XNUMX年間の開発を経て
1.15.x アップストリーム ブランチの開発中に追加された最も注目すべき改良点は次のとおりです。
- ' ディレクティブで変数を使用する機能を追加しました
ssl_certificate 「い」ssl_certificate_key ' 証明書を動的にロードするために使用できます。 - 中間ファイルを使用せずに変数から SSL 証明書と秘密キーをロードする機能が追加されました。
- ブロック内には「
アップストリーム » 新しいディレクティブが実装されました «ランダム これを利用すると、接続を転送するサーバーをランダムに選択して負荷分散を構成できます。 - モジュール内
ngx_stream_ssl_preread 実装された変数$ssl_preread_protocol ,
これは、クライアントがサポートする SSL/TLS プロトコルの最高バージョンを指定します。 変数により許可されるのは、構成を作成する http および stream モジュールを使用してトラフィックをプロキシするときに、443 つのネットワーク ポートを介して SSL ありまたはなしのさまざまなプロトコルを使用してアクセスします。 たとえば、XNUMX つのポートを介した SSH および HTTPS 経由のアクセスを構成するには、デフォルトでポート XNUMX を SSH に転送できますが、SSL バージョンが定義されている場合は HTTPS に転送します。 - 新しい変数が上流モジュールに追加されました。
$upstream_bytes_sent "、グループ サーバーに転送されたバイト数が表示されます。 - モジュールへ
流れ XNUMX つのセッション内で、クライアントから受信した複数の UDP データグラムを処理する機能が追加されました。 - 指令「
プロキシリクエスト "は、クライアントから受信したデータグラムの数を指定します。この数に達すると、クライアントと既存の UDP セッション間のバインディングが削除されます。 指定された数のデータグラムを受信した後、同じクライアントから受信した次のデータグラムによって新しいセッションが開始されます。 - listen ディレクティブにポート範囲を指定できるようになりました。
- ディレクティブを追加しました。
ssl_early_data » モードを有効にする0-RTT TLSv1.3 を使用する場合、以前にネゴシエートされた TLS 接続パラメータを保存し、以前に確立された接続を再開するときに RTT の数を 2 に減らすことができます。 - 発信接続のキープアライブを設定するための新しいディレクティブが追加されました (ソケットの SO_KEEPALIVE オプションを有効または無効にします)。
- «
プロキシ_ソケット_キープアライブ " - プロキシサーバーへの送信接続の「TCP キープアライブ」動作を構成します。 - «
fastcgi_socket_keepalive " - FastCGI サーバーへの送信接続の「TCP キープアライブ」動作を構成します。 - «
grpc_socket_keepalive " - gRPC サーバーへの発信接続の「TCP キープアライブ」動作を構成します。 - «
memcached_socket_keepalive " - memcached サーバーへの送信接続の「TCP キープアライブ」動作を構成します。 - «
scgi_socket_keepalive " - SCGI サーバーへの発信接続の「TCP キープアライブ」動作を構成します。 - «
uwsgi_socket_keepalive " - uwsgi サーバーへの発信接続の「TCP キープアライブ」動作を構成します。
- «
- 指令では「
制限要求" 新しいパラメータ「遅延」を追加しました。これは、冗長リクエストが遅延されるまでの制限を設定します。 - キープアライブの制限を設定するために、新しいディレクティブ「keepalive_timeout」および「keepalive_requests」が「upstream」ブロックに追加されました。
- 「ssl」ディレクティブは非推奨となり、「listen」ディレクティブの「ssl」パラメータに置き換えられました。 設定で「ssl」パラメータを指定して「listen」ディレクティブを使用すると、欠落している SSL 証明書が構成テスト段階で検出されるようになりました。
- reset_timedout_connection ディレクティブを使用すると、タイムアウトが経過すると接続が 444 コードで閉じられるようになりました。
- SSL エラー「http リクエスト」、「https プロキシ リクエスト」、「サポートされていないプロトコル」、および「バージョンが低すぎます」は、「crit」ではなく「info」レベルでログに表示されるようになりました。
- Windows Vista 以降を使用する場合、Windows システムでのポーリング メソッドのサポートが追加されました。
- 使用の可能性
TLSv1.3 OpenSSL だけでなく、BoringSSL ライブラリを使用して構築する場合。
出所: オープンネット.ru