Nginx的优化和防盗链

目录

1、优化

1.1 隐藏版本号

1.2 nginx的日志分割,因为nginx没有日志分割工具

1.3 nginx的页面压缩

1.4 图片缓存

1.5 连接超时

1.6 nginx的并发设置

1.7 TIME_WAIT 

1.7.1 修改限制文件打开数

1.8 配置防盗链

补充:http请求到响应的过程


1、优化

1.1 隐藏版本号

vim  nginx.conf

方法一:修改配置文件

cd /usr/local/nginx/conf

cp nginx.conf nginx.conf.bak.2023.0805

vim nginx.conf

http模块中:

Nginx的优化和防盗链_第1张图片

systemctl  restart  nginx

浏览器本机地址

Nginx的优化和防盗链_第2张图片

方法二:修改源码文件,重新编译安装

 此时版本号没了,要把nginx也换了 

cd  /opt

cd  nginx-1.22.0

cs  src

cd  core

vim nginx.h

Nginx的优化和防盗链_第3张图片

cd ..

cd  ..

到nginx-1.22.0

 ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install

make  -j  4  &&  make  install

cd  /usr/local/nginx/conf

vim  nginx.conf

Nginx的优化和防盗链_第4张图片

systemctl  restart  nginx 

1.2 nginx的日志分割,因为nginx没有日志分割工具

cd  /usr/localnginx/logs

tail  -f  access.log

cd  /opt

ls

vim  nginx.sh

Nginx的优化和防盗链_第5张图片

保存退出

chmod  777  nginx.sh

./nginx.sh执行文件

解释: 

(注:nginx的kill是传递信号的)

#!/bin/bash #获取日期 d=$(date +%Y-%m-%d) #定义存储目录 dir="/usr/local/nginx/logs"

#分割日志 logs_file="/usr/local/nginx/logs/access.log" logs_error='/usr/local/nginx/logs/error.log'

#定义nginx的pid文件 pid_file='/usr/local/nginx/run/nginx.pid'

if [ ! -d "$dir" ] then mkdir -p $dir fi

#移动日志并且重命名

mv $logs_file ${dir}/access_${d}.log

mv $logs_error ${dir}/error_${d}.log

#发送信号给nginx主程序,让他生成一个新的日志文件

kill -USR1 $(cat ${pid_file}) #cat /usr/local/nginx/run/nginx.pid

#日志文件清理的命令 find ${dir} -mtime +30 -exec rm -rf {} \;

1.3 nginx的页面压缩

cd /usr/local/nginx/conf

vim nginx.conf

Nginx的优化和防盗链_第6张图片

 到最后一行添加新内容

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;

保存退出重启配置

Nginx的优化和防盗链_第7张图片

命令解释:

gzip on; #取消注释,开启gzip的压缩功能

gzip_min_length 1k; #最小压缩文件的大小

gzip_buffers 4 64k; #压缩缓冲区,大小为4个64K缓冲区,Nginx 会使用 4 个 64KB 大小的缓冲区来存储压缩后的数据。

gzip_http_version 1.1; #压缩版本,默认为1.1

gzip_comp_level 6; #压缩比率(压缩等级为1-9,6是中等等级,也是常用等级)Gzip 压缩级别的范围是 1 到 9, 其中 1 表示压缩速度最快,但压缩比最低,9 表示压缩速度最慢,但压缩比最高。默认值为 1。

gzip_vary on; #支持前端缓存服务器支持压缩页面

gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json; #压缩的类型,哪些文档启用压缩功能

压缩的功能是默认自带的,可以不取消注释,但是需要添加细节,需要把gzip打开,打开后进行配置

1.4 图片缓存

cd  /usr/local/nginx/conf

vim  nginx.conf

Nginx的优化和防盗链_第8张图片

重启一下配置:systemctl  restart  nginx

到浏览器f12

Nginx的优化和防盗链_第9张图片

1.5 连接超时

添加到nginx.conf里面的

HTTP有一个KeepAlive模式,它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自客户端的其它请求,服务端会利用这个未被关闭的连接,而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态,它们会在这段时间内占用资源。占用过多就会影响性能。
指定KeepAlive的超时时间(timeout)。指定每个TCP连接最多可以保持多长时间,服务器将会在这个时间后关闭连接。
 Nginx的默认值是65秒,有些浏览器最多只保持 60 秒,所以可以设定为 60 秒。若将它设置为0,就禁止了keepalive 连接。

 client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。
如果客户端在指定时间内没有发送一个完整的 request header,Nginx 返回 HTTP 408(Request Timed Out)。

client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。
如果客户端在指定时间内没有发送任何内容,Nginx 返回 HTTP 408(Request Timed Out)。
服务端木想要/ip就无法上网

1.6 nginx的并发设置

在高并发场景,需要启动更多的Nginx进程以保证快速响应,以处理用户的请求,避免造成阻塞。

查看cpu的核心数,根据核心数来设置工作进程数

查看cpu核数
cat /proc/cpuinfo |grep processor|wc -l

cat /proc/cpuinfo |grep -c processor

cat /proc/cpuinfo | grep -c "physical id"
worker_processes最多开启8个,8个以上性能就不会再提升了,而且稳定性会变的更低,因此8个进程够用了

vim /usr/local/nginx/conf/nginx.conf

worker_cpu_affinity 是一个用于设置 worker 进程绑定到指定 CPU 的指令,可以减少cpu切换带来的开销,确保worker进程在一个独立的cpu核心上运行,生产中worker一般设置为4个。单个worker进程可以不绑定cpu

1.7 TIME_WAIT 

不是报错信息,是 TCP 连接状态中的一种状态,它出现在一个 TCP 连接被主动关闭后。在 TCP 的四次挥手过程中,当连接的一方发送了 FIN 报文(用于关闭连接)并接收到对方的 ACK 报文(确认收到 FIN 报文),就会进入 TIME_WAIT 状态。在 TIME_WAIT 状态下,TCP 连接处于等待状态,等待一个持续时间,确保网络中所有的数据包都被接收方完全处理完毕。

作用:

· 确保可靠关闭连接:在 TCP 的四次挥手过程中,发送 FIN 报文后,对方可能还有数据未处理完毕。
TIME_WAIT 状态的持续时间确保在连接关闭后,旧的数据包在网络中被正确处理,防止它们干扰新的连接。

· 避免出现连接复用问题:如果 TIME_WAIT 状态的持续时间较短,可能会导致旧的连接仍然存在于网络中,并被误认为是新的连接,从而导致连接复用问题。

然而,当服务器上同时有大量的短连接频繁创建和销毁,或者处理大量并发连接时,TIME_WAIT 连接可能会积累,导致服务器上出现大量 TIME_WAIT 状态的连接。在这种情况下,可能需要优化服务器的连接管理方式或调整 TCP 参数来处理 TIME_WAIT 连接

查看所有tcp的连接状态:

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

查询到的结果:

CLOSED(关闭):表示该连接处于未活动状态,或者连接已经关闭。

LISTEN(监听):表示服务器正在等待来自客户端的连接请求,处于监听状态。

SYN_RECV(SYN 接收):表示服务器已经接收到来自客户端的 SYN 请求(连接请求),正在等待确认。

SYN_SENT(SYN 发送):表示应用程序已经向服务器发送了 SYN 请求,正在等待服务器确认。

ESTABLISHED(已建立):表示连接已经建立,正常的数据传输阶段。

FIN_WAIT1(终止等待1):表示应用程序已经发送了连接关闭请求(FIN),正在等待另一端的确认。

FIN_WAIT2(终止等待2):表示另一端已经确认连接关闭请求,正在等待另一端发送连接关闭请求。

CLOSE_WAIT(关闭等待):表示另一端已经关闭连接,但本地应用程序还未关闭连接。

CLOSING(正在关闭):表示双方同时尝试关闭连接。

TIME_WAIT(时间等待):表示连接已经关闭,但仍在等待一段时间(2倍的最大报文段生存时间,MSL),
以确保网络中所有的数据包都已经被正确处理。

LAST_ACK(最后确认):表示应用程序已经发送了最后的确认,等待另一端的确认后进入 CLOSED 状态。
 

1.7.1 修改限制文件打开数

  • soft nproc 65535: 最大进程数软限制为 65535,即可以使用 ulimit -u 命令查看和修改的值。

  • hard nproc 65535: 最大进程数硬限制为 65535,即最大可分配的进程数。

  • soft nofile 65535:最大打开文件数软限制为 65535,即可以使用 ulimit -n 命令查看和修改的值。

  • hard nofile 65535:最大打开文件数硬限制为 65535,即最大可分配的文件数。

内核文件在:/etc/sysctl.conf

Nginx的优化和防盗链_第10张图片

Nginx的优化和防盗链_第11张图片

1.8 配置防盗链

vim //usr/local/nginx/conf/nginx.conf

Nginx的优化和防盗链_第12张图片

 systemctl  restart  nginx

cd  /usr/localnginx/html

拉进来一张图片

vim  index.html

Nginx的优化和防盗链_第13张图片

echo  "192.168.233.61 www.kgc.com"  >>  /etc/hosts

到虚拟机浏览器 :www.kgc.com

另外一台虚拟机

cd  /usr/local/nginx/html

vim  index.html

Nginx的优化和防盗链_第14张图片

 echo  "192.168.233.61 www.kgc.com"  >>  /etc/hosts

echo  "192.168.233.62 www.benet.com"  >>  /etc/hosts

到虚拟机2的浏览器:www.benet.com

valid_referers :设置信任的网站,可以正常使用图片;

none:允许没有http_refer的请求访问资源(根据Referer的定义,它的作用是指示一个请求是从哪里链接过来的,如果直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含 Referer 字段的),如 http://www.kgc.com/game.jpg
我们使用 http://www.kgc.com 访问显示的图片,可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。

blocked:允许不是http://开头的,不带协议的请求访问资源; 
*.kgc.com:只允许来自指定域名的请求访问资源,如 http://www.kgc.com

if语句:如果链接的来源域名不在valid_referers所列出的列表中,$invalid_referer为true,则执行后面的操作,即进行重写或返回 403 页面。

补充:http请求到响应的过程

· tcp建立连接,三次握手

· 发起请求,get获取

· 服务端收到请求,请求体,包含客户端需要请求的内容

· 服务端响应,响应体,包含状态码,是否请求成功

· 关闭连接,四次挥手
 

你可能感兴趣的:(nginx)