (1.23.1) или
ipv6=off.

Преобразование имён в IPv6-адреса поддерживается
начиная с версии 1.5.8.

По умолчанию nginx кэширует ответы, используя значение TTL из ответа.
Необязательный параметр valid позволяет это
переопределить:

resolver 127.0.0.1 [::1]:5353 valid=30s;

До версии 1.1.9 настройка времени кэширования была невозможна
и nginx всегда кэшировал ответы на срок в 5 минут.

Для предотвращения DNS-спуфинга рекомендуется
использовать DNS-серверы в защищённой доверенной локальной сети.

Необязательный параметр status_zone (1.17.1)
включает
сбор информации
о запросах и ответах сервера DNS
в указанной зоне.
Параметр доступен как часть
коммерческой подписки.

resolver_timeout 30s;

Задаёт таймаут для преобразования имени в адрес, например:

resolver_timeout 5s;

root html;

Задаёт корневой каталог для запросов.
Например, при такой конфигурации

location /i/ {
    root /data/w3;
}

в ответ на запрос “/i/top.gif” будет отдан файл
/data/w3/i/top.gif.

В значении параметра путь можно использовать переменные,
кроме $document_root и $realpath_root.

Путь к файлу формируется путём простого добавления URI к значению директивы
root.
Если же URI необходимо поменять, следует воспользоваться директивой
alias.

satisfy all;

Разрешает доступ, если все (all)
или хотя бы один (any) из модулей
ngx_http_access_module,
ngx_http_auth_basic_module,
ngx_http_auth_request_module
или
ngx_http_auth_jwt_module
разрешают доступ.

Пример:

location / {
    satisfy any;

    allow 192.168.1.0/32;
    deny  all;

    auth_basic           "closed site";
    auth_basic_user_file conf/htpasswd;
}

send_lowat 0;

При установке этой директивы в ненулевое значение nginx будет пытаться
минимизировать число операций отправки на клиентских сокетах либо при
помощи флага NOTE_LOWAT метода
kqueue,
либо при помощи параметра сокета SO_SNDLOWAT.
В обоих случаях будет использован указанный размер.

Эта директива игнорируется на Linux, Solaris и Windows.

send_timeout 60s;

Задаёт таймаут при передаче ответа клиенту.
Таймаут устанавливается не на всю передачу ответа,
а только между двумя операциями записями.
Если по истечении этого времени клиент ничего не примет,
соединение будет закрыто.

sendfile off;

Разрешает или запрещает использовать
sendfile().

Начиная с nginx 0.8.12 и FreeBSD 5.2.1,
можно использовать aio для подгрузки данных
для sendfile():

location /video/ {
    sendfile       on;
    tcp_nopush     on;
    aio            on;
}

В такой конфигурации функция sendfile() вызывается с флагом
SF_NODISKIO, в результате чего она не блокируется на диске, а
сообщает об отсутствии данных в памяти.
После этого nginx инициирует асинхронную подгрузку данных, читая один байт.
При этом ядро FreeBSD подгружает в память первые 128K байт файла, однако
при последующих чтениях файл подгружается частями только по 16K.
Изменить это можно с помощью директивы
read_ahead.

До версии 1.7.11 подгрузка данных включалась с помощью
aio sendfile;.

sendfile_max_chunk 2m;

Ограничивает объём данных,
который может передан за один вызов sendfile().
Без этого ограничения одно быстрое соединение может целиком
захватить рабочий процесс.

До версии 1.21.4 по умолчанию ограничения не было.

Задаёт конфигурацию для виртуального сервера.
Чёткого разделения виртуальных серверов на IP-based (на основании IP-адреса)
и name-based (на основании поля “Host” заголовка запроса) нет.
Вместо этого директивами listen описываются все
адреса и порты, на которых нужно принимать соединения для этого сервера,
а в директиве server_name указываются все имена серверов.
Примеры конфигураций описаны в документе
“Как nginx обрабатывает запросы”.

server_name "";

Задаёт имена виртуального сервера, например:

server {
    server_name example.com www.example.com;
}

Первое имя становится основным именем сервера.

В именах серверов можно использовать звёздочку (“*”)
для замены первой или последней части имени:

server {
    server_name example.com *.example.com www.example.*;
}

Такие имена называются именами с маской.

Два первых вышеприведённых имени можно объединить в одно:

server {
    server_name .example.com;
}

В качестве имени сервера можно также использовать регулярное выражение,
указав перед ним тильду (“~”):

server {
    server_name www.example.com ~^www\d+\.example\.com$;
}

Регулярное выражение может содержать выделения (0.7.40),
которые могут затем использоваться в других директивах:

server {
    server_name ~^(www\.)?(.+)$;

    location / {
        root /sites/$2;
    }
}

server {
    server_name _;

    location / {
        root /sites/default;
    }
}

Именованные выделения в регулярном выражении создают переменные (0.8.25),
которые могут затем использоваться в других директивах:

server {
    server_name ~^(www\.)?(?<domain>.+)$;

    location / {
        root /sites/$domain;
    }
}

server {
    server_name _;

    location / {
        root /sites/default;
    }
}

Если параметр директивы установлен в “$hostname” (0.9.4), то
подставляется имя хоста (hostname) машины.

Возможно также указать пустое имя сервера (0.7.11):

server {
    server_name www.example.com "";
}

Это позволяет обрабатывать запросы без поля “Host” заголовка
запроса в этом сервере, а не в сервере по умолчанию для данной пары адрес:порт.
Это настройка по умолчанию.

До 0.8.48 по умолчанию использовалось имя хоста (hostname) машины.

При поиске виртуального сервера по имени,
если имени соответствует несколько из указанных вариантов,
например, одновременно подходят и имя с маской, и регулярное выражение,
будет выбран первый подходящий вариант в следующем порядке приоритета:

1. точное имя
2. самое длинное имя с маской в начале,
   например “*.example.com”
3. самое длинное имя с маской в конце,
   например “mail.*”
4. первое подходящее регулярное выражение
   (в порядке следования в конфигурационном файле)

Подробнее имена серверов обсуждаются в отдельном
документе.

server_name_in_redirect off;

Разрешает или запрещает использовать в
абсолютных перенаправлениях,
выдаваемых nginx’ом, основное имя сервера, задаваемое директивой
server_name.
Если использование основного имени сервера запрещено, то используется имя,
указанное в поле “Host” заголовка запроса.
Если же этого поля нет, то используется IP-адрес сервера.

Использование в перенаправлениях порта управляется
директивой port_in_redirect.

server_names_hash_bucket_size 32|64|128;

Задаёт размер корзины в хэш-таблицах имён серверов.
Значение по умолчанию зависит от размера строки кэша процессора.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

server_names_hash_max_size 512;

Задаёт максимальный размер хэш-таблиц имён серверов.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

server_tokens on;

Разрешает или запрещает выдавать версию nginx’а на страницах ошибок и
в поле “Server” заголовка ответа.

Если указан параметр build (1.11.10),
то наряду с версией nginx’а будет также выдаваться
имя сборки.

Дополнительно, как часть
коммерческой подписки,
начиная с версии 1.9.13
подписи на страницах ошибок и
значение поля “Server” заголовка ответа
можно задать явно с помощью строки с переменными.
Пустая строка запрещает выдачу поля “Server”.

subrequest_output_buffer_size 4k|8k;

Задаёт размер буфера, используемого для
хранения тела ответа подзапроса.
По умолчанию размер одного буфера равен размеру страницы памяти.
В зависимости от платформы это или 4K, или 8K,
однако его можно сделать меньше.

Директива применима только для подзапросов,
тело ответа которых сохраняется в памяти.
Например, подобные подзапросы создаются при помощи
SSI.

tcp_nodelay on;

Разрешает или запрещает использование параметра TCP_NODELAY.
Параметр включается при переходе соединения в состояние keep-alive.
Также, он включается на SSL-соединениях,
при небуферизованном проксировании
и при проксировании WebSocket.

tcp_nopush off;

Разрешает или запрещает использование параметра сокета
TCP_NOPUSH во FreeBSD или
TCP_CORK в Linux.
Параметр включаются только при использовании sendfile.
Включение параметра позволяет

• передавать заголовок ответа и начало файла в одном пакете
  в Linux и во FreeBSD 4.*;
• передавать файл полными пакетами.

Проверяет существование файлов в заданном порядке и использует
для обработки запроса первый найденный файл, причём обработка
делается в контексте этого же location’а.
Путь к файлу строится из параметра файл
в соответствии с директивами
root и alias.
С помощью слэша в конце имени можно проверить существование каталога,
например, “$uri/”.
В случае, если ни один файл не найден, то делается внутреннее
перенаправление на uri, заданный последним параметром.
Например:

location /images/ {
    try_files $uri /images/default.gif;
}

location = /images/default.gif {
    expires 30s;
}

Последний параметр может также указывать на именованный location,
как в примерах ниже.
С версии 0.7.51 последний параметр может также быть кодом:

location / {
    try_files $uri $uri/index.html $uri.html =404;
}

Пример использования при проксировании Mongrel:

location / {
    try_files /system/maintenance.html
              $uri $uri/index.html $uri.html
              @mongrel;
}

location @mongrel {
    proxy_pass http://mongrel;
}

Пример использования вместе с Drupal/FastCGI:

location / {
    try_files $uri $uri/ @drupal;
}

location ~ \.php$ {
    try_files $uri @drupal;

    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to$fastcgi_script_name;
    fastcgi_param SCRIPT_NAME     $fastcgi_script_name;
    fastcgi_param QUERY_STRING    $args;

    ... прочие fastcgi_param
}

location @drupal {
    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to/index.php;
    fastcgi_param SCRIPT_NAME     /index.php;
    fastcgi_param QUERY_STRING    q=$uri&$args;

    ... прочие fastcgi_param
}

В следующем примере директива try_files

location / {
    try_files $uri $uri/ @drupal;
}

аналогична директивам

location / {
    error_page 404 = @drupal;
    log_not_found off;
}

А здесь

location ~ \.php$ {
    try_files $uri @drupal;

    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to$fastcgi_script_name;

    ...
}

try_files проверяет существование PHP-файла,
прежде чем передать запрос FastCGI-серверу.

Пример использования вместе с WordPress и Joomla:

location / {
    try_files $uri $uri/ @wordpress;
}

location ~ \.php$ {
    try_files $uri @wordpress;

    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to$fastcgi_script_name;
    ... прочие fastcgi_param
}

location @wordpress {
    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to/index.php;
    ... прочие fastcgi_param
}

types {
    text/html  html;
    image/gif  gif;
    image/jpeg jpg;
}

Задаёт соответствие расширений имён файлов и MIME-типов ответов.
Расширения нечувствительны к регистру символов.
Одному MIME-типу может соответствовать несколько расширений, например:

types {
    application/octet-stream bin exe dll;
    application/octet-stream deb;
    application/octet-stream dmg;
}

Достаточно полная таблица соответствий входит в дистрибутив nginx
и находится в файле conf/mime.types.

Для того чтобы для определённого location’а для всех ответов
выдавался MIME-тип “application/octet-stream”,
можно использовать следующее:

location /download/ {
    types        { }
    default_type application/octet-stream;
}

types_hash_bucket_size 64;

Задаёт размер корзины в хэш-таблицах типов.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

До версии 1.5.13
значение по умолчанию зависело от размера строки кэша процессора.

types_hash_max_size 1024;

Задаёт максимальный размер хэш-таблиц типов.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

underscores_in_headers off;

Разрешает или запрещает использование символов подчёркивания в
полях заголовка запроса клиента.
Если использование символов подчёркивания запрещено, поля заголовка запроса, в
именах которых есть подчёркивания,
помечаются как недопустимые и подпадают под действие директивы
ignore_invalid_headers.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

variables_hash_bucket_size 64;

Задаёт размер корзины в хэш-таблице переменных.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

variables_hash_max_size 1024;

Задаёт максимальный размер хэш-таблицы переменных.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

До версии 1.5.13 по умолчанию использовалось значение 512.

Встроенные переменные

Модуль ngx_http_core_module поддерживает встроенные
переменные, имена которых совпадают с именами переменных веб-сервера Apache.
Прежде всего, это переменные, представляющие из себя поля заголовка
запроса клиента, такие как $http_user_agent, $http_cookie
и тому подобное.
Кроме того, есть и другие переменные:

$arg_имя

аргумент имя в строке запроса

$args

аргументы в строке запроса

$binary_remote_addr

адрес клиента в бинарном виде, длина значения всегда 4 байта
для IPv4-адресов или 16 байт для IPv6-адресов

$body_bytes_sent

число байт, переданное клиенту, без учёта заголовка ответа;
переменная совместима с параметром “%B” модуля Apache
mod_log_config

$bytes_sent

число байт, переданных клиенту (1.3.8, 1.2.5)

$connection

порядковый номер соединения (1.3.8, 1.2.5)

$connection_requests

текущее число запросов в соединении (1.3.8, 1.2.5)

$connection_time

время соединения в секундах с точностью до миллисекунд (1.19.10)

$content_length

поле “Content-Length” заголовка запроса

$content_type

поле “Content-Type” заголовка запроса

$cookie_имя

cookie имя

$document_root

значение директивы root или alias
для текущего запроса

$document_uri

то же, что и $uri

$host

в порядке приоритета:
имя хоста из строки запроса, или
имя хоста из поля “Host” заголовка запроса, или
имя сервера, соответствующего запросу

$hostname

имя хоста

$http_имя

произвольное поле заголовка запроса;
последняя часть имени переменной соответствует имени поля, приведённому
к нижнему регистру, с заменой символов тире на символы подчёркивания

$https

“on”
если соединение работает в режиме SSL,
либо пустая строка

$is_args

“?”, если в строке запроса есть аргументы,
и пустая строка, если их нет

$limit_rate

установка этой переменной позволяет ограничивать скорость
передачи ответа, см. limit_rate

$msec

текущее время в секундах с точностью до миллисекунд (1.3.9, 1.2.6)

$nginx_version

версия nginx

$pid

номер (PID) рабочего процесса

$pipe

“p” если запрос был pipelined, иначе “.”
(1.3.12, 1.2.7)

$proxy_protocol_addr

адрес клиента, полученный из заголовка протокола PROXY (1.5.12)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_port

порт клиента, полученный из заголовка протокола PROXY (1.11.0)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_server_addr

адрес сервера, полученный из заголовка протокола PROXY (1.17.6)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_server_port

порт сервера, полученный из заголовка протокола PROXY (1.17.6)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_tlv_имя

TLV, полученный из заголовка протокола PROXY (1.23.2).
Имя может быть именем типа TLV или его числовым значением.
В последнем случае значение задаётся в шестнадцатеричном виде
и должно начинаться с 0x:

$proxy_protocol_tlv_alpn
$proxy_protocol_tlv_0x01

SSL TLV могут также быть доступны как по имени типа TLV,
так и по его числовому значению,
оба должны начинаться с ssl_:

$proxy_protocol_tlv_ssl_version
$proxy_protocol_tlv_ssl_0x21

Поддерживаются следующие имена типов TLV:

• alpn (0x01) —
  протокол более высокого уровня, используемый поверх соединения
• authority (0x02) —
  значение имени хоста, передаваемое клиентом
• unique_id (0x05) —
  уникальный идентификатор соединения
• netns (0x30) —
  имя пространства имён
• ssl (0x20) —
  структура SSL TLV в бинарном виде

Поддерживаются следующие имена типов SSL TLV:

• ssl_version (0x21) —
  версия SSL, используемая в клиентском соединении
• ssl_cn (0x22) —
  Common Name сертификата
• ssl_cipher (0x23) —
  имя используемого шифра
• ssl_sig_alg (0x24) —
  алгоритм, используемый для подписи сертификата
• ssl_key_alg (0x25) —
  алгоритм публичного ключа

Также поддерживается следующее специальное имя типа SSL TLV:

• ssl_verify —
  результат проверки клиентского сертификата:
  0, если клиент предоставил сертификат
  и он был успешно верифицирован,
  либо ненулевое значение

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$query_string

то же, что и $args

$realpath_root

абсолютный путь, соответствующий
значению директивы root или alias
для текущего запроса,
в котором все символические ссылки преобразованы в реальные пути

$remote_addr

адрес клиента

$remote_port

порт клиента

$remote_user

имя пользователя, использованное в Basic аутентификации

$request

первоначальная строка запроса целиком

$request_body

тело запроса

Значение переменной появляется в location’ах, обрабатываемых
директивами
proxy_pass,
fastcgi_pass,
uwsgi_pass
и
scgi_pass,
когда тело было прочитано в
буфер в памяти.

$request_body_file

имя временного файла, в котором хранится тело запроса

По завершении обработки файл необходимо удалить.
Для того чтобы тело запроса всегда записывалось в файл,
следует включить client_body_in_file_only.
При передаче имени временного файла в проксированном запросе
или в запросе к FastCGI/uwsgi/SCGI-серверу следует запретить передачу самого
тела директивами

proxy_pass_request_body off,

fastcgi_pass_request_body off,

uwsgi_pass_request_body off
или

scgi_pass_request_body off
соответственно.

$request_completion

“OK” если запрос завершился,
либо пустая строка

$request_filename

путь к файлу для текущего запроса, формируемый из директив
root или alias и URI запроса

$request_id

уникальный идентификатор запроса,
сформированный из 16 случайных байт, в шестнадцатеричном виде (1.11.0)

$request_length

длина запроса (включая строку запроса, заголовок и тело запроса)
(1.3.12, 1.2.7)

$request_method

метод запроса, обычно
“GET” или “POST”

$request_time

время обработки запроса в секундах с точностью до миллисекунд
(1.3.9, 1.2.6);
время, прошедшее с момента чтения первых байт от клиента

$request_uri

первоначальный URI запроса целиком (с аргументами)

$scheme

схема запроса, “http” или “https”

$sent_http_имя

произвольное поле заголовка ответа;
последняя часть имени переменной соответствует имени поля, приведённому
к нижнему регистру, с заменой символов тире на символы подчёркивания

$sent_trailer_имя

произвольное поле, отправленное в конце ответа (1.13.2);
последняя часть имени переменной соответствует имени поля, приведённому
к нижнему регистру, с заменой символов тире на символы подчёркивания

$server_addr

адрес сервера, принявшего запрос

Получение значения этой переменной обычно требует одного системного вызова.
Чтобы избежать системного вызова, в директивах listen
следует указывать адреса и использовать параметр bind.

$server_name

имя сервера, принявшего запрос

$server_port

порт сервера, принявшего запрос

$server_protocol

протокол запроса, обычно
“HTTP/1.0”,
“HTTP/1.1”,
“HTTP/2.0”
или
“HTTP/3.0”

$status

статус ответа (1.3.2, 1.2.2)

$time_iso8601

локальное время в формате по стандарту ISO 8601 (1.3.12, 1.2.7)

$time_local

локальное время в Common Log Format (1.3.12, 1.2.7)

$tcpinfo_rtt,
$tcpinfo_rttvar,
$tcpinfo_snd_cwnd,
$tcpinfo_rcv_space

информация о клиентском TCP-соединении; доступна на системах,
поддерживающих параметр сокета TCP_INFO

$uri

текущий URI запроса в нормализованном виде

Значение $uri может изменяться в процессе обработки запроса,
например, при внутренних перенаправлениях
или при использовании индексных файлов.

Директивы

absolute_redirect on;

Если запрещено, то перенаправления, выдаваемые nginx’ом, будут относительными.

См. также директивы server_name_in_redirect
и port_in_redirect.

aio off;

Разрешает или запрещает использование файлового асинхронного ввода-вывода (AIO)
во FreeBSD и Linux:

location /video/ {
    aio            on;
    output_buffers 1 64k;
}

Во FreeBSD AIO можно использовать, начиная с FreeBSD 4.3.
До FreeBSD 11.0
AIO можно либо собрать в ядре статически:

options VFS_AIO

либо загрузить динамически через загружаемый модуль ядра:

kldload aio

В Linux AIO можно использовать только начиная с версии ядра 2.6.22.
Кроме того, необходимо также дополнительно включить
directio,
иначе чтение будет блокирующимся:

location /video/ {
    aio            on;
    directio       512;
    output_buffers 1 128k;
}

В Linux
directio
можно использовать только для чтения блоков, выравненных
на границу 512 байт (или 4К для XFS).
Невыравненный конец файла будет читаться блокированно.
То же относится к запросам с указанием диапазона запрашиваемых байт
(byte-range requests) и к запросам FLV не с начала файла: чтение
невыравненных начала и конца ответа будет блокирующимся.

При одновременном включении AIO и sendfile в Linux
для файлов, размер которых больше либо равен указанному
в директиве directio, будет использоваться AIO,
а для файлов меньшего размера
или при выключенном directio — sendfile:

location /video/ {
    sendfile       on;
    aio            on;
    directio       8m;
}

Кроме того, читать и отправлять
файлы можно в многопоточном режиме (1.7.11),
не блокируя при этом рабочий процесс:

location /video/ {
    sendfile       on;
    aio            threads;
}

Операции чтения или отправки файлов будут обрабатываться потоками из указанного
пула.
Если пул потоков не задан явно,
используется пул с именем “default”.
Имя пула может быть задано при помощи переменных:

aio threads=pool$disk;

По умолчанию поддержка многопоточности выключена, её сборку следует
разрешить с помощью конфигурационного параметра
--with-threads.
В настоящий момент многопоточность совместима только с методами
epoll,
kqueue
и
eventport.
Отправка файлов в многопоточном режиме поддерживается только на Linux.

См. также директиву sendfile.

aio_write off;

При включённом aio разрешает его использование для записи файлов.
В настоящий момент это работает только при использовании
aio threads
и ограничено записью временных файлов с данными,
полученными от проксируемых серверов.

Задаёт замену для указанного location’а.
Например, при такой конфигурации

location /i/ {
    alias /data/w3/images/;
}

на запрос
“/i/top.gif” будет отдан файл
/data/w3/images/top.gif.

В значении параметра путь можно использовать переменные,
кроме $document_root и $realpath_root.

Если alias используется внутри location’а, заданного
регулярным выражением, то регулярное выражение должно содержать
выделения, а сам alias — ссылки на эти выделения
(0.7.40), например:

location ~ ^/users/(.+.(?:gif|jpe?g|png))$ {
    alias /data/w3/images/$1;
}

Если location и последняя часть значения директивы совпадают:

location /images/ {
    alias /data/w3/images/;
}

то лучше воспользоваться директивой
root:

location /images/ {
    root /data/w3;
}

auth_delay 0s;

Задерживает обработку неавторизованных запросов с кодом ответа 401
для предотвращения атак по времени в случае ограничения доступа по
паролю, по
результату подзапроса
или по JWT.

chunked_transfer_encoding on;

Позволяет запретить формат передачи данных частями (chunked transfer
encoding) в HTTP/1.1.
Это может понадобиться при использовании программ, не поддерживающих
chunked encoding, несмотря на требования стандарта.

client_body_buffer_size 8k|16k;

Задаёт размер буфера для чтения тела запроса клиента.
Если тело запроса больше заданного буфера,
то всё тело запроса или только его часть записывается во
временный файл.
По умолчанию размер одного буфера равен двум размерам страницы.
На x86, других 32-битных платформах и x86-64 это 8K.
На других 64-битных платформах это обычно 16K.

client_body_in_file_only off;

Определяет, сохранять ли всё тело запроса клиента в файл.
Директиву можно использовать для отладки и при использовании переменной
$request_body_file
или метода
$r->request_body_file
модуля
ngx_http_perl_module.

При установке значения on временные файлы
по окончании обработки запроса не удаляются.

Значение clean разрешает удалять временные файлы,
оставшиеся по окончании обработки запроса.

client_body_in_single_buffer off;

Определяет, сохранять ли всё тело запроса клиента в одном буфере.
Директива рекомендуется при использовании переменной
$request_body
для уменьшения требуемого числа операций копирования.

client_body_temp_path client_body_temp;

Задаёт каталог для хранения временных файлов с телами запросов клиентов.
В каталоге может использоваться иерархия подкаталогов до трёх уровней.
Например, при такой конфигурации

client_body_temp_path /spool/nginx/client_temp 1 2;

путь к временному файлу будет следующего вида:

/spool/nginx/client_temp/7/45/00000123457

client_body_timeout 60s;

Задаёт таймаут при чтении тела запроса клиента.
Таймаут устанавливается не на всю передачу тела запроса,
а только между двумя последовательными операциями чтения.
Если по истечении этого времени клиент ничего не передаст,
обработка запроса прекращается с ошибкой
408 (Request Time-out).

client_header_buffer_size 1k;

Задаёт размер буфера для чтения заголовка запроса клиента.
Для большинства запросов достаточно буфера размером в 1K байт.
Однако если в запросе есть длинные cookies, или же запрос
пришёл от WAP-клиента, то он может не поместиться в 1K.
Поэтому, если строка запроса или поле заголовка запроса
не помещаются полностью в этот буфер, то выделяются буферы
большего размера, задаваемые директивой
large_client_header_buffers.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

client_header_timeout 60s;

Задаёт таймаут при чтении заголовка запроса клиента.
Если по истечении этого времени клиент не передаст полностью заголовок,
обработка запроса прекращается с ошибкой
408 (Request Time-out).

client_max_body_size 1m;

Задаёт максимально допустимый размер тела запроса клиента.
Если размер больше заданного, то клиенту возвращается ошибка
413 (Request Entity Too Large).
Следует иметь в виду, что
браузеры не умеют корректно показывать
эту ошибку.
Установка параметра размер в 0 отключает
проверку размера тела запроса клиента.

connection_pool_size 256|512;

Позволяет производить точную настройку выделения памяти
под конкретные соединения.
Эта директива не оказывает существенного влияния на
производительность, и её не следует использовать.
По умолчанию размер равен
256 байт на 32-битных платформах и 512 байт на 64-битных платформах.

До версии 1.9.8 по умолчанию использовалось значение 256 на всех платформах.

default_type text/plain;

Задаёт MIME-тип ответов по умолчанию.
Соответствие расширений имён файлов MIME-типу ответов задаётся
с помощью директивы types.

directio off;

Разрешает использовать флаги
O_DIRECT (FreeBSD, Linux),
F_NOCACHE (macOS)
или функцию directio() (Solaris)
при чтении файлов, размер которых больше либо равен указанному.
Директива автоматически запрещает (0.7.15) использование
sendfile
для данного запроса.
Рекомендуется использовать для больших файлов:

directio 4m;

или при использовании aio в Linux.

directio_alignment 512;

Устанавливает выравнивание для
directio.
В большинстве случаев достаточно 512-байтового выравнивания, однако
при использовании XFS под Linux его нужно увеличить до 4K.

disable_symlinks off;

Определяет, как следует поступать с символическими ссылками
при открытии файлов:

off

Символические ссылки в пути допускаются и не проверяются.
Это стандартное поведение.

on

Если любой компонент пути является символической ссылкой,
доступ к файлу запрещается.

if_not_owner

Доступ к файлу запрещается, если любой компонент пути
является символической ссылкой, а ссылка и объект, на
который она ссылается, имеют разных владельцев.

from=часть

При проверке символических ссылок
(параметры on и if_not_owner)
обычно проверяются все компоненты пути.
Можно не проверять символические ссылки в начальной части пути,
указав дополнительно параметр
from=часть.
В этом случае символические ссылки проверяются лишь начиная
с компонента пути, который следует за заданной начальной частью.
Если значение не является начальной частью проверяемого пути,
путь проверяется целиком, как если бы этот параметр не был указан вовсе.
Если значение целиком совпадает с именем файла,
символические ссылки не проверяются.
В значении параметра можно использовать переменные.

Пример:

disable_symlinks on from=$document_root;

Эта директива доступна только на системах, в которых есть
интерфейсы openat() и fstatat().
К таким системам относятся современные версии FreeBSD, Linux и Solaris.

Параметры on и if_not_owner
требуют дополнительных затрат на обработку.

На системах, не поддерживающих операцию открытия каталогов только для поиска,
для использования этих параметров требуется, чтобы рабочие процессы
имели право читать все проверяемые каталоги.

Модули
ngx_http_autoindex_module,
ngx_http_random_index_module
и ngx_http_dav_module
в настоящий момент игнорируют эту директиву.

Задаёт URI, который будет показываться для указанных ошибок.
В значении uri можно использовать переменные.

Пример:

error_page 404             /404.html;
error_page 500 502 503 504 /50x.html;

При этом делается внутреннее перенаправление на указанный uri,
а метод запроса клиента меняется на “GET”
(для всех методов, отличных от
“GET” и “HEAD”).

Кроме того, можно поменять код ответа на другой,
используя синтаксис вида “=ответ”, например:

error_page 404 =200 /empty.gif;

Если ошибочный ответ обрабатывается проксированным сервером или
FastCGI/uwsgi/SCGI/gRPC-сервером,
и этот сервер может вернуть разные коды ответов,
например, 200, 302, 401 или 404, то можно выдавать возвращаемый им код:

error_page 404 = /404.php;

Если при внутреннем перенаправлении не нужно менять URI и метод,
то можно передать обработку ошибки в именованный location:

location / {
    error_page 404 = @fallback;
}

location @fallback {
    proxy_pass http://backend;
}

Если при обработке uri происходит ошибка,
клиенту возвращается ответ с кодом последней случившейся ошибки.

Также существует возможность использовать перенаправления URL для обработки
ошибок:

error_page 403      http://example.com/forbidden.html;
error_page 404 =301 http://example.com/notfound.html;

В этом случае по умолчанию клиенту возвращается код ответа 302.
Его можно изменить только на один из кодов ответа, относящихся к
перенаправлениям (301, 302, 303, 307 и 308).

До версий 1.1.16 и 1.0.13 код 307 не обрабатывался как перенаправление.

До версии 1.13.0 код 308 не обрабатывался как перенаправление.

Директивы наследуются с предыдущего уровня конфигурации при условии, что
на данном уровне не описаны свои директивы error_page.

etag on;

Разрешает или запрещает автоматическую генерацию поля “ETag”
заголовка ответа для статических ресурсов.

Предоставляет контекст конфигурационного файла, в котором указываются
директивы HTTP-сервера.

if_modified_since exact;

Определяет, как сравнивать время модификации ответа с
временем в поле
“If-Modified-Since”
заголовка запроса:

off

ответ всегда считается изменившимся (0.7.34);

exact

точное совпадение;

before

время модификации ответа меньше или равно времени, заданному в поле
“If-Modified-Since” заголовка запроса.

ignore_invalid_headers on;

Если включено, nginx игнорирует поля заголовка с недопустимыми именами.
Допустимыми считаются имена, состоящие из английских букв, цифр, дефисов
и возможно знаков подчёркивания (последнее контролируется директивой
underscores_in_headers).

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

Указывает, что location может использоваться только для внутренних запросов.
Для внешних запросов клиенту будет возвращаться ошибка
404 (Not Found).
Внутренними запросами являются:

• запросы, перенаправленные директивами
  error_page,
  index,
  internal_redirect,
  random_index и
  try_files;
• запросы, перенаправленные с помощью поля
  “X-Accel-Redirect” заголовка ответа вышестоящего сервера;
• подзапросы, формируемые командой
  “include virtual”
  модуля
  ngx_http_ssi_module,
  директивами модуля
  ngx_http_addition_module,
  а также директивами
  auth_request и
  mirror;
• запросы, изменённые директивой
  rewrite.

Пример:

error_page 404 /404.html;

location = /404.html {
    internal;
}

Для предотвращения зацикливания, которое может возникнуть при
использовании некорректных конфигураций, количество внутренних
перенаправлений ограничено десятью.
По достижении этого ограничения будет возвращена ошибка
500 (Internal Server Error).
В таком случае в лог-файле ошибок можно увидеть сообщение
“rewrite or internal redirection cycle”.

keepalive_disable msie6;

Запрещает keep-alive соединения с некорректно ведущими себя браузерами.
Параметры браузер указывают, на какие браузеры это
распространяется.
Значение msie6 запрещает keep-alive соединения
со старыми версиями MSIE после получения запроса POST.
Значение safari запрещает keep-alive соединения
с Safari и подобными им браузерами на macOS и подобных ей ОС.
Значение none разрешает keep-alive соединения
со всеми браузерами.

До версии 1.1.18 под значение safari подпадали
все Safari и подобные им браузеры на всех ОС, и keep-alive
соединения с ними были по умолчанию запрещены.

keepalive_requests 1000;

Задаёт максимальное число запросов, которые можно
сделать по одному keep-alive соединению.
После того, как сделано максимальное число запросов,
соединение закрывается.

Периодическое закрытие соединений необходимо для освобождения
памяти, выделенной под конкретные соединения.
Поэтому использование слишком большого максимального числа запросов
может приводить к чрезмерному потреблению памяти и не рекомендуется.

До версии 1.19.10 по умолчанию использовалось значение 100.

keepalive_time 1h;

Ограничивает максимальное время, в течение которого
могут обрабатываться запросы в рамках keep-alive соединения.
По достижении заданного времени соединение закрывается
после обработки очередного запроса.

keepalive_timeout 75s;

Первый параметр задаёт таймаут, в течение которого keep-alive
соединение с клиентом не будет закрыто со стороны сервера.
Значение 0 запрещает keep-alive соединения с клиентами.
Второй необязательный параметр задаёт значение в поле
“Keep-Alive: timeout=время”
заголовка ответа.
Два параметра могут отличаться друг от друга.

Поле
“Keep-Alive: timeout=время”
заголовка понимают Mozilla и Konqueror.
MSIE сам закрывает keep-alive соединение примерно через 60 секунд.

large_client_header_buffers 4 8k;

Задаёт максимальное число и размер
буферов для чтения большого заголовка запроса клиента.
Строка запроса не должна превышать размера одного буфера, иначе клиенту
возвращается ошибка
414 (Request-URI Too Large).
Поле заголовка запроса также не должно превышать размера одного буфера,
иначе клиенту возвращается ошибка
400 (Bad Request).
Буферы выделяются только по мере необходимости.
По умолчанию размер одного буфера равен 8K байт.
Если по окончании обработки запроса соединение переходит в состояние
keep-alive, эти буферы освобождаются.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

Ограничивает HTTP-методы, доступные внутри location.
Параметр метод может быть одним из
GET,
HEAD,
POST,
PUT,
DELETE,
MKCOL,
COPY,
MOVE,
OPTIONS,
PROPFIND,
PROPPATCH,
LOCK,
UNLOCK
или
PATCH.
Если разрешён метод GET, то метод
HEAD также будет разрешён.
Доступ к остальным методам может быть ограничен при помощи директив модулей
ngx_http_access_module,
ngx_http_auth_basic_module
и
ngx_http_auth_jwt_module
(1.13.10):

limit_except GET {
    allow 192.168.1.0/32;
    deny  all;
}

Обратите внимание, что данное ограничение действует для всех методов,
кроме GET и HEAD.

limit_rate 0;

Ограничивает скорость передачи ответа клиенту.
Скорость задаётся в байтах в секунду.
Значение 0 отключает ограничение скорости.

Ограничение устанавливается на запрос, поэтому, если клиент одновременно
откроет два соединения, суммарная скорость будет вдвое выше
заданного ограничения.

В значении параметра можно использовать переменные (1.17.0).
Это может быть полезно в случаях, когда скорость нужно ограничивать
в зависимости от какого-либо условия:

map $slow $rate {
    1     4k;
    2     8k;
}

limit_rate $rate;

Ограничение скорости можно также задать в переменной
$limit_rate,
однако начиная с 1.17.0 использовать данный метод не рекомендуется:

server {

    if ($slow) {
        set $limit_rate 4k;
    }

    ...
}

Кроме того, ограничение скорости может быть задано в поле
“X-Accel-Limit-Rate” заголовка ответа проксированного сервера.
Эту возможность можно запретить с помощью директив
proxy_ignore_headers,
fastcgi_ignore_headers,
uwsgi_ignore_headers
и
scgi_ignore_headers.

limit_rate_after 0;

Задаёт начальный объём данных, после передачи которого начинает
ограничиваться скорость передачи ответа клиенту.
В значении параметра можно использовать переменные (1.17.0).

Пример:

location /flv/ {
    flv;
    limit_rate_after 500k;
    limit_rate       50k;
}

lingering_close on;

Управляет закрытием соединений с клиентами.

Со значением по умолчанию “on” nginx будет
ждать и
обрабатывать дополнительные данные,
поступающие от клиента, перед полным закрытием соединения, но только
если эвристика указывает на то, что клиент может ещё послать данные.

Со значением “always” nginx всегда будет
ждать и обрабатывать дополнительные данные, поступающие от клиента.

Со значением “off” nginx не будет ждать поступления
дополнительных данных и сразу же закроет соединение.
Это поведение нарушает протокол и поэтому не должно использоваться без
необходимости.

Для управления закрытием
HTTP/2-соединений
директива должна быть задана на уровне server (1.19.1).

lingering_time 30s;

Если действует lingering_close,
эта директива задаёт максимальное время, в течение которого nginx
будет обрабатывать (читать и игнорировать) дополнительные данные,
поступающие от клиента.
По прошествии этого времени соединение будет закрыто, даже если
будут ещё данные.

lingering_timeout 5s;

Если действует lingering_close, эта директива задаёт
максимальное время ожидания поступления дополнительных данных от клиента.
Если в течение этого времени данные не были получены, соединение закрывается.
В противном случае данные читаются и игнорируются, и nginx снова
ждёт поступления данных.
Цикл “ждать-читать-игнорировать” повторяется, но не дольше чем задано
директивой lingering_time.

listen *:80 | *:8000;

Задаёт адрес и порт для IP
или путь для UNIX-сокета,
на которых сервер будет принимать запросы.
Можно указать адрес и порт,
либо только адрес или только порт.
Кроме того, адрес может быть именем хоста, например:

listen 127.0.0.1:8000;
listen 127.0.0.1;
listen 8000;
listen *:8000;
listen localhost:8000;

IPv6-адреса (0.7.36) задаются в квадратных скобках:

listen [::]:8000;
listen [::1];

UNIX-сокеты (0.8.21) задаются при помощи префикса “unix:”:

listen unix:/var/run/nginx.sock;

Если указан только адрес, то используется порт 80.

Если директива не указана, то используется либо *:80,
если nginx работает с привилегиями суперпользователя,
либо *:8000.

Если у директивы есть параметр default_server, то сервер,
в котором описана эта директива, будет сервером по умолчанию для указанной пары
адрес:порт.
Если же директив с параметром default_server нет, то
сервером по умолчанию будет первый сервер, в котором описана пара
адрес:порт.

До версии 0.8.21 этот параметр назывался просто
default.

Параметр ssl (0.7.14) указывает на то, что все соединения,
принимаемые на данном порту, должны работать в режиме SSL.
Это позволяет задать компактную конфигурацию для сервера,
работающего сразу в двух режимах — HTTP и HTTPS.

Параметр http2 (1.9.5) позволяет принимать на этом порту
HTTP/2-соединения.
Обычно, чтобы это работало, следует также указать параметр
ssl, однако nginx можно также настроить и на приём
HTTP/2-соединений без SSL.

Параметр quic (1.25.0) позволяет принимать на этом порту
QUIC-соединения.

Параметр spdy (1.3.15-1.9.4) позволяет принимать на этом порту
SPDY-соединения.
Обычно, чтобы это работало, следует также указать параметр
ssl, однако nginx можно также настроить и на приём
SPDY-соединений без SSL.

Параметр proxy_protocol (1.5.12)
указывает на то, что все соединения, принимаемые на данном порту,
должны использовать
протокол
PROXY.

Протокол PROXY версии 2 поддерживается начиная с версии 1.13.11.

В директиве listen можно также указать несколько
дополнительных параметров, специфичных для связанных с сокетами
системных вызовов.
Эти параметры можно задать в любой директиве listen,
но только один раз для указанной пары
адрес:порт.

До версии 0.8.21 их можно было указывать лишь в директиве
listen совместно с параметром default.

setfib=число

этот параметр (0.8.44) задаёт таблицу маршрутизации, FIB
(параметр SO_SETFIB) для слушающего сокета.
В настоящий момент это работает только на FreeBSD.

fastopen=число

включает
“TCP Fast Open”
для слушающего сокета (1.5.8) и
ограничивает
максимальную длину очереди соединений, которые ещё не завершили процесс
three-way handshake.

Не включайте “TCP Fast Open”, не убедившись, что сервер может адекватно
обрабатывать многократное получение

одного и того же SYN-пакета с данными.

backlog=число

задаёт параметр backlog в вызове
listen(), который ограничивает
максимальный размер очереди ожидающих приёма соединений.
По умолчанию backlog устанавливается равным -1 для
FreeBSD, DragonFly BSD и macOS, и 511 для других платформ.

rcvbuf=размер

задаёт размер буфера приёма
(параметр SO_RCVBUF) для слушающего сокета.

sndbuf=размер

задаёт размер буфера передачи
(параметр SO_SNDBUF) для слушающего сокета.

accept_filter=фильтр

задаёт название accept-фильтра
(параметр SO_ACCEPTFILTER) для слушающего сокета,
который включается для фильтрации входящих соединений
перед передачей их в accept().
Работает только на FreeBSD и NetBSD 5.0+.
Можно использовать два фильтра:
dataready
и
httpready.

deferred

указывает использовать отложенный accept()
(параметр TCP_DEFER_ACCEPT сокета) на Linux.

bind

указывает, что для данной пары
адрес:порт нужно делать
bind() отдельно.
Это нужно потому, что если описаны несколько директив listen
с одинаковым портом, но разными адресами, и одна из директив
listen слушает на всех адресах для данного порта
(*:порт), то nginx сделает
bind() только на *:порт.
Необходимо заметить, что в этом случае для определения адреса, на который
пришло соединение, делается системный вызов getsockname().
Если же используются параметры setfib,
fastopen,
backlog, rcvbuf,
sndbuf, accept_filter,
deferred, ipv6only,
reuseport
или so_keepalive,
то для данной пары
адрес:порт всегда делается
отдельный вызов bind().

ipv6only=on|off

этот параметр (0.7.42) определяет
(через параметр сокета IPV6_V6ONLY),
будет ли слушающий на wildcard-адресе [::] IPv6-сокет
принимать только IPv6-соединения, или же одновременно IPv6- и IPv4-соединения.
По умолчанию параметр включён.
Установить его можно только один раз на старте.

До версии 1.3.4,
если этот параметр не был задан явно, то для сокета действовали
настройки операционной системы.

reuseport

этот параметр (1.9.1) указывает, что нужно создавать отдельный слушающий сокет
для каждого рабочего процесса
(через параметр сокета
SO_REUSEPORT для Linux 3.9+ и DragonFly BSD
или SO_REUSEPORT_LB для FreeBSD 12+), позволяя ядру
распределять входящие соединения между рабочими процессами.
В настоящий момент это работает только на Linux 3.9+, DragonFly BSD
и FreeBSD 12+ (1.15.1).

Ненадлежащее использование параметра может быть
небезопасно.

so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]

этот параметр (1.1.11) конфигурирует для слушающего сокета
поведение “TCP keepalive”.
Если этот параметр опущен, то для сокета будут действовать
настройки операционной системы.
Если он установлен в значение “on”, то для сокета
включается параметр SO_KEEPALIVE.
Если он установлен в значение “off”, то для сокета
параметр SO_KEEPALIVE выключается.
Некоторые операционные системы поддерживают настройку параметров
“TCP keepalive” на уровне сокета посредством параметров
TCP_KEEPIDLE, TCP_KEEPINTVL и
TCP_KEEPCNT.
На таких системах (в настоящий момент это Linux 2.4+, NetBSD 5+ и
FreeBSD 9.0-STABLE)
их можно сконфигурировать с помощью параметров keepidle,
keepintvl и keepcnt.
Один или два параметра могут быть опущены, в таком случае для
соответствующего параметра сокета будут действовать стандартные
системные настройки.
Например,

so_keepalive=30m::10

установит таймаут бездействия (TCP_KEEPIDLE) в 30 минут,
для интервала проб (TCP_KEEPINTVL) будет действовать
стандартная системная настройка, а счётчик проб (TCP_KEEPCNT)
будет равен 10.

Пример:

listen 127.0.0.1 default_server accept_filter=dataready backlog=1024;

Устанавливает конфигурацию в зависимости от URI запроса.

Для сопоставления используется URI запроса в нормализованном виде,
после декодирования текста, заданного в виде “%XX”,
преобразования относительных элементов пути “.” и
“..” в реальные и возможной
замены двух и более подряд идущих
слэшей на один.

location можно задать префиксной строкой или регулярным выражением.
Регулярные выражения задаются либо с модификатором “~*”
(для поиска совпадения без учёта регистра символов),
либо с модификатором “~” (с учётом регистра).
Чтобы найти location, соответствующий запросу, вначале проверяются
location’ы, заданные префиксными строками (префиксные location’ы).
Среди них ищется location с совпадающим префиксом
максимальной длины и запоминается.
Затем проверяются регулярные выражения, в порядке их следования
в конфигурационном файле.
Проверка регулярных выражений прекращается после первого же совпадения,
и используется соответствующая конфигурация.
Если совпадение с регулярным выражением не найдено, то используется
конфигурация запомненного ранее префиксного location’а.

Блоки location могут быть вложенными,
с некоторыми исключениями, о которых говорится ниже.

Для операционных систем, нечувствительных к регистру символов, таких
как macOS и Cygwin, сравнение с префиксными строками производится
без учёта регистра (0.7.7).
Однако сравнение ограничено только однобайтными locale’ями.

Регулярные выражения могут содержать выделения (0.7.40), которые могут
затем использоваться в других директивах.

Если у совпавшего префиксного location’а максимальной длины указан модификатор
“^~”, то регулярные выражения не проверяются.

Кроме того, с помощью модификатора “=” можно задать точное
совпадение URI и location.
При точном совпадении поиск сразу же прекращается.
Например, если запрос “/” случается часто, то
указав “location = /”, можно ускорить обработку
этих запросов, так как поиск прекратится после первого же сравнения.
Очевидно, что такой location не может иметь вложенные location’ы.

В версиях с 0.7.1 по 0.8.41, если запрос точно совпал с префиксным
location’ом без модификаторов “=” и “^~”,
то поиск тоже сразу же прекращается и регулярные выражения также
не проверяются.

Проиллюстрируем вышесказанное примером:

location = / {
    [ конфигурация А ]
}

location / {
    [ конфигурация Б ]
}

location /documents/ {
    [ конфигурация В ]
}

location ^~ /images/ {
    [ конфигурация Г ]
}

location ~* .(gif|jpg|jpeg)$ {
    [ конфигурация Д ]
}

Для запроса “/” будет выбрана конфигурация А,
для запроса “/index.html” — конфигурация Б,
для запроса “/documents/document.html” — конфигурация В,
для запроса “/images/1.gif” — конфигурация Г,
а для запроса “/documents/1.jpg” — конфигурация Д.

Префикс “@” задаёт именованный location.
Такой location не используется при обычной обработке запросов, а
предназначен только для перенаправления в него запросов.
Такие location’ы не могут быть вложенными и не могут содержать
вложенные location’ы.

Если location задан префиксной строкой со слэшом в конце
и запросы обрабатываются при помощи
proxy_pass,
fastcgi_pass,
uwsgi_pass,
scgi_pass,
memcached_pass или
grpc_pass,
происходит специальная обработка.
В ответ на запрос с URI равным этой строке, но без завершающего слэша,
будет возвращено постоянное перенаправление с кодом 301
на URI с добавленным в конец слэшом.
Если такое поведение нежелательно, можно задать точное совпадение
URI и location, например:

location /user/ {
    proxy_pass http://user.example.com;
}

location = /user {
    proxy_pass http://login.example.com;
}

log_not_found on;

Разрешает или запрещает записывать в
error_log
ошибки о том, что файл не найден.

log_subrequest off;

Разрешает или запрещает записывать в
access_log
подзапросы.

Ограничивает максимальное допустимое число диапазонов в запросах с
указанием диапазона запрашиваемых байт (byte-range requests).
Запросы, превышающие указанное ограничение, обрабатываются как
если бы они не содержали указания диапазонов.
По умолчанию число диапазонов не ограничено.
Значение 0 полностью запрещает поддержку диапазонов.

merge_slashes on;

Разрешает или запрещает преобразование URI путём замены двух и более подряд
идущих слэшей (“/”) на один.

Необходимо иметь в виду, что это преобразование необходимо для корректной
проверки префиксных строк и регулярных выражений.
Если его не делать, то запрос “//scripts/one.php”
не попадёт в

location /scripts/ {
    ...
}

и может быть обслужен как статический файл.
Поэтому он преобразуется к виду “/scripts/one.php”.

Запрет преобразования может понадобиться, если в URI используются имена,
закодированные методом base64, в котором задействован символ
“/”.
Однако из соображений безопасности лучше избегать отключения преобразования.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

msie_padding on;

Разрешает или запрещает добавлять в ответы для MSIE со статусом больше 400
комментарий для увеличения размера ответа до 512 байт.

msie_refresh off;

Разрешает или запрещает выдавать для MSIE клиентов refresh’ы вместо
перенаправлений.

open_file_cache off;

Задаёт кэш, в котором могут храниться:

• дескрипторы открытых файлов, информация об их размерах и времени модификации;
• информация о существовании каталогов;
• информация об ошибках поиска файла — “нет файла”, “нет прав на чтение”
  и тому подобное.

  Кэширование ошибок нужно разрешить отдельно директивой
  open_file_cache_errors.

У директивы есть следующие параметры:

max

задаёт максимальное число элементов в кэше;
при переполнении кэша удаляются наименее востребованные элементы (LRU);

inactive

задаёт время, после которого элемент кэша удаляется, если к нему
не было обращений в течение этого времени; по умолчанию 60 секунд;

off

запрещает кэш.

Пример:

open_file_cache          max=1000 inactive=20s;
open_file_cache_valid    30s;
open_file_cache_min_uses 2;
open_file_cache_errors   on;

open_file_cache_errors off;

Разрешает или запрещает кэширование ошибок поиска файлов в
open_file_cache.

open_file_cache_min_uses 1;

Задаёт минимальное число обращений к файлу
в течение времени, заданного параметром inactive
директивы open_file_cache, необходимых для того, чтобы дескриптор
файла оставался открытым в кэше.

open_file_cache_valid 60s;

Определяет время, через которое следует проверять актуальность информации
об элементе в
open_file_cache.

output_buffers 2 32k;

Задаёт число и размер буферов,
используемых при чтении ответа с диска.

До версии 1.9.5 по умолчанию использовалось значение 1 32k.

port_in_redirect on;

Разрешает или запрещает указывать порт в
абсолютных
перенаправлениях, выдаваемых nginx’ом.

Использование в перенаправлениях основного имени сервера управляется
директивой server_name_in_redirect.

postpone_output 1460;

Если это возможно, то отправка данных клиенту будет отложена пока nginx не
накопит по крайней мере указанное количество байт для отправки.
Значение 0 запрещает отложенную отправку данных.

read_ahead 0;

Задаёт ядру размер предчтения при работе с файлами.

На Linux используется системный вызов
posix_fadvise(0, 0, 0, POSIX_FADV_SEQUENTIAL),
поэтому параметр размер там игнорируется.

На FreeBSD используется системный вызов
fcntl(O_READAHEAD,
размер),
появившийся во FreeBSD 9.0-CURRENT.
Для FreeBSD 7 необходимо установить
патч.

recursive_error_pages off;

Разрешает или запрещает делать несколько перенаправлений через директиву
error_page.
Число таких перенаправлений ограничено.

request_pool_size 4k;

Позволяет производить точную настройку выделений памяти
под конкретные запросы.
Эта директива не оказывает существенного влияния на
производительность, и её не следует использовать.

reset_timedout_connection off;

Разрешает или запрещает сброс соединений по таймауту,
а также при
закрытии
соединений с помощью нестандартного кода 444 (1.15.2).
Сброс делается следующим образом.
Перед закрытием сокета для него задаётся параметр
SO_LINGER
с таймаутом 0.
После этого при закрытии сокета клиенту отсылается TCP RST, а вся память,
связанная с этим сокетом, освобождается.
Это позволяет избежать длительного нахождения уже закрытого сокета в
состоянии FIN_WAIT1 с заполненными буферами.

Необходимо отметить, что keep-alive соединения по истечении таймаута
закрываются обычным образом.

Задаёт серверы DNS, используемые для преобразования имён вышестоящих серверов
в адреса, например:

resolver 127.0.0.1 [::1]:5353;

Адрес может быть указан в виде доменного имени или IP-адреса,
и необязательного порта (1.3.1, 1.2.2).
Если порт не указан, используется порт 53.
Серверы DNS опрашиваются циклически.

До версии 1.1.7 можно было задать лишь один DNS-сервер.
Задание DNS-серверов с помощью IPv6-адресов поддерживается
начиная с версий 1.3.1 и 1.2.2.

По умолчанию nginx будет искать как IPv4-, так и IPv6-адреса
при преобразовании имён в адреса.
Если поиск IPv4- или IPv6-адресов нежелателен,
можно указать параметр ipv4=off (1.23.1) или
ipv6=off.

Преобразование имён в IPv6-адреса поддерживается
начиная с версии 1.5.8.

По умолчанию nginx кэширует ответы, используя значение TTL из ответа.
Необязательный параметр valid позволяет это
переопределить:

resolver 127.0.0.1 [::1]:5353 valid=30s;

До версии 1.1.9 настройка времени кэширования была невозможна
и nginx всегда кэшировал ответы на срок в 5 минут.

Для предотвращения DNS-спуфинга рекомендуется
использовать DNS-серверы в защищённой доверенной локальной сети.

Необязательный параметр status_zone (1.17.1)
включает
сбор информации
о запросах и ответах сервера DNS
в указанной зоне.
Параметр доступен как часть
коммерческой подписки.

resolver_timeout 30s;

Задаёт таймаут для преобразования имени в адрес, например:

resolver_timeout 5s;

root html;

Задаёт корневой каталог для запросов.
Например, при такой конфигурации

location /i/ {
    root /data/w3;
}

в ответ на запрос “/i/top.gif” будет отдан файл
/data/w3/i/top.gif.

В значении параметра путь можно использовать переменные,
кроме $document_root и $realpath_root.

Путь к файлу формируется путём простого добавления URI к значению директивы
root.
Если же URI необходимо поменять, следует воспользоваться директивой
alias.

satisfy all;

Разрешает доступ, если все (all)
или хотя бы один (any) из модулей
ngx_http_access_module,
ngx_http_auth_basic_module,
ngx_http_auth_request_module
или
ngx_http_auth_jwt_module
разрешают доступ.

Пример:

location / {
    satisfy any;

    allow 192.168.1.0/32;
    deny  all;

    auth_basic           "closed site";
    auth_basic_user_file conf/htpasswd;
}

send_lowat 0;

При установке этой директивы в ненулевое значение nginx будет пытаться
минимизировать число операций отправки на клиентских сокетах либо при
помощи флага NOTE_LOWAT метода
kqueue,
либо при помощи параметра сокета SO_SNDLOWAT.
В обоих случаях будет использован указанный размер.

Эта директива игнорируется на Linux, Solaris и Windows.

send_timeout 60s;

Задаёт таймаут при передаче ответа клиенту.
Таймаут устанавливается не на всю передачу ответа,
а только между двумя операциями записями.
Если по истечении этого времени клиент ничего не примет,
соединение будет закрыто.

sendfile off;

Разрешает или запрещает использовать
sendfile().

Начиная с nginx 0.8.12 и FreeBSD 5.2.1,
можно использовать aio для подгрузки данных
для sendfile():

location /video/ {
    sendfile       on;
    tcp_nopush     on;
    aio            on;
}

В такой конфигурации функция sendfile() вызывается с флагом
SF_NODISKIO, в результате чего она не блокируется на диске, а
сообщает об отсутствии данных в памяти.
После этого nginx инициирует асинхронную подгрузку данных, читая один байт.
При этом ядро FreeBSD подгружает в память первые 128K байт файла, однако
при последующих чтениях файл подгружается частями только по 16K.
Изменить это можно с помощью директивы
read_ahead.

До версии 1.7.11 подгрузка данных включалась с помощью
aio sendfile;.

sendfile_max_chunk 2m;

Ограничивает объём данных,
который может передан за один вызов sendfile().
Без этого ограничения одно быстрое соединение может целиком
захватить рабочий процесс.

До версии 1.21.4 по умолчанию ограничения не было.

Задаёт конфигурацию для виртуального сервера.
Чёткого разделения виртуальных серверов на IP-based (на основании IP-адреса)
и name-based (на основании поля “Host” заголовка запроса) нет.
Вместо этого директивами listen описываются все
адреса и порты, на которых нужно принимать соединения для этого сервера,
а в директиве server_name указываются все имена серверов.
Примеры конфигураций описаны в документе
“Как nginx обрабатывает запросы”.

server_name "";

Задаёт имена виртуального сервера, например:

server {
    server_name example.com www.example.com;
}

Первое имя становится основным именем сервера.

В именах серверов можно использовать звёздочку (“*”)
для замены первой или последней части имени:

server {
    server_name example.com *.example.com www.example.*;
}

Такие имена называются именами с маской.

Два первых вышеприведённых имени можно объединить в одно:

server {
    server_name .example.com;
}

В качестве имени сервера можно также использовать регулярное выражение,
указав перед ним тильду (“~”):

server {
    server_name www.example.com ~^wwwd+.example.com$;
}

Регулярное выражение может содержать выделения (0.7.40),
которые могут затем использоваться в других директивах:

server {
    server_name ~^(www.)?(.+)$;

    location / {
        root /sites/$2;
    }
}

server {
    server_name _;

    location / {
        root /sites/default;
    }
}

Именованные выделения в регулярном выражении создают переменные (0.8.25),
которые могут затем использоваться в других директивах:

server {
    server_name ~^(www.)?(?<domain>.+)$;

    location / {
        root /sites/$domain;
    }
}

server {
    server_name _;

    location / {
        root /sites/default;
    }
}

Если параметр директивы установлен в “$hostname” (0.9.4), то
подставляется имя хоста (hostname) машины.

Возможно также указать пустое имя сервера (0.7.11):

server {
    server_name www.example.com "";
}

Это позволяет обрабатывать запросы без поля “Host” заголовка
запроса в этом сервере, а не в сервере по умолчанию для данной пары адрес:порт.
Это настройка по умолчанию.

До 0.8.48 по умолчанию использовалось имя хоста (hostname) машины.

При поиске виртуального сервера по имени,
если имени соответствует несколько из указанных вариантов,
например, одновременно подходят и имя с маской, и регулярное выражение,
будет выбран первый подходящий вариант в следующем порядке приоритета:

1. точное имя
2. самое длинное имя с маской в начале,
   например “*.example.com”
3. самое длинное имя с маской в конце,
   например “mail.*”
4. первое подходящее регулярное выражение
   (в порядке следования в конфигурационном файле)

Подробнее имена серверов обсуждаются в отдельном
документе.

server_name_in_redirect off;

Разрешает или запрещает использовать в
абсолютных перенаправлениях,
выдаваемых nginx’ом, основное имя сервера, задаваемое директивой
server_name.
Если использование основного имени сервера запрещено, то используется имя,
указанное в поле “Host” заголовка запроса.
Если же этого поля нет, то используется IP-адрес сервера.

Использование в перенаправлениях порта управляется
директивой port_in_redirect.

server_names_hash_bucket_size 32|64|128;

Задаёт размер корзины в хэш-таблицах имён серверов.
Значение по умолчанию зависит от размера строки кэша процессора.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

server_names_hash_max_size 512;

Задаёт максимальный размер хэш-таблиц имён серверов.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

server_tokens on;

Разрешает или запрещает выдавать версию nginx’а на страницах ошибок и
в поле “Server” заголовка ответа.

Если указан параметр build (1.11.10),
то наряду с версией nginx’а будет также выдаваться
имя сборки.

Дополнительно, как часть
коммерческой подписки,
начиная с версии 1.9.13
подписи на страницах ошибок и
значение поля “Server” заголовка ответа
можно задать явно с помощью строки с переменными.
Пустая строка запрещает выдачу поля “Server”.

subrequest_output_buffer_size 4k|8k;

Задаёт размер буфера, используемого для
хранения тела ответа подзапроса.
По умолчанию размер одного буфера равен размеру страницы памяти.
В зависимости от платформы это или 4K, или 8K,
однако его можно сделать меньше.

Директива применима только для подзапросов,
тело ответа которых сохраняется в памяти.
Например, подобные подзапросы создаются при помощи
SSI.

tcp_nodelay on;

Разрешает или запрещает использование параметра TCP_NODELAY.
Параметр включается при переходе соединения в состояние keep-alive.
Также, он включается на SSL-соединениях,
при небуферизованном проксировании
и при проксировании WebSocket.

tcp_nopush off;

Разрешает или запрещает использование параметра сокета
TCP_NOPUSH во FreeBSD или
TCP_CORK в Linux.
Параметр включаются только при использовании sendfile.
Включение параметра позволяет

• передавать заголовок ответа и начало файла в одном пакете
  в Linux и во FreeBSD 4.*;
• передавать файл полными пакетами.

Проверяет существование файлов в заданном порядке и использует
для обработки запроса первый найденный файл, причём обработка
делается в контексте этого же location’а.
Путь к файлу строится из параметра файл
в соответствии с директивами
root и alias.
С помощью слэша в конце имени можно проверить существование каталога,
например, “$uri/”.
В случае, если ни один файл не найден, то делается внутреннее
перенаправление на uri, заданный последним параметром.
Например:

location /images/ {
    try_files $uri /images/default.gif;
}

location = /images/default.gif {
    expires 30s;
}

Последний параметр может также указывать на именованный location,
как в примерах ниже.
С версии 0.7.51 последний параметр может также быть кодом:

location / {
    try_files $uri $uri/index.html $uri.html =404;
}

Пример использования при проксировании Mongrel:

location / {
    try_files /system/maintenance.html
              $uri $uri/index.html $uri.html
              @mongrel;
}

location @mongrel {
    proxy_pass http://mongrel;
}

Пример использования вместе с Drupal/FastCGI:

location / {
    try_files $uri $uri/ @drupal;
}

location ~ .php$ {
    try_files $uri @drupal;

    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to$fastcgi_script_name;
    fastcgi_param SCRIPT_NAME     $fastcgi_script_name;
    fastcgi_param QUERY_STRING    $args;

    ... прочие fastcgi_param
}

location @drupal {
    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to/index.php;
    fastcgi_param SCRIPT_NAME     /index.php;
    fastcgi_param QUERY_STRING    q=$uri&$args;

    ... прочие fastcgi_param
}

В следующем примере директива try_files

location / {
    try_files $uri $uri/ @drupal;
}

аналогична директивам

location / {
    error_page 404 = @drupal;
    log_not_found off;
}

А здесь

location ~ .php$ {
    try_files $uri @drupal;

    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to$fastcgi_script_name;

    ...
}

try_files проверяет существование PHP-файла,
прежде чем передать запрос FastCGI-серверу.

Пример использования вместе с WordPress и Joomla:

location / {
    try_files $uri $uri/ @wordpress;
}

location ~ .php$ {
    try_files $uri @wordpress;

    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to$fastcgi_script_name;
    ... прочие fastcgi_param
}

location @wordpress {
    fastcgi_pass ...;

    fastcgi_param SCRIPT_FILENAME /path/to/index.php;
    ... прочие fastcgi_param
}

types {
    text/html  html;
    image/gif  gif;
    image/jpeg jpg;
}

Задаёт соответствие расширений имён файлов и MIME-типов ответов.
Расширения нечувствительны к регистру символов.
Одному MIME-типу может соответствовать несколько расширений, например:

types {
    application/octet-stream bin exe dll;
    application/octet-stream deb;
    application/octet-stream dmg;
}

Достаточно полная таблица соответствий входит в дистрибутив nginx
и находится в файле conf/mime.types.

Для того чтобы для определённого location’а для всех ответов
выдавался MIME-тип “application/octet-stream”,
можно использовать следующее:

location /download/ {
    types        { }
    default_type application/octet-stream;
}

types_hash_bucket_size 64;

Задаёт размер корзины в хэш-таблицах типов.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

До версии 1.5.13
значение по умолчанию зависело от размера строки кэша процессора.

types_hash_max_size 1024;

Задаёт максимальный размер хэш-таблиц типов.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

underscores_in_headers off;

Разрешает или запрещает использование символов подчёркивания в
полях заголовка запроса клиента.
Если использование символов подчёркивания запрещено, поля заголовка запроса, в
именах которых есть подчёркивания,
помечаются как недопустимые и подпадают под действие директивы
ignore_invalid_headers.

Если директива указана на уровне server,
то может использоваться значение из сервера по умолчанию.
Подробнее см. в разделе
“Выбор
виртуального сервера”.

variables_hash_bucket_size 64;

Задаёт размер корзины в хэш-таблице переменных.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

variables_hash_max_size 1024;

Задаёт максимальный размер хэш-таблицы переменных.
Подробнее настройка хэш-таблиц обсуждается в отдельном
документе.

До версии 1.5.13 по умолчанию использовалось значение 512.

Встроенные переменные

Модуль ngx_http_core_module поддерживает встроенные
переменные, имена которых совпадают с именами переменных веб-сервера Apache.
Прежде всего, это переменные, представляющие из себя поля заголовка
запроса клиента, такие как $http_user_agent, $http_cookie
и тому подобное.
Кроме того, есть и другие переменные:

$arg_имя

аргумент имя в строке запроса

$args

аргументы в строке запроса

$binary_remote_addr

адрес клиента в бинарном виде, длина значения всегда 4 байта
для IPv4-адресов или 16 байт для IPv6-адресов

$body_bytes_sent

число байт, переданное клиенту, без учёта заголовка ответа;
переменная совместима с параметром “%B” модуля Apache
mod_log_config

$bytes_sent

число байт, переданных клиенту (1.3.8, 1.2.5)

$connection

порядковый номер соединения (1.3.8, 1.2.5)

$connection_requests

текущее число запросов в соединении (1.3.8, 1.2.5)

$connection_time

время соединения в секундах с точностью до миллисекунд (1.19.10)

$content_length

поле “Content-Length” заголовка запроса

$content_type

поле “Content-Type” заголовка запроса

$cookie_имя

cookie имя

$document_root

значение директивы root или alias
для текущего запроса

$document_uri

то же, что и $uri

$host

в порядке приоритета:
имя хоста из строки запроса, или
имя хоста из поля “Host” заголовка запроса, или
имя сервера, соответствующего запросу

$hostname

имя хоста

$http_имя

произвольное поле заголовка запроса;
последняя часть имени переменной соответствует имени поля, приведённому
к нижнему регистру, с заменой символов тире на символы подчёркивания

$https

“on”
если соединение работает в режиме SSL,
либо пустая строка

$is_args

“?”, если в строке запроса есть аргументы,
и пустая строка, если их нет

$limit_rate

установка этой переменной позволяет ограничивать скорость
передачи ответа, см. limit_rate

$msec

текущее время в секундах с точностью до миллисекунд (1.3.9, 1.2.6)

$nginx_version

версия nginx

$pid

номер (PID) рабочего процесса

$pipe

“p” если запрос был pipelined, иначе “.”
(1.3.12, 1.2.7)

$proxy_protocol_addr

адрес клиента, полученный из заголовка протокола PROXY (1.5.12)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_port

порт клиента, полученный из заголовка протокола PROXY (1.11.0)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_server_addr

адрес сервера, полученный из заголовка протокола PROXY (1.17.6)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_server_port

порт сервера, полученный из заголовка протокола PROXY (1.17.6)

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$proxy_protocol_tlv_имя

TLV, полученный из заголовка протокола PROXY (1.23.2).
Имя может быть именем типа TLV или его числовым значением.
В последнем случае значение задаётся в шестнадцатеричном виде
и должно начинаться с 0x:

$proxy_protocol_tlv_alpn
$proxy_protocol_tlv_0x01

SSL TLV могут также быть доступны как по имени типа TLV,
так и по его числовому значению,
оба должны начинаться с ssl_:

$proxy_protocol_tlv_ssl_version
$proxy_protocol_tlv_ssl_0x21

Поддерживаются следующие имена типов TLV:

• alpn (0x01) —
  протокол более высокого уровня, используемый поверх соединения
• authority (0x02) —
  значение имени хоста, передаваемое клиентом
• unique_id (0x05) —
  уникальный идентификатор соединения
• netns (0x30) —
  имя пространства имён
• ssl (0x20) —
  структура SSL TLV в бинарном виде

Поддерживаются следующие имена типов SSL TLV:

• ssl_version (0x21) —
  версия SSL, используемая в клиентском соединении
• ssl_cn (0x22) —
  Common Name сертификата
• ssl_cipher (0x23) —
  имя используемого шифра
• ssl_sig_alg (0x24) —
  алгоритм, используемый для подписи сертификата
• ssl_key_alg (0x25) —
  алгоритм публичного ключа

Также поддерживается следующее специальное имя типа SSL TLV:

• ssl_verify —
  результат проверки клиентского сертификата:
  0, если клиент предоставил сертификат
  и он был успешно верифицирован,
  либо ненулевое значение

Протокол PROXY должен быть предварительно включён при помощи установки
параметра proxy_protocol в директиве listen.

$query_string

то же, что и $args

$realpath_root

абсолютный путь, соответствующий
значению директивы root или alias
для текущего запроса,
в котором все символические ссылки преобразованы в реальные пути

$remote_addr

адрес клиента

$remote_port

порт клиента

$remote_user

имя пользователя, использованное в Basic аутентификации

$request

первоначальная строка запроса целиком

$request_body

тело запроса

Значение переменной появляется в location’ах, обрабатываемых
директивами
proxy_pass,
fastcgi_pass,
uwsgi_pass
и
scgi_pass,
когда тело было прочитано в
буфер в памяти.

$request_body_file

имя временного файла, в котором хранится тело запроса

По завершении обработки файл необходимо удалить.
Для того чтобы тело запроса всегда записывалось в файл,
следует включить client_body_in_file_only.
При передаче имени временного файла в проксированном запросе
или в запросе к FastCGI/uwsgi/SCGI-серверу следует запретить передачу самого
тела директивами

proxy_pass_request_body off,

fastcgi_pass_request_body off,

uwsgi_pass_request_body off
или

scgi_pass_request_body off
соответственно.

$request_completion

“OK” если запрос завершился,
либо пустая строка

$request_filename

путь к файлу для текущего запроса, формируемый из директив
root или alias и URI запроса

$request_id

уникальный идентификатор запроса,
сформированный из 16 случайных байт, в шестнадцатеричном виде (1.11.0)

$request_length

длина запроса (включая строку запроса, заголовок и тело запроса)
(1.3.12, 1.2.7)

$request_method

метод запроса, обычно
“GET” или “POST”

$request_time

время обработки запроса в секундах с точностью до миллисекунд
(1.3.9, 1.2.6);
время, прошедшее с момента чтения первых байт от клиента

$request_uri

первоначальный URI запроса целиком (с аргументами)

$scheme

схема запроса, “http” или “https”

$sent_http_имя

произвольное поле заголовка ответа;
последняя часть имени переменной соответствует имени поля, приведённому
к нижнему регистру, с заменой символов тире на символы подчёркивания

$sent_trailer_имя

произвольное поле, отправленное в конце ответа (1.13.2);
последняя часть имени переменной соответствует имени поля, приведённому
к нижнему регистру, с заменой символов тире на символы подчёркивания

$server_addr

адрес сервера, принявшего запрос

Получение значения этой переменной обычно требует одного системного вызова.
Чтобы избежать системного вызова, в директивах listen
следует указывать адреса и использовать параметр bind.

$server_name

имя сервера, принявшего запрос

$server_port

порт сервера, принявшего запрос

$server_protocol

протокол запроса, обычно
“HTTP/1.0”,
“HTTP/1.1”,
“HTTP/2.0”
или
“HTTP/3.0”

$status

статус ответа (1.3.2, 1.2.2)

$time_iso8601

локальное время в формате по стандарту ISO 8601 (1.3.12, 1.2.7)

$time_local

локальное время в Common Log Format (1.3.12, 1.2.7)

$tcpinfo_rtt,
$tcpinfo_rttvar,
$tcpinfo_snd_cwnd,
$tcpinfo_rcv_space

информация о клиентском TCP-соединении; доступна на системах,
поддерживающих параметр сокета TCP_INFO

$uri

текущий URI запроса в нормализованном виде

Значение $uri может изменяться в процессе обработки запроса,
например, при внутренних перенаправлениях
или при использовании индексных файлов.

Оптимизация безопасности NGINX включает в себя: удаление нежелательных модулей, модифицирующая информацию о версии, ограничивая параллельные, отклонение незаконных запросов, предотвращение переполнения буфера.
Оптимизация безопасности MySQL включает в себя: инициализация сценариев безопасности, безопасность пароля, резервное копирование и восстановление, безопасность данных.
Оптимизация безопасности Tomcat включает в себя: скрытие информации о версии, затухание затухания, удаление страницы теста по умолчанию.

###################################################################

vim /us/local/nginx/logs/access.log // Журнал доступа

Keepalive_timeout // Не доступа к нему долгое время, сервер отключен

[[email protected] ~]# curl http://192.168.4.5/status

Активные соединения: 1 // Сколько людей посещают одновременно
server accepts handled requests
 10 10 3 
Reading: 0 Writing: 1 Waiting: 0

Клиентский доступ 10 TCP Рукопожатие Соединения
Сервер получает 10 раз
Отправить 3 раза в ряд точек запроса

###################################################################

Http — протокол TCP

Working_Processes 2; // единогласно с CPU Core

events {
Working_connections 50000; // одновременное соединение
}

Даже если файл конфигурации изменен, параметры по умолчанию ядро ​​все еще постоянные.

###################################################################

Оптимизация параметров ядра Linux (максимальный номер файла)

ulimit-a

open files (- n) 1024

ULIMIT -HN 100000 // Жесткий лимит не может превысить этот номер
(Все временные правила)
ULIMIT -SN 100000 // Мягкое ограничение Просто предупреждение

Vim /etc/security/limits.conf // постоянно настроенный

• Мягкий nofile 100000 // мягкие ограничения

• Жесткий nofile 100000 // жесткий лимит

####################################################################

Оптимизация кэша облицовки данных NGINX

1) Перед оптимизацией используйте скрипт для проверки, может ли запрос длинного головы получить ответ
[[email protected] ~]# cat lnmp_soft/buffer.sh

#!/bin/bash
URL=http://192.168.4.5/index.html?
for i in {1..5000}
do
URL=${URL}v$i=$i
done
Curl $ URL / / после 5000 циклов, генерируйте длинную URL-адресную строку

[[email protected] ~]# ./buffer.sh
.. ..
<Center> <H1> 414 Запрос-URI Слишком большой </ H1> </ Center> // Советы Информация заголовка слишком велика

url=192.168.4.5/

for i in 1..5000
url=$url_v$i=$i
url=192.168.4.5/v1=1
usl=http://192.168.4.5/v1=1v2=2v3=3 v5000=5000

Сервер и клиент сообщут об ошибке 414, указывающий, что память слишком мала, и адресная строка слишком длинная.

Измените файл конфигурации, сохранить больше адресной строки

414 Ошибка, оптимизировать размер кэша, пусть он обрабатывает данные адресной строки больше

Измените файл конфигурации Nginx, добавьте размер кэша заголовка пакета данных

[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf

http }
Client_Header_Buffer_size 1k; // Запрос по умолчанию Cache
Cars_client_header_buffers 4 4k; // Большой запрос кэша и емкости информации заголовка

}
[[email protected] ~]# nginx -s reload

######################################################################

Собственный кэш-память браузера

Если вы посетите (мультимедиа) JPG, видео, MP3

Expries 30; // как долго

Измените файл конфигурации Nginx, чтобы определить время кэширования на статическую страницу

[[email protected] ~]# vim /usr/local/nginx/conf/nginx.conf
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html index.htm;
}

location ~* .(jpg|jpeg|gif|png|css|js|ico|xml)$ {
Истекает 30d; // определяет время кэши клиента в течение 30 дней.
}
}

[[email protected] ~]# cp /usr/share/backgrounds/day.jpg /usr/local/nginx/html

[[email protected] ~]# nginx -s reload

# Пожалуйста, убедитесь, что nginx — это состояние запуска, иначе запустить команду сообщить об ошибке, сообщение об ошибке выглядит следующим образом:
#[error] open() «/usr/local/nginx/logs/nginx.pid» failed (2: No such file or directory)

###############################################################################

Резка журнала

Что мне делать, если файл журнала растет? Один файл 10g? Как резать? (Очень общие вопросы интервью)

шаг:

1. Переименуйте старый журнал
3. Kill USR1 PID (номер PID PID NGINIX)

1) Ручное исполнение
Примечания: /us/local/nginx/logs/nginx.pid файл хранится в процессе PID номер nginx.

[[email protected] ~]# mv access.log access2.log
[[email protected] ~]# kill -USR1 $(cat /usr/local/nginx/logs/nginx.pid)

2) Автоматическое завершение
Автоматически выполнять скрипты для завершения работы бревенчатых работ каждую неделю 03:03.

[[email protected] ~]# vim /usr/local/nginx/logbak.sh
#!/bin/bash
date=date +%Y%m%d
logpath=/usr/local/nginx/logs
mv $logpath/access.log $logpath/access-$date.log
mv $logpath/error.log $logpath/error-$date.log
kill -USR1 $(cat $logpath/nginx.pid)
[[email protected] ~]# crontab -e
03 03 5 /usr/local/nginx/logbak.sh

########################################################################

/usr/local/nginx/conf/mime.types

Шаг 7: Сжатие страницы

1) Измените файл конфигурации NGINX
[[email protected] ~]# cat /usr/local/nginx/conf/nginx.conf
http {
.. ..
ГЦИП на; // Открытое сжатие
Gzip_min_length 1000; // Небольшие файлы не сжимаются
Gzip_comp_level 4; // соотношение сжатия
gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;
/ / Compress конкретный файл, тип справки типа mime.types
.. ..
}

###################################################################

Клиент может прочитать номер памятью, а не через жесткий диск. Может получить данные быстрее

Кэш памяти сервера

1) Если вам нужно обрабатывать большое количество статических файлов, вы можете похоронить файл в памяти, а следующий доступ будет быстрее.
http {
open_file_cache max=2000 inactive=20s;
open_file_cache_valid 60s;
open_file_cache_min_uses 5;
open_file_cache_errors off;
// Установите максимальный файл Cache 2000 сервера 2000, закройте ручку файла без запроса в течение 20 секунд
// Допустимое время обработки файлов составляет 60 секунд, и истечение срока годности составляет более 60 секунд.
// только количество доступов превышает 5 раз, будет кэшироваться
// Ошибка отчета кэш отчета выключается
}

Оптимизация безопасности NGINX включает в себя: удаление нежелательных модулей, модифицирующая информацию о версии, ограничивая параллельные, отклонение незаконных запросов, предотвращение переполнения буфера.
Оптимизация производительности: определить страницу состояния, оптимизировать nginx и экспорт, оптимизировать параметры ядра Linux, оптимизировать кэш головки пакета NGINX, сжал страницу
Кэш памяти сервера

#############################################################################

NGINX Общая ошибка ошибки и обработки ошибок

403 — это очень распространенный код ошибки, который, как правило, несанкционирован для запрета.
Есть две возможные причины:
Пользователи программы Nginx не имеют разрешения на доступ к файлам веб-каталога
Nginx должен получить доступ к каталогу, но опция AUTOINKEX выключается.

Способ ремонта:
Предоставить права пользователя Nginx Program для чтения файла веб-каталога
Установите каталог AUTOINDEX на

location /path/to/website/folder {
…
autoindex on;
… }

404

Первый: страница собственной ошибки nginx
NGINX обращается к статической HTML-странице. Когда эта страница нет, Nginx бросает 404, так как вернуться к клиенту 404?
Посмотрите на конфигурацию ниже, в этом случае вы можете реализовать эту функцию без модификации любых параметров.

Второе: ошибка обратного агента
Если в фоновом режиме Tomcat обрабатывает ошибку 404, вы хотите передать этот статус в Nginx к клиенту или перенаправить на соединение, настройте следующее:

location / {
if ($request_uri ~ ‘^/$’) {
rewrite . http: // доменное имя /index.html redirect;
}

Ключевые слова: после включения этой переменной мы можем настроить страницу ошибки, а журнал возвращается 404, страница ошибки ошибки перехвата NGINX

Третий: nginx разбирает страницу ошибки PHP-кода
1
Если бэкэнда является PHP Parsing, вам нужно добавить переменную
Добавьте переменную в сегменте HTTP
Fastcgi_intercept_Errors включен.

2
Укажите страницу ошибки:
error_page 404 /404.html;
location = /404.html {
root /usr/share/nginx/html;
}

3
Укажите адрес URL:
error_page 404 /404.html;
error_page 404 = http://www.test.com/error.html;

413 Request Entity Too Large
Общие причины: обычно появляются в файле загрузки
Обходной путь: настроить параметры, связанные с nginx.conf
1.Client_max_body_size 10m; // клиент максимальный размер загрузки
Настройте php.ini следующим образом (должен соответствовать nginx.conf)
1.POST_MAX_SIZE = 10 м // Установите максимальный размер
2.upload_max_filesize = 2m // Загрузите максимальный размер файла

499 Client Closed Request

Общая причина: запрос на обработку сервера не окончен, и клиент заранее закрыт, а 499 будет возвращено в это время.

Решение: proxy_ignore_client_abort On; // Agent игнорирует план завершения клиента
# Пусть прокси-сервер не предпримет инициативу, чтобы отключить соединение клиента.
Просто присоединитесь при выполнении обратного агента, когда в качестве других серверов закрытие хорошее, настройка по умолчанию закрыта!
Если вы используете Proxy_ignore_client_abort On;

Proxy_ignore_Client_abort закрыт, в это время, если клиент выключен во время запроса или клиентская сеть сломана, то Nginx будет записывать 499

Затем после того, как клиент активно нарушает соединение, Nginx будет ждать обрабатываемой обратной обработки (или тайм-аута), а затем запишите «Информацию о возврате Back-End» в журнал. Итак, если задний конец возвращается 200, запишите 200; если задний конец поддерживается обратно к 5xx, записано 5xx.
Если время ожидания (по умолчанию 60-х годов может быть установлено с Proxy_Read_Timeout), Nginx будет активно отключить соединение, запись 504

500 Internal Server Rrror
Общие причины: ошибки скрипта, (ошибки синтаксиса PHP, синтаксические ошибки Lua)
Количество посещений слишком велико, системные ограничения ресурсов, не могут открыть слишком много файлов
Дисковое пространство недостаточно. (Откроется журнал доступа может вызвать полный переполнение диска)
Обходной путь: Ошибка синтаксиса Просмотр NGINX_ERR_LOG PHP_ERR_LOG.
Доступ к файлу:
1. Измените файл конфигурации NGINX
1.Worker_RLIMIT_NOFILE 65535; // рабочий процесс максимальный открытый номер файла
2. Изменить /etc/security/limits.conf.

1. • Мягкий NOFILE 65535 // Мягкий номер файла
2. • Hard NoFile 65535 // Hard файл номер

Идеи общего анализа:
(1) Просмотр журнала ошибок Nginx, просмотрите журнал ошибок PHP;
(2) Если он слишком много открытых файлов, измените параметры Nginx_rlimit_noFile, используйте ULIMIT для просмотра системы, чтобы открыть ограничения файлов, модифицировать /etc/security/limits.conf;
(3) Если это проблема скрипта, вам необходимо исправить ошибки скрипта и оптимизировать код;
(4) Все виды оптимизации делают или есть слишком много открытых файлов, которые должны рассмотреть возможность создания балансировки нагрузки и распространить трафик на разные серверы.

502 Bad Gateway、503 Serveice Unavailable
Общие причины: Backend Services не могут быть обработаны, прерывания бизнеса.
Обходной путь: Получите причины ошибок от журнала Backend, решайте проблему Backend Server.

504 Gateway Timeout

Общие причины: задний сервер не отвечает на запросы прокси Nginx в течение времени ожидания времени ожидания.
Обходной путь: в соответствии с фактической обработкой бэкэнд-сервера, исправьте тайм-аут запроса на внутренний конец.

1.proxy_read_timeout 90;
2.proxy_send_timeout 90;

Общая причина: Может быть, кэш страницы веб-сайта имеет большой, и CastCGI по умолчанию кэш процесса ответа 8K
： nginx.conf

1.fastcgi_buffers 8 128k
2.send_timeout 60;

Capture detailed information about errors and request processing in log files, either locally or via syslog.

This article describes how to configure logging of errors and processed requests in NGINX Open Source and NGINX Plus.

Setting Up the Error Log

NGINX writes information about encountered issues of different severity levels to the error log. The error_log directive sets up logging to a particular file, stderr, or syslog and specifies the minimal severity level of messages to log. By default, the error log is located at logs/error.log (the absolute path depends on the operating system and installation), and messages from all severity levels above the one specified are logged.

The configuration below changes the minimal severity level of error messages to log from error to warn:

error_log logs/error.log warn;

In this case, messages of warn, error crit, alert, and emerg levels are logged.

The default setting of the error log works globally. To override it, place the error_log directive in the main (top-level) configuration context. Settings in the main context are always inherited by other configuration levels (http, server, location). The error_log directive can be also specified at the http, stream, server and location levels and overrides the setting inherited from the higher levels. In case of an error, the message is written to only one error log, the one closest to the level where the error has occurred. However, if several error_log directives are specified on the same level, the message are written to all specified logs.

Note: The ability to specify multiple error_log directives on the same configuration level was added in NGINX Open Source version 1.5.2.

Setting Up the Access Log

NGINX writes information about client requests in the access log right after the request is processed. By default, the access log is located at logs/access.log, and the information is written to the log in the predefined combined format. To override the default setting, use the log_format directive to change the format of logged messages, as well as the access_log directive to specify the location of the log and its format. The log format is defined using variables.

The following examples define the log format that extends the predefined combined format with the value indicating the ratio of gzip compression of the response. The format is then applied to a virtual server that enables compression.

http {
    log_format compression '$remote_addr - $remote_user [$time_local] '
                           '"$request" $status $body_bytes_sent '
                           '"$http_referer" "$http_user_agent" "$gzip_ratio"';

    server {
        gzip on;
        access_log /spool/logs/nginx-access.log compression;
        ...
    }
}

Another example of the log format enables tracking different time values between NGINX and an upstream server that may help to diagnose a problem if your website experience slowdowns. You can use the following variables to log the indicated time values:

• $upstream_connect_time – The time spent on establishing a connection with an upstream server
• $upstream_header_time – The time between establishing a connection and receiving the first byte of the response header from the upstream server
• $upstream_response_time – The time between establishing a connection and receiving the last byte of the response body from the upstream server
• $request_time – The total time spent processing a request

All time values are measured in seconds with millisecond resolution.

http {
    log_format upstream_time '$remote_addr - $remote_user [$time_local] '
                             '"$request" $status $body_bytes_sent '
                             '"$http_referer" "$http_user_agent"'
                             'rt=$request_time uct="$upstream_connect_time" uht="$upstream_header_time" urt="$upstream_response_time"';

    server {
        access_log /spool/logs/nginx-access.log upstream_time;
        ...
    }
}

When reading the resulting time values, keep the following in mind:

• When a request is processed through several servers, the variable contains several values separated by commas
• When there is an internal redirect from one upstream group to another, the values are separated by semicolons
• When a request is unable to reach an upstream server or a full header cannot be received, the variable contains 0 (zero)
• In case of internal error while connecting to an upstream or when a reply is taken from the cache, the variable contains - (hyphen)

Logging can be optimized by enabling the buffer for log messages and the cache of descriptors of frequently used log files whose names contain variables. To enable buffering use the buffer parameter of the access_log directive to specify the size of the buffer. The buffered messages are then written to the log file when the next log message does not fit into the buffer as well as in some other cases.

To enable caching of log file descriptors, use the open_log_file_cache directive.

Similar to the error_log directive, the access_log directive defined on a particular configuration level overrides the settings from the previous levels. When processing of a request is completed, the message is written to the log that is configured on the current level, or inherited from the previous levels. If one level defines multiple access logs, the message is written to all of them.

Enabling Conditional Logging

Conditional logging allows excluding trivial or unimportant log entries from the access log. In NGINX, conditional logging is enabled by the if parameter to the access_log directive.

This example excludes requests with HTTP status codes 2xx (Success) and 3xx (Redirection):

map $status $loggable {
    ~^[23]  0;
    default 1;
}

access_log /path/to/access.log combined if=$loggable;

Usecase: Sampling TLS Parameters

Many clients use TLS versions older than TLS 1.3. Though many ciphers are declared insecure, older implementations still use them; ECC certificates offer greater performance than RSA, but not all clients can accept ECC. Many TLS attacks rely on a “man in the middle” who intercepts the cipher negotiation handshake and forces the client and server to select a less secure cipher. Therefore, it’s important to configure NGINX Plus to not support weak or legacy ciphers, but doing so may exclude legacy clients.

You can evaluate the SSL data obtained from the client and determine what proportion of clients get excluded if support for older SSL protocols and ciphers is removed.

The following configuration example logs the SSL protocol, cipher, and User-Agent header of any connected TLS client, assuming that each client selects the most recent protocol and most secure ciphers it supports.

In this example, each client is identified by its unique combination of IP address and User-Agent.

1. Define the custom log format sslparams that includes the version of the SSL protocol ($ssl_protocol), ciphers used in the connection ($ssl_cipher), the client IP address ($remote_addr), and the value of standard User Agent HTTP request field ($http_user_agent):

   log_format sslparams '$ssl_protocol $ssl_cipher '
                     '$remote_addr "$http_user_agent"';
   

2. Define a key-value storage that will keep the IP address of the client and its User Agent, for example, clients:

   keyval_zone zone=clients:80m timeout=3600s;
   

3. Create a variable, for example, $seen for each unique combination of $remote_addr and User-Agent header:

   keyval $remote_addr:$http_user_agent $seen zone=clients;
   
   server {
       listen 443 ssl;
   
       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_ciphers   HIGH:!aNULL:!MD5;
   
       if ($seen = "") {
           set $seen  1;
           set $logme 1;
       }
       access_log  /tmp/sslparams.log sslparams if=$logme;
   
       # ...
   }
   

4. View the log file generated with this configuration:

   TLSv1.2 AES128-SHA 1.1.1.1 "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0"
   TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 2.2.2.2 "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1"
   TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 3.3.3.3 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0"
   TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 4.4.4.4 "Mozilla/5.0 (Android 4.4.2; Tablet; rv:65.0) Gecko/65.0 Firefox/65.0"
   TLSv1 AES128-SHA 5.5.5.5 "Mozilla/5.0 (Android 4.4.2; Tablet; rv:65.0) Gecko/65.0 Firefox/65.0"
   TLSv1.2 ECDHE-RSA-CHACHA20-POLY1305 6.6.6.6 "Mozilla/5.0 (Linux; U; Android 5.0.2; en-US; XT1068 Build/LXB22.46-28) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 UCBrowser/12.10.2.1164 Mobile Safari/537.36"
   

5. Process the log file to determine the spread of data:

   cat /tmp/sslparams.log | cut -d ' ' -f 2,2 | sort | uniq -c | sort -rn | perl -ane 'printf "%30s %sn", $F[1], "="x$F[0];'
   

   In this output, low‑volume, less secure ciphers are identified:

   ECDHE-RSA-AES128-GCM-SHA256 =========================
   ECDHE-RSA-AES256-GCM-SHA384 ========
                    AES128-SHA ====
   ECDHE-RSA-CHACHA20-POLY1305 ==
       ECDHE-RSA-AES256-SHA384 ==
   

   Then you can check the logs to determine which clients are using these ciphers and then make a decision about removing these ciphers from the NGINX Plus configuration.

   For more information about sampling requests with NGINX conditional logging see the blog post.