クラウド環境での Nginx の安全な導入とメンテナンス

クラウド コンピューティングの発展に伴い、クラウド環境に展開されるアプリケーションやサービスがますます増えています。 Nginx は、高性能 Web サーバーおよびリバース プロキシ サーバーとして、クラウド環境でますます人気が高まっています。この記事では、クラウド環境における Nginx の安全な導入と保守について紹介します。

1. Nginx セキュリティ構成

クラウド環境では、サーバーはより広い攻撃対象領域に直面するため、セキュリティ構成は特に重要です。一般的な Nginx セキュリティ構成をいくつか示します。

1. DDoS 攻撃を防ぐ

DDoS 攻撃は一般的なネットワーク攻撃であり、Nginx のlimit_conn モジュールとlimit_req モジュールを使用して防ぐことができます。このうち、limit_conn は接続数を制御でき、limit_req はリクエストレートを制御できます。これら 2 つのモジュールの構成は次のとおりです:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m; 
    limit_conn addr 10; # 对每个IP地址限制10个连接数 
    
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; 
    limit_req zone=one burst=5 nodelay;
    # 每秒只允许处理1个请求，最多允许5个请求在等待队列中等待
}

2. 安全でない HTTP メソッドを無効にする

一部の HTTP リクエスト メソッド (DELETE、TRACE、CONNECT など) は安全性が低くなります。以下に示すように、Nginx の limit_exc ディレクティブを使用して、安全でない HTTP メソッドの使用を制限できます:

location / {
    limit_except GET POST {
        deny all;
    }
}

3. サーバー情報の漏洩を禁止する

攻撃者はサーバー情報を取得することでサーバーの脆弱性や弱点を突き止めることができます。 , そのため、サーバー情報の漏洩を防ぐことも重要なセキュリティ構成です。以下に示すように、Nginx の server_tokens ディレクティブを使用して、HTTP 応答ヘッダーにサーバー情報を表示するかどうかを制御できます:

http {
    server_tokens off; # 禁止在HTTP响应头中显示服务器信息
}

2. Nginx パフォーマンスの最適化

クラウド環境の Web アプリケーションは、通常、同時リクエストが多数あるため、パフォーマンスの最適化も重要なタスクです。ここでは、一般的な Nginx パフォーマンス最適化方法をいくつか紹介します。

1. キャッシュを有効にする

画像、CSS、JS などの一部の静的リソースでは、Nginx のキャッシュを使用してアクセス速度を向上させることができます。以下に示すように、Nginx の proxy_cache_path ディレクティブを使用してキャッシュ パスとキャッシュ サイズを設定できます:

http {
    proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m inactive=60m;
    
    server {
        location /assets/ {
            proxy_cache my_cache;
            proxy_pass http://backend/;
        }
    }
}

2. Gzip 圧縮を使用する

Gzip 圧縮により、ネットワーク上で送信されるデータ量が削減され、パフォーマンスが向上します。ウェブサイトのアクセス速度。以下に示すように、Nginx の gzip コマンドを使用して Gzip 圧縮を有効にすることができます:

http {
    gzip on;
    gzip_comp_level 6;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
}

3. スケジューリング アルゴリズムの構成

Nginx をロード バランサーとして使用する場合、スケジューリング アルゴリズムの構成も重要ですタスク。 Nginx は、ラウンド ロビン、最小接続、IP ハッシュなどのさまざまなスケジューリング アルゴリズムを提供します。以下に示すように、Nginx のアップストリーム ブロックを使用してスケジューリング アルゴリズムを構成できます:

http {
    upstream backend {
        server backend1;
        server backend2;
        
        # 使用IP Hash调度算法
        ip_hash;
    }
}

3. Nginx のログ管理

クラウド環境では、ログ管理も非常に重要です。 Nginx は、access_log、error_log などを含むさまざまなログ オプションを提供します。これらのログ オプションを使用して、サーバー アクセス、エラー メッセージなどを記録できます。ここでは、一般的に使用されるログ オプションをいくつか示します。

1.access_log

access_log は、各リクエストのアクセス状況を記録するログ オプションです。以下に示すように、Nginx の access_log ディレクティブを使用してアクセス ログを有効にすることができます。

http {
    access_log /var/log/nginx/access.log;
}

2.error_log

error_log は、エラー情報を記録するためのログ オプションです。以下に示すように、Nginx の error_log コマンドを使用してエラー ログを有効にすることができます:

http {
    error_log /var/log/nginx/error.log;
}

3. ログの切断

ログ ファイルが大きすぎる場合は、Nginx のログ切断機能を使用してログ ファイルを分割できます。ログ ファイルを管理しやすくします。以下に示すように、logrotate ツールを使用してログ ファイルを定期的に切り取ることができます。

/var/log/nginx/*.log {
    daily
    missingok
    rotate 52
    compress
    delaycompress
    notifempty
    create 0640 nginx root
    sharedscripts
    postrotate
        /usr/sbin/nginx -s reopen
    endscript
}

上記は、クラウド環境での Nginx の安全な展開とメンテナンス方法の紹介です。もちろん、セキュリティ構成、パフォーマンスの最適化、ログ管理方法は他にもたくさんあり、実際の状況に応じて構成および最適化する必要があります。この記事が皆様のお役に立てれば幸いです。

以上がクラウド環境での Nginx の安全な導入とメンテナンスの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。