如何优化Nginx在Ubuntu上的性能

Ubuntu上Nginx性能优化实操指南

一 基线测量与压测方法

• 在调整任何参数前先建立可复现的基准，使用 ApacheBench 发起不同并发的请求，观察关键指标（如 Requests per second、Time per request、失败率）。示例：ab -c 40 -n 50000 http://你的域名/，记录结果以便与调优后对比。每次只做少量变更并回归测试，确保收益可量化。

二 系统层优化

• 文件描述符限制：提升进程可打开的文件数，编辑 /etc/security/limits.conf，加入：

  * soft nofile 65535
  * hard nofile 65535
  root soft nofile 65535
  root hard nofile 65535
  

  确保登录会话与 systemd 服务均能继承该上限（必要时在 systemd 服务单元中设置 LimitNOFILE=）。
• TCP/IP 与内核网络参数：编辑 /etc/sysctl.conf 或 /etc/sysctl.d/99-nginx-performance.conf，示例：

  net.core.rmem_max = 16777216
  net.core.wmem_max = 16777216
  net.ipv4.tcp_rmem = 4096 87380 16777216
  net.ipv4.tcp_wmem = 4096 65536 16777216
  net.ipv4.tcp_fin_timeout = 30
  net.ipv4.tcp_tw_reuse = 1
  # 注意：在 Nginx 作为反向代理且后端同为 NAT/负载均衡时，谨慎开启 tcp_tw_recycle
  

  应用：sudo sysctl -p。这些参数增大套接字缓冲区、加速 TIME_WAIT 回收，有助于高并发下的吞吐与稳定性。

三 Nginx核心配置优化

• 进程与连接：
  • worker_processes auto;（通常设为 CPU 核心数，充分利用多核）
  • worker_connections 10240;（结合业务与文件描述符上限逐步调大）
• 传输与压缩：
  • sendfile on;（零拷贝传输静态文件）
  • gzip on; gzip_comp_level 5; gzip_min_length 256; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; gzip_vary on;
• 长连接复用：
  • keepalive_timeout 65; keepalive_requests 100;（在反向代理与静态资源场景提升复用率）
• 静态资源缓存：

  location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
      expires 365d;
      add_header Cache-Control "public, immutable";
  }
  

• 反向代理缓存（示例）：

  proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=10g inactive=60m use_temp_path=off;
  server {
      location / {
          proxy_cache my_cache;
          proxy_pass http://backend;
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
          proxy_set_header X-Forwarded-Proto $scheme;
      }
  }
  

• 动态内容加速（FastCGI/PHP-FPM 等）：

  fastcgi_cache_path /var/cache/nginx/fastcgi levels=1:2 keys_zone=fcgi:10m inactive=60m;
  fastcgi_cache_key "$scheme$request_method$host$request_uri";
  fastcgi_cache_use_stale error timeout invalid_header http_500;
  fastcgi_cache_valid 200 302 10m;
  fastcgi_cache_valid 404 1m;
  

• 限流与抗滥用（保护突发流量）：

  limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
  server {
      location / {
          limit_req zone=mylimit burst=5 nodelay;
      }
  }
  

• 启用 HTTP/2（需启用 TLS）：listen 443 ssl http2;，可显著降低连接开销、提升并发加载性能。

四 安全与传输层优化

• 启用 TLS 1.2/1.3，禁用不安全套件与旧协议；使用 ECDHE 密钥交换与 AEAD 套件；开启 HSTS、OCSP stapling；合理配置 会话复用 与 证书链 完整；将 TLS 会话票据密钥与 DH 参数妥善管理并定期轮换。
• 结合 HTTP/2 或 HTTP/3（QUIC） 减少队头阻塞，提高弱网与移动网络体验。
• 对静态资源设置强缓存并结合 ETag 或 Last-Modified 做协商缓存，减少不必要回源。

五 监控验证与持续迭代

• 日志与观测：使用 journalctl、syslog-ng 集中日志；结合 Prometheus + Grafana 采集 Nginx 指标（如请求速率、响应时延、5xx 比例、连接数）与系统资源（CPU、内存、网络、TCP 状态），设置告警阈值，观察调优前后曲线变化。
• 逐步调参与回归测试：每次仅变更少量参数，使用 ab 或其他压测工具（如 wrk、k6）在相同场景下复测，关注 RPS、P95/P99 延迟、错误率 与资源占用，确保优化收益稳定可复现。