Nginx服务优化及优化深刻(配置网页缓存时间、日志切割、防盗链等等)
原文:https://blog.51cto.com/11134648/2134389javascript
默认的Nginx安装参数只能提供最基本的服务,还须要调整如网页缓存时间、链接超时、网页压缩等相应参数,才能发挥出服务器的最大做用。
下面实验用到的抓包工具存放在百度网盘,密码:0fl5
Ngnix服务的安装详细介绍请参考 部署Nginx网站服务实现访问状态统计以及访问控制功能css
-
1、Nginx服务优化
能够从隐藏版本号、更改用户与组、配置网页缓存时间、日志切割、设置链接超时这几个方面进行优化。html
1.隐藏版本号
在生产环境中须要隐藏Nginx的版本号,以免泄露Nginx的版本,使×××者不能针对特定版本进行×××。查看Nginx的版本在CentOS中使用命令curl -I http://172.16.10.10/便可。前端
[root@localhost ~]# curl -I http://172.16.10.10/ HTTP/1.1 200 OK Server: nginx/1.12.0 #Nginx版本信息 Date: Fri, 29 Jun 2018 08:52:27 GMT Content-Type: text/html Content-Length: 483 Last-Modified: Fri, 29 Jun 2018 06:56:20 GMT Connection: keep-alive ETag: "5b35d814-1e3" Accept-Ranges: bytes
隐藏版本号有两种方式,一种是修改Nginx的源码文件,指定不显示版本号,第二种是修改Nginx的主配置文件。java
(1)修改主配置文件的方式以下:
将Nginx的配置文件中的server_tokens选项值设置为off,如没有该配置项,加上便可。nginx
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf ........... #省略内容 http { include mime.types; default_type application/octet-stream; server_tokens off; #关闭版本号 ............ #省略内容
[root@localhost ~]# nginx -t #测试配置文件 nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
再次访问网址,只显示Nginx,版本号已经隐藏。正则表达式
[root@localhost ~]# service nginx restart #从新启动nginx服务 [root@localhost ~]# curl -I http://172.16.10.10/ HTTP/1.1 200 OK Server: nginx #nginx隐藏了版本号 Date: Fri, 29 Jun 2018 09:09:36 GMT Content-Type: text/html Content-Length: 483 Last-Modified: Fri, 29 Jun 2018 06:56:20 GMT Connection: keep-alive ETag: "5b35d814-1e3" Accept-Ranges: bytes
(2)Nginx的源码文件包含了版本信息,能够随意设置,而后从新编译安装,就会隐藏版本信息。
[root@localhost ~]# vim /opt/nginx-1.12.0/src/core/nginx.h #编辑源码文件
#define NGINX_VERSION "1.1.1" #修改版本号 #define NGINX_VER "IIS" NGINX_VERSION #修改服务器类型
从新编译安装shell
[root@localhost ~]# cd /opt/nginx-1.12.0/ [root@localhost nginx-1.12.0]#./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_stub_status_module && make && make install
再次访问网址,只显示修改以后的版本信息。vim
[root@localhost nginx-1.12.0]# service nginx restart #重启nginx服务 [root@localhost nginx-1.12.0]# curl -I http://172.16.10.10/HTTP/1.1 200 OK Server: IIS1.1.1 #nginx的版本信息 Date: Fri, 29 Jun 2018 09:30:09 GMT Content-Type: text/html Content-Length: 483 Last-Modified: Fri, 29 Jun 2018 06:56:20 GMT Connection: keep-alive ETag: "5b35d814-1e3" Accept-Ranges: bytes
2.修改用户和组
Nginx运行时进程须要有用户与组的支持,用以实现对网站文件读取时进行访问控制。主进程由root建立,子进程由指定的用户与组建立。Nginx默认使用nobody用户帐号与组帐号,通常要修改。浏览器
(1)编译Nginx时指定用户与组,就是配置nginx时,在./configure后面指定用户与组的参数。
[root@localhost ~]# cd /opt/nginx-1.12.0/ [root@localhost nginx-1.12.0]#./configure --prefix=/usr/local/nginx --user=nginx #指定用户名是nginx --group=nginx #指定组名是nginx --with- && make && make install
(2)修改Nginx配置文件nginx.conf指定用户与组。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf user nginx nginx; #修改用户为nginx,组为nginx
重启nginx查看进程运行状况,主进程由root帐户建立,子进程由nginx建立。
[root@localhost ~]# ps aux | grep nginx root 14923 0.0 0.0 20540 624 ? Ss 17:30 0:00 nginx: master process /usr/local/nginx/sbin/nginx #主进程由root建立 nginx 14925 0.0 0.1 22984 1412 ? S 17:30 0:00 nginx: worker process #子进程由nginx建立 root 19344 0.0 0.0 112720 984 pts/0 R+ 17:47 0:00 grep --color=auto nginx
3.配置网页缓存时间
当Nginx将网页数据返回给客户端后,可设置缓存时间,方便往后进行相同内容请求是直接返回,避免重复请求,加快访问速度,通常只针对静态资源进行设置,对动态网页不用设置缓存时间。
操做步骤以下所示:
(1)以图片做为缓存对象,将game.jpg放到Nginx的网站目录下。
[root@localhost ~]# cd /usr/local/nginx/html/ #Nginx的网站目录 [root@localhost html]# ls 50x.html error.png game.jpg index.html test.html
(2)访问http://172.16.10.10/game.jpg, 再用Fidder工具抓包,查看响应报文,没有图片的缓存信息。
(3)修改配置文件,在新的location段加入expire参数,指定缓存时间,1d表示一天。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf location ~\.(gif|jpg|jepg|png|bmp|ico)$ { #加入新的location root html; expires 1d; #指定缓存时间 }
(4)重启nginx服务,访问网址抓包,响应报文中含有Expire参数,表示缓存的时间。
[root@localhost ~]# service nginx restart
4.日志切割
随着Nginx的运行时间的增长,产生的日志也会增长。太大的日志文件很是不便于分析和排查,所以须要按期的进行日志文件的切割。Nginx没有相似Apache的cronlog日志分割处理功能,但能够经过Nginx的信号控制功能脚原本实现日志的自动切割,并将脚本加入到Linux的计划任务中,让脚本在天天的固定时间执行。
(1)首先编写脚本/opt/fenge.sh,把Nginx的日志文件/usr/local/nginx/logs/access.log移动到目录/var/log/nginx下面,以当前时间做为日志文件的名称,而后用kill-USR1建立新的日志文件/usr/local/nginx/logs/access.log,最后删除前30天的日志文件。
[root@localhost ~]# vim /opt/fenge.sh #!/bin/bash #Filename:fenge.sh d=$(date -d "-1 day" "+%Y%m%d") #显示一天前的时间 logs_path="/var/log/nginx" pid_path="/usr/local/nginx/logs/nginx.pid" [ -d $logs_path ] || mkdir -p $logs_path #建立日志文件目录 mv /usr/local/nginx/logs/access.log #移动并重命名日志文件 ${logs_path}/test.com-access.log-$d kill -USR1 $(cat $pid_path) #重建新的日志文件 find $logs_path -mtime +30 | xargs rm -rf #删除30天以前的日志文件
(2)执行/opt/fenge.sh,测试日志文件是否被切割。
[root@localhost ~]# chmod +x /opt/fenge.sh [root@localhost ~]# ./fenge.sh #执行分割脚本 [root@localhost ~]# ls /var/log/nginx/ test.com-access.log-20180628
(3)设置crontab任务,按期执行脚本自动进行日志分割。
[root@localhost ~]# crontab -e 0 1 * * * /opt/fenge.sh #天天的凌晨1点执行/opt/fenge.sh脚本
5.设置链接超时
在企业网站中,为了不同一个客户长时间占用链接,形成资源浪费,能够设置相应的链接超时参数,实现对链接访问的时间的控制。
(1)修改配置文件nginx.conf,设置keepalive_timeout超时时间。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf ... #省略内容 http { ... keepalive_timeout 65 180; #设置超时是180秒 client_header_timeout 80; #指定请求头的超时时间 client_body_timeout 80; #指定请求体超时时间 ... #省略内容 }
keepalive_timeout 第一个参数指定了与客户端的keep-alive链接超时时间,服务器将会在这个时间后关闭链接;第二个参数指定了响应头Keep-Alive:timeout=time中的time值。这个头能让浏览器主动关闭链接,这样服务器就没必要去关闭链接。
(2)重启nginx服务,访问网址,用Fidder工具抓包。
-
2、Nginx优化深刻
能够从更改进程数、配置网页压缩、配置防盗链这几个方面进行深刻优化。
1.更改进程数
在高并发环境中,须要启动更多的nginx进程以保证快速响应,用以处理用户的请求,避免形成阻塞。使用ps aux命令查看Nginx运行的进程的个数。
[root@localhost ~]# ps aux | grep nginx root 14923 0.0 0.0 20540 624 ? Ss 17:30 0:00 nginx: master process /usr/local/nginx/sbin/nginx nginx 14925 0.0 0.1 22984 1412 ? S 17:30 0:00 nginx: worker process root 19344 0.0 0.0 112720 984 pts/0 R+ 17:47 0:00 grep --color=auto nginx
其中master process是主进程,开启了一个,worker process是子进程,也是开启了一个。
(1)修改nginx的文件中的worker_process参数,通常设为CPU的个数或核数,在高并发的状况下,可设置为CPU的个数或者核数的2倍,能够先查看CPU的核数以肯定参数。
[root@localhost ~]# cat /proc/cpuinfo | grep -c "physical" 2
参数设置为2,和CPU核数相同,运行进程数设置多一些,响应客户端请求时,Nginx就不会临时启动新的进程提供服务,减小了系统的开销,提高了服务的速度。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf worker_proces 2;
(2)修改完后,重启服务,查看运行进程数的变化。
[root@localhost ~]# service nginx restart [root@localhost ~]# ps aux | grep nginx root 21453 0.0 0.0 20540 636 ? Ss 20:11 0:00 nginx: master process /usr/local/nginx/sbin/nginx nginx 21457 0.0 0.1 23000 1424 ? S 20:11 0:00 nginx: worker process nginx 21458 0.0 0.1 23000 1424 ? S 20:11 0:00 nginx: worker process root 21472 0.0 0.0 112720 984 pts/0 S+ 20:11 0:00 grep --color=auto nginx
开启了一个主进程和2个子进程,可见参数设置起了做用。
2.配置网页压缩
Nginx的ngx_http_gzip_module压缩模块提供了对文件内容压缩的功能,以节约网站的带宽,提高用户的访问体验,默认nginx已经安装该模块,只须要在配置文件加入相应的压缩功能参数对压缩性能进行优化。
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf gzip on; #开启gzip压缩输出 gzip_buffers 4 64k; #表示申请4个单位为64kB的内存做为压缩结果流缓存 gzip_http_version 1.1; #用于设置http协议版本,默认是1.1 gzip_comp_level 2; #指定gzip压缩比,压缩比最小,处理速度最快 gzip_min_length 1k; #设置容许压缩的页面最小字节数 gzip_vary on; #让前端的缓存服务器缓存通过gzip压缩的页面 gzip_types text/plain text/javascript application/x-javascript text/css text/xml application/xml application/xml+rss text/jpg text/png; #压缩类型
重启服务,以大小超过1KB的html文件做为nginx网站内容,而后访问网址抓取数据报文,显示使用gzip进行了压缩。
3.配置防盗链
在企业网站服务中,通常都要配置防盗链功能,以免网站内容被非法盗用,形成经济损失,也避免没必要要的带宽浪费。
(1)先实现盗链
须要准备两台主机模拟盗链,一台主机做为客户端访问盗链网站。
| IP地址 | 域名 | 用途 | 系统 |
|---|---|---|---|
| 172.16.10.10 | www.benet.com | 源主机 | CentOS7 |
| 172.16.10.20 | www.bt.com | 盗链主机 | CentOS7 |
| 172.16.10.8 | -------------- | 客户机 | Windows7 |
1)修改客户机的C:\Windows\System32\drivers\etc\hosts文件,设置域名和IP映射关系。
172.16.10.10 www.benet.com 172.16.10.20 www.bt.com
2)修改源主机和盗链主机的hosts文件,设置域名和IP映射关系。
[root@localhost ~]# vim /etc/hosts 172.16.10.10 www.benet.com 172.16.10.20 www.bt.com
3)把图片game.jpg放到源主机benet.com的站点目录下。
[root@localhost ~]# cd /usr/local/nginx/html/ [root@localhost html]# ls 50x.html game.jpg index.html
4)在盗链主机bt.com的站点目录下编写盗链页面test.html,盗取源主机benet.com的图片。
[root@localhost ~]# cd /usr/local/nginx/html/
[root@localhost html]# vim test.html
<html> <h1>Server 172.16.10.20</h1> <body> <img src="http://www.benet.com/game.jpg"/> </body> </html>
5)访问盗链网页http://www.bt.com/test.html, 查看是否盗链成功。
在图片上点击右键选择属性,能够看到网址是http://www.benet.com/game.jpg。
(2)配置Nginx防盗链
Nginx的防盗原理是加入location项,用正则表达式过滤图片类型文件,对于信任的网址能够正常使用,对于不信任的网址则返回相应的错误图片。在源主机benet.com的配置文件加入如下代码:
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf location ~*\.(jpg|gif|swf)$ { valid_referers none blocked *.benet.com benet.com; if ( $invalid_referer ) { rewrite ^/ http://www.benet.com/error.png; } }
- ~*.(jpg|gif|swf)$: 匹配不区分大小写,以.jpg 或.gif或 .swf结尾的文件。
- valid_referers:设置信任的网站,能够正常使用图片。
- none:浏览器中refer为空的状况,就是直接在浏览器访问图片。
- blocked:浏览器中refer不为空的状况,可是值被代理或防火墙删除了,这些值不以http://或 https://开头。
- 后面的网址或域名:refer包含相关字符串的网址。
- if语句:若是连接的来源域名不在valid_referers所列出的列表中, $invalid_referer 为1,则执行后面的操做,即进行重写或返回403页面。
1)把图片error.png放到源主机benet.com的站点目录下。
[root@localhost ~]# cd /usr/local/nginx/html/ [root@localhost html]# ls 50x.html error.png game.jpg index.html test.html2)这时重启服务器,从新访问http://www.test.com/test.html, 显示的是被重写的图片,说明防盗链成功。
须要注意的是若是在配置文件中加入了新的location项去配置网页缓存时间,那么防盗链加入的location项应置于其以前,才能防盗链成功。
相关文章
- 1. nginx优化设置(版本隐藏,超时时间,进程管理,压缩,防盗链,缓存,日志切割)
- 2. Apache网页优化 ---配置防盗链
- 3. Nginx服务优化与防盗链
- 4. Nginx的配置,优化与防盗链
- 5. Nginx服务优化(七)网页压缩与防盗链
- 6. Nginx安装配置防盗链及深度优化
- 7. Nginx优化与防盗链
- 8. nginx优化-防盗链
- 9. Nginx优化——防盗链
- 10. nginx优化与防盗链
- 更多相关文章...
- • SEO - 搜索引擎优化 - 网站建设指南
- • SQLite 日期 & 时间 - SQLite教程
- • 算法总结-深度优先算法
- • IntelliJ IDEA 代码格式化配置和快捷键
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章