Despois dun ano de desenvolvemento nova rama estable de servidor HTTP de alto rendemento e servidor proxy multiprotocolo , que absorbeu os cambios acumulados dentro da rama principal 1.15.x. No futuro, todos os cambios na rama estable 1.16 estarán relacionados coa eliminación de erros graves e vulnerabilidades. En breve formarase a rama principal de nginx 1.17, dentro da cal continuará o desenvolvemento de novas funcións. Para os usuarios comúns que non teñen a tarefa de garantir a compatibilidade con módulos de terceiros, use a rama principal, a partir da cal se forman lanzamentos do produto comercial Nginx Plus cada tres meses.
As melloras máis notables engadidas durante o desenvolvemento da rama anterior 1.15.x:
- Engadida a posibilidade de usar variables nas directivas '' e '', que se pode usar para cargar certificados de forma dinámica;
- Engadida a posibilidade de cargar certificados SSL e claves secretas de variables sen usar ficheiros intermedios;
- No bloque "» implantada a nova directiva «", coa axuda do cal pode organizar o equilibrio de carga cunha selección aleatoria dun servidor para reenviar a conexión;
- No módulo variable implementada ,
que especifica a versión máis alta do protocolo SSL/TLS que admite o cliente. A variable permite para acceder mediante varios protocolos con e sen SSL a través dun porto de rede cando se proxy o tráfico mediante os módulos http e stream. Por exemplo, para organizar o acceso a través de SSH e HTTPS a través dun porto, o porto 443 pódese reenviar de forma predeterminada a SSH, pero se se define a versión SSL, reenvíe a HTTPS. - Engadiuse unha nova variable ao módulo upstream "", que mostra o número de bytes transferidos ao servidor do grupo;
- Ao módulo nunha sesión, engadiuse a capacidade de procesar varios datagramas UDP entrantes do cliente;
- A directiva"", especifica o número de datagramas recibidos do cliente, ao chegar ao cal se elimina a vinculación entre o cliente e a sesión UDP existente. Despois de recibir o número especificado de datagramas, o seguinte datagrama recibido do mesmo cliente comeza unha nova sesión;
- A directiva listen agora ten a capacidade de especificar intervalos de portos;
- Directiva engadida "» para activar o modo ao utilizar TLSv1.3, que permite gardar os parámetros de conexión TLS negociados previamente e reducir o número de RTT a 2 ao retomar unha conexión previamente establecida;
- Engadíronse novas directivas para configurar keepalive para conexións de saída (activando ou desactivando a opción SO_KEEPALIVE para sockets):
- «" - configura o comportamento "TCP keepalive" para as conexións de saída ao servidor proxy;
- «" - configura o comportamento "TCP keepalive" para as conexións de saída ao servidor FastCGI;
- «" - configura o comportamento "TCP keepalive" para as conexións de saída ao servidor gRPC;
- «" - configura o comportamento "TCP keepalive" para as conexións de saída ao servidor memcached;
- «" - configura o comportamento "TCP keepalive" para as conexións de saída ao servidor SCGI;
- «" - configura o comportamento "TCP keepalive" para as conexións de saída ao servidor uwsgi.
- Na directiva" engadiu un novo parámetro "atraso", que establece un límite despois do cal se atrasan as solicitudes redundantes;
- Engadíronse novas directivas "keepalive_timeout" e "keepalive_requests" ao bloque "upstream" para establecer límites para Keepalive;
- A directiva "ssl" quedou en desuso, substituída polo parámetro "ssl" na directiva "listen". Os certificados SSL que faltan agora detéctanse na fase de proba de configuración cando se usa a directiva "escoitar" co parámetro "ssl" na configuración;
- Cando se utiliza a directiva reset_timedout_connection, as conexións agora péchanse cun código 444 cando caduca o tempo de espera;
- Os erros SSL "solicitude http", "solicitude de proxy https", "protocolo non compatible" e "versión demasiado baixa" agora móstranse no rexistro co nivel "información" en lugar de "crit";
- Engadido soporte para o método de enquisa en sistemas Windows cando se usa Windows Vista e posterior;
- Posibilidade de uso ao construír coa biblioteca BoringSSL, non só OpenSSL.
Fonte: opennet.ru