[高性能WEB服务NGINX部分]

最新推荐文章于 2024-04-25 16:44:33 发布
最新推荐文章于 2024-04-25 16:44:33 发布
阅读量733 收藏 1
点赞数
分类专栏: [TechOps] 文章标签: nginx 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyfqyr/article/details/124388802
版权

---------------------[高性能WEB服务NGINX部分]---------------------
>1. ngx_http_core_module模块: 定义位置路径-root(/默认)
设置web资源的路径映射;用于指明请求的URL所对应的文档的目录路径,可用于http, server, location, if in location
匹配优先级从高到低:=, ^~, ~/~*, 不带符号
示例:
server {
  location /admin/ {
  root /webapps/app1/data/;
  }
}
http://www.magedu.com/admin/index.html
--> /webapps/app1/data/admin/index.html


>2. ngx_http_core_module模块: 定义路径别名-alias(路径别名)
路径别名,文档映射的另一种机制;仅能用于location上下文
示例:
http://www.magedu.com/bbs/index.html
location /bbs {
  alias /web/forum/;

--> /web/forum/index.html       注意: /bbs 后建议不要加 /

location /bbs/ {
  root /web/forum/;

--> /web/forum/bbs/index.html
注意:location中使用root指令和alias指令的意义不同
(a) root,给定的路径对应于location中的/uri 左侧的/
(b) alias,给定的路径对应于location中的/uri 的完整路径


>3. ngx_http_proxy_module模块:请求转发到另外一个主机.
1、proxy_pass URL;
注意:proxy_pass后面路径不带uri时,会将location的uri传递(附加)给后端主机
server {
  ...
  server_name HOSTNAME;
  location /uri/ {
    proxy_pass http://host[:port];                       注意: 最后没有/ 
  }
  ...
}
上面示例:http://HOSTNAME/uri --> http://host/uri 

server {
  ...
  server_name HOSTNAME;
  location /uri/ {
    proxy_pass http://host[:port]/;                       注意: 最后有/ 
  }
  ...
}
上面示例:http://HOSTNAME/uri --> http://host/ 即置换.

2、如果location定义其uri时使用了正则表达式的模式,则proxy_pass之后必须不能使用自己的uri; 用户请求时传递的uri将直接附加至后端服务器之后
server {
  ...
  server_name HOSTNAME;
  location ~|~* /uri/ {
    proxy_pass http://host;                              注意:   不能加/
  }
  ...
}
上面示例:http://HOSTNAME/uri/ --> http://host/uri/


>4. ngx_http_core_module模块:客户端网络传输速率限制.
limit_rate rate;
限制响应给客户端的传输速率,单位是bytes/second, 默认值0表示无限制.
limit_except method ... { ... },仅用于location, 限制客户端使用除了指定的请求方法之外的其它方法
method:GET, HEAD, POST, PUT, DELETE,MKCOL, COPY, MOVE, 
OPTIONS, PROPFIND, PROPPATCH, LOCK, UNLOCK, PATCH

limit_except GET {
  allow 192.168.1.0/24;
  deny all;
}
除了GET和HEAD 之外其它方法仅允许192.168.1.0/24网段主机使


>5. ngx_http_access_module模块: 基于IP的访问控制功能.
1、allow address | CIDR | unix: | all;
2、deny address | CIDR | unix: | all;
http, server, location, limit_except 自上而下检查,一旦匹配,将生效,条件严格的置前
示例:
location / {
  deny 192.168.1.1;
  allow 192.168.1.0/24;
  allow 10.1.1.0/16;
  allow 2001:0db8::/32;
  deny all;
}


>6. ngx_http_auth_basic_module模块: 使用basic机制基于用户的访问控制(文件服务器) 
实现基于用户的访问控制,使用basic机制进行用户认证
1、auth_basic string | off;
2、auth_basic_user_file file;
location /admin/ {
auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.ngxpasswd;
}
用户口令文件:
1、明文文本:格式name:password:comment
2、加密文本:由htpasswd命令实现, httpd-tools所提供


>7. ngx_http_stub_status_module模块:  输出nginx的基本状态信息
示例:
location /status {
  stub_status;
  allow 172.16.0.0/16;
  deny all;
 } 


>8. ngx_http_ssl_module模块:证书绑定功能
1、ssl on | off;
为指定虚拟机启用HTTPS protocol, 建议用listen指令代替 (新版本必须使用listen www.xxx.com.cn ssl)
2、ssl_certificate file;
当前虚拟主机使用PEM格式的证书文件
3、ssl_certificate_key file;
当前虚拟主机上与其证书匹配的私钥文件
4、ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];支持ssl协议版本,默认为后三个
5、ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
none: 通知客户端支持ssl session cache,但实际不支持
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有
[shared:name:size]:在各worker之间使用一个共享的缓存
6、ssl_session_timeout time;
客户端连接可以复用ssl session cache中缓存的有效时长,默认5m

示例:
server {
  listen 443 ssl;
  server_name www.magedu.com;
  root /vhosts/ssl/htdocs;
  # ssl on;
  ssl_certificate /etc/nginx/ssl/nginx.crt;
  ssl_certificate_key /etc/nginx/ssl/nginx.key;
  ssl_session_cache shared:sslcache:20m;
  ssl_session_timeout 10m;
}


>9. ngx_http_rewrite_module模块:请求重定向
rewrite regex replacement [flag]

>10. ngx_http_referer_module模块:防盗链
valid_referers none|blocked|server_names|string ...;

>11. ngx_http_upstream_module模块: 负载均衡服务器
用于将多个服务器定义成服务器组,而由proxy_pass, fastcgi_pass等指令进行引用
1、upstream name { ... }
定义后端服务器组,会引入一个新的上下文,默认调度算法是wrr
http {
  upstream httpdsrvs {
    server ...
    server...
  ...
 }
}

2、server address [parameters];
IP[:PORT]
HOSTNAME[:PORT]
parameters: weight=number 权重,默认为1
max_conns 连接后端报务器最大并发活动连接数,1.11.5后支持
max_fails=number 失败尝试最大次数;超出此处指定的次数时,server将被标记为不可用,默认为1
fail_timeout=time 后端服务器标记为不可用状态的连接超时时长,默认10s
backup 将服务器标记为“备用”,即所有服务器均不可用时才启用
down 标记为“不可用”,实现灰度发布

3、ip_hash 源地址hash调度方法
4、least_conn 最少连接调度算法,当server拥有不同的权重时其为wlc,当所有后端主机连接数相同时,则使用wrr,适用于长连接
5、hash key [consistent] 基于指定的key的hash表来实现对请求的调度
作用:将请求分类,同一类请求将发往同一个upstream server,使用consistent参数,将使用ketama一致性hash算法,适用于后端是Cache服务器
hash $request_uri consistent;
hash $remote_addr;
6、health_check [parameters];健康状态检测机制;只能用于location上下文
interval=time检测的频率,默认为5秒
fails=number:判定服务器不可用的失败检测次数;默认为1次
passes=number:判定服务器可用的失败检测次数;默认为1次
uri=uri:做健康状态检测测试的目标uri;默认为/
******match=NAME:健康状态检测的结果评估调用此处指定的match配置块****** / 注意:仅对nginx plus有效
实例1
stream {
  upstream mysqlsrvs {
  server 192.168.22.2:3306; 
  server 192.168.22.3:3306; 
  least_conn;
}
实例2
stream {
  upstream mysqlsrvs {
  server 192.168.0.10:3306;
  server 192.168.0.11:3306;
  hash $remote_addr consistent;
}
实例3
stream {
  upstream mysqlsrvs {
    server 192.168.0.10:3306;
    server 192.168.0.11:3306;
    hash $remote_addr consistent;
  }
  server {
    listen 172.16.100.100:3306;
    proxy_pass mysqlsrvs; 
    proxy_timeout 60s;
    proxy_connect_timeout 10s;
 }
}

>12. 实现Nginx高并发Linux内核优化
使Nginx支持更多并发请求, 修改/etc/sysctl.conf来更改内核参数

fs.file-max = 999999 
  表示单个进程较大可以打开的句柄数
net.ipv4.tcp_tw_reuse = 1
  参数设置为 1 ,表示允许将TIME_WAIT状态的socket重新用于新的TCP链接,这对于服务器来说意义重大,因为总有大量TIME_WAIT状态的链接存在
net.ipv4.tcp_keepalive_time = 600
  当keepalive启动时,TCP发送keepalive消息的频度;默认是2小时,将其设置为10分钟,可更快的清理无效链接
net.ipv4.tcp_fin_timeout = 30
  当服务器主动关闭链接时,socket保持在FIN_WAIT_2状态的较大时间
net.ipv4.tcp_max_tw_buckets = 5000
  这个参数表示操作系统允许TIME_WAIT套接字数量的较大值,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000,过多的TIME_WAIT套接字会使Web服务器变慢
net.ipv4.ip_local_port_range = 1024 65000
  定义UDP和TCP链接的本地端口的取值范围
net.ipv4.tcp_rmem = 10240 87380 12582912
  定义了TCP接受缓存的最小值、默认值、较大值
net.ipv4.tcp_wmem = 10240 87380 12582912
  定义TCP发送缓存的最小值、默认值、较大值
net.core.netdev_max_backlog = 8096
  当网卡接收数据包的速度大于内核处理速度时,会有一个列队保存这些数据包。这个参数表示该列队的较大值

注意:以下的四个参数,需要根据业务逻辑和实际的硬件成本来综合考虑
net.core.rmem_default = 6291456
  表示内核套接字接受缓存区默认大小
net.core.wmem_default = 6291456
  表示内核套接字发送缓存区默认大小
net.core.rmem_max = 12582912
  表示内核套接字接受缓存区较大大小
net.core.wmem_max = 12582912
 表示内核套接字发送缓存区较大大小

net.ipv4.tcp_syncookies = 1
  与性能无关。用于解决TCP的SYN攻击
net.ipv4.tcp_max_syn_backlog = 8192
  这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度,默认1024,将其设置的大一些可使出现Nginx繁忙来不及accept新连接时,Linux不至于丢失客户端发起的链接请求
net.ipv4.tcp_tw_recycle = 1
  这个参数用于设置启用timewait快速回收
net.core.somaxconn=262114
  选项默认值是128,这个参数用于调节系统同时发起的TCP连接数,在高并发的请求中,默认的值可能会导致链接超时或者重传,因此需要结合高并发请求数来调节此值。
net.ipv4.tcp_max_orphans=262114
  选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS攻击,不用过分依靠这个限制甚至认为的减小这个值,更多的情况是增加这个值
 

※网络笨猪※
关注
专栏目录
Nginx高性能Web服务器实战教程+高清+完整书签
02-25
Nginx高性能Web服务器实战教程》是一本深入讲解如何利用Nginx构建高效稳定Web服务的书籍。Nginx以其高性能、轻量级、反向代理和负载均衡等特性,已经成为许多企业和开发者首选的Web服务器。这本书涵盖了从基础配置...
使用高性能Web服务Nginx实现开源负载均衡.doc
最新发布
06-29
Nginx(发音为“Engine X”)是一款由俄罗斯开发者Igor Sysoev开发的高性能Web服务器与反向代理服务器,同时也支持IMAP/POP3/SMTP代理服务。自推出以来,Nginx以其卓越的稳定性和高效的性能受到广泛欢迎。它已经在...
优化 Nginx HTTPS 延迟 - 如何让Nginx提速 30%的?
独行侠梦的博客
06-22 1192
为什么要优化 Ngin HTTPS 延迟Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服务器单机应该可以期望承受住 50K 到 80K 左右[1]每秒的请求,同时将 CPU 负载在可控范围内。但在很多时候,负载并不是需要首要优化的...
nginx 使用SSL对流量进行加密
认知 行动 坚持
10-10 6860
说白了就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单的来说两个都是HTTP协议,只不过https是身披SSL外壳的http. HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。 SSL(Secure Sockets Layer)安全套接层 TLS(Transport Layer Security)传输层安全 上述这两个是为网络通信提供安全及数据完整性的一种安全协议,TLS和SSL在传输层和应用
Https网络安全传输详解
踩踩踩从踩的博客
11-01 7566
前言 本篇文章会主要介绍网络中数据安全传输,加密算法,Https如何保证数据传输安全,SSL证书解析,CA认证流程,OpenSSLNginx中实现高性能Https。 数据加密技术 加密算法之对称加密(AES加密) 及在jdk中应用_踩踩踩从踩的博客-CSDN博客_jdk对称加密 加密算法之安全hash算法、RSA非对称加密算法分析_踩踩踩从踩的博客-CSDN博客 都是从原理上去分析几个加密技术,包括对称加密、一致性hash算法、非对称加密。 Http安全性能 HTTP HTTP协议,即超
疫情被裁员,大专毕业宅家6个月,逆袭月薪2w+
软件测试前沿技术分享
05-23 291
“世界上只有一种真正的英雄主义,那就是在认清生活的真相后依然热爱生活。” 这句话几乎是今天主人公的人生注脚 大专毕业后做客服;脱产学习软测后找到12k工作;被裁员后再次脱产学习;现在月薪2w+ 在讲述自己经历的时候,小哥哥说得最多的一句话就是:“没什么能比现在更差的了” 又丧又坚定 让我们一起走进他的故事吧~ 人物标签:大专毕业 疫情被裁员 脱产学习 Java测开4期 01 家中变故,让我决心改变 我是17年大专毕业的,毕业后学历使然,只能
HTTP与HTTPS
fightsyj的博客
01-08 2351
HTTP(HyperText Transfer Protocol):超文本传输协议 HTTPS(Hypertext Transfer Protocol Secure):安全超文本传输协议 关系:HTTP + SSL加密 = HTTPS(HTTPS是安全版的HTTP) 区别: HTTPS协议需要到ca申请证书,一般免费证书较少,因而需要一定费用; HTTP是超文本传输协议,信息是明文传输,...
高性能Web服务Nginx及相关新技术的应用实践
09-02
高性能Web服务Nginx及相关新技术的应用实践
2022年优秀-高性能Web服务Nginx及相关新技术的应用实践.ppt
11-20
总结来说,Nginx以其卓越的性能和灵活的配置,成为企业构建高性能Web服务的关键组件。其在负载均衡、反向代理以及与各种新技术的整合方面展现了强大的能力,为互联网业务提供了可靠的基础架构支持。
Nginx高性能Web服务器详解.pdf
12-13
总之,《Nginx高性能Web服务器详解》是深入了解和掌握Nginx的宝贵资料,无论你是运维工程师、开发人员还是系统架构师,都能从中受益,提升你的Web服务管理和优化技能。通过阅读本书,你将能够构建起一套高效、稳定的...
漏洞挖掘-不安全的HTTP方法
weixin_48421613的博客
01-09 4085
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
提交时出现Tortoise SVN错误:’无效的PROPPATCH属性 Error: Invalid PROPPATCH property
天行健,君子以自强不息
12-10 465
提交时出现Tortoise SVN错误:’无效的PROPPATCH属性 Error: Invalid PROPPATCH property 解决方式: Right-click on the working copy root folder, select Tortoise SVN > Properties, remove the "svn:ignore" property and then commit works fine. 1. 在文件夹上右键菜单中选择:「Tortoise SVN.
Nginx使用HTTPS建立与上游服务器的网络通信
YunWisdom
11-22 1980
Nginx使用HTTPS建立与上游服务器的网络通信 本文介绍了如何加密NGINX与上游组或代理服务器之间的HTTP通信。 先决条件 NGINX开源或NGINX Plus 甲代理服务器或服务器的上游组 SSL证书和私钥 获取SSL服务器证书 您可以从受信任的证书颁发机构(CA)购买服务器证书,也可以使用OpenSSL库创建自己的内部CA并生成自己的证书。服务器证书以及私...
[WebDav] WebDav基础知识
zlllc的博客
02-20 3514
对于WebDav协议的知识整理。结合坚果云WebDav服务,进行了WebDav方法的代码验证。
Nginx 配置 SSL(HTTPS)详解
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
04-25 1万+
Nginx作为一款高性能的HTTP和反向代理,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。随着互联网安全性的日益重要,HTTPS协议逐渐成为网站加密通信的标配。Nginx作为一款高性能的HTTP和反向代理服务器,自然支持SSL/TLS加密通信。本文将详细介绍如何在Nginx中配置SSL,实现HTTPS的访问。使用Nginx进行反向代理的时候,对于正常的http;流量使用location块并且配置proxy_pass。
session失效时间
一只苟延残喘的卑微蝼蚁
05-08 5627
如果把 session的失效时间设为 20分钟 这个20分钟是指 从用户登陆开始创建一个 session 不管用户操作没操作20分钟一过就失效? 还是说 在用户停止操作20分钟以上才会失效呢?设置session失效时间的三种方法session-timeout(web.xml)元素与session.setMaxInactiveInterval()函数A) web app server中,如websp...
关于nginx的负载均衡问题
熊诗言的博客
08-30 3863
nginx作为非常流行的反向代理软件,提供了几种负载均衡算法。 一、负载均衡算法 round robin(默认) weight IP_hash url_hash(第三方) fair(第三方) 1.round robin(默认) 轮询方式,依次将请求分配到各个后台服务器中,默认的负载均衡方式。 适用于后台机器性能一致的情况。 挂掉的机器可以自动从服务列表中剔除。 2.weight 根据权重来分发请求到不同的机器中,指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况。 upstream
nginx 配置ssl配置文件内容
知识的灯塔,梦想的航船
11-19 2886
server { listen 443 ssl; server_name www.langmanezhuang.com; # 改为绑定证书的域名 # ssl 配置 #ssl on; ssl_certificate 1_langmanezhuang.com_bundle.crt; # 改为自己申请得到的 crt 文件...
HTTPS 站点的性能优化
gman344的博客
07-23 519
HTTPS 站中的几大难题 性能,包括: HTTPS需要多次握手,因此网络耗时变长,用户从HTTP跳转到HTTPS需要一些时间; HTTPS要做RSA校验,这会影响到设备性能; 所有CDN节点要支持HTTPS,而且需要有极其复杂的解决方案来面对DDoS的挑战。 其次,兼容性及周边,如: 页面里所有嵌入的资源都要改成HTTPS的,这些资源可能会来自不同的部门甚至不同的公司,包括图片、视频、表单等等,否则浏览器就会报警。 如何解决 采用了统一接入层的架构,并配备管控平台。这样的设计解决了很多问题,比如...
Nginx实战:高性能Web服务器替代Apache
"实战Nginx - 取代Apache的高性能Web服务器" 本书是一本关于Nginx的中文实战指南,旨在介绍如何使用Nginx作为高性能Web服务器替代Apache。书中详细阐述了Nginx的特点和优势,包括其高并发处理能力、低内存消耗、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值