目录
1.Nginx服务优化
1.配置Nginx隐藏版本号
(1)修改配置文件法/usr/local/nginx/conf/nginx.conf
(2)修改源码法
重新编译安装
注释关闭版本号配置
vim /usr/local/nginx/conf/nginx.conf
2.更改程序运行用户与组
修改Nginx用户与组
(1)编译安装时指定用户与组
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module && make && make install # --user指定用户, --group指定组
(2)修改配置文件法指定
3.配置网页缓存时间
-
http段:实现对所有虚拟主机站点网页进行缓存;
-
server段:实现对某一个虚拟主机的一个站点中所有网页进行缓存;
- location段:实现对某一个虚拟主机的某个指定访问路径进行缓存
编写静态访问页面
4.Nginx日志切割
#!/bin/bash
#该脚本用于分隔nginx日志
#定义变量获取当前时间前一天的时间格式
YESTERDAY=$(date -d "-1 day" "+%Y%m%d")
#定义变量存放分隔日志的目录
LOGPAATH=/var/log/nginx
#定义变量指定nginx的家目录
NGINX_HOME=/usr/local/nginx
#定义PID文件路径
PIDPATH=$NGINX_HOME/logs/nginx.pid
#判断保存日志的目录是否存在,不存在则创建目录
[ -d $LOGPAATH ] || mkdir -p $LOGPAATH
#使用m命令进行日志分割,移动日志文件到专门保存日志的目录中,并在文件后
缀添加时间标记
mv $NGINX_HOME/logs/access.log $LOGPAATH/access.log_$YESTERDAY
mv $NGINX_HOME/logs/error.log $LOGPAATH/error.log_$YESTERDAY
#使用kill -USR1 使nginx生成新的日志文件,用于后续的日志记录
kill -USR1 $(cat $PIDPATH)
#使用find -mtime 选项查找超过90天以前的旧日志文件并删除,用来释放磁盘>空间
find $LOGPAATH -mtime +90 -delete
![](https://img-blog.csdnimg.cn/direct/abc09971e13e4f3c83e10ae8781ac1a6.png)
![](https://img-blog.csdnimg.cn/direct/9f6aec3dd8fa4ad8b0c18e78f735761d.png)
5.设置连接超时
HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。
KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定一个长连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。
client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。
client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
[root@clr /usr/local/nginx/conf]# vim nginx.conf
#keepalive_timeout 0;
keepalive_timeout 60 60; #第一个60代表服务器端主动断开连接保持时间,第二个60代表客户端
主动断开连接保持时间
keepalive_requests 100; #一个长连接中最多允许的连接数
client_header_timeout 80;
client_body_timeout 80;
6.更改进程数
[root@clr /usr/local/nginx/conf]# vim nginx.conf
user nginx nginx;
worker_processes auto;
worker_cpu_affinity 01 10; #为两核cpu绑定进程
[root@clr /usr/local/nginx/conf]# nginx -t
[root@clr /usr/local/nginx/conf]# systemctl restart nginx.service
7.配置网页压缩
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小,小于设置值的文件将不会压缩
gzip_buffers 4 16k; #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单位的4倍申请内存
gzip_http_version 1.1; #用于识别HTTP协议版本
gzip_comp_level 5; #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般设置该参数的值在3~5之间,最好不要超过5
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
......
}
实现网页图片的大小压缩
yum install -y gd-devel #yum在线源安装gd-devel,http_image_filter_module模块需要依赖gd-devel的支持
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
....
gzip on;
gzip_types text/plain .... image/jpeg image/gif image/png; #将图片类型文件压缩加入gzip
....
server {
....
location ~* \.(jpg|gif|png)$ {
image_filter resize 200 200; #按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度,另一维可以指定为:“-”
} #(如果长>宽就以长为标准,宽为比例;如果长<宽就以宽为标准,长为比例)
}
}
make -j2 && make install #重新编译安装
vim /usr/local/nginx/conf/nginx.conf进行编辑
8.防盗链设置
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~* \.(jpg|gif|swf)$ {
valid_referers none blocked *.kgc.com kgc.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.kgc.com/error.png;
#return 403;
}
}
......
}
}
~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.kgc.com/game.jpg
我们使用 http://www.kgc.com 访问显示的图片,可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。
blocked:允许不是http://开头的,不带协议的请求访问资源;
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com
if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。
使用另一台虚拟机模拟盗链
2.总结
nginx优化
nginx应用配置文件的优化:
nginx的性能优化
开启网页压缩 gzip on;
页面缓存 expires 缓存时间;
连接保持超时 keepalive_timeout 服务端超时时间 客户端超时时间;
设置工作进程数 work_processes 与服务器CPU数量相同或auto
设置工作进程连接数 worker_connections worker_rlimit_nofile
工作进程静态绑核 worker_cpu_affinity
开启高效文件传输模式 sendfile on; tcp_nopush on; tcp_nodelay on;
IO多路复用 use epoll;
连接优化 multi_accept on;(一个进程同时接受多个网络连接) accept_mutex on;(以串行方式接入新连接,防止惊群现象发生)nginx的安全优化
隐藏版本号 server_tokens off; 修改源代码 nginx.h
防盗链 valid_referers if ($invalid_referer) {rewrite ....} rewrite地址重写
访问控制 deny/allow
设置运行用户/组 user 用户名 组名;
限制请求数 limit_req_zone limit_req
限制连接数 limit_conn_zone limit_conn日志分割 shell脚本 + crontab
系统内核优化:
/etc/sysctl.conf 内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30 修改MSL值,系统默认的TIMEOUT时间#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200 #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535 #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192 #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000 #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535 #一个端口能够监听的最大连接数#如果需要IP路由转发
net.ipv4.ip_forward=1
/etc/security/limits.conf 内核资源限制文件
* soft noproc 65535 打开系统进程数
* hard noproc 65535
* soft nofile 65535 进程打开文件数
* hard nofile 65535
你用过哪些nginx模块?
http_stub_status_module 访问状态统计模块
http_gzip_module 网页压缩模块
http_rewrite_module URL地址重写模块
http_ssl_module https安全加密模块
http_auth_basic_module 网页用户认证模块
http_fastcgi_module fastcgi转发模块
http_image_filter_module 图片处理模块
http_mp4/flv_module mp4/flv视频格式模块
http_limit_req_module 限制请求数模块
http_limit_conn_module 限制连接数模块
http_proxy_module 代理转发模块
http_upstream_*_module 负载均衡模块
stream 四层代理转发模块