ProHoster > Blog > ynternet nijs > nginx 1.16.0 release

nginx 1.16.0 release

Nei in jier fan ûntwikkeling presintearre nije stabile tûke fan hege-optreden HTTP-tsjinner en multiprotokol proxy-tsjinner nginx 1.16.0, dy't opnommen de feroarings sammele binnen de wichtichste tûke 1.15.x. Yn 'e takomst sille alle wizigingen yn' e stabile branch 1.16 relatearre wurde oan it eliminearjen fan serieuze flaters en kwetsberens. De haadtûke fan nginx 1.17 sil ynkoarten wurde foarme, wêryn de ûntwikkeling fan nije funksjes sil trochgean. Foar gewoane brûkers dy't net de taak hawwe om kompatibiliteit te garandearjen mei modules fan tredden, oanrikkemandearre brûke de haadtûke, op basis fan hokker releases fan it kommersjele produkt Nginx Plus wurde foarme elke trije moannen.

De meast opmerklike ferbetterings tafoege tidens de ûntwikkeling fan 'e 1.15.x streamopôfdieling:

  • De mooglikheid tafoege om fariabelen te brûken yn ' rjochtlinenssl_sertifikaat'en'ssl_certificate_key', dat kin wurde brûkt om sertifikaten dynamysk te laden;
  • De mooglikheid tafoege om SSL-sertifikaten en geheime kaaien fan fariabelen te laden sûnder tuskenlizzende bestannen te brûken;
  • Yn it blok"opstream» nije rjochtline ynfierd «willekeurich", wêrmei jo load balancing kinne organisearje mei in willekeurige seleksje fan in server foar it trochstjoeren fan de ferbining;
  • Yn de module ngx_stream_ssl_preread fariabele útfierd $ssl_preread_protocol,
    dy't de heechste ferzje fan it SSL/TLS-protokol oantsjut dat de klant stipet. De fariabele lit meitsje konfiguraasjes foar tagong mei ferskate protokollen mei en sûnder SSL fia ien netwurkpoarte by proxyferkear mei help fan de http- en streammodules. Bygelyks, om tagong te organisearjen fia SSH en HTTPS fia ien poarte, kin poarte 443 standert wurde trochstjoerd nei SSH, mar as de SSL-ferzje is definiearre, foarút nei HTTPS.

  • In nije fariabele is tafoege oan de streamopmodule "$upstream_bytes_sent", dat it oantal bytes toant dat oerbrocht is nei de groepserver;
  • Nei de module stream binnen ien sesje is de mooglikheid tafoege om ferskate ynkommende UDP-datagrammen fan 'e kliïnt te ferwurkjen;
  • De rjochtline"proxy_requests", spesifisearret it oantal datagrammen ûntfongen fan 'e kliïnt, by it berikken wêrfan de bining tusken de kliïnt en de besteande UDP-sesje wurdt fuortsmiten. Nei it ûntfangen fan it opjûne oantal datagrammen begjint it folgjende datagram ûntfongen fan deselde kliïnt in nije sesje;
  • De harkrjochtline hat no de mooglikheid om poartebereiken op te jaan;
  • Tafoege rjochtline "ssl_early_data» om de modus yn te skeakeljen 0-RTT by it brûken fan TLSv1.3, wêrmei jo te bewarjen earder ûnderhannele TLS ferbining parameters en ferminderje it oantal RTTs oan 2 as jo opnij in earder oprjochte ferbining;
  • Nije rjochtlinen binne tafoege om keepalive te konfigurearjen foar útgeande ferbiningen (de SO_KEEPALIVE-opsje ynskeakelje of útskeakelje foar sockets):

    • «proxy_socket_keepalive" - konfigurearret it "TCP keepalive" gedrach foar útgeande ferbiningen mei de proxytsjinner;
    • «fastcgi_socket_keepalive" - konfigurearret it "TCP keepalive" gedrach foar útgeande ferbiningen nei de FastCGI-tsjinner;
    • «grpc_socket_keepalive" - konfigurearret it "TCP keepalive" gedrach foar útgeande ferbiningen mei de gRPC-tsjinner;
    • «memcached_socket_keepalive" - konfigurearret it "TCP keepalive" gedrach foar útgeande ferbiningen nei de memcached tsjinner;
    • «scgi_socket_keepalive" - konfigurearret it "TCP keepalive" gedrach foar útgeande ferbiningen mei de SCGI-tsjinner;
    • «uwsgi_socket_keepalive" - konfigurearret it "TCP keepalive" gedrach foar útgeande ferbiningen mei de uwsgi-tsjinner.
  • Yn de rjochtline "limit_req" tafoege in nije parameter "fertraging", dy't in limyt stelt wêrnei't oerstallige fersiken wurde fertrage;
  • Nije rjochtlinen "keepalive_timeout" en "keepalive_requests" binne tafoege oan it "streamop" blok om grinzen foar Keepalive yn te stellen;
  • De "ssl" rjochtline is ôfret, ferfongen troch de "ssl" parameter yn de "harkje" rjochtline. Untbrekkende SSL-sertifikaten wurde no ûntdutsen yn 'e konfiguraasjeteststadium by it brûken fan de "harkje" rjochtline mei de "ssl" parameter yn 'e ynstellings;
  • By it brûken fan de reset_timedout_connection-rjochtline, wurde ferbiningen no sluten mei in 444-koade as de timeout ferrint;
  • SSL-flaters "http-fersyk", "https proxy-fersyk", "net-stipe protokol" en "ferzje te leech" wurde no werjûn yn it log mei it nivo "ynfo" ynstee fan "crit";
  • Stipe tafoege foar de poll-metoade op Windows-systemen by it brûken fan Windows Vista en letter;
  • Mooglikheid fan gebrûk TLSv1.3 by it bouwen mei de BoringSSL-bibleteek, net allinich OpenSSL.

Boarne: opennet.ru

Add a comment