Nginx 從 1.13.9 版本開始加入了 HTTP/2 的 Server Push 功能,本文將介紹如何在 Nginx 下實現 HTTP/2 伺服器推送 (Server Push) 。
這裡我們首先用 Docker 搭建一個支持 HTTP/2 的 Server Push 功能的 Nginx 容器並加入 SSL 證書。如果你還不會 Docker,可以先看 「Docker 入門教程」,非常簡單。
Nginx 的最大作用,就是搭建一個 Web Server。有了容器,只要一行命令,伺服器就架設好了,完全不用配置。
$ docker container run \ -d \ -p 127.0.0.2:8080:80 \ --rm \ --name mynginx \ nginx上面命令下載並運行官方的 Nginx image,默認是最新版本(latest),當前是 1.13.9。如果本機安裝過以前的版本,請刪掉重新安裝,因為只有 1.13.9 才開始支持 server push。
上面命令的各個參數含義如下。
如果沒有報錯,就可以打開瀏覽器訪問 127.0.0.2:8080 了。正常情況下,顯示 Nginx 的歡迎頁。然後,把這個容器終止,由於 --rm 參數的作用,容器文件會自動刪除。
$ docker container stop mynginx網頁文件都在容器裡,沒法直接修改,顯然很不方便。下一步就是讓網頁文件所在的目錄/usr/share/nginx/html 映射到本地。
首先,新建一個目錄,並進入該目錄。
$ mkdir nginx-docker-demo$ cd nginx-docker-demo然後,新建一個html子目錄。
$ mkdir html在這個子目錄裡面,放置一個index.html文件,內容如下。
<h1>Hello World</h1>接著,就可以把這個子目錄 html,映射到容器的網頁文件目錄 /usr/share/nginx/html。
$ docker container run \ -d \ -p 127.0.0.2:8080:80 \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ nginx打開瀏覽器,訪問 127.0.0.2:8080,應該就能看到 Hello World 了。
修改網頁文件還不夠,還要修改 Nginx 的配置文件,否則後面沒法加 SSL 支持。
首先,把容器裡面的 Nginx 配置文件拷貝到本地。
$ docker container cp mynginx:/etc/nginx .上面命令的含義是,把 mynginx 容器的 /etc/nginx 拷貝到當前目錄。不要漏掉最後那個點。
執行完成後,當前目錄應該多出一個 nginx 子目錄。然後把這個子目錄改名為 conf。
$ mv nginx conf現在可以把容器終止了。
$ docker container stop mynginx重新啟動一個新的容器,這次不僅映射網頁目錄,還要映射配置目錄。
$ docker container run \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ --volume "$PWD/conf":/etc/nginx \ -p 127.0.0.2:8080:80 \ -d \ nginx上面代碼中,--volume "$PWD/conf":/etc/nginx 表示把容器的配置目錄 /etc/nginx,映射到本地的 conf 子目錄。
瀏覽器訪問 127.0.0.2:8080,如果能夠看到網頁,就說明本地的配置生效了。這時,可以把這個容器終止。
$ docker container stop mynginx現在要為容器加入 HTTPS 支持,第一件事就是生成私鑰和證書。正式的證書需要證書當局(CA)的籤名,這裡是為了測試,搞一張自籤名(self-signed)證書就可以了。
下面,我參考的是 DigitalOcean 的教程。首先,確定你的機器安裝了 OpenSSL,然後執行下面的命令。
$ sudo openssl req \ -x509 \ -nodes \ -days 365 \ -newkey rsa:2048 \ -keyout example.key \ -out example.crt上面命令的各個參數含義如下。
req:處理證書籤署請求。
-x509:生成自籤名證書。
-nodes:跳過為證書設置密碼的階段,這樣 Nginx 才可以直接打開證書。
-days 365:證書有效期為一年。
-newkey rsa:2048:生成一個新的私鑰,採用的算法是2048位的 RSA。
-keyout:新生成的私鑰文件為當前目錄下的example.key。
-out:新生成的證書文件為當前目錄下的example.crt。
執行後,命令行會跳出一堆問題要你回答,比如你在哪個國家、你的 Email 等等。其中最重要的一個問題是 Common Name,正常情況下應該填入一個域名,這裡可以填 127.0.0.2。
Common Name (e.g. server FQDN or YOUR name) []:127.0.0.2回答完問題,當前目錄應該會多出兩個文件:example.key 和 example.crt。
conf 目錄下新建一個子目錄 certs,把這兩個文件放入這個子目錄。
$ mkdir conf/certs$ mv example.crt example.key conf/certs有了私鑰和證書,就可以打開 Nginx 的 HTTPS 了。
首先,打開 conf/conf.d/default.conf 文件,在結尾添加下面的配置。
server { listen 443 ssl http2; server_name localhost; ssl on; ssl_certificate /etc/nginx/certs/example.crt; ssl_certificate_key /etc/nginx/certs/example.key; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html index.htm; }}然後,啟動一個新的 Nginx 容器。
$ docker container run \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ --volume "$PWD/conf":/etc/nginx \ -p 127.0.0.2:8080:80 \ -p 127.0.0.2:8081:443 \ -d \ nginx上面命令中,不僅映射了容器的 80 埠,還映射了 443 埠,這是 HTTPS 的專用埠。
打開瀏覽器,訪問 https://127.0.0.2:8081/ 。因為使用了自籤名證書,瀏覽器會提示不安全。不要去管它,選擇繼續訪問,應該就可以看到 Hello World 了。
至此,Nginx 容器的 HTTPS 支持就做好了。有了這個容器接下來我們就可以來試驗 HTTP/2 的 Server Push 功能。
HTTP/2 協議的主要目的是提高網頁性能。
頭信息(header)原來是直接傳輸文本,現在是壓縮後傳輸。原來是同一個 TCP 連接裡面,上一個回應(response)發送完了,伺服器才能發送下一個,現在可以多個回應一起發送。
伺服器推送(Server Push)是 HTTP/2 協議裡面,唯一一個需要開發者自己配置的功能。其他功能都是伺服器和瀏覽器自動實現,不需要開發者關心。
下面是一個非常簡單的 HTML 網頁文件index.html。
<!DOCTYPE html><html><head> <link rel="stylesheet" href="style.css"></head><body> <h1>hello world</h1> <img src="example.png"></body></html>這個網頁包含一張樣式表 style.css 和一個圖片文件 example.png。為了渲染這個網頁,瀏覽器會發出三個請求。第一個請求是 index.html。
GET /index.html HTTP/1.1伺服器收到這個請求,就把 index.html 發送給瀏覽器。瀏覽器發現裡面包含了樣式表和圖片,於是再發出兩個請求。
GET /style.css HTTP/1.1GET /example.png HTTP/1.1這就是傳統的網頁請求方式。它有兩個問題,一是至少需要兩輪 HTTP 通信,二是收到樣式文件之前,網頁都會顯示一片空白,這個階段一旦超過2秒,用戶體驗就會非常不好。
一種解決辦法就是把外部資源合併在網頁文件裡面,減少 HTTP 請求。比如,把樣式表的內容寫在<style> 標籤之中,把圖片改成 Base64 編碼的 Data URL。
另一種方法就是資源的預加載(preload)。網頁預先告訴瀏覽器,立即下載某些資源。比如,上例可以寫成下面這樣。
<link rel="preload" href="/styles.css" as="style"><link rel="preload" href="/example.png" as="image">對於上例來說,preload 命令並沒有什麼幫助。但是,如果前一個網頁就使用這個命令,預加載後一個網頁需要的資源,那麼用戶打開後一個網頁時,就會感覺速度飛快。
這兩種方法都有缺點。第一種方法雖然減少了 HTTP 請求,但是把不同類型的代碼合併在一個文件裡,違反了分工原則。第二種方法只是提前了下載時間,並沒有減少 HTTP 請求。
伺服器推送(Server Push)指的是,還沒有收到瀏覽器的請求,伺服器就把各種資源推送給瀏覽器。
比如,瀏覽器只請求了 index.html,但是伺服器把 index.html、style.css、example.png 全部發送給瀏覽器。這樣的話,只需要一輪 HTTP 通信,瀏覽器就得到了全部資源,提高了性能。
Nginx 從 1.13.9 版開始,支持伺服器推送。前面我們已經做好了 Nginx 容器,接著就來體驗一下。
首先,進入工作目錄,把原來的首頁刪除。
$ cd nginx-docker-demo$ rm html/index.html然後,新建 html/index.html 文件,寫入上面的網頁源碼。
另外,html 子目錄下面,還要新建兩個文件 example.png 和 style.css。前者可以隨便找一張 PNG 圖片,後者要在裡面寫一些樣式。
h1 { color: red;}最後,打開配置文件 conf/conf.d/default.conf ,將 443 埠的部分改成下面的樣子。
server { listen 443 ssl http2; server_name localhost; ssl on; ssl_certificate /etc/nginx/certs/example.crt; ssl_certificate_key /etc/nginx/certs/example.key; ssl_session_timeout 5m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html index.htm; http2_push /style.css; http2_push /example.png; }}其實就是最後多了兩行 http2_push 命令。它的意思是,如果用戶請求根路徑 /,就推送style.css 和 example.png。
現在可以啟動容器了。
$ docker container run \ --rm \ --name mynginx \ --volume "$PWD/html":/usr/share/nginx/html \ --volume "$PWD/conf":/etc/nginx \ -p 127.0.0.2:8080:80 \ -p 127.0.0.2:8081:443 \ -d \ nginx打開瀏覽器,訪問 https://127.0.0.2:8081 。瀏覽器會提示證書不安全,不去管它,繼續訪問,就能看到網頁了。
網頁上看不出來伺服器推送,必須打開 "開發者工具",切換到 Network 面板,就可以看到其實只發出了一次請求,style.css 和 example.png 都是推送過來的。
查看完畢,關閉容器。
$ docker container stop mynginxApache 也類似,可以在配置文件 httpd.conf 或者 .htaccess 裡面打開伺服器推送。
<FilesMatch "\index.html$"> Header add Link "</styles.css>; rel=preload; as=style" Header add Link "</example.png>; rel=preload; as=image"</FilesMatch>上面的伺服器推送,需要寫在伺服器的配置文件裡面。這顯然很不方便,每次修改都要重啟服務,而且應用與伺服器的配置不應該混在一起。
伺服器推送還有另一個實現方法,就是後端應用產生 HTTP 回應的頭信息 Link 命令。伺服器發現有這個頭信息,就會進行伺服器推送。
Link: </styles.css>; rel=preload; as=style如果要推送多個資源,就寫成下面這樣。
Link: </styles.css>; rel=preload; as=style, </example.png>; rel=preload; as=image可以參考 Go、Node、PHP 的實現範例。
這時,Nginx 的配置改成下面這樣。
server { listen 443 ssl http2; # ... root /var/www/html; location = / { proxy_pass http://upstream; http2_push_preload on; }}如果伺服器或者瀏覽器不支持 HTTP/2,那麼瀏覽器就會按照 preload 來處理這個頭信息,預加載指定的資源文件。
事實上,這個頭信息就是 preload 標準提出的,它的語法和 as 屬性的值都寫在了標準裡面。
伺服器推送有一個很麻煩的問題。所要推送的資源文件,如果瀏覽器已經有緩存,推送就是浪費帶寬。即使推送的文件版本更新,瀏覽器也會優先使用本地緩存。
一種解決辦法是,只對第一次訪問的用戶開啟伺服器推送。下面是 Nginx 官方給出的示例,根據 Cookie 判斷是否為第一次訪問。
server { listen 443 ssl http2 default_server; ssl_certificate ssl/certificate.pem; ssl_certificate_key ssl/key.pem; root /var/www/html; http2_push_preload on; location = /demo.html { add_header Set-Cookie "session=1"; add_header Link $resources; }}map $http_cookie $resources { "~*session=1" ""; default "</style.css>; as=style; rel=preload";}伺服器推送可以提高性能。網上測評的結果是,打開這項功能,比不打開時的 HTTP/2 快了8%,比將資源都嵌入網頁的 HTTP/1 快了5%。
可以看到,提升程度也不是特別多,大概是幾百毫秒。而且,也不建議一次推送太多資源,這樣反而會拖累性能,因為瀏覽器不得不處理所有推送過來的資源。只推送 CSS 樣式表可能是一個比較好的選擇。
Tips for deploying nginx(official image) with docker, by Mario Ponticello
How To Run Nginx in a Docker Container on Ubuntu 14.04, by Thomas Taege
Official Docker Library docs, by Docker
How To Create a Self-Signed SSL Certificate for Nginx in Ubuntu 16.04, by Justin Ellingwood
A Comprehensive Guide To HTTP/2 Server Push,by Jeremy Wagner
Introducing HTTP/2 Server Push with NGINX 1.13.9, by Nginx
來源:阮一峰的網絡日誌
原文:http://t.cn/REW4m8m
題圖:來自谷歌圖片搜索
版權:本文版權歸原作者所有
今日思想
有光的地方就會有陰影,所以有陰影的地方也一定會有光。絕望的顏色越是濃厚,在哪裡也一定會存在耀眼的希望之光。
——銀魂
更多精彩熱文: