ubuntu nginx更新升级注意点

Ubuntu 下 Nginx 更新升级注意点

一升级前检查清单

备份关键资产：打包配置与证书目录（如 /etc/nginx/、/usr/share/nginx/html/）、日志（如 /var/log/nginx/），并备份旧二进制（如 /usr/sbin/nginx 或编译安装的 /usr/local/nginx/sbin/nginx）。示例：tar -zcvf nginx-conf-$(date +%F).tar.gz /etc/nginx。此举是回滚的底线保障。
明确安装来源与版本：区分 APT 仓库版 与 源码编译版。执行 nginx -v 查看版本，nginx -V 查看完整编译参数与模块列表（后续复用，避免功能丢失）。
第三方模块盘点：如 ngx_brotli、passenger、geoip、xslt、image_filter、stream 等，升级时模块需与目标版本匹配；动态模块常见报错为 “module version X instead of Y”。
依赖与兼容性预检：确认 PCRE、zlib、OpenSSL 等库满足新版本要求；跨大版本或自定义编译时，注意 Nginx 与 OpenSSL 的版本对应关系，必要时指定 OpenSSL 路径或调整 Nginx 版本。
变更日志核对：查阅官方变更，关注指令/默认值的变更与废弃项，避免升级后配置不兼容。

二升级路径选择与关键操作

APT 仓库升级（无自定义模块优先）
- 更新索引并单独升级：apt update && apt install --only-upgrade nginx。
- 配置与版本核验：nginx -t && nginx -V，无误后 systemctl reload nginx 生效。
- 如需新功能或更快版本，可添加 Nginx 官方仓库 并优先选择稳定或主线版，注意发行代号（如 focal、jammy）与 GPG 校验。
源码编译升级（含新增/变更模块）
- 用旧版 nginx -V 的编译参数作为基线，新增所需模块后 ./configure && make（仅 make，不 make install）。
- 备份旧二进制，替换新二进制并启动；如需零停机，按下一节执行平滑升级。
平滑升级（生产零停机）
- 基于 master/worker 模型，向旧 master 发送信号：
  1. kill -USR2 $OLD_PID（启动新 master，旧 pid 文件重命名为 nginx.pid.oldbin）
  2. kill -WINCH $OLD_PID（旧 worker 处理完现有连接后退出）
  3. 验证无误后 kill -QUIT $OLD_PID（关闭旧 master）

三回滚与应急

APT 回滚：安装指定旧版本（需源中仍保留该版本），如 apt install nginx=1.24.0-1~bionic，随后 systemctl restart nginx。
源码/平滑升级回滚：
- 恢复旧二进制（如 cp nginx.old /usr/local/nginx/sbin/nginx），向旧 master 发送 HUP 拉起旧 worker；
- 关闭新 master：kill -QUIT $(cat /usr/local/nginx/logs/nginx.pid)；
- 复核版本与进程：nginx -v、ps -ef | grep nginx。

四升级后验证与常见问题

验证闭环：
- 配置语法：nginx -t；版本与模块：nginx -V；连通性：curl -I https://your-domain；
- 进程与监控：仅保留 1 个 master 与对应 worker；按需启用 stub_status 做连接/请求监控。
常见问题速解：
- 端口权限：bind() to 0.0.0.0:80 failed (13: Permission denied)，可用 setcap ‘cap_net_bind_service=+ep’ /usr/sbin/nginx 赋予绑定特权端口能力；
- 模块缺失：如 “the “ssl” parameter requires ngx_http_ssl_module”，需在编译时加入 –with-http_ssl_module 并复用旧参数；
- 动态模块版本不匹配：如 ngx_http_passenger_module.so 版本不一致，需对齐 Nginx 与模块版本或重新编译；
- 依赖缺失：PCRE/zlib/OpenSSL 不满足时，安装对应开发库或指定库路径再编译。

五运维与变更管理建议

最新问答