Nginx的优化和防盗链
阿里云国内75折 回扣 微信号:monov8 |
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
一、Nginx的优化
1、隐藏版本号
curl -I http://192.168.79.28
#查看信息版本号等
方法一修改配置文件 vim /usr/local/nginx/conf/nginx.conf
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens off; #添加关闭版本号
......
}
systemctl restart nginx
添加
方法二修改源码文件重新编译安装
vim /opt/nginx-1.22.0/src/core/nginx.h
#define NGINX_VERSION "1.1.1" #修改版本号
#define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
cd /opt/nginx-1.22.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module
make && make install
vim /usr/local/nginx/conf/nginx.conf
http {
include mime.types;
default_type application/octet-stream;
server_tokens on;
......
}
systemctl restart nginx
- 修改源码包
- 重新编译安装
- 配置文件中的需添加并打开
- 验证
2、Nginx的日志分割
NGINX不自带日志分割系统所以需要手动配置脚本通过脚本实现日志分割
vim nginxlog.sh
#!/bin/bash
# 获取日期
d=$(date +%Y-%m-%d)
# 定义存储目录
dir="/usr/local/nginx/logs"
# 定义需要分割的源日志
logs_file='/usr/local/nginx/logs/access.log'
logs_error='/usr/local/nginx/logs/error.log'
# 定义nginx的pid文件
pid_file='/usr/local/nginx/run/nginx.pid'
if [ ! -d "$dir" ]
then
mkdir -p $dir
fi
# 移动日志并重命名文件
mv ${logs_file} ${dir}/access_${d}.log
mv ${logs_error} ${dir}/error_${d}.log
# 发送kill -USR1信号给Nginx的主进程号让Nginx重新生成一个新的日志文件
kill -USR1 $(cat ${pid_file})
#日志文件清理将30天前的日志进行清除
find $logs_path -mtime +30 -exec rm -rf {} \;
#查看日志是否生成
ls /var/log/nginx
ls/usr/local/nginx/logs/access.log
#赋权
chmod 777 nginxlog.sh
#设置定时任务
crontab -e
0 1 * * * /opt/nginxlog.sh
crontab -l
0 1 * * * /opt/nginxlog.sh
3、Nginx的网页压缩
主要作用达到节约带宽提升用户访问速度
cp nginx.conf nginx.conf.bak.2022.11.28 #备份改配置文件一定要备份
vim /usr/local/nginx/conf/nginx.conf
gzip on; #取消注释开启gzip的压缩功能
gzip_min_length 1k; #最小压缩文件的大小
gzip_buffers 4 64k; #压缩缓冲区大小为4个64K缓冲区Nginx 会使用 4 个 64KB 大小的缓冲区来存储压缩后的数据。
gzip_http_version 1.1; #压缩版本默认为1.1
gzip_comp_level 6; #压缩比率(压缩等级为1-96是中等等级也是常用等级)Gzip 压缩级别的范围是 1 到 9
其中 1 表示压缩速度最快但压缩比最低9 表示压缩速度最慢但压缩比最高。默认值为 1。
gzip_vary on; #支持前端缓存服务器支持压缩页面
gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss image/jpg image/jpeg image/png image/gif application/x-httpd-php application/javascript application/json;
#压缩的类型哪些文档启用压缩功能
4、Nginx并发设置
在高并发场景需要启动更多的Nginx进程以保证快速响应以处理用户的请求避免造成阻塞。
cat /proc/cpuinfo | grep -c "physical id" #查看cpu核数
ps aux | grep nginx #查看nginx主进程中包含几个子进程
#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
worker_processes 2; #修改为核数相同或者2倍
worker_cpu_affinity 01 10;
#worker_cpu_affinity 是一个用于设置 worker 进程绑定到指定 CPU 的指令。
#将 Nginx worker 进程绑定到特定的 CPU 核心以提高性能和避免 CPU Cache 的伪共享。进程数配为4时0001 0010 0100 1000
#通过将 worker 进程绑定到特定的 CPU 核心可以减少 CPU 切换context switching的开销
#并确保 worker 进程在一个独立的 CPU 核心上运行避免了不同进程间的 CPU Cache 竞争从而提高了整体性能
#重启服务
systemctl restart nginx
注生产中work一般设为4访问量不大时1也是足够。如要扩展最多8个8个以上的worker进程不会再提高性能反而会降低性能
worker_connections 1024
#这个属性是指单个工作进程可以允许同时建立外部连接的数量;
#工作中一般设置为10240在工作中如果向优化启动更多进程建议更改worker_connections
#注意这个数量还受操作系统设定的进程最大可打开的文件数有关所以服务器最大打开数量要支持。ulimit -n查看
5、TIME_WAIT
TIME_WAIT 是 TCP 连接状态中的一种状态它出现在一个 TCP 连接被主动关闭后。在 TCP 的四次挥手过程中当连接的一方发送了 FIN 报文用于关闭连接并接收到对方的 ACK 报文确认收到 FIN 报文就会进入 TIME_WAIT 状态。
在 TIME_WAIT 状态下TCP 连接处于等待状态等待一个持续时间确保网络中所有的数据包都被接收方完全处理完毕。
这个等待时间通常是两倍的最大报文段生存时间Maximum Segment LifetimeMSL。
TIME_WAIT 状态的持续时间有两个主要目的
- TIME_WAIT 状态的持续时间确保在连接关闭后旧的数据包在网络中被正确处理防止它们干扰新的连接。
- 避免出现连接复用问题如果 TIME_WAIT 状态的持续时间较短可能会导致旧的连接仍然存在于网络中并被误认为是新的连接从而导致连接复用问题。
TIME_WAIT 状态通常是正常的 TCP 连接关闭过程中的一部分它在连接正常关闭后经历一段时间后自动消失。
在连接的生命周期内TIME_WAIT 状态占用的资源非常小并且对服务器性能影响有限。然而当服务器上同时有大量的短连接频繁创建和销毁或者处理大量并发连接时TIME_WAIT 连接可能会积累导致服务器上出现大量 TIME_WAIT 状态的连接。在这种情况下可能需要优化服务器的连接管理方式或调整 TCP 参数来处理 TIME_WAIT 连接
#查看所有tcp的连接状态
netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TCP连接状态
- CLOSED关闭表示该连接处于未活动状态或者连接已经关闭。
- LISTEN监听表示服务器正在等待来自客户端的连接请求处于监听状态。
- SYN_RECVSYN 接收表示服务器已经接收到来自客户端的 SYN 请求连接请求正在等待确认。
- SYN_SENTSYN 发送表示应用程序已经向服务器发送了 SYN 请求正在等待服务器确认。
- ESTABLISHED已建立表示连接已经建立正常的数据传输阶段。
- FIN_WAIT1终止等待1表示应用程序已经发送了连接关闭请求FIN正在等待另一端的确认。
- FIN_WAIT2终止等待2表示另一端已经确认连接关闭请求正在等待另一端发送连接关闭请求。
- CLOSE_WAIT关闭等待表示另一端已经关闭连接但本地应用程序还未关闭连接。
- CLOSING正在关闭表示双方同时尝试关闭连接。
- TIME_WAIT时间等待表示连接已经关闭但仍在等待一段时间2倍的最大报文段生存时间MSL
- 以确保网络中所有的数据包都已经被正确处理。
- LAST_ACK最后确认表示应用程序已经发送了最后的确认等待另一端的确认后进入 CLOSED 状态。
vim /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 60
net.ipv4.tcp_syncookies = 1
#表示开启SYN Cookies。
当出现SYN等待队列溢出时启用cookies来处理可防范少量SYN×××默认为0表示关闭
net.ipv4.tcp_tw_reuse=1
#让TIME_WAIT状态可以重用这样即使TIME_WAIT占满了所有端口也不会拒绝新的请求造成障碍 默认是0
net.ipv4.tcp_tw_recycle=1
#让TIME_WAIT尽快回收 默认0
net.ipv4.tcp_fin_timeout=65
#表示如果套接字由本端要求关闭这个参数决定了它保持在FIN-WAIT-2状态的时间。
6、设置连接超时控制连接访问时间
HTTP有一个KeepAlive模式它告诉web服务器在处理完一个请求后保持这个TCP连接的打开状态。若接收到来自同一客户端的其它请求服务端会利用这个未被关闭的连接而不需要再建立一个连接。KeepAlive 在一段时间内保持打开状态它们会在这段时间内占用资源。占用过多就会影响性能。
keepalive_timeout
指定KeepAlive的超时时间timeout。指定每个TCP连接最多可以保持多长时间服务器将会在这个时间后关闭连接。 Nginx的默认值是65秒有些浏览器最多只保持 60 秒所以可以设定为 60 秒。若将它设置为0就禁止了keepalive 连接。
第二个参数可选的指定了在响应头Keep-Alive:timeout=time中的time值。这个头能够让一些浏览器主动关闭连接这样服务器就不必去关闭连接了。没有这个参数Nginx 不会发送 Keep-Alive 响应头。
client_header_timeout
客户端向服务端发送一个完整的 request header 的超时时间。如果客户端在指定时间内没有发送一个完整的 request headerNginx 返回 HTTP 408Request Timed Out。
client_body_timeout
指定客户端与服务端建立连接后发送 request body 的超时时间。如果客户端在指定时间内没有发送任何内容Nginx 返回 HTTP 408Request Timed Out。
#修改配置文件
vim /usr/local/nginx/conf/nginx.conf
http {
......
keepalive_timeout 65 180; #指定TCP链接最多可以保持65秒
client_header_timeout 80; #请求头
client_body_timeout 80; #请求体
......
}
二、配置防盗链
vim //usr/local/nginx/conf/nginx.conf
http {
...........
server{
...........
location ~* \.(jpg|gif|swf)$ {
root html;
expires 1d;
valid_referers none blocked *.kgc.com kgc.com;
if ( $invalid_referer ) {
rewrite ^/ http://www.kgc.com/error.png;
}
}
............
}
...............
}
- ~* \.(jpg|gif|swf)$ 这段正则表达式表示匹配不区分大小写以.jpg 或.gif 或.swf 结尾的文件
- valid_referers 设置信任的网站可以正常使用图片
- none允许没有http_refer的请求访问资源根据Referer的定义它的作用是指示一个请求是从哪里链接过来的如果直接在浏览器的地址栏中输入一个资源的URL地址那么这种请求是不会包含 Referer 字段的如 http://www.kgc.com/game.jpg我们使用 http://www.kgc.com 访问显示的图片可以理解成 http://www.kgc.com/game.jpg 这个请求是从 http://www.kgc.com 这个链接过来的。
- blocked允许不是http://开头的不带协议的请求访问资源
- *.kgc.com只允许来自指定域名的请求访问资源如 http://www.kgc.com
- if语句如果链接的来源域名不在valid_referers所列出的列表中$invalid_referer为true则执行后面的操作即进行重写或返回 403 页面。