Nginx的优化和防盗链

目录

1、优化

1.1 隐藏版本号

1.2 nginx的日志分割，因为nginx没有日志分割工具

1.3 nginx的页面压缩

1.4 图片缓存

1.5 连接超时

1.6 nginx的并发设置

1.7 TIME_WAIT 

1.7.1 修改限制文件打开数

1.8 配置防盗链

补充：http请求到响应的过程

---

1、优化

1.1 隐藏版本号

vim  nginx.conf

方法一：修改配置文件

cd /usr/local/nginx/conf

cp nginx.conf nginx.conf.bak.2023.0805

vim nginx.conf

http模块中：

systemctl  restart  nginx

浏览器本机地址

方法二：修改源码文件，重新编译安装

 此时版本号没了，要把nginx也换了 

cd  /opt

cd  nginx-1.22.0

cs  src

cd  core

vim nginx.h

cd ..

cd  ..

到nginx-1.22.0

 ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

make  -j  4  &&  make  install

cd  /usr/local/nginx/conf

vim  nginx.conf

systemctl  restart  nginx 

1.2 nginx的日志分割，因为nginx没有日志分割工具

cd  /usr/localnginx/logs

tail  -f  access.log

cd  /opt

ls

vim  nginx.sh

保存退出

chmod  777  nginx.sh

./nginx.sh执行文件

解释： 

（注：nginx的kill是传递信号的）

#!/bin/bash #获取日期 d=$(date +%Y-%m-%d) #定义存储目录 dir="/usr/local/nginx/logs"

#分割日志 logs_file="/usr/local/nginx/logs/access.log" logs_error='/usr/local/nginx/logs/error.log'

#定义nginx的pid文件 pid_file='/usr/local/nginx/run/nginx.pid'

if [ ! -d "$dir" ] then mkdir -p $dir fi

#移动日志并且重命名

mv $logs_file ${dir}/access_${d}.log

mv $logs_error ${dir}/error_${d}.log

#发送信号给nginx主程序，让他生成一个新的日志文件

kill -USR1 $(cat ${pid_file}) #cat /usr/local/nginx/run/nginx.pid

#日志文件清理的命令 find ${dir} -mtime +30 -exec rm -rf {} \;

1.3 nginx的页面压缩

cd /usr/local/nginx/conf

vim nginx.conf

 到最后一行添加新内容

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;

保存退出重启配置

命令解释：

gzip on; #取消注释，开启gzip的压缩功能

gzip_min_length 1k; #最小压缩文件的大小

gzip_buffers 4 64k; #压缩缓冲区，大小为4个64K缓冲区，Nginx 会使用 4 个 64KB 大小的缓冲区来存储压缩后的数据。

gzip_http_version 1.1; #压缩版本，默认为1.1

gzip_comp_level 6; #压缩比率(压缩等级为1-9，6是中等等级，也是常用等级)Gzip 压缩级别的范围是 1 到 9， 其中 1 表示压缩速度最快，但压缩比最低，9 表示压缩速度最慢，但压缩比最高。默认值为 1。

gzip_vary on; #支持前端缓存服务器支持压缩页面

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; #压缩的类型，哪些文档启用压缩功能

压缩的功能是默认自带的，可以不取消注释，但是需要添加细节，需要把gzip打开，打开后进行配置

1.4 图片缓存

cd  /usr/local/nginx/conf

vim  nginx.conf

重启一下配置：systemctl  restart  nginx

到浏览器f12

1.5 连接超时

添加到nginx.conf里面的

HTTP有一个KeepAlive模式，它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自客户端的其它请求，服务端会利用这个未被关闭的连接，而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态，它们会在这段时间内占用资源。占用过多就会影响性能。
指定KeepAlive的超时时间（timeout）。指定每个TCP连接最多可以保持多长时间，服务器将会在这个时间后关闭连接。
 Nginx的默认值是65秒，有些浏览器最多只保持 60 秒，所以可以设定为 60 秒。若将它设置为0，就禁止了keepalive 连接。

 client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。
如果客户端在指定时间内没有发送一个完整的 request header，Nginx 返回 HTTP 408（Request Timed Out）。

client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。
如果客户端在指定时间内没有发送任何内容，Nginx 返回 HTTP 408（Request Timed Out）。
服务端木想要/ip就无法上网

1.6 nginx的并发设置

在高并发场景，需要启动更多的Nginx进程以保证快速响应，以处理用户的请求，避免造成阻塞。

查看cpu的核心数，根据核心数来设置工作进程数

查看cpu核数
cat /proc/cpuinfo |grep processor|wc -l

cat /proc/cpuinfo |grep -c processor

cat /proc/cpuinfo | grep -c "physical id"
worker_processes最多开启8个，8个以上性能就不会再提升了，而且稳定性会变的更低，因此8个进程够用了

vim /usr/local/nginx/conf/nginx.conf

worker_cpu_affinity 是一个用于设置 worker 进程绑定到指定 CPU 的指令，可以减少cpu切换带来的开销，确保worker进程在一个独立的cpu核心上运行，生产中worker一般设置为4个。单个worker进程可以不绑定cpu

1.7 TIME_WAIT 

不是报错信息，是 TCP 连接状态中的一种状态，它出现在一个 TCP 连接被主动关闭后。在 TCP 的四次挥手过程中，当连接的一方发送了 FIN 报文（用于关闭连接）并接收到对方的 ACK 报文（确认收到 FIN 报文），就会进入 TIME_WAIT 状态。在 TIME_WAIT 状态下，TCP 连接处于等待状态，等待一个持续时间，确保网络中所有的数据包都被接收方完全处理完毕。

作用：

· 确保可靠关闭连接：在 TCP 的四次挥手过程中，发送 FIN 报文后，对方可能还有数据未处理完毕。
TIME_WAIT 状态的持续时间确保在连接关闭后，旧的数据包在网络中被正确处理，防止它们干扰新的连接。

· 避免出现连接复用问题：如果 TIME_WAIT 状态的持续时间较短，可能会导致旧的连接仍然存在于网络中，并被误认为是新的连接，从而导致连接复用问题。

然而，当服务器上同时有大量的短连接频繁创建和销毁，或者处理大量并发连接时，TIME_WAIT 连接可能会积累，导致服务器上出现大量 TIME_WAIT 状态的连接。在这种情况下，可能需要优化服务器的连接管理方式或调整 TCP 参数来处理 TIME_WAIT 连接

查看所有tcp的连接状态：

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查询到的结果：

CLOSED（关闭）：表示该连接处于未活动状态，或者连接已经关闭。

LISTEN（监听）：表示服务器正在等待来自客户端的连接请求，处于监听状态。

SYN_RECV（SYN 接收）：表示服务器已经接收到来自客户端的 SYN 请求（连接请求），正在等待确认。

SYN_SENT（SYN 发送）：表示应用程序已经向服务器发送了 SYN 请求，正在等待服务器确认。

ESTABLISHED（已建立）：表示连接已经建立，正常的数据传输阶段。

FIN_WAIT1（终止等待1）：表示应用程序已经发送了连接关闭请求（FIN），正在等待另一端的确认。

FIN_WAIT2（终止等待2）：表示另一端已经确认连接关闭请求，正在等待另一端发送连接关闭请求。

CLOSE_WAIT（关闭等待）：表示另一端已经关闭连接，但本地应用程序还未关闭连接。

CLOSING（正在关闭）：表示双方同时尝试关闭连接。

TIME_WAIT（时间等待）：表示连接已经关闭，但仍在等待一段时间（2倍的最大报文段生存时间，MSL），
以确保网络中所有的数据包都已经被正确处理。

LAST_ACK（最后确认）：表示应用程序已经发送了最后的确认，等待另一端的确认后进入 CLOSED 状态。
 

1.7.1 修改限制文件打开数

• soft nproc 65535： 最大进程数软限制为 65535，即可以使用 ulimit -u 命令查看和修改的值。

• hard nproc 65535： 最大进程数硬限制为 65535，即最大可分配的进程数。

• soft nofile 65535：最大打开文件数软限制为 65535，即可以使用 ulimit -n 命令查看和修改的值。

• hard nofile 65535：最大打开文件数硬限制为 65535，即最大可分配的文件数。

内核文件在：/etc/sysctl.conf

1.8 配置防盗链

vim //usr/local/nginx/conf/nginx.conf

 systemctl  restart  nginx

cd  /usr/localnginx/html

拉进来一张图片

vim  index.html

echo  "192.168.233.61 www.kgc.com"  >>  /etc/hosts

到虚拟机浏览器 ：www.kgc.com

另外一台虚拟机

cd  /usr/local/nginx/html

vim  index.html

 echo  "192.168.233.61 www.kgc.com"  >>  /etc/hosts

echo  "192.168.233.62 www.benet.com"  >>  /etc/hosts

到虚拟机2的浏览器：www.benet.com

valid_referers ：设置信任的网站，可以正常使用图片；

none：允许没有http_refer的请求访问资源（根据Referer的定义，它的作用是指示一个请求是从哪里链接过来的，如果直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含 Referer 字段的），如 http://www.kgc.com/game.jpg
我们使用 http://www.kgc.com 访问显示的图片，可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。

blocked：允许不是http://开头的，不带协议的请求访问资源； 
*.kgc.com：只允许来自指定域名的请求访问资源，如 http://www.kgc.com

if语句：如果链接的来源域名不在valid_referers所列出的列表中，$invalid_referer为true，则执行后面的操作，即进行重写或返回 403 页面。

补充：http请求到响应的过程

· tcp建立连接，三次握手

· 发起请求，get获取

· 服务端收到请求，请求体，包含客户端需要请求的内容

· 服务端响应，响应体，包含状态码，是否请求成功

· 关闭连接，四次挥手