Etter et år med utvikling ny stabil gren av høyytelses HTTP-server og multiprotokoll proxy-server , som absorberte endringene akkumulert innenfor hovedgrenen 1.15.x. I fremtiden vil alle endringer i den stabile grenen 1.16 være relatert til eliminering av alvorlige feil og sårbarheter. Hovedgrenen til nginx 1.17 vil snart bli dannet, der utviklingen av nye funksjoner vil fortsette. For vanlige brukere som ikke har som oppgave å sikre kompatibilitet med tredjepartsmoduler, bruk hovedgrenen, på grunnlag av hvilke utgivelser av det kommersielle produktet Nginx Plus dannes hver tredje måned.
De mest bemerkelsesverdige forbedringene som ble lagt til under utviklingen av 1.15.x oppstrømsgrenen:
- Lagt til muligheten til å bruke variabler i ' direktiver'и'', som kan brukes til å laste sertifikater dynamisk;
- Lagt til muligheten til å laste SSL-sertifikater og hemmelige nøkler fra variabler uten å bruke mellomliggende filer;
- I blokken "» nytt direktiv implementert «", ved hjelp av hvilken du kan organisere lastbalansering med et tilfeldig utvalg av en server for å videresende tilkoblingen;
- I modulen variabel implementert ,
som spesifiserer den høyeste versjonen av SSL/TLS-protokollen som klienten støtter. Variabelen tillater for tilgang ved hjelp av ulike protokoller med og uten SSL gjennom én nettverksport ved proxy-overføring av trafikk ved hjelp av http- og stream-modulene. For eksempel, for å organisere tilgang via SSH og HTTPS gjennom én port, kan port 443 videresendes som standard til SSH, men hvis SSL-versjonen er definert, videresend til HTTPS. - En ny variabel er lagt til oppstrømsmodulen "", som viser antall byte som er overført til gruppeserveren;
- Til modul i løpet av en økt er muligheten til å behandle flere innkommende UDP-datagrammer fra klienten lagt til;
- Direktivet "", spesifiserer antall datagrammer mottatt fra klienten, når bindingen mellom klienten og den eksisterende UDP-sesjonen er fjernet. Etter å ha mottatt det angitte antallet datagrammer, begynner det neste datagrammet mottatt fra samme klient en ny økt;
- Lyttedirektivet har nå muligheten til å spesifisere portområder;
- Lagt til direktiv "» for å aktivere modusen når du bruker TLSv1.3, som lar deg lagre tidligere forhandlede TLS-tilkoblingsparametere og redusere antall RTT-er til 2 når du gjenopptar en tidligere etablert tilkobling;
- Nye direktiver er lagt til for å konfigurere Keepalive for utgående tilkoblinger (aktivere eller deaktivere SO_KEEPALIVE-alternativet for sockets):
- «" - konfigurerer "TCP keepalive"-atferden for utgående tilkoblinger til proxy-serveren;
- «" - konfigurerer "TCP keepalive"-atferden for utgående tilkoblinger til FastCGI-serveren;
- «" - konfigurerer "TCP keepalive"-atferden for utgående tilkoblinger til gRPC-serveren;
- «" - konfigurerer "TCP keepalive"-atferden for utgående tilkoblinger til den minnebufrede serveren;
- «" - konfigurerer "TCP keepalive"-atferden for utgående tilkoblinger til SCGI-serveren;
- «" - konfigurerer atferden "TCP keepalive" for utgående tilkoblinger til uwsgi-serveren.
- I direktivet " lagt til en ny parameter "forsinkelse", som setter en grense hvoretter redundante forespørsler blir forsinket;
- Nye direktiver «keepalive_timeout» og «keepalive_requests» er lagt til «oppstrøms»-blokken for å sette grenser for Keepalive;
- "ssl"-direktivet er avviklet, erstattet av "ssl"-parameteren i "lytt"-direktivet. Manglende SSL-sertifikater oppdages nå på konfigurasjonsteststadiet når du bruker "lytte"-direktivet med "ssl"-parameteren i innstillingene;
- Når du bruker reset_timedout_connection-direktivet, lukkes tilkoblinger nå med en 444-kode når tidsavbruddet utløper;
- SSL-feil "http request", "https proxy request", "unsupported protocol" og "version too low" vises nå i loggen med nivået "info" i stedet for "crit";
- Lagt til støtte for avstemningsmetoden på Windows-systemer ved bruk av Windows Vista og nyere;
- Mulighet for bruk når du bygger med BoringSSL-biblioteket, ikke bare OpenSSL.
Kilde: opennet.ru