Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

浅析 Laravel 官方文档推荐的 Nginx 配置

Wi1dcard 的个人博客 / 15586 / 34 / 创建于 5年前 / 更新于 5年前

Laravel 5.8 文档 为准,浅析 Nginx 配置。可作为 轻松部署 Laravel 应用 的拓展阅读。

方便起见,我在注释中使用 [] 包裹引用配置中的值。

server {
    # 监听 HTTP 协议默认的 [80] 端口。
    listen 80;
    # 绑定主机名 [example.com]。
    server_name example.com;
    # 服务器站点根目录 [/example.com/public]。
    root /example.com/public;

    # 添加几条有关安全的响应头;与 Google+ 的配置类似,详情参见文末。
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Content-Type-Options "nosniff";

    # 站点默认页面;可指定多个,将顺序查找。
    # 例如,访问 http://example.com/ Nginx 将首先尝试「站点根目录/index.html」是否存在,不存在则继续尝试「站点根目录/index.htm」,以此类推...
    index index.html index.htm index.php;

    # 指定字符集为 UTF-8
    charset utf-8;

    # Laravel 默认重写规则;删除将导致 Laravel 路由失效且 Nginx 响应 404。
    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    # 关闭 [/favicon.ico] 和 [/robots.txt] 的访问日志。
    # 并且即使它们不存在,也不写入错误日志。
    location = /favicon.ico { access_log off; log_not_found off; }
    location = /robots.txt  { access_log off; log_not_found off; }

    # 将 [404] 错误交给 [/index.php] 处理,表示由 Laravel 渲染美观的错误页面。
    error_page 404 /index.php;

    # URI 符合正则表达式 [\.php$] 的请求将进入此段配置
    location ~ \.php$ {
        # 配置 FastCGI 服务地址,可以为 IP:端口,也可以为 Unix socket。
        fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
        # 配置 FastCGI 的主页为 index.php。
        fastcgi_index index.php;
        # 配置 FastCGI 参数 SCRIPT_FILENAME 为 $realpath_root$fastcgi_script_name。
        fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
        # 引用更多默认的 FastCGI 参数。
        include fastcgi_params;
    }
    # 通俗地说,以上配置将所有 URI 以 .php 结尾的请求,全部交给 PHP-FPM 处理。

    # 除符合正则表达式 [/\.(?!well-known).*] 之外的 URI,全部拒绝访问
    # 也就是说,拒绝公开以 [.] 开头的目录,[.well-known] 除外
    location ~ /\.(?!well-known).* {
        deny all;
    }
}

关于 X-Frame-OptionsX-XSS-ProtectionX-Content-Type-Options 可参考 这篇文章,自认为作者讲得还不错,通俗易懂并且是中文。

关于 .well-known 目录的详细解释,可参考 这篇问答(英文)。

laravel
本作品采用《CC 协议》,转载必须注明作者和本文链接
Former WinForm and PHP engineer. Now prefer Golang and Rust, and mainly working on DevSecOps and Kubernetes.
附言 1  ·  4年前

感谢 @soli,请大家注意这条留言:博客:浅析 Laravel 官方文档推荐的 Nginx 配置

本帖由系统于 5年前 自动加精
Wi1dcard
管理员 2.1k 声望
暂无个人描述~
《L03 构架 API 服务器》
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
《G01 Go 实战入门》
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 34

高认可度评论:

soli
10 声望 / 高级工程师 @ 保密

非常不错的文章。我也从中选了几条我没有但非常有用的配置添加到我的配置中了。

值得注意的是,文中给的关于 X-Frame-Options那篇文章中,第一条 Strict-Transport-Security,使用的时候要谨慎一些。即使用,也不要把 max-age 设置的太大。否则,万一配置有误或者需要修改配置,那你将无法让那些已经保存过 HSTS 的用户使用新的配置。

举个例子,比如你把 max-age 设置成一年。但半年的时候你的 HTTPS 证书到期了。由于某种原因你不想续费 HTTPS 证书了。所以,你修改配置文件,删除 Strict-Transport-Security 等配置,重新启用 HTTP 。
但那些已经保存了 HSTS 的用户在接下来的半年内,还是会直接访问你的 https 站点,并得到证书过期的红色警告,浏览器拒绝打开你的网站。即使用户手动输入 http 都不行。

4年前 评论
10
Wi1dcard
管理员 2.1k 声望

@overfalse

try_files 指令可让 Nginx 按照特定的顺序查找文件。按照以下配置为例:

try_files $uri $uri/ /index.php?$query_string;

假设你正在访问 /api/status?query=example

  1. Nginx 会首先尝试 $uri 是否存在(这是个 Nginx 内置变量,表示请求 URI),也就是 /网站根目录/api/status
  2. 如果 $uri 不存在,则尝试 $uri/,也就是 /网站根目录/api/status/
  3. 如果 $uri/ 也不存在,则最终尝试 /index.php?$query_string$query_string 也是 Nginx 的内置变量,表示 URI 内的查询字符串),也就是 /网站根目录/index.php?query=example
  4. 按照 Laravel 的目录结构,/网站根目录/index.php 是必定存在的,但如果该文件确实不存在,Nginx 将会返回 404。

需要注意的是,严格地说,/api/status/api/status/ 这两个 URI 并不指向同一个资源。同理,https://www.google.comhttps://www.google.com/ 也不等效。有兴趣可 Google trailing slash in uri 之类的关键词获取更多细节。

PS,ID 很不错😂。下次我改个 overnull

5年前 评论
oyghan 4年前
搞个overreturn啊哈哈
6
Wi1dcard
管理员 2.1k 声望

@晨读秀 正如 @molaifeng 所说,后者相比前者无需经过 TCP/IP。理想状态下,只有应用层的内存数据拷贝,所以相对来说资源占用小,但速度提升基本可以忽略(太小)。你可以 Google tcp/ip socket vs unix socket 来找到更多信息。

另外,Unix Socket 由于并不属于「网络通信协议」,而是一种「进程通讯机制」,因此有个不太常见的局限:无法跨机器使用。即使通过 NFS 等协议共享 Unix Socket 文件也无效。

5年前 评论
5
排序:
时间 投票
largezhou
课程读者 682 声望 / Ctrl+CV工 @ LZzzz

虽然这是一篇讲解 Nginx 配置的文章,但是却让我突然弄清楚了正则表达式中的 零宽断言,,,以前一直都看的云里雾里,就没管了,反正也很少用,,,

5年前 评论
Wi1dcard
管理员 2.1k 声望

@largezhou 哈哈,是的,最后的 /\.(?!well-known).* 便是断言,即仅匹配但不捕获,可以理解为一个判断条件。断言有很多种,这一种称作 否定前瞻断言(这是个不标准、不统一的称呼),也叫 Negative Lookahead(比较通用的叫法)。

5年前 评论
2
lovecn
187 声望

@Wi1dcard 向大佬学习

5年前 评论
晨读秀
课程读者 38 声望 / 无业游民 @ 自由职业

您好,请教一下

# 配置 FastCGI 服务地址,可以为 IP:端口,也可以为 Unix socket。
  fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;

这里讲到的 IP:端口 和 Unix socket 的使用有什么区别吗? 或者是利弊

5年前 评论
molaifeng
1 声望

@晨读秀 前者走的是 TCP/IP 协议栈,后者走的是 IPC,前者稳定些,具体可参考 PHP-FPM 与 Nginx 的通信机制总结

5年前 评论
Wi1dcard
管理员 2.1k 声望

@晨读秀 正如 @molaifeng 所说,后者相比前者无需经过 TCP/IP。理想状态下,只有应用层的内存数据拷贝,所以相对来说资源占用小,但速度提升基本可以忽略(太小)。你可以 Google tcp/ip socket vs unix socket 来找到更多信息。

另外,Unix Socket 由于并不属于「网络通信协议」,而是一种「进程通讯机制」,因此有个不太常见的局限:无法跨机器使用。即使通过 NFS 等协议共享 Unix Socket 文件也无效。

5年前 评论
5
晨读秀
课程读者 38 声望 / 无业游民 @ 自由职业

@Wi1dcard @molaifeng

多谢解惑! :pray:

5年前 评论
晨读秀
课程读者 38 声望 / 无业游民 @ 自由职业

您好,希望您有时间可以添加上 HTTPS 的配置。 :pray: @Wi1dcard

5年前 评论
Wi1dcard
管理员 2.1k 声望

@晨读秀 好的,没问题;已经列入计划中。

5年前 评论
晨读秀
课程读者 38 声望 / 无业游民 @ 自由职业

@Wi1dcard 多谢。 :pray:

5年前 评论
lmaster
课程读者 245 声望 / phper @ 泛爱之家

学习零宽断言.well-known
关于 tcp/ip socket vs unix socket 的比较,大多数都提的是 unix socket 性能好,但高并发有瓶颈,为什么那?

5年前 评论
Wi1dcard
管理员 2.1k 声望

@lmaster 关于 Unix Socket 的性能瓶颈还真没有听说过,给个链接?

5年前 评论
lmaster
课程读者 245 声望 / phper @ 泛爱之家

@Wi1dcard PHP-FPM 与 Nginx 的通信机制总结 ,百度上类似PHP-FPM 与 Nginx 的通信标题的博文里面多多少少都说unix socket高并发有瓶颈、不稳定,我也是对这个感觉很奇怪

5年前 评论
Wi1dcard
管理员 2.1k 声望

@lmaster 并不是 Unix Socket 不稳定,我猜是没有做好内核参数调优;可供参考的配置很多,例如:https://gist.github.com/voluntas/bc54c60aa...

百度的文章太浅显,容易误人子弟;搜娱乐还行,技术向还是用谷歌吧。

5年前 评论
1
overfalse
见习助教 34 声望

try_files $uri $uri/ /index.php?$query_string; 这段啥意思呢?

5年前 评论
沉默 4年前
感觉是伪静态
Wi1dcard
管理员 2.1k 声望

@overfalse

try_files 指令可让 Nginx 按照特定的顺序查找文件。按照以下配置为例:

try_files $uri $uri/ /index.php?$query_string;

假设你正在访问 /api/status?query=example

  1. Nginx 会首先尝试 $uri 是否存在(这是个 Nginx 内置变量,表示请求 URI),也就是 /网站根目录/api/status
  2. 如果 $uri 不存在,则尝试 $uri/,也就是 /网站根目录/api/status/
  3. 如果 $uri/ 也不存在,则最终尝试 /index.php?$query_string$query_string 也是 Nginx 的内置变量,表示 URI 内的查询字符串),也就是 /网站根目录/index.php?query=example
  4. 按照 Laravel 的目录结构,/网站根目录/index.php 是必定存在的,但如果该文件确实不存在,Nginx 将会返回 404。

需要注意的是,严格地说,/api/status/api/status/ 这两个 URI 并不指向同一个资源。同理,https://www.google.comhttps://www.google.com/ 也不等效。有兴趣可 Google trailing slash in uri 之类的关键词获取更多细节。

PS,ID 很不错😂。下次我改个 overnull

5年前 评论
oyghan 4年前
搞个overreturn啊哈哈
6
overfalse
见习助教 34 声望

@Wi1dcard 谢谢解答哇

5年前 评论
guiguoershao
1 声望

@晨读秀 https://www.mantis.vip/posts/2018-03-24-Ng... 这个文章看了你就明白了

4年前 评论
冰糕不冰
课程读者 33 声望

讲的非常好,特别是 Wi1dcard 回答问题真的是我见过最仔细的! 感谢

4年前 评论
Wi1dcard
管理员 2.1k 声望

@MarksGui 感谢支持。

4年前 评论
soli
10 声望 / 高级工程师 @ 保密

非常不错的文章。我也从中选了几条我没有但非常有用的配置添加到我的配置中了。

值得注意的是,文中给的关于 X-Frame-Options那篇文章中,第一条 Strict-Transport-Security,使用的时候要谨慎一些。即使用,也不要把 max-age 设置的太大。否则,万一配置有误或者需要修改配置,那你将无法让那些已经保存过 HSTS 的用户使用新的配置。

举个例子,比如你把 max-age 设置成一年。但半年的时候你的 HTTPS 证书到期了。由于某种原因你不想续费 HTTPS 证书了。所以,你修改配置文件,删除 Strict-Transport-Security 等配置,重新启用 HTTP 。
但那些已经保存了 HSTS 的用户在接下来的半年内,还是会直接访问你的 https 站点,并得到证书过期的红色警告,浏览器拒绝打开你的网站。即使用户手动输入 http 都不行。

4年前 评论
10
聪聆
18 声望 / EEC @ 乘风御上网络工作室

配置信息不错,但是现在基本上都是https了,可以借鉴其中几条

4年前 评论
Wi1dcard
管理员 2.1k 声望

@聪聆 HTTPS 和官方推荐的配置项不冲突。

4年前 评论
loveinalife
133 声望 / php @ phper

@晨读秀 两种配置分别对应着nginx和php-fpm之间的两种通信方式。

1.unix socket通信

fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;

2. tcp socket通信

fastcgi_pass   127.0.0.1:9000;

3.区别

由于 Unix socket 不需要经过网络协议栈,不需要打包拆包、计算校验和、维护序号和应答等,只是将应用层数据从一个进程拷贝到另一个进程。所以其效率比 tcp socket 的方式要高,可减少不必要的 tcp 开销。不过,unix socket 高并发时不稳定,连接数爆发时,会产生大量的长时缓存,在没有面向连接协议的支撑下,大数据包可能会直接出错不返回异常。而 tcp 这样的面向连接的协议,可以更好的保证通信的正确性和完整性。

4年前 评论
3
阿麦
见习助教 75 声望 / PHP @ 上海图凌信息科技有限公司

支持支持

4年前 评论
Benny
见习助教 5 声望

你好,读了你的文章,受益匪浅。 当前遇到了一个php-fpm的问题。php 版本 7.3.9 php-fpm版本 7.1.26,请求域名502。希望给写指导

file

4年前 评论
Wi1dcard
管理员 2.1k 声望

@Benny 502 Bad Gateway 一般是 Nginx 无法与上游通讯,在 Nginx 和 PHP-FPM 的场景下,上游就是 FPM 进程。所以建议你:

  1. 检查一下 PHP-FPM 的配置(/usr/local/etc/php/7.3/php-fpm.conf)看看监听的端口或 Unix Socket 路径是否正确。
  2. 确认 FPM 进程正在运行(ps aux | grep fpm),且已经监听对应端口(ls <UNIX_SOCKET_PATH> / telnet localhost <PORT>)。
  3. 确认 Nginx 配置的 FPM 端口或 Unix Socket 路径正确。
4年前 评论
Benny
见习助教 5 声望

file

file
现在遇到的问题是,访问域名502。不知道是不是FPM哪里配置出错了 。

4年前 评论
Wi1dcard
管理员 2.1k 声望

@Benny 如果你在用 Valet 的话,建议你直接全部卸载重装。另外,ping 并不能说明问题。

4年前 评论
Benny
见习助教 5 声望

执行这个命令 tail -n 10 /usr/local/var/log/php-fpm.log发现 log文件一直在写入日志
file

4年前 评论
Wi1dcard
管理员 2.1k 声望

@Benny
看起来有可能你安装了多个 PHP-FPM。
file

4年前 评论
Benny 4年前
重装Mac 系统, brew install php 跟着文档教程 重新走了一遍,现在还是遇到同样的问题。 环境 mac 10.14.6 valet 2.5.0 PHP 7.2.23 nginx/1.17.3 lar6.me 可以 ping 通。 但是浏览器访问的时 502
Benny
见习助教 5 声望

偶然发现 当我关了v-p-n , 就能够访问了 。不清楚为什么 ; 开着v-p-n ,执行valet share 可以访问

4年前 评论
沉默
2 声望

很可以,支持!

4年前 评论
郎中航
课程读者 187 声望

很好的文章,之前还点赞过,就近收藏夹吃灰了。 最近又想着看下源码,看源码之前想说在了解下laravel的nginx配置,gogo一搜索,就看到这个文章。 内容真的不错,评论下讨论也行。

2年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
Wi1dcard
未填写
文章
67
粉丝
590
喜欢
1235
收藏
1133
排名:13
访问:32.4 万
私信
所有博文
文章归档
2 篇 2021 年 2 月 7 篇 2020 年 4 月 1 篇 2020 年 1 月 2 篇 2019 年 9 月 14 篇 2019 年 6 月 1 篇 2019 年 5 月 1 篇 2019 年 4 月 21 篇 2019 年 3 月 4 篇 2019 年 2 月 14 篇 2019 年 1 月
最新文章 最受欢迎
3年前 我的工作方法 3年前 通俗解释反伪造邮件机制 SPF、DKIM 和 DMARC 3年前 K8s 下的应用管理 — 私有 Helm Chart 的创建与维护 3年前 K8s 下的 TLS 证书管理 — 了解 Cert-Manager 3年前 K8s 下的应用管理 — 了解 Helmfile
202 浅析 Laravel 官方文档推荐的 Nginx 配置 105 (译)别再使用 JWT 作为 Session 系统!问题重重且很危险。 98 实用 Docker 速查大全:快速认识 Docker 的概念和使用方法 80 Laravel 5.7 模型常用属性 68 命令行神器 - tldr 和 fuck
博客标签
php
2
 laravel
3
 jwt
1
 logging
1
 phar
1
 hex
1
 model
1
 eloquent
1
 terminal
2
 cli
4
 curl
1
 http
1
 mongodb
1
 docker
3
 docker-compose
1
 testing
1
 proxy
1
 sql
1
 editor
1
 memory
1
 session
1
 weather
1
 markdown
1
 annotation
1
 Viewer
1
 git
1
 lint
1
 dictionary
1
 formatter
1
 devops
6
 translate
1
 disk
1
 tls
1
 monitoring
1
 properties
1
 load
1
 prometheus
1
 spf
1
 CPU
1
 certificate
1
 highlighting
1
 stateless
1
 dkim
1
 json-web-token
1
 packaging
1
 travis-ci
2
 snippet
1
 cheatsheet
1
 helm
3
 laravel-passport
1
 gitlab-ci
1
 dmarc
1
 macos
2
 dev-tool
1
 grafana
1
 blame
1
 terminal table
1
 k8s
1
 simulate
1
 轻松部署 Laravel 应用
18
 CI/CD
1
 surge
1
 k3s
1
 cert-manager
1
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消