ProHoster > Blog > nûçeyên înternetê > nginx 1.16.0 berdan

nginx 1.16.0 berdan

Piştî salek pêşveçûn nûnertî ji hêla şaxek nû ya stabîl a servera HTTP-a performansa bilind û servera proxy ya pirprotokolî nginx 1.16.0, ku guheztinên ku di nav şaxê sereke 1.15.x de hatine berhev kirin vedihewîne. Di pêşerojê de, hemî guhertinên di şaxê stabîl 1.16 de dê bi rakirina xeletî û qelsiyên giran ve girêdayî bin. Şaxa sereke ya nginx 1.17 dê di demek nêzîk de were damezrandin, ku di hundurê wê de pêşkeftina taybetmendiyên nû dê berdewam bike. Ji bo bikarhênerên asayî yên ku ne xwediyê peywirê ne ku lihevhatina bi modulên partiya sêyemîn re peyda bikin, pêşniyaz kirin şaxê sereke bikar bînin, li ser bingeha ku her sê mehan carekê serbestberdana hilbera bazirganî Nginx Plus têne çêkirin.

Pêşveçûnên herî berbiçav ên ku di dema pêşkeftina şaxê jorîn 1.15.x de hatine zêdekirin:

  • Kapasîteya karanîna guherbaran di 'rêvebiran de zêde kirssl_certificate'ez'ssl_certificate_key', ku dikare ji bo barkirina dînamîkî sertîfîkayan were bikar anîn;
  • Kapasîteya barkirina sertîfîkayên SSL û bişkojkên veşartî ji guhêrbaran bêyî karanîna pelên navîn zêde kir;
  • Di blokê de "li jor»Rêveberiya nû hate pêkanîn»bêpayîn", bi arîkariya ku hûn dikarin hevsengiya barkirinê bi hilbijarkek rasthatî ya serverek ji bo şandina pêwendiyê organîze bikin;
  • Di modulê de ngx_stream_ssl_preread guherbar pêk anîn $ssl_preread_protocol,
    ku guhertoya herî bilind a protokola SSL/TLS ya ku xerîdar piştgirî dike diyar dike. Guherbar destûrê dide veavakirinan biafirîne ji bo gihîştina bi karanîna protokolên cihêreng bi SSL û bêyî SSL-ê bi yek porta torê ve dema ku seyrûsefera proxkirinê bi karanîna modulên http û stream bikar tîne. Mînakî, ji bo organîzekirina gihîştina bi SSH û HTTPS-ê bi yek portê, porta 443 dikare ji hêla xwerû ve ji SSH-ê re were şandin, lê heke guhertoya SSL-ê were destnîşankirin, berbi HTTPS-ê ve were şandin.

  • Guherînek nû li modula jorîn hate zêdekirin "$upstream_bytes_sent", ku hejmara baytên ku ji servera komê re hatine veguheztin nîşan dide;
  • To module herrok di nav yek danişînê de, şiyana pêvajokirina çend datagramên UDP-ê yên hatî ji xerîdar hatî zêde kirin;
  • dîrektîfa "proxy_daxwazên", hejmara datagramên ku ji xerîdar hatine wergirtin destnîşan dike, bi gihîştina ku girêdana di navbera xerîdar û rûniştina UDP ya heyî de tê rakirin. Piştî wergirtina hejmara diyarkirî ya datagraman, datagrama din a ku ji heman xerîdar hatî wergirtin dest bi danişînek nû dike;
  • Rêbernameya guhdarîkirinê nuha xwedan şiyana diyarkirina rêzikên portê ye;
  • Rêbernameya zêde kir"ssl_early_data» ji bo çalakkirina modê 0-RTT dema ku TLSv1.3 bikar tînin, ku destûrê dide te ku hûn pîvanên pêwendiya TLS-ê yên ku berê hatine gotûbêj kirin hilînin û dema ku pêwendiyek berê sazkirî ji nû ve dest pê bikin, hejmara RTT-yan kêm bikin 2;
  • Rêvebirên nû hatine zêdekirin da ku keepalive ji bo girêdanên derketinê mîheng bike (çalakkirin an neçalakkirina vebijarka SO_KEEPALIVE ji bo soketan):

    • «proxy_socket_keepalive" - tevgera "TCP keepalive" ji bo girêdanên derketinê yên bi servera proxidî re mîheng dike;
    • «fastcgi_socket_keepalive" - ji bo girêdanên derketinê yên bi servera FastCGI re tevgera "TCP keepalive" mîheng dike;
    • «grpc_socket_keepalive" - ji bo girêdanên derketinê yên bi servera gRPC re tevgera "TCP keepalive" mîheng dike;
    • «memcached_socket_keepalive" - ji bo girêdanên derketinê yên bi servera memcached re tevgera "TCP keepalive" mîheng dike;
    • «scgi_socket_keepalive" - ji bo girêdanên derketinê yên bi servera SCGI re tevgera "TCP keepalive" mîheng dike;
    • «uwsgi_socket_keepalive" - tevgera "TCP keepalive" ji bo girêdanên derketinê yên bi servera uwsgi re mîheng dike.
  • Di fermanê de "limit_req" Parametreyek nû "dereng" lê zêde kir, ku sînorek destnîşan dike, piştî ku daxwazên zêde têne dereng kirin;
  • Rêvebirên nû "keepalive_timeout" û "keepalive_requests" li bloka "upstream" hatine zêdekirin da ku ji bo Keepalive sînor bêne danîn;
  • Rêvebira "ssl" hat betal kirin, di rêwerznameya "guhdarî" de bi parametreya "ssl" hate guherandin. Sertîfîkayên SSL yên wenda naha di qonaxa ceribandina mîhengê de dema ku rêwerznameya "guhdarî" bi parametreya "ssl" di mîhengan de bikar tînin têne tespît kirin;
  • Dema ku dîrektîfa reset_timedout_connection bikar bînin, dema ku dem derbas dibe êdî girêdan bi kodek 444 têne girtin;
  • Çewtiyên SSL-ê "daxwaza http", "daxwaza proxy https", "protokola nepiştgir" û "guhertoya pir kêm" naha li şûna "crit" bi asta "info" di têketinê de têne xuyang kirin;
  • Piştgiriyek ji bo rêbaza anketê ya li ser pergalên Windows-ê dema ku Windows Vista û paşê bikar tînin zêde kir;
  • Derfeta bikaranîna TLSv1.3 dema ku bi pirtûkxaneya BoringSSL re çêdibe, ne tenê OpenSSL.

Source: opennet.ru

Add a comment