目录
2、如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
一、Nginx性能优化
实验前老样子先关防火墙
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# setenforce 0
查看Nginx的版本号
1、开启网页压缩
- Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能
- 允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
- 可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小,小于设置值的文件将不会压缩
gzip_buffers 4 16k; #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单
位的4倍申请内存
gzip_http_version 1.1; #用于识别HTTP协议版本
gzip_comp_level 5; #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般
设置该参数的值在3~5之间,最好不要超过5
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip
(因为ie低版本不支持)
gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json;
#压缩类型,表示哪些网页文档启用压缩功能
......
}
2、页面缓存
- 当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
- 一般针对静态网页设置,对动态网页不设置缓存时间
设置方法
expires 缓存时间
location ~\.(gif|jpg|jepg|png|bmp|ico)$ {
root html;
expires 1d;
}
3、设置连接超时
- keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定一个长连接最多可以保持多长时间,服务器将会在这
个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60
秒。若将它设置为0,就禁止了keepalive 连接
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏
览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive
响应头
- client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送
一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。
- client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发
送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
4、设置工作进程数
5、设置工作进程连接数
作进程的连接数是由 worker_connections
指令来控制的。这个指令用于设置每个工作进程所能处理的最大连接数。
events {
worker_connections 1024; # 设置每个工作进程的最大连接数
# worker_rlimit_nofile
}
6、工作进程静态绑核
worker_cpu_affinity
指令可以将工作进程静态绑定到特定的 CPU 核心上,以提高性能和优化资源使用
假设服务器有 4 个 CPU 核心,并且将 4 个工作进程分别绑定到这 4 个核心上
worker_processes 4; # 设置工作进程数量为 4
# 将工作进程静态绑定到特定的 CPU 核心
worker_cpu_affinity 0001 0010 0100 1000; # 将每个工作进程绑定到不同的 CPU 核心
7、开启高效文件传输模式
在 Nginx 中,开启高效文件传输模式可以显著提升服务器的性能和效率。你提到的三个指令 sendfile on;、tcp_nopush on; 和 tcp_nodelay on; 都是用于优化文件传输和网络性能的。
- sendfile on; sendfile 是一个系统调用,允许直接在内核空间和用户空间之间传输数据,而不需要将数据从内核缓冲区复制到用户缓冲区再发送。通过开启 sendfile 功能,Nginx 可以直接在磁盘和网络之间传输文件,提高文件传输效率,减少 CPU 和内存的消耗。
- tcp_nopush on; tcp_nopush 指令用于控制数据包的发送时机。当 tcp_nopush 设置为 on 时,Nginx 会尽可能地在发送 TCP 数据包之前将数据累积到一个完整的数据包中,从而减少 TCP 消息的数量,提高传输效率。这对于发送大文件或大量静态内容的情况特别有效。
- tcp_nodelay on; tcp_nodelay 指令用于控制是否启用 Nagle 算法。Nagle 算法的目的是将多个较小的数据包合并成一个较大的数据包,以提高网络的利用率。但是,在某些情况下,这种合并会导致延迟增加,例如对于实时性要求较高的应用。通过开启 tcp_nodelay,Nginx 可以禁用 Nagle 算法,减少延迟,提高网络传输速度。
sendfile on; tcp_nopush on; tcp_nodelay on;
8、IO多路复用
在 Nginx 中,多路复用是一种提高性能的关键技术,其中 epoll 是 Linux 下的一种高效的多路复用机制。通过使用 epoll,Nginx 能够更有效地管理大量的并发连接,从而提高服务器的吞吐量和性能。
use epoll;
9、连接优化
- multi_accept on; 当 multi_accept 设置为 on 时,Nginx 的监听进程可以同时接受多个网络连接。这意味着在有新连接到达时,监听进程可以立即接受多个连接,而不是一次只处理一个连接。这样可以加快连接的接受速度,尤其是在高并发的情况下,可以减少连接等待时间,提高服务器的响应速度。
- accept_mutex on; accept_mutex 用于控制新连接的串行处理,以防止多个工作进程同时处理新连接,从而避免所谓的“惊群现象”(thundering herd)。惊群现象指的是在某些条件下,多个进程竞争同一个资源或锁时,会导致大量进程被唤醒,但最终只有一个进程能够获得资源,其他进程都会进行无用的竞争和等待。通过开启 accept_mutex,Nginx 可以以串行方式接入新连接,避免这种不必要的竞争和资源浪费。
二、Nginx安全优化
1、配置Nginx隐藏版本号
- 隐藏Nginx版本号,避免安全漏洞泄漏
方法一、修改配置文件
方法二、修改源码文件,重新编译安装
vim /usr/local/nginx/conf/nginx.conf
2、防盗链
在企业网站服务中,一般都要配置防盗链功能,以避免网站内容被非法盗用,造成经济损失
Nginx防盗链功能也非常强大。默认情况下,只需要进行简单的配置,即可实现防盗链处理
valid_referers if ($invalid_referer) {rewrite ....} rewrite地址重写
3、访问控制
deny/allow
4、设置运行用户/组
- Nginx运行时进程需要有用户与组的支持,以实现对网站文件读取时进行访问控制
- Nginx默认使用nobody用户账号与组账号
- 修改的方法
- 编译安装时指定用户与组
修改配置文件指定用户与组
5、限制请求数
limit_req_zone limit_req
6、限制连接数
limit_conn_zone limit_conn
7、日志分割
·
1、系统内核优化
/etc/sysctl.conf 内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30 修改MSL值,系统默认的TIMEOUT时间
三、系统内核优化
1、用于解决系统存在大量TIME WAIT状态连接的问题
/etc/sysctl.conf 内核参数配置文件
#用于解决系统存在大量TIME WAIT状态连接的问题
net.ipv4.tcp_syncookies=1 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击
net.ipv4.tcp_tw_reuse=1 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接
net.ipv4.tcp_tw_recycle=1 表示开启TCP连接中TIME-WAIT sockets的快速回收
net.ipv4.tcp_fin_timeout=30 修改MSL值,系统默认的TIMEOUT时间
2、如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
#如果连接数本身就很多,可再优化TCP的可用端口范围,进一步提升服务器的并发能力
net.ipv4.tcp_keepalive_time=1200 #当keepalive启用时,TCP发送keepalive探测消息的频率,确认客户端是否断网
net.ipv4.ip_local_port_range=1024 65535 #用于向外连接的端口范围。缺省情况下很小,为32768 60999
net.ipv4.tcp_max_syn_backlog=8192 #SYN队列长度,默认为1024,加大队列长度为8192,可容纳更多等待连接的网络连接数
net.ipv4.tcp_max_tw_buckets=5000 #表示系统同时保持TIME WAIT的最大数量
net.core.somaxconn=65535 #一个端口能够监听的最大连接数
3、如果需要IP路由转发
#如果需要IP路由转发
net.ipv4.ip_forward=1
4、内核资源限制文件
/etc/security/limits.conf 内核资源限制文件
* soft noproc 65535 打开系统进程数
* hard noproc 65535
* soft nofile 65535 进程打开文件数
* hard nofile 65535
四、Nginx模块
- http_stub_status_module 访问状态统计模块
- http_gzip_module 网页压缩模块
- http_rewrite_module URL地址重写模块
- http_ssl_module https安全加密模块
- http_auth_basic_module 网页用户认证模块
- http_fastcgi_module fastcgi转发模块
- http_image_filter_module 图片处理模块
- http_mp4/flv_module mp4/flv视频格式模块
- http_limit_req_module 限制请求数模块
- http_limit_conn_module 限制连接数模块
- http_proxy_module 代理转发模块
- http_upstream_*_module 负载均衡模块
- stream 四层代理转发模块