nginx指令中的優化(組態檔): worker_processes 8;
nginx行程數,建議按照cpu數目來指定,一般為它的倍數。 worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;
為每個行程分配cpu,上例中將8個行程分配到8個cpu,當然可以寫多個,或者將一個行程分配到多個cpu。 worker_rlimit_nofile 102400;
這個指令是指當一個nginx行程打開的最多檔案描述符數目,理論值應該是最多打開檔案數(ulimit -n)與nginx行程數相除,但是nginx分配請求并不是那么均勻,所以最好與ulimit -n的值保持一致。 use epoll; 使用epoll的I/O模型 worker_connections 102400;
每個行程允許的最多連接數,理論上每臺nginx服務器的最大連接數為worker_processes*worker_connections keepalive_timeout 60; keepalive超時時間 client_header_buffer_size 4k;
客戶端請求頭部的緩沖區大小,這個可以根據你的系統分頁大小來設定,一般一個請求的頭部大小不會超過1k,不過由于一般系統分頁都要大于1k,所以這里設定為分頁大小。分頁大小可以用命令getconf PAGESIZE取得 open_file_cache max=102400 inactive=20s;
這個將為打開檔案指定快取,默認是沒有啟用的,max指定快取數量,建議和打開檔案數一致,inactive是指經過多長時間檔案沒被請求后洗掉快取 open_file_cache_valid 30s;
這個是指多長時間檢查一次快取的有效資訊 open_file_cache_min_uses 1;
open_file_cache指令中的inactive引數時間內檔案的最少使用次數,如果超過這個數字,檔案描述符一直是在快取中打開的,如上例,如果有一個檔案在inactive時間內一次沒被使用,它將被移除 內核引數的優化:
net.ipv4.tcp_max_tw_buckets = 6000
timewait的數量,默認是180000 net.ipv4.ip_local_port_range = 1024 65000
允許系統打開的埠范圍 net.ipv4.tcp_tw_recycle = 1
啟用timewait快速回收 net.ipv4.tcp_tw_reuse = 1
開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接 net.ipv4.tcp_syncookies = 1
開啟SYN Cookies,當出現SYN等待佇列溢位時,啟用cookies來處理 net.core.somaxconn = 262144
web應用中listen函式的backlog默認會給我們內核引數的net.core.somaxconn限制到128,而nginx定義的NGX_LISTEN_BACKLOG默認為511,所以有必要調整這個值 net.core.netdev_max_backlog = 262144
每個網路介面接收資料包的速率比內核處理這些包的速率快時,允許送到佇列的資料包的最大數目 net.ipv4.tcp_max_orphans = 262144
系統中最多有多少個TCP套接字不被關聯到任何一個用戶檔案句柄上。如果超過這個數字,孤兒連接將即刻被復位并列印出警告資訊。這個限制僅僅是為了防止簡單的DoS攻擊,不能過分依靠它或者人為地減小這個值,更應該增加這個值(如果增加了記憶體之后) net.ipv4.tcp_max_syn_backlog = 262144
記錄的那些尚未收到客戶端確認資訊的連接請求的最大值。對于有128M記憶體的系統而言,預設值是1024,小記憶體的系統則是128 net.ipv4.tcp_timestamps = 0
時間戳可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“例外”的資料包。這里需要將其關掉 net.ipv4.tcp_synack_retries = 1
為了打開對端的連接,內核需要發送一個SYN并附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設定決定了內核放棄連接之前發送SYN+ACK包的數量 net.ipv4.tcp_syn_retries = 1
在內核放棄建立連接之前發送SYN包的數量 net.ipv4.tcp_fin_timeout = 1
如果套接字由本端要求關閉,這個引數決定了它保持在FIN-WAIT-2狀態的時間。對端可以出錯并永遠不關閉連接,甚至意外當機。預設值是60秒。2.2 內核的通常值是180秒,你可以按這個設定,但要記住的是,即使你的機器是一個輕載的WEB服務器,也有因為大量的死套接字而記憶體溢位的風險,FIN- WAIT-2的危險性比FIN-WAIT-1要小,因為它最多只能吃掉1.5K記憶體,但是它們的生存期長些 net.ipv4.tcp_keepalive_time = 30
當keepalive起用的時候,TCP發送keepalive訊息的頻度。預設是2小時 關于FastCGI的幾個指令:
fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2 keys_zone=TEST:10m inactive=5m;
這個指令為FastCGI快取指定一個路徑,目錄結構等級,關鍵字區域存盤時間和非活動洗掉時間 fastcgi_connect_timeout 300;
指定連接到后端FastCGI的超時時間 fastcgi_send_timeout 300;
向FastCGI傳送請求的超時時間,這個值是指已經完成兩次握手后向FastCGI傳送請求的超時時間 fastcgi_read_timeout 300;
接收FastCGI應答的超時時間,這個值是指已經完成兩次握手后接收FastCGI應答的超時時間 fastcgi_buffer_size 16k;
指定讀取FastCGI應答第一部分需要用多大的緩沖區,這里可以設定為fastcgi_buffers指令指定的緩沖區大小,上面的指令指定它將使用1個16k的緩沖區去讀取應答的第一部分,即應答頭,其實這個應答頭一般情況下都很小(不會超過1k),但是你如果在fastcgi_buffers指令中指定了緩沖區的大小,那么它也會分配一個fastcgi_buffers指定的緩沖區大小去快取 fastcgi_buffers 16 16k;
指定本地需要用多少和多大的緩沖區來緩沖FastCGI的應答,如上所示,如果一個php腳本所產生的頁面大小為256k,則會為其分配16個16k的緩沖區來快取,如果大于256k,增大于256k的部分會快取到fastcgi_temp指定的路徑中,當然這對服務器負載來說是不明智的方案,因為記憶體中處理資料速度要快于硬碟,通常這個值的設定應該選擇一個你的站點中的php腳本所產生的頁面大小的中間值,比如你的站點大部分腳本所產生的頁面大小為256k就可以把這個值設定為16 16k,或者4 64k 或者64 4k,但很顯然,后兩種并不是好的設定方法,因為如果產生的頁面只有32k,如果用4 64k它會分配1個64k的緩沖區去快取,而如果使用64 4k它會分配8個4k的緩沖區去快取,而如果使用16 16k則它會分配2個16k去快取頁面,這樣看起來似乎更加合理 fastcgi_busy_buffers_size 32k;
默認值是fastcgi_buffers的兩倍 fastcgi_temp_file_write_size 32k;
在寫入fastcgi_temp_path時將用多大的資料塊,默認值是fastcgi_buffers的兩倍 fastcgi_cache TEST
開啟FastCGI快取并且為其制定一個名稱。個人感覺開啟快取非常有用,可以有效降低CPU負載,并且防止502錯誤。但是這個快取會引起很多問題,因為它快取的是動態頁面。具體使用還需根據自己的需求 fastcgi_cache_valid 200 302 1h;
fastcgi_cache_valid 301 1d;
fastcgi_cache_valid any 1m;
為指定的應答代碼指定快取時間,如上例中將200,302應答快取一小時,301應答快取1天,其他為1分鐘 fastcgi_cache_min_uses 1;
快取在fastcgi_cache_path指令inactive引數值時間內的最少使用次數,如上例,如果在5分鐘內某檔案1次也沒有被使用,那么這個檔案將被移除 fastcgi_cache_use_stale error timeout invalid_header http_500;
不知道這個引數的作用,猜想應該是讓nginx知道哪些型別的快取是沒用的。 以上為nginx中FastCGI相關引數,另外,FastCGI自身也有一些配置需要進行優化,如果你使用php-fpm來管理FastCGI,可以修改組態檔中的以下值 <value name="max_children">60</value>
同時處理的并發請求數,即它將開啟最多60個子執行緒來處理并發連接 <value name="rlimit_files">102400</value>
最多打開檔案數 <value name="max_requests">204800</value>
每個行程在重置之前能夠執行的最多請求數 Nginx性能調優:
1、 自定義404錯誤頁面(使客戶體驗優化)
2、 查看服務器狀態資訊(開啟狀態頁面模塊)
3、 客戶端訪問服務器提示“too many open files”如何解決(打開的檔案太多)測驗ab -c 5000 -n 5000 網址提升nginx并發數量vim /usr/local/nginx/nginx.conf 把默認的1024修改成65535 軟硬限制連接設為10000 為了以后不在重新再去設定這一塊的引數
4、 解決客戶端訪問頭部資訊過長的問題 優化前,使用腳本測驗長頭部請求是否能獲得回應 修改nginx組態檔,增加資料包頭部快取大小 優化后,使用腳本測驗長頭部請求是否能獲得回應
5、 讓客戶端瀏覽器快取資料 定時清理
定義對靜態頁面的快取時間 vim /usr/local/nginx/conf/nginx.conf
6、 日志切割
把舊的日志重命名
Kill USR1 PID(nginx的行程pid號)并寫一個腳本,自動完成日志切割
7、 對頁面壓縮處理 對頁面進行壓縮處理 cat /usr/local/nginx/conf/nginx.conf 開啟壓縮 設定小檔案不壓縮 壓縮比率1-9 選5
8、 開啟檔案快取功能 如果需要處理大量靜態檔案,可以將檔案快取在記憶體,下次訪問會更快設定服務器最大快取2000個檔案句柄 關閉20秒內無情求的檔案句柄 //檔案句柄的有效時間是60秒,60秒后過期 //只有訪問次數超過5次會被快取 Nginx安全調優:
1、 洗掉不需要的模塊(without)
2、 修改版本資訊(修改原始碼)
3、 隱藏版本號資訊(server_tokens off)
4、 限制并發 ngx_http_limit_req_module 為默認模塊降低DDOS攻擊風險
5、 拒絕非法請求:禁用其他請求方法,僅允許(GET|POST)
6、 防止buffer溢位:防止客戶端請求資料溢位,有效降低機器Dos攻擊風險 Client_body_buffer_size 1K Client_header_buffer_size 1K Client_max_body_size 16K Large_client_header_buffers 4 4K
7、 nginx+lua實作waf,需要編譯時加載lua,luajit是lua即時編譯器 ln -s /usr/local/lib/libluajit -5.1.so.2 /lib64/lib luajit -5.1.so.2(軟連接) 修改nginx.conf增加第一個配置 Location /hello { Default_type Content_by_lua Nginx與安全有關的配置:
1、 隱藏版本號 http { server_tokens off; }
2、 開啟https
3、 添加黑白名單 Location /admin/ { allow 192.168.1.0/24 deny } 只允許192.168.1.0/24網段的主機訪問,拒絕其他所有
4、 添加帳號認證,用auth
5、 限制除GET|POST之外的請求方法
6、 拒絕user-agent
7、 圖片防盜鏈
8、 控制并發連接數
9、 緩沖區溢位攻擊
10、 Header頭設定
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/67963.html
標籤:實用資料發布區