Nginx 重定向 HTTPS、www、IPv6、HTTP2

我试图避免 Nginx 中的重定向链，我将其用作 Apache 的反向代理。

我已经能够找到大量有关重定向HTTP到的文档HTTPS。

我还发现了大量有关重定向www到裸域（或反之亦然）的文档。

vhosts/websites（大部分）是我的主网站的子域名example.com。

背景：我之所以使用此配置，是因为我最熟悉 Apache，但我欣赏 Nginx 的性能改进，更重要的是，我在服务器上运行了一个 NodeJS 应用程序，我希望用户能够访问它而无需在请求中附加端口。Nginx 监听 HTTP 的端口 80 和 HTTPS 的端口 443，并将请求路由到我已配置 Apache 和 NodeJS 使用的端口（Apache 的端口 8080 和 Node 的端口 4000）。

编辑：我在以下位置找到了配置生成器工具nginx配置工具非常有帮助，而且我从那里得到的很多内容都保留了下来。

对于“主”网站，我正在使用www子域名，因此我需要将以下域名重定向到https://www.example.com：

http://example.com
http://www.example.com
https://example.com

我能找到的一切似乎都通过两次重定向来处理这个问题，例如：

http://example.com至https://example.com至https://www.example.com

答案在这个问题www（实际上是到裸域的重定向），使用if语句，但 Nginx 文档建议if出于性能原因避免使用语句。

问题 1 有没有办法在一次重定向中处理这些重定向，并且不会触发有关具有重复服务器名称的块的警告？

问题2 当我设置端口 80 的阻止时，如果我所做的只是重定向，那么我需要包含哪些参数？

我的.conf文件如下所示：

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    server_name www.example.com;
    root /var/www/html/example.com;

    # SSL
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

    # security
    include nginxconfig.io/security.conf;

    # logging
    access_log /var/log/nginx/example.com.access.log;
    error_log /var/log/nginx/example.com.error.log warn;

    # index.html fallback
    location / {
        try_files $uri $uri/ /index.html;
    }

    # additional config
    include nginxconfig.io/general.conf;
}

# HTTP redirect
server {
    listen 80;
    listen [::]:80;

    server_name example.com;

    include nginxconfig.io/letsencrypt.conf;

    location / {
        return 301 https://$server_name$request_uri;

    }
}

我需要include nginxconfig.io/letsencrypt.conf;在端口 80 中设置块吗？

我是否需要在端口 80 的块中添加指令，以便通过 HTTP 的 HTTP2 请求重定向到 HTTPS，同时仍然支持 HTTP2，或者仅在 HTTPS/端口 443 的块中包含指令就足够http2了。listenhttp2

其内容nginxconfig.io/letsencrypt.conf为：

# ACME-challenge
location ^~ /.well-known/acme-challenge/ {
    root /var/www/_letsencrypt;
}

内容.../security.conf有：

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
#add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
#add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

# . files
location ~ /\.(?!well-known) {
    deny all;
}
location ~* (?:#.*#|\.(?:bak|conf|dist|fla|in[ci]|log|orig|psd|sh|sql|sw[op])|~)$ {
  deny all;
}

我确实计划最终实施 HSTS，但显然，需要先理清我的基本配置。

内容.../general.conf：

# favicon.ico
location = /favicon.ico {
    log_not_found off;
    access_log off;
}

# robots.txt
location = /robots.txt {
    log_not_found off;
    access_log off;
}

# gzip
gzip on;
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_types text/plain text/css text/xml application/json application/javascript application/rss+xml application/atom+xml image/svg+xml;