Nginx的常用模块
http_stub_status_module | 状态统计访问模块 |
http_gzip_module | 网页压缩模块 |
http_rewrite_module | URL地址重写模块 |
http_ssl_module | https安全加密模块 |
http_auth_basic_module | 网页用户认证模块 |
http_fastcgi_module | fastcgi转发模块 |
http_image_filter_module | 图片处理模块 |
http_mp4/flv_module | mp4/flv视频格式模块 |
http_limit_req_module | 限制请求数模块 |
http_limit_conn_module | 限制连接数模块 |
http_proxy_module | 代理转发模块 |
http_upstream_*_module | 负载均衡模块 |
stream | 四层代理转发模块 |
Nginx应用配置文件优化(在nginx.conf配置文件修改)
(1)页面缓存
expires 缓存时间;
(2)连接保持超时
keepalive_timeout 服务端超时时间 客户端超时时间;
(3)设置工作进程数
worker_processes (与服务端的CPU数量保持一样或设置auto自动)
(4)设置工作进程连接数
worker_connections
worker_rlimit_nofile
(5)工作进程静态绑核
worker_cpu_affinity
(6)开启网页压缩
gzip on;
图片大小压缩需要:使用yum install -y gd-devel 安装依赖模块所需依赖包,并编译安装
(7)IO多路复用
use epoll;
(8)开启高效文件传输模式
sendfile on;
tcp_nopush on;
tcp_nodelay on;
(9)连接优化
multi_accept on; #一次性接受所有连接
accept_mutex on; #以串行方式接入新连接,防止惊群现象
nginx安全优化(在nginx.conf配置文件修改)
(1)隐藏版本号
方法1)在配置文件 nginx.conf 添加 server_tokens off;(关闭版本号)
方法2)修改源代码文件 nginx.h
(2)设置运行用户/组
user 用户名 组名;
(3)访问控制
deny(拒绝)/allow(放通)
(4)限制请求数
limit_req_zone
limit_req
(5)限制连接数
limit_conn_zone
limit_conn
(6)设置防盗链
valid_referers(设置信任的网站,可以正常使用图片)
if ( $invalid_referer )
{
rewrite # rewrite地址重写
}
日志分割
使用shell脚+crontab周期性计划任务
脚本编写思路如下:
1.使用 test -d 判断是否有专门用于保存日志文件的目录,没有就 mkdir 创建一个目录
2.使用 mv 命令进行分割日志,移动日志文件到专门保存日志的目录中,并且使用 date -d 在文件名后缀添加时间标记
3.使用 kill -USR1 让nginx生成新的日志文件,便于后续的日志记录
4.最后使用 find -mtime 选项查找出超过时间的旧日志文件并进行删除,用来释放磁盘空间
系统内核优化
(1)在/etc/sysctl.conf(内核参数配置文件)中修改
- 用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30 修改MSL值,系统默认的TIMEOUT时间
- 如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200 #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535 #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192 #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000 #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535 #一个端口能够监听的最大连接数
- 如果需要IP路由转发
net.ipv4.ip_forward=1
(2)在/etc/security/limits.conf(内核资源限制文件)修改
* soft noproc 65535 #打开系统进程数
* hard noproc 65535
* soft nofile 65535 #进程打开文件数
* hard nofile 65535