一、Nginx的优化
1、隐藏版本号
curl -I http://192.168.79.28
#查看信息(版本号等)
方法一:修改配置文件 vim /usr/local/nginx/conf/nginx.conf
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #添加,关闭版本号
......
}
systemctl restart nginx
添加:
方法二:修改源码文件,重新编译安装
vim /opt/nginx-1.22.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
cd /opt/nginx-1.22.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
}
systemctl restart nginx
- 修改源码包
- 重新编译安装
- 配置文件中的需添加并打开
- 验证:
2、Nginx的日志分割
NGINX不自带日志分割系统,所以需要手动配置脚本,通过脚本实现日志分割
vim nginxlog.sh
#!/bin/bash
# 获取日期
d=$(date +%Y-%m-%d)
# 定义存储目录
dir="/usr/local/nginx/logs"
# 定义需要分割的源日志
logs_file='/usr/local/nginx/logs/access.log'
logs_error='/usr/local/nginx/logs/error.log'
# 定义nginx的pid文件
pid_file='/usr/local/nginx/run/nginx.pid'
if [ ! -d "$dir" ]
then
mkdir -p $dir
fi
# 移动日志并重命名文件
mv ${logs_file} ${dir}/access_${d}.log
mv ${logs_error} ${dir}/error_${d}.log
# 发送kill -USR1信号给Nginx的主进程号,让Nginx重新生成一个新的日志文件
kill -USR1 $(cat ${pid_file})
#日志文件清理,将30天前的日志进行清除
find $logs_path -mtime +30 -exec rm -rf {} \;
#查看日志是否生成
ls /var/log/nginx
ls/usr/local/nginx/logs/access.log
#赋权
chmod 777 nginxlog.sh
#设置定时任务
crontab -e
0 1 * * * /opt/nginxlog.sh
crontab -l
0 1 * * * /opt/nginxlog.sh
3、Nginx的网页压缩
主要作用:达到节约带宽,提升用户访问速度
cp nginx.conf nginx.conf.bak.2022.11.28 #备份,改配置文件一定要备份
vim /usr/local/nginx/conf/nginx.conf
gzip on; #取消注释,开启gzip的压缩功能
gzip_min_length 1k; #最小压缩文件的大小
gzip_buffers 4 64k; #压缩缓冲区,大小为4个64K缓冲区,Nginx 会使用 4 个 64KB 大小的缓冲区来存储压缩后的数据。
gzip_http_version 1.1; #压缩版本,默认为1.1
gzip_comp_level 6; #压缩比率(压缩等级为1-9,6是中等等级,也是常用等级)Gzip 压缩级别的范围是 1 到 9,
其中 1 表示压缩速度最快,但压缩比最低,9 表示压缩速度最慢,但压缩比最高。默认值为 1。
gzip_vary on; #支持前端缓存服务器支持压缩页面
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
#压缩的类型,哪些文档启用压缩功能
4、Nginx并发设置
在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞。
cat /proc/cpuinfo | grep -c "physical id" #查看cpu核数
ps aux | grep nginx #查看nginx主进程中包含几个子进程
#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #修改为核数相同或者2倍
worker_cpu_affinity 01 10;
#worker_cpu_affinity 是一个用于设置 worker 进程绑定到指定 CPU 的指令。
#将 Nginx worker 进程绑定到特定的 CPU 核心,以提高性能和避免 CPU Cache 的伪共享。进程数配为4时0001 0010 0100 1000
#通过将 worker 进程绑定到特定的 CPU 核心,可以减少 CPU 切换(context switching)的开销,
#并确保 worker 进程在一个独立的 CPU 核心上运行,避免了不同进程间的 CPU Cache 竞争,从而提高了整体性能
#重启服务
systemctl restart nginx
注:生产中work一般设为4,访问量不大时,1也是足够。如要扩展,最多8个(8个以上的worker进程不会再提高性能,反而会降低性能)
worker_connections 1024;
#这个属性是指单个工作进程可以允许同时建立外部连接的数量;
#工作中一般设置为10240,在工作中如果向优化启动更多进程,建议更改worker_connections;
#注意这个数量还受操作系统设定的,进程最大可打开的文件数有关;所以服务器最大打开数量要支持。ulimit -n查看
5、TIME_WAIT
TIME_WAIT 是 TCP 连接状态中的一种状态,它出现在一个 TCP 连接被主动关闭后。在 TCP 的四次挥手过程中,当连接的一方发送了 FIN 报文(用于关闭连接)并接收到对方的 ACK 报文(确认收到 FIN 报文),就会进入 TIME_WAIT 状态。
在 TIME_WAIT 状态下,TCP 连接处于等待状态,等待一个持续时间,确保网络中所有的数据包都被接收方完全处理完毕。
这个等待时间通常是两倍的最大报文段生存时间(Maximum Segment Lifetime,MSL)。
TIME_WAIT 状态的持续时间有两个主要目的:
- TIME_WAIT 状态的持续时间确保在连接关闭后,旧的数据包在网络中被正确处理,防止它们干扰新的连接。
- 避免出现连接复用问题:如果 TIME_WAIT 状态的持续时间较短,可能会导致旧的连接仍然存在于网络中,并被误认为是新的连接,从而导致连接复用问题。
TIME_WAIT 状态通常是正常的 TCP 连接关闭过程中的一部分,它在连接正常关闭后经历一段时间后自动消失。
在连接的生命周期内,TIME_WAIT 状态占用的资源非常小,并且对服务器性能影响有限。然而,当服务器上同时有大量的短连接频繁创建和销毁,或者处理大量并发连接时,TIME_WAIT 连接可能会积累,导致服务器上出现大量 TIME_WAIT 状态的连接。在这种情况下,可能需要优化服务器的连接管理方式或调整 TCP 参数来处理 TIME_WAIT 连接
#查看所有tcp的连接状态:
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TCP连接状态:
- CLOSED(关闭):表示该连接处于未活动状态,或者连接已经关闭。
- LISTEN(监听):表示服务器正在等待来自客户端的连接请求,处于监听状态。
- SYN_RECV(SYN 接收):表示服务器已经接收到来自客户端的 SYN 请求(连接请求),正在等待确认。
- SYN_SENT(SYN 发送):表示应用程序已经向服务器发送了 SYN 请求,正在等待服务器确认。
- ESTABLISHED(已建立):表示连接已经建立,正常的数据传输阶段。
- FIN_WAIT1(终止等待1):表示应用程序已经发送了连接关闭请求(FIN),正在等待另一端的确认。
- FIN_WAIT2(终止等待2):表示另一端已经确认连接关闭请求,正在等待另一端发送连接关闭请求。
- CLOSE_WAIT(关闭等待):表示另一端已经关闭连接,但本地应用程序还未关闭连接。
- CLOSING(正在关闭):表示双方同时尝试关闭连接。
- TIME_WAIT(时间等待):表示连接已经关闭,但仍在等待一段时间(2倍的最大报文段生存时间,MSL),
- 以确保网络中所有的数据包都已经被正确处理。
- LAST_ACK(最后确认):表示应用程序已经发送了最后的确认,等待另一端的确认后进入 CLOSED 状态。
vim /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 60
net.ipv4.tcp_syncookies = 1
#表示开启SYN Cookies。
当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN×××,默认为0,表示关闭
net.ipv4.tcp_tw_reuse=1
#让TIME_WAIT状态可以重用,这样即使TIME_WAIT占满了所有端口,也不会拒绝新的请求造成障碍 默认是0
net.ipv4.tcp_tw_recycle=1
#让TIME_WAIT尽快回收 默认0
net.ipv4.tcp_fin_timeout=65
#表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。
6、设置连接超时控制连接访问时间
HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
keepalive_timeout
指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。
第二个参数(可选的)指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接,这样服务器就不必去关闭连接了。没有这个参数,Nginx 不会发送 Keep-Alive 响应头。
client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。
client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180; #指定TCP链接最多可以保持65秒
client_header_timeout 80; #请求头
client_body_timeout 80; #请求体
......
}
二、配置防盗链
vim //usr/local/nginx/conf/nginx.conf
http {
...........
server{
...........
location ~* \.(jpg|gif|swf)$ {
root html;
expires 1d;
valid_referers none blocked *.kgc.com kgc.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.kgc.com/error.png;
}
}
............
}
...............
}
- ~* \.(jpg|gif|swf)$ :这段正则表达式表示匹配不区分大小写,以.jpg 或.gif 或.swf 结尾的文件;
- valid_referers :设置信任的网站,可以正常使用图片;
- none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.kgc.com/game.jpg我们使用 http://www.kgc.com 访问显示的图片,可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。
- blocked:允许不是http://开头的,不带协议的请求访问资源;
- *.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com
- if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。