nginx的优化
1、隐藏版本号:
bug多。更新版本速度比较快,所以一旦版本号暴露出去,有可能给对方提供攻击的漏洞
curl -I(大写i) 192.168.233.30
在http大模块中修改,不在server中,也不是location
(1)第一种方式:在配置文件nginx.conf中修改的命令是加上一行:server_tokens off
(2)第二种方式:修改源码文件,重新编译安装:
在源码包里面修改配置文件;修改完之后要重新配置,编译和安装;隐藏版本号打开
2、nginx的日志分割:
nginx没有自带的日志分割功能,靠我们运维人员通过脚本实现日志分割
在opt里创建一个文件(vim nginxlog.sh)
#!/bin/bash
#按照时间来进行分割,每天都生成一个新的日志
#获取日期
d=$(date +%Y-%m-%d)
#找到nginx日志的存储位置
dir="/usr/local/nginx/logs"
#定义分割的源日志
logs_file='/usr/local/nginx/logs/access.log'
logs_error='/usr/local/nginx/logs/error.log'
#定义nginx的PID文件
pid_file='/usr/local/nginx/run/nginx.pid'
if [ ! -d "$dir" ]
then
mkdir -p $dir
fi
#移动日志并重命名日志文件
mv ${logs_file} ${dir}/access_${d}.log
#mv /usr/local/nginx/logs/access.log /usr/local/nginx/logs/access_2023-10-12.log
mv ${logs_error} ${dir}/error_${d}.log
#发送信号给nginx主进程,让nginx重新生成一个新的日志文件
kill -USR1 $(cat ${pid_file})
#USR1 生成一个新的日志 cat /usr/local/nginx/run/nginx.pid
#日志清理 日志清理原则:业务日志一般保留30天。数据库日志,保留2年。用户信息加密,而且要永久保存。高可用。
#业务日志如果最近无重大事项,保留10天之内的也可以,但是要申请批准。
find $dir -mtime +30 -exec rm -rf {} \;
还需要赋权chmod 777,以及crontab -e -u root指定root来执行定时任务***** /opt/nginxlog.sh
3、网页压缩:
nginx:
http_gzip_static_module:可以对文件内容和图片进行压缩的功能,节约宽带,提升用户的访问速度
(1)cd /usr/local/nginx/conf/
(2)cp nginx.conf nginx.conf.bak.2003.10.12
(3)vim nginx.conf
找到gzip on,然后取消注释
gzip on:开启压缩功能
gzip_min_lenght 1k:如果文件的大小是1k,不再进行压缩处理
gzip_comp_level 6:压缩级别:压缩比率 1-9 1是速度快,压缩比最低,9压缩的速度最慢,但是压缩比最高,默认是1
gzip_comp on:前端的缓存也可以支持压缩
支持压缩的所有类型 :gzip_types text/plain image/jpg text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
4、nginx的图片缓存时间
可以在日后访问时,不需要经常的想后台请求数据,加快访问速度
一般是针对静态页面,动态不设置缓存时间
(1)cd /usr/local/nginx/conf/
(2)vim nginx.conf
在location后面再添加一个:
location ~* \.(gif|jpg|jepg|bmp|ico)$ {
root html;
expires 1d;
}
(3)systemctl restart nginx
5、连接超时:
keepalive_timeout 60 - 120
(1)cd /usr/local/nginx/conf/
(2)vim nginx.conf
找到 #keepalive_timeout 0;
在后面添加两行
keepalive_timeout 60;
client_header_timeout 80;
#客户端向服务端发送一个完整request header的超时间,如果客户端在80秒内没有发送一个完整的请求头,nginx将会返回408,request time out
6、nginx并发设置:
在高并发的场景下,需要nginx启动更多的进程来保证快速响应
cpu
根据cpu的核心数,可以调整nginx的工作进程数
查看cpu核数的命令:
(1)cat /proc/cpuinfo | grep -c processor
(2)cat /proc/cpuinfo | grep processor | wc -l
面试题:
work_procersses 4;
worker_connerctions 15000;
60000个
别忘了修改limits.conf
8个以上性能降低;
面试题:
TIME_WAITD大量出现,该如何优化?
time_wait是tcp连接状态中的一种,不是报错!出现在四次挥手之后
在time_wait状态下,tcp处于连接等待状态,等待有一个持续时间 http1.1的会话保持
1、确保可靠的关闭连接
2、避免连接复用
他在连接正常关闭之后,一段时间之后,自动消失。而且占用的资源很少,对服务器性能的影响有限
net.ipv4.tcp_syncookies = 1
#表示开SYN cookies
当出现SYN等待队列溢出时,启用cookies处理syn队列,默认是0 。1开启。
net.ipv4.tcp_tw_reuse = 1
#time_wait状态可以重用,一个连接就要占用一个端口,time_wait把所有的端口全部占满了,新的连接请求也不会拒绝。
net.ipv4.tcp_tw_recycle = 1
#让time_wait尽快回收。
net.ipv4.tcp_fin_timeout = 60 # 所有time_wait 最大的生命周期60秒。
nginx的内置变量:打印结果
$remote_addr:显示客户端的ip地址
$remote_port:显示客户端的端口号
$uri:显示请求的uri
$host:显示请求的主机名
$request_method:显示请求的方法
重要的变量:
proxy_set_header X-Forwarded-for $remote_addr
#代理服务器设置这个变量,客户端的真实要发送给后端,否则代理服务器地址会被拉入黑名单
proxy_set_header X-Real-IP $remote_addr
#客户端的真实ip,发送给后端,现在所有的网站都会要求客户端请求时,加上真实ip
微信,微博,B站,都会显示ip地址
防止其他网站盗用本站的图片
valid_referers:设置信任的网站
kgc.com www.kgc.com
*.kgc.com
nine:允许没有http_refer的请求访问资源,请求url里面可以不包含refer可以不带uri
www.kgc.com/ls.jpg
www.kgc.com = www.kgc.com/ls.jpg
blocked:请求网站时,前面可以不带协议(也就是类似于http)
if( $invalid_referer ) {
rewrite ^/ http://www.kgc.com/errer.png
}
如果连接资源是来自于上面
默写:
1、nginx有哪些优化,简述配置过程
(1)隐藏版本号
http模块的全局配置:server_tokens off
改源码文件
2、日志分割
3、页面压缩
gzip on;取消注释
4、缓存时间
worker_process 4
worker_cpu_affinity 0001 0010 0100 1000
worker_connection 15000;
4*15000=60000
limits.conf 656534
5、压缩图片
expires 1d;
time_wait
小的业务,不需要关注