nginx常用编译参数

A. 如何 编译 ngx

一、必要软件准备
1.安装pcre

为了支持rewrite功能，我们需要安装pcre

复制代码代码如下:
# yum install pcre* //如过你已经装了，请跳过这一步

2.安装openssl
需要ssl的支持，如果不需要ssl支持，请跳过这一步

复制代码代码如下:
# yum install openssl*

3.gzip 类库安装

复制代码代码如下:
yum install zlib zlib-devel

4.安装wget
下载nginx使用,如果已经安装，跳过这一步

复制代码代码如下:
# yum install wget

二、安装nginx

1.下载

复制代码代码如下:
wget http://nginx.org/download/nginx-1.7.0.tar.gz

2.解压

复制代码代码如下:

tar -zxvf nginx-1.7.0.tar.gz

3.编译和安装
执行如下命令：

复制代码代码如下:

# cd nginx-1.7.0
# ./configure --prefix=/usr/local/nginx-1.7.0 \
--with-http_ssl_mole --with-http_spdy_mole \
--with-http_stub_status_mole --with-pcre

–with-http_stub_status_mole：支持nginx状态查询
–with-http_ssl_mole：支持https
–with-http_spdy_mole：支持google的spdy,想了解请网络spdy,这个必须有ssl的支持
–with-pcre：为了支持rewrite重写功能，必须制定pcre

最后输出如下内容，表示configure OK了。

复制代码代码如下:

checking for zlib library ... found
creating objs/Makefile
Configuration summary
+ using system PCRE library
+ using system OpenSSL library
+ md5: using OpenSSL library
+ sha1: using OpenSSL library
+ using system zlib library
nginx path prefix: "/usr/local/nginx-1.7.0"
nginx binary file: "/usr/local/nginx-1.7.0/sbin/nginx"
nginx configuration prefix: "/usr/local/nginx-1.7.0/conf"
nginx configuration file: "/usr/local/nginx-1.7.0/conf/nginx.conf"
nginx pid file: "/usr/local/nginx-1.7.0/logs/nginx.pid"
nginx error log file: "/usr/local/nginx-1.7.0/logs/error.log"
nginx http access log file: "/usr/local/nginx-1.7.0/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"
# make //确定你的服务器有安装make，如果没有安装请执行yum install make

# make install

三、启动、关闭、重置nginx
启动：直接执行以下命令,nginx就启动了,不需要改任何配置文件,nginx配置多域名虚拟主机请参考后续文章.

复制代码代码如下:
/usr/local/nginx-1.7.0/sbin/nginx

试试访问：直接使用curl命令来读取web信息

复制代码代码如下:

[root@ns conf]
# curl -s http://localhost | grep nginx.com
nginx.com.

关闭：

复制代码代码如下:
/usr/local/nginx-1.7.0/sbin/nginx -s stop

重置：当你有修改配置文件的时候，只需要reload以下即可

复制代码代码如下:
/usr/local/nginx-1.7.0/sbin/nginx -s reload

整个nginx的安装就到这里结束了。

四、nginx编译参数详解

复制代码代码如下:

–prefix= 指向安装目录
–sbin-path 指向（执行）程序文件（nginx）
–conf-path= 指向配置文件（nginx.conf）
–error-log-path= 指向错误日志目录
–pid-path= 指向pid文件（nginx.pid）
–lock-path= 指向lock文件（nginx.lock）（安装文件锁定，防止安装文件被别人利用，或自己误操作。）
–user= 指定程序运行时的非特权用户
–group= 指定程序运行时的非特权用户组
–builddir= 指向编译目录
–with-rtsig_mole 启用rtsig模块支持（实时信号）
–with-select_mole 启用select模块支持（一种轮询模式,不推荐在高载环境下使用）禁用：–without-select_mole
–with-poll_mole 启用poll模块支持（功能与select相同，与select特性相同，为一种轮询模式,不推荐在高载环境下使用）
–with-file-aio 启用file aio支持（一种APL文件传输格式）
–with-ipv6 启用ipv6支持
–with-http_ssl_mole 启用ngx_http_ssl_mole支持（使支持https请求，需已安装openssl）
–with-http_realip_mole 启用ngx_http_realip_mole支持（这个模块允许从请求标头更改客户端的IP地址值，默认为关）
–with-http_addition_mole 启用ngx_http_addition_mole支持（作为一个输出过滤器，支持不完全缓冲，分部分响应请求）
–with-http_xslt_mole 启用ngx_http_xslt_mole支持（过滤转换XML请求）
–with-http_image_filter_mole 启用ngx_http_image_filter_mole支持（传输JPEG/GIF/PNG 图片的一个过滤器）（默认为不启用。gd库要用到）
–with-http_geoip_mole 启用ngx_http_geoip_mole支持（该模块创建基于与MaxMind GeoIP二进制文件相配的客户端IP地址的ngx_http_geoip_mole变量）
–with-http_sub_mole 启用ngx_http_sub_mole支持（允许用一些其他文本替换nginx响应中的一些文本）
–with-http_dav_mole 启用ngx_http_dav_mole支持（增加PUT,DELETE,MKCOL：创建集合,COPY和MOVE方法）默认情况下为关闭，需编译开启
–with-http_flv_mole 启用ngx_http_flv_mole支持（提供寻求内存使用基于时间的偏移量文件）
–with-http_gzip_static_mole 启用ngx_http_gzip_static_mole支持（在线实时压缩输出数据流）
–with-http_random_index_mole 启用ngx_http_random_index_mole支持（从目录中随机挑选一个目录索引）
–with-http_secure_link_mole 启用ngx_http_secure_link_mole支持（计算和检查要求所需的安全链接网址）
–with-http_degradation_mole 启用ngx_http_degradation_mole支持（允许在内存不足的情况下返回204或444码）
–with-http_stub_status_mole 启用ngx_http_stub_status_mole支持（获取nginx自上次启动以来的工作状态）
–without-http_charset_mole 禁用ngx_http_charset_mole支持（重新编码web页面，但只能是一个方向–服务器端到客户端，并且只有一个字节的编码可以被重新编码）
–without-http_gzip_mole 禁用ngx_http_gzip_mole支持（该模块同-with-http_gzip_static_mole功能一样）
–without-http_ssi_mole 禁用ngx_http_ssi_mole支持（该模块提供了一个在输入端处理处理服务器包含文件（SSI）的过滤器，目前支持SSI命令的列表是不完整的）
–without-http_userid_mole 禁用ngx_http_userid_mole支持（该模块用来处理用来确定客户端后续请求的cookies）
–without-http_access_mole 禁用ngx_http_access_mole支持（该模块提供了一个简单的基于主机的访问控制。允许/拒绝基于ip地址）
–without-http_auth_basic_mole禁用ngx_http_auth_basic_mole（该模块是可以使用用户名和密码基于http基本认证方法来保护你的站点或其部分内容）
–without-http_autoindex_mole 禁用disable ngx_http_autoindex_mole支持（该模块用于自动生成目录列表，只在ngx_http_index_mole模块未找到索引文件时发出请求。）
–without-http_geo_mole 禁用ngx_http_geo_mole支持（创建一些变量，其值依赖于客户端的IP地址）
–without-http_map_mole 禁用ngx_http_map_mole支持（使用任意的键/值对设置配置变量）
–without-http_split_clients_mole 禁用ngx_http_split_clients_mole支持（该模块用来基于某些条件划分用户。条件如：ip地址、报头、cookies等等）
–without-http_referer_mole 禁用disable ngx_http_referer_mole支持（该模块用来过滤请求，拒绝报头中Referer值不正确的请求）
–without-http_rewrite_mole 禁用ngx_http_rewrite_mole支持（该模块允许使用正则表达式改变URI，并且根据变量来转向以及选择配置。如果在server级别设置该选项，那么他们将在 location之前生效。如果在location还有更进一步的重写规则，location部分的规则依然会被执行。如果这个URI重写是因为location部分的规则造成的，那么 location部分会再次被执行作为新的URI。 这个循环会执行10次，然后Nginx会返回一个500错误。）
–without-http_proxy_mole 禁用ngx_http_proxy_mole支持（有关代理服务器）
–without-http_fastcgi_mole 禁用ngx_http_fastcgi_mole支持（该模块允许Nginx 与FastCGI 进程交互，并通过传递参数来控制FastCGI 进程工作。 ）FastCGI一个常驻型的公共网关接口。
–without-http_uwsgi_mole 禁用ngx_http_uwsgi_mole支持（该模块用来医用uwsgi协议，uWSGI服务器相关）
–without-http_scgi_mole 禁用ngx_http_scgi_mole支持（该模块用来启用SCGI协议支持，SCGI协议是CGI协议的替代。它是一种应用程序与HTTP服务接口标准。它有些像FastCGI但他的设计 更容易实现。）
–without-http_memcached_mole 禁用ngx_http_memcached_mole支持（该模块用来提供简单的缓存，以提高系统效率）
-without-http_limit_zone_mole 禁用ngx_http_limit_zone_mole支持（该模块可以针对条件，进行会话的并发连接数控制）
–without-http_limit_req_mole 禁用ngx_http_limit_req_mole支持（该模块允许你对于一个地址进行请求数量的限制用一个给定的session或一个特定的事件）
–without-http_empty_gif_mole 禁用ngx_http_empty_gif_mole支持（该模块在内存中常驻了一个1*1的透明GIF图像，可以被非常快速的调用）
–without-http_browser_mole 禁用ngx_http_browser_mole支持（该模块用来创建依赖于请求报头的值。如果浏览器为modern ，则$modern_browser等于modern_browser_value指令分配的值；如 果浏览器为old，则$ancient_browser等于 ancient_browser_value指令分配的值；如果浏览器为 MSIE中的任意版本，则 $msie等于1）
–without-http_upstream_ip_hash_mole 禁用ngx_http_upstream_ip_hash_mole支持（该模块用于简单的负载均衡）
–with-http_perl_mole 启用ngx_http_perl_mole支持（该模块使nginx可以直接使用perl或通过ssi调用perl）
–with-perl_moles_path= 设定perl模块路径
–with-perl= 设定perl库文件路径
–http-log-path= 设定access log路径
–http-client-body-temp-path= 设定http客户端请求临时文件路径
–http-proxy-temp-path= 设定http代理临时文件路径
–http-fastcgi-temp-path= 设定http fastcgi临时文件路径
–http-uwsgi-temp-path= 设定http uwsgi临时文件路径
–http-scgi-temp-path= 设定http scgi临时文件路径
-without-http 禁用http server功能
–without-http-cache 禁用http cache功能
–with-mail 启用POP3/IMAP4/SMTP代理模块支持
–with-mail_ssl_mole 启用ngx_mail_ssl_mole支持
–without-mail_pop3_mole 禁用pop3协议（POP3即邮局协议的第3个版本,它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。是因特网电子邮件的第一个离线协议标 准,POP3协议允许用户从服务器上把邮件存储到本地主机上,同时根据客户端的操作删除或保存在邮件服务器上的邮件。POP3协议是TCP/IP协议族中的一员，主要用于 支持使用客户端远程管理在服务器上的电子邮件）
–without-mail_imap_mole 禁用imap协议（一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息，下载邮件等。IMAP协议运行在TCP/IP协议之上， 使用的端口是143。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载，可以通过客户端直接对服务器上的邮件进行操作。）
–without-mail_smtp_mole 禁用smtp协议（SMTP即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SMTP协议属于TCP/IP协议族，它帮助每台计算机在发送或中转信件时找到下一个目的地。）
–with-google_perftools_mole 启用ngx_google_perftools_mole支持（调试用，剖析程序性能瓶颈）
–with-cpp_test_mole 启用ngx_cpp_test_mole支持
–add-mole= 启用外部模块支持
–with-cc= 指向C编译器路径
–with-cpp= 指向C预处理路径
–with-cc-opt= 设置C编译器参数（PCRE库，需要指定–with-cc-opt=”-I /usr/local/include”，如果使用select()函数则需要同时增加文件描述符数量，可以通过–with-cc- opt=”-D FD_SETSIZE=2048”指定。）
–with-ld-opt= 设置连接文件参数。（PCRE库，需要指定–with-ld-opt=”-L /usr/local/lib”。）
–with-cpu-opt= 指定编译的CPU，可用的值为: pentium, pentiumpro, pentium3, pentium4, athlon, opteron, amd64, sparc32, sparc64, ppc64
–without-pcre 禁用pcre库
–with-pcre 启用pcre库
–with-pcre= 指向pcre库文件目录
–with-pcre-opt= 在编译时为pcre库设置附加参数
–with-md5= 指向md5库文件目录（消息摘要算法第五版，用以提供消息的完整性保护）
–with-md5-opt= 在编译时为md5库设置附加参数
–with-md5-asm 使用md5汇编源
–with-sha1= 指向sha1库目录（数字签名算法，主要用于数字签名）
–with-sha1-opt= 在编译时为sha1库设置附加参数
–with-sha1-asm 使用sha1汇编源
–with-zlib= 指向zlib库目录
–with-zlib-opt= 在编译时为zlib设置附加参数
–with-zlib-asm= 为指定的CPU使用zlib汇编源进行优化，CPU类型为pentium, pentiumpro
–with-libatomic 为原子内存的更新操作的实现提供一个架构
–with-libatomic= 指向libatomic_ops安装目录
–with-openssl= 指向openssl安装目录
–with-openssl-opt 在编译时为openssl设置附加参数
–with-debug 启用debug日志

B. nginx代理常用配置

1. 最简反向代理配置

在http节点下，使用upstream配置服务地址，使用server的location配置代理映射。

upstream my_server {

server 10.0.0.2:8080;

keepalive 2000;

}

server {

listen 80;

server_name 10.0.0.1;

client_max_body_size 1024M;

location /my/ {

proxy_pass http://my_server/;

proxy_set_header Host $host:$server_port;

}

}

通过该配置，访问nginx地址http://10.0.0.1:80/my的请求会被转发到my_server服务地址http://10.0.0.2:8080/。

需要注意的是，如果按照如下配置：

upstream my_server {

server 10.0.0.2:8080;

keepalive 2000;

}

server {

listen 80;

server_name 10.0.0.1;

client_max_body_size 1024M;

location /my/ {

proxy_pass http://my_server;

proxy_set_header Host $host:$server_port;

}

}

那么，访问nginx地址http://10.0.0.1:80/my的请求会被转发到my_server服务地址http://10.0.0.2:8080/my。这是因为proxy_pass参数中如果不包含url的路径，则会将location的pattern识别的路径作为绝对路径。

2. 重定向报文代理

即便配置了nginx代理，当服务返回重定向报文时（http code为301或302），会将重定向的目标url地址放入http response报文的header的location字段内。用户浏览器收到重定向报文时，会解析出该字段并作跳转。此时新的请求报文将直接发送给服务地址，而非nginx地址。为了能让nginx拦截此类请求，必须修改重定向报文的location信息。

location /my/ {

proxy_pass http://my_server;

proxy_set_header Host $host:$server_port;

proxy_redirect / /my/;

}

使用proxy_redirect可以修改重定向报文的location字段，例子中会将所有的根路径下的url代理到nginx的/my/路径下返回给用户。比如服务返回的重定向报文的location原始值为/login，那么经过nginx代理后，用户收到的报文的location字段为/my/login。此时，浏览器将会跳转到nginx的/my/login地址进行访问。

需要注意的是，服务返回的重定向报文的location字段有时会填写绝对路径（包含服务的ip/域名和端口），有时候会填写相对路径，此时需要根据实际情况进行甄别。

location /my/ {

proxy_pass http://my_server;

proxy_set_header Host $host:$server_port;

proxy_redirect http://my_server/ http://$host:$server_port/my/;

}

上述配置便是将my_server服务的根路径下的所有路径代理到nginx地址的/my/路径下。当nginx配置只有一个server时，http://$host:$server_port前缀可以省略。

3. 报文数据替换

使用nginx代理最牛（dan）逼（sui）的情况就是http响应报文内写死了服务地址或web绝对路径。写死服务地址的情况比较少见，但也偶尔存在。最棘手的是写死了web绝对路径，尤其是绝对路径都没有公共前缀。举个例子来说：

一般的web页面会包含如下类似路径：

/public：用于静态页面资源，如js脚本/public/js，样式表/public/css，图片/public/img等。

/static：和/public类似。

/api：用于后台服务API接口。

/login：用于登录验证。

其他。

对于这样的服务，可能的代理配置如下：

location /my/ {

proxy_pass http://my_server/;

proxy_set_header Host $host:$server_port;

proxy_redirect / /my/;

}

location /login/ {

proxy_pass http://my_server/public;

proxy_set_header Host $host:$server_port;

}

location /public/ {

proxy_pass http://my_server/public;

proxy_set_header Host $host:$server_port;

}

location /api/ {

proxy_pass http://my_server/api;

proxy_set_header Host $host:$server_port;

}

由于web页面或静态资源内写死了类似的绝对路径，那么对于用户来说，通过页面内的链接进行跳转时，都会请求到nginx服务对应的路径上。一旦存在另一个服务也包含类似的路径，也需要nginx进行代理，那么矛盾就出现了：访问nginx的同一个路径下的请求究竟转发给哪一个服务？

要解决这个问题，必须在用户收到报文前，将报文的数据中包含的绝对路径都添加统一的前缀，如/my/public，/my/api，/my/login，这样nginx代理配置则可以简化为：

location /my/ {

proxy_pass http://my_server/;

proxy_set_header Host $host:$server_port;

proxy_redirect / /my/;

}

location /other/ {

proxy_pass http://other_server/;

proxy_set_header Host $host:$server_port;

proxy_redirect / /other/;

}

nginx的ngx_http_sub_mole模块提供了类似的报文数据替换功能，该模块默认不会安装，需要在编译nginx时添加--with-http_sub_mole参数，或者直接下载nginx的rpm包。

使用sub_filter对数据包进行替换的语法如下：

location /my/ {

proxy_pass http://my_server/;

proxy_set_header Host $host:$server_port;

sub_filter 'href="/' 'href="/my/';

sub_filter 'src="/' 'src="/my/';

sub_filter_types text/html;

sub_filter_once off;

}

上述配置会将/my/下的所有响应报文内容的href="/替换为href="/my，以及src="/替换为src="/my，即为所有的绝对路径添加公共前缀。

注意，如果需要配置多个sub_filter，必须保证nginx是1.9.4版本之上的。

C. 您好，我的论坛linux nginx服务器 速度有些慢，请问有优化方法吗

一、编译安装过程优化

1.减小Nginx编译后的文件大小
在编译Nginx时，默认以debug模式进行，而在debug模式下会插入很多跟踪和ASSERT之类的信息，编译完成后，一个Nginx要有好几兆字
节。在编译前取消Nginx的debug模式，编译完成后Nginx只有几百千字节，因此可以在编译之前，修改相关源码，取消debug模式，具体方法如
下：
在Nginx源码文件被解压后，找到源码目录下的auto/cc/gcc文件，在其中找到如下几行：
# debug CFLAGS=”$CFLAGS -g”

注释掉或删掉这两行，即可取消debug模式。

2.为特定的CPU指定CPU类型编译优化
在编译Nginx时，默认的GCC编译参数是“-O”，要优化GCC编译，可以使用以下两个参数：
--with-cc-opt='-O3'
--with-cpu-opt=CPU #为特定的 CPU 编译，有效的值包括：pentium, pentiumpro, pentium3, pentium4, athlon, opteron, amd64, sparc32, sparc64, ppc64
要确定CPU类型，可以通过如下命令:
[root@localhost home]#cat /proc/cpuinfo | grep "model name"

二、利用TCMalloc优化Nginx的性能
TCMalloc的全称为Thread-Caching
Malloc，是谷歌开发的开源工具“google-perftools”中的一个成员。与标准的glibc库的malloc相比，TCMalloc库在
内存分配效率和速度上要高很多，这在很大程度上提高了服务器在高并发情况下的性能，从而降低系统负载。下面简单介绍如何为Nginx添加TCMalloc
库支持。
要安装TCMalloc库，需要安装libunwind（32位操作系统不需要安装）和google-perftools两个软件包，libunwind
库为基于64位CPU和操作系统的程序提供了基本函数调用链和函数调用寄存器功能。下面介绍利用TCMalloc优化Nginx的具体操作过程：

1.安装libunwind库
可以从http://download.savannah.gnu.org/releases/libunwind下载相应的libunwind版本，这里下载的是libunwind-0.99-alpha.tar.gz，安装过程如下：

[root@localhost home]#tar zxvf libunwind-0.99-alpha.tar.gz [root@localhost home]# cd libunwind-0.99-alpha/ [root@localhost libunwind-0.99-alpha]#CFLAGS=-fPIC ./configure [root@localhost libunwind-0.99-alpha]#make CFLAGS=-fPIC [root@localhost libunwind-0.99-alpha]#make CFLAGS=-fPIC install

2.安装google-perftools
可以从http://google-perftools.googlecode.com下载相应的google-perftools版本，这里下载的是google-perftools-1.8.tar.gz，安装过程如下：

[root@localhost home]#tar zxvf google-perftools-1.8.tar.gz [root@localhost home]#cd google-perftools-1.8/ [root@localhost google-perftools-1.8]# ./configure [root@localhost google-perftools-1.8]#make && make install [root@localhost google-perftools-1.8]#echo "/usr/local/lib" > /etc/ld.so.conf.d/usr_local_lib.conf [root@localhost google-perftools-1.8]# ldconfig

至此，google-perftools安装完成。

3.重新编译Nginx
为了使Nginx支持google-perftools，需要在安装过程中添加“–with-google_perftools_mole”选项重新编译Nginx，安装代码如下：

[[email protected]]#./configure \ >--with-google_perftools_mole --with-http_stub_status_mole --prefix=/opt/nginx [root@localhost nginx-0.7.65]#make [root@localhost nginx-0.7.65]#make install

到这里Nginx安装完成。

4.为google-perftools添加线程目录
创建一个线程目录，这里将文件放在/tmp/tcmalloc下，操作如下：

[root@localhost home]#mkdir /tmp/tcmalloc [root@localhost home]#chmod 0777 /tmp/tcmalloc

5.修改Nginx主配置文件
修改nginx.conf文件，在pid这行的下面添加如下代码：

#pid logs/nginx.pid; google_perftools_profiles /tmp/tcmalloc;

接着，重启Nginx，完成google-perftools的加载。

6.验证运行状态
为了验证google-perftools已经正常加载，通过如下命令查看：

[root@ localhost home]# lsof -n | grep tcmalloc nginx 2395 nobody 9w REG 8,8 0 1599440 /tmp/tcmalloc.2395 nginx 2396 nobody 11w REG 8,8 0 1599443 /tmp/tcmalloc.2396 nginx 2397 nobody 13w REG 8,8 0 1599441 /tmp/tcmalloc.2397 nginx 2398 nobody 15w REG 8,8 0 1599442 /tmp/tcmalloc.2398

由于在Nginx配置文件中，设置worker_processes的值为4，因此开启了4个Nginx线程，每个线程会有一行记录。每个线程文件后面的数字值就是启动的Nginx的PID值。
至此，利用TCMalloc优化Nginx的操作完成。

三、Nginx内核参数优化
内核参数的优化，主要是在Linux系统中针对Nginx应用而进行的系统内核参数优化，常见的优化参数值如下。
下面给出一个优化实例以供参考：
net.ipv4.tcp_max_tw_buckets = 6000 net.ipv4.ip_local_port_range = 1024 65000 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_syncookies = 1 net.core.somaxconn = 262144 net.core.netdev_max_backlog = 262144 net.ipv4.tcp_max_orphans = 262144 net.ipv4.tcp_max_syn_backlog = 262144 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_syn_retries = 1 net.ipv4.tcp_fin_timeout = 1 net.ipv4.tcp_keepalive_time = 30
将上面的内核参数值加入/etc/sysctl.conf文件中，然后执行如下命令使之生效：
[root@ localhost home]#/sbin/sysctl -p
下面是对实例中选项的含义进行介绍：
 net.ipv4.tcp_max_tw_buckets参数用来设定timewait的数量，默认是180000，这里设为6000。
 net.ipv4.ip_local_port_range选项用来设定允许系统打开的端口范围。
 net.ipv4.tcp_tw_recycle选项用于设置启用timewait快速回收。
 net.ipv4.tcp_tw_reuse选项用于设置开启重用，允许将TIME-WAIT sockets重新用于新的TCP连接。
 net.ipv4.tcp_syncookies选项用于设置开启SYN Cookies，当出现SYN等待队列溢出时，启用cookies进行处理。
 net.core.somaxconn选项默认值是128， 这个参数用于调节系统同时发起的tcp连接数，在高并发的请求中，默认的值可能会导致链接超时或者重传，因此，需要结合并发请求数来调节此值。
 net.core.netdev_max_backlog选项表示当每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许发送到队列的数据包的最大数目。
 net.ipv4.tcp_max_orphans选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数
字，孤立连接将立即被复位并打印出警告信息。这个限制只是为了防止简单的DoS攻击。不能过分依靠这个限制甚至人为减小这个值，更多的情况是增加这个值。
 net.ipv4.tcp_max_syn_backlog选项用于记录那些尚未收到客户端确认信息的连接请求的最大值。对于有128MB内存的系统而言，此参数的默认值是1024，对小内存的系统则是128。
 net.ipv4.tcp_synack_retries参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。
 net.ipv4.tcp_syn_retries选项表示在内核放弃建立连接之前发送SYN包的数量。
 net.ipv4.tcp_fin_timeout选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。正确设置这个值非常重要，有时候即使一个负载很小的Web服务器，也会出现因为大量的死套接字而产生内存溢出的风险。
 net.ipv4.tcp_keepalive_time选项表示当keepalive启用的时候，TCP发送keepalive消息的频度。默认值是2（单位是小时）。

D. windows下怎样修改nginx的编译参数呢

我不熟悉汇编，但是我知道c++和汇编兼容的。
你可以试试直接开一个windows的console的project，然后把内容转成vc编译器的写法吧。
我的经验是main函数的名字肯定不一样，所以当把main里面的内容拷贝过去，main的框子直接用vc自己的。
不熟汇编，但望有帮助。

E. 安全开发运维必备的Nginx代理Web服务器性能优化与安全加固配置

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助: http://nginx.org/en/docs/
Nginx首页地址目录: /usr/share/nginx/html
Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：http://nginx.org/en/docs/configure.html

http_gzip模块
开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_mole模块
nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块
长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_mole模块
Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符
文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。
例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数
修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能
NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。
对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响
加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。
加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"../nginx.status"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。
加固方法：nginx.conf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞
加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。
加固方法：nginx.conf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/1.1）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginx.conf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginx.conf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginx.conf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginx.conf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_mole，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_mole 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化
如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-3.1.9/bin/httpd.sh 在不影响其他代码的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: https://blog.weiyigeek.top/2019/9-2-122.html

F. Linux 搭建 Nginx （图片服务器）

打开nginx官网 http://nginx.org/en/download.html

yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel

cd /usr/local/
tar -zxvf nginx-1.20.1.tar.gz

./configure --with-http_ssl_mole
编译参数有很多，这边我只增加了SSL模块，小伙伴可以根据自身情况调整
--prefix=PATH：指定 nginx 的安装目录
--conf-path=PATH：指定 nginx.conf 配置文件路径
--user=NAME：nginx 工作进程的用户
--with-pcre：开启 PCRE 正则表达式的支持
--with-http_ssl_mole：启动 SSL 的支持
--with-http_stub_status_mole：用于监控 Nginx 的状态
--with-http-realip_mole：允许改变客户端请求头中客户端 IP 地址
--with-file-aio：启用 File AIO
--add-mole=PATH：添加第三方外部模块

make
执行完上述命令后，在解压目录下，多出一个Makefile文件

make install
因编译时未指定安装目录，执行make install 命令后看到反馈日志信息，实际安装目录为/usr/local/nginx

进入实际安装目录，看看，并在其sbin目录下执行启动nginx
cd /usr/local/nginx/

浏览器访问 http://ip:80 , 显示如下图则代表部署成功

进入 /usr/local/nginx/conf/ 文件夹，找到nginx.conf 文件

worker_processes 1;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
server {
listen 8088;
server_name localhost;
location ~ .*.(gif|jpg|jpeg|png|apk|pdf)$ {
expires 24h;
root /usr/local/img/;#指定图片存放路径
access_log /usr/local/nginx/logs/images.log;#日志路径
proxy_store on;
proxy_store_access user:rw group:rw all:rw;
proxy_temp_path /usr/local/img/;#代理临时路径
proxy_redirect off;

}

修改配置文件，内容如上

cd /usr/local/nginx/sbin

./nginx -s reload

浏览器输入 http://ip:8088/1.png ,查看是否能正常显示图片