Alpine Linux 极速部署 Nginx Web 服务器完整配置指南与常见问题排查

引言：为什么选择 Alpine Linux 与 Nginx？

在现代 Web 服务器部署中，Alpine Linux 以其轻量级、安全性和高效性著称。作为一个基于 musl libc 和 BusyBox 的 Linux 发行版，Alpine 的基础镜像大小通常只有 5MB 左右，相比 Ubuntu 或 CentOS 的数百 MB 体积，它能显著减少资源消耗、缩短部署时间并降低安全攻击面。

Nginx 则是高性能 Web 服务器、反向代理和负载均衡器的行业标准。它以事件驱动架构闻名，能够以极低的内存占用处理数万并发连接。将 Alpine Linux 与 Nginx 结合，可以构建出极速、轻量且稳定的 Web 服务环境，特别适合容器化部署（如 Docker）、边缘计算和资源受限的 VPS 环境。

本文将提供从零开始的完整部署指南，包括安装、基础配置、性能优化、HTTPS 部署以及常见问题排查，帮助你快速搭建生产级 Nginx 服务。

1. 环境准备与 Alpine Linux 安装

1.1 系统要求

支持架构：x86_64、ARM、ARM64、PPC64LE、s390x
最小资源：128MB 内存，512MB 磁盘空间（实际运行仅需约 20MB 内存）
网络：能够访问互联网以下载软件包

1.2 安装 Alpine Linux

方式一：物理机/虚拟机安装

下载 Alpine ISO：访问 Alpine 官网下载 alpine-<version>-x86_64.iso

启动安装：

# 启动后登录（默认 root 用户，无密码） # 运行 setup-alpine 脚本 setup-alpine

关键步骤：
- 选择键盘布局：us
- 主机名：alpine-nginx
- 网络接口：选择你的网卡（如 eth0）
- 配置 IP：选择 dhcp 或手动输入静态 IP
- 设置 root 密码：务必设置强密码
- 时区：Asia/Shanghai（根据实际地区）
- 选择镜像源：选择距离你最近的 mirror（如阿里云、清华源）
- 设置普通用户：建议创建一个普通用户用于日常管理
- 选择 ssh 服务器：openssh
- 磁盘选择：sys 安装到磁盘

方式二：Docker 快速测试

# 拉取 Alpine 镜像并启动容器 docker run -d --name alpine-nginx -p 80:80 alpine:latest tail -f /dev/null # 进入容器 docker exec -it alpine-nginx sh

1.3 初始化系统配置

登录系统后，立即执行以下初始化操作：

# 更新软件包索引 apk update # 升级已安装的包 apk upgrade # 安装必备工具（可选，但推荐） apk add vim curl wget bash tree # 配置镜像源（如果速度慢，使用国内源） echo "https://mirrors.aliyun.com/alpine/v3.18/main" > /etc/apk/repositories echo "https://mirrors.aliyun.com/alpine/v3.18/community" >> /etc/apk/repositories apk update

2. Nginx 安装与基础配置

2.1 安装 Nginx

Alpine 的仓库中提供了 Nginx 包，支持多种模块：

# 安装 Nginx（稳定版） apk add nginx # 安装 Nginx 与常用模块（推荐） apk add nginx nginx-mod-http-geoip nginx-mod-http-image-filter nginx-mod-http-perl nginx-mod-http-xslt-filter nginx-mod-mail nginx-mod-stream # 验证安装 nginx -v # 输出：nginx version: nginx/1.24.0

2.2 启动 Nginx 服务

Alpine 使用 OpenRC 作为 init 系统：

# 添加 nginx 到开机启动 rc-update add nginx default # 启动 nginx rc-service nginx start # 检查状态 rc-service nginx status # 查看进程 ps aux | grep nginx

2.3 防火墙配置

Alpine 默认使用 iptables，但建议使用 ufw 或手动配置：

# 安装 iptables（如果未安装） apk add iptables # 允许 HTTP (80) 和 HTTPS (443) 端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 保存规则（需要安装 iptables-persistent） apk add iptables-persistent iptables-save > /etc/iptables/rules.v4

3. Nginx 核心配置详解

3.1 配置文件结构

Alpine 的 Nginx 配置文件位于：

主配置：/etc/nginx/nginx.conf
站点配置：/etc/nginx/conf.d/
默认站点：/etc/nginx/conf.d/default.conf
SSL 证书：/etc/nginx/ssl/（需手动创建）

3.2 主配置文件优化

编辑 /etc/nginx/nginx.conf：

# 用户和组（生产环境建议使用非 root） user nginx; # 工作进程数（建议 = CPU 核心数） worker_processes auto; # 错误日志 error_log /var/log/nginx/error.log warn; # PID 文件 pid /var/run/nginx.pid; # 事件驱动配置 events { # 单个进程最大连接数 worker_connections 1024; # 使用 epoll（Linux 2.6+） use epoll; # 接受新连接同时打开的连接数（优化） multi_accept on; } http { # 包含文件类型定义 include /etc/nginx/mime.types; default_type application/octet-stream; # 日志格式 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; # 性能优化核心参数 sendfile on; # 启用高效文件传输 tcp_nopush on; # 推送响应头 tcp_nodelay on; # 禁用 Nagle 算法 keepalive_timeout 65; # 长连接超时 keepalive_requests 100; # 单个连接最大请求数 # Gzip 压缩 gzip on; gzip_vary on; gzip_min_length 1024; gzip_proxied any; gzip_comp_level 6; gzip_types text/plain text/css text/xml text/javascript application/javascript application/xml+rss application/json; # 安全相关 server_tokens off; # 隐藏 Nginx 版本号 client_max_body_size 20M; # 最大上传文件大小 # 包含站点配置 include /etc/nginx/conf.d/*.conf; }

3.3 默认站点配置

编辑 /etc/nginx/conf.d/default.conf：

server { listen 80; listen [::]:80; # IPv6 支持 server_name _; # 匹配所有域名 # 根目录 root /var/www/html; index index.html index.htm index.php; # 访问日志 access_log /var/log/nginx/default.access.log main; # 主页配置 location / { try_files $uri $uri/ =404; } # 静态文件缓存 location ~* .(jpg|jpeg|png|gif|ico|css|js)$ { expires 30d; add_header Cache-Control "public, immutable"; } # PHP 处理（如果需要） location ~ .php$ { fastcgi_pass unix:/var/run/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } # 禁止访问隐藏文件 location ~ /. { deny all; } }

3.4 创建测试页面

# 创建根目录 mkdir -p /var/www/html # 创建测试页面 cat > /var/www/html/index.html << 'EOF' <!DOCTYPE html> <html> <head> <title>Alpine Nginx Test</title> <style> body { font-family: sans-serif; text-align: center; padding: 50px; } h1 { color: #007a00; } </style> </head> <body> <h1>🎉 Alpine Linux + Nginx 运行成功！</h1> <p>服务器时间: <span id="time"></span></p> <script> document.getElementById('time').textContent = new Date().toLocaleString(); </script> </body> </html> EOF # 设置权限 chown -R nginx:nginx /var/www/html chmod -R 755 /var/www/html

3.5 重载配置

# 测试配置语法 nginx -t # 重载配置（不中断服务） nginx -s reload # 或者使用 OpenRC rc-service nginx reload

3.6 验证部署

在浏览器访问 http://<你的服务器IP>，应该看到测试页面。或者使用命令行：

curl -I http://localhost # HTTP/1.1 200 OK # Server: nginx/1.24.0

4. 多站点配置（虚拟主机）

4.1 创建多站点配置

假设你要托管两个站点：site1.example.com 和 site2.example.com

# 创建站点根目录 mkdir -p /var/www/site1 /var/www/site2 # 创建站点1配置 cat > /etc/nginx/conf.d/site1.conf << 'EOF' server { listen 80; server_name site1.example.com www.site1.example.com; root /var/www/site1; index index.html; access_log /var/log/nginx/site1.access.log main; error_log /var/log/nginx/site1.error.log warn; location / { try_files $uri $uri/ =404; } # API 代理示例 location /api/ { proxy_pass http://localhost:3000/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } EOF # 创建站点2配置 cat > /etc/nginx/conf.d/site2.conf << 'EOF' server { listen 80; server_name site2.example.com www.site2.example.com; root /var/www/site2; index index.html; access_log /var/log/nginx/site2.access.log main; error_log /var/log/nginx/site2.error.log warn; location / { try_files $uri $uri/ =404; } # WordPress 固定链接支持 location / { try_files $uri $uri/ /index.php?$args; } location ~ .php$ { fastcgi_pass unix:/var/run/php-fpm.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } } EOF # 创建测试页面 echo "<h1>Site 1</h1>" > /var/www/site1/index.html echo "<h1>Site 2</h1>" > /var/www/site2/index.html # 设置权限 chown -R nginx:nginx /var/www/site1 /var/www/site2 # 重载 Nginx nginx -t && nginx -s reload

4.2 本地测试（修改 hosts 文件）

在客户端电脑修改 /etc/hosts（Linux/macOS）或 C:WindowsSystem32driversetchosts（Windows）：

192.168.1.100 site1.example.com 192.168.1.100 site2.example.com

5. HTTPS 与 SSL 证书配置

5.1 使用 Let’s Encrypt 免费证书（推荐）

安装 Certbot 并配置自动续期：

# 安装 Certbot 和 Nginx 插件 apk add certbot certbot-nginx # 获取证书（自动修改 Nginx 配置） certbot --nginx -d site1.example.com -d www.site1.example.com # 手动获取证书（如果自动配置失败） certbot certonly --webroot -w /var/www/site1 -d site1.example.com # 设置自动续期（cron 任务） echo "0 12 * * * certbot renew --quiet" | crontab - - # 检查续期测试 certbot renew --dry-run

5.2 手动配置 SSL（自签名或商业证书）

# 创建 SSL 目录 mkdir -p /etc/nginx/ssl # 生成自签名证书（测试用） openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/site1.key -out /etc/nginx/ssl/site1.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=Example/CN=site1.example.com" # 创建 SSL 配置模板 cat > /etc/nginx/conf.d/site1-ssl.conf << 'EOF' server { listen 443 ssl http2; server_name site1.example.com www.site1.example.com; # SSL 证书路径 ssl_certificate /etc/nginx/ssl/site1.crt; ssl_certificate_key /etc/nginx/ssl/site1.key; # SSL 安全配置（Mozilla 推荐） ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 安全头 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; root /var/www/site1; index index.html; location / { try_files $uri $uri/ =404; } } # HTTP 重定向到 HTTPS server { listen 80; server_name site1.example.com www.site1.example.com; return 301 https://$server_name$request_uri; } EOF # 重载配置 nginx -t && nginx -s reload

5.3 SSL 配置验证

# 测试 SSL 连接 curl -I https://site1.example.com # 使用 SSL Labs 测试 # 访问 https://www.ssllabs.com/ssltest/analyze.html?d=site1.example.com

6. 性能优化与安全加固

6.1 进程与连接优化

# 在 http 块中添加 http { # 进程绑定 CPU（多核优化） worker_cpu_affinity auto; # 文件描述符限制（需系统配合） worker_rlimit_nofile 65535; # 事件块优化 events { worker_connections 4096; use epoll; multi_accept on; } # Gzip 高级配置 gzip on; gzip_vary on; gzip_min_length 1024; gzip_comp_level 6; gzip_types text/plain text/css text/xml text/javascript application/javascript application/xml+rss application/atom+xml image/svg+xml; # 缓存配置 open_file_cache max=1000 inactive=20s; open_file_cache_valid 30s; open_file_cache_min_uses 2; open_file_cache_errors on; }

6.2 安全加固

# 在 server 块中添加 server { # 隐藏 Nginx 版本 server_tokens off; # 安全头 add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header X-XSS-Protection "1; mode=block" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; # 限制请求体大小 client_max_body_size 20M; client_body_buffer_size 1M; client_header_buffer_size 1k; large_client_header_buffers 4 8k; # 限制请求方法 if ($request_method !~ ^(GET|HEAD|POST|PUT|DELETE|OPTIONS)$) { return 405; } # 禁止访问隐藏文件 location ~ /. { deny all; access_log off; log_not_found off; } # 禁止访问备份文件 location ~* .(bak|conf|sql|fla|psd|log|tmp)$ { deny all; } # 限制 IP 访问频率（防暴力破解） limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s; location /login { limit_req zone=login burst=5 nodelay; # ... 其他配置 } }

6.3 系统级优化

# 编辑 sysctl.conf 优化网络 cat >> /etc/sysctl.conf << 'EOF' # 网络连接优化 net.core.somaxconn = 65535 net.ipv4.tcp_max_syn_backlog = 65535 net.ipv4.ip_local_port_range = 1024 65535 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_fin_timeout = 15 # 文件系统优化 fs.file-max = 2097152 fs.nr_open = 2097152 EOF # 应用 sysctl 设置 sysctl -p # 修改用户进程限制 echo "* soft nofile 65535" >> /etc/security/limits.conf echo "* hard nofile 65535" >> /etc/security/limits.conf

7. 常见问题排查

7.1 Nginx 无法启动

症状：rc-service nginx start 失败或无响应

排查步骤：

# 1. 检查配置语法 nginx -t # 如果输出错误，根据提示修改配置文件 # 2. 查看错误日志 tail -f /var/log/nginx/error.log # 3. 检查端口占用 netstat -tulpn | grep :80 # 如果被占用，停止占用进程或修改 Nginx 监听端口 # 4. 检查权限 ls -la /var/www/html # 确保 nginx 用户有读取权限 # 5. 检查 SELinux/AppArmor（Alpine 默认无，但需注意） # Alpine 使用 grsecurity/PaX，但通常不影响 Nginx

7.2 502 Bad Gateway

原因：后端服务（如 PHP-FPM）未运行或配置错误

解决方案：

# 1. 检查 PHP-FPM 状态 rc-service php-fpm status # 如果未安装：apk add php82-fpm # 2. 检查 socket 文件 ls -la /var/run/php-fpm.sock # 如果不存在，检查 php-fpm 配置 # 3. 检查 fastcgi 配置 # 确保 nginx.conf 中的 fastcgi_pass 与 php-fpm 配置一致 # 4. 查看 PHP-FPM 日志 tail -f /var/log/php82-fpm.log # 5. 临时测试：使用 TCP 连接 # 在 php-fpm.conf 中改为 listen = 127.0.0.1:9000 # 在 nginx 中改为 fastcgi_pass 127.0.0.1:9000;

7.3 403 Forbidden

原因：权限不足或索引文件缺失

解决方案：

# 1. 检查文件权限 ls -la /var/www/html # 确保 nginx 用户有读取权限 chown -R nginx:nginx /var/www/html chmod -R 755 /var/www/html # 2. 检查索引文件 ls /var/www/html/index.* # 确保 index.html 或 index.php 存在 # 3. 检查 location 块配置 # 确保没有 deny all; 指令 # 4. 检查 root 路径 # 确保 root 指令路径正确

7.4 404 Not Found

原因：try_files 配置错误或文件不存在

解决方案：

# 1. 检查文件是否存在 ls /var/www/html/your-file # 2. 检查 try_files 配置 # 错误示例：try_files $uri $uri/ /index.html; # 正确示例：try_files $uri $uri/ =404; # 3. 检查 location 匹配 # 确保 location 块没有覆盖其他规则 # 4. 查看访问日志 tail -f /var/log/nginx/access.log # 分析请求路径是否正确

7.5 性能问题（高 CPU/内存）

症状：服务器响应慢，资源占用高

排查步骤：

# 1. 检查进程数 ps aux | grep nginx | wc -l # 理论值 = worker_processes + 1（master） # 2. 检查连接数 netstat -an | grep :80 | wc -l # 3. 分析日志 awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -20 # 查看是否有异常 IP 高频访问 # 4. 检查慢查询（如果涉及后端） # 在 location 中添加： proxy_connect_timeout 5s; proxy_send_timeout 10s; proxy_read_timeout 10s; # 5. 使用 top/htop 监控 top -p $(pgrep -f nginx | tr 'n' ',' | sed 's/,$//')

7.6 SSL 证书问题

症状：浏览器提示证书不安全或过期

解决方案：

# 1. 检查证书有效期 openssl x509 -in /etc/nginx/ssl/site1.crt -noout -dates # 2. 检查证书链 openssl verify -CAfile /etc/nginx/ssl/chain.crt /etc/nginx/ssl/site1.crt # 3. 检查配置 nginx -t # 确保证书路径正确 # 4. 手动续期 Let's Encrypt certbot renew --force-renewal # 5. 检查防火墙 # 确保 443 端口开放 iptables -L | grep 443

7.7 Alpine 特定问题

问题：rc-service nginx start 报错 command not found

解决方案：

# 安装 OpenRC（如果未安装） apk add openrc # 创建必要目录 mkdir -p /var/run/nginx mkdir -p /var/log/nginx # 设置权限 chown nginx:nginx /var/run/nginx chown nginx:nginx /var/log/nginx

问题：apk add nginx 失败，提示找不到包

解决方案：

# 更新仓库索引 apk update # 检查仓库配置 cat /etc/apk/repositories # 确保包含 main 和 community 仓库 # 如果使用 edge 版本，可能需要切换到稳定版 # 编辑 /etc/apk/repositories，将 edge 改为 v3.18

8. 监控与维护

8.1 日志轮转

创建 /etc/logrotate.d/nginx：

cat > /etc/logrotate.d/nginx << 'EOF' /var/log/nginx/*.log { daily missingok rotate 52 compress delaycompress notifempty create 640 nginx nginx sharedscripts postrotate if [ -f /var/run/nginx.pid ]; then kill -USR1 $(cat /var/run/nginx.pid) fi endscript } EOF # 安装 logrotate apk add logrotate # 测试轮转 logrotate -f /etc/logrotate.d/nginx

8.2 健康检查脚本

创建 /usr/local/bin/nginx-health.sh：

#!/bin/bash # Nginx 健康检查脚本 URL="http://localhost" TIMEOUT=5 # 检查进程 if ! pgrep -x nginx > /dev/null; then echo "CRITICAL: Nginx 进程未运行" exit 2 fi # 检查 HTTP 响应 HTTP_CODE=$(curl -s -o /dev/null -w "%{http_code}" --max-time $TIMEOUT $URL) if [ "$HTTP_CODE" = "200" ]; then echo "OK: Nginx 运行正常 (HTTP $HTTP_CODE)" exit 0 else echo "CRITICAL: HTTP 响应异常 (HTTP $HTTP_CODE)" exit 2 fi

8.3 自动化维护脚本

# 创建维护脚本 /usr/local/bin/nginx-maintain.sh #!/bin/bash # Nginx 自动化维护脚本 # 清理旧日志（保留 30 天） find /var/log/nginx -name "*.log.*" -mtime +30 -delete # 检查磁盘空间 DISK_USAGE=$(df /var/log | awk 'NR==2 {print $5}' | sed 's/%//') if [ $DISK_USAGE -gt 80 ]; then echo "警告：磁盘使用率超过 80%" | mail -s "Nginx 服务器警告" admin@example.com fi # 检查 SSL 证书有效期（7 天内过期提醒） for cert in /etc/nginx/ssl/*.crt; do if [ -f "$cert" ]; then DAYS=$(openssl x509 -in "$cert" -noout -enddate | cut -d= -f2) DAYS_LEFT=$(( ( $(date -d "$DAYS" +%s) - $(date +%s) ) / 86400 )) if [ $DAYS_LEFT -lt 7 ]; then echo "证书 $cert 将在 $DAYS_LEFT 天后过期" | mail -s "SSL 证书过期警告" admin@example.com fi fi done # 重载配置（如果配置文件有更新） nginx -t && nginx -s reload # 设置定时任务 echo "0 2 * * * /usr/local/bin/nginx-maintain.sh" | crontab -

9. Docker 部署方案（极速部署）

9.1 Dockerfile

# 使用 Alpine 作为基础镜像 FROM alpine:3.18 # 设置维护者信息 LABEL maintainer="your-email@example.com" # 安装 Nginx 和依赖 RUN apk update && apk add --no-cache nginx && # 创建 nginx 用户 addgroup -g 101 -S nginx && adduser -S -D -H -u 101 -h /var/cache/nginx -s /sbin/nologin -G nginx nginx && # 创建必要目录 mkdir -p /var/www/html /var/log/nginx /var/cache/nginx && # 设置权限 chown -R nginx:nginx /var/www/html /var/log/nginx /var/cache/nginx # 复制配置文件 COPY nginx.conf /etc/nginx/nginx.conf COPY default.conf /etc/nginx/conf.d/default.conf # 创建测试页面 RUN echo '<!DOCTYPE html><html><head><title>Alpine Nginx</title></head><body><h1>It works!</h1></body></html>' > /var/www/html/index.html # 暴露端口 EXPOSE 80 443 # 健康检查 HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 CMD curl -f http://localhost/ || exit 1 # 启动命令 CMD ["nginx", "-g", "daemon off;"]

9.2 docker-compose.yml

version: '3.8' services: nginx: build: . container_name: alpine-nginx restart: unless-stopped ports: - "80:80" - "443:443" volumes: - ./html:/var/www/html:ro - ./logs:/var/log/nginx - ./ssl:/etc/nginx/ssl:ro - ./conf.d:/etc/nginx/conf.d:ro environment: - TZ=Asia/Shanghai networks: - nginx-net networks: nginx-net: driver: bridge

9.3 快速部署命令

# 构建镜像 docker build -t alpine-nginx . # 运行容器 docker run -d --name nginx-server -p 80:80 -p 443:443 -v ./html:/var/www/html:ro -v ./logs:/var/log/nginx -v ./ssl:/etc/nginx/ssl:ro --restart unless-stopped alpine-nginx # 使用 docker-compose docker-compose up -d # 查看日志 docker logs -f nginx-server # 进入容器调试 docker exec -it nginx-server sh

9.4 Docker 环境优化

# 在 Alpine 容器中优化内核参数（需要特权模式） docker run -d --cap-add=SYS_ADMIN --sysctl net.core.somaxconn=65535 --sysctl net.ipv4.tcp_max_syn_backlog=65535 alpine-nginx # 或者在 docker-compose.yml 中添加： services: nginx: sysctls: - net.core.somaxconn=65535 - net.ipv4.tcp_max_syn_backlog=65535

10. 高级配置与扩展

10.1 负载均衡配置

# 在 http 块中定义 upstream upstream backend { least_conn; # 最少连接算法 server 192.168.1.101:80 weight=3 max_fails=3 fail_timeout=30s; server 192.168.1.102:80 weight=2 max_fails=3 fail_timeout=30s; server 192.168.1.103:80 backup; # 备用服务器 keepalive 32; # 长连接池 } server { listen 80; server_name loadbalancer.example.com; location / { proxy_pass http://backend; proxy_http_version 1.1; proxy_set_header Connection ""; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 超时设置 proxy_connect_timeout 5s; proxy_send_timeout 10s; proxy_read_timeout 10s; } }

10.2 反向代理 WebSocket

server { listen 80; server_name ws.example.com; location /ws/ { proxy_pass http://websocket_backend; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_read_timeout 86400; # 长时间连接 } }

10.3 限流配置

# 在 http 块中定义限流区域 limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s; limit_req_zone $binary_remote_addr zone=login_limit:10m rate=1r/s; server { location /api/ { limit_req zone=api_limit burst=20 nodelay; proxy_pass http://api_backend; } location /login { limit_req zone=login_limit burst=5 nodelay; # ... 登录逻辑 } }

10.4 GeoIP 地理限制

# 安装 GeoIP 模块 apk add nginx-mod-http-geoip # 下载 GeoIP 数据库 mkdir -p /etc/nginx/geoip wget -O /etc/nginx/geoip/GeoLite2-Country.mmdb.gz https://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.mmdb.gz gunzip /etc/nginx/geoip/GeoLite2-Country.mmdb.gz

# 在 http 块中 geoip_country /etc/nginx/geoip/GeoLite2-Country.mmdb; server { location / { # 只允许中国和美国访问 if ($geoip_country_code !~ ^(CN|US)$) { return 403; } root /var/www/html; } }

11. 故障排查速查表

问题现象	可能原因	快速解决命令
Nginx 无法启动	配置语法错误	`nginx -t` 查看错误
502 Bad Gateway	后端服务未运行	`rc-service php-fpm start`
504 Gateway Timeout	后端响应慢	增加 `proxy_read_timeout`
403 Forbidden	权限问题	`chown -R nginx:nginx /var/www/html`
404 Not Found	文件不存在或配置错误	检查 `root` 和 `try_files`
SSL 证书错误	证书路径或权限	`ls -la /etc/nginx/ssl/`
高 CPU 占用	请求过多或配置不当	检查 `worker_connections` 和日志
内存泄漏	长时间运行	重启 Nginx 或检查模块
端口被占用	其他服务占用 ⁸⁰⁄₄₄₃	`netstat -tulpn \| grep :80`
Docker 容器退出	配置错误或权限	`docker logs <container>`