打造安全易运维的高性能Web平台.PDF

打造安全易运维的高性能Web平台 ——淘宝网Nginx定制开发实战 朱照远（叔度） 王晓哲（清无） 2011-12-06 大纲 •  背景介绍 •  前端优化 •  安全增强 •  典型业务模块 •  运维增强 •  动态脚本与数据库层 1、背景介绍 淘宝网的面临的技术挑战 •  亚洲最大的电子商务网站，Alexa排名12 •  巨大的商品量 –  商品总数超过10亿 –  每天在线的商品数超过5亿 –  每天更新的商品数超过6000万 •  巨大的访问量 –  每秒钟几百个G的网络流量 –  日PV超过几十亿的业务线很多 淘宝网使用Nginx的过程 •  2009年开始使用和探索 •  2010年开始开发大量模块 –  基础的 –  业务的 •  2011年开始 –  修改Nginx的内核 –  Tengine项目并开源 淘宝网应用Nginx的收益 •  业务更加稳定 –  Nginx大连接数目支持非常好 –  Nginx本身的内存占用很少，更不会吃swap •  业务性能更高 –  QPS比Apache要好 –  节省机器数目 –  基于Nginx的模块性能往往是之前业务的数倍 2、前端优化 组合JavaScript和CSS文件 •  Yahoo!前端优化第⼀条原则 –  Minimize HTTP Requests –  减少三路握手和HTTP请求的发送次数 •  淘宝CDN combo –  concat模块 –  将多个JavaScript、CSS请求合并成⼀个 淘宝CDN Combo的使用 •  以两个问号（??）激活combo特性 •  多个文件之间用逗号（,）分开 •  用⼀个?来表示时间戳 –  突破浏览器缓存 •  例子 /??s/kissy/1.1.6/kissy-min.js,p/global/1.0/global- min.js,p/et/et.js?t=2011092320110301.js 强制gzip压缩 •  来自Google的最佳实践 –  2009、2010年Velocity大会 •  做强制gzip的原因 –  代理软件、杀毒软件对Accept-Encoding头的 修改或去除 –  访问淘宝的请求15%没有带Accept- Encoding头 强制gzip的基本原理 •  如果请求中没有Accept-Encoding头或不 支持gzip且没有GZ的cookie设置 •  判断浏览器（User-Agent）是否支持gzip •  发送的内容中插入JavaScript脚本 •  脚本请求⼀个永远都gzip的URL •  如果gzip的内容被执行了，说明支持gzip •  设置GZ对应的cookie值，注明支持gzip 3、安全增强 单机安全方案 •  连接数限制 –  使用limit_conn模块 •  访问频率限制 –  加强版的limit_req模块 •  白名单支持 •  指定跳转页面支持 •  同⼀个location下多limit_req支持 系统过载保护 •  判断依据 –  系统的loadavg –  内存使用（swap的比率） –  QPS •  sysgurad模块 sysguard on; sysguard_load load=4 acti