nginx网站架构优化思路（原）

liuyuehua

　　本人接触的优化主要分为三大类 黑体的为本模块下的重点
　　---------------安全优化
　　安全在生产场景中是第一位的
　　1.1 站点目录权限的优化 （修改权限755 644 所属用户root，需要上传的目录给予nginx权限）
　　1.2 防盗连接的优化（通过$http_referer实现判断用户来源，对非法的referer 返回错误代码）这一点如果没做 站点流量会上升（帮别人做广告），可能会给公司造成而外的经济损失
　　1.3 日志权限的优化，日志权限不要给nginx用户，日志是分析问题和数据的重要文件，安全必须考虑
　　1.4 重要目录迁移或者用目录访问控制用（allow，deny实现）例如配置文件或者程序安装目录
　　1.5 上传目录下禁止动态程序的解析（例如static目录下禁止运行扩展名为php py pl sh的文件）防止木马程序上传之后运行
　　1.6 防止域名恶意解析（建立默认ip访问规则），即当用户直接用ip访问的时候 我们返回501错误  类似jd taobao（实现方法建立一个default.conf 配置默认返回501）
　　1.7 为nginx降权 实现普通用户启动管理nginx服务
　　1.8 隐藏nginx版本 通过server_tokens off实现 很基本
　　1.9 站点防止爬虫优化 可以在站点 根目录下建立robots.txt 告知相应的防止爬虫优化，然后通过nginx的http_user_agent 参数实现访问控制
　　-----------------性能优化
　　性能和安全是互为负相关的方面 最好取其平衡
　　2.1    日志优化 在真是rs服务器上关闭静态资源日志记录的功能（l例如jpg css js等）如果并发很大的情况下 要关闭真实服务器的日志记录功能 ，因为日志记录消耗资源io很明显 在负载均衡上开启日志记录即可。
　　2.2    配置主要标签的worker_processes数量 根据cpu核数 确定一般是1：1 对多不超过二倍
　　2.3    配置cpu亲和力worker_cpu_affinity 平均分配cpu资源
　　2.4    配置worker打开的文件数量 worker_rlimit_nofile
　　2.5    配置event 标签 调整连接数worker_connections 生产场景一般为4096
　　2.6    开启高效传输模式 sendfile on
　　2.7    开启资源压缩 gzip on （gzip_comp_level 6 gzip_min_length gzip_types gzip_http_version gzip_buffers ）可以通过yslow 浏览器插件检查站点是否启用压缩
　　2.8    开启缓存 expires 一般在静态资源下开启缓存功能 例如图片 css （expires 365d，经常变换的图片或者资源要尽量改的时间短一点，因为有些东西不希望到的是未更新的 例如广告 ）
　　2.9    fastcgi相关参数的优化，以及基于内核的参数优化 sysctl.conf
　　-------------------架构优化
　　架构优化的目的是综合提升性能和安全
　　实现原理是把不同的资源（通过扩展名实现）进行拆分，不同的访问进行拆分（通过url实现）也可以叫做解耦，通过这样操作可以提升静态资源的访问效率
　　3.1通过nginx的代理功能对有固定域名的资源 进行不同服务器的指向 把动态静态资源分不同的upstream访问 这样静态资源服务器上不用安装相应的动态资源解析程序 例如tomcat 和php  一般大公司会选择这样的方案 例如淘宝图片服务器 static.taobao.com等等
　　配置案例
　　server {
　　listen       80;
　　server_name  dynamic.wanda.cn;
　　location / {
　　proxy_pass http://dynamic_pool;
　　}
　　}
　　server {
　　listen       80;
　　server_name  static.wanda.cn;
　　location / {
　　proxy_pass http://static_pool;
　　}
　　}
　　3.2如果站点没有实现动静资源域名独立 那么可以通过nginx的基于目录和扩展名的的proxy_pass 进行动态静态 资源的不同服务器rs节点的指向 。这一点是中小企业方案
　　server {
　　listen 80;
　　server_name www.wanda.cn;
　　location /static {
　　proxy_pass http://image_pool;
　　}
　　location / {  #默认包含了动态和静态
　　proxy_pass http://dynamic_pool;
　　}
　　}
　　3.3 如果条件准许，最好在nginx代理上面加上proxy_cache的功能 缓存rs节点的静态资源，减少对rs后端的请求，相同的资源 减少请求 就提升了性能
　　简单介绍一下nginx_cache的实现思路:
　　首先在nginx代理服务器上 建立一个目录 （挂载到内存下面的 tmpfs格式文件系统）
　　mount -t tmpfs tmpfs /tmp
　　然后，在nginx的http标签内 添加以下参数 告知nginx代理 缓存的路径在哪 缓存的zone名称是什么 我们的名字就叫cache 大小为64m缓存
　　proxy_cache_path /tmp levels=1:2 keys_zone=cache:64m;
　　在server标签下  加入以下红色内容
　　server {
　　listen       80;
　　server_name  www.wanda.cn;
　　location / {
　　proxy_pass http://dynamic_pool;
　　proxy_cache cache;
　　}
　　}

　　重启nginx -s>　　重新访问以下站点目录 带有图片的网页 然后可以看到/tmp目录下生成了缓存文件  ，通过配置 日志参数 添加 $upstream_cache_status 再次访问 可以检测是否去使用了缓存 如果状态为hit说明命中 配置成功
　　好了 总结了一个多小时 关于nginx优化如果大家有更好的方法 欢迎一起探讨