ProHoster > Bloc > notícies d'internet > versió nginx 1.16.0

versió nginx 1.16.0

Després d'un any de desenvolupament representat per nova branca estable de servidor HTTP d'alt rendiment i servidor intermediari multiprotocol nginx 1.16.0, que va absorbir els canvis acumulats dins de la branca principal 1.15.x. En el futur, tots els canvis a la branca estable 1.16 estaran relacionats amb l'eliminació d'errors i vulnerabilitats greus. Aviat es formarà la branca principal de nginx 1.17, dins de la qual continuarà el desenvolupament de noves funcions. Per als usuaris corrents que no tinguin la tasca de garantir la compatibilitat amb mòduls de tercers, es recomana utilitzeu la branca principal, sobre la base de la qual es formen llançaments del producte comercial Nginx Plus cada tres mesos.

Les millores més notables afegides durant el desenvolupament de la branca upstream 1.15.x:

  • S'ha afegit la possibilitat d'utilitzar variables a les directives 'certificat ssl' и 'clau_certificat_ssl', que es pot utilitzar per carregar dinàmicament certificats;
  • S'ha afegit la possibilitat de carregar certificats SSL i claus secretes de variables sense utilitzar fitxers intermedis;
  • Al bloc"riu amunt» nova directiva implementada «atzar", amb l'ajuda del qual podeu organitzar l'equilibri de càrrega amb una selecció aleatòria d'un servidor per reenviar la connexió;
  • En el mòdul ngx_stream_ssl_preread variable implementada $ssl_preread_protocol,
    que especifica la versió més alta del protocol SSL/TLS que admet el client. La variable permet crear configuracions per accedir mitjançant diversos protocols amb i sense SSL a través d'un port de xarxa quan es transmet el trànsit mitjançant els mòduls http i stream. Per exemple, per organitzar l'accés mitjançant SSH i HTTPS a través d'un port, el port 443 es pot reenviar de manera predeterminada a SSH, però si es defineix la versió SSL, reenvia a HTTPS.

  • S'ha afegit una nova variable al mòdul upstream "$upstream_bytes_sent", que mostra el nombre de bytes transferits al servidor del grup;
  • Al mòdul corrent dins d'una sessió, s'ha afegit la possibilitat de processar diversos datagrames UDP entrants del client;
  • La directiva"sol·licituds_proxy", especificant el nombre de datagrames rebuts del client, en arribar al qual s'elimina la vinculació entre el client i la sessió UDP existent. Després de rebre el nombre especificat de datagrames, el següent datagrama rebut del mateix client comença una nova sessió;
  • La directiva listen ara té la capacitat d'especificar intervals de ports;
  • Directiva afegida "ssl_early_data» per activar el mode 0-RTT quan utilitzeu TLSv1.3, que us permet desar els paràmetres de connexió TLS negociats prèviament i reduir el nombre de RTT a 2 quan es reprèn una connexió prèviament establerta;
  • S'han afegit noves directives per configurar keepalive per a connexions sortints (activant o desactivant l'opció SO_KEEPALIVE per a sockets):

    • «proxy_socket_keepalive" - configura el comportament "TCP keepalive" per a les connexions de sortida al servidor intermediari;
    • «fastcgi_socket_keepalive" - configura el comportament "TCP keepalive" per a les connexions sortints al servidor FastCGI;
    • «grpc_socket_keepalive" - configura el comportament "TCP keepalive" per a les connexions sortints al servidor gRPC;
    • «memcached_socket_keepalive" - configura el comportament "TCP keepalive" per a les connexions de sortida al servidor memcached;
    • «scgi_socket_keepalive" - configura el comportament "TCP keepalive" per a les connexions de sortida al servidor SCGI;
    • «uwsgi_socket_keepalive" - configura el comportament "TCP keepalive" per a les connexions sortints al servidor uwsgi.
  • A la directiva"limit_req" va afegir un nou paràmetre "retard", que estableix un límit després del qual es retarden les peticions redundants;
  • S'han afegit noves directives "keepalive_timeout" i "keepalive_requests" al bloc "upstream" per establir límits per a Keepalive;
  • La directiva "ssl" ha quedat obsoleta, substituïda pel paràmetre "ssl" a la directiva "listen". Els certificats SSL que falten ara es detecten en l'etapa de prova de configuració quan s'utilitza la directiva "escoltar" amb el paràmetre "ssl" a la configuració;
  • Quan s'utilitza la directiva reset_timedout_connection, les connexions ara es tanquen amb un codi 444 quan caduca el temps d'espera;
  • Els errors SSL "sol·licitud http", "sol·licitud de servidor intermediari https", "protocol no compatible" i "versió massa baixa" ara es mostren al registre amb el nivell "informació" en lloc de "crit";
  • S'ha afegit suport per al mètode d'enquesta en sistemes Windows quan s'utilitza Windows Vista i posteriors;
  • Possibilitat d'utilitzar TLSv1.3 quan es construeix amb la biblioteca BoringSSL, no només OpenSSL.

Font: opennet.ru

Afegeix comentari