目录
一、Nginx优化
1.配置Nginx隐藏版本号
隐藏Nginx版本号,避免安全漏洞泄漏
Nginx隐藏版本号的方法修改
配置文件法
修改源码法
1)修改配置文件法
将Nginx配置文件中server_tokens 选项的值设置为off
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #添加,关闭版本号
......
}systemctl restart nginx
curl -I http://192.168.80.10
2)修改源码文件,重新编译安装
vim /opt/nginx-1.12.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make installvim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
}systemctl restart nginx
curl -I http://192.168.80.10
2.配置Nginx网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存的时间,以方便在日后进行相同内容的请求时直接返回,避免重复请求,加快了访问速度
一般针对静态网页设置,对动态网页不设置缓存时间
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location / {
root html;
index index.html index.htm;
}
location ~ \.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的 location,以图片作为缓存对象
root html;
expires 1d; #指定缓存时间,1天
}
......
}
}
http://www.xy101.com/wangsicong.jpg
systemctl restart nginx
3.实现Nginx的日志切割
编写脚本进行日志切割的思路
[root@www logs]# vim /opt'fenge.sh
#!/bin/bash
#Filename: fenge.sh
d=$(date -d "-1 day" "+%Y%m%d")
logs path="ivar/log'nginx"
pid path="/usr/local/nginx/logs/nginx.pid"
[-d Slogs path ]ll mkdir -p $logs path
mv /usr/local/nginx/logs/access.log ${logs path}/test.com-access.log-$d
kill -USR1 $(cat $pid path)
find $logs path -mtime +30 |xargs rm -rf
4.配置Nginx实现连接超时
为避免同一客户端长时间占用连接,造成资源浪费,可设置相应的连接超时参数,实现控制连接访问时间
超时参数
Keepalive_timeout
设置连接保持超时时间
Client header timeout
指定等待客户端发送请求头的超时时间
Client body timeout
设置请求体读超时时间
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 60 50;
keepalive_requests 100;
client_header_timeout 80;
client_body_timeout 80;
......
}
systemctl restart nginx
5.更改Nginx运行进程数
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞
更改进程数的配置方法
修改配置文件,修改进程配置参数
修改配置文件的worker_processes参数
一般设为CP的个数或者核数在高并发情况下可设置为CPU个数或者核数的2倍
增加进程数,可减少了系统的开销,提升了服务速度
使用ps aux查看运行进程数的变化情况
[root@www conf]# cat /proc/cpuinfo | grep -c "physical"
[root@www conf]# vi nginx.conf
worker processes 4;
[root@www conf]# systemctl restart nginx
[root@www conf]# ps aux | grep nginx
默认情况,Nginx的多个进程可能跑在一个CPU上,可以分配不同的进程给不同的CPU处理,充分利用硬件多核多CPU
在一台4核物理服务器,进行配置,将进程进行分配
[root@www conf]# vi nginx.conf
worker processes 4;
worker_cpu affinity 0001 0010 0100 1000;
6.配置网页压缩
ngx_http_gzip_module是Nginx提供对文件压缩功能的模块
允许Nginx服务器将输出内容在发送客户端之前进行压缩,以节约网站带宽,提升用户的访问体验,默认已经安装
可在配置文件中加入相应的压缩功能参数对压缩性能进行优化
vim /usr/local/nginx/conf/nginx.conf
http {
......
gzip on; #取消注释,开启gzip压缩功能
gzip_min_length 1k; #最小压缩文件大小,小于设置值的文件将不会压缩
gzip_buffers 4 16k; #压缩缓冲区,这里设置以16k为单位,按照原始数据大小以16k为单位的4倍申请内存
gzip_http_version 1.1; #用于识别HTTP协议版本
gzip_comp_level 5; #压缩比率,压缩比例由低到高从1到9,默认为1,在生产环境中一般设置该参数的值在3~5之间,最好不要超过5
gzip_vary on; #支持前端缓存服务器存储压缩页面
gzip_disable "MSIE [1-6]\."; #配置禁用gzip条件,支持正则。此处表示ie6及以下不启用gzip(因为ie低版本不支持)
gzip_types text/plain text/javascript text/css text/xml application/x-javascript application/xml application/x-httpd-php application/javascript application/json; #压缩类型,表示哪些网页文档启用压缩功能
......
}
#实现网页图片的大小压缩
http_image_filter_module是Nginx提供的集成图片处理模块,可以用于实时缩放图片,旋转图片,验证图片有效性以及获取图片宽高以及图片类型信息
yum install -y gd-devel #yum在线源安装gd-devel,http_image_filter_module模块需要依赖gd-devel的支持
cd /opt/nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module --with-http_image_filter_module
make && make installvim /usr/local/nginx/conf/nginx.conf
http {
....
gzip on;
gzip_types text/plain .... image/jpeg image/gif image/png; #将图片类型文件压缩加入gzip
....
server {
....
location ~* \.(jpg|gif|png)$ {
image_filter resize 200 200; #按等比例缩小图像的宽或高至指定大小。如果只想设置一个维度,另一维可以指定为:“-”
} #(如果长>宽就以长为标准,宽为比例;如果长<宽就以宽为标准,长为比例)
}
}
cd /usr/local/nginx/html
先将game.jpg文件传到/usr/local/nginx/html目录下
vim index.html
......
<img src="game.jpg"/> #网页中插入图片
</body>
</html>
二、防盗链
1.配置防盗链
vim /usr/local/nginx/conf/nginx.conf
http {
......
server {
......
location ~* \.(jpg|gif|swf)$ {
valid_referers none blocked *.xy101.com xy101.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.xy101.com/error.png;
#return 403;
}
}
......
}
}
~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
valid_referers :设置信任的网站,可以正常使用图片;
none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.xy101.com/game.jpg
我们使用 http://www.xy101.com 访问显示的图片,可以理解成 http://www.xy101.com/game.jpg 这个请求是从 http://www.xy101.com 这个链接过来的。
blocked:允许不是http://开头的,不带协议的请求访问资源;
*.xy101.com:只允许来自指定域名的请求访问资源,如 http://www.xy101.comif语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。
网页准备:
Web源主机(192.168.80.10)配置:
cd /usr/local/nginx/html
将game.jpg、error.png文件传到/usr/local/nginx/html目录下
vim index.html
......
<img src="game.jpg"/>
</body>
</html>
总结
■ Nginx优化方法
隐藏软件版本号
更改程序运行用户与组
配置网页缓存时间
Nginx日志切割
设置连接超时
更改进程数
配置网页压缩与防盗链
fpm参数优化