מהדורת nginx 1.16.0

לאחר שנה של פיתוח מיוצג על ידי ענף יציב חדש של שרת HTTP בעל ביצועים גבוהים ושרת פרוקסי מרובה פרוטוקולים 1.16.0, שקלטה את השינויים שהצטברו בתוך הענף הראשי 1.15.x. בעתיד, כל השינויים בענף היציב 1.16 יהיו קשורים לביטול שגיאות ופגיעויות חמורות. בקרוב יווצר הסניף הראשי של nginx 1.17, שבתוכו ימשך הפיתוח של תכונות חדשות. עבור משתמשים רגילים שאין להם את המשימה להבטיח תאימות עם מודולים של צד שלישי, מומלץ השתמש בסניף הראשי, שעל בסיסו נוצרות מהדורות של המוצר המסחרי Nginx Plus כל שלושה חודשים.

השיפורים הבולטים ביותר שנוספו במהלך הפיתוח של ענף 1.15.x במעלה הזרם:

• נוספה היכולת להשתמש במשתנים בהנחיות 'ssl_certificate'י'ssl_certificate_key', שבו ניתן להשתמש כדי לטעון באופן דינמי אישורים;
• נוספה היכולת לטעון תעודות SSL ומפתחות סודיים ממשתנים ללא שימוש בקבצי ביניים;
• בבלוק"בְּמַעֲלֶה הַזֶרֶם» הוראה חדשה יושמה «אקראי", בעזרתו ניתן לארגן איזון עומסים עם בחירה אקראית של שרת להעברת החיבור;
• במודול ngx_stream_ssl_preread משתנה מיושם $ssl_preread_protocol,
  אשר מציינת את הגרסה הגבוהה ביותר של פרוטוקול SSL/TLS שהלקוח תומך בו. המשתנה מאפשר ליצור תצורות לגישה באמצעות פרוטוקולים שונים עם ובלי SSL דרך יציאת רשת אחת בעת העברת תעבורה באמצעות פרוקסי באמצעות מודולי http ו-stream. לדוגמה, כדי לארגן גישה באמצעות SSH ו-HTTPS דרך יציאה אחת, ניתן להעביר את יציאה 443 כברירת מחדל ל-SSH, אך אם גרסת ה-SSL מוגדרת, העבר ל-HTTPS.

• משתנה חדש נוסף למודול במעלה הזרם "$upstream_bytes_sent", המציג את מספר הבתים שהועברו לשרת הקבוצה;
• למודול זרם בתוך הפעלה אחת, נוספה היכולת לעבד מספר דגימות UDP נכנסות מהלקוח;
• ההנחיה"proxy_requests", מציין את מספר דגמי הנתונים שהתקבלו מהלקוח, כאשר מגיעים אליהם תוסר הקישור בין הלקוח לסשן UDP הקיים. לאחר קבלת המספר שצוין של גרם נתונים, גרם הנתונים הבא המתקבל מאותו לקוח מתחיל הפעלה חדשה;
• להוראת ההאזנה יש כעת את היכולת לציין טווחי יציאות;
• נוספה הנחיה"ssl_early_data» כדי להפעיל את המצב 0-RTT בעת שימוש ב-TLSv1.3, המאפשר לך לשמור פרמטרים של חיבור TLS שנקבעו בעבר ולהפחית את מספר ה-RTTs ל-2 בעת חידוש חיבור שנוצר בעבר;
• הנחיות חדשות נוספו להגדרת Keepalive עבור חיבורים יוצאים (הפעלה או השבתה של אפשרות SO_KEEPALIVE עבור שקעים):
  • «proxy_socket_keepalive" - מגדיר את התנהגות "TCP keepalive" עבור חיבורים יוצאים לשרת ה-proxy;
  • «fastcgi_socket_keepalive" - מגדיר את התנהגות "TCP keepalive" עבור חיבורים יוצאים לשרת FastCGI;
  • «grpc_socket_keepalive" - מגדיר את התנהגות "TCP keepalive" עבור חיבורים יוצאים לשרת gRPC;
  • «memcached_socket_keepalive" - מגדיר את התנהגות "TCP keepalive" עבור חיבורים יוצאים לשרת ה-memcached;
  • «scgi_socket_keepalive" - מגדיר את התנהגות "TCP keepalive" עבור חיבורים יוצאים לשרת SCGI;
  • «uwsgi_socket_keepalive" - מגדיר את התנהגות "TCP keepalive" עבור חיבורים יוצאים לשרת uwsgi.
• בהנחיה"limit_req" הוסיף פרמטר חדש "עיכוב", שקובע גבול שאחריו בקשות מיותרות מתעכבות;
• הנחיות חדשות "keepalive_timeout" ו-"keepalive_requests" נוספו לבלוק "upstream" כדי להגדיר מגבלות עבור Keepalive;
• ההנחיה "ssl" הוצאה משימוש, והוחלף בפרמטר "ssl" בהנחיית "האזנה". אישורי SSL חסרים מזוהים כעת בשלב בדיקת התצורה בעת שימוש בהנחיית "האזנה" עם הפרמטר "ssl" בהגדרות;
• בעת שימוש בהנחיית reset_timedout_connection, החיבורים נסגרים כעת עם קוד 444 כאשר הזמן הקצוב יפוג;
• שגיאות SSL "http request", "https proxy request", "פרוטוקול לא נתמך" ו-"גרסה נמוכה מדי" מוצגות כעת ביומן עם הרמה "info" במקום "crit";
• נוספה תמיכה בשיטת הסקר במערכות Windows בעת שימוש ב-Windows Vista ואילך;
• אפשרות שימוש TLSv1.3 כאשר בונים עם ספריית BoringSSL, לא רק עם OpenSSL.

מקור: OpenNet.ru