原文作者：Robert Haynes of F5

原文链接：获取 NGINX QUIC+HTTP/3 预览版的二进制包

转载来源：NGINX 官方网站

我们很高兴宣布，NGINX QUIC+HTTP/3 预览版现提供以下两个发行版的预构建二进制包：

• Red Hat Enterprise Linux 9 及其二进制兼容版

• Ubuntu 22.04

这些二进制文件可以从独立的 nginx-quic 仓库（托管预览版）的 quic 分支下载。和之前一样，您仍可下载和编译含有 QUIC+HTTP/3 的 NGINX 开源版源码，并可以选择支持 QUIC 的 SSL/TLS 库。

虽然目前这些代码还被标记为实验性代码，但一些社区成员表示，他们在生产环境中成功使用了 nginx-quic。

为了用户更快速、更轻松地测试含有 QUIC+HTTP/3 的 NGINX，我们发布预编译二进制文件。这些二进制文件不需要从源代码编译，并可使用标准包管理工具进行安装。

在撰写本文时，公认的开源 SSL/TLS 标准 OpenSSL 并不支持 QUIC。因此，我们使用 了quictls 库包（作为依赖包自动安装）构建二进制发行版。之所以选择 quictls，是因为它是目前堪称稳定性、兼容性和特性的最佳组合。

如欲获取二进制发行版的安装说明，请点击文末“阅读原文”访问 NGINX QUIC 网站。

针对 QUIC+HTTP/3 的 NGINX 配置

您可以使用一些新的指令来针对 QUIC+HTTP/3 配置 NGINX，并能够轻松地将其与现有虚拟服务器配置块 (server{}) 中的 HTTP/1.1 和 HTTP/2 指令结合起来。

对于最基本的功能配置，您只需在 server{} 配置块以及子 location{}配置块中添加以下三个指令：

server{} 块示例如下：

server {
    # for better compatibility we recommend
    # using the same port number for QUIC and TCP
    listen 443 quic reuseport; # QUIC
    listen 443 ssl;             # TCP

    ssl_certificate     certs/example.com.crt;
    ssl_certificate_key certs/example.com.key;
    ssl_protocols       TLSv1.3;

    location / {
        # advertise that QUIC is available on the configured port
        add_header Alt-Svc 'h3=":$server_port"; ma=86400';
                
        #proxy_pass <upstream_group>; 
        #root       /<root_directory>; 
    }
}

现有多个新的与 HTTP/3 相关的可选指令和变量（代码片段中未显示），包括：

• $http3 —（变量）在 HTTP/3 会话期间发送请求时设置为 h3（否则为空字符串）。

• quic_retry —（指令）当设置为 on 时，指示 NGINX 给请求者发送一个 QUIC 重试消息，指定要使用的新连接 ID，以验证请求者的 IP 地址。QUIC 重试数据包在一定程度上弥补了无法使用 TCP 三次连接握手来验证连接的不足（因为 QUIC 基于 UDP 来运行的）。

• ssl_early_data —（指令）设置为 on ，表示在一个新的 TLS 1.3 连接建立时，NGINX可以从第一个请求中就获取业务数据，前提是之前已建立过与该客户端的连接。这被称为零往返时间 (0‑RTT) 连接恢复。支持“早期数据”的发送是 TLS 1.3 的一项特性，可消除 TLS 握手所需的额外往返消息交互，从而提高 QUIC+HTTP/3 的性能。

注：0‑RTT 连接恢复可能会带来安全风险，因为如果采用了除 GET 以外的 HTTP 请求方法，则早期数据会受到重放攻击。

该图揭示了使用 QUIC+HTTP/3 的 0‑RTT 连接恢复如何帮助提高性能，因为客户端在恢复与 NGINX 的 QUIC 连接时可在其第一条消息中发送 HTTP 请求。

相比之下，对于使用 TLS 的 TCP连接，客户端必须与 NGINX 执行新的 TLS 握手，方可建立安全连接，这需要多次额外的数据包交互。

 测试包含 QUIC+HTTP/3 的 NGINX

如上文所述，我们发布预编译二进制文件的一个目的是为了更轻松地测试 NGINX 是否正确处理 HTTP/3 流量。对于简单的命令行测试，您可以构建支持 HTTP/3 的 curl 命令或使用预构建的容器。此外，大多数新版浏览器都支持 QUIC+HTTP/3。

要验证您支持 QUIC 的站点是否满足浏览器的 HTTP/3 连接请求，您可以使用浏览器的开发者工具来检查 NGINX 返回的 HTTP 响应头。

如果 NGINX 在响应浏览器通过 TCP 发出的初始 HTTP 请求时包含上述 Alt-Svc 响应头，那么就说明 QUIC+HTTP/3 可以正常运行。

此时，支持 QUIC 的浏览器在 Alt-Svc 指令中指定的端口上建立 QUIC 连接，后续的 HTTP 请求和响应都基于 QUIC 进行。

验证是否正在使用 QUIC+HTTP/3 的另一种方法是添加另一个 add_header 指令，将自定义 HTTP 标头的值设置为 $server-protocol 变量捕获的协议。

您可以通过追踪改响应头的值来判断使用的协议，当响应头从 HTTP/1.x（建立 QUIC 连接之前）变为 HTTP/3.0（使用 QUIC 时）时，就证明目前使用了QUIC。

下面是一个location配置块的示例，其中自定义了 HTTP 响应头为 X-protocol：

location / {
   # advertise that QUIC is available on the configured port
   add_header Alt-Svc 'h3=":$server_port"; ma=86400';
     
   # signal whether we are using QUIC+HTTP/3
   add_header X-protocol $server_protocol always;        
   
   #proxy_pass <upstream_group>;
   #root /<root_directory>;
}

另外，还有一些工具，如 Chrome HTTP Indicator 扩展插件，它可以直观地显示正在使用的协议。（请注意，这不代表我们对任何浏览器扩展插件的推荐，您应知晓在具体情况下扩展插件可能带来的任何安全隐患）。

下一步计划

我们将持续提供 QUIC+HTTP/3 解决方案，并在未来几周内提供更多 NGINX 优化示例。同时，请分享您的测试结果，以供我们参考。您可以在 NGINX 开发邮件列表和 NGINX官方微信群中分享反馈意见。

如欲了解关于 QUIC+HTTP/3 相关工作的最新动态，包括下一个重要里程碑（将 nginx-quic 仓库合并到主线 NGINX 开源版分支），请订阅 NGINX 公告邮件列表。

NGINX 开发邮件列表：

https://mailman.nginx.org/mailman/listinfo/nginx-devel

NGINX 公告邮件列表：

https://mailman.nginx.org/mailman/listinfo/nginx-announce

---

NGINX 唯一中文官方社区 ，尽在 nginx.org.cn

更多 NGINX 相关的技术干货、互动问答、系列课程、活动资源：

开源社区官网：https://www.nginx.org.cn/
微信公众号：https://mp.weixin.qq.com/s/XVE5yvDbmJtpV2alsIFwJg