隐藏版本号
在http添加一行
server_tokens off
关闭版本号
修改用户和所在组
user nginx nginx
表示进程master会由root创建,子进程会由nginx用户来创建。用户 所在组
设置页面的缓存时间(主要是针对动态页面,图片的缓存)
location ~ \ . (gif|jpg|png)${
root html
设置图片的缓存时间
expires ld
}
日志分割:
分割前一天的日志
day=$(date -d "-1 day" "+%Y%m%d")
先指定号日期,显示前一天的时间
logs_path="/usr/local/nginx/logs/"
指定pid文件的位置
pid_path="/usr/local/nginx/run/nginx.pid"
mv /usr/local/nginx/logs/access.log ${logs_path}access-${day}.log
mv /usr/local/nginx/logs/error.log ${logs_path}error-${day}.log
kill -USR1 $(cat ${pid_path})
重新创建一个新的日志,日志分割
find ${logs_psth} -mtime +30 -exec rm -rf {} \;
清理30天以上的日志
面试题
更改进程数以及设置cpu绑定。
worker_processes 2
如果进程有2个,这里和cpu挂钩,不绑定cpu的话,进程可能会在两个cpu之间来回切换使用,浪费资源
绑定cpu 。避免进程切换
worker_cpu_affinity 01 10 100 1000 或者0001 0010 0100 1000 来表示
连接超时:
keepalive_timeout
请求完成之后的连接保持时间 一般是60-120秒
client_header_timeout 80;
客户端发送一个完整的请求头的超时时间,80秒之内没有发送一个完整的请求头,nginx返回码408(requst time out) 请求超时
client_body_timeout 80;
客户端和服务端建立连接之后发送请求体的超时时间,客户端在80秒内没有发送任何内容,nginx同样返回码408。
配置页面压缩
gzip on;
gzip_min_length 1k;
最小的压缩文件,小于或者等于1k的文件就不压缩了
gzip_buffers 4 64k;\
设置压缩的缓冲区,缓冲区有4个,每个缓冲区的大小64k。
gzip_comp_level 6; (有点用处)
压缩比列 1-9 ,数字越小,压缩的比率越小,速度越快,数字越大,压缩的比率就越高,速度越慢
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; 支持压缩的类型
回收TIME_WAIT:
time_wait是tcp连接当中的一种状态,出现在四次挥手之后。
处于一种等待状态,双方不再发送数据。
time_wait所占用的系统资源很小,数量比较小,完全可以忽略不计
但是太多了,就有一定的影响
连接断开(四次挥手之后)之后,尽快把time_wait状态的连接进行回收
netstat -n | awk '/^tcp/ {++s[$NF]} END {for (a in s) print a s[a]}
net.ipv4.tcp_syncookies=1
防止tcp的半连接队列溢出。可以达到服务端在收到tcp的syn(同步)的请求时能够快速响应
net.ipv4.tcp_tw_reuse=1
允许复用time_wait状态的连接,新的连接可以直接使用time_wait状态的端口,可以提高连接的重用率。
net.ipv4.tcp_tw_recycle=1
这个是老版本的配置,时间戳戳记进行连接复用。
net,ipv4.tcp_fin_timeout=30
控制time_wait状态的持续时间,持续30秒,不是立即把time_wait的连接收回。而是尽可能的把time_wait状态进行回收,没用的,空闲的,进行回收。
nginx优化总结:
隐藏版本号
日志分割
cpu绑定
连接超时
页面压缩
页面缓存时间
time_wait状态的回收
优化防盗链:
location ~* \ .(jpg|gif|png)$ {
valid_referers none blocked * .xy102.com xy102.com
允许xy102.com的网址访问图片。
if( $invalid_referer ) {
rewrite ^/ http://www.xy102.com/error.png;
如果不是xy102.com访问,一律跳转到盗链的提示。
}
}
网页准备:
Web源主机(192.168.124.10)配置:
cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
< img src="game.jpg"/>
</body>
</html>
echo "192.168.124.10 www.xy102.com" >> /etc/hosts
echo "192.168.124.20 www.xy103.com" >> /etc/hosts
盗链网站主机(192.168.124.20):
cd /usr/local/nginx/html
vim index.html
< img src="http://www.xy102.com/game.jpg"/>
</body>
</html>
echo "192.168.124.10 www.xy102.com" >> /etc/hosts
echo "192.168.124.20 www.xy103.com" >> /etc/hosts
在盗图网站主机上进行浏览器验证
http://www.xy103.com