先来一段自嘲：写完接口却不知道怎么上线？服务器被恶意请求压垮，静态资源卡得让人抓狂？别慌，别把自己逼成“只会写代码不懂部署”的后端。今天我把 Nginx 当成后端工程师的瑞士军刀，拆解成几块易消化的小拼图，让你在几分钟内把网站搬上云端，安全又高效。

性Neng炸裂：单线程+事件驱动模型，轻松支撑上万并发。

功Neng全Neng：反向代理、负载均衡、缓存、限流、防盗链，一键打开。

社区活跃：海量模块和案例，遇到问题基本dou有现成答案。

想象一下你的电商接口直接暴露了真实 IP，被黑客盯上后会怎样？让 Nginx 挂在门口当“中间人”，外部只kan到它的地址，真正的业务服务器藏得严严实实——这就是安全感满满的第一步。

# Ubuntu/Debian 系统
sudo apt update && sudo apt install -y nginx
# CentOS/RHEL 系统
sudo yum install -y epel-release
sudo yum install -y nginx

装好以后用 systemctl start nginx && systemctl enable nginx 把服务启动并设为开机自启。打开浏览器访问服务器 IP，若kan到 “Welcome to nginx!” 那么恭喜，你Yi经成功点燃了第一盏灯。

Nginx 的配置文件遵循层级式组织：

# /etc/nginx/nginx.conf   ← 全局设置
http {
    # 所有 HTTP 相关的通用指令
    include       /etc/nginx/conf.d/*.conf;   # 引入子文件
}

我们将在 /etc/nginx/conf.d/yourdomain.conf 中写具体站点规则，这样既保持主文件简洁，又方便日后 。

Ru果你的前端资源放在 /var/www/static/，Ke以这么写：

server {
    listen 80;
    server_name static.yourdomain.com;
    # 静态目录映射
    location / {
        root /var/www/static;
        autoindex off;                # 禁止目录列表，提高安全性
        expires 30d;                  # 浏览器缓存30天减轻回源压力
        add_header Cache-Control "public";
        gzip on;                      # 开启 gzip 压缩
        gzip_types text/css application/javascript image/svg+xml;
    }
    # 防盗链示例
    location ~* \.$ {
        valid_referers none blocked static.yourdomain.com;
        if  { return 403; }
        root /var/www/static;
    }
}

小技巧：开启 gzip_static on; 并预先生成 .gz 文件，可让压缩过程彻底省掉 CPU 消耗。

Nginx Zui常见的角色是「入口」——所有以 /api/ 开头的请求dou交给内部微服务处理。下面演示一个Zui简版的转发规则：

upstream backend_pool {
    server 10.1.10.21:8080 max_fails=3 fail_timeout=30s;
    server 10.1.10.22:8080 backup;          # 备用节点，当主节点挂掉自动切换
}
server {
    listen 80;
    server_name api.yourdomain.com;
    location /api/ {
        proxy_pass http://backend_pool;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # 超时防护，防止单个请求拖慢整个链路
        proxy_connect_timeout   5s;
        proxy_send_timeout      30s;
        proxy_read_timeout      60s;
    }
}

温馨提示：Ru果后端是 Node.js 或 Java，它们往往需要获取真实客户端 IP，这里Yi经帮你打好标签了。

sudo apt install -y certbot python3-certbot-nginx
sudo certbot --nginx -d www.yourdomain.com -d api.yourdomain.com
# 完成交互后会自动在对应 server 块里添加 SSL 配置并重启 Nginx。

server {
    listen              443 ssl http2;
    server_name         www.yourdomain.com;
    ssl_certificate     /etc/ssl/certs/yourdomain.crt;
    ssl_certificate_key /etc/ssl/private/yourdomain.key;
    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;
    # 强制 HTTP → HTTPS 重定向
    location / {
        proxy_pass http://backend_pool;
        # 同上面的 Header 转发...
    }
}
# HTTP 重定向块
server {
   listen      80;
   server_name www.yourdomain.com;
   return      301 https://$host$request_uri;
}

TIPS：PFSYi默认开启，无需额外配置；若想进一步提升安全，可加入 HSTS头部。

Nginx 自带多种调度算法：轮询、Zui少连接以及基于权重的加权轮询。下面示例使用Zui少连接策略，并开启健康检查插件。

upstream app_cluster {
   least_conn;                     # 空闲连接Zui多的机器优先接收新请求
   server app01.example.com:8080 weight=5 max_fails=2 fail_timeout=15s; 
   server app02.example.com:8080 weight=5 max_fails=2 fail_timeout=15s;
   # 假设Yi经装好 check 模块，可直接写：
   check interval=3000 rise=2 fall=5 timeout=1000 type=http 
         match=/healthz status_code=200;
}
server {
   listen      80;
   server_name www.yourdomain.com;
   location / {
       proxy_pass http://app_cluster;
       # Header 同前…
   }
}

这样即使某台机器宕机，也会被自动踢出池子，不会影响整体可用性。

Nginx 内置 limit_conn 与 limit_req 两大模块，让你轻松对单个 IP 实施并发数与速率限制。下面演示一个完整方案：

http {
   ## 并发连接限制，每个 IP 同时Zui多保持10条 TCP 链接 ##
   limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
   ## 请求速率限制，每秒Zui多接受5次请求 ##
   limit_req_zone $binary_remote_addr zone=req_limit:10m rate=5r/s;
   ## 简单黑名单示例 ##
   geo $blocked_ip {
       default          0;
       203.0.113.45     1;     # 拒绝此 IP 的所有请求
       198.51.100.0/24 1;     # 整个网段封禁
   }
   ## 在每个 Server 块中引用这些规则 ##
}
server {
   listen      80;
   server_name api.yourdomain.com;
   if  { return 403; }          # 命中黑名单直接拒绝
   location /login {                         # 登录接口特别保护
       limit_conn conn_limit 10;              # 单 IP 并发不超过10
       limit_req zone=req_limit burst=20 nodelay; 
                                           # 瞬时突发Zui多排队20个，多余直接返回503
       proxy_pass http://backend_pool;
       proxy_set_header Host $host;
       proxy_set_header X-Real-IP $remote_addr;
       proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   }
   location / {                               # 普通接口也套上基础限制
       limit_req zone=req_limit burst=5 nodelay;
       proxy_pass http://backend_pool;
   }
}

Sidenote: 想要geng细粒度控制，Ke以结合 Lua 脚本或第三方模块实现动态黑白名单geng新。

Error Log： /var/log/nginx/error.log 建议使用 warn; 以上级别记录，以免噪声淹没真相。

Acess Log 定制：

log_format main '$remote_addr - $remote_user  '
                '"$request" $status $body_bytes_sent '
                '"$http_referer" "$http_user_agent" '
                'rt=$request_time ua="$upstream_addr"';
access_log /var/log/nginx/access.log main buffer=16k flush=1m;

Status 页面：

server {
     listen 127.0.0.1:8081;               # 本机访问即可避免泄露信息
     location /nginx_status {
         stub_status on;                 # 开启状态页
         allow 127.0.0.1;                # 本机白名单，可自行
内网IP段
         deny all;
     }
}

AFAIK，大多数同学在kan完官方文档后dou会觉得“太技术化”。其实只要将目标拆成「静态文件 → HTTPS → 转发 → 限流」四步走，就Neng快速搭建起一套生产级别的入口层。以后再面对geng复杂需求，比如灰度发布或 A/B 测试，只需要在 upstream 中再添几行配置即可，无需重新架构代码。