nginx †

• http://nginx.org/ja/

  nginx [えんじんえっくす] は Igor Sysoev によって作られた HTTP とリバースプロキシのサーバで、メールプロキシサーバでもあります。Rambler (RamblerMedia.com) を含むロシアの多くの高負荷サイトで５年以上も動いています。Netcraft によると、nginx は 2010 年 4 月時点で 4.70% の人気サイトでサーバーとして、もしくはプロキシとして利用されています。成功例としては FastMail.FM や Wordpress.com があります。

• 記事
  • Nginxへの変更に伴うリバースプロキシのテストの改善 - クックパッド開発者ブログ

• インフラエンジニアway: nginxアーカイブ

---

ngx-smart-ratelimit: リクエスト数を絞る †

• 記事
  • NginxのRatelimit発動時に、安定したアクセスを提供するngx-smart-ratelimitを開発しました | ten-snapon.com

---

動的モジュール †

nginx-1.9.11以降では動的モジュールがサポートされた

• 記事
  • nginxの動的モジュールの最新状況（2017年2月版） - インフラエンジニアway - Powered by HEARTBEATS

---

モニタリング †

• vozlt/nginx-module-vts: Nginx virtual host traffic status module
  • 無償
  • json, jsonp, html形式で出力可能
  • かなり細かく、response status等も取得できる。

• Module ngx_http_stub_status_module
  • 無償だが取得項目が少ない
  • プログラムから利用しにくい形式

• Module ngx_http_status_module
  • Live Activity Monitoring of NGINX Plus サンプル設定
  • NGINX Plus商用ライセンスが必要。US$2,500 / instance / year
  • json形式で出力可能

---

headers-more-nginx-module: 指定のレスポンスヘッダを消す †

• 記事
  • [Nginx] レスポンスヘッダを限りなく消す | okame-log

---

構文チェック †

sudo service nginx configtest
# または
sudo nginx -t -c /etc/nginx/nginx.conf

---

古いバージョン †

• v1.8.0以前のパッケージを利用したい場合
  • http://nginx.org/packages/old/centos/6/x86_64/

---

Windows版 †

• nginx for Windows
• 起動: start.bat

  start nginx

• 終了: stop.bat

  nginx -s stop

---

apacheのgraceful相当の再起動 †

apacheのgraceful相当の再起動方法があるようだ。リクエストを受けつつ、設定を変更して再起動する。

• CentOS6.x

  sudo /sbin/service nginx upgrade

• 記事
  • nginxの優雅な再起動 LINE Engineers' Blog

---

proxy_passに直接ホスト名を指定すると、DNS名前解決が一度しか行われない †

• 記事
  • Nginxでproxy_passにホスト名を書いた時の名前解決のタイミング - (ひ)メモ
  • ワンズブレインエンジニアブログ: nginx で、no resolver defined to resolve エラーがでる場合

• nginx-1.4.6-1.el6でも発生
• proxy.example.comのIPが変わると動作しなくなる。nginxの再起動が必要

  location / {
    proxy_pass http://proxy.example.com:80;
  }

• 変数にすると名前解決してくれる。resolverはIPアドレスが必要。Google Public DNSを指定する場合は以下。もしくはdnsmasqをインストールして127.0.0.1を指定。

  location / {
    resolver 8.8.8.8 8.8.4.4;
    set $proxy "proxy.example.com";
    proxy_pass http://$proxy:80;
  }

---

レスポンスヘッダのnginx versionを隠す †

http {
    server_tokens off;
}

---

http headerを消す †

• コンパイルオプションによって使えるmoduleが違うので確認

  nginx -v

• HttpProxyModule - Nginx Community proxyの場合

  proxy_hide_header X-Forwarded-For;

• HttpHeadersMoreModule - Nginx Community module追加してコンパイルが必要

  more_clear_headers 'Content-Type';

---

SSL †

• 記事
  • nginx - httpsだからというだけで安全？調べたら怖くなってきたSSLの話!？ - Qiita

---

SNI:1台のホストで複数のSSL証明書を使う †

• 記事
  • これからドンドン使われていくSNIについて – Tatsuya Kaneko – Medium

---

SSLv3無効化 †

• 記事
  • SSL Security Policy Table - Elastic Load Balancing
  • nginx - httpsだからというだけで安全？調べたら怖くなってきたSSLの話!？ - Qiita チェック方法等参考になった

• Mozilla SSL Configuration Generator Apache, Nginx, HAProxy, AWS ELBのバージョンを指定すると安全な設定を出力してくれる

• ELB Security Policy-2015-05 と同じ設定

  ssl on;
  ssl_prefer_server_ciphers on;
  ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:DES-CBC3-SHA';

---

WebSocket †

• nginx 1.3以上対応
• WebSocket proxying

• リバースプロキシとして利用する例。
  • デフォルトだと60秒でセッションが切れるため、proxy_read_timeoutで秒数を指定する

        server {
            listen       80;
            server_name  localhost;
    
            location / {
                proxy_pass http://localhost:3000/;
                proxy_http_version 1.1;
                proxy_set_header Upgrade $http_upgrade;
                proxy_set_header Connection "upgrade";
                proxy_read_timeout 300; # default: 60 seconds
            }

---

ロードバランサ †

• サンプル
  • LoadBalanceExample Simple Load Balancing upstream で重み付けをしている

• 記事
  • nginxでロードバランサー。httpとhttpsの両方で使う - 車輪の再発明

チューニング †

• 記事
  • Nginx "how to" - Fast and Secure Web Server

• 通常は"auto"でCPUのコア数が設定される。SSLや圧縮を使用する時は例外で、倍の数のworkerを使った方が良い。

  vi /etc/nginx/nginx.conf
  ----
  worker_processes  auto;
  ----

---

HttpRealipModule †

• http://wiki.nginx.org/HttpRealipModule
• リバースプロキシや、Amazon ELB等でアクセス元IPが、リバースプロキシやロードバランサになってしまう。
• HTTPヘッダに 「X-Forwarded-For」がある場合、これをアクセス元IPに置換するモジュール

• Amazon ELBの場合

  http {
      set_real_ip_from   10.0.0.0/8;
      real_ip_header     X-Forwarded-For;
  }

• アクセス制限をしたい場合は "location セクション"等で指定できる

  location / {
      deny xxx.xxx.xxx.xxx;
  }

---

インストール †

• CentOS6.3 x86_64

• リポジトリの追加
• nginx: download からOSにあったパッケージをダウンロードできる

  cd /usr/local/src
  wget http://nginx.org/packages/centos/6/noarch/RPMS/nginx-release-centos-6-0.el6.ngx.noarch.rpm
  rpm -ivh nginx-release-centos-6-0.el6.ngx.noarch.rpm

• nginxのインストール

  yum install nginx

• 確認

  rpm -qa | grep nginx
  
  nginx-1.2.3-1.el6.ngx.x86_64
  nginx-release-centos-6-0.el6.ngx.noarch