高并发下Nginx优化（一）

高并发下Nginx整合方案

一、 高并发架构分析

什么是高并发?
• 高并发（High Concurrency）是互联网分布式系统架构设计中必须考虑的因素之一，它通常是
指，通过设计保证系统能够同时并行处理很多请求。
• 高并发相关常用的一些指标有响应时间（Response Time），吞吐量（Throughput），每秒查
询率QPS（Query Per Second），并发用户数等。
• 响应时间：系统对请求做出响应的时间
• 吞吐量：单位时间内处理的请求数量。
• QPS：每秒响应请求数
如何提升系统的并发能力?
• 互联网分布式架构设计，提高系统并发能力的方式，方法论上主要有两种：垂直扩展（Scale
Up）与水平扩展（Scale Out）。
• 垂直扩展：提升单机处理能力。垂直扩展的方式又有两种。
• 增强单机硬件性能
• 提升单机架构性能
在互联网业务发展非常迅猛的早期，如果预算不是问题，强烈建议使用“增强单机硬件性能”的
方式提升系统并发能力，因为这个阶段，公司的战略往往是发展业务抢时间，而“增强单机硬件性
能”往往是最快的方法。
不管是提升单机硬件性能，还是提升单机架构性能，都有一个致命的不足：单机性能总是有极限
的。所以互联网分布式架构设计高并发终极解决方案还是水平扩展。
水平扩展：只要增加服务器数量，就能线性扩充系统性能。

二、高并发下Nginx配置限流
三种方式实现：
• limit_conn_zone
• limit_req_zone
• ngx_http_upstream_module
前两种只能对客户端（即单一ip限流）
Ab工具：
• Centos安装：yum install httpd-tools –y
• 测试：ab -c 10 -n 1000 http://127.0.0.1/

• limit_conn_zone
http{
limit_conn_zone $binary_remote_addr zone=one:10m;
server
{
......
limit_conn one 10;
......
}
}
• 其中“limit_conn one 10”既可以放在server层对整个server有效，也可以放在location中只对单独的location有效

• limit_req_zone
http{
limit_req_zone $binary_remote_addr zone=req_one:10m rate=1r/s;
server
{
......
limit_req zone=req_one burst=120;
......
}
}
• 其中“limit_req zone=req_one burst=120”既可以放在server层对整个server有效，也可以放在location中只对单独的location有
效
• rate=1r/s的意思是每个地址每秒只能请求一次，也就是说令牌桶burst=120一共有120块令牌，并且每秒钟只新增1块令牌，120块令
牌发完后，多出来的请求就会返回503

• ngx_http_upstream_module(推荐)
upstream xxxx{
• 该模块是提供了我们需要的后端限流功能的
• 该模块有一个参数：max_conns可以对服务端进行限流，可惜在商业版nginx中才能使用
• 在nginx1.11.5版本以后，官方已经将该参数从商业版中脱离出来了，也就是说只要我们将生产
上广泛使用的nginx1.9.12版本和1.10版本升级即可使用
server 127.0.0.1:8080 max_conns=10;
server 127.0.0.1:8081 max_conns=10;
}
三、Nginx安全配置
版本安全 http { server_tokens off; }
IP安全 白名单配置：只允许下面ip访问
location / {
allow 192.168.136.1;
deny all;
}
黑名单配置：禁止访问
location / {
deny 192.168.136.2;
allow all;
}

文件安全  location /logs {
            autoindex on;
            root /opt/nginx/;
        }

     location ^/logs~*\.(log|txt)$ {
        add_header Content-Type text/plain;
        root /opt/nginx/;
    }

连接安全 开启 HTTPS

四、Nginx配置进程数、并发数、系统优化
调整Nginx的主配置文件,增加并发量
worker_processes 2; #调整到与CPU数量一致
events {
worker_connection 65535; #每个worker最大并发连接数
}
l 调整内核参数
[root@proxy ~]# ulimit -a #查看所有的属性值
[root@proxy ~]# ulimit -Hn 100000 #临时设置硬限制
[root@proxy ~]# ulimit -Sn 100000 #设置软限制
[root@proxy ~]# vim /etc/security/limits.conf
...

• soft nofile 100000
• hard nofile 100000
  用户/组 软/硬限制 需要限制的项目 限制的值
  l 验证
  [root@proxy ~]# ab -n 2000 -c 2000 http://192.168.136.131/ #自己访问自己,测试一下配置效果