ProHoster > Blog > naidheachdan eadar-lìn > sgaoileadh nginx 1.16.0

sgaoileadh nginx 1.16.0

Às deidh bliadhna de leasachadh riochdachadh le meur seasmhach ùr de fhrithealaiche HTTP àrd-choileanadh agus frithealaiche proxy multiprotocol nginx 1.16.0, a ghabh a-steach na h-atharrachaidhean a chruinnich taobh a-staigh a’ phrìomh mheur 1.15.x. Anns an àm ri teachd, bidh a h-uile atharrachadh ann am meur seasmhach 1.16 co-cheangailte ri bhith a ‘cur às do dhroch mhearachdan agus so-leòntachd. Bidh am prìomh mheur de nginx 1.17 air a chruthachadh a dh’ aithghearr, anns an lean leasachadh feartan ùra. Do luchd-cleachdaidh àbhaisteach aig nach eil an obair dèanamh cinnteach gu bheil iad co-chòrdalachd le modalan treas-phàrtaidh, air a mholadh Cleachd am prìomh mheur, air a bheilear a’ cruthachadh sgaoilidhean den toradh malairteach Nginx Plus a h-uile trì mìosan.

Na leasachaidhean as ainmeil a chaidh a chur ris rè leasachadh a’ mheur suas an abhainn 1.15.x:

  • Chuir sinn ris a’ chomas caochladairean a chleachdadh ann an ‘stiùiricheanteisteanas ssl_'i'ssl_certificate_key', a dh'fhaodar a chleachdadh gus teisteanasan a luchdachadh gu fiùghantach;
  • Chuir sinn ris comas teisteanasan SSL agus iuchraichean dìomhair a luchdachadh bho chaochladairean gun a bhith a’ cleachdadh faidhlichean eadar-mheadhanach;
  • Anns a' bhloc "shuas an abhainn» stiùireadh ùr air a chur an gnìomh «air thuaiream“, le cuideachadh bhon urrainn dhut cothromachadh luchdan a chuir air dòigh le taghadh air thuaiream de fhrithealaiche airson an ceangal a chuir air adhart;
  • Anns a 'mhodal ngx_stream_ssl_preread caochlaideach air a chur an gnìomh $ssl_preread_protocol,
    a tha a 'sònrachadh an dreach as àirde den phròtacal SSL / TLS a tha an neach-dèiligidh a' toirt taic. Tha an caochladair a 'ceadachadh cruthaich rèiteachaidhean airson faighinn a-steach le bhith a’ cleachdadh diofar phròtacalan le agus às aonais SSL tro aon phort lìonra nuair a bhios tu a’ proxyachadh trafaic a’ cleachdadh na modalan http agus sruth. Mar eisimpleir, gus ruigsinneachd a chuir air dòigh tro SSH agus HTTPS tro aon phort, faodar port 443 a chuir air adhart gu bunaiteach gu SSH, ach ma tha an dreach SSL air a mhìneachadh, cuir air adhart gu HTTPS.

  • Chaidh caochladair ùr a chur ris a’ mhodal shuas an abhainn "$ upstream_bytes_sent", a sheallas an àireamh de byte a chaidh a ghluasad gu frithealaiche a' chuantail;
  • Gu modal -sruth taobh a-staigh aon seisean, chaidh an comas grunn datagraman UDP a tha a’ tighinn a-steach bhon neach-dèiligidh a chuir ris;
  • Tha an stiùireadh "proxy_requests", a’ sònrachadh an àireamh de datagraman a fhuaireadh bhon neach-dèiligidh, nuair a ruigeas e an tèid an ceangal eadar an neach-dèiligidh agus an seisean UDP a th’ ann mar-thà a thoirt air falbh. Às deidh an àireamh ainmichte de datagrams fhaighinn, tòisichidh an ath datagram a gheibhear bhon aon neach-dèiligidh seisean ùr;
  • Tha comas aig an stiùireadh èisteachd a-nis raointean puirt a shònrachadh;
  • stiùireadh air a chur ris"ssl_tràth_data» gus am modh a chomasachadh 0-RTT nuair a bhios tu a’ cleachdadh TLSv1.3, a leigeas leat crìochan ceangail TLS a chaidh a cho-rèiteachadh roimhe a shàbhaladh agus an àireamh de RTTn a lughdachadh gu 2 nuair a thòisicheas tu air ceangal a chaidh a stèidheachadh roimhe;
  • Chaidh stiùiridhean ùra a chur ris gus a bhith a’ rèiteachadh keepalive airson ceanglaichean a-mach (a’ comasachadh no a’ cur à comas an roghainn SO_KEEPALIVE airson socaidean):

    • «proxy_socket_keepalive" - a' rèiteachadh an giùlain "TCP keepalive" airson ceanglaichean a-mach ris an fhrithealaiche proxised;
    • «fastcgi_socket_keepalive" - a' rèiteachadh an giùlain "TCP keepalive" airson ceanglaichean a-mach ris an fhrithealaiche FastCGI;
    • «grpc_socket_keepalive" - a' rèiteachadh an giùlain "TCP keepalive" airson ceanglaichean a-mach ris an fhrithealaiche gRPC;
    • «memcached_socket_keepalive" - a' rèiteachadh an giùlain "TCP keepalive" airson ceanglaichean a-mach ris an fhrithealaiche memcached;
    • «scgi_socket_keepalive" - a' rèiteachadh an giùlain "TCP keepalive" airson ceanglaichean a-mach ris an fhrithealaiche SCGI;
    • «uwsgi_socket_keepalive" - a' rèiteachadh an giùlain "TCP keepalive" airson ceanglaichean a-mach ris an fhrithealaiche uwsgi.
  • Anns an stiùireadh "limit_req" chuir “dàil” paramadair ùr ris a tha a’ suidheachadh crìoch air an tèid dàil a chuir air iarrtasan gun fheum;
  • Chaidh stiùiridhean ùra “keepalive_timeout” agus “keepalive_requests” a chur ris a’ bhloc “suas an abhainn” gus crìochan a shuidheachadh airson Keepalive;
  • Cha deach an stiùireadh “ssl” a mholadh, agus chaidh am paramadair “ssl” anns an stiùireadh “èist”. Thathas a-nis a’ lorg theisteanasan SSL a tha a dhìth aig ìre deuchainn rèiteachaidh nuair a thathar a’ cleachdadh an stiùiridh “èist” leis a’ pharameter “ssl” anns na roghainnean;
  • Nuair a bhios tu a’ cleachdadh an stiùireadh reset_timedout_connection, tha ceanglaichean a-nis dùinte le còd 444 nuair a thig an ùine gu crìch;
  • Tha mearachdan SSL “iarrtas http”, “iarrtas neach-ionaid https”, “protocol gun taic” agus “dreach ro ìosal” a-nis air an taisbeanadh sa log leis an ìre “info” an àite “crit”;
  • Taic a bharrachd don dòigh bhòtaidh air siostaman Windows nuair a bhios tu a’ cleachdadh Windows Vista agus nas fhaide air adhart;
  • Comasach air cleachdadh TLSv1.3 nuair a bhios tu a’ togail le leabharlann BoringSSL, chan e dìreach OpenSSL.

Source: fosgailtenet.ru

Cuir beachd ann