nginx代理

當 webman 需要直接提供外網訪問時,建議在 webman 前增加一個 nginx 代理,這樣有以下好處。

  • 靜態資源由 nginx 處理,讓 webman 專注業務邏輯處理
  • 讓多個 webman 共用 80、443 端口,通過域名區分不同站點,實現單台伺服器部署多個站點
  • 能夠實現 php-fpm 與 webman 架構共存
  • nginx 代理 ssl 實現 https,更加簡單高效
  • 能夠嚴格過濾外網一些不合法請求

nginx代理示例

upstream webman {
    server 127.0.0.1:8787;
    keepalive 10240;
}

server {
  server_name 站點域名;
  listen 80;
  access_log off;
  # 注意,這裡一定是 webman 下的 public 目錄,不能是 webman 根目錄
  root /your/webman/public;

  location ^~ / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-For $remote_addr;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_http_version 1.1;
      proxy_set_header Connection "";
      if (!-e $request_filename){
          proxy_pass http://webman;
      }
  }

  # 拒絕訪問所有以 .php 結尾的檔案
  location ~ \.php$ {
      return 404;
  }

  # 允許訪問 .well-known 目錄
  location ~ ^/\.well-known/ {
    allow all;
  }

  # 拒絕訪問所有以 . 開頭的檔案或目錄
  location ~ /\. {
      return 404;
  }

}

一般來說以上配置開發者只需要將 server_name 和 root 配置成實際值即可,其它字段不需要配置。

注意
特別注意的是,root 選項一定要配置成 webman 下的 public 目錄,千萬不要直接設定成 webman 目錄,否則你的所有檔案可能會被外網下載訪問,包括資料庫配置等敏感檔案。