Nginx常见优化项和优化参数设置详解

╰+哭是因爲堅強的太久メ 2022-09-11 00:10 262阅读 0赞

# 优化Ngxin提高安全性实现高并发 #

*  通过对Nginx的优化设置，使Nginx提高安全性的同时支持更多并发请求
 *  过通对Nginx所在宿主机Linux内核参数进行调整，使其更符合用于支持高并发访问的Web服务器

## Nginx配置优化 ##

*  编辑nginx.conf配置文件

### 设置nginx多进程 ###

*  通过设置nginx工作进程数量，可以实现更⾼的并发量  
    `worker_processes 8; #启动工作进程数数量,建议设置成cpu逻辑核数相同值`

### 设置nginx单个工作进程最大并发连接数 ###

`worker_connections 65536; #设置单个nginx工作进程可以接受的最大并发，默认1024，更改为10240或更高`

### 设置nginxCPU亲缘性绑定（1.9版本以后才可以设为auto） ###

`worker_cpu_affinity 00000001 00000010 00000100 00001000 | auto ; #将Nginx工作进程绑定到指定的CPU核心`

### 设置nginx进程打开文件数上限 ###

*  实际的并发连接数不能超过系统级别的最大打开文件数的限制.与ulimit -n 或者limits.conf的值保持一致  
    `worker_rlimit_nofile 65536; #所有worker进程能打开的文件数量上限,`

### 开启零拷贝 ###

`sendfile on; #作为web服务器的时候打开sendfile加快静态文件传输，俗称零拷贝，内核空间交换文件`

### 设置长连接超时时长 ###

`keepalive_timeout 300; #长连接超时时间，单位是秒,超时时间设得长一些`  
`keepalive_requests number; #在一次长连接上所允许请求的资源的最大数量，默认为100次,建议适当调大,比如:500`

### 设置开启使用epoll模型 ###

`use epoll; #使用epoll事件驱动`

### 设置开启防惊群 ###

`accept_mutex on; #on为同一时刻一个请求轮流由work进程处理`

### 设置开启同进程接受多连接 ###

`multi_accept on; #on时Nginx服务器的每个工作进程可以同时接受多个新的网络连接`

### 设置启用Gzip压缩，加快文件传输 ###

`gzip on; #开启文件压缩，来自默认模块ngx_http_gzip_module`  
`gzip_static on ;#开启预压缩，来自于ngx_http_gzip_static_module模块`

### 设置虚拟主机时修改默认字符集为utf-8 ###

`charset koi8-r; #设置编码格式，默认是俄语格式，建议改为utf-8`

### 开启ssl功能支持https，配置rewrite实现http跳转到https ###

*  nginx 的https 功能基于模块ngx\_http\_ssl\_module

#### 单域名 ####

server { 
        listen 80;
        listen 443 ssl;
        ssl_certificate /apps/nginx/certs/www.sunmy.pro.pem;
        ssl_certificate_key /apps/nginx/certs/www.sunmy.pro.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        root /data/nginx/html;
    }

#### 自动跳转 ####

server { 
        listen 80 default_server;
        server_name blog.sunmy.pro;
        rewrite ^(.*)$ https://$server_name$1 permanent;
    }
    server { 
        listen 443 ssl;
        server_name blog.sunmy.pro;
        ssl_certificate /apps/nginx/certs/blog.sunmy.pro.pem;
        ssl_certificate_key /apps/nginx/certs/blog.sunmy.pro.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        location / { 
            root "/data/nginx/html/mobile";
        }
        location /mobile_status { 
            stub_status;
        }
    }

server { 
        listen 80;
        listen 443 ssl;
        ssl_certificate /apps/nginx/conf/conf.d/www.sunmy.pro.crt;
        ssl_certificate_key /apps/nginx/conf/conf.d/www.sunmy.pro.key;
        ssl_session_cache shared:sslcache:20m;
        ssl_session_timeout 10m;
        server_name www.sunmy.pro;
        error_log /apps/nginx/logs/sunmy.pro_error.log notice;
        access_log /apps/nginx/logs/sunmy.pro_access.log main;
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"
        always;
        location / { 
            root /data/nginx/html/pc;
        if ( $scheme = http ) { 
        rewrite ^/(.*)$ https://www.sunmy.pro/$1 redirect;
        }
    }

### 设置开启IP透传 ###

*  配置文件中添加客户端IP和反向代理服务器IP到请求报文头部，实现反向代理客户端 IP 透传

#proxy_set_header X-Real-IP $remote_addr; #只添加客户端IP到请求报文头部,转发至后端服务器
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; #添加客户端IP和反向代理服务器IP到请求报文头部

### 开启并隐藏状态页 ###

*  基于nginx 模块 ngx\_http\_stub\_status\_module 实现

location /nginx_status { 
        stub_status;
        auth_basic "auth login";
        auth_basic_user_file /apps/nginx/conf/.htpasswd;
        allow 192.168.0.0/16;
        allow 127.0.0.1;
        deny all;
    }

*  后期可以通过编写脚本实现zabbix自定义监控项

curl http://sun:123456@www.sunmy.pro/nginx_status 2>/dev/null |awk '/Reading/{print $2,$4,$6}'
    3 27 185

### 隐藏nginx版本号 ###

`server_tokens off; #是否在响应报文的Server首部显示nginx版本`

### 开启防盗链 ###

*  nginx支持通过ngx\_http\_referer\_module模块,检查访问请求的referer信息是否有效实现防盗链功能

server { 
        index index.html;
        valid_referers none blocked server_names *.sunmy.pro
        ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.dogedoge\. ; #定义有效的referer
        if ($invalid_referer) {  #假如是使用其他的无效的referer访问
            return 403 "Forbidden Access"; #返回状态码403
        }
    ......
    }

### 配置location，根据请求文件后缀判断，实现动静分离 ###

location ~* \.(gif|jpg|jpeg|bmp|png|tiff|tif|ico|wmf|js|css)$ { 
    root /data/nginx/static;
    index index.html;
    }

### 配置404页面自动跳转到主页 ###

#404转为302
    #error_page 404 /index.html;
    error_page 404 =302 /index.html;
    error_page 500 502 503 504 /50x.html;
    location = /50x.html { 
    }
    ##或者自动检测不存在的页面跳转到指定页面
    location / { 
        root /data/nginx/html/pc;
        index index.html;
        #try_files $uri $uri.html $uri/index.html /about/default.html;
        try_files $uri $uri/index.html $uri.html =489;
    }

### 设置放宽用户上传文件限制 ###

client_max_body_size 100m; ##设置允许客户端上传单个文件的最大值，默认值为1m,上传文件超过此值报413错误
    client_body_buffer_size 1024k;用于接收每个客户端请求报文的body部分的缓冲区大小;默认16k;
    client_body_temp_path /apps/nginx/client_body_temp/ 1 2 2; #上传时临时存储路径及子目录结构和数量,Nginx会自动创建相关目录

### 设置下载限速 ###

*  避免大量下载占满带宽

location / { 
        limit_rate_after 500k;
        limit_rate 50k;
    }

### 设置开启文件缓存 ###

open_file_cache on; #是否缓存打开过的文件信息
    open_file_cache max=10000 inactive=60s; #最大缓存10000个文件，非活动数据超时时长60s
    open_file_cache_valid 60s; #每间隔60s检查一下缓存数据有效性
    open_file_cache_min_uses 5; #60秒内至少被命中访问5次才被标记为活动数据
    open_file_cache_errors on; #缓存错误信息

### 优化日志 ###

*  禁用页面资源请求的日志记录

location ~* \.(?:jpg|jpeg|gif|png|ico|woff2|js|css)$ { 
    access_log off;#做动静分离时禁用访问成功日志
    }

*  将nginx日志转换为json日志，然后配合使用ELK做日志收集,统计和分析

#注意:此指令只支持http块,不支持server块
      log_format access_json '{"@timestamp":"$time_iso8601",'
    '"host":"$server_addr",'
    '"clientip":"$remote_addr",'
    '"size":$body_bytes_sent,'
    '"responsetime":$request_time,' #总的处理时间
    '"upstreamtime":"$upstream_response_time",'
    '"upstreamhost":"$upstream_addr",' #后端应用服务器处理时间
    '"http_host":"$host",'
    '"uri":"$uri",'
    '"xff":"$http_x_forwarded_for",'
    '"referer":"$http_referer",'
    '"tcp_xff":"$proxy_protocol_addr",'
    '"http_user_agent":"$http_user_agent",'
    '"status":"$status"}';
    access_log /apps/nginx/logs/access_json.log access_json;

### Nginx1.9.5 及更高版启用 HTTP2 协议 ###

listen 443 ssl http2;

## Nginx宿主机内核优化 ##

*  主要是对Nginx所在宿主机进程打开文件数量和tcp连接关参数进行优化

fs.file-max = 1000000
    #表示单个进程较大可以打开的句柄数
    net.ipv4.tcp_tw_reuse = 1
    #参数设置为 1 ，表示允许将TIME_WAIT状态的socket重新用于新的TCP链接，这对于服务器来说意义重大，因为总有大量TIME_WAIT状态的链接存在
    net.ipv4.tcp_keepalive_time = 600
    #当keepalive启动时，TCP发送keepalive消息的频度;默认是2小时，将其设置为10分钟，可更快的清理无效链接
    net.ipv4.tcp_fin_timeout = 30
    #当服务器主动关闭链接时，socket保持在FIN_WAIT_2状态的较大时间
    net.ipv4.tcp_max_tw_buckets = 5000
    #表示操作系统允许TIME_WAIT套接字数量的较大值，如超过此值，TIME_WAIT套接字将立刻被清除并打印警告信息,默认为8000，过多的TIME_WAIT套接字会使Web服务器变慢
    net.ipv4.ip_local_port_range = 1024 65000
    #定义UDP和TCP链接的本地端口的取值范围
    net.ipv4.tcp_rmem = 10240 87380 12582912
    #定义了TCP接受缓存的最小值、默认值、较大值
    net.ipv4.tcp_wmem = 10240 87380 12582912
    #定义TCP发送缓存的最小值、默认值、较大值
    net.core.netdev_max_backlog = 8096
    #当网卡接收数据包的速度大于内核处理速度时，会有一个列队保存这些数据包。这个参数表示该列队的较大值
    net.core.rmem_default = 6291456
    #表示内核套接字接受缓存区默认大小
    net.core.wmem_default = 6291456
    #表示内核套接字发送缓存区默认大小
    net.core.rmem_max = 12582912
    #表示内核套接字接受缓存区较大大小
    net.core.wmem_max = 12582912
    #表示内核套接字发送缓存区较大大小
    注意：以上的四个参数，需要根据业务逻辑和实际的硬件成本来综合考虑
    net.ipv4.tcp_syncookies = 1
    #与性能无关。用于解决TCP的SYN攻击
    net.ipv4.tcp_max_syn_backlog = 8192
    #这个参数表示TCP三次握手建立阶段接受SYN请求列队的较大长度，默认1024，将其设置的大一些可使出现Nginx繁忙来不及accept新连接时，Linux不至于丢失客户端发起的链接请求
    net.ipv4.tcp_tw_recycle = 1
    #这个参数用于设置启用timewait快速回收
    net.core.somaxconn=262114
    #选项默认值是128，这个参数用于调节系统同时发起的TCP连接数，在高并发的请求中，默认的值可能会导致链接超时或者重传，因此需要结合高并发请求数来调节此值。
    net.ipv4.tcp_max_orphans=262114
    #选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤立链接将立即被复位并输出警告信息。这个限制指示为了防止简单的DOS攻击，不用过分依靠这个限制甚至认为的减小这个值，更多的情况是增加这个值

## PAM 资源限制优化 ##

*  设置宿主机接受高并发连接数nproc,对应nginx的worker\_rlimit\_nofile值

vim /etc/security/limits.conf
    * soft nofile 65535
    * hard nofile 65535
    * soft nproc 65535
    * hard nproc 65535