如何在Nginx中開啟HTTP3.0的支持

方案選擇

對(duì)于HTTP3.0，由于整個(gè)協(xié)議還是處于草案階段，目前來(lái)說(shuō)沒(méi)有一個(gè)完整的標(biāo)準(zhǔn)，所以各大瀏覽器廠商還只是在開發(fā)者版本中才會(huì)支持，例如Chrome的金絲雀版本Chrome Canary^[1]，并且各個(gè)服務(wù)器廠商也是在持續(xù)跟進(jìn)中，對(duì)于Nginx來(lái)說(shuō)，支持HTTP3.0目前有兩種方案可以選擇：

• 基于Cloudflare的分支版本Nginx：對(duì)于HTTP3.0/QUIC，Cloudflare始終走在了前列，借助于自家維護(hù)的開源項(xiàng)目     quic     ^[2]，從Nginx中拉出了一個(gè)分支來(lái)開發(fā)，并編譯出了對(duì)HTTP3.0支持的Nginx服務(wù)器。
• Nginx官方Nginx-quic項(xiàng)目：今年6月10日，Nginx     官博     ^[3]發(fā)布公告稱已經(jīng)在研發(fā)支持HTTP3.0/QUIC協(xié)議的工作，目前項(xiàng)目維護(hù)在     nginx-quic     ^[4]，該項(xiàng)目和基于Cloudflare基于Nginx的分支并無(wú)關(guān)系，算是相對(duì)于正統(tǒng)的方案。

基于此，本文將會(huì)以部署nginx-quic的方式來(lái)讓Nginx支持HTTP3.0/QUIC。 

改造過(guò)程

我們最終的目的是得到nginx-quic版本的nginx可執(zhí)行文件，需要經(jīng)過(guò)一系列的安裝和編譯，期間可能會(huì)遇到很多問(wèn)題，如果各位讀者不想實(shí)際操作，可以直接用我編譯好的版本nginx-quic.linux-x86_64.zip 傳送門^[5]。 

準(zhǔn)備工作：

以centos7為例，下載nginx-quic源碼傳送門^[6]，下載完成之后，需要進(jìn)行編譯安裝，由于nginx-quic依賴boringSSL，所以還需下載boringSSL源碼傳送門^[7]，然后同樣需要編譯安裝boringSSL，執(zhí)行這些操作之前，需要在linux上安裝一些前置模塊，通過(guò)yum來(lái)安裝，執(zhí)行以下命令：

sudo yum install build-essential mercurial psmisc lsb-release cmake golang libunwind-dev git libpcre3-dev zlib1g-dev

什么是boringSSL：

對(duì)于Nginx來(lái)說(shuō)，在編譯時(shí)需要配置對(duì)于的SSL庫(kù)，不管是HTTP3.0還是HTTP2.0，始終都要基于HTTPS，而加密算法這塊主要有OpenSSL來(lái)提供，而BoringSSL是谷歌創(chuàng)建的OpenSSL分支，用于支持TLS1.3的UDP協(xié)議0-RTT數(shù)據(jù)傳輸?shù)募用芩惴ǎ梢岳斫獬蒚LS1.3是標(biāo)準(zhǔn)協(xié)議，BoringSSL是實(shí)現(xiàn)工具），BoringSSL的一些特性會(huì)在合適的時(shí)機(jī)同步給OpenSSl。 

編譯安裝boringSSL：

cd boringssl-master/
mkdir build
cd build
cmake ../
make

執(zhí)行之后，可以在build/crypto，和build/ssl下獲得對(duì)應(yīng)的文件，如下圖：

注意編譯安裝boringSSL需要使用cmake3以上的版本。 

編譯安裝nginx-quic：

cd nginx-quic/
./auto/configure --prefix=/root/nginx --with-http_ssl_module --with-http_v2_module --with-http_v3_module --with-cc-opt="-I../boringssl-master/include" --with-ld-opt="-L../boringssl-master/build/ssl -L../boringssl-master/build/crypto"
make 
make install

執(zhí)行命令之后，會(huì)在/root/nginx目錄下生成對(duì)應(yīng)的nginx可執(zhí)行文件，如下圖：

 

其中，配置文件在conf/下，nginx命令在sbin/目錄下。

修改配置文件，啟動(dòng)nginx：

vi /root/nginx/conf/nginx.conf

添加http3配置:

server {
    listen 443 ssl http2;              # TCP listener for HTTP/2
    listen 443 http3 reuseport;  # UDP listener for QUIC+HTTP/3

    ssl_protocols       TLSv1.3; # QUIC requires TLS 1.3
    ssl_certificate     ssl/www.example.com.crt;
    ssl_certificate_key ssl/www.example.com.key;

    add_header Alt-Svc 'quic=":443"; h4-27=":443";h4-25=":443"; h4-T050=":443"; h4-Q050=":443";h4-Q049=":443";h4-Q048=":443"; h4-Q046=":443"; h4-Q043=":443"'; # Advertise that QUIC is available
}

其中，要求使用TLSv1.3版本，并且當(dāng)瀏覽器不支持http3時(shí)，可以選擇http2。另外，add_header Alt-Svc添加這個(gè)返回頭不可缺少。

• Alt-Svc 全稱為“Alternative-Service”，直譯為“備選服務(wù)”。該頭部列舉了當(dāng)前站點(diǎn)備選的訪問(wèn)方式列表，讓服務(wù)器可以告訴客戶端 “看，我在這個(gè)主機(jī)的這個(gè)端口用這個(gè)協(xié)議提供相同的服務(wù)”。一般用于在提供 “QUIC” 等新興協(xié)議支持的同時(shí)，實(shí)現(xiàn)向下兼容。參考     MDN     ^[8]。

驗(yàn)證HTTP3生效：

由于目前瀏覽器對(duì)HTTP3.0/QUIC的支持性有限，可以通過(guò)http3check.net/^[9]來(lái)驗(yàn)證站點(diǎn)啟用HTTP3是否成功，以我的站點(diǎn)為例：

 

坑點(diǎn)總結(jié)

整個(gè)過(guò)程看似很簡(jiǎn)單，但是真正配置過(guò)程中遇到了不少坑，前前后后加上搜索問(wèn)題花了一天半的時(shí)間才真正解決，把這些問(wèn)題記錄下來(lái)，分享給大家。

開啟UDP的443端口：

由于quic協(xié)議使用的是UDP的443端口，這個(gè)端口對(duì)于centos7來(lái)說(shuō)是默認(rèn)關(guān)閉的，可以采用下面命令開啟：

firewall-cmd --zone=public --add-port=443/udp --permanent

如果項(xiàng)目托管在阿里云上，需要更新ECS的安全組策略來(lái)對(duì)外開啟對(duì)應(yīng)的協(xié)議和端口，如下圖：

     

TLS版本向下兼容：

由于使用了TLS 1.3，所以會(huì)修改對(duì)應(yīng)加密算法，但是對(duì)于一些瀏覽器而言還不支持這么高的版本，尤其是對(duì)于蘋果的Safari，所以，在配置nginx配置文件時(shí)，要多配置幾個(gè)版本向下兼容，代碼如下：

ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

-Werror錯(cuò)誤問(wèn)題：

在編譯nginx-quic時(shí)，有時(shí)會(huì)遇到如下錯(cuò)誤：

cc -c -pipe  -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I../boringssl-master/include -I src/core -I src/event -I src/event/modules -I src/os/unix -I objs \
 -o objs/src/os/unix/ngx_linux_sendfile_chain.o \
 src/os/unix/ngx_linux_sendfile_chain.c
cc -c -pipe  -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I../boringssl-master/include -I src/core -I src/event -I src/event/modules -I src/os/unix -I objs \
 -o objs/src/event/ngx_event_openssl.o \
 src/event/ngx_event_openssl.c
cc -c -pipe  -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I../boringssl-master/include -I src/core -I src/event -I src/event/modules -I src/os/unix -I objs \
 -o objs/src/event/ngx_event_openssl_stapling.o \
 src/event/ngx_event_openssl_stapling.c
cc -c -pipe  -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I../boringssl-master/include -I src/core -I src/event -I src/event/modules -I src/os/unix -I objs \
 -o objs/src/event/ngx_event_quic.o \
 src/event/ngx_event_quic.c
cc -c -pipe  -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I../boringssl-master/include -I src/core -I src/event -I src/event/modules -I src/os/unix -I objs \
 -o objs/src/event/ngx_event_quic_transport.o \
 src/event/ngx_event_quic_transport.c
src/event/ngx_event_quic_transport.c: In function ‘ngx_quic_create_stream’:
src/event/ngx_event_quic_transport.c:54:9: error: comparison is always true due to limited range of data type [-Werror=type-limits]
      : ((uint32_t) value) <= 16383 ? 2                                        \
         ^
src/event/ngx_event_quic_transport.c:1299:15: note: in expansion of macro ‘ngx_quic_varint_len’
         len = ngx_quic_varint_len(sf->type);
               ^
cc1: all warnings being treated as errors
make[1]: *** [objs/src/event/ngx_event_quic_transport.o] Error 1
make[1]: Leaving directory `/root/nginx-quic'
make: *** [build] Error 2
[root@iz2zehmi1ztqtx8tg6ca7gz nginx-quic]#

解決辦法是：

cd nginx-quic\objs

vi Makefile

找到 CFLAGS = -pipe -O -W -Wall -Wpointer-arith -Wno-unused-parameter -Werror -g -I../boringssl-master/include將-Werror參數(shù)去掉。

reuseport只需配置一次：

假如有多個(gè)域名需要開啟http3，則reuseport建議只在根域名上配置，如果一個(gè)配置文件中出現(xiàn)多個(gè)reuseport，會(huì)報(bào)錯(cuò)，配置如下：

    server {
        
        listen 443 ssl http2;              # TCP listener for HTTP/2
        listen 443 http3 reuseport;  # UDP listener for QUIC+HTTP/3

        server_name  www.nihaoshijie.com.cn default_server;

    }

    server {

        listen 443 ssl http2;        # TCP listener for HTTP/2
        listen 443 http3;  # UDP listener for QUIC+HTTP/3

        server_name  app.nihaoshijie.com.cn;

    }  
  

編譯安裝時(shí)的性能問(wèn)題：

如果編譯安裝時(shí)報(bào)類似下面的錯(cuò)誤，可能是主機(jī)的內(nèi)容不足，需要關(guān)閉一些運(yùn)行的程序來(lái)往下進(jìn)行。

...
c++: internal compiler error: Killed (program cc1plus)