หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

การปรับแต่ง Nginx เพื่อประสิทธิภาพที่ดีที่สุด

สำหรับการกำหนดค่านี้คุณสามารถใช้เว็บเซิร์ฟเวอร์ที่คุณชอบฉันตัดสินใจเพราะฉันทำงานเป็นส่วนใหญ่เพื่อใช้ Nginx

โดยทั่วไปการกำหนดค่า NGINX อย่างเหมาะสมสามารถจัดการได้สูงสุด 400K ถึง 500K คำขอต่อวินาที (คลัสเตอร์) สิ่งที่ฉันเห็นส่วนใหญ่คือคำขอ 50K ถึง 80K (ไม่คลัสเตอร์) ต่อวินาทีและ CPU โหลดซีพียูแน่นอนว่านี่คือ 2 x Intel Xeon ที่เปิดใช้งาน HyperThreading แต่สามารถทำงานได้โดยไม่มีปัญหาบนเครื่องจักรที่ช้าลง

คุณต้องเข้าใจว่าการกำหนดค่านี้ใช้ในสภาพแวดล้อมการทดสอบและไม่ได้อยู่ในการผลิตดังนั้นคุณจะต้องหาวิธีในการใช้คุณสมบัติส่วนใหญ่ที่ดีที่สุดสำหรับเซิร์ฟเวอร์ของคุณ

  • เวอร์ชันเสถียร nginx (deb/rpm)
  • รุ่นฉีด Nginx (DEB/RPM)

ก่อนอื่นคุณจะต้องติดตั้ง nginx 

yum install nginx
apt install nginx

สำรองข้อมูลการกำหนดค่าดั้งเดิมของคุณและคุณสามารถเริ่มกำหนดค่าการกำหนดค่าของคุณใหม่ คุณจะต้องเปิด nginx.conf ของคุณที่ /etc/nginx/nginx.conf พร้อมตัวแก้ไขที่คุณชื่นชอบ 

 # you must set worker processes based on your CPU cores, nginx does not benefit from setting more than that
worker_processes auto; #some last versions calculate it automatically

# number of file descriptors used for nginx
# the limit for the maximum FDs on the server is usually set by the OS.
# if you don't set FD's then OS settings will be used which is by default 2000
worker_rlimit_nofile 100000 ;

# only log critical errors
error_log /var/log/nginx/error.log crit ;

# provides the configuration file context in which the directives that affect connection processing are specified.
events {
    # determines how much clients will be served per worker
    # max clients = worker_connections * worker_processes
    # max clients is also limited by the number of socket connections available on the system (~64k)
    worker_connections 4000 ;

    # optimized to serve many clients with each thread, essential for linux -- for testing environment
    use epoll ;

    # accept as many connections as possible, may flood worker connections if set too low -- for testing environment
    multi_accept on ;
}

http {
    # cache informations about FDs, frequently accessed files
    # can boost performance, but you need to test those values
    open_file_cache max=200000 inactive=20s;
    open_file_cache_valid 30s ;
    open_file_cache_min_uses 2 ;
    open_file_cache_errors on ;

    # to boost I/O on HDD we can disable access logs
    access_log off ;

    # copies data between one FD and other from within the kernel
    # faster than read() + write()
    sendfile on ;

    # send headers in one piece, it is better than sending them one by one
    tcp_nopush on ;

    # don't buffer data sent, good for small data bursts in real time
    # https://brooker.co.za/blog/2024/05/09/nagle.html
    # https://news.ycombinator.com/item?id=10608356
    #tcp_nodelay on;

    # reduce the data that needs to be sent over network -- for testing environment
    gzip on ;
    # gzip_static on;
    gzip_min_length 10240 ;
    gzip_comp_level 1 ;
    gzip_vary on ;
    gzip_disable msie6;
    gzip_proxied expired no-cache no-store private auth;
    gzip_types
        # text/html is always compressed by HttpGzipModule
        text/css
        text/javascript
        text/xml
        text/plain
        text/x-component
        application/javascript
        application/x-javascript
        application/json
        application/xml
        application/rss+xml
        application/atom+xml
        font/truetype
        font/opentype
        application/vnd.ms-fontobject
        image/svg+xml;

    # allow the server to close connection on non responding client, this will free up memory
    reset_timedout_connection on ;

    # request timed out -- default 60
    client_body_timeout 10 ;

    # if client stop responding, free up memory -- default 60
    send_timeout 2 ;

    # server will close connection after this time -- default 75
    keepalive_timeout 30 ;

    # number of requests client can make over keep-alive -- for testing environment
    keepalive_requests 100000 ;
}

ตอนนี้คุณสามารถบันทึกการกำหนดค่าและเรียกใช้คำสั่งด้านล่าง 

 nginx -s reload
/etc/init.d/nginx start|restart

หากคุณต้องการทดสอบการกำหนดค่าก่อนคุณสามารถรันได้ 

 nginx -t
/etc/init.d/nginx configtest

เพียงเพื่อเหตุผลด้านความปลอดภัย 

 server_tokens off ;

Nginx Simple DDOS Defense

นี่อยู่ไกลจากการป้องกัน DDOS ที่ปลอดภัย แต่สามารถชะลอ DDOs เล็ก ๆ ได้ การกำหนดค่านี้ใช้สำหรับสภาพแวดล้อมการทดสอบและคุณควรใช้ค่าของคุณเอง 

 # limit the number of connections per single IP
limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;

# limit the number of requests for a given session
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s;

# zone which we want to limit by upper values, we want limit whole server
server {
    limit_conn conn_limit_per_ip 10 ;
    limit_req zone=req_limit_per_ip burst=10 nodelay;
}

# if the request body size is more than the buffer size, then the entire (or partial)
# request body is written into a temporary file
client_body_buffer_size  128k ;

# buffer size for reading client request header -- for testing environment
client_header_buffer_size 3m ;

# maximum number and size of buffers for large headers to read from client request
large_client_header_buffers 4 256k ;

# read timeout for the request body from client -- for testing environment
client_body_timeout   3m ;

# how long to wait for the client to send a request header -- for testing environment
client_header_timeout 3m ;

ตอนนี้คุณสามารถทดสอบการกำหนดค่าได้อีกครั้ง 

nginx -t # /etc/init.d/nginx configtest

จากนั้นโหลดใหม่หรือรีสตาร์ท nginx ของคุณ 

 nginx -s reload
/etc/init.d/nginx reload|restart

คุณสามารถทดสอบการกำหนดค่านี้ด้วย tsung และเมื่อคุณพอใจกับผลลัพธ์คุณสามารถกด Ctrl+C ได้เพราะสามารถทำงานได้หลายชั่วโมง

เพิ่มจำนวนไฟล์เปิดสูงสุด (ขีด จำกัด nofile ) - Linux

มีสองวิธีในการเพิ่ม NoFile/Max Open Files/File Descriptors/File Handles Limit สำหรับ Nginx ใน RHEL/CentOS 7+ ด้วยการทำงานของ Nginx ให้ตรวจสอบขีด จำกัด ปัจจุบันของกระบวนการหลัก 

 $ cat /proc/$(cat /var/run/nginx.pid)/limits | grep open.files
Max open files            1024                 4096                 files

และกระบวนการของคนงาน 

 ps --ppid $(cat /var/run/nginx.pid) -o %p|sed '1d'|xargs -I{} cat /proc/{}/limits|grep open.files

Max open files            1024                 4096                 files
Max open files            1024                 4096                 files

ลองใช้คำสั่ง worker_rlimit_nofile ใน {,/usr/local}/etc/nginx/nginx.conf ล้มเหลวเนื่องจากนโยบาย Selinux ไม่อนุญาตให้ setrlimit สิ่งนี้แสดงใน /var/log/nginx/error.log 

 015/07/24 12:46:40 [alert] 12066#0: setrlimit(RLIMIT_NOFILE, 2342) failed (13: Permission denied)

และใน /var/log/audit/audit.log 

 type=AVC msg=audit(1437731200.211:366): avc:  denied  { setrlimit } for  pid=12066 comm="nginx" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:httpd_t:s0 tclass=process

nolimit โดยไม่มี systemd 

 # /etc/security/limits.conf
# /etc/default/nginx (ULIMIT)
$ nano /etc/security/limits.d/nginx.conf
nginx   soft    nofile  65536
nginx   hard    nofile  65536
$ sysctl -p

nolimit กับ systemd 

 $ mkdir -p /etc/systemd/system/nginx.service.d
$ nano /etc/systemd/system/nginx.service.d/nginx.conf
[Service]
LimitNOFILE=30000
$ systemctl daemon-reload
$ systemctl restart nginx.service

selinux boolean httpd_setrlimit เป็น true (1)

สิ่งนี้จะกำหนดขีด จำกัด FD สำหรับกระบวนการของคนงาน ออกจากคำสั่ง worker_rlimit_nofile ใน {,/usr/local}/etc/nginx/nginx.conf และเรียกใช้เป็นรูทต่อไปนี้เป็นรูท 

 setsebool -P httpd_setrlimit 1

DOS HTTP/1.1 ขึ้นไป: คำขอช่วง

โดยค่าเริ่มต้น max_ranges ไม่ จำกัด การโจมตีของ DOS สามารถสร้างการตอบกลับช่วงจำนวนมาก (ส่งผลกระทบต่อความเสถียร I/O)

ซ็อกเก็ตชิ้นส่วนใน Nginx 1.9.1+ (Dragonfly BSD และ Linux 3.9+)

ประเภทซ็อกเก็ต เวลาแฝง (MS) Latency Stdev (MS) โหลด CPU
ค่าเริ่มต้น 15.65 26.59 0.3
ยอมรับ _mutex ปิด 15.59 26.48 10
ส่งคำสั่งใหม่ 12.35 3.15 0.3

พูลเธรดใน Nginx Boost Performance 9x! (Linux)

ปัจจุบันการส่งไฟล์แบบมัลติเธรดได้รับการสนับสนุนเฉพาะใน Linux เท่านั้น หากไม่มีขีด จำกัด sendfile_max_chunk การเชื่อมต่อที่รวดเร็วหนึ่งครั้งอาจยึดกระบวนการคนงานทั้งหมด

การเลือกต้นน้ำตามรุ่นโปรโตคอล SSL 

 map $ssl_preread_protocol $upstream {
    ""        ssh.example.com:22;
    "TLSv1.2" new.example.com:443;
    default   tls.example.com:443;
}

# ssh and https on the same port
server {
    listen      192.168.0.1:443;
    proxy_pass  $upstream ;
    ssl_preread on;
}

แฮ็คมีความสุข!

ลิงค์อ้างอิง

  • https://github.com/trimstray/nginx-admins-handbook
  • https://github.com/grrrdog/weird_proxies
  • https://github.com/h5bp/server-configs-nginx
  • https://github.com/leandromoreira/linux-network-performance-parameters
  • https://github.com/nginx-boilerplate/nginx-boilerplate
  • https://www.nginx.com/blog/thread-pools-boost-performance-9x/
  • https://www.nginx.com/blog/socket-harding-nginx-release-rease-1-9-1/
  • https://www.nginx.com/blog/nginx-13-9-2-rottp2-server-push/
  • https://www.nginx.com/blog/performing-ab-testing-nginx-plus/
  • https://www.nginx.com/blog/10-tips-for-10x-application-performance/
  • https://www.nginx.com/blog/http-keepalives-and-web-performance/
  • https://www.nginx.com/blog/overpoing-ephemeral-port-exhaustion-nginx-plus/
  • https://www.nginx.com/blog/tcp-load-balancing-udp-load-balancing-nginx-tips-tricks/
  • https://www.nginx.com/blog/introducing-cicd-with-nginx-and-nginx-plus/
  • https://www.nginx.com/blog/testing-the-performance-of-nginx-and-nginx-plus-web-servers/
  • https://www.nginx.com/blog/smart-efficient-byte-range-caching-nginx/
  • https://www.nginx.com/blog/nginx-high-performance-caching/
  • https://www.nginx.com/resources/wiki/start/topics/examples/x-accel/
  • https://nginx.org/r/pcre_jit
  • https://nginx.org/r/ssl_engine ( openssl engine -t )
  • https://www.nginx.com/blog/mitigating-ddos-attacks-with-nginx-and-nginx-plus/
  • https://www.nginx.com/blog/tuning-nginx/
  • https://github.com/intel/asynch_mode_nginx
  • https://openresty.org/download/agentzh-nginx-tutorials-en.html
  • https://www.maxcdn.com/blog/nginx-application-performance-optimization/
  • https://www.nginx.com/blog/nginx-se-linux-changes-umgrading-rhel-6-6/
  • https://medium.freecodecamp.org/a8afdbfde64d
  • https://medium.freecodecamp.org/secure-your-web-application-with-henthes-http-headers-fd66e0367628
  • https://gist.github.com/cmcdragonkai/6bfade6431e9ffb7fe88
  • https://gist.github.com/denji/9130d1c95e350c58bc50e4b3a9e29bf4
  • https://8gwifi.org/docs/nginx-secure.jsp
  • http://www.codestance.com/tutorials-archive/nginx-tuning-for-best-performance-255
  • https://ospi.fi/blog/centos-7-raise-nofile-limit-for-nginx.html
  • https://www.linode.com/docs/websites/nginx/configure-nginx-for-optimized-performance
  • https://haydenjames.io/nginx-tuning-tips-tls-ssl-https-ttfb-latency/
  • https://gist.github.com/kekru/c09dbab5e78bf76402966b13fa72b9d2

เครื่องวิเคราะห์แบบคงที่

  • https://github.com/yandex/gixy

การไฮไลต์ไวยากรณ์

  • https://github.com/chr4/sslsecure.vim
  • https://github.com/chr4/nginx.vim
  • https://github.com/nginx/nginx/tree/master/contrib/vim

nginx config formatter

  • https://github.com/rwxup
  • https://github.com/1connect/nginx-config-formatter
  • https://github.com/lovette/nginx-tools/tree/master/nginx-minify-conf

เครื่องมือกำหนดค่า nginx

  • https://github.com/nginxinc/crossplane
  • https://github.com/valentinxxx/nginxconfig.io

BBR (Linux 4.9+)

  • https://blog.cloudflare.com/http-2-prioritization-with-nginx/
  • Linux v4.13+ เนื่องจากไม่จำเป็นต้องมี FQ ( q_disc ) อีกต่อไปกับ BBR
  • https://github.com/google/bbr/blob/master/documentation/bbr-quick-start.md
  • https://git.kernel.org/pub/scm/linux/kernel/git/davem/net-next.git/commit/?id=218af599fa635b107cfe10acf3249c4dfe5e4123
  • Systemd/Systemd#9725 (ความคิดเห็น)
  • หากการแจกแจงเคอร์เนล Linux ล่าสุดไม่ได้เปิดใช้งาน tcp_bbr โดยค่าเริ่มต้น: 
modprobe tcp_bbr && echo ' tcp_bbr ' >> /etc/modules-load.d/bbr.conf
echo ' net.ipv4.tcp_congestion_control=bbr ' >> /etc/sysctl.d/99-bbr.conf
# Recommended for production, but with  Linux v4.13rc1+ can be used not only in FQ (`q_disc') in BBR mode.
echo ' net.core.default_qdisc=fq ' >> /etc/sysctl.d/99-bbr.conf
sysctl --system
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด