image.png
总结一下nginx优化常用的配置,无废话,简单明了。根据项目实际业务情况进行合理配置。
Nginx高性能调优总结
目录:
1.Gzip 压缩
2.Expires缓存时间
3.事件处理模型优化use epoll
4.高效文件传输模式sendfile on
5.优化服务器域名的散列表大小
6.优化worker服务进程数
7.FastCGI参数调优
8.Log日志优化
9.资源防盗链
10.限制HTTP的请求方法
11.控制客户端请求速率
12.HTTPS配置优化
13.优化配置及详细注释事例
Gzip压缩:
#修改配置为
gzip on; #开启gzip压缩功能
gzip_min_length 10k; #设置允许压缩的页面最小字节数; 这里表示如果文件小于10个字节,就不用压缩,因为没有意义,本来就很小.
gzip_buffers 4 16k; #设置压缩缓冲区大小,此处设置为4个16K内存作为压缩结果流缓存
gzip_http_version 1.1; #压缩版本
gzip_comp_level 2; #设置压缩比率,最小为1,处理速度快,传输速度慢;9为最大压缩比,处理速度慢,传输速度快; 这里表示压缩级别,可以是0到9中的任一个,级别越高,压缩就越小,节省了带宽资源,但同时也消耗CPU资源,所以一般折中为6
gzip types text/css text/xml application/javascript; #制定压缩的类型,线上配置时尽可能配置多的压缩类型!
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip vary on; #选择支持vary header;改选项可以让前端的缓存服务器缓存经过gzip压缩的页面; 这个可以不写,表示在传送数据时,给客户端说明我使用了gzip压缩
Nginx设置expires设定页面缓存时间
配置expires起到控制页面缓存的作用,合理的配置expires可以减少很多服务器的请求要配置expires,
官方文档:http://nginx.org/en/docs/http/ngx_http_headers_module.html
可以在http段中或者server段中或者location段中加入:
location ~ \.(gif|jpg|jpeg|png|bmp|ico)$ {
root /var/www/img/;
expires 30d; # 30m:30 分钟,2h:2 小时,30d:30 天
}
控制图片等过期时间为30天,当然这个时间可以设置的更长。具体视情况而定。
事件处理模型优化use epoll
epoll用在linux上, kqueue用在bsd上, 不能物理上共存。如果你的服务器cpu较好,linux内核新,可考虑用epoll.
events {
#单个进程允许的客户端最大连接数
worker_connections 20480;
#收到一个新连接通知后接受尽可能多的连接。
multi_accept on;
#使用epoll模型
use epoll;
}
高效文件传输模式sendfile on
参数sendfile on 用于开启文件高效传输模式,同时将tcp_nopush on 和tcp_nodelay on 两个指令设置为on,可防止网络及磁盘I/O阻塞,提升Nginx工作效率
#开启高效文件传输模式
sendfile on;
#减少网络报文段数量
tcp_nopush on;
#提高I/O性能
tcp_nodelay on;
优化服务器域名的散列表大小
如果在 server_name 中配置了一个很长的域名,那么重载 Nginx 时会报错,因此需要使用 server_names_hash_max_size 来解决域名过长的问题
#域名散列表大小
server_names_hash_bucket_size 64;
server_names_hash_max_size 2048;
Nginx高性能调优总结
worker进程数最开始的设置可以等于CPU的核数,高流量高并发场合也可以考虑将进程数提高至CPU核数*2, 设置太多没有意义。
#查看CPU总颗数:
[root@nginx conf]# grep 'physical id' /proc/cpuinfo|sort|uniq|wc -l
1
#查看CPU总核数:
[root@nginx conf]# grep processor /proc/cpuinfo |wc -l
4
#CPU的总核数4
worker_processes 4;
FastCGI参数调优
如果是动态请求(如 PHP),那么 Nginx 就会把它通过 FastCGI 接口发送给 PHP 引擎服务, (即 php-fpm)进行解析.
fastcgi_connect_timeout 240; # Nginx服务器和后端FastCGI服务器连接的超时时间
fastcgi_send_timeout 240; # Nginx允许FastCGI服务器返回数据的超时时间,即在规定时间内后端服务器必须传完所有的数据,否则Nginx将断开这个连接
fastcgi_read_timeout 240; # Nginx从FastCGI服务器读取响应信息的超时时间,表示连接建立成功后,Nginx等待后端服务器的响应时间
fastcgi_buffer_size 64k; # Nginx FastCGI 的缓冲区大小,用来读取从FastCGI服务器端收到的第一部分响应信息的缓冲区大小
fastcgi_buffers 4 64k; # 设定用来读取从FastCGI服务器端收到的响应信息的缓冲区大小和缓冲区数量
fastcgi_busy_buffers_size 128k; # 用于设置系统很忙时可以使用的 proxy_buffers 大小
fastcgi_temp_file_write_size 128k; # FastCGI 临时文件的大小
# fastcti_temp_path /data/ngx_fcgi_tmp; # FastCGI 临时文件的存放路径
fastcgi_cache_path /data/ngx_fcgi_cache levels=2:2 keys_zone=ngx_fcgi_cache:512m inactive=1d max_size=40g; # 缓存目录
fastcgi_cache ngx_fcgi_cache; # 缓存FastCGI生成的内容,比如PHP生成的动态内容
fastcgi_cache_valid 200 302 1h; # 指定http状态码的缓存时间,这里表示将200和302缓存1小时
fastcgi_cache_valid 301 1d; # 指定http状态码的缓存时间,这里表示将301缓存1天
fastcgi_cache_valid any 1m; # 指定http状态码的缓存时间,这里表示将其他状态码缓存1分钟
fastcgi_cache_min_uses 1; # 设置请求几次之后响应被缓存,1表示一次即被缓存
fastcgi_cache_use_stale error timeout invalid_header http_500; # 定义在哪些情况下使用过期缓存
fastcgi_cache_key http://$host$request_uri; # 定义 fastcgi_cache 的 key
Log日志优化
- 排除不需要的日志。
location ~ .*\.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF)$ {
access_log off;
}
2.日志切割:nginx日志默认不做处理,都会存放到access.log,error.log, 导致越积越多。 可写个定时脚本按天存储,每天凌晨00:00执行
#!/bin/bash
YESTERDAY=$(date -d "yesterday" +"%Y-%m-%d")
LOGPATH=/usr/local/openresty/nginx/logs/
PID=${LOGPATH}nginx.pid
mv ${LOGPATH}access.log ${LOGPATH}access-${YESTERDAY}.log
mv ${LOGPATH}error.log ${LOGPATH}error-${YESTERDAY}.log
kill -USR1 `cat ${PID}`
资源防盗链
大量的盗链对于服务器也是很大的消耗, 防盗链主要两种方法:
- 根据 HTTP referer 实现防盗链
#第一种,匹配后缀
location ~ .*\.(gif|jpg|jpeg|png|bm|swf|flv|rar|zip|gz|bz2)$ { # 指定需要使用防盗链的媒体资源
access_log off; # 不记录防盗链的日志
expires 15d; # 设置缓存时间
valid_referers none blocked *.test.com *.abc.com; # 表示这些地址可以访问上面的媒体资源
if ($invalid_referer) { # 如果地址不如上面指定的地址就返回403
return 403
}
}
2.根据 cookie 实现防盗链:cookie 是服务器贴在客户端身上的 "标签" ,服务器用它来识别客户端
#第二种,绑定目录
location /images {
root /web/www/img;
vaild_referers nono blocked *.spdir.com *.spdir.top;
if ($invalid_referer) {
return 403;
}
}
限制HTTP的请求方法
HTTP1.1定义了八种主要的方法,其中OPTIONS、DELETE等方法在生产环境可以被认为是不安全的,因此需要配置Nginx实现限制指定某些HTTP请求的方法来达到提升服务器安全的目的。
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 501;
}
通过限制上传服务器的Web服务(可以具体到文件)使用GET方法,防止用户通过上传服务器访问存储内容
if ($request_method !~ ^(GET)$ ) {
return 501;
}
控制客户端请求速率
# 以请求的客户端IP作为key值,内存区域命名为one,分配10m内存空间,访问速率限制为1秒1次请求
limit_req_zone $binary_remove_addr zone=one:10m rate=1r/s;
# 使用前面定义的为one的内存空间,队列值为5,即可以有5个请求排队等候
limit_req zone=one burst=5;
HTTPS配置优化
NGINX配置HTTPS性能优化方案一则:
- HSTS的合理使用
- 会话恢复的合理使用
- Ocsp stapling的合理使用
- TLS协议的合理配置
- False Start的合理使用
- SNI功能的合理使用,
- HTTP 2.0的合理使用(Nginx在1.9.x版本就开始支持http2协议)
- SSL硬件加速卡合理使用
#以下是一个nginx优化https的配置模板:
server {
# 把ssl on;这行去掉,ssl写在443端口后面。这样http和https的链接都可以用
listen 443 ssl http2 default_server;
server_name site.xxx.com;
# HSTS的合理使用,max-age表明HSTS在浏览器中的缓存时间,includeSubdomainscam参数指定应该在所有子域上启用HSTS,preload参数表示预加载,通过Strict-Transport-Security: max-age=0将缓存设置为0可以撤销HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
ssl_certificate /usr/local/nginx/cert/server.pem;
ssl_certificate_key /usr/local/nginx/cert/server.key;
# 分配10MB的共享内存缓存,不同工作进程共享TLS会话信息
ssl_session_cache shared:SSL:10m;
# 设置会话缓存过期时间24h
ssl_session_timeout 1440m;
# TLS协议的合理配置
# 指定TLS协议的版本,不安全的SSL2和SSL3要废弃掉
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 启用ssl_prefer_server_ciphers,用来告诉Nginx在TLS握手时启用服务器算法优先,由服务器选择适配算法而不是客户端
ssl_prefer_server_ciphers on;
# 优先选择支持前向加密的算法,且按照性能的优先顺序排列
ssl_ciphers ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-DES-CBC3-SHA ECDHE-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 AES128-SHA AES256-SHA DES-CBC3-SHA !DSS";
# 会话恢复的合理使用
# 配置会话票证,减少了TLS握手的开销
ssl_session_tickets on;
# 生产key的命令通过openssl生成:openssl rand –out session_ticket.key 48
ssl_session_ticket_key /usr/local/nginx/ssl_cert/session_ticket.key;
#设置TLS日志格式
log_format ssl "$time_local $server_name $remote_addr $connection $connnection_requests $ssl_protocol $ssl_cipher $ssl_session_id $ssl_session_reused";
access_log /usr/local/nginx/logs/access.log ssl;
# Ocsp stapling的合理使用
# 启用OCSP stapling,指定更新文件内容,无需从服务商拉取
ssl_stapling on;
ssl_stapling_file /usr/local/nginx/oscp/stapling_file.ocsp;
# 或者不指定更新文件内容,在线获取,valid表示缓存5分钟,resolver_timeout表示网络超时时间
#resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
#resolver_timeout 5s;
# 启用OCSP响应验证,OCSP信息响应适用的证书
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/ssl_cert/trustchain.crt;
root html;
index index.html index.htm;
location / {
...
}
error_page 403 /403.html;
location = /403.html {
root /usr/local/nginx/waf/403/default;
}
error_page 500 502 503 504 /502.html;
location = /502.html {
root /usr/local/nginx/waf/403/default;
}
}
Nginx高性能调优总结
-
2019年04月01日 10:43
-
浏览(91)
-
[收藏(10)](javascript:void(0);)
-
[评论(0)](javascript:void(0);)
-
[分享](javascript:void(0);)
| 导语 总结一下nginx优化常用的配置,无废话,简单明了。根据项目实际业务情况进行合理配置。
[图片上传失败...(image-15ad47-1554185638101)]`
目录:
1.Gzip 压缩
2.Expires缓存时间
3.事件处理模型优化use epoll
4.高效文件传输模式sendfile on
5.优化服务器域名的散列表大小
6.优化worker服务进程数
7.FastCGI参数调优
8.Log日志优化
9.资源防盗链
10.限制HTTP的请求方法
11.控制客户端请求速率
12.HTTPS配置优化
13.优化配置及详细注释事例
Gzip压缩:
#修改配置为
gzip on; #开启gzip压缩功能
gzip_min_length 10k; #设置允许压缩的页面最小字节数; 这里表示如果文件小于10个字节,就不用压缩,因为没有意义,本来就很小.
gzip_buffers 4 16k; #设置压缩缓冲区大小,此处设置为4个16K内存作为压缩结果流缓存
gzip_http_version 1.1; #压缩版本
gzip_comp_level 2; #设置压缩比率,最小为1,处理速度快,传输速度慢;9为最大压缩比,处理速度慢,传输速度快; 这里表示压缩级别,可以是0到9中的任一个,级别越高,压缩就越小,节省了带宽资源,但同时也消耗CPU资源,所以一般折中为6
gzip types text/css text/xml application/javascript; #制定压缩的类型,线上配置时尽可能配置多的压缩类型!
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip vary on; #选择支持vary header;改选项可以让前端的缓存服务器缓存经过gzip压缩的页面; 这个可以不写,表示在传送数据时,给客户端说明我使用了gzip压缩
Nginx设置expires设定页面缓存时间
配置expires起到控制页面缓存的作用,合理的配置expires可以减少很多服务器的请求要配置expires,
官方文档:http://nginx.org/en/docs/http/ngx_http_headers_module.html
可以在http段中或者server段中或者location段中加入
location ~ \.(gif|jpg|jpeg|png|bmp|ico)$ {
root /var/www/img/;
expires 30d; # 30m:30 分钟,2h:2 小时,30d:30 天
}
控制图片等过期时间为30天,当然这个时间可以设置的更长。具体视情况而定
事件处理模型优化use epoll
epoll用在linux上, kqueue用在bsd上, 不能物理上共存。如果你的服务器cpu较好,linux内核新,可考虑用epoll.
events {
#单个进程允许的客户端最大连接数
worker_connections 20480;
#收到一个新连接通知后接受尽可能多的连接。
multi_accept on;
#使用epoll模型
use epoll;
}
高效文件传输模式sendfile on
参数sendfile on 用于开启文件高效传输模式,同时将tcp_nopush on 和tcp_nodelay on 两个指令设置为on,可防止网络及磁盘I/O阻塞,提升Nginx工作效率
#开启高效文件传输模式
sendfile on;
#减少网络报文段数量
tcp_nopush on;
#提高I/O性能
tcp_nodelay on;
优化服务器域名的散列表大小
如果在 server_name 中配置了一个很长的域名,那么重载 Nginx 时会报错,因此需要使用 server_names_hash_max_size 来解决域名过长的问题
#域名散列表大小
server_names_hash_bucket_size 64;
server_names_hash_max_size 2048;
优化worker服务进程数
worker进程数最开始的设置可以等于CPU的核数,高流量高并发场合也可以考虑将进程数提高至CPU核数*2, 设置太多没有意义。
#查看CPU总颗数:
[root@nginx conf]# grep 'physical id' /proc/cpuinfo|sort|uniq|wc -l
1
#查看CPU总核数:
[root@nginx conf]# grep processor /proc/cpuinfo |wc -l
4
#CPU的总核数4
worker_processes 4;
FastCGI参数调优
如果是动态请求(如 PHP),那么 Nginx 就会把它通过 FastCGI 接口发送给 PHP 引擎服务, (即 php-fpm)进行解析.
fastcgi_connect_timeout 240; # Nginx服务器和后端FastCGI服务器连接的超时时间
fastcgi_send_timeout 240; # Nginx允许FastCGI服务器返回数据的超时时间,即在规定时间内后端服务器必须传完所有的数据,否则Nginx将断开这个连接
fastcgi_read_timeout 240; # Nginx从FastCGI服务器读取响应信息的超时时间,表示连接建立成功后,Nginx等待后端服务器的响应时间
fastcgi_buffer_size 64k; # Nginx FastCGI 的缓冲区大小,用来读取从FastCGI服务器端收到的第一部分响应信息的缓冲区大小
fastcgi_buffers 4 64k; # 设定用来读取从FastCGI服务器端收到的响应信息的缓冲区大小和缓冲区数量
fastcgi_busy_buffers_size 128k; # 用于设置系统很忙时可以使用的 proxy_buffers 大小
fastcgi_temp_file_write_size 128k; # FastCGI 临时文件的大小
# fastcti_temp_path /data/ngx_fcgi_tmp; # FastCGI 临时文件的存放路径
fastcgi_cache_path /data/ngx_fcgi_cache levels=2:2 keys_zone=ngx_fcgi_cache:512m inactive=1d max_size=40g; # 缓存目录
fastcgi_cache ngx_fcgi_cache; # 缓存FastCGI生成的内容,比如PHP生成的动态内容
fastcgi_cache_valid 200 302 1h; # 指定http状态码的缓存时间,这里表示将200和302缓存1小时
fastcgi_cache_valid 301 1d; # 指定http状态码的缓存时间,这里表示将301缓存1天
fastcgi_cache_valid any 1m; # 指定http状态码的缓存时间,这里表示将其他状态码缓存1分钟
fastcgi_cache_min_uses 1; # 设置请求几次之后响应被缓存,1表示一次即被缓存
fastcgi_cache_use_stale error timeout invalid_header http_500; # 定义在哪些情况下使用过期缓存
fastcgi_cache_key http://$host$request_uri; # 定义 fastcgi_cache 的 key
Log日志优化
1. 排除不需要的日志。
location ~ .*\.(js|jpg|JPG|jpeg|JPEG|css|bmp|gif|GIF)$ {
access_log off;
}
2. 日志切割:nginx日志默认不做处理,都会存放到access.log,error.log, 导致越积越多。 可写个定时脚本按天存储,每天凌晨00:00执行
#!/bin/bash
YESTERDAY=$(date -d "yesterday" +"%Y-%m-%d")
LOGPATH=/usr/local/openresty/nginx/logs/
PID=${LOGPATH}nginx.pid
mv ${LOGPATH}access.log ${LOGPATH}access-${YESTERDAY}.log
mv ${LOGPATH}error.log ${LOGPATH}error-${YESTERDAY}.log
kill -USR1 `cat ${PID}`
资源防盗链
大量的盗链对于服务器也是很大的消耗, 防盗链主要两种方法:
1. 根据 HTTP referer 实现防盗链
#第一种,匹配后缀
location ~ .*\.(gif|jpg|jpeg|png|bm|swf|flv|rar|zip|gz|bz2)$ { # 指定需要使用防盗链的媒体资源
access_log off; # 不记录防盗链的日志
expires 15d; # 设置缓存时间
valid_referers none blocked *.test.com *.abc.com; # 表示这些地址可以访问上面的媒体资源
if ($invalid_referer) { # 如果地址不如上面指定的地址就返回403
return 403
}
}
2. 根据 cookie 实现防盗链:cookie 是服务器贴在客户端身上的 "标签" ,服务器用它来识别客户端
#第二种,绑定目录
location /images {
root /web/www/img;
vaild_referers nono blocked *.spdir.com *.spdir.top;
if ($invalid_referer) {
return 403;
}
}
限制HTTP的请求方法
HTTP1.1定义了八种主要的方法,其中OPTIONS、DELETE等方法在生产环境可以被认为是不安全的,因此需要配置Nginx实现限制指定某些HTTP请求的方法来达到提升服务器安全的目的。
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 501;
}
通过限制上传服务器的Web服务(可以具体到文件)使用GET方法,防止用户通过上传服务器访问存储内容
if ($request_method !~ ^(GET)$ ) {
return 501;
}
控制客户端请求速率
# 以请求的客户端IP作为key值,内存区域命名为one,分配10m内存空间,访问速率限制为1秒1次请求
limit_req_zone $binary_remove_addr zone=one:10m rate=1r/s;
# 使用前面定义的为one的内存空间,队列值为5,即可以有5个请求排队等候
limit_req zone=one burst=5;
HTTPS配置优化
NGINX配置HTTPS性能优化方案一则:
- HSTS的合理使用
- 会话恢复的合理使用
- Ocsp stapling的合理使用
- TLS协议的合理配置
- False Start的合理使用
- SNI功能的合理使用,
- HTTP 2.0的合理使用(Nginx在1.9.x版本就开始支持http2协议)
- SSL硬件加速卡合理使用
#以下是一个nginx优化https的配置模板:
server {
# 把ssl on;这行去掉,ssl写在443端口后面。这样http和https的链接都可以用
listen 443 ssl http2 default_server;
server_name site.xxx.com;
# HSTS的合理使用,max-age表明HSTS在浏览器中的缓存时间,includeSubdomainscam参数指定应该在所有子域上启用HSTS,preload参数表示预加载,通过Strict-Transport-Security: max-age=0将缓存设置为0可以撤销HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
ssl_certificate /usr/local/nginx/cert/server.pem;
ssl_certificate_key /usr/local/nginx/cert/server.key;
# 分配10MB的共享内存缓存,不同工作进程共享TLS会话信息
ssl_session_cache shared:SSL:10m;
# 设置会话缓存过期时间24h
ssl_session_timeout 1440m;
# TLS协议的合理配置
# 指定TLS协议的版本,不安全的SSL2和SSL3要废弃掉
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 启用ssl_prefer_server_ciphers,用来告诉Nginx在TLS握手时启用服务器算法优先,由服务器选择适配算法而不是客户端
ssl_prefer_server_ciphers on;
# 优先选择支持前向加密的算法,且按照性能的优先顺序排列
ssl_ciphers ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-RSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES128-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-AES256-SHA DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-DES-CBC3-SHA ECDHE-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA AES128-GCM-SHA256 AES256-GCM-SHA384 AES128-SHA256 AES256-SHA256 AES128-SHA AES256-SHA DES-CBC3-SHA !DSS";
# 会话恢复的合理使用
# 配置会话票证,减少了TLS握手的开销
ssl_session_tickets on;
# 生产key的命令通过openssl生成:openssl rand –out session_ticket.key 48
ssl_session_ticket_key /usr/local/nginx/ssl_cert/session_ticket.key;
#设置TLS日志格式
log_format ssl "$time_local $server_name $remote_addr $connection $connnection_requests $ssl_protocol $ssl_cipher $ssl_session_id $ssl_session_reused";
access_log /usr/local/nginx/logs/access.log ssl;
# Ocsp stapling的合理使用
# 启用OCSP stapling,指定更新文件内容,无需从服务商拉取
ssl_stapling on;
ssl_stapling_file /usr/local/nginx/oscp/stapling_file.ocsp;
# 或者不指定更新文件内容,在线获取,valid表示缓存5分钟,resolver_timeout表示网络超时时间
#resolver 8.8.8.8 8.8.4.4 223.5.5.5 valid=300s;
#resolver_timeout 5s;
# 启用OCSP响应验证,OCSP信息响应适用的证书
ssl_stapling_verify on;
ssl_trusted_certificate /usr/local/nginx/ssl_cert/trustchain.crt;
root html;
index index.html index.htm;
location / {
...
}
error_page 403 /403.html;
location = /403.html {
root /usr/local/nginx/waf/403/default;
}
error_page 500 502 503 504 /502.html;
location = /502.html {
root /usr/local/nginx/waf/403/default;
}
}
优化配置及详细注释事例
#普通配置
#==性能配置
#运行用户
user nobody;
#pid文件
pid logs/nginx.pid;
#Nginx基于事件的非阻塞多路复用模型(epoll或kquene)
#一个进程在短时间内可以响应大量请求,工作进程设置与cpu数相同,避免cpu在多个进程间切换增加开销
#==worker进程数,通常设置<=CPU数量,auto为自动检测,一般设置最大8个即可,再大性能提升较小或不稳定
worker_processes auto;
#==将每个进程绑定到特定cpu上,避免进程在cpu间切换的开销
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
#==worker进程打开最大文件数,可CPU*10000设置,或设置系统最大数量655350
worker_rlimit_nofile 102400;
#全局错误日志
error_log logs/error.log;
#events模块中包含nginx中所有处理连接的设置,并发响应能力的关键配置
events {
#==每个进程同时打开的最大连接数(最大并发数)
worker_connections 102400;
#==告诉nginx收到一个新链接通知后接受尽可能多的链接
#multi_accept on;
#一般http 1.1协议下,浏览器默认使用两个并发链接
#如果是反向代理,nginx需要和客户端保持连接,还需要和后端服务器保持连接
#Http服务器时,设置max_client=worker_processes*worker_connections/2
#反向代理时,设置max_client=worker_processes*worker_connections/4
#==最大可用客户端数
#max_client
#==使用非阻塞模型,设置复用客户端线程的轮训方法
use epoll;
}
#http模块控制着nginx http处理的所有核心特性
http {
#打开或关闭错误页面中的nginx版本号等信息
server_tokens on;
#!server_tag on;
#!server_info on;
#==优化磁盘IO设置,指定nginx是否调用sendfile函数来输出文件,普通应用设为on,下载等磁盘IO高的应用,可设为off
sendfile on;
#缓存发送请求,启用如下两个配置,会在数据包达到一定大小后再发送数据
#这样会减少网络通信次数,降低阻塞概率,但也会影响响应的及时性
#比较适合于文件下载这类的大数据包通信场景
#tcp_nopush on;
#tcp_nodelay on;
#==设置nginx是否存储访问日志,关闭这个可以让读取磁盘IO操作更快
access_log on;
#设置nginx只记录严重错误,可减少IO压力
#error_log logs/error.log crit;
#Http1.1支持长连接
#降低每个链接的alive时间可在一定程度上提高响应连接数量
#==给客户端分配keep-alive链接超时时间
keepalive_timeout 30;
#设置用户保存各种key的共享内存的参数,5m指的是5兆
limit_conn_zone $binary_remote_addr zone=addr:5m;
#为给定的key设置最大的连接数,这里的key是addr,设定的值是100,就是说允许每一个IP地址最多同时打开100个连接
limit_conn addr 100;
#include指在当前文件中包含另一个文件内容
include mime.types;
#设置文件使用默认的mine-type
default_type text/html;
#设置默认字符集
charset UTF-8;
#==设置nginx采用gzip压缩的形式发送数据,减少发送数据量,但会增加请求处理时间及CPU处理时间,需要权衡
gzip on;
#==加vary给代理服务器使用,针对有的浏览器支持压缩,有个不支持,根据客户端的HTTP头来判断是否需要压缩
gzip_vary on;
#nginx在压缩资源之前,先查找是否有预先gzip处理过的资源
#!gzip_static on;
#为指定的客户端禁用gzip功能
gzip_disable "MSIE[1-6]\.";
#允许或禁止压缩基于请求和相应的响应流,any代表压缩所有请求
gzip_proxied any;
#==启用压缩的最少字节数,如果请求小于1024字节则不压缩,压缩过程会消耗系统资源
gzip_min_length 1024;
#==数据压缩等级,1-9之间,9最慢压缩比最大,压缩比越大对系统性能要求越高
gzip_comp_level 2;
#需要压缩的数据格式
gzip_types text/plain text/css text/xml text/javascript application/json application/x-javascript application/xml application/xml+rss;
#静态文件缓存
#==开启缓存的同时也指定了缓存文件的最大数量,20s如果文件没有被请求则删除缓存
open_file_cache max=100000 inactive=20s;
#==多长时间检查一次缓存的有效期
open_file_cache_valid 30s;
#==有效期内缓存文件最小的访问次数,只有访问超过2次的才会被缓存
open_file_cache_min_uses 2;
#当搜索一个文件时是否缓存错误信息
open_file_cache_errors on;
#==允许客户端请求的最大单文件字节数
client_max_body_size 4m;
#==客户端请求头缓冲区大小
client_header_buffer_size 4k;
#是否启用对发送给客户端的URL进行修改
proxy_redirect off;
#后端的Web服务器可以通过X-Forwarded-For获取用户真实IP
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#==nginx跟后端服务器连接超时时间(代理连接超时)
proxy_connect_timeout 60;
#==连接成功后,后端服务器响应时间(代理接收超时)
proxy_read_timeout 120;
#==后端服务器数据回传时间(代理发送超时)
proxy_send_timeout 20;
#==设置代理服务器(nginx)保存用户头信息的缓冲区大小
proxy_buffer_size 32k;
#==proxy_buffers缓冲区,网页平均在32k以下的设置
proxy_buffers 4 128k;
#==高负荷下缓冲大小(proxy_buffers*2)
proxy_busy_buffers_size 256k;
#==设定缓存文件夹大小,大于这个值,将从upstream服务器传
proxy_temp_file_write_size 256k;
#==1G内存缓冲空间,3天不用删除,最大磁盘缓冲空间2G
proxy_cache_path /home/cache levels=1:2 keys_zone=cache_one:1024m inactive=3d max_size=2g;
#设定负载均衡服务器列表
upstream nginx.test.com{
#后端服务器访问规则
#ip_hash;
#weight参数表示权重值,权值越高被分配到的几率越大
#server 10.11.12.116:80 weight=5;
#PC_Local
server 10.11.12.116:80;
#PC_Server
server 10.11.12.112:80;
#Notebook
#server 10.11.12.106:80;
}
#server代表虚拟主机,可以理解为站点(挂载多个站点,只需要配置多个server及upstream节点即可)
server {
#监听80端口
listen 80;
#识别的域名,定义使用nginx.test.com访问
server_name nginx.test.com;
#设定本虚拟主机的访问日志
access_log logs/nginx.test.com.access.log;
#一个域名下匹配多个URI的访问,使用location进行区分,后面紧跟着的/代表匹配规则
#如动态资源访问和静态资源访问会分别指向不同的位置的应用场景
#
# 基本语法规则:location [=|~|~*|^~] /uri/ {...}
# = 开头表示精确匹配
# ^~ 开头表示uri以某个常规字符串开头,匹配成功后不再进行正则匹配
# ~ 开头表示区分大小写的正则匹配
# ~* 开头表示不区分大小写的正则匹配
# !~ 开头表示区分大小写的不匹配的正则
# !~* 开头表示不区分大小写的不匹配的正则
# / 通用匹配,任何请求都会被匹配到
#
# 理解如下:
# 有两种匹配模式:普通字符串匹配,正则匹配
# 无开头引导字符或以=开头表示普通字符串匹配
# 以~或~*开头表示正则匹配,~*表示不区分大小写
# 【多个location时,先匹配普通字符串location,再匹配正则location】
# 只识别URI部分,例如请求为“/test/1/abc.do?arg=xxx”
# (1)先查找是否有=开头的精确匹配,即“location=/test/1/abc.do {...}”
# (2)再查找普通匹配,以“最大前缀”为规则,如有以下两个location
# location /test/ {...}
# location /test/1/ {...}
# 则匹配后一项
# (3)匹配到一个普通location后,搜索并未结束,而是暂存当前结果,并继续进行正则搜索
# (4)在所有正则location中找到第一个匹配项后,以此匹配项为最终结果
# 【所以正则匹配项,匹配规则受定义前后顺序影响,但普通匹配不会】
# (5)如果未找到正则匹配项,则以(3)中缓存的结果为最终结果
# (6)如果一个匹配都没有,则返回404
# location =/ {...}与location / {...}的差别
# 前一个是精确匹配,只响应“/”的请求,所有“/xxx”形式的请求不会以“前缀匹配形式”匹配到它
# 后一个正相反,所有请求必然都是以“/”开头,所以没有其他匹配结果时一定会执行到它
# location ^~ / {...} ^~的意思是禁止正则匹配,表示匹配到此项后不再进行后续的正则搜索
# 相当于普通匹配模式匹配成功后就以此结果为最终结果,停止进行后续的正则匹配
location / {
#定义服务器的默认网站根目录位置,可以写相对路径,也可以写绝对路径
root html;
#定义首页索引文件的名称
index index.html index.htm;
#定义转发后端负载服务器组
proxy_pass http://nginx.test.com;
}
#定义错误提示页面
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
#静态文件,nginx自己处理
location ~ ^/(images|javascript|js|css|flash|media|static)/{
root /var/www/virtual/htdocs;
#过期时间1天
expires 1d;
#关闭媒体文件日志
access_log off;
log_not_found off;
}
#设定查看Nginx状态的地址
location /NginxStatus {
#!stub_status on; #无此关键字
access_log off;
auth_basic "NginxStatus";
auth_basic_user_file conf/htpasswd;
}
#禁止访问的文件.htxxx
location ~ /\.ht {
#deny all;禁止访问,返回403
deny all;
#allow all;允许访问
}
}
#网站较多的情况下ngxin又不会请求瓶颈可以考虑挂多个站点,并把虚拟主机配置单独放在一个文件内,引入进来
#include website.conf;
}
网友评论