centos7系统nginx优化

centos7 源码安装nginx

一 什么是nginx

Nginx是一款轻量级的Web 服务器，反向代理服务器及电子邮件（IMAP/POP3）代理服务器，其特点是占有内存少，并发能力强，能够支持高达 50,000 个并发连接数的响应。事实上nginx的并发能力确实在同类型的网页服务器中表现较好，使用nginx网站用户有：百度、京东、新浪、网易、腾讯、淘宝等

二 环境准备

1 准备一台干净的centos7服务器，或者虚拟机或者购买的VPS。Nginx是C开发的，建议在 Linux上运行，当然，也可以安装Windows 版本。

2 安装依赖，安装需要gcc环境，所以需要安装gcc；zlib是用来对http包的内容进行gzip压缩的；openssl则是支持https的SSL协议；pcre库是用来匹配正则的，rewrite规则需要它

3.下载最新稳定版的nginx，目前稳定版是1.14.2。官网下载地址：http://nginx.org/en/download.html，下载后将安装包上传到CentOS中。

当然也可以使用wget命令直接下载到CentOS系统中：

wget -c http://nginx.org/download/nginx-1.14.2.tar.gz

groupadd www

useradd -s /sbin/nologin -g www www

4 编译安装

进入下载的安装包目录，解压nginx，进入nginx解压后的目录，配置安装参数：

tar -zxvf nginx -1.14.2.tar.gz

cd nginx -1.14.2

./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module

http_stub_status_module 作用：监控nginx运行状态

http_sub_module 作用：用于替换字符串

http_ssl_module 作用：支持https访问

http_gzip_static_module 作用：实现静态压缩功能，节约带宽

进行编译安装

make && make install

二 nginx优化

1 关于系统连接数的优化

linux 默认值 open files 和 max user processes 为 1024

说明 server 只允许同时打开 1024 个文件，处理 1024 个用户进程

#ulimit -n

1024

使用ulimit -a 可以查看当前系统的所有限制值，使用ulimit -n 可以查看当前的最大打开文件数。

新装的linux 默认只有1024 ，当作负载较大的服务器时，很容易遇到error: too many open files 。因此，需要将其改大。

解决方法：

使用 ulimit Cn 65535 可即时修改，但重启后就无效了。（注ulimit -SHn 65535 等效 ulimit -n 65535 ，-S 指soft ，-H 指hard)

有如下三种修改方式：

1. 在/etc/rc.local 中增加一行 ulimit -SHn 65535
2. 在/etc/profile 中增加一行 ulimit -SHn 65535
3. 在/etc/security/limits.conf 最后增加：

• soft nofile 65535
• hard nofile 65535
• soft nproc 65535
• hard nproc 65535

具体使用哪种，在 CentOS 中使用第1 种方式无效果，使用第3 种方式有效果

备注：ulimit 命令本身就有分软硬设置，加-H 就是硬，加-S 就是软默认显示的是软限制

soft 限制指的是当前系统生效的设置值。 hard 限制值可以被普通用户降低。但是不能增加。

soft 限制不能设置的比 hard 限制更高。 只有 root 用户才能够增加 hard 限制值。

2 全局配置优化：

nginx初始初始进程数量

worker_processes 8;

单进程处理最大请求连接数

worker_connections 65535;

全局模块

worker_rlimit_nofile 65535;

这个指令是指当一个nginx 进程打开的最多文件描述符数目，理论值应该是最多打开文
件数（ulimit -n）与nginx 进程数相除，但是nginx 分配请求并不是那么均匀，所以最好与ulimit -n 的值保持一致。

现在在linux 2.6内核下开启文件打开数为65535，worker_rlimit_nofile就相应应该填写65535。

这是因为nginx调度时分配请求到进程并不是那么的均衡，所以假如填写10240，总并发量达到3-4万时就有进程可能超过10240了，这时会返回502错误

绑定CPU

四核cpu配置

worker_processes 4; #工作进程数量

worker_cpu_affinity 0001 0010 0100 1000; #开启多核

IO模型

   events {

    worker_connections  65535; #每个工作进程允许的最大连接数

    use epoll; #使用高性能的 epoll 事件驱动，处理效率高

#什么是epoll 名词解释 http://www.mamicode.com/info-detail-2283798.html

}

http模块优化：

长连接超时时长

keepalive_timeout 65;

压缩

gzip on;
gzip 调优
使用gzip压缩功能，可能为我们节约带宽，加快传输速度，有更好的体验，也为我们节约成本，所以说这是一个重点。

Nginx启用压缩功能需要你来ngx_http_gzip_module模块，apache使用的是mod_deflate。

一般我们需要压缩的内容有：文本，js，html，css，对于图片，视频，flash什么的不压缩，同时也要注意，我们使用gzip的功能是需要消耗CPU的！

gzip on;
gzip_min_length 2k;
gzip_buffers 4 32k;
gzip_http_version 1.1;
gzip_comp_level 6;
gzip_typestext/plain text/css text/javascriptapplication/json application/javascript application/x-javascriptapplication/xml;
gzip_vary on;
gzip_proxied any;
gzip on; #开启压缩功能

静态数据缓存过期时长

允许客户端缓存所有图片数据360天

location ~ .(jpg|gif|png|jpeg)$ {

     expires 360d;

}

关于安全：

修改nginx运行的用户

user www

隐藏版本号

再http模块中添加

server_tokens off;

拒绝访问敏感目录

拒绝访问 admin和config目录

location ~ ^/(admin|config)/ {

    deny all;

}

防止别人直接从你网站引用图片等链接，消耗了你的资源和网络流量，那么我们的解决办法由几种：

水印，品牌宣传，你的带宽，服务器足够；

防火墙，直接控制，前提是你知道IP来源；

防盗链策略下面的方法是直接给予404的错误提示。

location ~*^.+.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {
valid_referers noneblocked www.benet.com benet.com;
if($invalid_referer) {
#return 302 http://www.benet.com/img/nolink.jpg;
return 404;
break;
}
access_log off;
}
三 Nginx 的工作原理

Nginx为什么高效？一文搞明白Nginx核心原理

Nginx 服务器，正常运行过程中：
•多进程：一个 Master 进程、多个 Worker 进程
•Master 进程：管理 Worker 进程
•对外接口：接收外部的操作(信号)
•对内转发：根据外部的操作的不同，通过信号管理 Worker
•监控：监控 worker 进程的运行状态，worker 进程异常终止后，自动重启 worker 进程
•Worker 进程：所有 Worker 进程都是平等的
•实际处理：网络请求，由 Worker 进程处理;
•Worker 进程数量：在 nginx.conf 中配置，一般设置为核心数，充分利用 CPU 资源，同时，避免进程数量过多，避免进程竞争 CPU 资源，增加上下文切换的损耗。

HTTP 连接建立和请求处理过程：
1.Nginx 启动时，Master 进程，加载配置文件
2.Master 进程，初始化监听的 socket
3.Master 进程，fork 出多个 Worker 进程
4.Worker 进程，竞争新的连接，获胜方通过三次握手，建立 Socket 连接，并处理请求

Nginx 高性能、高并发：
1.Nginx 采用：多进程 + 异步非阻塞方式(IO 多路复用 epoll)
2.请求的完整过程：1.　　建立连接
2.　　读取请求：解析请求
3.　　处理请求
4.　　响应请求

3.请求的完整过程，对应到底层，就是：读写 socket 事件

四 匹配模式及顺序

location = /uri 　　　=开头表示精确匹配，只有完全匹配上才能生效。
location ^~ /uri 　　^~ 开头对URL路径进行前缀匹配，并且在正则之前。
location ~ pattern 　~开头表示区分大小写的正则匹配。
location ~* pattern 　~*开头表示不区分大小写的正则匹配。
location /uri 　　　　不带任何修饰符，也表示前缀匹配，但是在正则匹配之后。
location / 　　　　　通用匹配，任何未匹配到其它location的请求都会匹配到，相当于switch中的default。

匹配的顺序是先匹配普通字符串，然后再匹配正则表达式。另外普通字符串匹配顺序是根据配置中字符长度从长到短，也就是说使用普通字符串配置的location顺序是无关紧要的，反正最后nginx会根据配置的长短来进行匹配，但是需要注意的是正则表达式按照配置文件里的顺序测试。找到第一个比配的正则表达式将停止搜索。