Nginx深度优化（二）

时间 2019-12-17

标签 nginx 深度优化栏目 Nginx 繁體版

原文原文链接

Nginx做为如今最流行的Web应用程序，对其优化十分重要。经过Nginx初步优化、深度优化Nginx（一）已经能够对Nginx进行大量的优化来知足基本的须要，可是做为一名合格的运维工程师来讲，仅仅掌握以上对Nginx进行优化的方法显然是远远不足的。因此就须要本篇博文进一步对Nginx进行优化。php

博文大纲：
1、安装nginx服务器
2、Nginx配置优化
（1）Nginx 运行工做进程个数
（2）Nginx 事件处理模型
（3）开启高效传输模式
（4）链接超时时间
（5）fastcgi调优
（6）expires 缓存调优
（7）防盗链
（8）内核参数优化css

1、安装nginx服务器

获取Nginx软件包html

[root@localhost ~]# yum -y install pcre-devel zlib-devel openssl-devel         //安装nginx依赖
[root@localhost ~]# useradd -s /sbin/nologin -M nginx          //建立nginx用户
[root@localhost ~]# tar zxf nginx-1.14.0.tar.gz -C /usr/src
[root@localhost ~]# cd /usr/src/nginx-1.14.0/
[root@localhost nginx-1.14.0]# ./configure --prefix=/usr/local/nginx --user=nginx \
 --group=nginx --with-http_dav_module --with-http_stub_status_module \
 --with-http_addition_module --with-http_sub_module --with-http_flv_module \
 --with-http_mp4_module --with-pcre --with-http_ssl_module \
 --with-http_gzip_static_module  && make && make install
//对nginx进行编译安装，对源码包进行编译安装时，可使用./configure --help 来获取配置选项详细介绍

配置选项解释：node

--with-http_dav_module：增长 PUT,DELETE,MKCOL：建立集合，COPY 和 MOVE 方法；

--with-http_stub_status_module：获取 Nginx 的状态统计信息；

--with-http_addition_module：做为一个输出过滤器，支持不彻底缓冲，分部分相应请求；

--with-http_sub_module：容许一些其余文本替换 Nginx 相应中的一些文本；

--with-http_flv_module：提供支持 flv 视频文件支持；

--with-http_mp4_module：提供支持 mp4 视频文件支持，提供伪流媒体服务端支持；

--with-http_ssl_module：启用 ngx_http_ssl_module；

[root@localhost ~]# ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin        //建立符号连接
[root@localhost ~]# nginx -t           //检查Nginx配置文件语法
[root@localhost ~]# nginx             //启动Nginx

对于nginx命令经常使用的几个选项：mysql

-v：显示版本信息；

-V：显示版本信息及配置选项参数；

-t：测试配置文件是否有语法错误；

-T：测试配置文件并将配置文件显示出来；

-q：在配置期间抑制非错误信息；

-s （stop, quit, reopen, reload ）：向主进程发送信号:中止、退出、从新打开、从新加载；

-c：设置配置文件；

-g：从配置文件中设置全局指令；

2、Nginx配置优化

[root@localhost ~]# ps -ef | grep nginx          //列出Nginx程序所产生的进程
root     120790      1  0 22:49 ?        00:00:00 nginx: master process nginx
nginx    120791 120790  0 22:49 ?        00:00:00 nginx: worker process
root     120873   1928  0 22:57 pts/0    00:00:00 grep --color=auto nginx
//第三条能够忽略，它是由于grep命令所产生的

从显示信息中能够看出，work进程是Nginx程序用户，但master进程是root。其中，master是监控进程，也称为Nginx的主进程；work进程是工做进程，部分状况还会出现cache相关进程。nginx

关系图以下：

从图中也能够看出master是管理员，work进程才是为用户提供服务的！web

（1）Nginx 运行工做进程个数

建议：通常设置 CPU 的核心或者核心数 x2 。sql

[root@localhost ~]# cat /proc/cpuinfo | grep processor | wc -l
1
//经过这条命令能够查看到当前服务器的cpu是一个
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf           //编辑Nginx配置文件
worker_processes  2;       //工做进程数，建议是CPU数或者是CPU个数的两倍，最大能够开启8个
worker_cpu_affinity 01 10;     //运行CPU亲和力
worker_rlimit_nofile 65535;             //最多打开的文件个数
[root@localhost ~]# ulimit -n
1024
//能够看出系统默认限制打文件的个数是1024
文件个数除了nginx配置文件进行限制意外，还需修改文件资源限制文件，以下：
[root@localhost ~]# vim /etc/security/limits.conf 
       ………………                           //省略部份内容
#<domain>      <type>  <item>         <value>
*               soft    nofile          65535                 //添加软限制打开文件的个数
*               hard    nofile          65535               //添加新限制打开文件的个数
*               soft      noproc       65535               //添加软链接能够打开的进程个数
*               hard     noproc       65535              //添加硬限制能够打开的进程个数
[root@localhost ~]# su -                                  //切换用户便可生效
上一次登陆：三 12月  4 22:29:45 CST 2019从 192.168.1.253pts/0 上
[root@localhost ~]# ulimit -n
65535
//能够看出文件个数已经变成了65535，证实修改的文件已经生效
[root@localhost ~]# nginx -s reload                 //从新加载nginx服务配置文件
[root@localhost ~]# ps -ef | grep nginx
root     120790      1  0 22:49 ?        00:00:00 nginx: master process nginx
nginx    121276 120790  0 23:21 ?        00:00:00 nginx: worker process
nginx    121277 120790  0 23:21 ?        00:00:00 nginx: worker process
root     121279 121226  0 23:22 pts/0    00:00:00 grep --color=auto nginx
//因为worker_processes设置为2，能够看出当前已经产生了两个work进程

（2）Nginx 事件处理模型

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部份内容
events {
    use epoll;                         
    worker_connections  65535;          
    multi_accept on;                           
}

配置项解释：数据库

use epol ：使Nginx采用epoll事件模型；

work_connections ：是单个 worker 进程容许客户端最大链接数，这个数值通常根据服务器性能和内存来制定，实际最大值就是 worker 进程数乘以 work_connections 实际咱们填入一个 65535，足够了，这些都算并发值，一个网站的并发达到这么大的数量，也算一个大站了；

multi_accept ：告诉 nginx 收到一个新链接通知后接受尽量多的链接

（3）开启高效传输模式

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部份内容
http {
    include       mime.types;
    default_type  application/octet-stream;

    sendfile        on;
    tcp_nopush     on;

配置项解释：vim

Include mime.types：媒体类型, include 只是一个在当前文件中包含另外一个文件内容的指令；

default_type application/octet-stream：默认媒体类型足够；

sendfile on：开启高效文件传输模式，sendfile 指令指定 nginx 是否调用 sendfile 函数来输出文件，对于普通应用设为 on，若是用来进行下载等应用磁盘 IO 重负载应用，可设置为 off，以平衡磁盘与网络 I/O 处理速度，下降系统的负载。
注意：若是图片显示不正常把这个改为 off。

tcp_nopush on；必须在 sendfile 开启模式才有效，防止网路阻塞，积极的减小网络报文段的数量（告诉 nginx 在一个数据包里发送全部头文件，而不一个接一个的发送。

（4）链接超时时间

主要目的就是保护服务器资源、CPU、内存、控制链接数，由于创建链接也是须要消耗资源的。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部份内容
http {

        keepalive_timeout 60;
        tcp_nodelay on;
        client_header_buffer_size 4k;
        open_file_cache max=102400 inactive=20s;
        open_file_cache_valid 30s;
        open_file_cache_min_uses 1;
        client_header_timeout 15;
        client_body_timeout 15;
        reset_timedout_connection on;
        send_timeout 15;
        server_tokens off;
        client_max_body_size 10m;

配置项解释：

keepalived_timeout：客户端链接保持会话超时时间，超过这个时间，服务器断开这个连接；
tcp_nodelay；也是防止网络阻塞，不过要包涵在 keepalived 参数才有效；
client_header_buffer_size 4k：客户端请求头部的缓冲区大小，这个能够根据你的系统分页大小来设置，通常一个请求头的大小不会超过 1k，不过因为通常系统分页都要大于 1k，因此这里设置为分页大小。分页大小能够用命令 getconf PAGESIZE 取得；
open_file_cache max=102400 inactive=20s：这个将为打开文件指定缓存，默认是没有启用的，max 指定缓存数量，建议和打开文件数一致，inactive 是指通过多长时间文件没被请求后删除缓存；
open_file_cache_valid 30s：这个是指多长时间检查一次缓存的有效信息；
open_file_cache_min_uses 1：open_file_cache 指令中的 inactive 参数时间内文件的最少使用次数，若是超过这个数字，文件描述符一直是在缓存中打开的，如上例，若是有一个文件在 inactive 时间内一次没被使用，它将被移除；
client_header_timeout：设置请求头的超时时间。咱们也能够把这个设置低些，若是超过这个时间没有发送任何数据，nginx 将返回 request time out 的错误；
client_body_timeout：设置请求体的超时时间。咱们也能够把这个设置低些，超过这个时间没有发送任何数据，和上面同样的错误提示；
reset_timeout_connection 告诉 nginx 关闭不响应的客户端链接。这将会释放那个客户端所占有的内存空间；
send_timeout 响应客户端超时时间，这个超时时间仅限于两个活动之间的时间，若是超过这个时间，客户端没有任何活动，nginx 关闭链接；
server_tokens 并不会让 nginx 执行的速度更快，但它能够关闭在错误页面中的 nginx 版本数字，这样对于安全性是有好处的；
client_max_body_size 上传文件大小限制；

（5）fastcgi调优

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部份内容
http {

        fastcgi_connect_timeout 600;
        fastcgi_send_timeout 600;
        fastcgi_read_timeout 600;
        fastcgi_buffer_size 64k;
        fastcgi_buffers 4 64k;
        fastcgi_busy_buffers_size 128k;
        fastcgi_temp_file_write_size 128k;
        fastcgi_temp_path /usr/local/nginx/nginx_tmp;
        fastcgi_intercept_errors on;
        fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2 keys_zone=cache_fastcgi:128m
        inactive=1d max_size=10g;

配置项解释：

Cache：写入缓存区；

Buffer：读取缓存区；

fastcgi_connect_timeout 600：指定链接到后端 FastCGI 的超时时间；

fastcgi_send_timeout 600：向 FastCGI 传送请求的超时时间；

fastcgi_read_timeout 600：指定接收 FastCGI 应答的超时时间；

fastcgi_buffer_size 64k：指定读取 FastCGI 应答第一部分须要用多大的缓冲区，默认的缓冲区大小为 fastcgi_buffers 指令中的每块大小，能够将这个值设置更小；

fastcgi_buffers 4 64k：指定本地须要用多少和多大的缓冲区来缓冲 FastCGI 的应答请求，若是一个 php 脚本所产生的页面大小为 256KB，那么会分配 4 个 64KB 的缓冲区来缓存，若是页面大小大于 256KB，那么大于 256KB 的部分会缓存到fastcgi_temp_path 指定的路径中，可是这并非好方法，由于内存中的数据处理速度要快于磁盘。通常这个值应该为站点中 php 脚本所产生的页面大小的中间值，若是站点大部分脚本所产生的页面大小为 256KB，那么可以把这个值设置为“8 32K”、“4 64k”等；

fastcgi_busy_buffers_size 128k：建议设置为 fastcgi_buffers 的两倍，繁忙时候的 buffer；

fastcgi_temp_file_write_size 128k：在写入 fastcgi_temp_path 时将用多大的数据块，默认值是 fastcgi_buffers 的两倍，该数值设置小时若负载上来时可能报 502 Bad Gateway；

fastcgi_temp_path /usr/local/nginx1.10/nginx_tmp：缓存临时目录；

fastcgi_intercept_errors on：这个指令指定是否传递 4xx 和 5xx 错误信息到客户端，或者容许 nginx 使用 error_page 处理错误信息；

fastcgi_cache_path /usr/local/nginx1.10/fastcgi_cache levels=1:2
keys_zone=cache_fastcgi:128m inactive=1d max_size=10g：fastcgi_cache 缓存目录，能够设置目录层级，好比 1:2 会生成 16*256 个子目录，cache_fastcgi 是这个缓存空间的名字，cache 是用多少内存（这样热门的内容 nginx 直接放内存，提升访问速度），inactive 表示默认失效时间，若是缓存数据在失效时间内没有被访问,将被删除，max_size 表示最多用多少硬盘空间；

fastcgi_cache cache_fastcgi：表示开启 FastCGI 缓存并为其指定一个名称。开启缓存很是有用，能够有效下降 CPU 的负载，而且防止 502 的错误放生。cache_fastcgi 为 proxy_cache_path 指令建立的缓存区名称；

fastcgi_cache_valid 200 302 1h：用来指定应答代码的缓存时间，实例中的值表示将 200 和 302 应答缓存一小时，要和 fastcgi_cache 配合使用；

fastcgi_cache_valid 301 1d：将 301 应答缓存一天；

fastcgi_cache_valid any 1m：将其余应答缓存为 1 分钟；

fastcgi_cache_min_uses 1：该指令用于设置通过多少次请求的相同 URL 将被缓存；

fastcgi_cache_key http://$host$request_uri ：该指令用来设置web缓存的Key值,nginx根据Key 值 md5 哈希存储.通常根据$host(域名)、$request_uri(请求的路径)等变量组合成 proxy_cache_key；

fastcgi_pass：指定 FastCGI 服务器监听端口与地址，能够是本机或者其它；

总结：

nginx 的缓存功能有：proxy_cache / fastcgi_cache ；
proxy_cache 的做用是缓存后端服务器的内容，多是任何内容，包括静态的和动态；
fastcgi_cache 的做用是缓存 fastcgi 生成的内容，不少状况是 php 生成的动态的内容；
proxy_cache 缓存减小了 nginx 与后端通讯的次数，节省了传输时间和后端宽带；
fastcgi_cache缓存减小了nginx与php的通讯的次数，更减轻了php和数据库(mysql)的压力；

（6）expires 缓存调优

缓存，主要针对于图片，css，js 等元素更改机会比较少的状况下使用，特别是图片，占用带宽大，咱们彻底能够设置图片在浏览器本地缓存 365d，css，js，html 能够缓存个 10 来天，这样用户第一次打开加载慢一点，第二次，就很是快了！缓存的时候，咱们须要将须要缓存的拓展名列出来。

Expires 缓存配置在 server 字段里面。以下：
location ~ .(ico|jpe?g|gif|png|bmp|swf|flv)$ {
expires 30d; //缓存时间为30天
#log_not_found off; //是否在 error_log 中记录不存在的错误
access_log off; //不记录日志
}
location ~ .(js|css)$ {
expires 7d;
log_not_found off;
access_log off;
}

expire 功能优势：

expires 能够下降网站购买的带宽，节约成本，同时提高用户访问体验；
减轻服务的压力，节约服务器成本，是 web 服务很是重要的功能。 expire 功能
缺点：被缓存的页面或数据更新了，用户看到的可能仍是旧的内容，反而影响用户体验。解决办法：第一个缩短缓存时间，例如：1 天，但不完全，除非更新频率大于 1 天；第二个对缓存的对象更名。

网站不但愿被缓存的内容
1）网站流量统计工具；
2）更新频繁的文件（google 的 logo）；

（7）防盗链

其实Nginx的防盗链与Apache的防盗链原理是如出一辙，只是配置文件略微有点不一样而已。

location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {     
        valid_referers none blocked  www.benet.com benet.com;     
        if ($invalid_referer) {        
                    #return 302  http://www.benet.com/img/nolink.jpg;        //要么定义到另外一个网站，返回状态码为302
                    return 404;                      //要么访问状态码404
                    break;                                
                        }      
                            access_log off;  
                    }

很简单的，这里就不进行配置验证了，对防盗链不了解的朋友能够参考深度优化Apache其中对Apache的优化有详细的介绍！

（8）内核参数优化

将所需的参数编写在/etc/sysctl.conf 文件中，使其生效便可！

经常使用的参数有：

fs.file-max = 999999：这个参数表示进程（好比一个 worker 进程）能够同时打开的最大句柄数，这个参数直线限制最大并发链接数，需根据实际状况配置；

net.ipv4.tcp_max_tw_buckets = 6000：这个参数表示操做系统容许 TIME_WAIT 套接字数量的最大值，若是超过这个数字，TIME_WAIT 套接字将马上被清除并打印警告信息。该参数默认为 180000，过多的 TIME_WAIT 套接字会使 Web 服务器变慢；
注意：主动关闭链接的服务端会产生 TIME_WAIT 状态的链接；

net.ipv4.ip_local_port_range = 1024 65000：容许系统打开的端口范围；

net.ipv4.tcp_tw_recycle = 1：启用 timewait 快速回收；

net.ipv4.tcp_tw_reuse = 1：开启重用。容许将 TIME-WAIT sockets 从新用于新的 TCP 链接。这对于服务器来讲颇有意义，由于服务器上总会有大量 TIME-WAIT 状态的链接；

net.ipv4.tcp_keepalive_time = 30：这个参数表示当 keepalive 启用时，TCP 发送 keepalive 消息的频度。默认是 2 小时，若将其设置的小一些，能够更快地清理无效的链接；

net.ipv4.tcp_syncookies = 1：开启 SYN Cookies，当出现 SYN 等待队列溢出时，启用 cookies 来处理；

net.core.somaxconn = 40960：web 应用中 listen 函数的 backlog 默认会给咱们内核参数的net.core.somaxconn 限制到 128，而 nginx 定义的 NGX_LISTEN_BACKLOG 默认为 511，因此有必要调整这个值；
注意：对于一个 TCP 链接，Server 与 Client 须要经过三次握手来创建网络链接.当三次握手成功后,咱们能够看到端口的状态由 LISTEN 转变为 ESTABLISHED,接着这条链路上就能够开始传送数据了.每个处于监听(Listen)状态的端口,都有本身的监听队列.监听队列的长度与如somaxconn 参数和使用该端口的程序中 listen()函数有关；
somaxconn 参数：定义了系统中每个端口最大的监听队列的长度,这是个全局的参数,默认值为 128，对于一个常常处理新链接的高负载 web 服务环境来讲，默认的 128 过小了。大多数环境这个值建议增长到 1024 或者更多。大的侦听队列对防止拒绝服务也会有所帮助；

net.core.netdev_max_backlog = 262144：每一个网络接口接收数据包的速率比内核处理这些包的速率快时，容许送到队列的数据包的最大数目；

net.ipv4.tcp_max_syn_backlog = 262144：这个参数标示 TCP 三次握手创建阶段接受 SYN 请求队列的最大长度，默认为 1024，将其设置得大一些可使出现 Nginx 繁忙来不及 accept 新链接的状况时，Linux 不至于丢失客户端发起的链接请求；

net.ipv4.tcp_rmem = 10240 87380 12582912：这个参数定义了 TCP 接受缓存（用于 TCP 接受滑动窗口）的最小值、默认值、最大值；

net.ipv4.tcp_wmem = 10240 87380 12582912：这个参数定义了 TCP 发送缓存（用于 TCP 发送滑动窗口）的最小值、默认值、最大值；

net.core.rmem_default = 6291456：这个参数表示内核套接字接受缓存区默认的大小；

net.core.wmem_default = 6291456：这个参数表示内核套接字发送缓存区默认的大小；

net.core.rmem_max = 12582912：这个参数表示内核套接字接受缓存区的最大大小；

net.core.wmem_max = 12582912：这个参数表示内核套接字发送缓存区的最大大小；

net.ipv4.tcp_syncookies = 1：该参数与性能无关，用于解决 TCP 的 SYN非法操做；

———————— 本文至此结束，感谢阅读 ————————