Nginx深度優(yōu)化（二）

Nginx作為現(xiàn)在最流行的Web應用程序，對其優(yōu)化十分重要。通過Nginx初步優(yōu)化、深度優(yōu)化Nginx（一）已經(jīng)可以對Nginx進行大量的優(yōu)化來滿足基本的需要，但是作為一名合格的運維工程師來說，僅僅掌握以上對Nginx進行優(yōu)化的方法顯然是遠遠不足的。所以就需要本篇博文進一步對Nginx進行優(yōu)化。

博文大綱：
一、安裝nginx服務器
二、Nginx配置優(yōu)化
（1）Nginx 運行工作進程個數(shù)
（2）Nginx 事件處理模型
（3）開啟高效傳輸模式
（4）連接超時時間
（5）fastcgi調(diào)優(yōu)
（6）expires 緩存調(diào)優(yōu)
（7）防盜鏈
（8）內(nèi)核參數(shù)優(yōu)化

一、安裝nginx服務器

獲取Nginx軟件包

[root@localhost ~]# yum -y install pcre-devel zlib-devel openssl-devel         //安裝nginx依賴
[root@localhost ~]# useradd -s /sbin/nologin -M nginx          //創(chuàng)建nginx用戶
[root@localhost ~]# tar zxf nginx-1.14.0.tar.gz -C /usr/src
[root@localhost ~]# cd /usr/src/nginx-1.14.0/
[root@localhost nginx-1.14.0]# ./configure --prefix=/usr/local/nginx --user=nginx \
 --group=nginx --with-http_dav_module --with-http_stub_status_module \
 --with-http_addition_module --with-http_sub_module --with-http_flv_module \
 --with-http_mp4_module --with-pcre --with-http_ssl_module \
 --with-http_gzip_static_module  && make && make install
//對nginx進行編譯安裝，對源碼包進行編譯安裝時，可以使用./configure --help 來獲取配置選項詳細介紹

配置選項解釋：

• --with-http_dav_module：增加 PUT,DELETE,MKCOL：創(chuàng)建集合，COPY 和 MOVE 方法；
• --with-http_stub_status_module：獲取 Nginx 的狀態(tài)統(tǒng)計信息；
• --with-http_addition_module：作為一個輸出過濾器，支持不完全緩沖，分部分相應請求；
• --with-http_sub_module：允許一些其他文本替換 Nginx 相應中的一些文本；
• --with-http_flv_module：提供支持 flv 視頻文件支持；
• --with-http_mp4_module：提供支持 mp4 視頻文件支持，提供偽流媒體服務端支持；
• --with-http_ssl_module：啟用 ngx_http_ssl_module；

[root@localhost ~]# ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin        //創(chuàng)建符號鏈接
[root@localhost ~]# nginx -t           //檢查Nginx配置文件語法
[root@localhost ~]# nginx             //啟動Nginx

對于nginx命令常用的幾個選項：

• -v：顯示版本信息；
• -V：顯示版本信息及配置選項參數(shù)；
• -t：測試配置文件是否有語法錯誤；
• -T：測試配置文件并將配置文件顯示出來；
• -q：在配置期間抑制非錯誤信息；
• -s （stop, quit, reopen, reload ）：向主進程發(fā)送信號:停止、退出、重新打開、重新加載；
• -c：設置配置文件；
• -g：從配置文件中設置全局指令；

二、Nginx配置優(yōu)化

[root@localhost ~]# ps -ef | grep nginx          //列出Nginx程序所產(chǎn)生的進程
root     120790      1  0 22:49 ?        00:00:00 nginx: master process nginx
nginx    120791 120790  0 22:49 ?        00:00:00 nginx: worker process
root     120873   1928  0 22:57 pts/0    00:00:00 grep --color=auto nginx
//第三條可以忽略，它是因為grep命令所產(chǎn)生的

從顯示信息中可以看出，work進程是Nginx程序用戶，但master進程是root。其中，master是監(jiān)控進程，也稱為Nginx的主進程；work進程是工作進程，部分情況還會出現(xiàn)cache相關進程。

關系圖如下：

從圖中也可以看出master是管理員，work進程才是為用戶提供服務的！

（1）Nginx 運行工作進程個數(shù)

建議：一般設置 CPU 的核心或者核心數(shù) x2 。

[root@localhost ~]# cat /proc/cpuinfo | grep processor | wc -l
1
//通過這條命令可以查看到當前服務器的cpu是一個
[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf           //編輯Nginx配置文件
worker_processes  2;       //工作進程數(shù)，建議是CPU數(shù)或者是CPU個數(shù)的兩倍，最大可以開啟8個
worker_cpu_affinity 01 10;     //運行CPU親和力
worker_rlimit_nofile 65535;             //最多打開的文件個數(shù)
[root@localhost ~]# ulimit -n
1024
//可以看出系統(tǒng)默認限制打文件的個數(shù)是1024
文件個數(shù)除了nginx配置文件進行限制意外，還需修改文件資源限制文件，如下：
[root@localhost ~]# vim /etc/security/limits.conf 
       ………………                           //省略部分內(nèi)容
#<domain>      <type>  <item>         <value>
*               soft    nofile          65535                 //添加軟限制打開文件的個數(shù)
*               hard    nofile          65535               //添加新限制打開文件的個數(shù)
*               soft      noproc       65535               //添加軟連接可以打開的進程個數(shù)
*               hard     noproc       65535              //添加硬限制可以打開的進程個數(shù)
[root@localhost ~]# su -                                  //切換用戶即可生效
上一次登錄：三 12月  4 22:29:45 CST 2019從 192.168.1.253pts/0 上
[root@localhost ~]# ulimit -n
65535
//可以看出文件個數(shù)已經(jīng)變成了65535，證明修改的文件已經(jīng)生效
[root@localhost ~]# nginx -s reload                 //重新加載nginx服務配置文件
[root@localhost ~]# ps -ef | grep nginx
root     120790      1  0 22:49 ?        00:00:00 nginx: master process nginx
nginx    121276 120790  0 23:21 ?        00:00:00 nginx: worker process
nginx    121277 120790  0 23:21 ?        00:00:00 nginx: worker process
root     121279 121226  0 23:22 pts/0    00:00:00 grep --color=auto nginx
//由于worker_processes設置為2，可以看出當前已經(jīng)產(chǎn)生了兩個work進程

（2）Nginx 事件處理模型

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部分內(nèi)容
events {
    use epoll;                         
    worker_connections  65535;          
    multi_accept on;                           
}

配置項解釋：

• use epol ：使Nginx采用epoll事件模型；
• work_connections ：是單個 worker 進程允許客戶端最大連接數(shù)，這個數(shù)值一般根據(jù)服務器性 能和內(nèi)存來制定，實際最大值就是 worker 進程數(shù)乘以 work_connections 實際我們填入一個 65535，足夠了，這些都算并發(fā)值，一個網(wǎng)站的并發(fā)達到這么大的數(shù)量，也算一個大站了；
• multi_accept ：告訴 nginx 收到一個新連接通知后接受盡可能多的連接

（3）開啟高效傳輸模式

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部分內(nèi)容
http {
    include       mime.types;
    default_type  application/octet-stream;

    sendfile        on;
    tcp_nopush     on;

配置項解釋：

• Include mime.types：媒體類型, include 只是一個在當前文件中包含另一個文件內(nèi)容的指令 ；
• default_type application/octet-stream：默認媒體類型足夠；
• sendfile on：開啟高效文件傳輸模式，sendfile 指令指定 nginx 是否調(diào)用 sendfile 函數(shù)來 輸出文件，對于普通應用設為 on，如果用來進行下載等應用磁盤 IO 重負載應用，可設置為 off，以平衡磁盤與網(wǎng)絡 I/O 處理速度，降低系統(tǒng)的負載。
  注意：如果圖片顯示不正常把這個改成 off。
• tcp_nopush on； 必須在 sendfile 開啟模式才有效，防止網(wǎng)路阻塞，積極的減少網(wǎng)絡報文 段的數(shù)量（告訴 nginx 在一個數(shù)據(jù)包里發(fā)送所有頭文件，而不一個接一個的發(fā)送。

（4）連接超時時間

主要目的就是保護服務器資源、CPU、內(nèi)存、控制連接數(shù)，因為建立連接也是需要消耗資源的。

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部分內(nèi)容
http {

        keepalive_timeout 60;
        tcp_nodelay on;
        client_header_buffer_size 4k;
        open_file_cache max=102400 inactive=20s;
        open_file_cache_valid 30s;
        open_file_cache_min_uses 1;
        client_header_timeout 15;
        client_body_timeout 15;
        reset_timedout_connection on;
        send_timeout 15;
        server_tokens off;
        client_max_body_size 10m;

配置項解釋：

• keepalived_timeout：客戶端連接保持會話超時時間，超過這個時間，服務器斷開這個鏈接；
• tcp_nodelay；也是防止網(wǎng)絡阻塞，不過要包涵在 keepalived 參數(shù)才有效；
• client_header_buffer_size 4k：客戶端請求頭部的緩沖區(qū)大小，這個可以根據(jù)你的系統(tǒng)分頁大小來設置，一般一個請求頭的大小不會超過 1k，不過由于一般系統(tǒng)分頁都要大于 1k，所以這里設置為分頁大小。分頁大小可以用命令 getconf PAGESIZE 取得；
• open_file_cache max=102400 inactive=20s：這個將為打開文件指定緩存，默認是沒有啟用的，max 指定緩存數(shù)量，建議和打開文件數(shù)一致，inactive 是指經(jīng)過多長時間文件沒被請求后刪除緩存；
• open_file_cache_valid 30s：這個是指多長時間檢查一次緩存的有效信息；
• open_file_cache_min_uses 1：open_file_cache 指令中的 inactive 參數(shù)時間內(nèi)文件的最少使用次數(shù)，如果超過這個數(shù)字，文件描述符一直是在緩存中打開的，如上例，如果有一個文件在 inactive 時間內(nèi)一次沒被使用，它將被移除；
• client_header_timeout：設置請求頭的超時時間。我們也可以把這個設置低些，如果超過這個時間沒有發(fā)送任何數(shù)據(jù)，nginx 將返回 request time out 的錯誤；
• client_body_timeout：設置請求體的超時時間。我們也可以把這個設置低些，超過這個時間沒有發(fā)送任何數(shù)據(jù)，和上面一樣的錯誤提示；
• reset_timeout_connection 告訴 nginx 關閉不響應的客戶端連接。這將會釋放那個客戶端所占有的內(nèi)存空間；
• send_timeout 響應客戶端超時時間，這個超時時間僅限于兩個活動之間的時間，如果超過這個時間，客戶端沒有任何活動，nginx 關閉連接；
• server_tokens 并不會讓 nginx 執(zhí)行的速度更快，但它可以關閉在錯誤頁面中的 nginx 版本數(shù)字，這樣對于安全性是有好處的；
• client_max_body_size 上傳文件大小限制；

（5）fastcgi調(diào)優(yōu)

[root@localhost ~]# vim /usr/local/nginx/conf/nginx.conf
       ………………                           //省略部分內(nèi)容
http {

        fastcgi_connect_timeout 600;
        fastcgi_send_timeout 600;
        fastcgi_read_timeout 600;
        fastcgi_buffer_size 64k;
        fastcgi_buffers 4 64k;
        fastcgi_busy_buffers_size 128k;
        fastcgi_temp_file_write_size 128k;
        fastcgi_temp_path /usr/local/nginx/nginx_tmp;
        fastcgi_intercept_errors on;
        fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2 keys_zone=cache_fastcgi:128m
        inactive=1d max_size=10g;

配置項解釋：

• Cache： 寫入緩存區(qū)；
• Buffer： 讀取緩存區(qū)；
• fastcgi_connect_timeout 600：指定連接到后端 FastCGI 的超時時間；
• fastcgi_send_timeout 600：向 FastCGI 傳送請求的超時時間；
• fastcgi_read_timeout 600：指定接收 FastCGI 應答的超時時間；
• fastcgi_buffer_size 64k：指定讀取 FastCGI 應答第一部分需要用多大的緩沖區(qū)，默認的緩沖區(qū) 大小為 fastcgi_buffers 指令中的每塊大小，可以將這個值設置更??；
• fastcgi_buffers 4 64k：指定本地需要用多少和多大的緩沖區(qū)來緩沖 FastCGI 的應答請求，如果 一個 php 腳本所產(chǎn)生的頁面大小為 256KB，那么會分配 4 個 64KB 的緩沖區(qū)來緩存，如果頁 面大小大于 256KB，那么大于 256KB 的部分會緩存到fastcgi_temp_path 指定的路徑中，但是 這并不是好方法，因為內(nèi)存中的數(shù)據(jù)處理速度要快于磁盤。一般這個值應該為站點中 php 腳本所產(chǎn)生的頁面大小的中間值，如果站點大部分腳本所產(chǎn)生的頁面大小為 256KB，那么可 以把這個值設置為“8 32K”、“4 64k”等；
• fastcgi_busy_buffers_size 128k：建議設置為 fastcgi_buffers 的兩倍，繁忙時候的 buffer；
• fastcgi_temp_file_write_size 128k：在寫入 fastcgi_temp_path 時將用多大的數(shù)據(jù)塊，默認值是 fastcgi_buffers 的兩倍，該數(shù)值設置小時若負載上來時可能報 502 Bad Gateway；
• fastcgi_temp_path /usr/local/nginx1.10/nginx_tmp：緩存臨時目錄；
• fastcgi_intercept_errors on：這個指令指定是否傳遞 4xx 和 5xx 錯誤信息到客戶端，或者允許 nginx 使用 error_page 處理錯誤信息；
• fastcgi_cache_path /usr/local/nginx1.10/fastcgi_cache levels=1:2
  keys_zone=cache_fastcgi:128m inactive=1d max_size=10g：fastcgi_cache 緩存目錄，可以設置目錄層級，比如 1:2 會生成 16*256 個子目錄，cache_fastcgi 是這個緩存空間的名字，cache 是用多少內(nèi)存（這樣熱門的 內(nèi)容 nginx 直接放內(nèi)存，提高訪問速度），inactive 表示默認失效時間，如果緩存數(shù)據(jù)在失效 時間內(nèi)沒有被訪問,將被刪除，max_size 表示最多用多少硬盤空間；
• fastcgi_cache cache_fastcgi：表示開啟 FastCGI 緩存并為其指定一個名稱。開啟緩存非常有 用，可以有效降低 CPU 的負載，并且防止 502 的錯誤放生。cache_fastcgi 為 proxy_cache_path 指令創(chuàng)建的緩存區(qū)名稱；
• fastcgi_cache_valid 200 302 1h：用來指定應答代碼的緩存時間，實例中的值表示將 200 和 302 應答緩存一小時，要和 fastcgi_cache 配合使用；
• fastcgi_cache_valid 301 1d：將 301 應答緩存一天 ；
• fastcgi_cache_valid any 1m：將其他應答緩存為 1 分鐘；
• fastcgi_cache_min_uses 1：該指令用于設置經(jīng)過多少次請求的相同 URL 將被緩存；
• fastcgi_cache_key http://$host$request_uri ：該指令用來設置web緩存的Key值,nginx根據(jù)Key 值 md5 哈希存儲.一般根據(jù)$host(域名)、$request_uri(請求的路徑)等變量組合成 proxy_cache_key；
• fastcgi_pass：指定 FastCGI 服務器監(jiān)聽端口與地址，可以是本機或者其它；

總結：

• nginx 的緩存功能有：proxy_cache / fastcgi_cache ；
• proxy_cache 的作用是緩存后端服務器的內(nèi)容，可能是任何內(nèi)容，包括靜態(tài)的和動態(tài)；
• fastcgi_cache 的作用是緩存 fastcgi 生成的內(nèi)容，很多情況是 php 生成的動態(tài)的內(nèi)容；
• proxy_cache 緩存減少了 nginx 與后端通信的次數(shù)，節(jié)省了傳輸時間和后端寬帶；
• fastcgi_cache緩存減少了nginx與php的通信的次數(shù)，更減輕了php和數(shù)據(jù)庫(mysql)的壓力；

（6）expires 緩存調(diào)優(yōu)

緩存，主要針對于圖片，css，js 等元素更改機會比較少的情況下使用，特別是圖片，占用帶寬大，我們完全可以設置圖片在瀏覽器本地緩存 365d，css，js，html 可以緩存?zhèn)€ 10 來天，這樣用戶第一次打開加載慢一點，第二次，就非?？炝?！緩存的時候，我們需要將需要緩存的拓展名列出來。

Expires 緩存配置在 server 字段里面。如下：

location ~* \.(ico|jpe?g|gif|png|bmp|swf|flv)$ {
 expires 30d;                             //緩存時間為30天
 #log_not_found off;                 //是否在 error_log 中記錄不存在的錯誤
 access_log off;                            //不記錄日志
}
location ~* \.(js|css)$ {
 expires 7d;              
 log_not_found off;    
 access_log off;              
}

expire 功能優(yōu)點：

• expires 可以降低網(wǎng)站購買的帶寬，節(jié)約成本，同時提升用戶訪問體驗；
• 減輕服務的壓力，節(jié)約服務器成本，是 web 服務非常重要的功能。 expire 功能
  缺點：被緩存的頁面或數(shù)據(jù)更新了，用戶看到的可能還是舊的內(nèi)容，反而影響用戶體驗。解決辦法： 第一個縮短緩存時間，例如：1 天，但不徹底，除非更新頻率大于 1 天；第二個對緩存的對象改名。

網(wǎng)站不希望被緩存的內(nèi)容
1）網(wǎng)站流量統(tǒng)計工具；
2）更新頻繁的文件（google 的 logo）；

（7）防盜鏈

其實Nginx的防盜鏈與Apache的防盜鏈原理是一模一樣，只是配置文件略微有點不同而已。

location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {     
        valid_referers none blocked  www.benet.com benet.com;     
        if ($invalid_referer) {        
                    #return 302  http://www.benet.com/img/nolink.jpg;        //要么定義到另一個網(wǎng)站，返回狀態(tài)碼為302
                    return 404;                      //要么訪問狀態(tài)碼404
                    break;                                
                        }      
                            access_log off;  
                    } 

很簡單的，這里就不進行配置驗證了，對防盜鏈不了解的朋友可以參考深度優(yōu)化Apache其中對Apache的優(yōu)化有詳細的介紹！

（8）內(nèi)核參數(shù)優(yōu)化

將所需的參數(shù)編寫在/etc/sysctl.conf 文件中，使其生效即可！

常用的參數(shù)有：

• fs.file-max = 999999：這個參數(shù)表示進程（比如一個 worker 進程）可以同時打開的最大句柄數(shù)，這個參數(shù)直線限制最大并發(fā)連接數(shù)，需根據(jù)實際情況配置；
• net.ipv4.tcp_max_tw_buckets = 6000：這個參數(shù)表示操作系統(tǒng)允許 TIME_WAIT 套接字數(shù)量的最大值，如果超過這個數(shù)字，TIME_WAIT 套接字將立刻被清除并打印警告信息。該參數(shù)默認為 180000，過多的 TIME_WAIT 套接字會使 Web 服務器變慢；
  注意：主動關閉連接的服務端會產(chǎn)生 TIME_WAIT 狀態(tài)的連接；
• net.ipv4.ip_local_port_range = 1024 65000：允許系統(tǒng)打開的端口范圍；
• net.ipv4.tcp_tw_recycle = 1：啟用 timewait 快速回收；
• net.ipv4.tcp_tw_reuse = 1：開啟重用。允許將 TIME-WAIT sockets 重新用于新的 TCP 連接。這對于服務器來說很有意義，因為服務器上總會有大量 TIME-WAIT 狀態(tài)的連接；
• net.ipv4.tcp_keepalive_time = 30：這個參數(shù)表示當 keepalive 啟用時，TCP 發(fā)送 keepalive 消息的頻度。默認是 2 小時，若將其設置的小一些，可以更快地清理無效的連接；
• net.ipv4.tcp_syncookies = 1：開啟 SYN Cookies，當出現(xiàn) SYN 等待隊列溢出時，啟用 cookies 來處理；
• net.core.somaxconn = 40960：web 應用中 listen 函數(shù)的 backlog 默認會給我們內(nèi)核參數(shù)的net.core.somaxconn 限制到 128，而 nginx 定義的 NGX_LISTEN_BACKLOG 默認為 511，所以有必要調(diào)整這個值；
  注意：對于一個 TCP 連接，Server 與 Client 需要通過三次握手來建立網(wǎng)絡連接.當三次握手成功后,我們可以看到端口的狀態(tài)由 LISTEN 轉(zhuǎn)變?yōu)?ESTABLISHED,接著這條鏈路上就可以開始傳送數(shù)據(jù)了.每一個處于監(jiān)聽(Listen)狀態(tài)的端口,都有自己的監(jiān)聽隊列.監(jiān)聽隊列的長度與如somaxconn 參數(shù)和使用該端口的程序中 listen()函數(shù)有關；
  somaxconn 參數(shù)：定義了系統(tǒng)中每一個端口最大的監(jiān)聽隊列的長度,這是個全局的參數(shù),默認值為 128，對于一個經(jīng)常處理新連接的高負載 web 服務環(huán)境來說，默認的 128 太小了。大多數(shù)環(huán)境這個值建議增加到 1024 或者更多。大的偵聽隊列對防止拒絕服務也會有所幫助；
• net.core.netdev_max_backlog = 262144：每個網(wǎng)絡接口接收數(shù)據(jù)包的速率比內(nèi)核處理這些包的速率快時，允許送到隊列的數(shù)據(jù)包的最大數(shù)目；
• net.ipv4.tcp_max_syn_backlog = 262144：這個參數(shù)標示 TCP 三次握手建立階段接受 SYN 請求隊列的最大長度，默認為 1024，將其設置得大一些可以使出現(xiàn) Nginx 繁忙來不及 accept 新連接的情況時，Linux 不至于丟失客戶端發(fā)起的連接請求；
• net.ipv4.tcp_rmem = 10240 87380 12582912：這個參數(shù)定義了 TCP 接受緩存（用于 TCP 接受滑動窗口）的最小值、默認值、最大值；
• net.ipv4.tcp_wmem = 10240 87380 12582912：這個參數(shù)定義了 TCP 發(fā)送緩存（用于 TCP 發(fā)送滑動窗口）的最小值、默認值、最大值；
• net.core.rmem_default = 6291456：這個參數(shù)表示內(nèi)核套接字接受緩存區(qū)默認的大?。?/li>
• net.core.wmem_default = 6291456：這個參數(shù)表示內(nèi)核套接字發(fā)送緩存區(qū)默認的大??；
• net.core.rmem_max = 12582912：這個參數(shù)表示內(nèi)核套接字接受緩存區(qū)的最大大??；
• net.core.wmem_max = 12582912：這個參數(shù)表示內(nèi)核套接字發(fā)送緩存區(qū)的最大大??；
• net.ipv4.tcp_syncookies = 1：該參數(shù)與性能無關，用于解決 TCP 的 SYN非法操作；

———————— 本文至此結束，感謝閱讀 ————————