nginx优化配置⼤全
由于⾯试被问到nginx优化做过哪些
后来发现,其实做过的也不少,忘了的更不少,因此写个博客记录⼀下(⾥⾯有⼀些内容来源于其他作者)。
配置⽂件样例为⽣产环境样例。
1、nginx基本优化
安装⽅式有2种:
1、源码包安装
2、yum(apt-get)安装
区别为如果⽤yum安装的话,很⽅便,并且基本不报错。如果对性能要求不是很⾼的话,可以采⽤这种安装⽅式(⽐如测试环境)
如果是源码包安装的话,因为在服务器上编译的软件,会让nginx的性能相对更⾼⼀些,建议⽣产环境使
⽤源码包安装
基本配置优化(优化后配置样例,可以改后直接上⽣产)
#头部配置
user  nginx nginx;    #定义nginx的启动⽤户,不建议使⽤root
worker_processes  4;  #定位为cpu的内核数量,因为我的环境配置是4核,所以就写4。不过这值最多也就是8,8个以上也就没什么意义了,想继续提升性能只能参worker_cpu_affinity 0001 0010 0100 1000;  #此项配置为开启多核CPU,对你先弄提升性能有很⼤帮助nginx默认是不开启的,1为开启,0为关闭,因此先开启第⼀第⼀位0001(关闭第四个、关闭第三个、关闭第⼆个、开启第⼀个)
第⼆位0010(关闭第四个、关闭第三个、开启第⼆个、关闭第⼀个)
第三位0100(关闭第四个、开启第三个、关闭第⼆个、关闭第⼀个)
后⾯的依次类推,有智商的应该都可以看懂了吧?那么如果是16核或者8核cpu,就注意为00000001、00000010、00000100,总位数与cpu核数⼀样。
error_log  /data/logs/nginx/error.log crit;      #这两项基本不⽤我说
pid        /usr/local/nginx/nginx.pid;
#Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile 65535;    #这个值为nginx的worker进程打开的最⼤⽂件数,如果不配置,会读取服务器内核参数(通过ulimit -a查看),如果内核的值设置file),但是在此设置后,就会读取⾃⼰配置的参数不去读取内核参数
events
{
use epoll;    #客户端线程轮询⽅法、内核2.6版本以上的建议使⽤epoll
worker_connections 65535;  #设置⼀个worker可以打开的最⼤连接数
}
http {
include      pes;
default_type  application/octet-stream;
#charset  gb2312;
server_tokens  off;    #为错误页⾯上的nginx版本信息,建议关闭,提升安全性
server_names_hash_bucket_size 128;
client_header_buffer_size 32k;
large_client_header_buffers 4 32k;
client_max_body_size 8m;
sendfile on;      #开启sendfile()函数,sendfile可以再磁盘和tcp socket之间互相copy数据。
tcp_nopush    on;  #告诉nginx在数据包中发送所有头⽂件,⽽不是⼀个⼀个的发
#keepalive_timeout 15;
keepalive_timeout 120;
tcp_nodelay on;
proxy_intercept_errors on;
fastcgi_intercept_errors on;
fastcgi_intercept_errors on;
nginx 配置文件fastcgi_connect_timeout 1300;
fastcgi_send_timeout 1300;
fastcgi_read_timeout 1300;
fastcgi_buffer_size 512k;
fastcgi_buffers 4 512k;
fastcgi_busy_buffers_size 512k;
fastcgi_temp_file_write_size 512k;
proxy_connect_timeout      20s;
proxy_send_timeout        30s;
proxy_read_timeout        30s;
gzip on;            #gzip是告诉nginx采⽤gzip后的数据来传输⽂件,会⼤量减少我们的发数据的量
gzip_min_length  1k;
gzip_buffers    4 16k;
gzip_http_version 1.0;
gzip_comp_level 2;
gzip_types      text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;        gzip_vary on;
gzip_disable msie6;
#limit_zone  crawler  $binary_remote_addr  10m;
log_format  main  '$http_host $remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for" '
'$request_time $upstream_response_time';
#proxy_temp_path和proxy_cache_path指定的路径必须在同⼀分区,因为它们之间是硬链接的关系
#proxy_temp_path /var/cache/nginx/proxy_temp_dir;
#设置Web缓存区名称为cache_one,内存缓存空间⼤⼩为200MB,1天没有被访问的内容⾃动清除,硬盘缓存空间⼤⼩为30GB。
#proxy_cache_path /var/cache/nginx/proxy_cache_dir levels=1:2 keys_zone=cache_one:200m inactive=1d max_size=30g;
include /usr/local/nginx/conf/vhosts/*.conf;
error_page  404  = www.niu/404/;
#error_page  500 502 503 504 = service.niu/alien/;
}
  如果是⾼并发架构,需要在nginx的服务器上添加如下的内核参数
这些参数追加到/f,然后执⾏sysctl -p ⽣效。
#每个⽹络接⼝接收数据包速度⽐内核处理速度快的时候,允许发送队列数⽬数据包的最⼤数
#调节系统同时发起的tcp连接数
#该参数⽤于设定系统中最多允许存在多少TCP套接字不被关联到任何⼀个⽤户⽂件句柄上,主要⽬的为防⽌Ddos攻击
p_max_orphans = 262144
#该参数⽤于记录尚未收到客户端确认信息的连接请求的最⼤值
p_max_syn_backlog = 262144
#nginx服务上建议关闭(既为0)
p_timestamps = 0
#该参数⽤于设置内核放弃TCP连接之前向客户端发送SYN+ACK包的数量,为了建⽴对端的连接服务,服务器和客户端需要进⾏三次握⼿,第⼆次握⼿期间,内核需要发送SYN并附带⼀个回应前⼀个SYN的ACK,这个参
数主要影响这个过程,⼀般赋予值为1,即内核放弃连接之前发送⼀次SYN+ACK包。
p_synack_retries = 1
p_syn_retries = 1
2、nginx配置lua,添加接⼝返回值,⽅便开发debug,这个我在上⼀篇博客⾥写过,链接如下:
3、nginx配置https
#server端基本配置
server {
listen 80;
listen 443 ssl spdy;
server_name io.123;
include      ssl/io;      #注意看下⼀个⽂件
location / {
proxy_pass lb_io;
if ($scheme = http ) {
return 301 $host$request_uri;    #此项配置为转换为https的基本配置
}
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
access_log /data/logs/nginx/access/niuaero.log main;
}
ssl_certificate      ssl/ca/io.pem;    #这个为购买的https证书,供应商会⽣成
ssl_certificate_key  ssl/ca/io.key;
ssl_session_timeout  5m;
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
#启⽤TLS1.1、TLS1.2要求OpenSSL1.0.1及以上版本,若您的OpenSSL版本低于要求,请使⽤ ssl_protocols TLSv1;
ssl_ciphers  HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
ssl_prefer_server_ciphers  on;
4、nginx配置反爬⾍
#以下内容添加nginx虚拟主机配置⾥,proxypass之后
if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) {
return 403;
}
#禁⽌指定UA及UA为空的访问
if ($http_user_agent ~ "WinHttp|WebZIP|FetchURL|node-superagent|java/|FeedDemon|Jullo|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlD      return 403;
}
#禁⽌⾮GET|HEAD|POST⽅式的抓取
if ($request_method !~ ^(GET|HEAD|POST)$) {
return 403;
}
好了,暂时能想到的也就这么多,以后要是有新的了再来补齐 

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。