MCP HubMCP Hub
Вернуться к навыкам

configure-nginx

pjt222
Обновлено Yesterday
2 просмотров
17
2
17
Посмотреть на GitHub
Другоеgeneral

О программе

Этот навык настраивает Nginx в качестве веб-сервера и обратного прокси для производственных сред. Он обеспечивает обслуживание статических файлов, завершение SSL/TLS с помощью Let's Encrypt, балансировку нагрузки и проксирование к серверным службам, таким как Node.js или Python. Разработчики используют его для добавления ограничения скорости, защитных заголовков и безопасных конечных точек для своих приложений.

Быстрая установка

Claude Code

Рекомендуется
Основной
npx skills add pjt222/agent-almanac -a claude-code
Команда плагинаАльтернативный
/plugin add https://github.com/pjt222/agent-almanac
Git клонированиеАльтернативный
git clone https://github.com/pjt222/agent-almanac.git ~/.claude/skills/configure-nginx

Скопируйте и вставьте эту команду в Claude Code для установки этого навыка

Документация

配置 Nginx

设置 Nginx 作为具有 SSL 终止和安全加固的 Web 服务器和反向代理。

适用场景

  • 在生产环境中提供静态文件(HTML、CSS、JS)服务
  • 反向代理到后端服务(Node.js、Python、Go、R/Shiny)
  • 使用 Let's Encrypt 证书终止 SSL/TLS
  • 跨多个后端实例负载均衡
  • 添加速率限制和安全头

输入

  • 必需:部署目标(Docker 容器或裸金属服务器)
  • 必需:需要代理的后端服务(host:port)
  • 可选:用于 SSL 的域名
  • 可选:静态文件目录

步骤

第 1 步:基本反向代理

nginx.conf

events {
    worker_connections 1024;
}

http {
    upstream app {
        server app:3000;
    }

    server {
        listen 80;
        server_name example.com;

        location / {
            proxy_pass http://app;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }
}

Docker Compose 服务:

services:
  nginx:
    image: nginx:1.27-alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf:ro
    depends_on:
      - app

预期结果: 端口 80 的请求被转发到 app 服务。

第 2 步:静态文件服务

server {
    listen 80;
    root /usr/share/nginx/html;
    index index.html;

    location / {
        try_files $uri $uri/ /index.html;
    }

    location /assets/ {
        expires 1y;
        add_header Cache-Control "public, immutable";
    }

    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff2?)$ {
        expires 6M;
        add_header Cache-Control "public";
    }
}

第 3 步:使用 Let's Encrypt 的 SSL/TLS

使用 certbot 的 webroot 方式:

server {
    listen 80;
    server_name example.com;

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://app;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Docker Compose 配合 certbot:

services:
  nginx:
    image: nginx:1.27-alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf:ro
      - certbot-webroot:/var/www/certbot:ro
      - certbot-certs:/etc/letsencrypt:ro

  certbot:
    image: certbot/certbot
    volumes:
      - certbot-webroot:/var/www/certbot
      - certbot-certs:/etc/letsencrypt

volumes:
  certbot-webroot:
  certbot-certs:

初始证书申请:

docker compose run --rm certbot certonly \
  --webroot -w /var/www/certbot \
  -d example.com --email [email protected] --agree-tos

预期结果: HTTPS 使用有效的 Let's Encrypt 证书正常工作。

失败处理: 检查 DNS 是否指向服务器。验证端口 80 是否对 ACME 挑战开放。

第 4 步:安全头

server {
    # ... SSL config above ...

    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
    add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline';" always;

    # Hide Nginx version
    server_tokens off;
}

第 5 步:速率限制

http {
    # Define rate limit zones
    limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
    limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;

    server {
        location /api/ {
            limit_req zone=api burst=20 nodelay;
            proxy_pass http://app;
        }

        location /login {
            limit_req zone=login burst=5;
            proxy_pass http://app;
        }
    }
}

第 6 步:负载均衡

upstream app {
    least_conn;
    server app1:3000;
    server app2:3000;
    server app3:3000 backup;
}
方法指令行为
轮询(默认)平均分配
最少连接least_conn路由到最空闲的
IP 哈希ip_hash粘性会话
加权server app:3000 weight=3按比例分配

第 7 步:测试配置

# Test config syntax
docker compose exec nginx nginx -t

# Reload without downtime
docker compose exec nginx nginx -s reload

# Check response headers
curl -I https://example.com

预期结果: nginx -t 报告语法正确。头部包含安全头。

验证清单

  • nginx -t 报告配置有效
  • HTTP 重定向到 HTTPS(如启用 SSL)
  • 后端服务可通过代理访问
  • 响应中存在安全头
  • 速率限制在请求过多时触发
  • SSL Labs 测试获得 A+ 评级(如公开访问)

常见问题

  • 缺少 proxy_set_header Host:后端接收到错误的主机头,导致虚拟主机和重定向失效
  • location 顺序很重要:Nginx 使用最具体的匹配。精确匹配(=)> 前缀匹配(^~)> 正则匹配(~)> 一般前缀
  • SSL 证书续期:设置 cron 或 timer 运行 certbot renew 并重载 Nginx
  • 大请求体:默认 client_max_body_size 为 1MB。对文件上传增大:client_max_body_size 50m;
  • WebSocket 代理:需要额外头。参见 configure-reverse-proxy 获取模式

相关技能

  • configure-reverse-proxy — 包括 WebSocket 和 Traefik 的多工具代理模式
  • setup-compose-stack — 包含 Nginx 的 compose 栈
  • deploy-searxng — 使用 Nginx 作为 SearXNG 的前端
  • configure-ingress-networking — Kubernetes 入口(NGINX Ingress Controller)

GitHub репозиторий

pjt222/agent-almanac
Путь: i18n/zh-CN/skills/configure-nginx
0
agentsagentskillsai-assisted-developmentclaude-codeskillsteams

Похожие навыки

llamaguard

Другое

LlamaGuard — это модель от Meta с 7–8 миллиардами параметров для модерации входных и выходных данных больших языковых моделей по шести категориям безопасности, таким как насилие и разжигание ненависти. Она обеспечивает точность 94–95% и может быть развернута с помощью vLLM, Hugging Face или Amazon SageMaker. Используйте этот навык, чтобы легко интегрировать фильтрацию контента и защитные механизмы в ваши ИИ-приложения.

Просмотреть навык

cost-optimization

Другое

Этот навык Claude помогает разработчикам оптимизировать облачные расходы за счет правильного подбора ресурсов, стратегий тегирования и анализа затрат. Он предоставляет framework для сокращения облачных расходов и внедрения управления затратами в AWS, Azure и GCP. Используйте его, когда вам нужно проанализировать расходы на инфраструктуру, оптимизировать ресурсы или уложиться в бюджетные ограничения.

Просмотреть навык

quantizing-models-bitsandbytes

Другое

Этот навык выполняет квантизацию LLM до 8-битной или 4-битной точности с использованием библиотеки bitsandbytes, обеспечивая сокращение использования памяти на 50-75% при минимальной потере точности. Он идеально подходит для запуска больших моделей при ограниченной памяти GPU или для ускорения вывода, поддерживая форматы INT8, NF4 и FP4. Навык интегрируется с HuggingFace Transformers и позволяет использовать обучение QLoRA и 8-битные оптимизаторы.

Просмотреть навык

dispatching-parallel-agents

Другое

Этот навык Claude распределяет нескольких агентов для исследования и устранения трёх и более независимых проблем параллельно. Он предназначен для сценариев с несвязанными сбоями, которые можно устранить без общего состояния или зависимостей. Ключевая возможность — параллельное решение проблем, где за каждую независимую предметную область назначается отдельный агент для максимальной эффективности.

Просмотреть навык