17370845950

Nginx配置的核心是运行时控制图谱，而非语法手册：全局块定进程身份与系统约束，events块控连接吞吐，http块定义功能中枢与默认行为，server/location块执行最终路由与响应，每行配置均绑定系统行为、网络状态及上下游契约。

nginx.conf 的核心结构不是“语法书”，而是运行时的控制图谱——它直接决定 Nginx 能否扛住流量、是否路由正确、日志能否定位问题。改错一个 worker_processes 可能让并发能力腰斩；漏写 include /etc/nginx/conf.d/*.conf; 会让所有站点配置失效；把 root 放在 http 块而非 server 或 location，则静态资源全 404。

全局块（main）：进程身份与系统级约束

这是整个 Nginx 的“启动参数层”，只生效一次，不继承、不可覆盖。

• user nginx; 必须匹配实际用户（如 CentOS 用 nginx，Ubuntu 用 www-data），否则 worker 进程无法读取证书或静态文件，报 Permission denied
• worker_processes auto; 比硬写数字更安全；但若启用了容器或 cgroup 限核，auto 可能误读宿主机 CPU 数，此时应显式设为 1 或通过 cat /sys/fs/cgroup/cpuset/cpuset.cpus 获取真实可用核数
• worker_rlimit_nofile 65535; 必须配 ulimit -n 65535（systemd 下需在 /etc/systemd/system/nginx.service 中加 LimitNOFILE=65535），否则 worker_connections 再高也卡在系统限制上

events 块：连接吞吐的底层开关

它不处理业务逻辑，但决定了每个 worker 能不能“接得住”请求。

• use epoll; 在 Linux 上必须显式声明，否则 fallback 到 select，高并发下性能断崖下跌
• worker_connections 1024; 是单个 worker 的最大连接数，总并发 ≈ worker_processes × worker_connections；若启用 HTTPS，每个连接消耗更多内存，建议调低至 512～768
• multi_accept on; 允许一个事件循环内收多个新连接，配合 epoll 可减少系统调用次数；但在突发流量下可能加剧负载不均，压测时建议关掉对比

http 块：功能中枢与默认行为定义

几乎所有 Web 功能都从这里派生，注意“继承规则”和“隐式覆盖”。

• sendfile on; 启用内核零拷贝，对大文件（如视频、安装包）传输至关重要；但若后端是 Docker 容器且挂载方式为 :ro，某些内核版本会触发 sendfile() failed (95: Operation not supported)，此时需关掉
• keepalive_timeout 65; 不只是超时时间，还影响连接复用率；API 类服务建议 15～30，静态资源站可设 600；值过大会导致 TIME_WAIT 连接堆积
• include /etc/nginx/conf.d/*.conf; 是关键分发点——default.conf 若被误删或未加载，整个 HTTP 服务就“没站点”；检查是否生效：执行 nginx -T 2>/dev/null | grep "server {" | wc -l，输出应 ≥1

server 与 location 块：路由与响应的最终执行者

这里出错最直观：404、502、跳转错误、CORS 失败，基本都卡在这两级。

• server_name example.com; 不填或填错会导致 Nginx 匹配到 default server（通常是第一个 server），返回错误站点内容；泛域名要写 server_name *.example.com;，不是 server_name example.com *;
• location /api/ { proxy_pass http://backend; } 末尾斜杠必须一致：proxy_pass 值带 /（如 http://backend/）才自动剥离 /api/；不带则原样转发，后端收不到预期路径
• try_files $uri $uri/ /index.html; 是 SPA 路由兜底，但仅对 GET 请求生效；若前端发 POST /login，Nginx 会尝试找 /login 文件——结果 405；此时应加 if ($request_method != GET) { return 405; } 或交由后端统一处理

Nginx 配置真正难的不是语法，而是每一行背后绑定的系统行为、网络状态和上下游契约。比如 error_log 级别设成 warn，线上出问题时连 502 的 upstream 地址都不会打出来；又比如 gzip on; 开着却没配 gzip_types，JSON 接口照样明文传。改配置前，先问一句：这一行，是在修 bug，还是在埋下一个只有凌晨三点才会爆发的雪崩点？