从小白到大神之路之学习运维第68天-------Nginx企业级优化与防盗链

第三阶段基础

时  间：2023年7月26日

参加人：全班人员

内  容：

Nginx企业级优化与防盗链

目录

一、配置Nginx隐藏版本号

二、修改Nginx用户与组

​三、配置Nginx网页缓存时间

四、实现Nginx的日志切割

五、配置Nginx实现连接超时

六、更改Nginx工作进程数

七、配置Nginx实现网页压缩功能

---

一、配置Nginx隐藏版本号

在生产环境中，需要隐藏Nginx等服务的版本信息，以避免安全风险：

curl -I 192.168.100.132   获取nginx的信息

1、修改源码包

yum -y install pcre-devel zlib-devel openssl-devel gcc gcc-c++ make

useradd -M -s /sbin/nologin nginx

tar xf nginx-1.14.2.tar.gz -C /usr/src/

cd /usr/src/nginx-1.14.2/

vim src/core/nginx.h

配置如下：

13 #define NGINX_VERSION  "7.0.0 "随便改，也可删除

14 #define NGINX_VER      "IIS/" NGINX_VERSION

配置、编译、安装

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install

/usr/local/nginx/sbin/nginx   启动

netstat -anpt |grep nginx     查看端口

curl -I 192.168.100.132

2、修改配置文件

vim /usr/local/nginx/conf/nginx.conf

配置如下：

 28     server_tokens off;

/usr/local/nginx/sbin/nginx -t

killall -HUP nginx

curl -I http://192.168.100.132

   如果php配置文件中配置了fastcgi_param SERVER_SOFTWARE选项，则编辑php-fpm配置文件，将fastcgi_param SERVER_SOFTWARE对应值修改为fastcgi_param SERVER_SOFTWARE nginx。

二、修改Nginx用户与组

  Nginx运行时进程需要有用户与组身份的支持，以实现对网站文件读取时进行访问控制。Nginx默认使用nobody用户账号与组账号，一般也要进行修改。

1、编译安装时指定

useradd -M -s /sbin/nologin nginx

./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install

2、修改配置文件

vim /usr/local/nginx/conf/nginx.conf

 配置如下：

2 user  nginx nginx;

killall -HUP nginx

ps aux |grep nginx

三、配置Nginx网页缓存时间

 当Nginx将网页数据返回给客户端后，可设置资源在客户端缓存的时间，以方便客户端在日后进行相同内容的请求时直接返回，以避免重复请求，加快了访问速度，一般针对静态网页进行设置，对动态网页不用设置缓存时间。可在Windows客户端中使用fiddler查看网页缓存时间。

设置方法：可修改配置文件，在http段、或server段、或者location段加入对特定内容的过期参数。

vim /usr/local/nginx/conf/nginx.conf

配置如下：

49         location ~ \.(gif|jpg|jpeg|png|bmp|ico)$ {

50             expires 1d;

51         }

52    location ~ .*\.(js|css)$ {

53             expires 1h;

54         }

killall -HUP nginx

vim /usr/local/nginx/html/index.html

配置如下：

15

---

16

抓包查看：

四、实现Nginx的日志切割

Nginx日志：

ls -l /usr/local/nginx/logs/

总用量 12

-rw-r--r-- 1 root root 3584 3月  31 10:02 access.log #访问日志

-rw-r--r-- 1 root root 1575 3月  31 10:02 error.log #错误日志

-rw-r--r-- 1 root root    5 3月  31 09:27 nginx.pid

编写日志切割脚本：

vim /opt/cut_nginx_log.sh

配置如下：

chmod +x /opt/cut_nginx_log.sh   授予执行权限

crontab -e

配置如下：

0 0 * * * /opt/cut_nginx_log.sh

/opt/cut_nginx_log.sh   执行脚本

ls /usr/local/nginx/logs/backup/

killall -9 nginx

rm -rf /usr/local/nginx/logs/nginx.pid

/opt/cut_nginx_log.sh

tail -1 /var/log/messages 

面试题讨论：

说明Nginx的访问日志记录在access.log文件中。

如果将access.log重命名为a.log时，新产生的日志写到哪儿？为什么？

答案：日志将会写入到a.log文件中，因为重命名后文件的Inode没有变化，文件系统是根据Inode查找文件的。

如果此时将Nginx服务重启后，新产生的日志写到哪儿？为什么？

答案：日志将会写入到新的access.log文件中，因为重启时会加载Nginx的配置文件，配置文件中是通过文件名指定日志的，所以会创建新的日志。

五、配置Nginx实现连接超时

保持连接（长连接）

 在进行HTTP连接前要先建立TCP连接（TCP 3次握手），再建立HTTP连接，当HTTP资源请求结束后，会断开HTTP连接，再断开TCP连接（TCP 4次挥手）。

很多情况下用户访问网站并不是只访问一个资源，可能会打开很多页面，访问很多资源，如果每个资源的访问都这么繁琐，将会造成用户访问慢，服务器压力过大的问题。

 解决如上问题的最好办法是开启网站的保持连接功能。在企业网站中，为了避免同一个客户长时间占用连接，造成服务器资源浪费，可以设置相应的连接超时参数，实现控制连接访问时间。

keepalived_timeout：设置连接保持超时时间，一般可只设置该参数，默认为65秒，可根据网站的情况设置，或者关闭，可在http段、server段、或者location段设置。

client_header_timeout：指定等待客户端发送请求头的超时时间。

client_body_timeout：设置请求体读取超时时间。

注意：若出现超时，会返回408报错

vim /usr/local/nginx/conf/nginx.conf

配置如下：

 34     keepalive_timeout  65;

 35     client_header_timeout 60;

 36     client_body_timeout 60;

killall -HUP nginx  重启nginx

六、更改Nginx工作进程数

在高并发场景，需要启动更多的nginx工作进程以保证快速影响，以处理用户的请求，避免造成阻塞。

修改配置文件的worker_processes参数，一般设置为CPU的核数

grep 'core id' /proc/cpuinfo | uniq | wc -l

vim /usr/local/nginx/conf/nginx.conf

如下培训：

  3 worker_processes  2;

/usr/local/nginx/sbin/nginx

ps aux | grep nginx | grep -v grep

配置CPU亲和性：

默认Nginx的多个进程可能跑在一颗CPU核心上，可以分配不同的进程给不同的CPU核心处理，充分利用硬件多核多CPU。在一台4核物理服务器，可以进行下面的配置，将进程进行分配。

worker_cpu_affinity  0001 0010 0100 1000;

同理：6台服务器就是

worker_cpu_affinity  000001 000010 000100 001000 010000 10000;

七、配置Nginx实现网页压缩功能

  Nginx的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能，允许nginx服务器将输出内容发送到客户端之前进行压缩，以节约网站带宽，提升用户的访问体验，模块默认已经安装。

vim /usr/local/nginx/conf/nginx.conf

配置如下：

 38     gzip  on; //开启gzip压缩输出

 39     gzip_min_length 1k; //用于设置允许压缩的页面最小字节数

 40     gzip_buffers 4 16k; //表示申请4个单位为16k的内存作为压缩结果流缓存，默认值是申请与原始数据大小相同的内存空间来储存gzip压缩结果

 41     gzip_http_version 1.1; //设置识别http协议版本，默认是1.1

 42     gzip_comp_level 2; //gzip压缩比，1-9等级

 43 gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss; //压缩类型，是就对哪些网页文档启用压缩功能

 44     #gzip_vary  on;   //选项可以让前端的缓存服务器经过gzip压缩的页面

killall -HUP nginx   重启测试