nginx的优化
隐藏版本号
当我们访问nginx网页,可以检察nginx的版本号,如下表现1.220,如许会暴露自己版本的毛病。
可以通过以下办法隐藏自己的版本号
1、server_token off:通用方法编译、apt、yum都可以使用
但是这种办法只能隐藏版本,服务名称还在
我们配置nginx的主配置文件,在http里面加一个一段话,表示隐藏版本号
重启nginx后,革新网页,我们会发现已经隐藏了版本号
2、修改源码文件:仅限于编译安装
server_token on
我们进入nginx安装包,找到nginx的焦点文件core,编辑源码nginx.h,具体操纵如下
配置文件里这两行分别是版本号和服务名
如我们修改成如许,保存退出
接着需要重新编译nginx才气生效,再举行编译安装
make -j 4 && make install
最后配置nginx的主配置文件,把之前的off改成on
重启nginx后,革新网页,我们会发现已经变成我们设定的服务名和版本号了
nginx的日记分割
nginx本身没有设计日记分割的工具,运维职员自己举行处理和分割。
使用shell脚本实现日记分割:
如我们使用vim nginxlog.sh创建一个脚本,具体操纵如下
#!/bin/bash
d=$(date +%Y-%m-%d)
dir="/usr/local/nginx/logs"
logs_access='/usr/local/nginx/logs/access.log'
logs_error='/usr/local/nginx/logs/error.log'
pid_file='/usr/local/nginx/run/nginx.pid'
if [ ! -d "$dir" ]
then
mkdir -p $dir
fi
mv ${logs_access} ${dir}/access_${d}.log
#mv /usr/local/nginx/logs/access.log /usr/local/nginx/logs/access_2024-12-09.log
mv ${logs_error} ${dir}/error_${d}.log
#mv /usr/local/nginx/logs/error.log /usr/local/nginx/logs/error_2024-12-09.log
kill -USR1 $(cat ${pid_file})
find $dir -mtime +30 -exec rm -rf {} \;
当我们允许脚本之后,会发现在nginx的日记文件夹下,生成了按日期分割的日记文件
注意:nginx按日期分割的日记文件只能检察历史文件,如果是在生成之后的日记不会记录在分割
后的日记文件里,还是会在access.log和error.log里。
以是nginx的日记分割适合检察前一天的日记文件,我们只需要创建好定时任务,如每天0点执行脚
本(0 0 * * * /opt/nginxlog.sh)。
keepalive_timeout
http1.1之后特有的模式,keepalive模式,主流的前端软件都支持keepalive。
连接保持
数据传送完毕之后,连接不是立刻断开。而是一段时间之后保持连接,无需在举行三次握手。如果
需要传输数据,可以继续使用这个连接。连接保持的时间不宜太长,一般在60-180秒,keepalive
的保持时间太长,会占用过多的资源,影响性能。
会话保持
我们和服务端建立连接之后,在一定时间保持登录或者固定状态,保证在浏览时数据同等。
- 连接保持是关于连接的控制
- 会话保持是关于交互的控制
增补两个timeout
client_header_timeout 80; #客户端向服务端发送一个完整哀求头的超时时间,ngingx就会返回408。
client_body_timeout 80; #客户端和服务端建立连接之后,没有在规定时间内发送一个完整的哀求体,或者没有任何内容,ngingx也就会返回408。
nginx的并发处理和cpu绑定
1、work_processes 2 #修改为内核数量的2倍或者同等,一般设置2-4个,不能凌驾8个,凌驾8个性能反而会低落。
worker_connections 1024 #每个子进程的并发连接数,默认1024,凌驾1024,就要修改体系限制文件配额的配置文件/etc/security/limits.conf。
nginx处理文件的本领,即同时处理总的并发数 = 内核数(worker_processes)* 子进程处理并发数(worker_connections )
2、如下图片表现,如果我们主机是4核的,那么每个进程进来都需要内核来处理,可能会造成同一个进程哀求可能被不同内核处理(跳频),以是需要我们把进程绑定到cpu上,一个进程有一个cpu处理,防止跳频。如下4个进程绑定4个cpu分别是01 10 100 1000,如果是2核的,定01 10。
work_cpu_affinity #将nginx的进程绑定到cpu的焦点,防止cpu之间的切换,提高性能
timewait的回收机制
timewait状态
timewait是tcp连接当中一种正常状态。
http1.1版本开始多了一个连接保持。
timewait状态下,tcp连接处于等待阶段,等待一个持续的时间,确保两边的数据尽可能的传输完毕
两个目的:
1、确保连接时被可靠的关闭:即时是四次挥手之后,对方有可能还有数据未处理完毕,在timewait阶段可以保证数据依然被正确的处理,防止旧的数据包影响其他新的连接。
2、制止出现连接复用的问题:如果timewait不存在,或者时间较短,旧的连接可能依然处于网络之中,有可能被以为新的连接。
如我们重启nginx服务之后,curl检察nginx服务后,检察timewait数量,表现如下
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' #检察timewait数量
当服务器上同时有大量的短链接频仍的创建和烧毁,或者处理大量并发连接时,timewait就会出现堆积(如僵尸进程)。
timewait的回收机制配置
处理timewait并发堆积
/etc/sysctl.conf:修改内核的配置为文件,加入以下内容
- fin_wait 1:终止等待1,表示应用程序已经发送连接关闭的哀求,正在等待另一端的确认
- fin_wait 2:表示另一端已经确认连接关闭的哀求,正在等待另一端发送连接关闭的哀求
- net.ipv4.tcp_tw_recycle=1:在NAT环境中,地点转换,会加速体系收回timewait,在nat环境中,源地点会发生变化,他总是基于源IP地点举行辨认,多个客户端使用一个相同的外部IP地点时,有连接混淆的情况,导致客户端无法正确连接。
最后配置完之后,别忘了 sysctl -p 革新配置。
通俗的说:timewait的回收机制就是,进来排队,端口没有了也没关系等着,连接上了尽量保持联系,确认关闭连接后再回收端口。
配置防盗链
防止别的用户通过链接的方式盗用网站的图片
我们使用两台主机,zw5作为原网站,而zw4作为盗链网站。
1、我们配置zw5的nginx主配置文件,添加一个location,如下
- vaild_referers:设置信任的网站可以正常的使用图片
- none:允许没有http_refer的哀求,www.xy104.com/ls.jpg=www.xy104.com
- blocked:允许不是http://开头的哀求,http://www.xy104.com=www.xy104.com
- $invalid_referer:不是信任的网站的地点,就是以为是真,true,为真执行rewrite就是重写,重定向访问:http://www.xy104/com/error.png
2、配置访问图片
提前准备好图片名称是 ls.jpg 和 error.png
3、配置index.html,如下,表示正常访问是我们ls.jpg图片
4、配置主机映射/etc/hosts
5、对zw4盗链主机配置index.html,如下,表示直接复制链接访问 zw104.com/ls.jpg
6、配置zw4盗链主机的映射/etc/hosts
7、验证
当正常访问www.zw104.com后表现的网页是正常的,也就是正常访问主机zw5的时间是正常的。
当我们访问zw4的nginx(www.zw105.com)的时间,即访问盗链网站,会出现我们提前放好的 error.png图片
nginx的页面压缩和图片缓存
页面压缩
对文件举行压缩的功能,节约带宽,提高访问速度
前提是要有模块:http_gzip_module,这个我在装nginx的时间都加载了。
首先要配置nginx的主配置文件,如下:主要使用前4行代码即可
这种方法压缩结果并不佳,相识即可
图片缓存
图片缓存只需要在nginx主配置文件添加一个location规则,如下
这时间我们访问nginx的图片后,会发现缓存时间86400秒
location匹配的规则和优先级
在nginx当中,匹配的对象一般是URI来匹配
多个location一旦匹配此中之一,不再匹配其他location
location匹配的分类
1、精确匹配:location = / {...}
=:表示完全相同,一个字错都不行
2、正则匹配:location ~ / {...}
- ^~:表示普通字符的前缀匹配,如果匹配乐成,不再匹配其他的location
- ~:区分巨细写的字符匹配
- ~*:不区分巨细写的字符匹配
- !~:区分巨细写,匹配的取非
- !~*:不区分巨细写,匹配的取非
3、一般匹配:location /
ocation匹配的优先级
我们可以准备三种图片都叫1.jpg,分别存放在三个不同目录下,使用三种location匹配规则,如果我们访问192.168.254.15/1.jpg会先匹配哪张图片?
精确匹配>正则匹配>一般匹配
location = 大于 location ^~ 大于 location ~ ~* 大于 location /test1 大于 location /
网站匹配location的规则
1、location = / { }
直接匹配网站的根目录,也就是网站的首页。首页一般都是一个静态的页面,直接匹配可以提高访问速度
2、处理静态文件的哀求,通过前缀或者后缀举行匹配的规则
location ^~ /static { }
location ~* \. {jsp | gif | png | html | php}$ { }
3、通用匹配:一般用来转发包罗.php或者.jsp为结尾的动态哀求
location /
proxy_pass http://
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
