Nginx設定実践ガイド

中級 | 30分 で読める | 2025.01.10

公式ドキュメント

Nginxとは

Nginxは高性能なWebサーバー、リバースプロキシ、ロードバランサーです。軽量でスケーラブルなアーキテクチャにより、大量の同時接続を処理できます。

実践メモ: 設定変更後はnginx -tで構文チェック、nginx -s reloadで無停止リロードできます。

インストール

# Ubuntu/Debian
sudo apt update
sudo apt install nginx

# CentOS/RHEL
sudo yum install nginx

# macOS
brew install nginx

# 起動
sudo systemctl start nginx
sudo systemctl enable nginx

基本設定

# /etc/nginx/nginx.conf
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

events {
 worker_connections 1024;
 multi_accept on;
}

http {
 include /etc/nginx/mime.types;
 default_type application/octet-stream;

 log_format main '$remote_addr - $remote_user [$time_local] "$request" '
 '$status $body_bytes_sent "$http_referer" '
 '"$http_user_agent" "$http_x_forwarded_for"';

 access_log /var/log/nginx/access.log main;

 sendfile on;
 tcp_nopush on;
 tcp_nodelay on;
 keepalive_timeout 65;
 types_hash_max_size 2048;

 # gzip圧縮
 gzip on;
 gzip_vary on;
 gzip_min_length 1000;
 gzip_proxied any;
 gzip_types text/plain text/css application/json application/javascript text/xml application/xml;

 include /etc/nginx/conf.d/*.conf;
}

静的サイトの配信

# /etc/nginx/conf.d/static.conf
server {
 listen 80;
 server_name example.com www.example.com;
 root /var/www/html;
 index index.html;

 location / {
 try_files $uri $uri/ /index.html;
 }

 # 静的ファイルのキャッシュ
 location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff2)$ {
 expires 1y;
 add_header Cache-Control "public, immutable";
 }

 # セキュリティヘッダー
 add_header X-Frame-Options "SAMEORIGIN" always;
 add_header X-Content-Type-Options "nosniff" always;
 add_header X-XSS-Protection "1; mode=block" always;
}

リバースプロキシ

# /etc/nginx/conf.d/proxy.conf
upstream backend {
 server 127.0.0.1:3000;
}

server {
 listen 80;
 server_name api.example.com;

 location / {
 proxy_pass http://backend;
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection 'upgrade';
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header X-Forwarded-Proto $scheme;
 proxy_cache_bypass $http_upgrade;
 }
}

WebSocketサポート

location /ws {
 proxy_pass http://backend;
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 proxy_read_timeout 86400;
}

SSL/TLS設定

注意: SSL証明書の秘密鍵のパーミッションは600に設定してください。他のユーザーに読まれると致命的なセキュリティリスクになります

# /etc/nginx/conf.d/ssl.conf
server {
 listen 80;
 server_name example.com;
 return 301 https://$server_name$request_uri;
}

server {
 listen 443 ssl http2;
 server_name example.com;

 # SSL証明書
 ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

 # モダンなSSL設定
 ssl_protocols TLSv1.2 TLSv1.3;
 ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
 ssl_prefer_server_ciphers off;

 # セッションキャッシュ
 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 1d;
 ssl_session_tickets off;

 # HSTS
 add_header Strict-Transport-Security "max-age=63072000" always;

 root /var/www/html;
 index index.html;
}

Let’s Encryptでの証明書取得

# Certbotインストール
sudo apt install certbot python3-certbot-nginx

# 証明書取得
sudo certbot --nginx -d example.com -d www.example.com

# 自動更新テスト
sudo certbot renew --dry-run

ポイント: Let's Encryptとcertbotを使えば、無料でSSL証明書を取得・自動更新できます。

ロードバランシング

upstream backend {
 least_conn; # 最小接続数のサーバーへ
 server backend1.example.com:3000 weight=3;
 server backend2.example.com:3000 weight=2;
 server backend3.example.com:3000 backup;

 keepalive 32;
}

server {
 listen 80;

 location / {
 proxy_pass http://backend;
 proxy_http_version 1.1;
 proxy_set_header Connection "";
 }
}

ロードバランシング方式

# ラウンドロビン(デフォルト)
upstream backend {
 server server1:3000;
 server server2:3000;
}

# IPハッシュ(セッション維持)
upstream backend {
 ip_hash;
 server server1:3000;
 server server2:3000;
}

# 最小接続数
upstream backend {
 least_conn;
 server server1:3000;
 server server2:3000;
}

キャッシュ設定

# キャッシュゾーン定義
proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=1g inactive=60m use_temp_path=off;

server {
 location /api {
 proxy_pass http://backend;
 proxy_cache my_cache;
 proxy_cache_valid 200 10m;
 proxy_cache_valid 404 1m;
 proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
 proxy_cache_lock on;

 add_header X-Cache-Status $upstream_cache_status;
 }
}

レート制限

# リクエストレート制限
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=10r/s;

server {
 location /api {
 limit_req zone=api_limit burst=20 nodelay;
 proxy_pass http://backend;
 }
}

# 接続数制限
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;

server {
 location /download {
 limit_conn conn_limit 5;
 limit_rate 1m; # 1MB/s
 }
}

Basic認証

# パスワードファイル作成
sudo htpasswd -c /etc/nginx/.htpasswd admin
location /admin {
 auth_basic "Admin Area";
 auth_basic_user_file /etc/nginx/.htpasswd;
}

アクセス制限

# IPアドレスによる制限
location /admin {
 allow 192.168.1.0/24;
 allow 10.0.0.0/8;
 deny all;
}

# 特定パスのブロック
location ~ /\. {
 deny all;
}

location ~* ^/(wp-admin|wp-login|xmlrpc\.php) {
 deny all;
}

ログ設定

# カスタムログフォーマット
log_format json escape=json '{'
 '"time":"$time_iso8601",'
 '"remote_addr":"$remote_addr",'
 '"method":"$request_method",'
 '"uri":"$request_uri",'
 '"status":$status,'
 '"body_bytes_sent":$body_bytes_sent,'
 '"request_time":$request_time,'
 '"upstream_response_time":"$upstream_response_time",'
 '"user_agent":"$http_user_agent"'
'}';

access_log /var/log/nginx/access.json json;

# 特定パスのログ無効化
location /health {
 access_log off;
 return 200 'OK';
}

設定のテスト

# 設定ファイルの構文チェック
sudo nginx -t

# 設定の再読み込み
sudo nginx -s reload

# 完全な再起動
sudo systemctl restart nginx

関連記事

まとめ

Nginxは、静的ファイル配信からロードバランシングまで幅広く活用できます。適切な設定でパフォーマンスとセキュリティを向上させましょう。

参考リソース

← 一覧に戻る
PR
PR
PR
PR