1. Nginx基础配置快速上手第一次接触Nginx时我被它简洁的配置文件结构惊艳到了。相比其他Web服务器动辄几百行的配置Nginx的配置文件就像一份精心设计的菜谱每个指令都恰到好处。先带大家看看最基本的配置结构# 全局块 user nginx; worker_processes auto; # events块 events { worker_connections 1024; } # http块 http { include /etc/nginx/mime.types; default_type application/octet-stream; # server块 server { listen 80; server_name example.com; # location块 location / { root /usr/share/nginx/html; index index.html; } } }这个配置模板就像乐高积木的基础模块后续所有高级功能都是在这个框架上搭建的。我建议新手先把这个基础配置保存为nginx.conf.bak每次实验新功能前先备份。worker_processes这个参数特别有意思它决定了Nginx使用多少个工作进程。早期我总是手动设置成CPU核心数直到发现设为auto更智能 - Nginx会自动检测CPU核心数并启动对应数量的工作进程。这个小细节让我意识到好的工具应该开箱即用。2. 性能优化五大实战技巧2.1 连接数调优实战在电商大促期间我们的服务器曾经因为连接数不足导致服务不可用。后来通过调整这几个参数完美解决了问题events { worker_connections 4096; # 每个worker最大连接数 multi_accept on; # 一个worker同时接受多个连接 use epoll; # 使用epoll事件模型(Linux) }这里有个坑要注意worker_connections不是越大越好。我曾在测试环境设置成8192结果系统直接OOM崩溃。正确的做法是先计算worker_processes * worker_connections 系统最大文件描述符数。可以通过ulimit -n查看当前限制。2.2 缓冲区优化方案静态文件服务是Nginx的强项但默认配置可能不适合大文件传输。这是我们线上使用的优化方案http { client_body_buffer_size 10K; client_header_buffer_size 1k; client_max_body_size 8m; large_client_header_buffers 4 8k; # 静态文件优化 sendfile on; tcp_nopush on; tcp_nodelay on; }sendfile指令直接在内核空间完成文件传输避免了用户空间的数据拷贝。实测这个改动让我们的PDF下载速度提升了30%。有个小技巧当使用SSL时需要把tcp_nopush和tcp_nodelay配合使用才能达到最佳效果。3. 高可用配置详解3.1 负载均衡实战配置我们的API服务用这个配置扛住了双十一的流量洪峰upstream api_cluster { least_conn; # 最少连接算法 server 10.0.0.1:8080 weight5; server 10.0.0.2:8080 weight3; server 10.0.0.3:8080; server 10.0.0.4:8080 backup; # 备用服务器 } server { location /api/ { proxy_pass http://api_cluster; proxy_next_upstream error timeout http_500; proxy_connect_timeout 1s; } }这里有几个血泪教训weight参数需要根据服务器实际性能设置我们曾经给性能差的服务器设置了高权重结果适得其反。proxy_next_upstream配置也很关键它决定了在什么情况下会尝试下一台服务器。3.2 健康检查机制光有负载均衡还不够我们还需要实时监控后端服务状态upstream backend { zone backend 64k; server 192.168.1.1:80; server 192.168.1.2:80; # 健康检查配置 health_check interval5s fails3 passes2 uri/health; }这个配置会让Nginx每5秒检查一次后端健康状态连续失败3次标记为不可用成功2次恢复。有次线上事故就是因为健康检查间隔太长默认10秒导致故障发现延迟。建议关键业务把间隔缩短到3秒以内。4. 安全加固最佳实践4.1 HTTPS安全配置这是我们在PCI DSS认证过程中使用的SSL配置server { listen 443 ssl http2; ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 1d; }配置SSL时最容易犯的错误是使用了不安全的加密套件。我推荐使用Mozilla的SSL配置生成器它会根据安全等级自动生成最佳配置。记得定期更新SSL证书我们设置了自动续期脚本避免证书过期导致服务中断。4.2 防DDoS基础配置针对SYN Flood攻击我们在Nginx层面做了这些防护http { # 限制连接频率 limit_conn_zone $binary_remote_addr zoneperip:10m; limit_conn perip 100; # 限制请求频率 limit_req_zone $binary_remote_addr zonereqlimit:10m rate10r/s; server { location / { limit_req zonereqlimit burst20 nodelay; } } }这套配置曾经帮我们拦截了每秒5万次的CC攻击。关键是要合理设置限流阈值 - 太严格会影响正常用户太宽松又起不到防护作用。我们通过分析日志把普通用户的最大请求频率设定在每秒10-20次。5. 日志分析与性能监控5.1 自定义日志格式这是我们的增强版日志格式包含了响应时间和上游服务器信息http { log_format main_ext $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent rt$request_time uct$upstream_connect_time uht$upstream_header_time urt$upstream_response_time; access_log /var/log/nginx/access.log main_ext; }有了这些时间数据我们可以用ELK快速定位性能瓶颈。曾经发现某个API的upstream_response_time特别长最后追踪到是数据库查询没有加索引。建议至少保留30天的日志这对分析季节性流量模式很有帮助。5.2 实时状态监控Nginx自带的状态模块是排查问题的利器server { location /nginx_status { stub_status on; allow 192.168.1.0/24; deny all; } }开启后访问/nginx_status能看到Active connections: 291 server accepts handled requests 16630948 16630948 31070465 Reading: 6 Writing: 179 Waiting: 106这些数字就像服务器的脉搏我习惯用PrometheusGrafana做成实时监控看板。当Waiting连接数突然增长时通常意味着后端服务出现了瓶颈。