Nginx 優化指南

一、基礎優化

1、調整 worker_processes

Nginx 的 worker_processes 參數決定了工作進程的數量，不宜設置過高，否則會佔用大量的 CPU 和內存資源，每個進程一般佔用 1MB 左右的內存。在大多數情況下，建議將 worker_processes 設置為 CPU 核心數的值，以提高 CPU 利用率和響應速度。

worker_processes 4;

2、調整 worker_connections

worker_connections 指定了每個 worker 進程所支持的最大連接數，過低的話會導致請求被拒絕的問題，過高則會導致服務質量下降，建議根據實際情況適當調整。

worker_connections 1024;

3、開啟 sendfile

sendfile 可以提高文件傳輸效率，通過直接在內核空間和磁碟之間傳輸數據來實現服務端零拷貝。

sendfile on;

二、緩存優化

1、開啟緩存

可以通過設置 proxy_cache_path 和 proxy_cache 啟用 Nginx 的緩存功能，將一部分靜態資源緩存到本地，避免多次請求帶來的延遲。

proxy_cache_path /path/to/cache levels=1:2 keys_zone=my_cache:10m inactive=60m;
location / {
    proxy_cache my_cache;
    proxy_cache_valid 200 1h;
    proxy_cache_valid 403 404 1m;
    proxy_pass http://backend;
}

2、開啟 gzip 壓縮

啟用 gzip 壓縮可以減少傳輸數據的大小，加快響應速度，並節省帶寬資源。

gzip on;
gzip_comp_level 2;
gzip_min_length 1000;
gzip_proxied any;
gzip_types text/plain text/css application/json application/javascript application/x-javascript text/xml application/xml application/xml+rss text/javascript;

三、安全優化

1、限制文件上傳大小

在上傳文件時，為了防止用戶惡意上傳過大的文件佔用伺服器空間，可以限制文件上傳大小。

client_max_body_size 10m;

2、開啟 SSL

如果網站需要加密傳輸，可以開啟 SSL，通過 HTTPS 協議進行通信，增加數據傳輸的安全性。

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256;
    ...
}

3、添加安全頭部

通過添加安全頭部，可以進一步加強網站的安全性，例如防止 XSS 攻擊。

add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options "SAMEORIGIN";

四、性能優化

1、使用反向代理

Nginx 可以通過反向代理的方式將請求轉發到後端服務，提高服務響應速度和穩定性。

location / {
    proxy_pass http://backend;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
}

2、開啟 TCP_NODELAY

TCP_NODELAY 參數可以減少 TCP 連接的延遲，提高數據傳輸的速度。

tcp_nopush on;
tcp_nodelay on;

3、使用 FastCGI 緩存

FastCGI 可以將請求轉發到靜態資源緩存伺服器，將一部分請求緩存到磁碟上，減少後續請求的響應時間。

fastcgi_cache_path /path/to/cache levels=1:2 keys_zone=my_cache:10m inactive=60m;
location / {
    fastcgi_cache my_cache;
    fastcgi_cache_valid 200 1h;
    fastcgi_cache_valid 403 404 1m;
    include fastcgi_params;
    fastcgi_pass backend;
}