Webサーバー サイトの構築
nginx 設定ファイル ドメイン別分割 と 最適化
nginx 設定ファイル ドメイン別分割 と 最適化
複数のドメインで、SSL化やWWWの正規化を行うと、nginx の設定ファイル『default.conf』における「server」ブロックの記述が多くなり、長くて見にくくなってきた。
以下、nginxの設定ファイルの見直しとドメイン別分割を行った記録。
スポンサー リンク
目 次
1. Webサーバーの環境とドメイン構成
NginxでWebサーバーを構築し、3つのドメインを運用している。
2つのサブディレクトリは、WordPressによるブログサイトで、それぞれ個別に取得したドメイン名になっている。
最近、Raspberry Pi や基盤ソフトのアップグレードを行う機会が増え、nginxの設定ファイルを頻繁に調整する必要に迫られる。
バーチャルホストとは
一台のサーバーで、仮想的に複数のドメインを運用するサーバー技術で、利用するドメインすべてが同じIPアドレスを使用するが、ドメイン名でアクセスできるので、あたかも複数のサーバで運用しているように見える。
一台のサーバーで、仮想的に複数のドメインを運用するサーバー技術で、利用するドメインすべてが同じIPアドレスを使用するが、ドメイン名でアクセスできるので、あたかも複数のサーバで運用しているように見える。
2. nginxの設定ファイルとファイルの分割
nginx.confの、記述構成。
nginxの設定ファイルと、ドメイン別分割の概念。
【nginx.conf】での【server】ディレクティブ設定を「conf.d」フォルダに外出しにし、且つ、【server】ディレクティブをドメイン名別にする。
【server】ディレクティブ(default.conf)の、記述構成。
さらに、【location】ディレクティブを外出しすれば、更なる簡素化と設定の共通化を図ることが出来る。
下図は、「sub」フォルダを作成し「wp01」と「wp02」の【location】設定を外出しにした例。
「wp01」と「wp02」というサブディレクトリーを作成し、それぞれに WordPress をインストールすれば、WordPress を複数:例えばテーマ別に稼働させることが出来る。
nginx.conf。
nginxの起動時に読み込まれるファイルで、
このファイルの設定でnginxを制御する。
このファイルの設定でnginxを制御する。
conf.d。
nginx.conf で【include /etc/nginx/conf.d/*.conf】と記述することで、この中にあるバーチャルホスト別の、nginx設定ファイル【.conf】が取込まれる。
conf.d/default.conf。
nginxをインストールした時点で作成されている、デフォルトの【server設定】ファイル。
default.confから、「バーチャルホスト名.conf」にし、
バーチャルホストごとに、server設定を行うことで、
nginx.confでのバーチャルホスト設定=server定義が外出しされ、且つ、バーチャルホスト別のファイルになるので、管理が容易になる。
default.confから、「バーチャルホスト名.conf」にし、
バーチャルホストごとに、server設定を行うことで、
nginx.confでのバーチャルホスト設定=server定義が外出しされ、且つ、バーチャルホスト別のファイルになるので、管理が容易になる。
3. 設定ファイルの準備
デフォルトのファイルを、バーチャルホスト別にコピーし、それぞれを編集する。
cd /etc/nginx/conf.d/
sudo cp default.conf arakan60.conf
sudo cp default.conf arakoki70.conf
sudo cp default.conf mydns.conf
元のファイルをリネームして保存
sudo mv default.conf default.conf_b
sudo cp default.conf arakan60.conf
sudo cp default.conf arakoki70.conf
sudo cp default.conf mydns.conf
元のファイルをリネームして保存
sudo mv default.conf default.conf_b
参考:設定ファイルを編集した後に使用するコマンド。
sudo nginx -t
sudo nginx -s reload
sudo systemctl restart nginx
sudo nginx -s reload
sudo systemctl restart nginx
4. nginx.confの設定と最適化
nginx.conf は上記の構成で、あらゆる項目の設定が可能であるが、httpブロックディレクティブの【server設定】はここには記述せず、「conf.d/default.conf」に外だしにして記述する。
nginx.confの編集。
sudo nano /etc/nginx/nginx.conf
nginx.confの設定例。
user nginx;
worker_processes auto;
worker_rlimit_nofile 100000;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
multi_accept on;
use epoll;
}
http {
server_tokens off;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
access_log off;
keepalive_timeout 10;
client_header_timeout 10;
client_body_timeout 10;
reset_timedout_connection on;
send_timeout 10;
limit_conn_zone $binary_remote_addr zone=addr:5m;
limit_conn addr 100;
include /etc/nginx/mime.types;
default_type application/octet-stream;
##
# SSL Perfect Forward Secrecy(PFS)を有効にする Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on;
# 安全でない暗号化スイートはサポートしない
# ssl_ciphers 'ECDH !aNULL !eNULL !SSLv2 !SSLv3';
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
#HTTP Strict Transport Security --- HSTSの設定
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_min_length 1024;
gzip_comp_level 6;
gzip_types text/plain
text/xml
text/css
text/javascript
image/gif
image/png
image/jpeg
application/javascript
application/x-javascript
application/json
application/xml
application/xml+rss
application/font-woff
application/font-tff
application/octet-stream;
include /etc/nginx/conf.d/*.conf;
}nginx.confの最適化のために、追記した項目とその値。
worker_processes auto; - Nginx本体のプロセス数を、autoにする。
worker_rlimit_nofile 100000; - workerプロセスが開ける最大ファイル数。
too many open files問題の回避。
multi_accept on; - クライアントからのリクエストをできるだけ受け取る。
use epoll; - Linuxカーネル2.6以上の場合はepoll、BSDの場合kqueue。
---------------------------------------------------------------------------------
server_tokens off; - エラー画面でのnginxバージョン番号を非表示にする。
sendfile on; - ハードディスクio処理とsocket-io処理のバランスを取る。
tcp_nopush on; - 一つのデータパッケージに全てのヘッダー情報を含まれる
keepalive_timeout 10; - keep-aliveタイムアウト時間。
client_header_timeout 10; - クライアントタイムアウト時間。
client_body_timeout 10; - クライアントタイムアウト時間。
reset_timedout_connection on; - 非アクティブクライアントの接続をクローズ。
send_timeout 10;- クライアントへの送信タイムアウト。
limit_conn_zone $binary_remote_addr zone=addr:5m; - 各種keyの共有メモリ設定。
limit_conn addr 100; - keyの最大コネクション数。
gzip_comp_level 6; - 圧縮レベル設定、1-9。
5. conf.d/ドメイン名.confの設定
【server設定】を、「conf.d/ドメイン名.conf」に外出しにして記述する。
conf.d/ドメイン名.conf の編集。
sudo nano /etc/nginx/conf.d/ドメイン名.conf
ドメイン名.confの設定例:"arakan60.conf"。
server {
listen 80;
server_name www.arakan60.com;
return 301 https://arakan60.com$request_uri;
}
server {
listen 443 ssl;
server_name www.arakan60.com;
# ssl on;
ssl_certificate /etc/letsencrypt/live/www.arakan60.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.arakan60.com/privkey.pem;
return 301 https://arakan60.com$request_uri;
}
server {
listen 80;
server_name arakan60.com;
return 301 https://arakan60.com$request_uri;
}
server {
listen 443 ssl;
server_name arakan60.com;
root /home/yaopi/www/wordpress;
index index.htm index.php;
# ssl on;
ssl_certificate /etc/letsencrypt/live/arakan60.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/arakan60.com/privkey.pem;
# デフォルト 60秒を300秒までアップします。
fastcgi_read_timeout 300;
error_page 404 /wp_404.html;
location = /wp_404.html {
root /home/yaopi/www/wordpress;
internal;
}
client_max_body_size 500M; # ←追加
location / {
try_files $uri $uri/ /index.php;
}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
上記と同じように、全てのドメインについて作成する。
fastcgi_pass の設定について
TCP か UNIXドメインソケット のどちらで通信するか、
①.【 fastcgi_pass 127.0.0.1:9000; 】
②.【 fastcgi_pass unix:/var/run/php/php7.3-fpm.sock; 】
の、2通りの設定方法がある。
①.【 fastcgi_pass 127.0.0.1:9000; 】
②.【 fastcgi_pass unix:/var/run/php/php7.3-fpm.sock; 】
の、2通りの設定方法がある。
php-fpm での設定は、
/etc/php/7.3/fpm/pool.d/www.conf
の listen ディレクティブで定義する。
/etc/php/7.3/fpm/pool.d/www.conf
の listen ディレクティブで定義する。
# TCP
listen = 127.0.0.1:9000
listen = 127.0.0.1:9000
# UNIXドメインソケット
listen = /var/run/php/php7.3-fpm.sock
listen = /var/run/php/php7.3-fpm.sock
上記のどちらを指定しても良いが、nginx 側の設定と合わせる必要がある。
『default.conf』での「server」ブロックの記述が、ドメイン毎になったので、記述が短く、見易くなった。
以上。
(2019.12.11)
(2019.12.11)
スポンサー リンク