nginx 1.16.0 릴리스

XNUMX년의 개발 끝에 제시 고성능 HTTP 서버와 멀티프로토콜 프록시 서버의 새로운 안정적인 브랜치 nginx 1.16.0, 메인 브랜치 1.15.x 내에 누적된 변경 사항을 흡수했습니다. 앞으로 안정 브랜치 1.16의 모든 변경 사항은 심각한 오류 및 취약점 제거와 관련될 것입니다. nginx 1.17의 메인 브랜치가 곧 형성될 예정이며, 그 안에서 새로운 기능 개발이 계속될 것입니다. 타사 모듈과의 호환성을 보장할 의무가 없는 일반 사용자의 경우, 추천 XNUMX개월마다 상용 제품 Nginx Plus가 출시되는 메인 브랜치를 사용합니다.

1.15.x 업스트림 브랜치 개발 중에 추가된 가장 눈에 띄는 개선 사항은 다음과 같습니다.

• ' 지시문에 변수를 사용하는 기능이 추가되었습니다.ssl_certificate' 그리고 'SSL_certificate_key'는 인증서를 동적으로 로드하는 데 사용할 수 있습니다.
• 중간 파일을 사용하지 않고 변수에서 SSL 인증서와 비밀 키를 로드하는 기능이 추가되었습니다.
• 블록에서 "상류에» 새로운 지침이 구현됨 «닥치는대로의“이를 통해 연결 전달을 위해 서버를 무작위로 선택하여 로드 밸런싱을 구성할 수 있습니다.
• 모듈에서는 ngx_stream_ssl_preread 구현된 변수 $ssl_preread_protocol,
  클라이언트가 지원하는 SSL/TLS 프로토콜의 가장 높은 버전을 지정합니다. 변수는 다음을 허용합니다. 구성 생성 http 및 스트림 모듈을 사용하여 트래픽을 프록시할 때 하나의 네트워크 포트를 통해 SSL 유무에 관계없이 다양한 프로토콜을 사용하여 액세스합니다. 예를 들어 하나의 포트를 통해 SSH 및 HTTPS를 통한 액세스를 구성하려면 기본적으로 포트 443을 SSH로 전달할 수 있지만 SSL 버전이 정의된 경우 HTTPS로 전달할 수 있습니다.

• 업스트림 모듈에 새로운 변수가 추가되었습니다.$upstream_bytes_sent"는 그룹 서버로 전송된 바이트 수를 표시합니다.
• 모듈로 흐름 한 세션 내에서 클라이언트로부터 들어오는 여러 UDP 데이터그램을 처리하는 기능이 추가되었습니다.
• 지시어 "프록시_요청"는 클라이언트로부터 수신된 데이터그램 수를 지정하며, 이에 도달하면 클라이언트와 기존 UDP 세션 간의 바인딩이 제거됩니다. 지정된 수의 데이터그램을 수신한 후 동일한 클라이언트로부터 수신된 다음 데이터그램은 새 세션을 시작합니다.
• 이제 Listen 지시문에 포트 범위를 지정할 수 있는 기능이 있습니다.
• 지시어 "를 추가했습니다.SSL_early_data» 모드를 활성화하려면 0-RTT 이전에 협상된 TLS 연결 매개변수를 저장하고 이전에 설정된 연결을 재개할 때 RTT 수를 1.3로 줄일 수 있는 TLSv2을 사용하는 경우
• 나가는 연결에 대해 keepalive를 구성하기 위한 새로운 지시문이 추가되었습니다(소켓에 대한 SO_KEEPALIVE 옵션 활성화 또는 비활성화).
  • «Proxy_socket_keepalive" - 프록시 서버로 나가는 연결에 대한 "TCP keepalive" 동작을 구성합니다.
  • «fastcgi_socket_keepalive" - FastCGI 서버로 나가는 연결에 대한 "TCP keepalive" 동작을 구성합니다.
  • «grpc_socket_keepalive" - gRPC 서버로 나가는 연결에 대한 "TCP keepalive" 동작을 구성합니다.
  • «memcached_socket_keepalive" - memcached 서버로 나가는 연결에 대한 "TCP keepalive" 동작을 구성합니다.
  • «scgi_socket_keepalive" - SCGI 서버로 나가는 연결에 대한 "TCP keepalive" 동작을 구성합니다.
  • «uwsgi_socket_keepalive" - uwsgi 서버로 나가는 연결에 대한 "TCP keepalive" 동작을 구성합니다.
• 지시문에서 "한도_요구량" 중복 요청이 지연되는 제한을 설정하는 새로운 매개변수 "지연"을 추가했습니다.
• Keepalive에 대한 제한을 설정하기 위해 "upstream" 블록에 새로운 지시문 "keepalive_timeout" 및 "keepalive_requests"가 추가되었습니다.
• "ssl" 지시문은 더 이상 사용되지 않으며 "listen" 지시문의 "ssl" 매개변수로 대체되었습니다. 이제 설정에서 "ssl" 매개변수와 함께 "listen" 지시문을 사용할 때 구성 테스트 단계에서 누락된 SSL 인증서가 감지됩니다.
• Reset_timedout_connection 지시어를 사용할 때 이제 제한 시간이 만료되면 444 코드로 연결이 닫힙니다.
• SSL 오류 "http 요청", "https 프록시 요청", "지원되지 않는 프로토콜" 및 "버전이 너무 낮음"이 이제 로그에 "crit" 대신 "info" 수준으로 표시됩니다.
• Windows Vista 이상을 사용할 때 Windows 시스템에서 폴링 방법에 대한 지원이 추가되었습니다.
• 사용 가능성 TLSv1.3 OpenSSL뿐만 아니라 BoringSSL 라이브러리로 구축할 때.

출처 : opennet.ru