ProHoster > blog > berita internet > rilis nginx 1.16.0

rilis nginx 1.16.0

Setelah satu tahun pembangunan diwakili oleh cabang stabil baru dari server HTTP berkinerja tinggi dan server proxy multiprotokol nginx 1.16.0, yang menyerap perubahan yang terakumulasi dalam cabang utama 1.15.x. Di masa depan, semua perubahan pada cabang stabil 1.16 akan dikaitkan dengan penghapusan kesalahan dan kerentanan serius. Cabang utama nginx 1.17 akan segera dibentuk, di mana pengembangan fitur-fitur baru akan terus berlanjut. Untuk pengguna biasa yang tidak memiliki tugas memastikan kompatibilitas dengan modul pihak ketiga, direkomendasikan gunakan cabang utama, yang menjadi dasar rilis produk komersial Nginx Plus dibentuk setiap tiga bulan.

Peningkatan paling menonjol yang ditambahkan selama pengembangan cabang upstream 1.15.x:

  • Menambahkan kemampuan untuk menggunakan variabel dalam arahan 'ssl_certificate'и'ssl_certificate_key', yang dapat digunakan untuk memuat sertifikat secara dinamis;
  • Menambahkan kemampuan untuk memuat sertifikat SSL dan kunci rahasia dari variabel tanpa menggunakan file perantara;
  • Di blok "ke hulu» arahan baru diterapkan «acak“, yang dengannya Anda dapat mengatur penyeimbangan beban dengan pemilihan server secara acak untuk meneruskan koneksi;
  • Di dalam modul ngx_stream_ssl_preread variabel diimplementasikan $ssl_preread_protocol,
    yang menentukan versi tertinggi protokol SSL/TLS yang didukung klien. Variabelnya memungkinkan membuat konfigurasi untuk akses menggunakan berbagai protokol dengan dan tanpa SSL melalui satu port jaringan saat mem-proxy lalu lintas menggunakan modul http dan stream. Misalnya, untuk mengatur akses melalui SSH dan HTTPS melalui satu port, port 443 dapat diteruskan secara default ke SSH, tetapi jika versi SSL ditentukan, teruskan ke HTTPS.

  • Variabel baru telah ditambahkan ke modul upstream "$upstream_bytes_sent", yang menampilkan jumlah byte yang ditransfer ke server grup;
  • Ke modul aliran dalam satu sesi, kemampuan untuk memproses beberapa datagram UDP yang masuk dari klien telah ditambahkan;
  • Arahan "proxy_permintaan", menentukan jumlah datagram yang diterima dari klien, setelah mencapai pengikatan antara klien dan sesi UDP yang ada akan dihapus. Setelah menerima jumlah datagram yang ditentukan, datagram berikutnya yang diterima dari klien yang sama memulai sesi baru;
  • Arahan mendengarkan sekarang memiliki kemampuan untuk menentukan rentang port;
  • Menambahkan arahan "ssl_data_awal» untuk mengaktifkan mode 0-RTT saat menggunakan TLSv1.3, yang memungkinkan Anda menyimpan parameter koneksi TLS yang dinegosiasikan sebelumnya dan mengurangi jumlah RTT menjadi 2 saat melanjutkan koneksi yang dibuat sebelumnya;
  • Arahan baru telah ditambahkan untuk mengonfigurasi keepalive untuk koneksi keluar (mengaktifkan atau menonaktifkan opsi SO_KEEPALIVE untuk soket):

  • Dalam arahan "batas_permintaan" menambahkan parameter baru "penundaan", yang menetapkan batas penundaan permintaan berlebihan;
  • Arahan baru “keepalive_timeout” dan “keepalive_requests” telah ditambahkan ke blok “upstream” untuk menetapkan batas Keepalive;
  • Direktif "ssl" sudah tidak digunakan lagi, digantikan dengan parameter "ssl" di direktif "listen". Sertifikat SSL yang hilang sekarang terdeteksi pada tahap pengujian konfigurasi saat menggunakan arahan “dengarkan” dengan parameter “ssl” di pengaturan;
  • Saat menggunakan direktif reset_timedout_connection, koneksi sekarang ditutup dengan kode 444 ketika batas waktu habis;
  • Kesalahan SSL "permintaan http", "permintaan proxy https", "protokol tidak didukung" dan "versi terlalu rendah" sekarang ditampilkan di log dengan level "info" dan bukan "crit";
  • Menambahkan dukungan untuk metode polling pada sistem Windows saat menggunakan Windows Vista dan versi lebih baru;
  • Kemungkinan menggunakan TLSV1.3 ketika membangun dengan perpustakaan BoringSSL, bukan hanya OpenSSL.

Sumber: opennet.ru

Tambah komentar