nginx调优（一）

(1).隐藏nginx版本号

　　隐藏版本号可以有效避免黑客根据nginx版本信息，查找对应漏洞进行攻击。

　　下载nginx源码包（http://nginx.org/en/download.html）并上传，在源码编译之前修改相应配置文件。

[root@youxi1 ~]# tar zxf nginx-1.16.0.tar.gz -C /usr/local/src/
[root@youxi1 ~]# cd /usr/local/src/nginx-1.16.0/
[root@youxi1 nginx-1.16.0]# vim src/core/nginx.h　　//修改软件版本号
#define NGINX_VERSION      "7.0.0"　　//第13行
#define NGINX_VER          "IIS/" NGINX_VERSION　　//第14行
//修改HTTP头信息中的connection字段，防止回显具体版本号
[root@youxi1 nginx-1.16.0]# vim src/http/ngx_http_header_filter_module.c
static u_char ngx_http_server_string[] = "Server: IIS" CRLF;　　//第49行
//修改nginx报404错误时，不回显版本号，这一步也可以使用自定义404页面代替。
[root@youxi1 nginx-1.16.0]# vim src/http/ngx_http_special_response.c
"<hr><center>IIS</center>" CRLF　　//第36行

　　再之后就可以正常编译安装了。

//安装依赖包
[root@youxi1 nginx-1.16.0]# yum -y install gcc gcc-c++ autoconf automake  zlib zlib-devel openssl openssl-devel pcre pcre-devel
[root@youxi1 nginx-1.16.0]# useradd -s /sbin/nologin -M nginx　　//创建一个nginx专属用户
[root@youxi1 nginx-1.16.0]# ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module
 --with-http_gzip_static_module --with-pcre
[root@youxi1 nginx-1.16.0]# make && make install
[root@youxi1 nginx-1.16.0]# echo $?
0

　　依赖包说明：

　　　　gcc是C语言编辑器，gcc-c++是C++语言编辑器。autoconf和automake是用于configure和make编译的工具。zlib和zlib-devel是nginx提供gzip模块的必要支持。openssl和openssl是nginx提供ssl功能的必要支持。pcre和pcre-devel支持地址重写（rewrite）功能。

　　安装组件说明：

　　　　--user=nginx --group=nginx　　设置用户和组

　　　　--with-http_ssl_module　　支持https（超文本传输安全协议）

　　　　--with-http_realip_module　　获取客户端真实IP地址

　　　　--with-http_gzip_static_module　　允许发送带有.gz文件扩展名的预压缩文件，而不是普通文件。（用于网页压缩调优）

　　　　--with-pcre　　指定pcre库源码位置（源码安装的pcre库需要指定详细地址）

　　更多安装组件说明可以参考：nginx编译安装指定参数

　　启动nginx，查看是否隐藏了版本号。

[root@youxi1 nginx-1.16.0]# /usr/local/nginx/sbin/nginx
[root@youxi1 nginx-1.16.0]# ps aux | grep nginx
root      10639  0.0  0.1  45960  1120 ?        Ss   15:03   0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx     10640  0.0  0.1  46416  1884 ?        S    15:03   0:00 nginx: worker process
root      10642  0.0  0.0 112724   992 pts/0    R+   15:03   0:00 grep --color=auto nginx
[root@youxi1 nginx-1.16.0]# firewall-cmd --permanent --zone=public --add-port=80/tcp && firewall-cmd --reload
success
success
[root@youxi1 nginx-1.16.0]# curl -I 192.168.5.101
HTTP/1.1 200 OK
Server: IIS/7.0.0　　//版本号
Date: Sun, 11 Aug 2019 07:04:31 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Sun, 11 Aug 2019 06:30:28 GMT
Connection: keep-alive
ETag: "5d4fb604-264"
Accept-Ranges: bytes

　　再使用Windows查看错误时返回的是否是修改过的版本号

(2).修改nginx运行用户

　　如果编译时已经使用--user=[username] --group=[groupname]，那么其实可以不用指定了。如果编译时没有指定这两个参数，那么可以修改nginx的配置文件来变更nginx的运行用户。

[root@youxi1 nginx-1.16.0]# vim /usr/local/nginx/conf/nginx.conf
user nginx;　　//第2行
[root@youxi1 nginx-1.16.0]# /usr/local/nginx/sbin/nginx -s reload

(3).设置nginx运行子进程个数

　　nginx运行子进程个数一般设置为CPU的核心数、核心数的两倍或者auto（自动获取），也有设置为（核心数-1）。如果CPU核心数超过8，那么nginx的进程个数设置8就差不多了，子进程个数超过8差距就不是很大了，当然设置auto让程序自动获取也行。

　　查看CPU的核心数，使用top命令，然后按1可以调出CPU核心数，我这里是4和

　　修改nginx运行子进程个数

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
worker_processes  auto;　　//第3行
[root@youxi1 ~]# /usr/local/nginx/sbin/nginx -s reload
[root@youxi1 ~]# ps aux | grep nginx
root       1138  0.0  0.0  46092  1948 ?        Ss   15:21   0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx      1490  0.0  0.0  46532  2004 ?        S    15:30   0:00 nginx: worker process
nginx      1491  0.0  0.0  46532  2004 ?        S    15:30   0:00 nginx: worker process
nginx      1492  0.0  0.0  46532  2004 ?        S    15:30   0:00 nginx: worker process
nginx      1493  0.0  0.0  46532  2004 ?        S    15:30   0:00 nginx: worker process
root       1497  0.0  0.0 112724   992 pts/0    S+   15:30   0:00 grep --color=auto nginx

　　或者使用pstree查看nginx父进程和子进程的关系

[root@youxi1 ~]# yum -y install psmisc
[root@youxi1 ~]# pstree -p | grep nginx
           |-nginx(1138)-+-nginx(1490)
           |             |-nginx(1491)
           |             |-nginx(1492)
           |             `-nginx(1493)

(4).设置nginx的CPU亲和力

　　CPU的亲和力，就是把nginx每个子进程绑定到固定的cpu上，从而减少cpu上下文切换导致的额外的开销。

　　例如，设置nginx运行子进程个数为2，绑定的CPU为0和2。

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
worker_processes 2;
worker_cpu_affinity 0001 0100;　　//如果是8核CPU那么就要8个0。这里的0001是CPU0，0100是CPU2
[root@youxi1 ~]# /usr/local/nginx/sbin/nginx -s reload
[root@youxi1 ~]# ps aux | grep nginx
root       1138  0.0  0.0  46000  1968 ?        Ss   15:21   0:00 nginx: master process /usr/local/nginx/sbin/nginx
nginx      1566  0.0  0.0  46436  1920 ?        S    16:27   0:00 nginx: worker process
nginx      1567  0.0  0.0  46436  1920 ?        S    16:27   0:00 nginx: worker process
root       1569  0.0  0.0 112724   988 pts/0    S+   16:27   0:00 grep --color=auto nginx
[root@youxi1 ~]# taskset -cp 1566
pid 1566's current affinity list: 0
[root@youxi1 ~]# taskset -cp 1567
pid 1567's current affinity list: 2

　　生产环境中，如果不是极致要求一般不配值CPU亲和，或者配置成auto即可。因为有可能会造成资源分配不均。

(5).设置nginx每个子进程打开的最多文件数

　　理论上来说，nginx子进程最多打开文件数应该是（ulimit -n）/nginx子进程个数，但是nginx分配请求并不均匀，所以可以将子进程最多打开文件数与ulimit -n的值保持一致。

[root@youxi1 ~]# ulimit -n
1024
[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
worker_rlimit_nofile 1024;　　//添加子进程个数下方
[root@youxi1 ~]# /usr/local/nginx/sbin/nginx -s reload

　　至于永久修改打开文件最大数量，请查看：Linux系统调优——磁盘I/O（三）

(6).nginx事件处理模型

　1）epoll事件处理模型

　　select，poll，epoll都是nginx下的I/O多路复用机制。I/O多路复用就通过一种机制，可以监视多个描述符，一旦某个描述符就绪（一般是读就绪或者写就绪），能够通知程序进行相应的读写操作。Epoll 在Linux2.6内核中正式引入，和select和poll相似，其实都是I/O多路复用技术。

　　epoll的优势：1、Epoll没有最大并发连接的限制，上限是最大可以打开文件的数目，这个数字一般远大于2048, 一般来说这个数目和系统内存关系很大，具体数目可以cat /proc/sys/fs/file-max察看。2、效率提升，Epoll最大的优点就在于它只管你“活跃”的连接，而跟连接总数无关，因此在实际的网络环境中，Epoll的效率就会远远高于select和poll。3、Epoll在这点上使用了“共享内存”，更省内存，效率更高。

　2）如何修改nginx事件处理模型

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
events {　　//在文件开头部分有一个events，在内部添加事件处理模型
    use epoll;　　//nginx默认就是epoll
    worker_connections  1024;　　//这个是单个子进程并发数量
}
[root@youxi1 ~]# /usr/local/nginx/sbin/nginx -s reload

(7).设置nginx最大并发量

　　与nginx设置事件处理模型位置一样，里面的worker_connections是单个子进程并发数量。想要设置nginx最大并发量，就是通过设置单个子进程并发数量和子进程个数来实现。最大并发=单个子进程并发*子进程个数。

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
events {
    use epoll;
    worker_connections  1024;　　//修改这个参数值
}
[root@youxi1 ~]# /usr/local/nginx/sbin/nginx -s reload

　　worker_connections是指单个工作进程可以允许同时建立外部连接的数量。无论这个连接是外部主动建立的，还是内部建立的。一个工作进程建立一个连接后，进程将打开一个文件副本。所以这个数量还受限于，操作系统ulimit -n设定的值和nginx的worker_rlimit_nofile的值。一般情况下系统ulimit -n、worker_rlimit_nofile 、最大并发量三者的值是一样的（如果三者不太一致，使用过程中它会以最小的值应用）。

(8).server_name匹配

　　server_name是http{}里的server{}里的一个参数，是为虚拟服务器提供识别路径。例如，一台服务器上配置了两个虚拟服务器，通过server_name匹配到特定的server块，之后转到对应的目录或应用服务器。

　　server_name的匹配方法：

　　　　1、精准匹配：www.baidu.com

　　　　2、通配符匹配：*.baidu.com或www.baidu.*

　　　　3、正则表达式匹配：~ ^.*\.baidu\.com$　　（~表示区分大小写的正则匹配；~*表示不区分大小写的正则匹配）

　　　　4、default或default_server

　　　　5、IP地址

　　优先级：精确匹配>左通配符匹配（*.baidu.com）>右通配符匹配（www.baidu.*）>正则表达式匹配>default或default_server。当优先级相同时，遵循自上而下的标准匹配。

　　　修改server_name的localhost为default

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
    server {
        listen       80;
        server_name  default;
        location / {
            root   html;
            index  index.html index.htm;
        }
[root@youxi1 ~]# /usr/local/nginx/sbin/nginx -t　　//检测nginx配置文件是否正确
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

(9).location{}匹配

　　语法规则：location [ = | ~ | ~* | ^~ ] /uri/ {...}

　　语法说明：=表示精确匹配（绝对匹配）；~表示区分大小写的正则匹配；~*表示不区分大小写的正则匹配；^~表示URI前半部分匹配，不检测正则（例如：由于nginx不对url做编码，因此请求为/static/20%/aa，可以被规则^~ /static/ /aa匹配到（注意空格））；!~和!~*是~和~*相反的意思，表示不匹配；另外还有一个最特殊的，当只有一个/时，表示通配，任何请求都会匹配到。

　　实例说明

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
        #location ~ \.php$ {　　//这个就表示匹配以.php结尾。\.是转义。
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

(10).开启高效传输模式

　　高效传输模式设置是在http{}下，一般处在开头。

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
    include       mime.types;　　//媒体类型，conf目录下的mime.types文件
    default_type  application/octet-stream;　　//默认媒体类型
    sendfile        on;　　//开启高效传输模式
    tcp_nopush     on;　　//必须在sendfile开启模式下才有效，防止网络堵塞，积极的减少网络报文段的数量

　　sendfile参数指定nginx是否调用sendfile函数来输出文件，对于普通应用设为on，如果用来下载等应用磁盘I/O重负担应用，可设置为off。

(11).连接超时时间

　　主要目的是保护服务器资源，CPU，内存，控制连接数，因为建立连接也是需要消耗资源的，TCP的三次握手四次挥手等，我们一般断掉的是那些建立连接但是不做事的，也就是从建立了链接开始，但是后续的握手过程没有进行，那么我们的链接处于等待状态的，全部断掉。另外，php建议短连接。

　　连接超时设置是在http{}下，一般处在开头。

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
    keepalive_timeout  65;　　//紧跟该行
    tcp_nodelay on;
    client_header_timeout 15;
    client_body_timeout 15;
    send_timeout 15;

　　参数说明：

　　　　keepalived_timeout客户端连接保持会话超时时间，超过这个时间，服务器断开这个链接。

　　　　tcp_nodelay也是防止网络阻塞，不过要包涵在keepalived参数才有效。

　　　　client_header_timeout客户端请求头读取超时时间，如果超过设个时间没有发送任何数据，nginx将返回request time out的错误。

　　　　client_body_timeout客户端求主体超时时间，超过这个时间没有发送任何数据，和上面一样的错误提示。

　　　　send_timeout响应客户端超时时间，这个超时时间仅限于两个活动之间的时间，如果超过这个时间，客户端没有任何活动，nginx关闭连接。

(12).文件上传限制大小

　　在http{}头部添加

[root@youxi1 ~]# vim /usr/local/nginx/conf/nginx.conf
http{
......
    client_max_body_size 10m;　　//上限10M
......
}