Nginx正向代理 反向代理 负载均衡及性能优化

一、Nginx是什么

Nginx是一款高性能的 HTTP 和反向代理服务器，由俄罗斯人Igor Sysoev（伊戈尔·赛索耶夫）为俄罗斯网站Rambler.ru开发的，在Rambler.ru网站平稳的运行了四年，而且俄罗斯超过20%的虚拟主机平台采用Nginx作为反向代理服务器。

在国内，使用nginx网站有：百度、京东、金山爱词霸、新浪、校内网、淘宝、YUPOO相册、豆瓣、迅雷看看、网易、腾讯等。

二、Nginx的优点

高并发量：根据官方给出的数据，能够支持高达 50,000 个并发连接数的响应；内存消耗少：处理静态文件，同样起 web 服务，比 apache 占用更少的内存及资源，所有它是轻量级的；简单稳定：配置简单，基本在一个conf文件中配置，性能比较稳定，可以7*24小时长时间不间断运行；模块化程度高：Nginx是高度模块化的设计，编写模块相对简单，包括 gzipping, byte ranges, chunked responses,以及 SSI-filter 等 filter，支持 SSL 和 TLSSNI；支持Rwrite重写规则：能够根据域名、URL的不同， 将HTTP请求分发到不同的后端服务器群组；支持多系统：Nginx代码完全用C语言从头写成，已经移植到许多体系结构和操作系统，包括：Linux、FreeBSD、Solaris、Mac OS X、AIX以及Microsoft Windows，由于Nginx是免费开源的，可以在各系统上编译并使用；

三、Nginx的缺点

动态处理差：nginx处理静态文件好，耗费内存少，但是处理动态页面则很鸡肋，现在一般前端用nginx作为反向代理抗住压力，Tomcat作为后端处理动态请求。rewrite弱：虽然nginx支持rewrite功能，但是相比于Apache来说，Apache比nginx 的rewrite 强大；

四、正向代理

正向代理类似一个跳板机，代理访问外部资源。

举个例子：

我是一个用户，我访问不了某网站，但是我能访问一个代理服务器，这个代理服务器呢,他能访问那个我不能访问的网站，于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容，代理服务器去取回来，然后返回给我。从网站的角度，只在代理服务器来取内容的时候有一次记录，有时候并不知道是用户的请求，也隐藏了用户的资料，这取决于代理告不告诉网站。

客户端必须设置正向代理服务器，当然前提是要知道正向代理服务器的IP地址，还有代理程序的端口。

总结来说：

正向代理是一个位于客户端和原始服务器(origin server)之间的服务器，为了从原始服务器取得内容，客户端向代理发送一个请求并指定目标(原始服务器)，然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些特别的设置才能使用正向代理。

正向代理的用途：

访问原来无法访问的资源，如google；可以做缓存，加速访问资源；对客户端访问授权，上网进行认证；代理可以记录用户访问记录（上网行为管理），对外隐藏用户信息；

五、反向代理

对于反向代理来说，客户端是无感知代理的存在的，反向代理对外都是透明的，访问者者并不知道自己访问的是一个代理。因为客户端不需要任何配置就可以访问。

反向代理（Reverse Proxy）实际运行方式是指以代理服务器来接受internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。

反向代理的作用：

保证内网的安全，可以使用反向代理提供WAF功能，阻止web攻击。大型网站，通常将反向代理作为公网访问地址，Web服务器是内网。 负载均衡，通过反向代理服务器来优化网站的负载

二者的区别：

正向代理中，代理服务器和客户端处于同一网络环境下，对server透明；反向代理中，代理服务器和服务端处于同一网络环境下，对client透明；实际上，代理服务器在两种代理中做的事都是收发请求和响应。正向代理代理客户端发送请求给服务端，反向代理代理服务端响应数据给客户端；

六、负载均衡及反向代理配置

负载均衡

反向代理

七、性能优化

一般来说nginx配置文件中对优化比较有作用的为以下几项：

1、worker_processes 8

nginx进程数，建议按照cpu数目来指定，一般为它的倍数

2、worker_cpu_affinity00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000

为每个进程分配cpu，上例中将8个进程分配到8个cpu，当然可以写多个，或者将一个进程分配到多个cpu

3、worker_rlimit_nofile 102400

这个指令是指当一个nginx进程打开的最多文件描述符数目，理论值应该是最多打开文件数（ulimit -n）与nginx进程数相除，但是nginx分配请求并不是那么均匀，所以最好与ulimit -n的值保持一致

4、use epoll

使用epoll的I/O模型，用这个模型来高效处理异步事件

5、worker_connections 102400

每个进程允许的最多连接数，理论上每台nginx服务器的最大连接数为：worker_processes*worker_connections

6、keepalive_timeout 60

http连接超时时间，默认是60s，功能是使客户端到服务器端的连接在设定的时间内持续有效，当出现对服务器的后继请求时，该功能避免了建立或者重新建立连接。切记这个参数也不能设置过大！否则会导致许多无效的http连接占据着nginx的连接数，终nginx崩溃！

7、client_header_buffer_size 4k

客户端请求头部的缓冲区大小，这个可以根据你的系统分页大小来设置，一般一个请求的头部大小不会超过1k，不过由于一般系统分页都要大于1k，所以这里设置为分页大小。分页大小可以用命令getconf PAGESIZE取得

8、open_file_cache max=102400 inactive=20s

这个将为打开文件指定缓存，默认是没有启用的，max指定缓存数量，建议和打开文件数一致，inactive是指经过多长时间文件没被请求后删除缓存

9、open_file_cache_valid 30s

这个是指多长时间检查一次缓存的有效信息

10、open_file_cache_min_uses 1

open_file_cache指令中的inactive参数时间内文件的最少使用次数，如果超过这个数字，文件描述符一直是在缓存中打开的，如上例，如果有一个文件在inactive时间内一次没被使用，它将被移除

11、server_tokens off

隐藏响应头中的有关操作系统和web server（Nginx）版本号的信息，这样对于安全性是有好处的

下面是一个简单的nginx配置文件：

user www www;worker_processes 8;worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000;error_log /www/log/nginx_error.log crit;pid /usr/local/nginx/nginx.pid;worker_rlimit_nofile 204800;events{use epoll;worker_connections 204800;}http{include mime.types;default_type application/octet-stream;charset utf-8;server_names_hash_bucket_size 128;client_header_buffer_size 2k;large_client_header_buffers 4 4k;client_max_body_size 8m;sendfile on;tcp_nopushon;keepalive_timeout 60;fastcgi_cache_path /usr/local/nginx/fastcgi_cache levels=1:2keys_zone=TEST:10minactive=5m;fastcgi_connect_timeout 300;fastcgi_send_timeout 300;fastcgi_read_timeout 300;fastcgi_buffer_size 16k;fastcgi_buffers 16 16k;fastcgi_busy_buffers_size 16k;fastcgi_temp_file_write_size 16k;fastcgi_cache TEST;fastcgi_cache_valid 200 302 1h;fastcgi_cache_valid 301 1d;fastcgi_cache_valid any 1m;fastcgi_cache_min_uses 1;fastcgi_cache_use_stale error timeout invalid_header http_500; open_file_cache max=204800 inactive=20s;open_file_cache_min_uses 1;open_file_cache_valid 30s; tcp_nodelay on;gzip on;gzip_min_length 1k;gzip_buffers4 16k;gzip_http_version 1.0;gzip_comp_level 2;gzip_types text/plain application/x-javascript text/css application/xml;gzip_vary on;server{listen 8080;server_name ;index index.php index.htm;root /www/html/;location /status{stub_status on;}location ~ .*\.(php|php5)?${fastcgi_pass 127.0.0.1:9000;fastcgi_index index.php;include fcgi.conf;}location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|js|css)${expires 30d;}log_format access '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" $http_x_forwarded_for';access_log /www/log/access.log access;}}

关于内核参数的优化（在/etc/sysctl.conf文件内）：

1、net.ipv4.tcp_max_tw_buckets = 6000

timewait的数量，默认是180000。(Deven:因此如果想把timewait降下了就要把tcp_max_tw_buckets值减小)

2、net.ipv4.ip_local_port_range = 1024 65000

允许系统打开的端口范围

3、net.ipv4.tcp_tw_recycle = 0

启用TIME-WAIT状态sockets快速回收功能;用于快速减少在TIME-WAIT状态TCP连接数。1表示启用;0表示关闭。但是要特别留意的是：这个选项一般不推荐启用，因为在NAT(Network Address Translation)网络下，会导致大量的TCP连接建立错误，从而引起网站访问故障

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

实际上，net.ipv4.tcp_tw_recycle功能的开启，要需要net.ipv4.tcp_timestamps（一般系统默认是开启这个功能的）这个开关开启后才有效果；

当tcp_tw_recycle 开启时（tcp_timestamps 同时开启，快速回收 socket 的效果达到），对于位于NAT设备后面的 Client来说，是一场灾难！

会导致到NAT设备后面的Client连接Server不稳定（有的 Client 能连接 server，有的 Client 不能连接 server）。

也就是说，tcp_tw_recycle这个功能，是为内部网络（网络环境自己可控 ” ——不存在NAT 的情况）设计的，对于公网环境下，不宜使用。

通常来说，回收TIME_WAIT状态的socket是因为“无法主动连接远端”，因为无可用的端口，而不应该是要回收内存（没有必要）。

即：需求是Client的需求，Server会有“端口不够用”的问题吗？

除非是前端机，需要大量的连接后端服务，也就是充当着Client的角色。

正确的解决这个总是办法应该是：

net.ipv4.ip_local_port_range = 9000 6553 #默认值范围较小

net.ipv4.tcp_max_tw_buckets = 10000 #默认值较小，还可适当调小

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_fin_timeout = 10

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

4、net.ipv4.tcp_tw_reuse = 1

开启重用功能，允许将TIME-WAIT状态的sockets重新用于新的TCP连接。这个功能启用是安全的，一般不要去改动！

5、net.ipv4.tcp_syncookies = 1

开启SYN Cookies，当出现SYN等待队列溢出时，启用cookies来处理

6、net.core.somaxconn = 262144

Web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128，而nginx定义的NGX_LISTEN_BACKLOG默认为511，所以有必要调整这个值

7、dev_max_backlog = 262144

每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目

8、net.ipv4.tcp_max_orphans = 262144

系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤儿连接将即刻被复位并打印出警告信息。这个限制仅仅是为了防止简单的DoS攻击，不能过分依靠它或者人为地减小这个值，更应该增加这个值(如果增加了内存之后)

9、net.ipv4.tcp_max_syn_backlog = 262144

录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言，缺省值是1024，小内存的系统则是128

10、net.ipv4.tcp_timestamps = 1

时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。

11、net.ipv4.tcp_synack_retries = 1

为了打开对端的连接，内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量

12、net.ipv4.tcp_syn_retries = 1

在内核放弃建立连接之前发送SYN包的数量

13、net.ipv4.tcp_fin_timeout = 30

如果套接字由本端要求关闭，这个参数 决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接，甚至意外当机。缺省值是60秒。2.2 内核的通常值是180秒，你可以按这个设置，但要记住的是，即使你的机器是一个轻载的WEB服务器，也有因为大量的死套接字而内存溢出的风险，FIN- WAIT-2的危险性比FIN-WAIT-1要小，因为它最多只能吃掉1.5K内存，但是它们的生存期长些

14、net.ipv4.tcp_keepalive_time = 30

当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时

下面贴出一个常用的内核参数的标准配置：

1 net.ipv4.ip_forward = 0 2 net.ipv4.conf.default.rp_filter = 1 3 net.ipv4.conf.default.accept_source_route = 0 4 kernel.sysrq = 0 5 kernel.core_uses_pid = 1 6 net.ipv4.tcp_syncookies = 1 7 kernel.msgmnb = 65536 8 kernel.msgmax = 65536 9 kernel.shmmax = 6871947673610 kernel.shmall = 429496729611 net.ipv4.tcp_max_tw_buckets = 600012 net.ipv4.tcp_sack = 113 net.ipv4.tcp_window_scaling = 114 net.ipv4.tcp_rmem = 4096 87380 419430415 net.ipv4.tcp_wmem = 4096 16384 419430416 net.core.wmem_default = 838860817 net.core.rmem_default = 838860818 net.core.rmem_max = 1677721619 net.core.wmem_max = 1677721620 dev_max_backlog = 26214421 net.core.somaxconn = 26214422 net.ipv4.tcp_max_orphans = 327680023 net.ipv4.tcp_max_syn_backlog = 26214424 net.ipv4.tcp_timestamps = 025 net.ipv4.tcp_synack_retries = 126 net.ipv4.tcp_syn_retries = 127 net.ipv4.tcp_tw_recycle = 128 net.ipv4.tcp_tw_reuse = 129 net.ipv4.tcp_mem = 94500000 915000000 92700000030 net.ipv4.tcp_fin_timeout = 131 net.ipv4.tcp_keepalive_time = 3032 net.ipv4.ip_local_port_range = 10246500033 net.ipv4.ip_conntrack_max = 6553500

如果觉得《Nginx正向代理 反向代理 负载均衡及性能优化》对你有帮助，请点赞、收藏，并留下你的观点哦！