Nginx優化完整篇

Nginx優化

一、Nginx配置的優化

1、work_processes 2; //Nginx進程數，一般n爲cpu核數或cpu核數*2
2、worker_cpu_affinity 01 10; //爲每個進程分配cpu,將兩個進程分配到兩個cpu
3、worker_rlimit_nofile 65535; //一個Nginx進程打開的做多文件描述符數目。應該與（ulimit -n相等）
4、use epoll; //使用epoll的I/O模型，用這個模型來高效處理異步事件
5、woker_connections 65535; //每個進程允許的最多連接數
6、keepalive_timeout 60; //http超時時間，默認是60s，功能是使客戶端到服務器端的連接在設定的時間內持續有效，當出現對服務器有後續請求時，避免了重新建立連接。
7、client_header_buffer_size 4k; //客戶端請求頭部的緩衝區大小，這個可以根據你的系統分頁大小來設置，一般一個請求的頭部大小不會超過1k，不過由於一般系統分頁都要大於1k，所以這裏設置爲分頁大小。分頁大小可以用命令getconf PAGESIZE取得。
8、server_tokens off;//隱藏響應頭中的有關操作系統和web server（Nginx）版本號的信息，這樣對於安全性是有好處的。
9、sendfile on; //可以讓sendfile()發揮作用。sendfile()可以在磁盤和TCP socket之間互相拷貝數據(或任意兩個文件描述符)。Pre-sendfile是傳送數據之前在用戶空間申請數據緩衝區。之後用read()將數據從文件拷貝到這個緩衝區，write()將緩衝區數據寫入網絡。sendfile()是立即將數據從磁盤讀到OS緩存。因爲這種拷貝是在內核完成的，sendfile()要比組合read()和write()以及打開關閉丟棄緩衝更加有效
10、tcp_nopush on; //告訴nginx在一個數據包裏發送所有頭文件，而不一個接一個的發送。就是說數據包不會馬上傳送出去，等到數據包最大時，一次性的傳輸出去，這樣有助於解決網絡堵塞。
11、tcp_nodelay on;//告訴nginx不要緩存數據，而是一段一段的發送--當需要及時發送數據時，就應該給應用設置這個屬性，這樣發送一小塊數據信息時就不能立即得到返回值。
12、open_file_cache max=65535 inactive=60s; //爲打開文件指定緩存，默認是沒有啓用的，max 指定緩存數量，建議和打開文件數一致，inactive 是指經過多長時間文件沒被請求後刪除緩存
13、open_file_cache_min_uses 1; //open_file_cache 指令中的inactive 參數時間內文件的最少使用次數，如果超過這個數字，文件描述符一直是在緩存中打開的，如上例，如果有一個文件在inactive 時間內一次沒被使用，它將被移除
14、open_file_cache_valid 80s; //指定多長時間檢查一次緩存的有效信息

二、FastCGI的幾個指令

1、fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2 keys_zone=TEST:10m inactive=5m;//這個指令爲FastCGI緩存指定一個路徑，目錄結構等級，關鍵字區域存儲時間和非活動刪除時間
2、fastcgi_connect_timeout 300;//指定連接到後端FastCGI的超時時間。
3、fastcgi_send_timeout 300;//向FastCGI傳送請求的超時時間，這個值是指已經完成兩次握手後向FastCGI傳送請求的超時時間。
4、fastcgi_read_timeout 300;//接收FastCGI應答的超時時間，這個值是指已經完成兩次握手後接收FastCGI應答的超時時間。
5、fastcgi_buffer_size 16k;//指定讀取FastCGI應答第一部分 需要用多大的緩衝區，這裏可以設置爲fastcgi_buffers指令指定的緩衝區大小，上面的指令指定它將使用1個 16k的緩衝區去讀取應答的第一部分，即應答頭，其實這個應答頭一般情況下都很小（不會超過1k），但是你如果在fastcgi_buffers指令中指 定了緩衝區的大小，那麼它也會分配一個fastcgi_buffers指定的緩衝區大小去緩存。
6、fastcgi_buffers 16 16k;//指定本地需要用多少和多大的緩衝區來 緩衝FastCGI的應答，如上所示，如果一個php腳本所產生的頁面大小爲256k，則會爲其分配16個16k的緩衝區來緩存，如果大於256k，增大 於256k的部分會緩存到fastcgi_temp指定的路徑中， 當然這對服務器負載來說是不明智的方案，因爲內存中處理數據速度要快於硬盤，通常這個值 的設置應該選擇一個你的站點中的php腳本所產生的頁面大小的中間值，比如你的站點大部分腳本所產生的頁面大小爲 256k就可以把這個值設置爲16 16k，或者4 64k 或者64 4k，但很顯然，後兩種並不是好的設置方法，因爲如果產生的頁面只有32k，如果用4 64k它會分配1個64k的緩衝區去緩存，而如果使用64 4k它會分配8個4k的緩衝區去緩存，而如果使用16 16k則它會分配2個16k去緩存頁面，這樣看起來似乎更加合理。
7、fastcgi_busy_buffers_size 32k;//默認值是fastcgi_buffers的兩倍。
8、fastcgi_temp_file_write_size 32k;//在寫入fastcgi_temp_path時將用多大的數據塊，默認值是fastcgi_buffers的兩倍。
9、fastcgi_cache TEST; //開啓FastCGI緩存並且爲其制定一個名稱。個人感覺開啓緩存非常有用，可以有效降低CPU負載，並且防止502錯誤。但是這個緩存會引起很多問題，因爲它緩存的是動態頁面。具體使用還需根據自己的需求。
10、fastcgi_cache_valid 200 302 1h;
        fastcgi_cache_valid 301 1d;
        fastcgi_cache_valid any 1m;//爲指定的應答代碼指定緩存時間，如上例中將200，302應答緩存一小時，301應答緩存1天，其他爲1分鐘。
11、fastcgi_cache_min_uses 1;//緩存在fastcgi_cache_path指令inactive參數值時間內的最少使用次數，如上例，如果在5分鐘內某文件1次也沒有被使用，那麼這個文件將被移除。

三、Linux系統內核優化 /etc/sysctl.conf

net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000  //timewait的數量，默認是180000。(Deven:因此如果想把timewait降下了就要把tcp_max_tw_buckets值減小)
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 1            //在net.ipv4.tcp_tw_recycle設置爲1的時候，這個選擇最好加上
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1           //開啓此功能可以減少TIME-WAIT狀態，但是NAT網絡模式下打開有可能會導致tcp連接錯誤，慎重。
net.ipv4.tcp_tw_reuse = 1 //開啓重用功能，允許將TIME-WAIT狀態的sockets重新用於新的TCP連接。這個功能啓用是安全的，一般不要去改動！
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 30 //這個參數 決定了它保持在FIN-WAIT-2狀態的時間
net.ipv4.tcp_keepalive_time = 30 //當keepalive起用的時候，TCP發送keepalive消息的頻度。缺省是2小時。
net.ipv4.ip_local_port_range = 1024 65000 //允許系統打開的端口
net.ipv4.ip_conntrack_max = 6553500

四、Nginx安全相關設置

1、禁用autoindex模塊。這個可能在你使用的Nginx版本中已經更改了，如果沒有的話只需在配置文件的location塊中增加autoindex off;聲明即可。
2、禁用服務器上的ssi (服務器端引用)。這個可以通過在location塊中添加ssi off; 。
3、關閉服務器標記。如果開啓的話（默認情況下）所有的錯誤頁面都會顯示服務器的版本和信息。將server_tokens off;聲明添加到Nginx配置文件來解決這個問題。
4、在配置文件中設置自定義緩存以限制緩衝區溢出***的可能性。
client_body_buffer_size  1K;
client_header_buffer_size 1k;
client_max_body_size 1k;
large_client_header_buffers 2 1k;
5、將timeout設低來防止DOS***。所有這些聲明都可以放到主配置文件中。
client_body_timeout   10;
client_header_timeout 10;
keepalive_timeout     65;
send_timeout          10;
6、限制用戶連接數來預防DOS***。
limit_zone slimits $binary_remote_addr 5m;
limit_conn slimits 5;
7、試着避免使用HTTP認證。HTTP認證默認使用crypt，它的哈希並不安全。如果你要用的話就用MD5（這也不是個好選擇但負載方面比crypt好） 。

五、附上一個簡單的Nginx配置文件

user   www www;
worker_processes 8;
worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000;
error_log   /www/log/nginx_error.log   crit;
pid         /usr/local/nginx/nginx.pid;
worker_rlimit_nofile 65535;
events
{
   use epoll;
   worker_connections 65535;
}
http
{
   include       mime.types;
   default_type   application/octet-stream;
   charset   utf-8;
   server_names_hash_bucket_size 128;
   client_header_buffer_size 2k;
   large_client_header_buffers 4 4k;
   client_max_body_size 8m;
   sendfile on;
   tcp_nopush     on; 
   keepalive_timeout 60;
   fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2
   keys_zone=TEST:10m
   inactive=5m;
   fastcgi_connect_timeout 300;
   fastcgi_send_timeout 300;
   fastcgi_read_timeout 300;
   fastcgi_buffer_size 16k;
   fastcgi_buffers 16 16k;
   fastcgi_busy_buffers_size 16k;
   fastcgi_temp_file_write_size 16k;
   fastcgi_cache TEST;
   fastcgi_cache_valid 200 302 1h;
   fastcgi_cache_valid 301 1d;
   fastcgi_cache_valid any 1m;
   fastcgi_cache_min_uses 1;
   fastcgi_cache_use_stale error timeout invalid_header http_500;  
   open_file_cache max=204800 inactive=20s;
   open_file_cache_min_uses 1;
   open_file_cache_valid 30s;  
   tcp_nodelay on;

   gzip on;
   gzip_min_length   1k;
   gzip_buffers     4 16k;
   gzip_http_version 1.0;
   gzip_comp_level 2;
   gzip_types       text/plain application/x-javascript text/css application/xml;
   gzip_vary on;
server
   {
     listen       8080;
     server_name   *********;
     index index.php index.htm;
     root   /www/html/;
location /status
     {
         stub_status on;
     }
location ~ .*\.(php|php5)?$
     {
         fastcgi_pass 127.0.0.1:9000;
         fastcgi_index index.php;
         include fcgi.conf;
     }
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|js|css)$
     {
       expires       30d;
     }
                log_format   access   '$remote_addr - $remote_user [$time_local] "$request" '
               '$status $body_bytes_sent "$http_referer" '
               '"$http_user_agent" $http_x_forwarded_for';
                 access_log   /www/log/access.log   access;
       }
}