tengine中reuseport加入到
events {
use epoll;
reuse_port on;
worker_connections 51200;
}
server {
#fastTcpopen 选项在内核3.7的时候合并到内核,快速tcp打开 ,reuse port(端口复用在内核3.10的时候支持),nginx的这些优化需要新版的内核才能支持
###cat /proc/sys/net/ipv4/tcp_fastopen
listen 443 ssl http2 spdy fastopen=3;
server_name www.aa.cn aa.cn;
root /usr/share/nginx/html;
index index.php index.html index.htm;
server_tokens off;
ssl on;
ssl_certificate /webdata/conf/ssl/shumoo.cn.crt;
ssl_certificate_key /webdata/conf/ssl/shumoo.cn.key;
ssl_session_timeout 48h;
##有些浏览器不支持下面基于session_tickets复用,所以两种方案都配置了
ssl_session_cache shared:SSL:50m;
##这是基于tickets的session复用,因为负载均衡多机要使用共享的session_ticket所以必须指定 ssl_session_ticket_key,
ssl_session_tickets on;
#ssl_session_ticket_key /webdata/conf/ssl/session_ticket.key ;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_dhparam /webdata/conf/ssl/dhparams.pem;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /webdata/conf/ssl/crt_chain.crt;
resolver 223.5.5.5 8.8.8.8 valid=300s;
resolver_timeout 6s;
#################################为了安全nginx在浏览器中增加以下头部####################################
##HSTS(ngx_http_headers_module is required)
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;"; #比301/302更好的一个实现,省一次http请求
add_header X-Frame-Options SAMEORIGIN; #是否允许本域意外的页面嵌入,SAMEORIGIN指不允许本域以外的页面嵌入
#add_header X-Content-Type-Options nosniff; #禁止浏览器对Content-Type 类型的猜测(sniff)
#add_header X-Xss-Protection: 1; mode=block
## 增加CSP头部信息,CSP是W3C组织2015年4月份提出的一个草案,对mixed内容进行自动转https,需要浏览器支持,CPS只对schema转换,对域外的引用不予以转换,详情见:
##https://www.w3.org/TR/mixed-content/
add_header Content-Security-Policy upgrade-insecure-requests;
##########################################################################################################