Nginx优化与防盗链

最新推荐文章于 2024-07-21 18:47:40 发布

ML[抱拳]

最新推荐文章于 2024-07-21 18:47:40 发布

阅读量917

点赞数 14

文章标签： nginx 运维

本文链接：https://blog.csdn.net/weixin_73188318/article/details/139769295

版权

Nginx服务优化

请确保优化方案包括以下几个方面：

1. 负载均衡和重写策略

2. 缓存策略

3. 连接池管理和释放

4. 错误处理和日志记录

5. 性能监控和调优

针对Nginx服务的优化，以提高服务性能和效率，可以从以下几个方面进行：

1. 负载均衡和重写策略

优化步骤：

选择合适的负载均衡策略：
- 使用轮询（Round Robin）策略作为默认策略，按顺序将请求分发给不同服务器。
- 如果服务器性能不均，可以采用权重（Weighted Round Robin）策略，为不同服务器设置不同的权重值。
- 若需要确保同一IP的请求始终发送到同一台服务器，可以采用IP哈希（IP Hash）策略。
优化URL重写：
- 使用Nginx的rewrite指令来优化URL结构，确保请求能够快速匹配到正确的资源。
- 通过配置try_files指令，优先查找静态文件，减少不必要的动态请求。

预期效果：

负载均衡策略的优化能够确保请求被均匀分配到各个服务器上，避免单点过载。
URL重写的优化能够减少请求处理时间，提高响应速度。

2. 缓存策略

优化步骤：

开启Nginx的缓存功能：
- 使用Nginx的proxy_cache指令来缓存代理的响应内容。
- 配置缓存的有效期、缓存目录路径等参数。
优化缓存策略：
- 根据业务需求设置合适的缓存有效期，避免过期内容被缓存。
- 使用LRU（最近最少使用）算法来管理缓存数据，优先清除最久未使用的数据。

预期效果：

缓存功能的开启能够减少后端服务器的请求量，提高响应速度。
缓存策略的优化能够确保缓存数据的有效性和高效性。

3. 连接池管理和释放

优化步骤：

调整连接池参数：
- 根据服务器性能和业务需求，调整worker_connections参数，定义每个工作进程可处理的最大并发连接数。
- 调整accept_mutex、accept_mutex_delay等参数，优化网络连接的处理。
优化连接管理：
- 使用listen指令的backlog参数来设置TCP全连接队列最大值。
- 配置so_keepalive参数来开启TCP保活机制，确保连接的稳定性。
- 调整keepalive_timeout、keepalive_requests等参数，优化长连接的管理。

预期效果：

连接池参数的优化能够确保服务器在高并发场景下保持稳定的性能。
连接管理的优化能够减少连接资源的浪费，提高连接的复用率。

4. 错误处理和日志记录

优化步骤：

配置错误日志：
- 使用error_log指令来指定错误日志的路径和日志级别。
- 定期检查错误日志，及时发现并解决问题。
优化日志记录：
- 配置access_log指令来记录访问日志，分析访问情况。
- 使用log_format指令自定义日志格式，满足特定需求。
- 开启日志轮替功能，防止日志文件过大。

预期效果：

错误日志的配置能够及时发现并定位问题，提高系统的可维护性。
访问日志的记录和分析能够帮助了解系统的访问情况，为性能调优提供依据。

5. 性能监控和调优

优化步骤：

使用监控工具：
- 使用如Nginx Plus、Prometheus等监控工具来实时监控Nginx的性能指标。
- 配置告警机制，当性能指标异常时及时通知管理员。
定期性能评估：
- 定期对Nginx进行负载测试和压力测试，评估其性能表现。
- 根据测试结果进行调优，优化Nginx的配置参数和策略。

预期效果：

监控工具的使用能够实时了解Nginx的性能状态，确保系统的稳定运行。
定期性能评估和调优能够确保Nginx的性能始终保持在最优状态，满足业务需求。

在优化过程中，需要综合考虑实际操作的可行性和成本效益，确保优化方案的有效性和可持续性。

隐藏版本号

要隐藏Nginx的版本号，可以采用以下几种方法，这些方法在参考文章中有详细的描述和说明：

1. 在Nginx配置文件中使用`server_tokens`指令

打开Nginx的配置文件（通常是/usr/local/nginx/nginx.conf或者/etc/nginx/nginx.conf）。
在配置文件中找到或添加以下配置项

将server_tokens设置为off可以隐藏Nginx版本信息。这样，当客户端发送请求时，服务器将不会在响应头中包含Nginx的版本信息。

2. 在编译安装Nginx时禁用相关模块

如果你是从源代码编译安装Nginx的，可以在编译时使用--without-http_gzip_module参数。但请注意，这个参数实际上是用于禁用gzip模块的，而不是直接隐藏Nginx版本号。不过，禁用某些模块可能间接地影响版本信息的显示。

3. 自定义Nginx的响应头

另一种方法是修改Nginx源代码中的ngx_http_header_filter_module.c文件。但这种方法相对复杂，需要对Nginx的编译和源代码有一定了解。
在ngx_http_header_filter_module.c文件中，找到定义Server响应头的部分，并自定义为不包含版本信息的字符串。

修改完成后，需要重新编译并安装Nginx。

4. 注意事项

在进行任何修改之前，请确保备份原始的Nginx配置文件和源代码（如果需要修改源代码）。
修改配置文件后，需要重新加载或重启Nginx服务以使更改生效。可以使用命令nginx -s reload或systemctl reload nginx（取决于你的系统和Nginx安装方式）。
隐藏Nginx版本号可以提高服务器的安全性，因为它可以防止潜在的攻击者了解你使用的Nginx版本和可能存在的安全漏洞。但是，隐藏版本号并不是解决安全问题的唯一或最佳方法，你还应该采取其他安全措施来保护你的服务器。

修改用户与组

在Nginx中，通常可以通过修改配置文件或者编译安装时指定参数来修改运行Nginx的用户和组。以下是修改Nginx运行用户和组的步骤：

1. 修改配置文件

你可以通过修改Nginx的配置文件（通常是nginx.conf）中的user指令来设置运行Nginx的用户和组。这个指令应该位于http块之外，在全局配置中。

1.打开Nginx的配置文件（可能是/etc/nginx/nginx.conf，具体取决于你的安装和配置）。

2.找到或添加user指令，例如：

在这里，www-data是用户名，www-data-group是组名。你需要将它们替换为你想要使用的实际用户名和组名。

3.保存并关闭配置文件。

4.重新加载或重启Nginx以使更改生效

2. 编译安装时指定用户和组

如果你从源代码编译安装Nginx，你可以在配置脚本中使用--user和--group参数来指定用户和组。

1.运行配置脚本（例如./configure），并添加--user和--group参数：

2.同样地，你需要将www-data和www-data-group替换为你想要使用的实际用户名和组名。

注意事项

在修改Nginx的用户和组之前，请确保新的用户和组已经存在于系统中，并且具有适当的权限来访问Nginx需要的文件和目录。
修改用户和组后，可能需要更改Nginx相关文件和目录的权限，以确保新的用户和组可以访问它们。
在生产环境中，通常建议使用非root用户运行Nginx，以提高安全性。
修改配置后，请务必重新加载或重启Nginx以使更改生效。

编译并安装Nginx。

配置网页缓存时间

在Nginx中配置网页缓存时间，主要是通过设置响应头中的Expires或Cache-Control字段来实现的。以下是一个清晰的步骤说明，以及相关的配置示例：

1. 设置Expires字段

Expires字段告诉浏览器某个资源在何时过期，从而避免在过期之前重新从服务器获取。

配置步骤：

打开Nginx的主配置文件，通常是/etc/nginx/nginx.conf，或者在sites-available/目录下的特定站点配置文件。
找到或创建一个location块，针对你想要缓存的特定文件类型（如静态图片、CSS、JavaScript等）。
在该location块内，使用expires指令来设置缓存时间。

配置示例：

2. 设置Cache-Control字段

虽然Expires字段在某些情况下工作得很好，但Cache-Control字段提供了更精细的缓存控制选项。

配置步骤：

同样地，打开Nginx的配置文件。
在location块内，使用add_header指令来设置Cache-Control字段。

配置示例：

3. 注意事项

缓存时间应该根据资源的更新频率来设置。对于经常更新的资源，应该设置较短的缓存时间；对于不经常更新的资源，可以设置较长的缓存时间。
如果同时设置了Expires和Cache-Control，Cache-Control会覆盖Expires的设置。
缓存时间的设置应该谨慎，以避免浏览器缓存了旧版本的内容而用户无法获取最新版本。
在生产环境中，建议先在测试环境中验证缓存配置的有效性，确保它不会对用户体验造成负面影响。

通过这些配置，Nginx就能够有效地控制网页资源的缓存时间，提高网站的性能和用户体验

日志切割

Nginx日志切割是管理Nginx服务器日志的一个重要步骤，有助于保持服务器的性能和可管理性。以下是关于Nginx日志切割的清晰说明，包括不同的实现方式：

1. 使用定时任务执行分割脚本

步骤：

创建分割日志脚本：
- 创建一个shell脚本（如/usr/local/nginx/log_bak.sh），用于执行日志切割操作。
- 脚本中可以使用date命令获取当前日期，并使用mv命令将日志文件移动到备份目录，并重新命名（如access_${yesterday}.log）。
- 发送kill -USR1信号给Nginx的主进程号，让Nginx重新生成一个新的日志文件。
添加定时任务：
- 使用crontab -e命令编辑当前用户的定时任务列表。
- 添加一行类似59 23 * * * /usr/local/nginx/log_bak.sh的条目，表示每天的23点59分执行日志切割脚本。

2. 使用logrotate配置分割

步骤：

安装logrotate：
- 在Debian/Ubuntu系统上，使用sudo apt-get install logrotate命令安装。
- 在CentOS/RHEL系统上，使用sudo yum install logrotate命令安装。
创建日志切割配置文件：
- 在/etc/logrotate.d/目录下创建一个名为nginx的配置文件（或直接在/etc/logrotate.conf中配置）。
- 配置文件中指定要切割的日志文件路径（如/var/log/nginx/*.log），以及切割规则。
- 常用的配置选项包括：
  - daily：每天切割一次。
  - rotate 7：保留最近7个切割后的日志文件。
  - compress：使用gzip压缩旧的日志文件。
  - missingok：如果日志文件不存在，则不报错。
  - notifempty：如果日志文件为空，则不进行切割。
  - create 0644 nginx nginx：创建新的日志文件，并设置其权限和所有者。
- 在postrotate部分，使用/usr/sbin/nginx -s reopen命令让Nginx重新打开日志文件。
logrotate的执行：
- logrotate是基于cron来运行的，其脚本是/etc/cron.daily/logrotate。
- 系统会按照计划的频率运行logrotate，通常是每天。

注意事项：

在进行任何修改之前，请确保备份原始的Nginx配置文件和脚本。
修改配置后，需要重新加载或重启Nginx服务以使更改生效（对于使用logrotate的情况，通常不需要重启Nginx）。
切割后的日志文件可以根据需要进行归档或删除，以保持磁盘空间的合理使用。

通过以上两种方式，你可以有效地管理Nginx的日志文件，防止日志文件过大导致的性能问题，并方便地进行日志分析和备份。

设置链接超时

Nginx设置链接超时主要涉及到几个关键的超时配置选项，这些选项可以控制Nginx在处理HTTP请求和响应时的时间限制。以下是Nginx中设置链接超时的详细步骤和选项：

1. 客户端超时设置

client_header_timeout：设置读取客户端请求头的超时时间。默认为60秒。如果在这个超时时间内客户端没有发送完请求头，Nginx会返回408（Request Time-out）状态码给客户端。
client_body_timeout：设置读取客户端请求体的超时时间。默认为60秒。这个超时时间指的是两次成功读操作之间的间隔时间，而不是发送整个请求体的总超时时间。如果在这个超时时间内客户端没有发送任何请求体，Nginx会返回408（Request Time-out）状态码给客户端。
send_timeout：设置发送响应到客户端的超时时间。默认为60秒。这个超时时间同样指的是两次成功写操作之间的间隔时间，而不是发送整个响应的总超时时间。如果在这个超时时间内客户端没有接收任何响应，Nginx会关闭这个连接。

2. 长连接超时设置

keepalive_timeout：设置HTTP长连接的超时时间。这个设置有两个参数，第一个参数timeout是告诉Nginx长连接超时时间是多少，默认为75秒。第二个参数header_timeout是用于设置响应头“Keep-Alive: timeout=time”的，即告知客户端长连接超时时间。两个参数可以不一样，但通常设置为相同的值。如果timeout设置为0，则表示禁用长连接。

3. 代理超时设置（如果Nginx用作代理服务器）

proxy_connect_timeout：设置与代理服务器建立连接的超时时间。这个设置包括了TCP连接的建立和SOCKET连接的时间。默认情况下，Nginx没有设置此选项，因此连接时间不会超时。
proxy_send_timeout：设置向后端服务器发送请求的超时时间，包括发送请求头和请求体的时间。如果后端服务器不能在这个时间内响应，代理服务器会返回504错误。
proxy_read_timeout：设置代理服务器从后端服务器读取数据的超时时间。如果后端服务器不能在这个时间内返回响应，Nginx会关闭连接，同时返回一个504 Gateway Time-out错误。

设置方法

这些超时设置都可以在Nginx的配置文件（通常是nginx.conf）中进行配置。你可以直接在http、server或location块中添加这些指令。例如：

请根据你的实际需求调整这些超时设置的值。

更改进程数

在Nginx中更改工作进程数（worker processes）是为了适应不同的服务器负载和硬件配置。以下是如何在Nginx中更改工作进程数的步骤和相关信息：

1. 确定服务器核心数

首先，你需要知道你的服务器有多少个CPU核心。这可以通过多种方法来确定，例如在Linux系统中，你可以使用lscpu、nproc命令或查看/proc/cpuinfo文件。

2. 编辑Nginx配置文件

Nginx的主配置文件通常位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。你需要使用文本编辑器（如vim或nano）来编辑这个文件。

3. 更改worker_processes指令

在Nginx配置文件中，找到worker_processes指令。这个指令用于设置Nginx的工作进程数。默认情况下，它可能设置为1或auto（自动检测核心数）。

手动设置：你可以将worker_processes设置为一个具体的数字，这个数字通常等于或小于服务器的CPU核心数。例如，如果你的服务器有4个核心，你可以将worker_processes设置为4。
自动设置：你也可以将worker_processes设置为auto，这样Nginx会自动检测并设置与CPU核心数相同的工作进程数。

4. （可选）配置CPU亲和性

如果你希望将不同的工作进程绑定到不同的CPU核心上，以提高性能，你可以使用worker_cpu_affinity指令。这个指令允许你指定每个工作进程应该运行在哪个CPU核心上。

例如，对于一个4核的服务器，你可以这样设置：

这里，每个二进制数字代表一个CPU核心。0001表示第一个工作进程将运行在第一个CPU核心上，0010表示第二个工作进程将运行在第二个CPU核心上，以此类推。

5. 保存并重新加载配置

保存Nginx配置文件后，你需要重新加载Nginx以使更改生效。这可以通过以下命令完成：

或者

6. 注意事项

性能考虑：虽然增加工作进程数可以提高Nginx的并发处理能力，但过多的工作进程可能会导致系统资源（如CPU和内存）的过度消耗。因此，你需要根据你的服务器硬件配置和实际负载情况来设置合适的工作进程数。
稳定性考虑：根据参考文章2，Nginx的工作进程数最多可以设置为8个。超过8个工作进程可能会导致性能提升不再明显，并且可能降低系统的稳定性。因此，在大多数情况下，将工作进程数设置为等于或略小于服务器的CPU核心数是一个合理的选择。

配置网页压缩

在Nginx中配置网页压缩（gzip压缩）可以有效地减少网络传输的数据量，加快网页的加载速度，并降低带宽消耗。以下是在Nginx中配置网页压缩的详细步骤和参数说明：

1. 编辑Nginx配置文件

通常，Nginx的主配置文件位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。你需要使用文本编辑器（如vim、nano等）来编辑这个文件。

2. 启用gzip压缩

在Nginx配置文件的http、server或location块中，添加或修改以下指令以启用gzip压缩：

这一行指令用于启用gzip压缩功能。

3. 设置gzip压缩类型

接下来，你需要指定哪些类型的文件应该被压缩。这通常包括文本文件、CSS文件、JavaScript文件等。可以使用gzip_types指令来设置：

这里列出了一些常见的MIME类型，你可以根据需要进行修改或扩展。

4. 其他gzip配置选项（可选）

除了上述两个基本选项外，Nginx还提供了许多其他的gzip配置选项，用于控制压缩的各个方面。以下是一些常用的选项：

gzip_vary：启用后，Nginx将在HTTP响应头中添加Vary: Accept-Encoding字段，以便客户端知道响应是否已被压缩。

gzip_min_length：设置允许压缩的页面最小字节数。只有大于此值的响应才会被压缩。默认值是0，表示所有响应都会被压缩。但是，对于非常小的响应，压缩可能不会产生显著的效果，反而会消耗额外的CPU资源。因此，建议设置一个合理的阈值，如1k或更大。

gzip_buffers：设置用于存储gzip压缩结果的缓冲区数量和大小。默认值是系统内存页面的大小，但你可以根据需要进行调整。例如，4 16k表示使用4个16KB的缓冲区。

gzip_comp_level：设置gzip压缩的级别。级别越高，压缩率越高，但压缩和解压缩所需的时间也越长。默认值是1，范围是1到9。你可以根据需要进行调整，但请注意，过高的级别可能会增加服务器的CPU负担。

gzip_http_version：设置识别HTTP协议的最小版本。只有大于或等于此版本的请求才会被压缩。默认值是1.1

5. 保存并重新加载配置

保存修改后的Nginx配置文件，并重新加载配置以使更改生效。这可以通过以下命令完成：

或者，如果你使用的是systemd管理的系统，可以使用：

注意事项

启用gzip压缩会增加服务器的CPU负担。因此，在配置压缩时，需要权衡压缩带来的带宽节省和服务器性能之间的平衡。
在配置完成后，建议使用工具（如Google Chrome的开发者工具或在线压缩测试工具）来检查压缩是否有效，并评估压缩对性能的影响。

配置防盗链

在Nginx中配置防盗链（Hotlink Protection）主要是为了防止其他网站直接链接到你的网站上的图片、视频或其他静态资源，从而减轻你的服务器带宽压力，并保护你的资源不被滥用。以下是在Nginx中配置防盗链的详细步骤和要点：

1. 理解Referer机制

Referer：HTTP协议中的一个请求头字段，表示当前请求的来源页面。浏览器在发起请求时，通常会带上这个字段，告诉服务器这个请求是从哪个页面发起的。

2. 配置Nginx防盗链

在Nginx的配置文件中（通常是nginx.conf或者某个server块下的配置文件），你可以使用valid_referers指令来设置允许的Referer来源。

valid_referers：这个指令用于定义哪些Referer是有效的。上述配置中，none表示没有Referer的情况也允许（比如直接访问图片URL），blocked表示Referer被防火墙或者代理服务器删除的情况也允许，server_names表示和当前server_name相同的Referer也允许，*.example.com example.com表示来自example.com和它的所有子域名的Referer也允许。
if ($invalid_referer)：这个条件判断用于检测Referer是否合法。如果不合法（即不在valid_referers中定义的范围内），则执行后面的代码块。
return 403;：如果Referer不合法，则返回403 Forbidden错误，表示禁止访问。

3. 其他注意事项

性能考虑：虽然防盗链可以保护你的资源，但是每次请求都需要检查Referer，这可能会增加服务器的负担。因此，在配置防盗链时，需要权衡其对性能的影响。
测试：在配置完成后，务必进行充分的测试，确保防盗链规则按预期工作，并且没有误拦截合法的请求。
日志记录：可以配置Nginx的日志记录功能，记录被防盗链拦截的请求，以便后续分析和排查问题。

通过上述步骤和要点，你应该能够在Nginx中成功配置防盗链，保护你的网站资源不被滥用。

FPM参数优化

FPM（FastCGI Process Manager）是PHP-FPM（PHP FastCGI Process Manager）的简称，用于管理PHP进程。优化FPM参数可以显著提高PHP应用程序的性能和稳定性。以下是一些关键的FPM参数优化建议，结合了参考文章中的信息：

1. 进程管理方式

pm：设置PHP-FPM的进程管理方式。推荐使用dynamic（动态）方式，让PHP-FPM根据当前负载来动态创建和销毁进程。

2. 进程池大小

pm.max_children：进程池中最大子进程数量。根据服务器的配置和负载情况来合理调整。例如，在具有4核和16GB内存的服务器上，如果每个PHP进程平均消耗50MB内存，则最大子进程数可以设置为(16GB / 4核) / 50MB = 80（或稍低一些，如70）。
pm.start_servers：启动时创建的子进程数量。可以设置为最大子进程数的一半或四分之一。
pm.min_spare_servers 和 pm.max_spare_servers：分别指定空闲进程的最小和最大数量。这些值的设置应该基于服务器的资源情况和预估的并发请求量。