Nginx四层代理功能及Nginx优化和Tengine介绍

Nginx四层代理功能和Tengine编译安装

ngx_stream_core_module

ngx_stream_core_module模块
	模拟反代基于tcp或udp的服务连接，即工作于传输层的反代或调度器
stream { ... }
	定义stream相关的服务；Context:main
	stream {
		upstream mysqlsrvs {
			server 192.168.8.2:3306; 
			server 192.168.8.3:3306; 
			least_conn;
		}
		server {
			listen 10.1.0.6:3306;
			proxy_pass mysqlsrvs;
		}
	}
	注意：反向代理模块可支持下划线"_"，http模块中不支持下划线，支持横线"-"

listen
	listen address:port [ssl] [udp] [proxy_protocol] [backlog=number] [bind] [ipv6only=on|off] [reuseport] [so_keepalive=on|off|[keepidle]:[keepintvl]:[keepcnt]];

ngx_stream_proxy_module模块
	可实现代理基于TCP，UDP (1.9.13), UNIX-domain sockets的数据流
proxy_pass address;
	指定后端服务器地址
proxy_timeout timeout;
	无数据传输时，保持连接状态的超时时长
	默认为10m
proxy_connect_timeout time;
	设置nginx与被代理的服务器尝试建立连接的超时时长
	默认为60s

TCP反向代理生产案例

stream {
	upstream mysql_servers {
		server 192.168.0.10:3306;
		server 192.168.0.11:3306;
		hash $remote_addr consistent;
	}
	server {
		listen 172.16.100.100:3306;
		proxy_pass mysql_servers; 
		proxy_timeout 60s;
		proxy_connect_timeout 10s;
	}
}

stream {
	upstream redis_servers {
	server 192.168.0.10:6379 max_fails=3 fail_timeout=30s; 
	}
server {
	listen 172.16.100.100:6379;
	proxy_pass redis_servers; 
	proxy_timeout 60s;
	proxy_connect_timeout 10s;
	} 
}

Tengine

Tengine是由淘宝网发起的Web服务器项目。它在Nginx的基础上，针对大访问量网站的需求，添加了很多高级功能和特性。Tengine的性能和稳定性已经在大型的网站如淘宝网，天猫商城等得到了很好的检验。它的最终目标是打造一个高效、稳定、安全、易用的Web平台。
官网：
	http://tengine.taobao.org
官方文档：
	http://tengine.taobao.org/documentation_cn.html

Tengine特性

 继承Nginx-1.16.0的所有特性，兼容nginx的配置
 支持HTTP的CONNECT方法，可用于正向代理场景
 支持异步OpenSSL，可使用硬件如:QAT进行HTTPS的加速与卸载
 增强相关运维、监控能力,比如异步打印日志及回滚,本地DNS缓存,内存监控等
 Stream模块支持server_name指令
 更加强大的负载均衡能力，包括一致性hash模块、会话保持模块，还可以对后端的服务器进行主动健康检查，根据服务器状态自动上线下线，以及动态解析upstream中出现的域名
 输入过滤器机制支持。通过使用这种机制Web应用防火墙的编写更为方便
 支持设置proxy、memcached、fastcgi、scgi、uwsgi在后端失败时的重试次数
 动态脚本语言Lua支持。扩展功能非常高效简单
 支持按指定关键字(域名，url等)收集Tengine运行状态
 组合多个CSS、JavaScript文件的访问请求变成一个请求
 自动去除空白字符和注释从而减小页面的体积
 自动根据CPU数目设置进程个数和绑定CPU亲缘性；
 监控系统的负载和资源占用从而对系统进行保护
 显示对运维人员更友好的出错信息，便于定位出错机器
 更强大的防攻击（访问速度限制）模块
 更方便的命令行参数，如列出编译的模块列表、支持的指令等
 可以根据访问文件类型设置过期时间

实现nginx高并发Linux内核优化

默认的Linux内核参数考虑的是最通用场景，不符合用于支持高并发访问的Web服务器的定义，根据业务特点来进行调整，当Nginx作为静态web内容服务器、反向代理或者提供压缩服务器的服务器时，内核参数的调整都是不同的，此处针对最通用的、使Nginx支持更多并发请求的TCP网络参数做简单的配置,修改/etc/sysctl.conf来更改内核参数
fs.file-max = 999999 
	表示单个进程较大可以打开的句柄数  net.ipv4.tcp_tw_reuse = 1 参数设置为 1 ，表示允许将TIME_WAIT状态的socket重新用于新的TCP链接，这对于服务器来说意义重大，因为总有大量TIME_WAIT状态的链接存在
net.ipv4.tcp_keepalive_time = 600 
	当keepalive启动时，TCP发送keepalive消息的频度；默认是2小时，将其设置为10分钟，可更快的清理无效链接
net.ipv4.tcp_fin_timeout = 30 
	当服务器主动关闭链接时，socket保持在FIN_WAIT_2状态的较大时间
net.ipv4.tcp_max_tw_buckets = 5000
	表示操作系统允许TIME_WAIT套接字数量的较大值，如超过此值，TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000，过多的TIME_WAIT套接字会使Web服务器变慢
net.ipv4.ip_local_port_range = 1024 65000
	定义UDP和TCP链接的本地端口的取值范围
net.ipv4.tcp_rmem = 10240 87380 12582912
	定义了TCP接受缓存的最小值、默认值、较大值 
net.ipv4.tcp_wmem = 10240 87380 12582912
	定义TCP发送缓存的最小值、默认值、较大值 
net.core.netdev_max_backlog = 8096
	当网卡接收数据包的速度大于内核处理速度时，会有一个列队保存这些数据包。这个参数表示该列队的较大值

net.core.rmem_default = 6291456
	表示内核套接字接受缓存区默认大小
net.core.wmem_default = 6291456
	表示内核套接字发送缓存区默认大小
net.core.rmem_max = 12582912
	表示内核套接字接受缓存区较大大小
net.core.wmem_max = 12582912
	表示内核套接字发送缓存区较大大小
注意：以上的四个参数，需要根据业务逻辑和实际的硬件成本来综合考虑

net.ipv4.tcp_syncookies = 1
	与性能无关。用于解决TCP的SYN攻击
net.ipv4.tcp_max_syn_backlog = 8192
	这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度，默认1024，将其设置的大一些可使出现Nginx繁忙来不及accept新连接时，Linux不至于丢失客户端发起的链接请求
net.ipv4.tcp_tw_recycle = 1
	这个参数用于设置启用timewait快速回收
net.core.somaxconn=262114
	选项默认值是128，这个参数用于调节系统同时发起的TCP连接数，在高并发的请求中，默认的值可能会导致链接超时或者重传，因此需要结合高并发请求数来调节此值。
net.ipv4.tcp_max_orphans=262114
	选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS攻击，不用过分依靠这个限制甚至认为的减小这个值，更多的情况是增加这个值