Update 优化 nginx 配置，增强性能与安全性

SERVER/VberAdminPlusV3/.script/docker/nginx/conf/default.conf

@@ -28,7 +28,7 @@ server {
     #ssl_certificate_key  /etc/nginx/cert/xxx.local.key; # /etc/nginx/cert/ 为docker映射路径 不允许更改
     #ssl_session_timeout 5m;
     #ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
-    #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
+    #ssl_protocols TLSv1.3 TLSv1.2 TLSv1.1 TLSv1;
     #ssl_prefer_server_ciphers on;
     # https配置参考 end
 
@@ -64,14 +64,27 @@ server {
 
 
     location /prod-api/ {
+        # 设置客户端请求头中的 Host 信息（保持原始 Host）
         proxy_set_header Host $http_host;
+        # 获取客户端真实 IP
         proxy_set_header X-Real-IP $remote_addr;
+        # 自定义头 REMOTE-HOST，记录客户端 IP
         proxy_set_header REMOTE-HOST $remote_addr;
+        # 获取完整的客户端 IP 链（经过多级代理时）
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
-        # websocket参数
+        # 设置后端响应超时时间（这里是 24 小时，适合长连接/SSE）
+        proxy_read_timeout 86400s;
+        # SSE (Server-Sent Events) 与 WebSocket 支持参数
         proxy_http_version 1.1;
         proxy_set_header Upgrade $http_upgrade;
         proxy_set_header Connection "upgrade";
+        # 禁用代理缓冲，数据直接传给客户端
+        proxy_buffering off;
+        # 按 IP 限制连接数（防 CC 攻击） 小型站：10~20 就够 中型站：50~100
+        limit_conn perip 50;
+
+        # 按 Server 限制总并发连接数 根据服务器的最大并发处理能力来定 太小会限制合法用户访问，太大会占满服务器资源
+        limit_conn perserver 500;
 
         proxy_pass http://server/;
     }
@@ -116,10 +129,18 @@ server {
     # 解决方案1 将 admin 服务 也配置成 https
     # 解决方案2 将菜单配置为外链访问 走独立页面 http 访问
     location /admin/ {
+        # 设置客户端请求头中的 Host 信息（保持原始 Host）
         proxy_set_header Host $http_host;
+        # 获取客户端真实 IP
         proxy_set_header X-Real-IP $remote_addr;
+        # 自定义头 REMOTE-HOST，记录客户端 IP
         proxy_set_header REMOTE-HOST $remote_addr;
+        # 获取完整的客户端 IP 链（经过多级代理时）
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        # 禁用代理缓冲，数据直接传给客户端
+        proxy_buffering off;
+        # 禁用代理缓存
+        proxy_cache off;
         proxy_pass http://monitor-admin/admin/;
     }
 
@@ -127,10 +148,18 @@ server {
     # 解决方案1 将 job 服务 也配置成 https
     # 解决方案2 将菜单配置为外链访问 走独立页面 http 访问
     location /job/ {
+        # 设置客户端请求头中的 Host 信息（保持原始 Host）
         proxy_set_header Host $http_host;
+        # 获取客户端真实 IP
         proxy_set_header X-Real-IP $remote_addr;
+        # 自定义头 REMOTE-HOST，记录客户端 IP
         proxy_set_header REMOTE-HOST $remote_addr;
+        # 获取完整的客户端 IP 链（经过多级代理时）
         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+        # 禁用代理缓冲，直接传输给客户端
+        proxy_buffering off;
+        # 禁用代理缓存
+        proxy_cache off;
         proxy_pass http://job-server/;
     }
 

SERVER/VberAdminPlusV3/.script/docker/nginx/nginx.conf

@@ -4,16 +4,25 @@ error_log  /var/log/nginx/error.log warn;
 pid        /var/run/nginx.pid;
 
 events {
+    # 可以根据业务并发量适当调高
     worker_connections  1024;
 }
 
 http {
     include       mime.types;
     default_type  application/octet-stream;
+    # 高效传输文件
     sendfile        on;
+    # 长连接超时时间
     keepalive_timeout  65;
     # 限制body大小
     client_max_body_size 100m;
+    client_header_buffer_size 32k;
+    client_body_buffer_size   512k;
+    # 开启静态资源压缩
+    gzip_static on;
+    # 隐藏 nginx 版本号，防止暴露版本信息
+    server_tokens off;
 
     log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                           '$status $body_bytes_sent "$http_referer" '