Nginx服务优化

隐藏版本号

在生产环境中，需要隐藏Nginx的版本号，以免泄露Nginx的版本免受黑客的攻击。

curl -I http://localhost ' 先查看自己的版本号'
'本实验操作是将ln -s /usr/local/nginx/conf/nginx.conf  到/etc了的。'
vi /etc/nginx.conf
http{
server_tokens off; ’添加关闭版本号'
}
效果是
HTTP/1.1 200 OK
Server: nginx

还有一种隐藏方法
vi nginx-1.12.2/src/core/nginx.h  本次版本是nginx-1.12.2
#define NGINX_VERSION      "1.1.1"                     #修改版本号
#define NGINX_VER          "IIS/" NGINX_VERSION        #修改服务器类型
改后这里必须要重新编译安装才生效
systemctl stop nginx
cd nginx-1.12.2/
make && make install

systemctl stop nginx
systemctl start nginx

原来没有修改的版本号
第二种方法效果

修改用户与组

Nginx运行时进程需要有用户与组的支持，以实现对网站文件读取时进行访问控制。

编译安装时指定用户与组

cd nginx-1.12.2/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
'user=nginx用户  group=nginx组'

make && make install

修改nginx.conf指定用户和组

vi nginx.conf
user nginx nginx;  '修改user=nginx用户  group=nginx组'

查看进程的运行情况

配置网页缓存时间

当Nginx将网页数据返回给客户端后，可设置缓存的时间，以方便在日后进行相同内容的请求时直接返回，避免重复请求，加快了访问速度，一般针对静态网页设置，对动态网页不设置缓存时间。

要求：以图片作为缓存对象，复制 1.jpg 图片到 Nginx 的工作目录

cd /usr/local/nginx/html/  '照片文件传输到这里'
'修改Nginx配置文件指定缓存时间在新location加入expires参数'
vi /usr/local/nginx/html/index.html
在<body>里面加入图片<img src="1.jpg" />

'配置nginx.conf'
vi /etc/nginx.conf
 locahost ~ \.(gif|jpg|png|bmp|ico)$ { '加入新location'
         root html;
         expires 1 day;   '缓存时间'
       }

谷歌浏览器访问：192.168.100.101

全局缓存

vi /etc/nginx.conf
http{
expires 7d; '添加expires参数 指定缓存时间'
}

日志切割

随着Nginx运行时间增加，日志也会增加，为了方便掌握Nginx运行状态，需要时刻关注Nginx日志文件。太大的日志文件对监控是一个大灾难，定期进行日志文件的切割。
Nginx自身不具备日志分割处理的功能，但可以通过Nginx信号控制功能的脚本实现日志的自动切割通过Linux的计划任务周期性地进行日志切割。

编写脚本进行日志切割的思路
设置时间变量
设置保存日志路径
将目前的日志文件进行重命名
重建新日志文件
删除时间过长的日志文件设置cron任务，定期执行脚本自动进行日志分割

编写脚本

vi fenge.sh
#!/bin/bash
# 日志分割
d=$(date -d "-1 day" "+%Y-%m-%d")
logs_path="/var/log/nginx"
pid_path="/usr/local/nginx/logs/nginx.pid"
[ -d $logs_path ] || mkdir -p $logs_path            #创建日志文件目录
mv /usr/local/nginx/logs/access.log ${logs_path}/aa.com.access.log-$d #移动并重命名日志
kill -HUP $(cat $pid_path)                          #重建新日志文件
find $logs_path -mtime +30 | xargs rm -rf           #删除 30天之前的日志文件

chmod +x fenge.sh 
./fenge.sh

cd /usr/local/nginx/logs/ 查看access.log

cd /var/log/nginx 创建的新日志文件

设置 crontab 任务

crontab -e
0 3 * * * /root/fenge.sh   '每天3执行fenge.sh任务'
crontab -l
0 3 * * * /root/fenge.sh   '查看任务  定期执行脚本自动进行日志分割'  

设置连接超时

在企业网站中，为了避免同一个客户长时间占用连接，造成资源浪费，可设置相应的连接超时参数，实现对连接访问时间的控制。可以修改配置 nginx.conf ，设置 keepalive-timeout 超时时间。

配置nginx.conf 设置超时时间

vi /etc/nginx.conf   
keepalive_timeout  65 120; '设置连接保持超时时间'
client_header_timeout 60; '指定等待客户端发送请求头的超时时间'
client_body_timeout 60;  '设置请求体读超时时间'


systemctl stop nginx
systemctl start nginx

进程数

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞。

修改配置文件的worker_processes参数，—般设为CPU的个数或者核数，在高并发情况下可设置为CPU个数或者核数的2倍，可以先查看 CPU 的核数以确定参数。

 cat /proc/cpuinfo |  grep -c "physical"
 1       '默认是1'

参数设置为 4 ，运行进程数设置多一些，响应客户端访问请求时，Nginx 就不会临时启动新的进程提供服务，减少了系统的开销，提升了服务速度。

vi /etc/nginx.conf 
worker_processes  4;   '设置参数'

一个主进程和4个子进程 参数4的效果

Nginx的多个进程都是在一个CPU上面跑，可以分配不同的进程给不同CPU处理，利用多核多CPU，设置每个进程分别不同的CPU核心处理，以达到CPU的性能最大化。

vi /etc/nginx.conf 
worker_processes  4;   '设置参数'
worker_cpu_affinity 0001 0010 0100 1000;

配置网页压缩

Nginx的ngx_http_gzip_module压缩模块提供对文件内容压缩的功能，允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验，默认已经安装改模块，只需在配置文件中加入相应的压缩功能参数对压缩性能进行优化即可。

压缩功能参数：
gzip on:开启gzip压缩输出。
gzip_min_length 1k:设置允许压缩的页面最小字节数。
gzip_buffers 4 16k:申请4个单位为16k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来存储gzip压缩结果。
gzip_http_version 1.0:设置识别http协议版本，默认是1.1,目前大部分浏览器已经支持gzip解压，但处理较慢，也比较消耗服务器CPU资源。
gzip_comp_level 2:指定gzip压缩比，1压缩比最小，处理速度最快;9压缩比最大，传输速度快，但处理速度最慢。
gzip_types text/plain:压缩类型，对哪些网页文档启用压缩功能。
gzip_vary on:让前端缓存服务器缓存经过gzip压缩的页面。

修改 Nginx 的配置文件，加入压缩功能参数

vi /etc/nginx.conf
     gzip  on;    '去掉#'
    gzip_min_length 1k;
    gzip_buffers 4 16k;
    gzip_http_version 1.1;
    gzip_comp_level 6;
     gzip_disable "MSIE [1-6]\.";
    gzip_vary on;
    gzip_types text/plain text/css text/javascript application/x-javascript 
         application/javascript application/json application/x-httpd-php 
         application/xml image/jpg image/jpeg image/png image/gif;

systemctl stop nginx
systemctl start nginx 

防盗链

在企业网站服务中，一般都要配置防盗链功能，以避免网站内容被非法盗用，造成经济损失，也避免不必要的带宽浪费。Nginx 的防盗链功能非常强大，在默认情况下，只需要进行很简单的配置，即可实现防盗链处理。

要求：把1.jpg源图片和aa.png防盗链提示图片放入cd /usr/local/nginx/html/里面。

配置防盗链
Nginx 的防盗链原理是加入 location 项，用正则表达式过滤图片类型文件。对于信任的网址可以正常使用，对于不信任的网址则返回相应的错误图片。

vi /etc/nginx.conf
http里面加入
index  index.html index.htm;
        }  如：
        
location ~* \.(jpg|gif|swf)$ {
    valid_referers none blocked *.aa.com aa.com 192.168.100.101;
    if ($invalid_referer) {
    rewrite ^/ http://192.168.100.101/error.png;
   }
    }
    
systemctl stop nginx
systemctl start nginx

192.168.100.101源图片

配置盗链主机192.168.100.102

vi /usr/local/nginx/html/index.html
<img src="http://192.168.100.101/a.jpg"/>     #添加


192.168.100.101   www.aa.com     ' 域名映射'  

systemctl stop nginx
systemctl start nginx      

没有配置防盗链前访问192.168.100.102 效果跟源图片一样，这是配置后下提示效果。

FPM 参数优化

Nginx 的 PHP 解析功能如果是交由 FPM 处理的，为了提高 PHP 的处理速度，可对 FPM 模块进行参数的调整。
注：不要忘记安装带 FPM 模块的 PHP 环境 本博客有安装过程如Nginx服务LNMP里面。

FPM 参数优化

cd /usr/local/php/etc/php-fpm.d/
vi www.conf
pm.max_children = 20            'static模式下空闲进程数上限，大于下面的值'
pm.start_servers = 5            '动态方式下默认开启的进程数，在最小和最大之间'
pm.min_spare_servers = 2        '动态方式下最少空闲进程数'
pm.max_spare_servers = 8       '动态方式下最大空闲进程数'
安装带

FPM 模块的 PHP 环境默认
验证

pkill php-fpm
/usr/local/php/sbin/php-fpm -c /usr/local/php/lib/php.ini