ngx_http_proxy_module 模块允许将请求传递到另一个服务器。
location / {
proxy_pass http://localhost:8000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}语 法:proxy_bind address [transparent] | off; 默认值:— 上下文:http, server, location
该指令出现在 0.8.22 版本中。
从指定的具有可选端口(1.11.2)的本地IP地址发起到代理服务器的连接。参数值可以包含变量(1.3.12)。特殊值 off (1.3.12)取消继承自上一个配置级别 proxy_bind 指令的作用,它允许系统自动分配本地IP地址和端口。
transparent 参数(1.11.0)允许从非本地IP地址发起到代理服务器的连接,例如,从一个客户端的真实IP地址:
proxy_bind $remote_addr transparent;
为了使该参数起作用,通常需要以超级用户权限运行 nginx 工作进程。在 Linux 上不需要(1.13.8),就像指定了 transparent 参数一样,工作进程从主进程继承了 CAP_NET_RAW 功能。还需要配置内核路由表来拦截来自代理服务器的网络流量。
语 法:proxy_buffer_size size; 默认值:proxy_buffer_size 4k|8k; 上下文:http, server, location
设置用于读取从代理服务器收到的响应的第一部分的缓冲区大小。这部分通常包含一个小的响应头。默认情况下,缓冲区大小等于一页内存。这是 4K 或 8K,具体取决于平台。然而,它可以做得更小。
语 法:proxy_buffering on | off; 默认值:proxy_buffering on; 上下文:http, server, location
启用或禁用来自代理服务器的响应缓冲。
启用缓冲后,nginx 会尽快从代理服务器接收响应,并将其保存到由 proxy_buffer_size 和 proxy_buffers 指令设置的缓冲区中。如果整个响应无法装入内存,则可以将部分响应保存到磁盘上的临时文件中。写入临时文件由 proxy_max_temp_file_size 和 proxy_temp_file_write_size 指令控制。
禁用缓冲时,响应将在收到响应时立即同步传递到客户端。nginx不会尝试从代理服务器读取整个响应。nginx一次可以从服务器接收的最大数据大小由 proxy_buffer_size 指令设置。
也可以通过在 “X-Accel-Buffering” 响应报头字段中传递“yes”或“no”来启用或禁用缓冲。可以使用 proxy_ignore_headers 指令禁用此功能。
语 法:proxy_buffers number size; 默认值:proxy_buffers 8 4k|8k; 上下文:http, server, location
为单个连接设置用于从代理服务器读取响应的缓冲区的数量和大小。默认情况下,缓冲区大小等于一个内存页。这可以是4K或8K,具体取决于平台。
语 法:proxy_busy_buffers_size size; 默认值:proxy_busy_buffers_size 8k|16k; 上下文:http, server, location
启用来自代理服务器的响应缓冲时,会限制在响应尚未完全读取时忙于向客户端发送响应的缓冲区的总大小。同时,其余的缓冲区可以用于读取响应,如果需要,还可以将部分响应缓冲到临时文件。默认情况下,大小受 proxy_buffer_size 和 proxy_buffers 指令设置的两个缓冲区的大小限制。
语 法:proxy_cache zone | off; 默认值:proxy_cache off; 上下文:http, server, location
定义用于缓存的共享内存区。同一区域可以在多个地方使用。参数值可以包含变量(1.7.9)。off 参数禁用从上一个配置级别继承的缓存。
语 法:proxy_cache_background_update on | off; 默认值:proxy_cache_background_update off; 上下文:http, server, location
该指令出现在 1.11.10 版中。
允许启动后台子请求以更新过期的缓存项,同时将过时的缓存响应返回给客户端。请注意,有必要在更新时允许使用过时的缓存响应。
语 法:proxy_cache_bypass string ...; 默认值:— 上下文:http, server, location
定义不从缓存获取响应的条件。如果字符串参数中至少有一个值不为空且不等于 “0”,则不会从缓存中获取响应:
proxy_cache_bypass $cookie_nocache $arg_nocache$arg_comment; proxy_cache_bypass $http_pragma $http_authorization;
可以与 proxy_no_cache 指令一起使用。
语 法:proxy_cache_convert_head on | off; 默认值:proxy_cache_convert_head on; 上下文:http, server, location
该指令出现在 1.9.7 版中。
启用或禁用将 “head” 方法转换为 “get” 以进行缓存。禁用转换时,应将缓存键配置为包含 $request_method。
语 法:proxy_cache_key string; 默认值:proxy_cache_key $scheme$proxy_host$request_uri; 上下文:http, server, location
定义一个用于缓存的键,例如:
proxy_cache_key "$host$request_uri $cookie_user";
默认情况下,指令的值接近字符串:
proxy_cache_key $scheme$proxy_host$uri$is_args$args;
语 法:proxy_cache_lock on | off; 默认值:proxy_cache_lock off; 上下文:http, server, location
该指令出现在 1.1.12 版中。
启用后,通过将请求传递给代理服务器,一次只允许一个请求填充根据 proxy_cache_key 指令标识的新缓存元素。同一缓存元素的其他请求要么等待响应出现在缓存中,要么等待缓存锁定以释放该元素,直到 proxy_cache_lock_timeout 指令设置的时间为止。
语 法:proxy_cache_lock_age time; 默认值:proxy_cache_lock_age 5s; 上下文:http, server, location
该指令出现在 1.7.8 版中。
如果传递给代理服务器以填充新缓存元素的最后一个请求在指定时间内没有完成,则可以再将一个请求传递给代理服务器。
语 法:proxy_cache_lock_timeout time; 默认值:proxy_cache_lock_timeout 5s; 上下文:http, server, location
该指令出现在 1.1.12 版中。
为 proxy_cache_lock 设置超时。当时间到期时,请求将被传递到代理服务器。但是,响应不会被缓存。
在 1.7.8 之前,可以缓存响应。
语 法:proxy_cache_max_range_offset number; 默认值:— 上下文:http, server, location
该指令出现在 1.11.6 版中。
为字节范围请求设置以字节为单位的偏移量。如果范围超出偏移量,则范围请求将传递给代理服务器,并且不会缓存响应。
语 法:proxy_cache_methods GET | HEAD | POST ...; 默认值:proxy_cache_methods GET HEAD; 上下文:http, server, location
该指令出现在 0.7.59 版本中。
如果此指令中列出了客户端请求方法,则响应将被缓存。“GET” 和 “HEAD” 方法总是添加到列表中,但建议明确指定它们。另请参阅 proxy_no_cache 指令。
语 法:proxy_cache_min_uses number; 默认值:proxy_cache_min_uses 1; 上下文:http, server, location
设置请求数,之后响应将被缓存。
语 法:proxy_cache_path path [levels=levels] [use_temp_path=on|off] keys_zone=name:size [inactive=time] [max_size=size] [min_free=size] [manager_files=number] [manager_sleep=time] [manager_threshold=time] [loader_files=number] [loader_sleep=time] [loader_threshold=time] [purger=on|off] [purger_files=number] [purger_sleep=time] [purger_threshold=time]; 默认值:— 上下文:http
设置缓存的路径和其他参数。缓存数据存储在文件中。缓存中的文件名是将 MD5 函数应用于缓存键的结果。levels 参数定义了缓存的层次级别:从 1 到 3,每个级别接受值 1 或 2。例如,在以下配置中
proxy_cache_path /data/nginx/cache levels=1:2 keys_zone=one:10m;
缓存中的文件名将如下所示:
/data/nginx/cache/c/29/b7f54b2df7773722d382f4809d65029c
缓存的响应首先写入临时文件,然后重命名该文件。 从 0.8.9 版本开始,临时文件和缓存可以放在不同的文件系统上。 但是,请注意,在这种情况下,文件是跨两个文件系统复制的,而不是廉价的重命名操作。 因此,建议对于任何给定位置,缓存和保存临时文件的目录都放在同一个文件系统上。 临时文件的目录是根据 use_temp_path 参数 (1.7.10) 设置的。 如果省略此参数或设置为 on 值,则将使用由 proxy_temp_path 指令为给定位置设置的目录。 如果该值设置为 off,临时文件将直接放在缓存目录中。
此外,所有活动密钥和有关数据的信息都存储在共享内存区域中,其名称和大小由 keys_zone 参数配置。一兆字节的区域可以存储大约 8000 个密钥。
作为商业订阅的一部分,共享内存区域还存储扩展缓存信息,因此需要为相同数量的密钥指定更大的区域大小。例如,一兆字节的区域可以存储大约 4000 个密钥。
在 inactive 参数指定的时间内未访问的缓存数据会从缓存中删除,而不管它们的新鲜度如何。默认情况下,非活动时间设置为 10 分钟。
特殊的“缓存管理器”进程监视由 max_size 参数设置的最大缓存大小,以及由 min_free (1.19.1) 参数设置的最小可用空间量在带有缓存的文件系统上。 当超过大小或没有足够的可用空间时,它会删除最近最少使用的数据。 在由 manager_files、manager_threshold 和 manager_sleep 参数 (1.11.5) 配置的迭代中删除数据。 在一次迭代中,不会删除 manager_files 项(默认为 100)。 一次迭代的持续时间受 manager_threshold 参数限制(默认为 200 毫秒)。 在迭代之间,由 manager_sleep 参数配置的暂停(默认为 50 毫秒)被执行。
启动后一分钟,特殊的“缓存加载器”进程被激活。 它将有关存储在文件系统上的先前缓存数据的信息加载到缓存区域中。 加载也是在迭代中完成的。 在一次迭代中,加载的项目不超过 loader_files(默认为 100)。 此外,一次迭代的持续时间受 loader_threshold 参数限制(默认为 200 毫秒)。 在迭代之间,由 loader_sleep 参数(默认为 50 毫秒)配置的暂停被执行。
此外,以下参数可作为我们商业订阅的一部分:
purger=on|off
指示缓存清除程序 (1.7.12) 是否将从磁盘中删除与通配符键匹配的缓存条目。将该参数设置为 on(默认为 off)将激活“缓存清除器”进程,该进程永久迭代所有缓存条目并删除与通配符键匹配的条目。
purger_files=number
设置将在一次迭代中扫描的项目数 (1.7.12)。默认情况下,purger_files 设置为 10。
purger_threshold=number
设置一次迭代的持续时间 (1.7.12)。默认情况下,purger_threshold 设置为 50 毫秒。
purger_sleep=number
设置迭代之间的暂停 (1.7.12)。默认情况下,purger_sleep 设置为 50 毫秒。在 1.7.3、1.7.7 和 1.11.10 版本中,缓存标头格式已更改。升级到较新的 nginx 版本后,先前缓存的响应将被视为无效。
语 法:proxy_cache_purge string ...; 默认值:— 上下文:http, server, location
该指令出现在 1.5.7 版中。
定义请求将被视为缓存清除请求的条件。如果字符串参数中的至少一个值不为空且不等于“0”,则具有相应缓存键的缓存条目将被删除。操作成功的结果通过返回 204(无内容)响应来指示。
如果清除请求的缓存键以星号(“*”)结尾,则所有匹配通配符键的缓存条目都将从缓存中删除。但是,这些条目将保留在磁盘上,直到它们因不活动或被缓存清除程序 (1.7.12) 处理或客户端尝试访问它们而被删除。
示例配置:
proxy_cache_path /data/nginx/cache keys_zone=cache_zone:10m;
map $request_method $purge_method {
PURGE 1;
default 0;
}
server {
...
location / {
proxy_pass http://backend;
proxy_cache cache_zone;
proxy_cache_key $uri;
proxy_cache_purge $purge_method;
}
}此功能作为我们商业订阅的一部分提供。
语 法:proxy_cache_revalidate on | off; 默认值:proxy_cache_revalidate off; 上下文:http, server, location
此指令出现在版本1.5.7中。
使用带有 “If-Modified-Self” 和 “If-None-Match” 标头字段的条件请求启用过期缓存项的重新验证。
语 法:proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | http_429 | off ...; 默认值:proxy_cache_use_stale off; 上下文:http, server, location
确定在哪些情况下可以在与代理服务器通信期间使用过时的缓存响应。该指令的参数与 proxy_next_upstream 指令的参数匹配。
如果无法选择代理服务器来处理请求,则 error 参数还允许使用过时的缓存响应。
此外,更新参数允许使用过时的缓存响应(如果它当前正在更新)。这允许在更新缓存数据时最大限度地减少对代理服务器的访问次数。
也可以在响应变得过时(1.11.10)后,在指定的秒数内直接在响应头中启用使用过时的缓存响应。与使用指令参数相比,这具有较低的优先级。
“Cache-Control” 头字段的 “Stale-While-Revalate” 扩展允许使用过时的缓存响应(如果它当前正在更新)。
“Cache-Control” 头字段的 “Stale-if-Error” 扩展允许在发生错误时使用过时的缓存响应。
要在填充新缓存元素时最大限度地减少对代理服务器的访问次数,可以使用 proxy_cache_lock 指令。
语 法:proxy_cache_valid [code ...] time; 默认值:— 上下文:http, server, location
为不同的响应代码设置缓存时间。例如,以下指令
proxy_cache_valid 200 302 10m; proxy_cache_valid 404 1m;
为代码 200 和 302 的响应设置 10 分钟的缓存,为代码 404 的响应设置 1 分钟。
如果只指定了缓存时间
proxy_cache_valid 5m;
那么只有 200、301 和 302 响应被缓存。
此外,可以指定 any 参数来缓存任何响应:
proxy_cache_valid 200 302 10m; proxy_cache_valid 301 1h; proxy_cache_valid any 1m;
缓存的参数也可以直接在响应头中设置。 这比使用指令设置缓存时间具有更高的优先级。
“X-Accel-Expires”标头字段以秒为单位设置响应的缓存时间。0 值禁用响应缓存。如果该值以 @ 前缀开头,则它会设置自 Epoch 以来的绝对时间(以秒为单位),直到可以缓存响应为止。
如果头部不包含 “X-Accel-Expires” 字段,可以在头部字段 “Expires” 或 “Cache-Control” 中设置缓存参数。
如果标头包含 “Set-Cookie” 字段,则不会缓存此类响应。
如果标头包含具有特殊值 “*” 的 “Vary” 字段,则不会缓存此类响应(1.7.7)。如果标头包含具有另一个值的 “Vary” 字段,则将考虑到相应的请求标头字段(1.7.7)来缓存此类响应。
可以使用 proxy_ignore_headers 指令禁用对这些响应头字段中的一个或多个的处理。
语 法:proxy_connect_timeout time; 默认值:proxy_connect_timeout 60s; 上下文:http, server, location
定义与代理服务器建立连接的超时时间。需要注意的是,这个超时时间通常不能超过 75 秒。
语 法:proxy_cookie_domain off; proxy_cookie_domain domain replacement; 默认值:proxy_cookie_domain off; 上下文:http, server, location
该指令出现在 1.1.15 版中。
设置应在代理服务器响应的 “Set-Cookie” 标头字段的域属性中更改的文本。假设代理服务器返回 “Set-Cookie” 标头字段,其属性为 “domain=localhost”。该指令
proxy_cookie_domain localhost example.org;
将此属性重写为 “domain=example.org”。
域开头的点和替换字符串以及域属性将被忽略。匹配不区分大小写。
域和替换字符串可以包含变量:
proxy_cookie_domain www.$host $host;
也可以使用正则表达式指定该指令。在这种情况下,域应该从“~”符号开始。正则表达式可以包含命名捕获和位置捕获,替换可以引用它们:
proxy_cookie_domain ~.(?P<sl_domain>[-0-9a-z]+.[a-z]+)$ $sl_domain;
可以在同一级别指定多个 proxy_cookie_domain 指令:
proxy_cookie_domain localhost example.org; proxy_cookie_domain ~.([a-z]+.[a-z]+)$ $1;
如果可以对 cookie 应用多个指令,则将选择第一个匹配的指令。
off 参数取消了从先前配置级别继承的 proxy_cookie_domain 指令的效果。
语 法:proxy_cookie_flags off | cookie [flag ...]; 默认值:proxy_cookie_flags off; 上下文:http, server, location
此指令出现在版本1.19.3中。
为 Cookie 设置一个或多个标志。Cookie 可以包含文本、变量及其组合。该标志可以包含文本、变量及其组合(1.19.8)。secure, httponly, samesite=strict, samesite=lax, samesite=none 参数添加相应的标志。nosecure, nohttponly, nosamesite 参数删除相应的标志。
也可以使用正则表达式指定Cookie,在这种情况下,cookie应该从“~”符号开始。
可以在同一配置级别上指定多个 proxy_cookie_flags 指令:
proxy_cookie_flags one httponly; proxy_cookie_flags ~ nosecure samesite=strict;
如果可以将多个指令应用于 Cookie,则将选择第一个匹配的指令。在本例中,将 httponly 标志添加到 cookie one 中,对于所有其他 cookie,添加了 samesite=Strict 标志,并删除了安全标志。
off 参数取消从上一个配置级别继承的 proxy_cookie_flags 指令的效果。
语 法:proxy_cookie_path off; proxy_cookie_path path replacement; 默认值:proxy_cookie_path off; 上下文:http, server, location
此指令出现在版本1.1.15中。
设置应在代理服务器响应的 “Set-Cookie” 标头字段的 Path 属性中更改的文本。假设一个代理服务器返回了属性为 “path=/two/ome/uri/” 的 “Set-Cookie” 头字段。该指令
proxy_cookie_path /two/ /;
将此属性重写为 “path=/ome/uri/”。
路径和替换字符串可以包含变量:
proxy_cookie_path $uri /some$uri;
也可以使用正则表达式指定该指令。在这种情况下,对于区分大小写的匹配,路径应该从“~”符号开始,对于不区分大小写的匹配,路径应该从“~*”符号开始。正则表达式可以包含命名捕获和位置捕获,替换可以引用它们:
proxy_cookie_path ~*^/user/([^/]+) /u/$1;
可以在同一级别指定多个 proxy_cookie_path 指令:
proxy_cookie_path /one/ /; proxy_cookie_path / /two/;
如果可以将多个指令应用于Cookie,则将选择第一个匹配的指令。
off 参数取消从上一个配置级别继承的 proxy_cookie_flags 指令的效果。
语 法:proxy_force_ranges on | off; 默认值:proxy_force_ranges off; 上下文:http, server, location
此指令出现在版本1.7.7中。
启用对来自代理服务器的缓存和未缓存响应的字节范围支持,而不考虑这些响应中的 “Accept-Ranges” 字段。
语 法:proxy_headers_hash_bucket_size size; 默认值:proxy_headers_hash_bucket_size 64; 上下文:http, server, location
设置 proxy_hide_header 和 proxy_set_header 指令使用的哈希表的存储桶大小,设置哈希表的详细信息在单独的文档中提供。
语 法:proxy_headers_hash_max_size size; 默认值:proxy_headers_hash_max_size 512; 上下文:http, server, location
设置 proxy_hide_header 和 proxy_set_header 指令使用的哈希表的最大大小,设置哈希表的详细信息在单独的文档中提供。
语 法:proxy_hide_header field; 默认值:— 上下文:http, server, location
默认情况下,nginx不传递标题字段“Date”、“Server”、“X-Pad” 和 “X-Accel-...” 来自代理服务器对客户端的响应。proxy_hide_header 指令设置不会传递的附加字段。相反,如果需要允许传递字段,则可以使用 proxy_pass_header 指令。
语 法:proxy_http_version 1.0 | 1.1; 默认值:proxy_http_version 1.0; 上下文:http, server, location
此指令出现在版本1.1.4中。
设置代理的 HTTP 协议版本。默认情况下,使用版本 1.0。建议将 1.1 版用于保持连接和 NTLM 身份验证。
语 法:proxy_ignore_client_abort on | off; 默认值:proxy_ignore_client_abort off; 上下文:http, server, location
确定当客户端在不等待响应的情况下关闭连接时,是否应关闭与代理服务器的连接。
语 法:proxy_ignore_headers field ...; 默认值:— 上下文:http, server, location
禁用处理来自代理服务器的某些响应标头字段。可以忽略以下字段:“X-Accel-Redirect”、“X-Accel-Expires”、“X-Accel-Limit-Rate”(1.1.6)、“X-Accel-Buffering”(1.1.6)、“X-Accel-Charset”(1.1.6)、“Expires”、“Cache-Control”、“Set-Cookie”(0.8.44) 和 “Variable”(1.7.7)。
如果未禁用,对这些标头字段的处理将产生以下效果:
"X-Accel-Expires"、"Expires"、"Cache-Control"、"Set-Cookie"、"Variable" 设置响应缓存参数;
"X-Accel-Redirect" 执行到指定URI的内部重定向;
"X-Accel-Limit-Rate" 设置向客户端传输响应的速率限制;
"X-Accel-Buffering" 启用或禁用响应的缓冲;
"X-Accel-Charset" 设置响应所需的字符集。
语 法:proxy_intercept_errors on | off; 默认值:proxy_intercept_errors off; 上下文:http, server, location
确定是将代码大于或等于 300 的代理响应传递给客户端,还是拦截并重定向到 nginx 以使用 error_page 指令进行处理。
语 法:proxy_limit_rate rate; 默认值:proxy_limit_rate 0; 上下文:http, server, location
此指令出现在版本1.7.7中。
限制从代理服务器读取响应的速度。该速率以字节/秒为单位指定。零值禁用速率限制。限制是针对每个请求设置的,因此如果nginx同时打开两个到代理服务器的连接,则总速率将是指定限制的两倍。仅当启用了对来自代理服务器的响应进行缓冲时,该限制才起作用。
语 法:proxy_max_temp_file_size size; 默认值:proxy_max_temp_file_size 1024m; 上下文:http, server, location
如果启用了对来自代理服务器的响应进行缓冲,并且整个响应无法放入 proxy_buffer_size 和 proxy_buffers 指令设置的缓冲区中,则可以将部分响应保存到临时文件中。此指令设置临时文件的最大大小。一次写入临时文件的数据大小由proxy_temp_file_write_size 指令设置。
零值禁用对临时文件的响应缓冲。
此限制不适用于将缓存或存储在磁盘上的响应。
语 法:proxy_method method; 默认值:— 上下文:http, server, location
指定要在转发到代理服务器的请求中使用的HTTP方法,而不是客户端请求中的方法。参数值可以包含变量(1.11.6)。
语 法:proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | http_429 | non_idempotent | off ...; 默认值:proxy_next_upstream error timeout; 上下文:http, server, location
指定在哪些情况下应将请求传递给下一台服务器:
error 与服务器建立连接、向其传递请求或读取响应头时出错;
timeout 与服务器建立连接、向其传递请求或读取响应头时发生超时;
invalid_header 服务器返回空或无效响应;
HTTP_500 服务器返回代码为500的响应;
HTTP_502 服务器返回代码为502的响应;
HTTP_503 服务器返回代码为503的响应;
HTTP_504 服务器返回代码为504的响应;
HTTP_403 服务器返回代码为403的响应;
HTTP_404 服务器返回代码为404的响应;
HTTP_429 服务器返回代码为429(1.11.13)的响应;
non_idempotent 常情况下,如果请求已发送到上游服务器(1.9.13),则使用非幂等方法(POST、LOCK、PATCH)的请求不会传递到下一个服务器;显式启用此选项允许重试此类请求;
off 禁用向下一台服务器传递请求。
应该记住,只有在还没有向客户端发送任何内容的情况下,才能将请求传递给下一台服务器。也就是说,如果在传输响应的过程中出现错误或超时,则无法修复此问题。
该指令还定义了什么被认为是与服务器通信的不成功尝试。error、timeout 和 invalid_header 的情况始终被认为是不成功的尝试,即使指令中没有指定它们。Http_500、http_502、http_503、http_504 和 http_429 的情况仅在指令中指定时才被视为不成功尝试。Http_403 和 http_404 的情况从不被视为不成功的尝试。
向下一台服务器传递请求可能受到尝试次数和时间的限制。
语 法:proxy_next_upstream_timeout time; 默认值:proxy_next_upstream_timeout 0; 上下文:http, server, location
此指令出现在版本 1.7.5 中。
限制请求可以传递到下一台服务器的时间,0 值将关闭此限制。
语 法:proxy_next_upstream_tries number; 默认值:proxy_next_upstream_tries 0; 上下文:http, server, location
此指令出现在版本 1.7.5 中。
限制将请求传递到下一台服务器的可能尝试次数,0 值将关闭此限制。
语 法:proxy_no_cache string ...; 默认值:— 上下文:http, server, location
定义响应不会保存到缓存的条件。如果字符串参数中至少有一个值不为空且不等于“0”,则不会保存响应:
proxy_no_cache $cookie_nocache $arg_nocache$arg_comment; proxy_no_cache $http_pragma $http_authorization;
可以与 proxy_cache_bypass 指令一起使用。
语 法:proxy_pass URL; 默认值:— 上下文:location, if in location, limit_except
设置代理服务器的协议和地址以及位置应映射到的可选URI。作为协议,可以指定“http”或“https”。地址可以指定为域名或IP地址,也可以指定为可选端口:
proxy_pass http://localhost:8000/uri/;
或作为在单词 “unix” 之后指定并用冒号括起来的 UNIX 域套接字路径:
proxy_pass http://unix:/tmp/backend.socket:/uri/;
如果一个域名解析为多个地址,则所有地址都将被循环使用。此外,还可以将地址指定为服务器组。
参数值可以包含变量。在这种情况下,如果地址被指定为域名,则在所描述的服务器组中搜索该名称,如果未找到,则使用解析器确定该名称。
请求URI被传递到服务器,如下所示:
如果 proxy_pass 指令使用 URI 指定,那么当请求传递到服务器时,与位置匹配的规范化请求 URI 部分将被指令中指定的 URI 替换:
location /name/ {
proxy_pass http://127.0.0.1/remote/;
}如果 proxy_pass 没有指定URI,则请求 URI 以与客户端在处理原始请求时发送的相同形式传递给服务器,或者在处理更改的 URI 时传递完整的规范化请求 URI:
location /some/path/ {
proxy_pass http://127.0.0.1;
}在 1.1.12 版本之前,如果指定 proxy_pass 没有 URI,则在某些情况下可能会传递原始请求 URI 而不是更改后的 URI。
在某些情况下,无法确定要替换的请求 URI 部分:
当使用正则表达式指定位置时,也在命名位置内指定位置。
在这些情况下,应在不使用URI的情况下指定 proxy_pass。
当使用 rewrite 指令在代理位置内更改 URI 时,此相同的配置将用于处理请求(中断):
location /name/ {
rewrite /name/([^/]+) /users?name=$1 break;
proxy_pass http://127.0.0.1;
}在这种情况下,将忽略指令中指定的 URI,并将更改后的完整请求 URI 传递给服务器。
在 proxy_pass 中使用变量时:
location /name/ {
proxy_pass http://127.0.0.1$request_uri;
}在这种情况下,如果在指令中指定了 URI,它将按原样传递到服务器,替换原始请求 URI。
WebSocket 代理需要特殊配置,从 1.3.13 版开始支持。
语 法:proxy_pass_header field; 默认值:— 上下文:http, server, location
允许将其他禁用的报头字段从代理服务器传递到客户端。
语 法:proxy_pass_request_body on | off; 默认值:proxy_pass_request_body on; 上下文:http, server, location
指示是否将原始请求正文传递到代理服务器。
location /x-accel-redirect-here/ {
proxy_method GET;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
proxy_pass ...
}另请参阅 proxy_set_header 和 proxy_pass_request_header 指令。
语 法:proxy_pass_request_headers on | off; 默认值:proxy_pass_request_headers on; 上下文:http, server, location
指示是否将原始请求的标头字段传递到代理服务器。
location /x-accel-redirect-here/ {
proxy_method GET;
proxy_pass_request_headers off;
proxy_pass_request_body off;
proxy_pass ...
}另请参阅 proxy_set_header 和 proxy_pass_request_body 指令。
语 法:proxy_read_timeout time; 默认值:proxy_read_timeout 60s; 上下文:http, server, location
定义从代理服务器读取响应的超时时间。超时仅在两个连续的读取操作之间设置,而不是针对整个响应的传输。如果代理服务器在此时间内未传输任何内容,则连接将关闭。
语 法:proxy_redirect default; proxy_redirect off; proxy_redirect redirect replacement; 默认值:proxy_redirect default; 上下文:http, server, location
设置应在代理服务器响应的 “Location” 和 “Refresh” 标头字段中更改的文本。假设代理服务器返回头字段“Location:http://localhost:8000/two/some/uri/” 。该指令
proxy_redirect http://localhost:8000/two/ http://frontend/one/;
将此字符串重写为 “Location:http://frontend/one/some/uri/” 。
替换字符串中可能会省略服务器名称:
proxy_redirect http://localhost:8000/two/ /;
然后,将插入主服务器的名称和端口 (如果与80不同)。
default 参数指定的默认替换使用 location 和 proxy_pass 指令的参数。因此,以下两种配置是等效的:
location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect default;
location /one/ {
proxy_pass http://upstream:port/two/;
proxy_redirect http://upstream:port/two/ /one/;如果使用变量指定 proxy_pass,则不允许使用默认参数。替换字符串可以包含变量:
proxy_redirect http://localhost:8000/ http://$host:$server_port/;
重定向还可以包含 (1.1.11) 变量:
proxy_redirect http://$proxy_host:8000/ /;
可以使用正则表达式指定指令 (1.1.11)。在这种情况下,对于区分大小写的匹配,重定向应该以 “~” 符号开头,对于不区分大小写的匹配,重定向应该以 “~*” 符号开头。正则表达式可以包含命名捕获和位置捕获,替换可以引用它们:
proxy_redirect ~^(http://[^:]+):d+(/.+)$ $1$2; proxy_redirect ~*/user/([^/]+)/(.+)$ http://$1.example.com/$2;
可以在同一级别指定多个 proxy_redirect 指令:
proxy_redirect default; proxy_redirect http://localhost:8000/ /; proxy_redirect http://www.example.com/ /;
如果可以将多个指令应用于代理服务器响应的标头字段,则将选择第一个匹配的指令。
off 参数取消从上一个配置级别继承的 proxy_redirect 指令的效果。
使用此指令,还可以将主机名添加到由代理服务器发出的相对重定向:
proxy_redirect / /;
语 法:proxy_request_buffering on | off; 默认值:proxy_request_buffering on; 上下文:http, server, location
该指令出现在版本1.7.11中。
启用或禁用客户端请求正文的缓存。
启用缓存时,在将请求发送到代理服务器之前,将从客户端读取整个请求正文。
禁用缓存时,请求正文将在接收到请求正文后立即发送到代理服务器。在这种情况下,如果 nginx 已经开始发送请求正文,则无法将请求传递到下一台服务器。
当使用 HTTP/1.1 分块传输编码发送原始请求正文时,除非启用了 HTTP/1.1 代理,否则无论指令值如何,请求正文都会被缓冲。
语 法:proxy_send_lowat size; 默认值:proxy_send_lowat 0; 上下文:http, server, location
如果该指令设置为非零值,nginx 将尝试通过使用 kqueue 方法的 NOTE_LOWAT 标志或具有指定大小的 SO_SNDLOWAT 套接字选项,最大限度地减少到代理服务器的传出连接上的发送操作数。
在Linux、Solaris和Windows上忽略此指令。
语 法:proxy_send_timeout time; 默认值:proxy_send_timeout 60s; 上下文:http, server, location
设置向代理服务器传输请求的超时时间。超时仅在两个连续的写入操作之间设置,而不是针对整个请求的传输。如果代理服务器在此时间内未收到任何内容,则连接将关闭。
语 法:proxy_set_body value; 默认值:— 上下文:http, server, location
允许重新定义传递到代理服务器的请求正文,该值可以包含文本、变量及其组合。
语 法:proxy_set_header field value; 默认值:proxy_set_header Host $proxy_host; proxy_set_header Connection close; 上下文:http, server, location
允许重新定义字段或将字段附加到传递到代理服务器的请求标头。该值可以包含文本、变量及其组合。当且仅当在当前级别上没有定义 proxy_set_header 指令时,才会从上一个配置级别继承这些指令。默认情况下,仅重新定义两个字段:
proxy_set_header Host $proxy_host; proxy_set_header Connection close;
如果启用了缓存,则不会将原始请求中的报头字段 “If-Modified-Since”、“If-Unmodified-Since”、“If-None-Match”、“If-Match”、“Range” 和 “If-Range” 传递到代理服务器。
未更改的 “Host” 请求报头字段可以按如下方式传递:
proxy_set_header Host $http_host;
但是,如果客户端请求标头中没有此字段,则不会传递任何内容。在这种情况下,最好使用 $HOST 变量 - 其值等于 “Host” 请求标头字段中的服务器名称,或者如果该字段不存在,则等于主服务器名称:
proxy_set_header Host $host;
此外,服务器名称可以与代理服务器的端口一起传递:
proxy_set_header Host $host:$proxy_port;
如果头字段的值为空字符串,则此字段将不会传递到代理服务器:
proxy_set_header Accept-Encoding "";
语 法:proxy_socket_keepalive on | off; 默认值:proxy_socket_keepalive off; 上下文:http, server, location
此指令出现在版本1.15.6中。
配置到代理服务器的传出连接的 “TCP Keep Alive” 行为。默认情况下,操作系统的设置对套接字有效。如果指令设置为值 “on”,则为套接字打开 SO_KEEPALIVE 套接字选项。
语 法:proxy_ssl_certificate file; 默认值:— 上下文:http, server, location
此指令出现在版本1.7.8中。
指定包含 PEM 格式证书的文件,该证书用于向代理 HTTPS 服务器进行身份验证。从 1.21.0 版开始,可以在文件名中使用变量。
语 法:proxy_ssl_certificate_key file; 默认值:— 上下文:http, server, location
此指令出现在版本1.7.8中。
指定具有PEM格式密钥的文件,该文件用于向代理HTTPS服务器进行身份验证。可以指定值 engine:name:id,而不是文件(1.7.9),后者从 OpenSSL 引擎名称加载具有指定ID的密钥。从1.21.0版开始,可以在文件名中使用变量。
语 法:proxy_ssl_ciphers ciphers; 默认值:proxy_ssl_ciphers DEFAULT; 上下文:http, server, location
此指令出现在版本1.5.6中。
为发送到代理HTTPS服务器的请求指定启用的密码。密码以OpenSSL库理解的格式指定。
可以使用 “openssl ciphers” 命令查看完整列表。
语 法:proxy_ssl_conf_command command; 默认值:— 上下文:http, server, location
此指令出现在版本1.19.4中。
在与代理 HTTPS 服务器建立连接时设置任意 OpenSSL 配置命令。
使用 OpenSSL 1.0.2 或更高版本时支持该指令。可以在同一级别指定多个 proxy_ssl_conf_command 指令。当且仅当在当前级别上未定义 proxy_ssl_conf_command 指令时,才会从上一个配置级别继承这些指令。
请注意,直接配置 OpenSSL 可能会导致意外行为。
语 法:proxy_ssl_crl file; 默认值:— 上下文:http, server, location
该指令出现在 1.7.0 版中。
指定带有吊销证书 (CRL) 的 PEM 格式文件,用于验证代理 HTTPS 服务器的证书。
语 法:proxy_ssl_name name; 默认值:proxy_ssl_name $proxy_host; 上下文:http, server, location
此指令出现在版本1.7.0中。
允许覆盖用于验证代理HTTPS服务器的证书的服务器名称,并在与代理HTTPS服务器建立连接时通过SNI传递。
默认情况下,使用 proxy_pass URL的主机部分。
语 法:proxy_ssl_password_file file; 默认值:— 上下文:http, server, location
此指令出现在版本1.7.8中。
指定使用密码短语作为密钥的文件,其中每个密码短语都在单独的行上指定。加载密钥时会依次尝试密码短语。
语 法:proxy_ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3]; 默认值:proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 上下文:http, server, location
此指令出现在版本1.5.6中。
为发往代理 HTTPS 服务器的请求启用指定的协议。
语 法:proxy_ssl_server_name on | off; 默认值:proxy_ssl_server_name off; 上下文:http, server, location
此指令出现在版本1.7.0中。
启用或禁用在与代理 HTTPS 服务器建立连接时通过 TLS 服务器名称指示扩展 (SNI、RFC 6066) 传递服务器名称。
语 法:proxy_ssl_session_reuse on | off; 默认值:proxy_ssl_session_reuse on; 上下文:http, server, location
确定使用代理服务器时是否可以重用SSL会话。如果日志中出现错误 “SSL3_GET_FINISHED:digest check failed”,请尝试禁用会话重用。
语 法:proxy_ssl_trusted_certificate file; 默认值:— 上下文:http, server, location
此指令出现在版本1.7.0中。
指定包含PEM格式的受信任 CA 证书的文件,该文件用于验证代理 HTTPS 服务器的证书。
语 法:proxy_ssl_verify on | off; 默认值:proxy_ssl_verify off; 上下文:http, server, location
此指令出现在版本1.7.0中。
启用或禁用代理 HTTPS 服务器证书的验证。
语 法:proxy_ssl_verify_depth number; 默认值:proxy_ssl_verify_depth 1; 上下文:http, server, location
此指令出现在版本1.7.0中。
设置代理HTTPS服务器证书链中的验证深度。
语 法:proxy_store on | off | string; 默认值:proxy_store off; 上下文:http, server, location
启用将文件保存到磁盘。on 参数使用与指令 alias 或 root 相对应的路径保存文件。off 参数禁用文件保存。此外,还可以使用带变量的字符串显式设置文件名:
proxy_store /data/www$original_uri;
根据接收到的 “Last-Modified” 响应头部字段设置文件的修改时间。响应首先写入临时文件,然后重命名该文件。从0.8.9版开始,临时文件和永久存储可以放在不同的文件系统上。但是,请注意,在这种情况下,文件是跨两个文件系统复制的,而不是低成本的重命名操作。因此,建议对于任何给定位置,将保存的文件和存放临时文件的目录 (由 Proxy_temp_path 指令设置) 放在同一文件系统中。
此指令可用于创建静态不可更改文件的本地副本,例如:
location /images/ {
root /data/www;
error_page 404 = /fetch$uri;
}
location /fetch/ {
internal;
proxy_pass http://backend/;
proxy_store on;
proxy_store_access user:rw group:rw all:r;
proxy_temp_path /data/temp;
alias /data/www/;
}或者像这样:
location /images/ {
root /data/www;
error_page 404 = @fetch;
}
location @fetch {
internal;
proxy_pass http://backend;
proxy_store on;
proxy_store_access user:rw group:rw all:r;
proxy_temp_path /data/temp;
root /data/www;
}语 法:proxy_store_access users:permissions ...; 默认值:proxy_store_access user:rw; 上下文:http, server, location
设置新创建的文件和目录的访问权限,例如:
proxy_store_access user:rw group:rw all:r;
如果指定了任何组或所有访问权限,则可以省略用户权限。
语 法:proxy_temp_file_write_size size; 默认值:proxy_temp_file_write_size 8k|16k; 上下文:http, server, location
启用代理服务器对临时文件的响应缓冲时,限制一次写入临时文件的数据大小。默认情况下,大小受 proxy_buffer_size 和 proxy_buffers 指令设置的两个缓冲区的限制。临时文件的最大大小由 proxy_max_temp_file_size 指令设置。
语 法:proxy_temp_path path [level1 [level2 [level3]]]; 默认值:proxy_temp_path proxy_temp; 上下文:http, server, location
定义一个目录,用于存储临时文件和从代理服务器接收的数据。在指定目录下最多可以使用三级子目录层次结构。例如,在以下配置中:
proxy_temp_path /spool/nginx/proxy_temp 1 2;
临时文件可能如下所示:
/spool/nginx/proxy_temp/7/45/00000123457 See also the use_temp_path parameter of the proxy_cache_path directive.
ngx_http_proxy_module 模块支持嵌入式变量,这些变量可用于使用 proxy_set_header 指令组合头文件:
proxy_pass 指令中指定的代理服务器的名称和端口;
proxy_pass 指令中指定的代理服务器的端口,或协议的默认端口;
“X-Forwarded-For” 客户端请求标头字段,后面附加了 $remote_addr 变量,用逗号分隔。如果客户端请求标头中没有“X-Forwarded-For” 字段,则 $proxy_add_x_forwarded_for 变量等于 $remote_addr 变量。
