本篇內(nèi)容:集群、負(fù)載均衡流济、安全相關(guān)

一锐锣、集群與負(fù)載均衡

1.1 集群簡介

粗暴理解集群就是多個(gè)nginx同時(shí)協(xié)作使用。
在Nginx集群中Nginx扮演的角色是：分發(fā)器绳瘟。
??任務(wù)：接受請(qǐng)求雕憔、分發(fā)請(qǐng)求、響應(yīng)請(qǐng)求糖声。

1.2 集群的本質(zhì)

Nginx集群其實(shí)是：虛擬主機(jī)+反向代理+upstream分發(fā)模塊組成的斤彼。
??虛擬主機(jī)：負(fù)責(zé)接受和響應(yīng)請(qǐng)求。
??反向代理：帶領(lǐng)用戶去數(shù)據(jù)服務(wù)器拿數(shù)據(jù)蘸泻。
??upstream：告訴nginx去哪個(gè)數(shù)據(jù)服務(wù)器拿數(shù)據(jù)琉苇。

1.3 請(qǐng)求流程

1）虛擬主機(jī)接受用戶請(qǐng)求
?2）虛擬主機(jī)去找反向代理（問反向代理去哪拿數(shù)據(jù)）
?3）反向代理讓去找upstream
?4）upstream告訴一個(gè)數(shù)據(jù)服務(wù)器IP
?5）Nginx去找數(shù)據(jù)服務(wù)器，并發(fā)起用戶的請(qǐng)求
?6）數(shù)據(jù)服務(wù)器接受請(qǐng)求并處理請(qǐng)求
?7）數(shù)據(jù)服務(wù)器響應(yīng)請(qǐng)求給Nginx
?8）Nginx響應(yīng)請(qǐng)求給用戶

1.5 集群默認(rèn)算法

（1）輪詢(默認(rèn))
??每個(gè)請(qǐng)求按時(shí)間順序逐一分配到不同的后端服務(wù)器悦施，如果后端服務(wù)器down掉并扇，能自動(dòng)剔除。
（2）weight(權(quán)重)
??指定輪詢幾率抡诞，weight和訪問比率成正比穷蛹，用于后端服務(wù)器性能不均的情況土陪。
（3）ip_hash
??每個(gè)請(qǐng)求按訪問ip的hash結(jié)果分配，這樣每個(gè)訪客固定訪問一個(gè)后端服務(wù)俩莽，好處是可以解決session的問題旺坠。因此前兩種只能處理靜態(tài)頁面，而這種方式可以處理動(dòng)態(tài)網(wǎng)站扮超。
（4）第三方算法
fair(按后端服務(wù)器的響應(yīng)時(shí)間來分配請(qǐng)求取刃，響應(yīng)時(shí)間短的優(yōu)先分配)、url_hash(按訪問url的hash結(jié)果來分配請(qǐng)求出刷，使每個(gè)url定向到同一個(gè)后端服務(wù) 璧疗，后端服務(wù)器為緩存時(shí)比較有效)等

1.4 配置修改（ip_hash算法）

寫一個(gè)springboot項(xiàng)目,放在服務(wù)器上,對(duì)應(yīng)三個(gè)端口啟動(dòng)(略)
然后配置nginx

# 配置nginx.conf
#集群配置
upstream integral {
ip_hash;//如果不加會(huì)有session問題
server 192.168.43.140:8013 weight=1;//權(quán)重和地址
server 192.168.43.140:8014 weight=1;
server 192.168.43.140:8015 weight=2;
}

#gzip  on;
server{
    listen    8013;//監(jiān)聽端口

    server_name integral.com;

location / {
           #proxy_redirect off;

           #proxy_set_header X-Real-IP $remote_addr;

           #proxy_pass http://192.168.43.217:8013;

           proxy_pass http://integral; #這里的http后面和集群一致
}
access_log logs/integral.log;#訪問日志
   }

二、配置調(diào)優(yōu)

2.1 Nginx運(yùn)行工作進(jìn)程數(shù)量

Nginx運(yùn)行工作進(jìn)程個(gè)數(shù)一般設(shè)置CPU的核心或者核心數(shù)x2馁龟。(可以top命令之后按1看出來崩侠，也可以查看/proc/cpuinfo文件 grep ^processor /proc/cpuinfo | wc -l)

vi /對(duì)應(yīng)路徑/nginx.conf

nginx -s reload

ps -aux | grep nginx |grep -v grep

2.2 Nginx運(yùn)行CPU親和力

比如4核配置：
worker_processes 4;
worker_cpu_affinity 0001 0010 0100 1000

比如8核配置：
worker_processes 8;
worker_cpu_affinity 00000001 00000010 00000100 0000100000010000 00100000 01000000 10000000;
worker_processes最多開啟8個(gè)，8個(gè)以上性能提升不會(huì)再提升了坷檩，而且穩(wěn)定性變得更低却音，所以8個(gè)進(jìn)程夠用了。

2.3 Nginx最大打開文件數(shù)

worker_rlimit_nofile 65535;
這個(gè)指令是指當(dāng)一個(gè)nginx進(jìn)程打開的最多文件描述符數(shù)目矢炼，理論值應(yīng)該是最多打開文件數(shù)（ulimit -n）與nginx進(jìn)程數(shù)相除系瓢，但是nginx分配請(qǐng)求并不是那么均勻，所以最好與ulimit -n的值保持一致句灌。

注：文件資源限制的配置可以在/etc/security/limits.conf設(shè)置夷陋，針對(duì)root/user等各個(gè)用戶或者代表所有用戶來設(shè)置。*

• soft nofile 65535
• hard nofile 65535
  用戶重新登錄生效（ulimit -n）

2.4 Nginx事件處理模型

events {
  use epoll;
  worker_connections 65535;
  multi_accept on;
}

nginx采用epoll事件模型胰锌，處理效率高骗绕。

work_connections是單個(gè)worker進(jìn)程允許客戶端最大連接數(shù)，這個(gè)數(shù)值一般根據(jù)服務(wù)器性能和內(nèi)存來制定资昧，實(shí)際最大值就是worker進(jìn)程數(shù)乘以work_connections酬土。

實(shí)際我們填入一個(gè)65535，足夠了榛搔，這些都算并發(fā)值诺凡，一個(gè)網(wǎng)站的并發(fā)達(dá)到這么大的數(shù)量，也算一個(gè)大站了践惑！

multi_accept 告訴nginx收到一個(gè)新連接通知后接受盡可能多的連接，默認(rèn)是on嘶卧，設(shè)置為on后尔觉，多個(gè)worker按串行方式來處理連接，也就是一個(gè)連接只有一個(gè)worker被喚醒芥吟，其他的處于休眠狀態(tài)侦铜，設(shè)置為off后专甩，多個(gè)worker按并行方式來處理連接，也就是一個(gè)連接會(huì)喚醒所有的worker钉稍，直到連接分配完畢涤躲，沒有取得連接的繼續(xù)休眠。當(dāng)你的服務(wù)器連接數(shù)不多時(shí)贡未，開啟這個(gè)參數(shù)會(huì)讓負(fù)載有一定的降低种樱，但是當(dāng)服務(wù)器的吞吐量很大時(shí)，為了效率俊卤，可以關(guān)閉這個(gè)參數(shù)嫩挤。

2.5、開啟高效傳輸模式

http {
  include mime.types;
  default_type application/octet-stream;
  ……

  sendfile on;
  tcp_nopush on;
  ……
}

Include mime.types ： 媒體類型,include 只是一個(gè)在當(dāng)前文件中包含另一個(gè)文件內(nèi)容的指令消恍。

default_type application/octet-stream ：默認(rèn)媒體類型足夠岂昭。

sendfile on：開啟高效文件傳輸模式，sendfile指令指定nginx是否調(diào)用sendfile函數(shù)來輸出文件狠怨，對(duì)于普通應(yīng)用設(shè)為 on约啊，如果用來進(jìn)行下載等應(yīng)用磁盤IO重負(fù)載應(yīng)用，可設(shè)置為off佣赖，以平衡磁盤與網(wǎng)絡(luò)I/O處理速度恰矩，降低系統(tǒng)的負(fù)載。注意：如果圖片顯示不正常把這個(gè)改成off茵汰。

tcp_nopush on：必須在sendfile開啟模式才有效枢里，防止網(wǎng)路阻塞，積極的減少網(wǎng)絡(luò)報(bào)文段的數(shù)量（將響應(yīng)頭和正文的開始部分一起發(fā)送蹂午，而不一個(gè)接一個(gè)的發(fā)送栏豺。）

2.6 連接超時(shí)時(shí)間

主要目的是保護(hù)服務(wù)器資源，CPU豆胸，內(nèi)存奥洼，控制連接數(shù)，因?yàn)榻⑦B接也是需要消耗資源的晚胡。

keepalive_timeout 60;
tcp_nodelay on;
client_header_buffer_size 4k;
open_file_cache max=102400 inactive=20s;
open_file_cache_valid 30s;
open_file_cache_min_uses 1;
client_header_timeout 15;
client_body_timeout 15;
reset_timedout_connection on;
send_timeout 15;
server_tokens off;
client_max_body_size 10m;

keepalived_timeout ：客戶端連接保持會(huì)話超時(shí)時(shí)間灵奖，超過這個(gè)時(shí)間，服務(wù)器斷開這個(gè)鏈接估盘。

tcp_nodelay：也是防止網(wǎng)絡(luò)阻塞瓷患，不過要包涵在keepalived參數(shù)才有效。

client_header_buffer_size 4k：客戶端請(qǐng)求頭部的緩沖區(qū)大小遣妥，這個(gè)可以根據(jù)你的系統(tǒng)分頁大小來設(shè)置擅编，一般一個(gè)請(qǐng)求頭的大小不會(huì)超過 1k，不過由于一般系統(tǒng)分頁都要大于1k，所以這里設(shè)置為分頁大小爱态。分頁大小可以用命令getconf PAGESIZE取得谭贪。

open_file_cache max=102400 inactive=20s ：這個(gè)將為打開文件指定緩存，默認(rèn)是沒有啟用的锦担，max指定緩存數(shù)量俭识，建議和打開文件數(shù)一致，inactive 是指經(jīng)過多長時(shí)間文件沒被請(qǐng)求后刪除緩存洞渔。

open_file_cache_valid 30s：這個(gè)是指多長時(shí)間檢查一次緩存的有效信息套媚。

open_file_cache_min_uses 1 ：open_file_cache指令中的inactive 參數(shù)時(shí)間內(nèi)文件的最少使用次數(shù)，如果超過這個(gè)數(shù)字痘煤，文件描述符一直是在緩存中打開的凑阶，如上例，如果有一個(gè)文件在inactive 時(shí)間內(nèi)一次沒被使用衷快，它將被移除宙橱。

client_header_timeout ： 設(shè)置請(qǐng)求頭的超時(shí)時(shí)間。我們也可以把這個(gè)設(shè)置低些蘸拔，如果超過這個(gè)時(shí)間沒有發(fā)送任何數(shù)據(jù)师郑，nginx將返回request time out的錯(cuò)誤。

client_body_timeout設(shè)置請(qǐng)求體的超時(shí)時(shí)間调窍。我們也可以把這個(gè)設(shè)置低些宝冕，超過這個(gè)時(shí)間沒有發(fā)送任何數(shù)據(jù)，和上面一樣的錯(cuò)誤提示邓萨。

reset_timeout_connection ：告訴nginx關(guān)閉不響應(yīng)的客戶端連接地梨。這將會(huì)釋放那個(gè)客戶端所占有的內(nèi)存空間。

send_timeout ：響應(yīng)客戶端超時(shí)時(shí)間缔恳，這個(gè)超時(shí)時(shí)間僅限于兩個(gè)活動(dòng)之間的時(shí)間宝剖，如果超過這個(gè)時(shí)間，客戶端沒有任何活動(dòng)歉甚，nginx關(guān)閉連接万细。

server_tokens ：并不會(huì)讓nginx執(zhí)行的速度更快，但它可以關(guān)閉在錯(cuò)誤頁面中的nginx版本數(shù)字纸泄，這樣對(duì)于安全性是有好處的赖钞。

client_max_body_size：上傳文件大小限制。

2.7 fastcgi 調(diào)優(yōu)

fastcgi_connect_timeout 600;
fastcgi_send_timeout 600;
fastcgi_read_timeout 600;
fastcgi_buffer_size 64k;
fastcgi_buffers 4 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 128k;
fastcgi_temp_path/usr/local/nginx1.10/nginx_tmp;
fastcgi_intercept_errors on;
fastcgi_cache_path/usr/local/nginx1.10/fastcgi_cache levels=1:2 keys_zone=cache_fastcgi:128minactive=1d max_size=10g;

fastcgi_connect_timeout 600 ：指定連接到后端FastCGI的超時(shí)時(shí)間聘裁。

fastcgi_send_timeout 600 ：向FastCGI傳送請(qǐng)求的超時(shí)時(shí)間雪营。

fastcgi_read_timeout 600 ：指定接收FastCGI應(yīng)答的超時(shí)時(shí)間。

fastcgi_buffer_size 64k ：指定讀取FastCGI應(yīng)答第一部分需要用多大的緩沖區(qū)衡便，默認(rèn)的緩沖區(qū)大小為卓缰。fastcgi_buffers指令中的每塊大小，可以將這個(gè)值設(shè)置更小砰诵。

fastcgi_buffers 4 64k ：指定本地需要用多少和多大的緩沖區(qū)來緩沖FastCGI的應(yīng)答請(qǐng)求征唬，如果一個(gè)php腳本所產(chǎn)生的頁面大小為256KB，那么會(huì)分配4個(gè)64KB的緩沖區(qū)來緩存茁彭，如果頁面大小大于256KB总寒，那么大于256KB的部分會(huì)緩存到fastcgi_temp_path指定的路徑中，但是這并不是好方法理肺，因?yàn)閮?nèi)存中的數(shù)據(jù)處理速度要快于磁盤摄闸。一般這個(gè)值應(yīng)該為站點(diǎn)中php腳本所產(chǎn)生的頁面大小的中間值，如果站點(diǎn)大部分腳本所產(chǎn)生的頁面大小為256KB妹萨，那么可以把這個(gè)值設(shè)置為“8 32K”年枕、“4 64k”等。

fastcgi_busy_buffers_size 128k ：建議設(shè)置為fastcgi_buffers的兩倍乎完，繁忙時(shí)候的buffer熏兄。

fastcgi_temp_file_write_size 128k ：在寫入fastcgi_temp_path時(shí)將用多大的數(shù)據(jù)塊，默認(rèn)值是fastcgi_buffers的兩倍树姨，該數(shù)值設(shè)置小時(shí)若負(fù)載上來時(shí)可能報(bào)502BadGateway摩桶。

fastcgi_temp_path ：緩存臨時(shí)目錄。

fastcgi_intercept_errors on ：這個(gè)指令指定是否傳遞4xx和5xx錯(cuò)誤信息到客戶端帽揪，或者允許nginx使用error_page處理錯(cuò)誤信息硝清。注：靜態(tài)文件不存在會(huì)返回404頁面，但是php頁面則返回空白頁转晰！

fastcgi_cache_path /usr/local/nginx1.10/fastcgi_cachelevels=1:2 keys_zone=cache_fastcgi:128minactive=1d max_size=10g ：fastcgi_cache緩存目錄芦拿，可以設(shè)置目錄層級(jí)，比如1:2會(huì)生成16*256個(gè)子目錄查邢，cache_fastcgi是這個(gè)緩存空間的名字蔗崎，cache是用多少內(nèi)存（這樣熱門的內(nèi)容nginx直接放內(nèi)存，提高訪問速度）侠坎，inactive表示默認(rèn)失效時(shí)間蚁趁，如果緩存數(shù)據(jù)在失效時(shí)間內(nèi)沒有被訪問,將被刪除，max_size表示最多用多少硬盤空間实胸。

fastcgi_cache cache_fastcgi ：#表示開啟FastCGI緩存并為其指定一個(gè)名稱他嫡。開啟緩存非常有用，可以有效降低CPU的負(fù)載庐完，并且防止502的錯(cuò)誤放生钢属。cache_fastcgi為proxy_cache_path指令創(chuàng)建的緩存區(qū)名稱。

fastcgi_cache_valid 200 302 1h ：#用來指定應(yīng)答代碼的緩存時(shí)間门躯，實(shí)例中的值表示將200和302應(yīng)答緩存一小時(shí)淆党，要和fastcgi_cache配合使用。

fastcgi_cache_valid 301 1d ：將301應(yīng)答緩存一天。

fastcgi_cache_valid any 1m ：將其他應(yīng)答緩存為1分鐘染乌。

fastcgi_cache_min_uses 1 ：該指令用于設(shè)置經(jīng)過多少次請(qǐng)求的相同URL將被緩存山孔。

fastcgi_cache_key http://request_uri ：該指令用來設(shè)置web緩存的Key值,nginx根據(jù)Key值md5哈希存儲(chǔ).一般根據(jù)request_uri(請(qǐng)求的路徑)等變量組合成proxy_cache_key 荷憋。

fastcgi_pass ：指定FastCGI服務(wù)器監(jiān)聽端口與地址台颠，可以是本機(jī)或者其它。

總結(jié)：

nginx的緩存功能有：proxy_cache / fastcgi_cache

proxy_cache的作用是緩存后端服務(wù)器的內(nèi)容勒庄，可能是任何內(nèi)容串前，包括靜態(tài)的和動(dòng)態(tài)。

fastcgi_cache的作用是緩存fastcgi生成的內(nèi)容实蔽，很多情況是php生成的動(dòng)態(tài)的內(nèi)容荡碾。

proxy_cache緩存減少了nginx與后端通信的次數(shù)，節(jié)省了傳輸時(shí)間和后端寬帶局装。

fastcgi_cache緩存減少了nginx與php的通信的次數(shù)坛吁，更減輕了php和數(shù)據(jù)庫(mysql)的壓力。

2.8 gzip 調(diào)優(yōu)

使用gzip壓縮功能贼邓，可能為我們節(jié)約帶寬阶冈，加快傳輸速度，有更好的體驗(yàn)塑径，也為我們節(jié)約成本女坑，所以說這是一個(gè)重點(diǎn)。

Nginx啟用壓縮功能需要你來ngx_http_gzip_module模塊统舀，apache使用的是mod_deflate匆骗。

一般我們需要壓縮的內(nèi)容有：文本，js誉简，html碉就，css，對(duì)于圖片闷串，視頻瓮钥，flash什么的不壓縮，同時(shí)也要注意烹吵，我們使用gzip的功能是需要消耗CPU的碉熄！

gzip on;
gzip_min_length 2k;
gzip_buffers   4 32k;
gzip_http_version 1.1;
gzip_comp_level 6;
gzip_typestext/plain text/css text/javascriptapplication/json application/javascript application/x-javascriptapplication/xml;
gzip_vary on;
gzip_proxied any;

gzip on; #開啟壓縮功能
gzip_min_length 1k ：設(shè)置允許壓縮的頁面最小字節(jié)數(shù)，頁面字節(jié)數(shù)從header頭的Content-Length中獲取肋拔，默認(rèn)值是0锈津，不管頁面多大都進(jìn)行壓縮，建議設(shè)置成大于1K凉蜂，如果小與1K可能會(huì)越壓越大琼梆。

gzip_buffers 4 32k ：壓縮緩沖區(qū)大小性誉，表示申請(qǐng)4個(gè)單位為32K的內(nèi)存作為壓縮結(jié)果流緩存，默認(rèn)值是申請(qǐng)與原始數(shù)據(jù)大小相同的內(nèi)存空間來存儲(chǔ)gzip壓縮結(jié)果茎杂。

gzip_http_version 1.1 ：壓縮版本错览，用于設(shè)置識(shí)別HTTP協(xié)議版本，默認(rèn)是1.1蛉顽，目前大部分瀏覽器已經(jīng)支持GZIP解壓蝗砾，使用默認(rèn)即可。

gzip_comp_level 6 ：壓縮比例携冤，用來指定GZIP壓縮比，1壓縮比最小闲勺，處理速度最快曾棕，9壓縮比最大，傳輸速度快菜循，但是處理慢翘地，也比較消耗CPU資源。

gzip_types text/css text/xml application/javascript ：用來指定壓縮的類型癌幕，‘text/html’類型總是會(huì)被壓縮衙耕。默認(rèn)值: gzip_types text/html (默認(rèn)不對(duì)js/css文件進(jìn)行壓縮)

壓縮類型，匹配MIME型進(jìn)行壓縮勺远；

不能用通配符 text/*橙喘；

text/html默認(rèn)已經(jīng)壓縮 (無論是否指定)；

設(shè)置哪壓縮種文本文件可參考 conf/mime.types胶逢。

gzip_vary on ：varyheader支持厅瞎，改選項(xiàng)可以讓前端的緩存服務(wù)器緩存經(jīng)過GZIP壓縮的頁面，例如用Squid緩存經(jīng)過nginx壓縮的數(shù)據(jù)初坠。

2.9 expires 緩存調(diào)優(yōu)

緩存和簸，主要針對(duì)于圖片，css碟刺，js等元素更改機(jī)會(huì)比較少的情況下使用锁保，特別是圖片，占用帶寬大半沽，我們完全可以設(shè)置圖片在瀏覽器本地緩存365d爽柒，css，js抄囚，html可以緩存?zhèn)€10來天霉赡，這樣用戶第一次打開加載慢一點(diǎn)，第二次幔托，就非逞鳎快了蜂挪！緩存的時(shí)候，我們需要將需要緩存的拓展名列出來嗓化， Expires緩存配置在server字段里面棠涮。

location ~* \.(ico|jpe?g|gif|png|bmp|swf|flv)$ {
expires 30d;
#log_not_found off;
access_log off;
}

location ~* \.(js|css)$ {
expires 7d;
log_not_found off;
access_log off;
}

注：log_not_found off;是否在error_log中記錄不存在的錯(cuò)誤。

總結(jié)：

expire功能優(yōu)點(diǎn)：

expires可以降低網(wǎng)站購買的帶寬刺覆，節(jié)約成本严肪；

同時(shí)提升用戶訪問體驗(yàn)；

減輕服務(wù)的壓力谦屑，節(jié)約服務(wù)器成本畴蒲，是web服務(wù)非常重要的功能。

expire功能缺點(diǎn)：

被緩存的頁面或數(shù)據(jù)更新了蔼两，用戶看到的可能還是舊的內(nèi)容匈仗，反而影響用戶體驗(yàn)。

解決辦法：第一個(gè)縮短緩存時(shí)間悍手，例如：1天帘睦，但不徹底，除非更新頻率大于1天坦康；第二個(gè)對(duì)緩存的對(duì)象改名竣付。

網(wǎng)站不希望被緩存的內(nèi)容：

網(wǎng)站流量統(tǒng)計(jì)工具；

更新頻繁的文件（google的logo）滞欠。

2.10 防盜鏈

防止別人直接從你網(wǎng)站引用圖片等鏈接古胆，消耗了你的資源和網(wǎng)絡(luò)流量，那么我們的解決辦法由幾種：

水印仑撞，品牌宣傳赤兴，你的帶寬，服務(wù)器足夠隧哮；

防火墻桶良，直接控制，前提是你知道IP來源沮翔；

防盜鏈策略下面的方法是直接給予404的錯(cuò)誤提示陨帆。

location ~*^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {
valid_referers noneblocked www.benet.com benet.com;
if($invalid_referer) {
  #return 302 http://www.benet.com/img/nolink.jpg;
  return 404;
  break;
}
access_log off;
}

參數(shù)可以使如下形式：

none ：意思是不存在的Referer頭(表示空的，也就是直接訪問采蚀，比如直接在瀏覽器打開一個(gè)圖片)疲牵。

blocked ：意為根據(jù)防火墻偽裝Referer頭，如：“Referer:XXXXXXX”榆鼠。

server_names ：為一個(gè)或多個(gè)服務(wù)器的列表纲爸，0.5.33版本以后可以在名稱中使用“*”通配符。

2.11 內(nèi)核參數(shù)優(yōu)化

fs.file-max = 999999：這個(gè)參數(shù)表示進(jìn)程（比如一個(gè)worker進(jìn)程）可以同時(shí)打開的最大句柄數(shù)妆够，這個(gè)參數(shù)直線限制最大并發(fā)連接數(shù)识啦，需根據(jù)實(shí)際情況配置负蚊。

net.ipv4.tcp_max_tw_buckets = 6000 ：這個(gè)參數(shù)表示操作系統(tǒng)允許TIME_WAIT套接字?jǐn)?shù)量的最大值，如果超過這個(gè)數(shù)字颓哮，TIME_WAIT套接字將立刻被清除并打印警告信息家妆。該參數(shù)默認(rèn)為180000，過多的TIME_WAIT套接字會(huì)使Web服務(wù)器變慢冕茅。注：主動(dòng)關(guān)閉連接的服務(wù)端會(huì)產(chǎn)生TIME_WAIT狀態(tài)的連接

net.ipv4.ip_local_port_range = 1024 65000 ：允許系統(tǒng)打開的端口范圍伤极。

net.ipv4.tcp_tw_recycle = 1 ：啟用timewait快速回收。

net.ipv4.tcp_tw_reuse = 1 ：開啟重用姨伤。允許將TIME-WAIT sockets重新用于新的TCP連接哨坪。這對(duì)于服務(wù)器來說很有意義，因?yàn)榉?wù)器上總會(huì)有大量TIME-WAIT狀態(tài)的連接姜挺。

net.ipv4.tcp_keepalive_time = 30：這個(gè)參數(shù)表示當(dāng)keepalive啟用時(shí)齿税，TCP發(fā)送keepalive消息的頻度。默認(rèn)是2小時(shí)炊豪，若將其設(shè)置的小一些，可以更快地清理無效的連接拧篮。

net.ipv4.tcp_syncookies = 1 ：開啟SYN Cookies词渤，當(dāng)出現(xiàn)SYN等待隊(duì)列溢出時(shí)，啟用cookies來處理串绩。

net.core.somaxconn = 40960 ：web 應(yīng)用中 listen 函數(shù)的 backlog 默認(rèn)會(huì)給我們內(nèi)核參數(shù)的缺虐。

net.core.somaxconn ：限制到128，而nginx定義的NGX_LISTEN_BACKLOG 默認(rèn)為511礁凡，所以有必要調(diào)整這個(gè)值高氮。注：對(duì)于一個(gè)TCP連接，Server與Client需要通過三次握手來建立網(wǎng)絡(luò)連接.當(dāng)三次握手成功后,我們可以看到端口的狀態(tài)由LISTEN轉(zhuǎn)變?yōu)镋STABLISHED,接著這條鏈路上就可以開始傳送數(shù)據(jù)了.每一個(gè)處于監(jiān)聽(Listen)狀態(tài)的端口,都有自己的監(jiān)聽隊(duì)列.監(jiān)聽隊(duì)列的長度與如somaxconn參數(shù)和使用該端口的程序中l(wèi)isten()函數(shù)有關(guān)顷牌。somaxconn定義了系統(tǒng)中每一個(gè)端口最大的監(jiān)聽隊(duì)列的長度,這是個(gè)全局的參數(shù),默認(rèn)值為128剪芍，對(duì)于一個(gè)經(jīng)常處理新連接的高負(fù)載 web服務(wù)環(huán)境來說，默認(rèn)的 128 太小了窟蓝。大多數(shù)環(huán)境這個(gè)值建議增加到 1024 或者更多罪裹。大的偵聽隊(duì)列對(duì)防止拒絕服務(wù) DoS 攻擊也會(huì)有所幫助。

net.core.netdev_max_backlog = 262144 ：每個(gè)網(wǎng)絡(luò)接口接收數(shù)據(jù)包的速率比內(nèi)核處理這些包的速率快時(shí)运挫，允許送到隊(duì)列的數(shù)據(jù)包的最大數(shù)目状共。

net.ipv4.tcp_max_syn_backlog = 262144 ：這個(gè)參數(shù)標(biāo)示TCP三次握手建立階段接受SYN請(qǐng)求隊(duì)列的最大長度，默認(rèn)為1024谁帕，將其設(shè)置得大一些可以使出現(xiàn)Nginx繁忙來不及accept新連接的情況時(shí)峡继，Linux不至于丟失客戶端發(fā)起的連接請(qǐng)求。

net.ipv4.tcp_rmem = 10240 87380 12582912 ：這個(gè)參數(shù)定義了TCP接受緩存（用于TCP接受滑動(dòng)窗口）的最小值匈挖、默認(rèn)值碾牌、最大值康愤。

net.ipv4.tcp_wmem = 10240 87380 12582912：這個(gè)參數(shù)定義了TCP發(fā)送緩存（用于TCP發(fā)送滑動(dòng)窗口）的最小值、默認(rèn)值小染、最大值翘瓮。

net.core.rmem_default = 6291456：這個(gè)參數(shù)表示內(nèi)核套接字接受緩存區(qū)默認(rèn)的大小。

net.core.wmem_default = 6291456：這個(gè)參數(shù)表示內(nèi)核套接字發(fā)送緩存區(qū)默認(rèn)的大小裤翩。

net.core.rmem_max = 12582912：這個(gè)參數(shù)表示內(nèi)核套接字接受緩存區(qū)的最大大小资盅。

net.core.wmem_max = 12582912：這個(gè)參數(shù)表示內(nèi)核套接字發(fā)送緩存區(qū)的最大大小。

net.ipv4.tcp_syncookies = 1：該參數(shù)與性能無關(guān)踊赠，用于解決TCP的SYN攻擊呵扛。

一個(gè)完整的內(nèi)核優(yōu)化設(shè)置：

fs.file-max = 999999
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 40960
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024 65000

執(zhí)行sysctl -p使內(nèi)核修改生效。

12筐带、關(guān)于系統(tǒng)連接數(shù)的優(yōu)化
linux 默認(rèn)值 open files為1024今穿。查看當(dāng)前系統(tǒng)值：

# ulimit -n
1024

說明server只允許同時(shí)打開1024個(gè)文件。

使用ulimit -a 可以查看當(dāng)前系統(tǒng)的所有限制值伦籍，使用ulimit -n 可以查看當(dāng)前的最大打開文件數(shù)蓝晒。

新裝的linux 默認(rèn)只有1024 ，當(dāng)作負(fù)載較大的服務(wù)器時(shí)帖鸦，很容易遇到error: too many open files芝薇。因此，需要將其改大作儿，在/etc/security/limits.conf最后增加：

•           soft    nofile           65535
  

•           hard   nofile           65535
  

•           soft    noproc         65535
  

•           hard   noproc         65535
  

三洛二、nginx基本安全優(yōu)化

3.1 調(diào)整參數(shù)隱藏Nginx軟件版本號(hào)信息

在nginx.conf的http標(biāo)簽段內(nèi)加入server_tokens off 參數(shù)

http 
{
    ......
    server_tokens off
    ......
}

3.2 更改源碼隱藏Nginx軟件名及版本號(hào)

第一步是修改依次修改3個(gè)Nginx源碼文件。

#nginx-1.12.0/src/core/nginx.h 13-17行左右

#define NGINX_VERSION   *1.12.0*  #<==修改成你想要顯示版本號(hào)如2.2.0
#define NGINX_VER       *nginx/* NGINX_VERSION #<==修改成想要的軟件名稱攻锰，如百度的bfe 自己隨便寫晾嘶，如hank/*
#define NGINX_VAR       *NGINX*  #<==對(duì)應(yīng)上面的修改hank

#nginx-1.12.0/src/http/ngx_http_header_filter_module.c 49行左右

static char ngx_http_server_string[] = "Server:nginx " CRLF; #<==修改成Server: hank " CRLF

#nginx-1.12.0/src/http/ngx_http_special_response.c

"<hr><center>" NGINX_VER"</center>" CRLF #<==此處修改" NGINX_VER"（http://1195919021@qq.com）

"<hr><center>Nginx</center>" CRLF #<==此處修改成hank

第二步重新編譯nginx(參見(一)中的編譯)

3.2 更改Nginx服務(wù)的默認(rèn)用戶

nginx默認(rèn)配置文件是nginx.conf.default

grep "#user" nginx.conf

user  nobody;

防止被攻擊者猜到這個(gè)Web服務(wù)用戶，我們需要修改成特殊的用戶名娶吞。如nginx

為Nginx服務(wù)建立新用戶

useradd nginx -s /sbin/nologin -M

配置Nginx服務(wù)垒迂，讓其使用剛建立的nginx用戶(nginx.conf)
user nginx nginx;

另外可以在編譯的時(shí)候，直接指定用戶和用戶組

./configure --user=nginx --group=nginx --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module

檢查更改用戶的效果
重新加載配置后寝志，檢查Nginx服務(wù)進(jìn)程的對(duì)應(yīng)用戶

ps -ef|grep nginx|grep -v grep