издание на nginx 1.16.0

След година на развитие представлявано от нов стабилен клон на високопроизводителен HTTP сървър и мултипротоколен прокси сървър nginx 1.16.0, който абсорбира промените, натрупани в основния клон 1.15.x. В бъдеще всички промени в стабилния клон 1.16 ще бъдат свързани с отстраняването на сериозни грешки и уязвимости. Скоро ще се формира основният клон на nginx 1.17, в рамките на който ще продължи разработването на нови функции. За обикновени потребители, които нямат задачата да осигурят съвместимост с модули на трети страни, препоръчва се използвайте основния клон, въз основа на който се формират версии на търговския продукт Nginx Plus на всеки три месеца.

Най-забележителните подобрения, добавени по време на разработката на клона нагоре по веригата 1.15.x:

• Добавена е възможност за използване на променливи в директивиssl_certificate' и 'ssl_сертификат_ключ', който може да се използва за динамично зареждане на сертификати;
• Добавена е възможност за зареждане на SSL сертификати и секретни ключове от променливи без използване на междинни файлове;
• В блока "срещу течението» въведена нова директива «случаен“, с помощта на който можете да организирате балансиране на натоварването с произволен избор на сървър за пренасочване на връзката;
• В модула ngx_stream_ssl_preread внедрена променлива $ssl_preread_protocol,
  който указва най-високата версия на SSL/TLS протокола, която клиентът поддържа. Променливата позволява създаване на конфигурации за достъп чрез използване на различни протоколи със и без SSL през един мрежов порт при проксииране на трафик чрез модулите http и stream. Например, за да организирате достъпа чрез SSH и HTTPS през един порт, порт 443 може да бъде пренасочен по подразбиране към SSH, но ако е дефинирана SSL версията, пренасочва към HTTPS.

• Добавена е нова променлива към модула нагоре по веригата "$upstream_bytes_sent", който показва броя на байтовете, прехвърлени към груповия сървър;
• Към модула поток в рамките на една сесия е добавена възможност за обработка на няколко входящи UDP дейтаграми от клиента;
• директивата"proxy_requests", указва броя на дейтаграмите, получени от клиента, при достигането на които обвързването между клиента и съществуващата UDP сесия се премахва. След получаване на определения брой дейтаграми, следващата дейтаграма, получена от същия клиент, започва нова сесия;
• Директивата за слушане вече има способността да указва диапазони на портове;
• Добавена директива "ssl_early_data» за активиране на режима 0-RTT когато използвате TLSv1.3, което ви позволява да запазите предварително договорени параметри на TLS връзка и да намалите броя на RTT до 2 при възобновяване на предишна установена връзка;
• Добавени са нови директиви за конфигуриране на keepalive за изходящи връзки (активиране или деактивиране на опцията SO_KEEPALIVE за сокети):
  • «proxy_socket_keepalive" - конфигурира поведението "TCP keepalive" за изходящи връзки към прокси сървъра;
  • «fastcgi_socket_keepalive" - конфигурира поведението "TCP keepalive" за изходящи връзки към FastCGI сървъра;
  • «grpc_socket_keepalive" - конфигурира поведението "TCP keepalive" за изходящи връзки към gRPC сървъра;
  • «memcached_socket_keepalive" - конфигурира поведението "TCP keepalive" за изходящи връзки към memcached сървъра;
  • «scgi_socket_keepalive" - конфигурира поведението "TCP keepalive" за изходящи връзки към SCGI сървъра;
  • «uwsgi_socket_keepalive" - конфигурира поведението "TCP keepalive" за изходящи връзки към uwsgi сървъра.
• В директивата "limit_req" добавен нов параметър „закъснение“, който задава лимит, след който се забавят излишните заявки;
• Нови директиви “keepalive_timeout” и “keepalive_requests” са добавени към блока “upstream” за задаване на ограничения за Keepalive;
• Директивата "ssl" е отхвърлена, заменена от параметъра "ssl" в директивата "listen". Липсващите SSL сертификати вече се откриват на етапа на тестване на конфигурацията, когато се използва директивата „listen“ с параметъра „ssl“ в настройките;
• Когато използвате директивата reset_timedout_connection, връзките вече се затварят с код 444, когато времето за изчакване изтече;
• SSL грешки „http заявка“, „https прокси заявка“, „неподдържан протокол“ и „версия твърде ниска“ вече се показват в дневника с ниво „info“ вместо „crit“;
• Добавена е поддръжка за метода на анкета на системи с Windows при използване на Windows Vista и по-нова версия;
• Възможност за използване TLSv1.3 когато изграждате с библиотеката BoringSSL, а не само с OpenSSL.

Източник: opennet.ru