デフォルトでは、nginxはプロキシされたサーバからクライアントへの"Date", "Server", "X-Pad"と"X-Accel-..."ヘッダフィールドを通しません。proxy_hide_headerディレクティブは、更に通過されないフィールドを設定します。逆に、フィールドの通過が必要な場合は、proxy_pass_headerディレクティブを使うことができます。

proxy_http_version 1.0;

プロキシのためのHTTPプロトコルバージョンを設定します。デフォルトでは、バージョン1.0が使われます。バージョン1.1は keepalive接続とNTLM authenticationを使う事を推奨されます。

proxy_ignore_client_abort off;

クライアントが応答を待たずに接続を閉じたときに、プロキシされたサーバとの接続を閉じるかどうかを決定します。

プロキシされたサーバからの特定の応答ヘッダフィールドの処理を無効にします。次のフィールドを無視することができます: "X-Accel-Redirect", "X-Accel-Expires", "X-Accel-Limit-Rate" (1.1.6), "X-Accel-Buffering" (1.1.6), "X-Accel-Charset" (1.1.6), "Expires", "Cache-Control", "Set-Cookie" (0.8.44)、および"Vary" (1.7.7)。

無効にされない場合、これらのヘッダフィールドの処理には次の影響があります:

• “X-Accel-Expires”, “Expires”, “Cache-Control”, “Set-Cookie”, および “Vary” は応答 cachingのパラメータを設定します;
• "X-Accel-Redirect" は特定のURIに対してinternal redirect を実行します。
• "X-Accel-Limit-Rate" はクライアントへの応答の転送について rate limitを設定します;
• "X-Accel-Buffering" は応答のbufferingを有効または無効にします ;
• "X-Accel-Charset"は望ましい応答のcharsetを設定します。

proxy_intercept_errors off;

プロキシされたサーバの300以上の応答コードが、クライアントへ渡されるべきかまたは遮断されるべきか、そしてerror_page ディレクティブで処理するためにnginxにリダイレクトすべきかを決定します。

proxy_limit_rate 0;

プロキシされるサーバから応答を読み込む時のスピードを制限します。rateは秒間あたりのバイトで指定されます。0の値はレートの制限を無効にします。制限はリクエストごとに設定されます。もしnginxがプロキシされるサーバに同時に二つの接続を開いた場合は、全体のレートは指定された制限の二倍になるでしょう。この制限はプロキシされるサーバからの応答のbufferingが有効な場合にのみ動作します。

proxy_max_temp_file_size 1024m;

プロキシされたサーバからの応答のbuffering が有効な場合で、応答の全体が proxy_buffer_size とproxy_buffers ディレティブで設定されるバッファに収まらない場合に、応答の一部を一時ファイルに保存することができます。このディレクティブは一時ファイルのsize最大値を設定します。一時ファイルに一度に書き込まれるデータのサイズは、proxy_temp_file_write_sizeディレクティブで設定されます。

0の値は、一時ファイルの応答のバッファリングを無効にします。

この制限はディスク上に cached あるいは stored される応答については適用されないでしょう。

クライアントのリクエストのメソッドの代わりにプロキシされたサーバへ転送する時のリクエストで使われるHTTP methodを指定します。パラメータ値は変数を含むことができます (1.11.6)。

proxy_next_upstream error timeout;

どの場合にリクエストが次のサーバに渡されるべきかを指定します:

エラー

サーバへの接続の確立時、あるいはサーバにリクエストを渡す時、あるいは応答ヘッダーを読み込む時にエラーが起きた場合;

timeout

サーバへの接続の確立時、あるいはサーバにリクエストを渡す時、あるいは応答ヘッダーを読み込む時にタイムアウトが起きた場合;

invalid_header

サーバが空あるいは無効な応答を返した場合;

http_500

サーバがコード500の応答を返した場合;

http_502

サーバがコード502の応答を返した場合;

http_503

サーバがコード503を返した場合;

http_504

サーバがコード504の応答を返した場合;

http_403

サーバがコード403を返した場合;

http_404

サーバがコード404の応答を返した場合;

http_429

サーバがコード429の応答を返した場合 (1.11.13);

non_idempotent

もしリクエストがupstream サーバに送信された場合は、通常 non-idempotent メソッド (POST, LOCK, PATCH) のリクエストは次のサーバに渡されません(1.9.13); このオプションを有効にすると明示的にそのようなリクエストの再試行を行うことができます。

off

リクエストを次のサーバに渡すのを無効化する。

まだクライアントに何も送っていない時にのみ、リクエストを次のサーバに渡す事ができるということを、心に留めておいてください。応答の転送中にエラーまたはタイムアウトが起きると、この修復は不可能です。

このディレクティブは何をサーバとの通信の失敗と見なすかについても定義します。error, timeout と invalid_header は、ディレクティブの中で指定されていなくても常に失敗と見なされます。http_500, http_502, http_503, http_504 と http_429 がディレクティブの中で指定されている時のみ、失敗と見なされます。http_403 と http_404 の場合は、失敗と見なされません。

次のサーバへリクエストを渡すことを 試行回数 および 時間で制限することができます。

proxy_next_upstream_timeout 0;

次のサーバに渡すことができるリクエストの間隔を制限します。0 の値はこの制限を無効にします。

proxy_next_upstream_tries 0;

次のサーバにリクエストが渡すときに、可能な試行回数を制限します。0 の値はこの制限を無効にします。

応答がキャッシュに保存されない状況を定義します。stringパラメータのうちの一つでも空では無く"0"に等しくない場合は、応答は保存されないでしょう。

proxy_no_cache $cookie_nocache $arg_nocache$arg_comment;
proxy_no_cache $http_pragma    $http_authorization;

proxy_cache_bypass ディレクティブと一緒に使うことができます。

プロキシされるサーバのプロトコルとアドレスと、locationがマップされるべき任意のURIを設定します。プロトコルとして"http"または"https"が指定可能です。アドレスはドメイン名またはIPアドレス、オプションとしてポートが指定可能です:

proxy_pass http://localhost:8000/uri/;

あるいは、UNIXドメインソケットパスとして、"unix"の単語の後にコロンで囲んで指定します:

proxy_pass http://unix:/tmp/backend.socket:/uri/;

ドメイン名が幾つかのアドレスに解決される場合は、ラウンドロビンの形式でそれら全てが使われるでしょう。更に、server groupとしてアドレスを指定することができます。

パラメータの値には変数を含めることができます。この場合、アドレスがドメイン名として指定されない場合、名前はサーバ グループと記述された中で検索され、もし見つからない場合はレゾルバを使って決定されます。

リクエストURIはサーバに次のように渡されます:

• proxy_passディレクティブがURIで指定されていれば、リクエストがサーバに渡された時に locationに一致したnormalizedリクエストがディレクティブで指定されたURIと置き換えられます:

  location /name/ {
      proxy_pass http://127.0.0.1/remote/;
  }
  

• proxy_passがURIで指定されていなければ、元のリクエストが処理される時にリクエストURIはクライアントから送信された同じ形式でサーバに渡されます。あるいは、変更されたURIが処理される場合は、完全に正規化されたリクエストURIが渡されます:

  location /some/path/ {
      proxy_pass http://127.0.0.1;
  }
  

  バージョン1.1.12より前は、もしproxy_pass がURI無しで指定されていれば、いくつかの場合において変更されたURIの代わりに元のリクエストURIが渡されるかも知れません。

置き換えるリクエストURIの部分が決定できない場合もあります。

• 正規表現を使ってlocationが指定され、名前付きのlocation内にある場合。

  この場合、proxy_pass はURI無しで指定されるべきです。

• rewrite ディレクティブを使ってプロキシされたlocationの中でURIが変更される場合、この設定がリクエストを処理するために使われるでしょう((break):

  location /name/ {
      rewrite    /name/([^/]+) /users?name=$1 break;
      proxy_pass http://127.0.0.1;
  }
  

  この場合、ディレクティブで指定されたURIは無視され、完全に変更されたリクエストURIがサーバに渡されます:

• 変数がproxy_passの中で使われる場合:

  location /name/ {
      proxy_pass http://127.0.0.1$request_uri;
  }
  

  この場合、もしURIがディレクティブの中で指定されるならば、元のリクエストURIを置き換えてサーバへ渡されます。

WebSocket プロキシは、特別な設定を必要とし、バージョン1.3.13からサポートされます。

プロキシされたサーバからクライアントへotherwise disabledヘッダフィールドを渡すことを許可します。

proxy_pass_request_body on;

元のリクエストボディがプロキシされたサーバへ渡されるかどうかを指示します。

location /x-accel-redirect-here/ {
    proxy_method GET;
    proxy_pass_request_body off;
    proxy_set_header Content-Length "";

    proxy_pass ...
}

proxy_set_header とproxy_pass_request_headersディレクティブも見てください。

proxy_pass_request_headers on;

元のリクエストのヘッダフィールドがプロキシされたサーバへ渡されるかどうかを指示します。

location /x-accel-redirect-here/ {
    proxy_method GET;
    proxy_pass_request_headers off;
    proxy_pass_request_body off;

    proxy_pass ...
}

proxy_set_header とproxy_pass_request_bodyディレクティブも見てください。

proxy_read_timeout 60s;

プロキシされたサーバからの応答の読み込みのタイムアウトを定義します:. タイムアウトは二つの連続する読み込み操作の間に設定され、応答全体の転送のためのものではありません。プロキシされたサーバがこの時間内に何も転送しなかった場合、接続は閉じられます。

proxy_redirect default;

プロキシされたサーバの応答の"Location"と"Refresh"ヘッダフィールドの変更される必要がある文字を設定します。プロキシされたサーバが"Location: http://localhost:8000/two/some/uri/"ヘッダフィールドを返すことを仮定します。次のディレクティブ

proxy_redirect http://localhost:8000/two/ http://frontend/one/;

この文字列を"Location: http://frontend/one/some/uri/"に書き換えます。

サーバ名はreplacement 文字列から省略されるかも知れません:

proxy_redirect http://localhost:8000/two/ /;

80と異なれば、プライマリサーバ名とポートが挿入されるでしょう。

defaultパラメータによって指定されるデフォルトの置き換えには、location とproxy_pass ディレクティブが使われます。下がて、次の二つの設定は同じです:

location /one/ {
    proxy_pass     http://upstream:port/two/;
    proxy_redirect default;

location /one/ {
    proxy_pass     http://upstream:port/two/;
    proxy_redirect http://upstream:port/two/ /one/;

proxy_passが変数を使って指定された場合には、defaultパラメータは許可されません。

replacement 文字列は変数を含むことができます:

proxy_redirect http://localhost:8000/ http://$host:$server_port/;

redirectには変数も含むことができます(1.1.11):

proxy_redirect http://$proxy_host:8000/ /;

ディレクティブは正規表現を使って指定することができます(1.1.11)。この場合、redirect は、大文字小文字を区別しないマッチングには "~"記号、あるいは大文字小文字を区別するには"~*"記号のどちらかである必要があります。正規表現には、名前付きと場所のキャプチャを含むことができ、replacementはそれらを参照することができます:

proxy_redirect ~^(http://[^:]+):\d+(/.+)$ $1$2;
proxy_redirect ~*/user/([^/]+)/(.+)$      http://$1.example.com/$2;

いくつかのproxy_redirectディレクティブは同じレベルに設定できます:

proxy_redirect default;
proxy_redirect http://localhost:8000/  /;
proxy_redirect http://www.example.com/ /;

いくつかのディレクティブはプロキシサーバ応答のヘッダフィールドに適用され、最初に一致したディレクティブが選択されます。

offパラメータは、前の設定レベルから継承されたproxy_redirectディレクティブの効果を無効にします。

このディレクティブを使って、プロキシサーバによって発行される相対的なリダイレクトにホスト名を追加することもできます:

proxy_redirect / /;

proxy_request_buffering on;

クライアント リクエスト ボディのバッファを有効または無効にします。

バッファが有効な場合は、リクエストをプロキシされたサーバに渡す前にリクエストボディの全体が読み込まれます。

バッファリングが無効な場合は、リクエストボディを受け取るとすぐにプロキシされたサーバに送信されます。この場合、nginxがすでにリクエストボディの送信を開始している場合は、リクエストは次のサーバに渡すことができません。

元のリクエストボディを送信するためにHTTP/1.1 chunked transfer encoding が使用された場合は、プロキシのためにHTTP/1.1が enabled では無い場合は指定された値に関係なくバッファされます。

proxy_send_lowat 0;

もしこのディレクティブがゼロ以外の値に設定された場合、kqueueメソッドのNOTE_LOWAT またはSO_SNDLOWATソケットオプションのどちらかを使って、プロキシされるサーバへ向かう送信オペレーションの数を指定されたsizeを使って最小化しようとします。

このディレクティブはLinux、Solaris、Windowsでは無視されます。

proxy_send_timeout 60s;

プロキシされるサーバへのリクエストの転送のタイムアウトを設定します。タイムアウトは二つの連続する書き込み操作の間に設定され、リクエスト全体の転送のためのものではありません。この時間内にプロキシされるサーバが何も受け取らなかった場合、接続が閉じられます。

プロキシされるサーバへ渡されるリクエストボディの再定義が可能です。valueにはテキスト、変数、それらの組み合わせを含めることができます。

proxy_set_header Host $proxy_host;

proxy_set_header Connection close;

プロキシされるサーバへ渡されるリクエストヘッダのフィールドの再定義あるいは追加が可能です。valueにはテキスト、変数、それらの組み合わせを含めることができます。現在のレベルにproxy_set_headerディレクティブが無い場合に限り、これらのディレクティブは上の設定レベルから引き継がれます。デフォルトでは、二つのフィールドだけが再定義されます:

proxy_set_header Host       $proxy_host;
proxy_set_header Connection close;

キャッシングが有効な場合、元のリクエストのヘッダフィールド “If-Modified-Since”, “If-Unmodified-Since”, “If-None-Match”, “If-Match”, “Range” および “If-Range” がプロキシされるサーバへ渡されません。

変更されない"Host"リクエストヘッダフィールドは以下のように渡すことができます:

proxy_set_header Host       $http_host;

しかし、もしこのフィールドがクライアントリクエストヘッダに存在しない場合、何も渡されないでしょう。そのような場合には、$host 変数を使ったほうがよいです - その値は"Host"リクエストヘッダフィールドのサーバ名と同じか、このフィールドが無い場合にはプライマリサーバ名と同じです。

proxy_set_header Host       $host;

更に、サーバ名はプロキシされたサーバのポートと一緒に渡すことができます:

proxy_set_header Host       $host:$proxy_port;

ヘッダーフィールドの値が空文字であれば、このフィールドはプロキシされたサーバに渡されないでしょう:

proxy_set_header Accept-Encoding "";

proxy_socket_keepalive off;

proxiedサーバへの送信接続の“TCP keepalive”の動作を設定します。デフォルトでは、オペレーティングシステムの設定はソケットに対して有効です。ディレクティブが値“on”に設定されている場合、ソケットのSO_KEEPALIVEソケットオプションがオンになります。

プロキシされるHTTPサーバに対して認証に使われるPEM形式の証明書の ファイルを指定します。

バージョン 1.21.0以降、file名に変数を使うことができます。

プロキシされるHTTPSサーバに対して認証に使われるPEM形式の秘密鍵の ファイルを指定します。

engine:name:id の値は file の代わりに指定することができ(1.7.9)、 特定のOpenSSLのnameの特定の id と一緒に秘密鍵を取り付けます。

バージョン 1.21.0以降、file名に変数を使うことができます。

proxy_ssl_ciphers DEFAULT;

プロキシされたHTTPSサーバへのリクエストで有効なcipherを指定します。cipherはOpenSSLライブラリで理解される形式で指定されます。

全てのリストは"openssl ciphers"コマンドを使ってみることができます。

プロキシされたHTTPSサーバとの接続を確立する時に、任意のOpenSSL設定コマンドを設定します。

このディレクティブはOpenSSL 1.0.2以降を使う場合にサポートされます。

いくつかのproxy_ssl_conf_commandディレクティブは同じレベルに設定できます。現在のレベルにproxy_ssl_conf_commandディレクティブが無い場合に限り、これらのディレクティブは上の設定レベルから引き継がれます。

OpenSSLを直接設定すると、予期しない動作が発生する可能性があることに注意してください。

プロキシされたHTTPSサーバの証明書をverifyするために使われるPEM形式の無効な証明書(CRL)のfileを指定します。

proxy_ssl_name $proxy_host;

プロキシされたHTTPSサーバの証明書をverifyするために使われるサーバ名を上書きし、プロキシされたHTTPSサーバと接続を確立する時にpassed through SNIできます。

デフォルトでは、proxy_passURIのホスト部分が使われます。

secret keysのためのそれぞれのパスフレーズが一行に指定されているfileを指定します。パスフレーズはキーがロードされる時に順番に試されます。

proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

プロキシされたHTTPSサーバへ指定されたプロトコルのリクエストを有効にします。

proxy_ssl_server_name off;

secured HTTPSサーバと接続を確立する時に、TLS Server Name Indication extension (SNI, RFC 6066) を使ってサーバ名を渡すことを有効または無効にします。

proxy_ssl_session_reuse on;

プロキシされたサーバと動作する時に、SSLセッションを再利用するかどうかを決定します。ログに"SSL3_GET_FINISHED:digest check failed"が現れる場合は、セッションの再利用を無効にしてみてください。

プロキシされたHTTPSサーバの証明書をverifyするために使われるPEM形式の信頼されたCA証明書のfileを指定します。

proxy_ssl_verify off;

プロキシされたHTTPSサーバの証明書の検証を有効または無効にします。

proxy_ssl_verify_depth 1;

プロキシされたHTTPSサーバの連鎖証明書の検証の深さを設定します。

proxy_store off;

ファイルのディスクへの保存を有効にします。onパラメータはファイルをalias または rootディレクティブに対応するパスに保存します。offパラメータはファイルの保存を無効にします。更に、ファイル名は明示的に変数とともにstring を使って設定することができます:

proxy_store /data/www$original_uri;

ファイルの修正時間は受け取った"Last-Modified"応答ヘッダフィールドに従って設定されます。応答はまず一時ファイルに書き込まれ、それからファイルはリネームされます。バージョン0.8.9から、一時ファイルと恒久的な保存は別のファイルシステムに置くことができます。しかし、この場合に注意が必要なのは、手軽なリネーム操作の代わりにファイルは二つのファイルシステムを超えてコピーされるということです。従って、いずれの指定されたlocationの保存されたファイルと一時ファイルを保持するディレクトリの両方が、proxy_temp_path ディレクティブによって同じファイルシステムに配置することが薦められます。

このディレクティブは静的に変更されないファイルのローカルコピーを作成するために使うことができます。例えば:

location /images/ {
    root               /data/www;
    error_page         404 = /fetch$uri;
}

location /fetch/ {
    internal;

    proxy_pass         http://backend/;
    proxy_store        on;
    proxy_store_access user:rw group:rw all:r;
    proxy_temp_path    /data/temp;

    alias              /data/www/;
}

or like this:

location /images/ {
    root               /data/www;
    error_page         404 = @fetch;
}

location @fetch {
    internal;

    proxy_pass         http://backend;
    proxy_store        on;
    proxy_store_access user:rw group:rw all:r;
    proxy_temp_path    /data/temp;

    root               /data/www;
}

proxy_store_access user:rw;

新しく作成されたファイルとディレクトリにアクセスパーミッションを設定します。例えば:

proxy_store_access user:rw group:rw all:r;

何らかのgroup または all アクセスパーミッションが指定された場合には、userパーミッションは省略されるかも知れません:

proxy_store_access group:rw all:r;

proxy_temp_file_write_size 8k|16k;

プロキシされたサーバから一時ファイルへの応答のバッファリングが有効にされた場合、一時ファイルに一度に書き込まれるデータのsizeを制限します。 デフォルトでは、sizeはproxy_buffer_size とproxy_buffers ディレクティブで設定される二つのバッファによって制限されます。一時ファイルの最大サイズは proxy_max_temp_file_sizeディレクティブによって設定されます。

proxy_temp_path proxy_temp;

プロキシされたサーバから受け取るデータを保持する一時ファイルのディレクトリを定義します。指定されたディレクトリの下に3レベルまでのサブディレクトリ構造を使うことができます。例えば、次の設定の場合

proxy_temp_path /spool/nginx/proxy_temp 1 2;

テンポラリファイルはこのようになります:

/spool/nginx/proxy_temp/7/45/00000123457

proxy_cache_pathディレクティブのuse_temp_path パラメータも見てください。

ngx_http_proxy_module モジュールはproxy_set_headerディレクティブを使ってヘッダを組み立てるために使われる埋め込み変数をサポートします。

$proxy_host

proxy_pass ディレクティブの中で指定されたプロキシされる差b-アの名前とポート番号;

$proxy_port

proxy_pass ディレクティブの中で指定されたプロキシされるサーバのポート番号、あるいはプロトコルのデフォルトのポート番号;

$proxy_add_x_forwarded_for

"X-Forwarded-For"クライアントリクエストヘッダフィールドと$remote_addr 変数がカンマで区切られて追加されるでしょう。"X-Forwarded-For"フィールドがクライアントリクエストヘッダに存在しない場合、$proxy_add_x_forwarded_forと$remote_addr変数は同じになるでしょう。