Linux：支持高并发web服务器搭建

UI视频教程 2016-10-11 12:05:27

支持高并发web服务器搭建

一、搭建

服务器环境：

操作系统：centos7，16G内存，8核cpu

安装软件版本: ,php5.6，php-fpm，nginx1.8.1，openresty-1.9.3

安装位置：/nginxLua

openresty所在目录：/nginxLua/openresty

nginx所在目录：/nginxLua/openresty/nginx

nginx.conf所在目录：/nginxLua/openresty/nginx/conf

nginx启动项所在目录:/nginxLua/openresty/nginx/sbin/nginx

linux内核参数配置项（sysctl.conf）：/etc/sysctl.conf

php-fpm.conf所在：/etc/php-fpm.conf

php-fpm配置项：/etc/php-fpm.d/www.conf

web目录：/web/html

lua代码目录：/web/lua

什么是openresty?

Openresty是一款nginx+lua的集成包，在目前相对lua扩展不是很健全，openresty是一个很好的选择，里面集成lua的基本模板

什么是lua？

Lua详细的可以百度，作用就是结合nginx可以实现非常高并发的接口，所以lua主要是用来写接口

什么是nginx？

一种类似apache的web服务器，强大的负载均衡和高并发，epoll的高效处理模式是它的优势，但其实他处理php的速度是跟apache不相上下的，但整体来说效率还是比apache快很多，因为他的异步非阻塞的处理机制

编译安装openresty下载安装包（ngx_openresty-1.9.3.1.tar.gz解压密码：0516）

把压缩包拷到服务器上进行解压（创建一个文件夹openresty）

tar -zxvf ngx_openresty-1.9.3.1.tar.gz -C /openresty

在编译之前你需要安装一些基本的依赖包

yum update

yum -y install gcc gcc-c++ autoconf automake

yum -y install zlib zlib-devel openssl openssl-devel pcre-devel readline-devel

yum -y install make

nginx相关命令：

开启：/nginxLua/openrety/nginx/sbin/nginx

关闭：/nginxLua/openrety/nginx/sbin/nginx -s stop

平滑关闭 /nginxLua/openrety/nginx/sbin/nginx -s quit

重新加载配置 /nginxLua/openrety/nginx/sbin/nginx -s reload

防火墙相关配置

firewall-cmd –permanent –query-port=9000/tcp 查看是否开启9000端口

firewall-cmd –permanent –add-port=9000/tcp 添加防火墙对9000端口开放

systemctl start firewalld.service 开启防火墙

systemctl stop firewalld.service 禁止使用防火墙

firewall-cmd –reload 防火墙配置加载

php-fpm相关命令

/usr/sbin/php-fpm -c /etc/php.ini 启动

kill -SIGUSR2 cat /run/php-fpm/php-fpm.pid 重启

kill -SIGINT cat /run/php-fpm/php-fpm.pid 关闭

进入openresty开始编译安装

./configure –prefix=/openresty

–with-luajit

–with-http_iconv_module

–with-http_postgres_module

make && make install

测试是否安装成功

开启nginx： /openresty/openrety/nginx/sbin/nginx

修改配置文件：vi /openresty/openresty/conf/nginx.conf

在配置文件中的server中加一个location：

location /lua {

default_type ‘text/html’;

content_by_lua‘

ngx.say(“hellow,word”)

’；

}

开启nginx服务：/openresty/openrety/nginx/sbin/nginx

curl 127.0.0.1/lua

可以看到结果：hellow，word 说明nginx加lua已经编译安装好了

安装php-5.6

添加yum源

CentOs 5.x

rpm -Uvh http://mirror./yum/el5/latest.rpm

CentOs 6.x

rpm -Uvh http://mirror./yum/el6/latest.rpm

CentOs 7.X

rpm -Uvh https://mirror./yum/el7/epel-release.rpm

rpm -Uvh https://mirror./yum/el7/webtatic-release.rpm

安装php-5.6

yum -y install php56w.x86_64 php56w-cli.x86_64 php56w-common.x86_64 php56w-gd.x86_64 php56w-ldap.x86_64 php56w-mbstring.x86_64 php56w-MySQL.x86_64 php56w-pdo.x86_64 php56w-pear.noarch php56w-process.x86_64 php56w-xml.x86_64 php56w-xmlrpc.x86_64

安装php56w-fpm （nginx编译php文件的关键）

yum install php56w-fpm -y

配置nginx支持编译php文件（编辑nginx.conf）

location ~ .php(.*){

root html;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_split_path_info ^(.+.php)(.*);//支持thinkphp路由规则的重要配置

fastcgi_param SCRIPT_FILENAME documentrootfastcgi_script_name;

fastcgi_param PATH_INFOfastcgipathinfo;fastcgiparamPATHTRANSLATEDdocument_root$fastcgi_path_info;

include fastcgi_params;

}

启动nginx和php-fpm，测试输出php文件是否有效

502 bad getway ：很有可能就是你上面配置出现错误了

php文件被下载了：说明nginx不能编译php文件，直接坐位普通文件下载了，要检查配置文件是否做了相关的配置

二、支持高并发的配置优化

优化系统内核

timewait 的数量，默认是180000。但是多了会影响处理速度，少了无法最大化利用系统性能

net.ipv4.tcp_max_tw_buckets = 20000

允许系统打开的端口范围。不设置的话在高并发的情况下有可能把服务器的端口都占满，那就彻底爆炸了

net.ipv4.ip_local_port_range = 10000 65000

启用timewait 快速回收，这个必须要打开，很大程度的提高效率

net.ipv4.tcp_tw_recycle = 1

开启SYN Cookies，当出现SYN 等待队列溢出时，启用cookies 来处理。

net.ipv4.tcp_syncookies = 1

web 应用中listen 函数的backlog 默认会给我们内核参数的net.core.somaxconn限制到128，而nginx 定义的NGX_LISTEN_BACKLOG 默认为511，所以有必要调整这个值

net.core.somaxconn = 262144

每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。

net.core.netdev_max_backlog = 262144

系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤儿连接将即刻被复位并打印出警告信息。这个限制仅仅是为了防止简单的DoS攻击，不能过分依靠它或者人为地减小这个值，更应该增加这个值(如果增加了内存之后)。

net.ipv4.tcp_max_orphans = 262144

记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言，缺省值是1024，小内存的系统则是128。

net.ipv4.tcp_max_syn_backlog = 262144

时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。

net.ipv4.tcp_timestamps = 0

为了打开对端的连接，内核需要发送一个SYN 并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK 包的数量。

net.ipv4.tcp_synack_retries = 1

在内核放弃建立连接之前发送SYN 包的数量。

net.ipv4.tcp_syn_retries = 1

如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接，甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180秒，3你可以按这个设置，但要记住的是，即使你的机器是一个轻载的WEB 服务器，也有因为大量的死套接字而内存溢出的风险，FIN-WAIT-2 的危险性比FIN-WAIT-1 要小，因为它最多只能吃掉1.5K 内存，但是它们的生存期长些。

net.ipv4.tcp_fin_timeout = 2

当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时。

net.ipv4.tcp_keepalive_time = 30

详细的系统内核参数配置

CTCDN系统优化参数

关闭ipv6

net.ipv6.conf.all.disable_ipv6=1

net.ipv6.conf.default.disable_ipv6=1

避免放大攻击

net.ipv4.icmp_echo_ignore_broadcasts=1

开启恶意icmp错误消息保护

net.ipv4.icmp_ignore_bogus_error_responses=1

关闭路由转发

net.ipv4.ip_forward=0

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.default.send_redirects=0

开启反向路径过滤

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.default.rp_filter=1

处理无源路由的包

net.ipv4.conf.all.accept_source_route=0

net.ipv4.conf.default.accept_source_route=0

关闭sysrq功能

kernel.sysrq=0

core文件名中添加pid作为扩展名

kernel.core_uses_pid=1

开启SYN洪水攻击保护

net.ipv4.tcp_syncookies=1

修改消息队列长度

kernel.msgmnb=65536

kernel.msgmax=65536

设置最大内存共享段大小bytes

kernel.shmmax=68719476736

kernel.shmall=4294967296

timewait的数量，默认180000

net.ipv4.tcp_max_tw_buckets=20000

系统同时保持TIME_WAIT的最大数量，如果超过这个数字，TIME_WAIT将立刻被清除并打印警告信息。默认为180000

net.ipv4.tcp_sack=1

net.ipv4.tcp_window_scaling=1

net.ipv4.tcp_rmem=4096 87380 4194304

net.ipv4.tcp_wmem=4096 16384 4194304

net.core.wmem_default=8388608

net.core.rmem_default=8388608

net.core.rmem_max=16777216

net.core.wmem_max=16777216

每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目

net.core.netdev_max_backlog=662144

web 应用中listen 函数的backlog 默认会给我们内核参数的net.core.somaxconn限制到128，而nginx 定义的NGX_LISTEN_BACKLOG 默认为511，所以有必要调整这个值

net.core.somaxconn=662144

<h1 id="限制仅仅是为了防止简单的dos-攻击">限制仅仅是为了防止简单的DoS 攻击

net.ipv4.tcp_max_orphans=662144

未收到客户端确认信息的连接请求的最大值 可以容纳更多等待连接的网络连接数。

net.ipv4.tcp_max_syn_backlog=662144

net.ipv4.tcp_timestamps=0

内核放弃建立连接之前发送SYNACK 包的数量

net.ipv4.tcp_synack_retries=1

内核放弃建立连接之前发送SYN 包的数量

net.ipv4.tcp_syn_retries=1

启用timewait 快速回收

net.ipv4.tcp_tw_recycle=1

开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接

net.ipv4.tcp_tw_reuse=1

net.ipv4.tcp_mem=94500000 915000000 927000000

net.ipv4.tcp_fin_timeout=3

当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时

net.ipv4.tcp_keepalive_time=30

允许系统打开的端口范围

net.ipv4.ip_local_port_range=10000 65000

修改防火墙表大小，默认65536

net.netfilter.nf_conntrack_max=655350

net.netfilter.nf_conntrack_tcp_timeout_established=1200

确保无人能修改路由表

net.ipv4.conf.all.accept_redirects=0

net.ipv4.conf.default.accept_redirects=0

net.ipv4.conf.all.secure_redirects=0

net.ipv4.conf.default.secure_redirects=0

sysctl -p　使配置生效

系统连接数的优化

查看当前系统允许打开的文件数（没修改的话就是1024）

ulimit -n

编辑修改/etc/security/limits.conf 在末尾添加如下代码，

soft noproc 65535 hard noproc 65535 soft nofile 65535

hard nofile 65535

修改系统运行打开的最大连接数

ulimit -SHn 65535

nginx.conf的优化配置

nginx 进程数，建议按照cpu 数目来指定，一般为它的倍数 (如,2个四核的cpu计为8)。

worker_processes 8;

这个指令是指当一个nginx 进程打开的最多文件描述符数目，理论值应该是最多打开文 件数（ulimit -n）与nginx 进程数相除，但是nginx 分配请求并不是那么均匀，所以最好与ulimit -n的值保持一致。 现在在linux2.6内核下开启文件打开数为65535，worker_rlimit_nofile就相应应该填写65535。

worker_rlimit_nofile 65535;

useepoll;

使用epoll 的I/O 模型

(

补充说明:

与apache相类，nginx针对不同的操作系统，有不同的事件模型

A）标准事件模型

Select、poll属于标准事件模型，如果当前系统不存在更有效的方法，nginx会选择select或poll

B）高效事件模型

Kqueue：使用于 FreeBSD 4.1+, OpenBSD 2.9+, NetBSD2.0 和 MacOS X. 使用双处理器的MacOS X系统使用kqueue可能会造成内核崩溃。

Epoll: 使用于Linux内核2.6版本及以后的系统。

/dev/poll：使用于 Solaris 7 11/99+, HP/UX 11.22+(eventport), IRIX 6.5.15+ 和 Tru64 UNIX 5.1A+。

Eventport：使用于 Solaris 10. 为了防止出现内核崩溃的问题，有必要安装安全补丁。

)

每个进程允许的最多连接数， 理论上每台nginx服务器的最大连接数为worker_processes*worker_connections。

worker_connections 65535;

keepalive 超时时间。

keepalive_timeout 60;

客户端请求头部的缓冲区大小，这个可以根据你的系统分页大小来设置，一般一个请求头的大小不会超过1k，不过由于一般系统分页都要大于1k，所以这里设置为分页大小。

client_header_buffer_size 4k;

7.这个将为打开文件指定缓存，默认是没有启用的，max 指定缓存数量，建议和打开文件数一致，inactive是指经过多长时间文件没被请求后删除缓存。

open_file_cachemax=65535 inactive=60s;

这个是指多长时间检查一次缓存的有效信息。

open_file_cache_valid80s;

open_file_cache 指令中的inactive参数时间内文件的最少使用次数，如果超过这个数字，文件描述符一直是在缓存中打开的，如上例，如果有一个文件在inactive时间内一次没被使用，它将被移除。

open_file_cache_min_uses 1;

开启进程复用

multi_accept on;

单个客户端在 keep-alive 连接上可以发送的请求数量，在测试环境中，需要配置个比较大的值。

keepalive_requests 200000;

gzip相关配置

gzip on;

gzip on;

gzip_min_length 5k;

gzip_buffers 4 16k;

gzip_http_version 1.0;

gzip_comp_level 4;

gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;

gzip_vary on;

缓存配置

location ~ .*.(gif|jpg|jpeg|png|bmp|swf|js|css)$

{

expires 30d;

}

引入lua库

lua_package_path “/nginxLua/openresty/lualib/resty/?.lua;;”;

配置调用执行ua代码

例

location /redis {

default_type ‘text/html’;

content_by_lua_file /lua/redis.lua;

}

优化的nginx配置

user nobody;

worker_processes 8;

worker_rlimit_nofile 65535;

error_log logs/error.log;

error_log logs/error.log notice;

error_log logs/error.log info;

error_log off;

pid logs/nginx.pid;

events {

use epoll;

multi_accept on; #开启进程复用

worker_connections 65535;

}

http {

include mime.types;

default_type application/octet-stream;

#log_format main '$remote_addr - $remote_user [$time_local] "$request" '

# '$status $body_bytes_sent "$http_referer" '

# '"$http_user_agent" "$http_x_forwarded_for"';

#access_log logs/access.log main;

access_log off;#正式环境最好注释掉

sendfile on;

#tcp_nopush on;

#keepalive_timeout 0;

keepalive_timeout 0;

keepalive_requests 200000;# 单个客户端在 keep-alive 连接上可以发送的请求数量，在测试环境中，需要配置个比较大的值。

gzip on;

#gzip on;

gzip_min_length 5k;

gzip_buffers 4 16k;

gzip_http_version 1.0;

gzip_comp_level 4;

gzip_types text/plain application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;

gzip_vary on;

lua_package_path "/nginxLua/openresty/lualib/resty/?.lua;;";

server {

listen 80;

server_name localhost;

#charset koi8-r;

#access_log logs/host.access.log main;

location / {

root html;

index index.html index.htm;

}

location /redis {

default_type 'text/html';

content_by_lua_file /lua/redis.lua;

}

#error_page 404 /404.html;

# redirect server error pages to the static page /50x.html

#

#error_page 500 502 503 504 /50x.html;

#location = /50x.html {

# root html;

#}

# proxy the PHP scripts to Apache listening on 127.0.0.1:80

#

#location ~ .php$ {

# proxy_pass http://127.0.0.1;

#}

# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000

#

location ~ .php(.*)$ {

root html;

#fastcgi_pass unix:/dev/shm/fpm-cgi.sock;

fastcgi_pass 127.0.0.1:9000;

fastcgi_index index.php;

fastcgi_split_path_info ^(.+.php)(.*)$;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

fastcgi_param PATH_INFO $fastcgi_path_info;

fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;

include fastcgi_params;

}

location ~ .*.(gif|jpg|jpeg|png|bmp|swf|js|css)$

{

expires 30d;

}

# deny access to .htaccess files, if Apache's document root

# concurs with nginx's one

#

#location ~ /.ht {

# deny all;

#}

}

# another virtual host using mix of IP-, name-, and port-based configuration

#

#server {

# listen 8000;

# listen somename:8080;

# server_name somename alias another.alias;

# location / {

# root html;

# index index.html index.htm;

# }

#}

# HTTPS server

#

#server {

# listen 443 ssl;

# server_name localhost;

# ssl_certificate cert.pem;

# ssl_certificate_key cert.key;

# ssl_session_cache shared:SSL:1m;

# ssl_session_timeout 5m;

# ssl_ciphers HIGH:!aNULL:!MD5;

# ssl_prefer_server_ciphers on;

# location / {

# root html;

# index index.html index.htm;

# }

#}

}

php-fpm配置优化

配置目录：/etc/php-fpm.d/www.conf

php-fpm初始/空闲/最大worker进程数

pm.max_children = 300

pm.start_servers = 20

pm.min_spare_servers = 5

pm.max_spare_servers = 35

最大处理请求数是指一个php-fpm的worker进程在处理多少个请求后就终止掉，master进程会重新respawn一个新的。 这个配置的主要目的是避免php解释器或程序引用的第三方库造成的内存泄露。

pm.max_requests = 10240

所有配置修改都要记得重启服务，确保配置加载

三、压力测试

测试项目

worker_rlimit_nofile（最大可用文件描述符数量）

worker_connections 单个进程允许的最大连接数

worker_processes 服务开启的进程数

keepalive_timeout自动关闭连接时间

multi_accept是否开启进程复用

gzip_comp_level

keepalive_requests单个客户端在 keep-alive 连接上可以发送的请求数量

测试数据（点击可以下载）：

参数设置：

worker_rlimit_nofile worker_connections worker_processes keepalive_timeout multi_accept gzip_comp_level keepalive_requests

65535 65535 8 0 on 4 65535