前言
Ngnix优化主要有两种,一种是配置上的优化:隐藏版本信息,设置连接超时时间,配置防盗链等修改配置文件信息来对网页维护升级,提升nginx的性能与稳定性。
一种是内核上的优化:在优化内核时,可以做的事情很多,不过,我们通常会根据业务特点来进行调整,当Nginx作为静态web内容服务器、反向代理或者提供压缩服务器的服务器时,期内核参数的调整都是不同的,这里针对最通用的、使Nginx支持更多并发请求的TCP网络参数做简单的配置。
nginx之系统配置上的优化:
隐藏版本信息
查看版本信息
可以在 CentOS 中使用命令 curl -I www.二级域名.com显示响应报文首部信息
隐藏版本信息
修改配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; 添加这一行,关闭版本号
......
}
---------重启服务
systemctl restart nginx
---------访问测试
curl -I http://www.xxx.com
修改源码文件
vim /opt/nginx-1.12.2/src/core/nginx.h
#define NGINX_VERSION "1.1.1" 修改版本号
#define NGINX_VER "IIS" NGINX_VERSION 修改服务器类型
重新编译安装
cd /opt/nginx-1.12.2/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
将配置文件中的版本号启用
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
}
systemctl restart nginx
curl -I http://IP地址或域名
修改运行用户与组
方法一:
./configure \
--prefix=/usr/local/nginx \ 指定nginx的安装路径
--user=nginx \ 指定用户名(运行用户)
--group=nginx \ 指定组名
--with-http_stub_status_module 启用http_stub_status_module模块以支持状态统计
方法二:
修改配置文件文件
vim /usr/local/nginx/conf/nginx.conf
user nginx nginx; 取消注释,修改用户为nginx,组为nginx
重启服务
systemctl restart nginx
查看是否修改成功。可以看到主进程由root创建,子进程由nginx创建
ps aux | grep nginx
修改缓存时间
修改nginx的配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location / {
root html;
index index.html index.htm;
}
#加入新的 location,以图片作为缓存对象
location ~* \.(gif|jpg|jepg|bmp|ico)$ {
root html;
expires 1d; #指定缓存时间,1天
}
......
}
}
#重启nginx服务
systemctl restart nginx
#访问测试
Linux系统中,打开火狐浏览器,访问 http://www.tt.com/work.jpg
右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他
双击响应消息查看响应头中包含 Cahce-Control:max-age=86400 表示缓存时间是 86400 秒。
也就是缓存一天的时间,一天之内浏览器访问这个页面,都是用缓存中的数据,而不需要向 Nginx 服务器重新发出请求,减少了服务器的使用带宽。
日志分割
随着Nginx运行时间的增加,产生的日志也会逐渐增加,为了方便掌握Nginx的运行状态,需要时刻关注Nginx日志文件。太大的日志文件对监控是一个大灾难,不便于分析排查,需要定期的进行日志文件的切割。
编写脚本来管理分割日志
[root@www ~]# vim fenge.sh
#!/bin/bash
# nginx日志分割,按时间分割
#显示前一天的时间
day=$(date -d "-1 day" "+%Y%m%d")
#旧日志文件目录
logs_path="/var/log/nginx"
#nginx进程的PID
pid_path="/usr/local/nginx/logs/nginx.pid"
#如果旧日志目录不存在,则创建日志文件目录
[ -d $logs_path ] || mkdir -p $logs_path
#将日志移动到旧日志目录,并重命名日志文件
mv /usr/local/nginx/logs/access.log ${logs_path}/tt.com-access.log-$day
#重建新日志文件
kill -USR1 $(cat $pid_path)
#删除30天之前的日志文件
find $logs_path -mtime +30 -exec rm -rf {} ;
赋予执行权限,执行脚本。查看日志文件目录。
[root@www ~]# chmod +x /usr/local/nginx/nginx_log.sh
[root@www ~]# /opt/fenge.sh
[root@www ~]# ls /var/log/nginx/ //旧日志文件已被移动到设置好的目录
apple.com-access.log-20221003
[root@www ~]# ls /usr/local/nginx/logs/ //已重建新日志文件
access.log error.log nginx.pid
编写计划任务,每天定点执行
[root@localhost nginx]#crontab -e
0 1 * * * fenge.sh
设置连接超时时间
HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
在企业网站中,为了避免同一个客户长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间。可以修改配置文件 nginx.conf,设置 keepalive_timeout超时。
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180; 设置连接超时时间
client_header_timeout 80;
client_body_timeout 80;
......
}
重启服务
systemctl restart nginx
超时时间含义
keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。
Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
更改工作进程数
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞。
查看cpu核数
cat /proc/cpuinfo |grep processor|wc -l 或 cat /proc/cpuinfo |grep -c processor 或 cat /proc/cpuinfo | grep -c "physical id"
查看ginx主进程中包含几个工作进程
ps aux | grep nginx
编辑配置文件,修改工作进程数
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #修改为与CPU核数相同
worker_cpu_affinity 01 10; #设置每个进程由不同cpu处理,进程数配为4时0001 0010 0100 1000
重启服务,查看修改后的工作进程
systemctl restart nginx
ps aux | grep nginx
设置网页压缩
Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能。
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装。
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化.
修改配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小
gzip_buffers 4 64k; #压缩缓冲区,大小为4个64k缓冲区
gzip_http_version 1.1; #压缩版本(默认1.1,前端如果是squid2.5请使用1.0)
gzip_comp_level 6; #压缩比率
gzip_vary on; #支持前端缓存服务器存储压缩页面
#压缩类型,表示哪些网页文档启用压缩功能
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
......
}
重启服务
systemctl restart nginx
浏览器访问测试
在Linux系统中,打开火狐浏览器,右击点查看元素
选择 网络 ---> 选择 HTML、WS、其他
访问 www.apple.com ,双击响应消息查看响应头中包含 Content-Encoding: gzip
配置防盗链
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失,也避免了不必要的带宽浪费。
Nginx 的防盗链功能也非常强大,在默认情况下,只需要进行很简单的配置,即可实现防盗链处理。
配置盗链网站
切换到站点目录
cd /usr/local/nginx/html
配置首页文件,图片盗用Web源主机中的图片资源
vim index.html
<html>
<body>
<h1>test</h1>
<img src="http://www.apple.com/a.png"/>
</body>
</html>
添加IP和域名的映射关系
echo "192.168.142.20 www.apple.com" >> /etc/hosts
echo "192.168.142.30 www.banana.com" >> /etc/hosts
在盗图网站主机上进行浏览器查看
设置防盗链
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
不是由tt.com域名请求的图片资源,重写到盗链图片error.png
location ~* \.(jpg|gif|swf)$ {
root html;
expires 1d;
valid_referers none blocked *.apple.com apple.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.apple.com/error.png;
}
}
......
}
}
systemctl restart nginx
配置文件含义解析
~* .(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;valid_referers :设置信任的网站,可以正常使用图片;
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 www.apple.com/a.png
我们使用 www.apple.com 访问显示的图片,可以理解成 www.apple.com/a.png 这个请求是从 www.apple.com 这个链接过来的。blocked:允许不是http://开头的,不带协议的请求访问资源;
*.apple.com:只允许来自指定域名的请求访问资源,如 www.apple.com
if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。
设置盗链
设置防盗链
fpm参数优化
当浏览器发送一个请求到运行 PHP 的服务器上时,PHP 也不是最先进行处理请求的服务;而是,HTTP 服务器,Apache 和 Nginx 是其中最主要的两个。「web 服务器」决定如何与 PHP 进行通信,然后传递请求的类型,数据和头部信息到 PHP 进程。
上图是 PHP 项目的请求-响应生命周期
在现代 PHP 应用中,「find file」部分即为 index.php 文件,它是在服务器配置文件中配置的用于处理所有请求的代理。
如今,Web 服务器究竟如何连接 PHP 正在进化,如果我们要深入研究所有细节,这篇文章的长度将激增。但粗略来说, 在 Apache 作为 Web 服务器首选的时间段,PHP 是作为包含在服务器内部的模块。
所以每当一个请求被接收,服务器将开启一个新的进程, 它将自动包含 PHP 和执行请求。这个方法被称作mod_php,“PHP作为一个模块”的缩写。这种方法有其局限性,而 Nginx 和 php-fpm 克服了它。
在php-fpm中,管理 PHP 的责任在于服务器内部的 PHP 程序。换言之, Web 服务器 (Nginx, 在本例中), 不在乎 PHP 在哪和怎样运行的,只要它知道如何发送和接收数据即可。如果需要,在这种情况下,您可以将PHP视为另一台服务器,它管理传入请求的某些子PHP进程(因此,我们将请求送到服务器,该请求由服务器接收并传递到服务器)。
Nginx的PHP解析功能实现如果是交由FPM处理的,为了提高PHP的处理速度,可对FPM模块进行参数的调整。
根据服务器的内存与服务负载,调整FPM模块参数。
vim /usr/local/php/etc/php-fpm.conf
pid = run/php-fpm.pid
vim /usr/local/php/etc/php-fpm.d/www.conf
--96行--
pm = dynamic #fpm进程启动方式,动态的
--107行--
pm.max_children=20 #fpm进程启动的最大进程数
--112行--
pm.start_servers = 5 #动态方式下启动时默认开启的进程数,在最小和最大之间
--117行--
pm.min_spare_servers = 2 #动态方式下最小空闲进程数
--122行--
pm.max_spare_servers = 8 #动态方式下最大空闲进程数
kill -USR2 `cat /usr/local/php/var/run/php-fpm.pid` #重启php-fpm
netstat -anpt | grep 9000
nginx之系统内核参数优化:
默认的Linux内核参数考虑的是最通用的场景,这明显不符合用于支持高并发访问的Web服务器的定义,所以需要修改Linux内核参数,使得Nginx可以拥有更高的性能。
以下配置都可以在/etc/sysctl.conf配置,可以用sysctl -p生效。
- net.ipv4.tcp_max_tw_buckets
对于tcp连接,当服务端和客户端通信完成之后状态就会变成timewait,假如某台服务器非常繁忙,连接数非常多的话,那么这个值就会越来越大。
就应该设置一个数值,当超过这个数值,系统就会删除最早的连接。
centos7中可以用命令sysctl -a|grep tw_buckets来查看它的值。
sysctl -a|grep tw_buckets
net.ipv4.tcp_max_tw_buckets = 8192 #我的默认值为8192
查看time_wait:
ss -an - net.ipv4.tcp_tw_recycle = 1
该参数的作用是快速回收timewait状态的连接,上面是删除,但是回收的话就可以再利用,和下面的参数一起使用:
net.ipv4.tcp_tw_reuse =1 //这个参数表示重新用于新的连接。\ - net.ipv4.tcp_syncookies = 1
tcp三次握手中,客户端向服务器发起syn请求,服务端收到后,也会给客户端发起syn请求同时连带ack确认,假如客户端发送请求后直接断开连接和服务端的连接,不接收服务端发起的这个请求,服务端会重试多次,这个重试的过程会持续一段时间(通常高于30s),当这种状态连接量非常大时,服务器会消耗很大的资源,从而造成瘫痪。 正常的连接进不来,这种恶意的半连接行为叫做syn flood攻击。
开启该参数后,服务端接收客户端的ack后,再向客户端附送ack+syn之前会要求client在短时间内回应一个序号,如果客户端不能提供序号或者提供的序号不会,则认为不合法,不会发syn+ack给客户端,更不会重试。 - net.ipv4.tcp_max_syn_backlog
该参数定义系统能接受的最大半连接的tcp连接数,客户端发送了syn之后,服务端会记录以下,该参数决定最多记录多少个,在centos7中,默认256,当有syn flood攻击时,这个数值太小则很容易导致服务器瘫痪,实际上此时并没有消耗太多服务器的资源,所以可以适当调大一些,比如30000。 - net.ipv4.tcp_syn_retries
该参数适用于客户端,它定义发起syn的最大重试次数,默认为6,建议为2。 - net.ipv4.tcp_synack_retries
该参数适用于服务端,它定义发起syn+ack的最大重试次数,默认为5,建议改为2,可以适当预防syn flood攻击。 - net.ipv4.ip_local_port_range
该参数定义端口范围,系统默认保留端口为1024及以下,以上部分为自定义端口,这个参数适用于客户端。当客户端和服务端建立连接时,不如说访问服务端的80端口,客户端随机开启了一个端口和服务端发起连接,默认为32768-61000,建议调整1050-61000. - net.ipv4.tcp_fin_timeout
tcp连接的状态中,客户端上有一个时fin-wait-2状态,它是状态变迁为timewait前一个状态。该参数定义不属于任何进程的超时时间,默认值为60,建议调整为6. - net.ipv4.tcp_keepalive_time
tcp连接状态里,有一个时established状态,只有在这个状态下,客户端和服务端才能通信。正常情况下,当通信完毕,客户端或服务端会告诉对方要关闭连接,此状态就会变成timewait,如果客户端没有告诉服务端,并且服务端也没有告诉客户端关闭的话(比如,客户端断网),此时需要改参数来判定。就需要每隔一段时间去发一个探测包去确认。默认7200秒,建议设置30s。 - net.ipv4.tcp_keepalive_intvl
该参数和上面参数是一起的,服务端在规定时间内发起了探测,查看客户端是否在线,如果客户端没有却惹,此时服务端还不能认定为对方不在线,而是要尝试多次,该参数定义重新发送探测的时间,即第一次发现对方有问题后,过多久再次发起探测。默认为75,可以改为3秒。 - net.ipv4.tcp_keepalive_proves
该参数是上面两个参数的补充,之前规定了合适发起探测和探测多久后再次发起探测,但并没有定义一共探测几次才算结束。该参数定义了发起探测包的数量,默认为9,建议设置为2。
注意:
- 滑动窗口的大小与套接字缓存区会在一定程度上影响并发连接的数目。每个TCP连接都会为维护TCP滑动窗口而消耗内存,这个窗口会根据服务器的处理速度收缩或扩张。
- 参数wmem_max的设置,需要平衡物理内存的总大小、Nginx并发处理的最大连接数量(由nginx.conf中的worker_processes和worker_connections参数决定)而确定。
- 当然,如果仅仅为了提高并发量使服务器不出现Out Of Memory问题而去降低滑动窗口大小,那么并不合适,因为滑动窗口过小会影响大数据量的传输速度。rmem_default、wmem_default、rmem_max、wmem_max这4个参数的设置需要根据我们的业务特性以及实际的硬件成本来综合考虑。
