目录
一、nginx优化
1、配置Nginx影藏版本号
隐藏Nginx版本号,避免安全漏洞泄漏
Nginx隐藏版本号的方法
(1)修改配置文件
(2)修改源码
(1)修改配置文件
将nginx配置文件中server_tokens选项的值设置为off
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #添加,关闭版本号
......
}
systemctl restart nginx
curl -I http://192.168.10.103
(2)修改源码文件,重新编译安装
vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
}
systemctl restart nginx
curl -I http://192.168.10.103
nginx源码
2、配置Nginx网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location / {
root html;
index index.html index.htm;
}
location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的 location,以图片作为缓存对象
root html;
expires 1d; #指定缓存时间,1天
}
......
}
}
http://www.xy101.com/wangsicong.jpg
systemctl restart nginx3、实现Nginx的日志分割
#!/bin/bash
#该脚本用于分隔nginx日志
#定义变量获取当前时间前一天的时间格式
YESTERDAY=$(date -d "-1 day" "+%Y%m%d")
#定义变量存放分隔日志的目录
LOGPAATH=/var/log/nginx
#定义变量指定nginx的家目录
NGINX_HOME=/usr/local/nginx
#定义PID文件路径
PIDPATH=$NGINX_HOME/logs/nginx.pid
#判断保存日志的目录是否存在,不存在则创建目录
[ -d $LOGPAATH ] || mkdir -p $LOGPAATH
#使用m命令进行日志分割,移动日志文件到专门保存日志的目录中,并在文件后
缀添加时间标记
mv $NGINX_HOME/logs/access.log $LOGPAATH/access.log_$YESTERDAY
mv $NGINX_HOME/logs/error.log $LOGPAATH/error.log_$YESTERDAY
#使用kill -USR1 使nginx生成新的日志文件,用于后续的日志记录
kill -USR1 $(cat $PIDPATH)
#使用find -mtime 选项查找超过90天以前的旧日志文件并删除,用来释放磁盘>空间
find $LOGPAATH -mtime +90 -delete4、配置Nginx实现链接超时
为避免同一客户端长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间
超时参数
Keepalive_timeout 设置连接保持超时时间
Client header timeout 指定等待客户端发送请求头的超时时间
Client body timeout 设置请求体读超时时间
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 60 50;
keepalive_requests 100;
client_header_timeout 80;
client_body_timeout 80;
......
}
systemctl restart nginx5、更改Nginx运行进程数
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞
更改进程数的配置方法:修改配置文件,修改进程配置参数
修改配置文件的worker_processes参数,一般设为CPU的个数或者核数,在高并发情况下可设置为CPU个数或者核数的2倍
增加进程数,可减少了系统的开销,提升了服务速度,使用psaux查看运行进程数的变化情况
[root@www conf]# cat /proc/cpuinfo | grep -c "physical"
[root@www conf]# vi nginx.conf
worker processes 4;
[root@www conf]# systemctl restart nginx
[root@www conf]# ps aux | grep nginx默认情况,Nginx的多个进程可能跑在一个CPU上,可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU
在一台4核物理服务器,进行配置,将进程进行分配
[root@www conf]# vi nginx.conf
worker processes 4;
worker_cpu affinity 0001 0010 0100 1000;6、配置网页压缩
ngx_http_gzip_module是Nginx提供对文件压缩功能的模块
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小,小于设置值的文件将不会压缩
gzip_buffers 4 16k; #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单位的4倍申请内存
gzip_http_version 1.1; #用于识别HTTP协议版本
gzip_comp_level 5; #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般设置该参数的值在3~5之间,最好不要超过5
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
......
}实现网页图片的压缩
http_image_filter_module是Nginx提供的集成图片处理模块,可以用于实时缩放图片,旋转图片,验证图片有效性以及获取图片宽高以及图片类型信息
yum install -y gd-devel
#yum在线源安装gd-devel,http_image_filter_module模块需要依赖gd-devel的支持
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
....
gzip on;
gzip_types text/plain .... image/jpeg image/gif image/png;
#将图片类型文件压缩加入gzip
....
server {
....
location ~* \.(jpg|gif|png)$ {
image_filter resize 200 200;
#按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度,另一维可以指定为:“-”
}
#(如果长>宽就以长为标准,宽为比例;如果长<宽就以宽为标准,长为比例)
}
}二、防盗链
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,
默认情况下,只需要进行简单的配置,即可实现防盗链处理
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~* \.(jpg|gif|swf)$ {
valid_referers none blocked *.xy101.com xy101.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.xy101.com/error.png;
#return 403;
}
}
......
}
}总结:
1.nginx优化
nginx应用配置文件的优化:
nginx的性能优化
开启网页压缩 gzip on;
页面缓存 expires 缓存时间;
连接保持超时 keepalive_timeout 服务端超时时间 客户端超时时间;
设置工作进程数 work_processes 与服务器CPU数量相同或auto
设置工作进程连接数 worker_connections worker_rlimit_nofile
工作进程静态绑核 worker_cpu_affinity
开启高效文件传输模式 sendfile on; tcp_nopush on; tcp_nodelay on;
IO多路复用 use epoll;
连接优化 multi_accept on;(一个进程同时接受多个网络连接) accept_mutex on;(以串行方式接入新连接,防止惊群现象发生)
nginx的安全优化
隐藏版本号 server_tokens off; 修改源代码 nginx.h
防盗链 valid_referers if ($invalid_referer) {rewrite ....} rewrite地址重写
访问控制 deny/allow
设置运行用户/组 user 用户名 组名;
限制请求数 limit_req_zone limit_req
限制连接数 limit_conn_zone limit_conn
日志分割 shell脚本 + crontab
系统内核优化
/etc/sysctl.conf 内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30 修改MSL值,系统默认的TIMEOUT时间
#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200 #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535 #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192 #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000 #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535 #一个端口能够监听的最大连接数
#如果需要IP路由转发
net.ipv4.ip_forward=1
/etc/security/limits.conf 内核资源限制文件
* soft noproc 65535 打开系统进程数
* hard noproc 65535
* soft nofile 65535 进程打开文件数
* hard nofile 65535
常用nginx模块
http_stub_status_module 访问状态统计模块
http_gzip_module 网页压缩模块
http_rewrite_module URL地址重写模块
http_ssl_module https安全加密模块
http_auth_basic_module 网页用户认证模块
http_fastcgi_module fastcgi转发模块
http_image_filter_module 图片处理模块
http_mp4/flv_module mp4/flv视频格式模块
http_limit_req_module 限制请求数模块
http_limit_conn_module 限制连接数模块
http_proxy_module 代理转发模块
http_upstream_*_module 负载均衡模块
stream 四层代理转发模块