Linux下对 Nginx SSL 的性能进行调整-linux安全运维_跨零代码

跨零代码为大家提供高品质的运维解决方案,请大家多多来访,跨零不胜感激,在此谢过。

初始化服务器
  这个web服务器运行在一个EC2 t1.micro 环境.我选择 Nginx + PHP5-FPM 来运行php页面,出于安全考虑我使用SSL。
  测试性能
  我使用Blitz.io来进行压力和性能测试. 下面的是我压力测试的命令. 功能是在60秒内逐渐增加用户. 在整个过程中,Blitz.io 每秒创建一个请求并增加4个用户(rise/run = 260/60)。
-p 1-250:60 https://mydomian.com 
  结论
  对于那些不想看完全文的下面是几个方案:
  - 这个默认的 DH算法是性能低的最大原因. 改变你的 SSL 密码设置用下面的这个命令:
ssl_ciphers ALL:!kEDH!ADH:RC4+RSA:+HIGH:+SSLv2:+EXP; 
  - 升级你的EC2 从t1.micro 到 c1.medium
  - 当c1.medium给你两个CPU时,设置Nginx使用2个工作进程.
  详细的解释
  对于爱好者来说,这里是详细的解释。我将会在下述章节带领你重温我的思考过程。
  如果编辑了Nginx配置,那么重启Nginx服务器。如果编辑了PHP5-FPM配置,那么重启服务。
  尝试 #1: 增强硬件
  对于改善性能,我******的想法是增强服务器硬件,希望一切都会正常工作。我将EC2实例从t1.micro升级到了c1.medium(针对高流量服务器进行了优化,而不是通用服务器)。
  在此之后,我运行了Blitz.io负载测试。这是结果的截图:
  
  服务器的峰值性能可以达到每秒50个成功命中。随着负载的继续增加,超时的数量上升,而命中的数量下降。
  尝试 #2: 评效CPU性能
  我重新执行了测试,同时在后台运行htop。我注意到两个CPU的利用率不超过13%。内存使用了300Mb。看起来服务器没有充分利用。所以我做了下述改变。我编辑了/etc/ngnix/nginx.conf
worker_processes 2; 
  尝试 #3, #4, #5: 微调 Nginx + PHP5-FPM
  在下述尝试中,我改变了下述值,仍然获得跟尝试 #1同样的结果。
  尝试 #3
/etc/ngnix/nginx.conf 
worker_processes 2; 
events { 
worker_connections 19000; 
multi_accept on; 

  尝试 #4
  /etc/ngnix/nginx.conf
worker_processes 2; 
events { 
worker_connections 19000; 
multi_accept on; 

http { 
gzip on; 
gzip_disable “msie6”; 
gzip_min_length  1000; 
gzip_proxied     expired no-cache no-store private auth; 
gzip_types       text/plain application/xml application/javascript text/css application/x-javascript; 
… 

  尝试 #5
  我没有取消尝试 #4的改变
  /etc/php5/fpm/pool.d/www.conf
pm.max_children = 160 
pm.start_servers = 24 
pm.min_spare_servers = 20 
pm.max_spare_servers = 35 
pm.max_requests = 1500 
  尝试 #6: 部署另外一台服务器
  我还有另外一台Linode服务器。具有1.5Gb的内存和8个CPU。我复制所有Nginx和PHP5-FPM的设置到这台服务器上。
  这是我使用Blitz.io进行压力测试的命令:
-p 1-250:60 http://labs.mydomian2.com 
  这是结果:
  
  Linode服务器非常棒!我在想“Linode比EC2好么?”。在我决定沿着这条思路走下去,将代码迁移到Linode之前,我想要确保两台服务器之间没有差别。
  尝试 #7: 大启示
  我搜索了一下,发现Nginx有些SSL相关的问题。默认Nginx使用DHE算法创建密码(cipher)。禁用该算法将会提升性能。
  这是我读到的文章:
http://matt.io/entry/ur
http://auxbuss.com/blog/posts/2011_06_28_ssl_session_caching_on_nginx/
  所有我编辑/etc/nginx/nginx.conf去掉了kEDH密码算法。
worker_processes 2; 
events { 
worker_connections 1024; 

http { 
gzip on; 
gzip_disable “msie6”; 
gzip_min_length  1000; 
gzip_proxied     expired no-cache no-store private auth; 
gzip_types       text/plain application/xml application/javascript text/css application/x-javascript; 
ssl_ciphers ALL:!kEDH!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; 
… 

  我重现执行了原来的压力测试:
-p 1-250:60 https://mydomian.com 
  这是结果:
  
  真的有效!!!!
  尝试 #8: 我真的需要增强硬件
  太棒了,EC2与Linode在性能上很接近。但是我真的需要c1.medium实例来获得这种性能么?可能不需要… 所以我将EC2的实例类型改回了t1.micro。
  因为micro实例只有一个CPU,所有我在/etc/nginx/nginx.conf中减少了worker_processes。
worker_processes 1; 
  这是结果:
  
  嗯,额外的硬件是有帮助的。
  结论
  想要在使用了SSL的Nginx服务器上获得最好的性能,如下操作:
  - 默认使用的DH算法是低性能的最大原因。改变SSL密码设置如下:
ssl_ciphers ALL:!kEDH!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; 
  - 升级EC2从t1.micro到c1.medium
  - 因为c1.medium有两个CPUs,所有设置Nginx有两个工作进程。


从零到一,创造未来!跨零代码综合IT问题解决服务站,欢迎你的到来。运维教程 只为你绽放。

本文固定链接: http://kua0.com/2019/02/02/linux下对-nginx-ssl-的性能进行调整-linux安全运维_跨零代码/

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注