LINUX.ORG.RU

Релиз nginx 1.20

 


1

0

Новый релиз получил сразу несколько заметных улучшений:

  • поддержка OCSP (Online Certificate Status Protocol). Это новый протокол для отзыва X.509 (TLS). Использует нотацию ASN.1 поверх HTTP вроде такой:
      FooAnswer ::= SEQUENCE {
            questionNumber INTEGER,
            answer         BOOLEAN
        }
    
  • новый модуль ngx_stream_set_module. модуль нужен для того, чтобы можно было определять переменные в конфигах. Наконец, доступен полноценный механизм if ($var) ... else ... .
  • опция позволяет определить в командной строке лог файл для ошибок.
  • опция запрета устанавливать шифрованные сообщения вообще - ssl_reject_handshake. Основное применение - добавить в описание default server и блокировать коннекты без явного хоста.
  • в почтовый прокси добавлена опция proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
  • опция с кучей параметров proxy_cache_path получила еще один «min_free». Специальный процесс cache manager мониторит свободное место и, если оно заканчивается, начинает вытеснять кеш. Опять же по заданным параметрам.
  • убрали часть специфичных опций для HTTP/2 в пользу уже существовавших для HTTP/1. Они будут общие для обоих протоколов.
  • добавлена опция proxy_cookie_flags для защиты от CSS (cross-site scripting). позволяет добавлять определенные HTTP хедеры для проксируемых соединений. Насколько может судить автор новости, раньше мы просто писали
                   add_header 'Access-Control-Allow-Origin' '*';
                   add_header 'Access-Control-Allow-Methods' blablabla
    

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: xaizek (всего исправлений: 5)

Господи, храни Nginx.

anonymous
()
Ответ на: комментарий от demidrol

без понятия. я сделал del рамблеру, забанив его через DNS еще до того, как это стало мейнстримом. а nginx 1.20 сегодня собрал из портов вместе с geo модулем. хочу GEO CDN для персонального сайта.

crypt ★★★★★
() автор топика
Последнее исправление: crypt (всего исправлений: 1)

модуль нужен ддя того

ахаха, Shaman007 «исправил» мою новость, добавив опечаток=) Ъ )))

crypt ★★★★★
() автор топика

Shaman007 всеравно спасибо, что быстро подтвердил.

crypt ★★★★★
() автор топика

Насколько может судить автор новости, раньше мы просто писали
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' blablabla

Это для добавления в куки отдаваемых проксируемым сервером, опций «secure, httponly, samesite=strict, samesite=lax, samesite=none». Раньше для этого надо было переписывать весь блок кук или вычленять отдельные куки или прописывать куки вручную. Теперь можно менять отданные куки налету и выбирать нужные регуляркой.

Подробнее: http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_flags

chaos_dremel ★★
()
Последнее исправление: chaos_dremel (всего исправлений: 2)
Ответ на: комментарий от chaos_dremel

да, точно. это даже не опции, а атрибуты. да, понял теперь. плюс к значению куки в него добавляется еще и атрибут.

crypt ★★★★★
() автор топика

Наконец, доступен полноценный механизм if ($var) ... else ... .

«If» должен умереть. Вместо него есть «map»

chaos_dremel ★★
()

Ещё добавили ssl_conf_command и proxy_ssl_conf_command, для задания опций ssl напрямую. И если первый параметр довольно редко будет использоваться, так как параметры ssl для сервера можно настроить своими переменными (не все, но многие), то вот опция для прокси это прям огонь, потому как шифры и т.п. там настроить вообще некак иначе.

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_conf_command

chaos_dremel ★★
()
Последнее исправление: chaos_dremel (всего исправлений: 1)
Ответ на: комментарий от chaos_dremel

ну может быть. я вроде по-моему обошелся просто понижением версий для совместимости. вот хочу посмотреть, есть ли поддержка шифрования через другие библиотеки. libressl они добавили или нет.

crypt ★★★★★
() автор топика

новость подтвердили, идите туда

Ага, я видел. Поставлю тоже на днях, погоняю. День какой-то сегодня нелегкий, уже не до обсуждений, голова ватная. Лучше фильм пойду посмотрю :) Всем хорошего вечера! Даже Шаману!))

Stack77
()
Последнее исправление: Stack77 (всего исправлений: 1)

Уже есть Apache. Не вижу смысла во втором веб-сервере. В чём явные плюсы Nginx, кроме хайпа вокруг ситуации с Сысоевом и Rambler?

Novec1230
()

я смотрю, что geoip модуль в 2019 году сменил формат с .dat на .mmdb, пираты новых версий не выложили, а nginx поддержку старого формата дропнул:(

crypt ★★★★★
() автор топика
Ответ на: комментарий от Novec1230

Сабж не совсем ВЕБ сервер (хотя смотря как это понимать) я его бы назвал больше проксей веб сервер но для полноценого веб сервера он не дорос и судя по другому проекту, уже не дорастет. А прокси статики уже перерос … так что хз.

С учетом выпиливания из браузеров ФТП нужен более легкий нттп сервер чем сабж.

mx__ ★★★★★
()
Ответ на: комментарий от steemandlinux

Перловикам, сишникам, плюсовикам и многим еще.

Это только хипсторазработчикам на Python, NodeJS и Go веб-сервер уже не нужен.

Novec1230
()
Ответ на: комментарий от Novec1230

разработчикам на Python … веб-сервер уже не нужен

Веб сервер нужен, apache не нужен.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от eternal_sorrow

(попробую попроще ВАМ ответить)

Скажем так полно сайтов работающих на одном apache. Т.е. фрамеворк и апач и все (ДБ не в счет). Есть хоть один сайт работающий только на сабже ?

А fastCGI это уже не то … если вы знаете что такое CGI.

mx__ ★★★★★
()
Ответ на: комментарий от mx__

А fastCGI это уже не то

Это как раз то. Это сервер приложений для php. Для других языков есть свои сервера приложений. CGI говно мамонта, ни один умный человек не будет это в 2021 году использовать, даже с apache.

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от mx__

и все

Это чтоб если потекло, то сразу все целиком.

anonymous
()

поддержка OCSP (Online Certificate Status Protocol). Это новый протокол

Поддержка была уже как ssl_stapling давно, а сейчас

new features and bug fixes from the 1.19.x mainline branch — including OCSP validation of client SSL certificates
ssl_ocsp
This directive appeared in version 1.19.0.

Вообще суть этого релиза не передана. Просто повысили номер. Нечетный - нестабильный. Четный - стабильный.

Changes with nginx 1.20.0                                        20 Apr 2021
    *) 1.20.x stable branch.

Changes with nginx 1.19.10                                       13 Apr 2021
    *) Change: the default value of the "keepalive_requests" directive was
       changed to 1000.
    *) Feature: the "keepalive_time" directive.
    *) Feature: the $connection_time variable.
    *) Workaround: "gzip filter failed to use preallocated memory" alerts
       appeared in logs when using zlib-ng.

Changes with nginx 1.19.9                                        30 Mar 2021
    *) Bugfix: nginx could not be built with the mail proxy module, but
       without the ngx_mail_ssl_module; the bug had appeared in 1.19.8.
-----------
boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 4)
Ответ на: комментарий от mx__

Да, вот такие пятизвездочники на лоре сейчас. Недозабаненное быдло нафлудило карму и теперь делится мнением.

anonymous
()
Ответ на: комментарий от mx__

php-fpm это сервер приложений. FastCGI это протокол, который он использует. поскольку только php-fpm использует этот протокол, то по сути это одна и за же сущность

eternal_sorrow ★★★★★
()
Последнее исправление: eternal_sorrow (всего исправлений: 1)
Ответ на: комментарий от crypt

nginx 1.20 сегодня собрал из портов

Я только сегодня днём прочитал новость про 1.19.4, а уже вечером 1.20 не просто вышел, а ещё и в порты попал!

mord0d ★★★★★
()
Ответ на: комментарий от Slack

у рамблера теперь другой владелец - сбер.

И это хорошо. А то уж больно скурвился рамблер. Русобоская хохляцкая помойка был

anonymous
()
Ответ на: комментарий от eternal_sorrow

Ладно давай зайдем с другой строны php-fpm кто написал ? Как вы к примеру на сабже будете выполнять perl ? Опять же зачем авторам сабжа пилить сервер приложений, в котором вроде тоже есть поддержка php ?

Может ли считаться полноценным браузер исользующий для js не свой движок ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Есть ли в Apache встроенный сервер приложений для python? Ruby? JS? GO?

Или мы всё таки будем разделять сущности - вебсервер и сервер приложений. Если нам нужно отдавать только статический контент, то достаточно только вебсервера, а если у наст есть так же динамический контент, то сервер приложений необходим. И нет ровно никакой проблемы если этот сервер приложений будет сторонним по отношению к вебсерверу, потому что поддержку всех возможных языков и фреймворков в вебсервер запилить невозможно и не нужно.

eternal_sorrow ★★★★★
()
Ответ на: комментарий от boowai

да не, я заглядывал в changelog. понятно, что 1.20 включает в стабильный релиз фишки 1.19.x ветки. нужно было их все перечислить? да я как-то не особо придал значение the default value of the «keepalive_requests» directive was changed to 1000.

crypt ★★★★★
() автор топика
Ответ на: комментарий от anonymous

HTTP-сервер и балансировщик

Сравнил тёплое с мягким 😬

Ну так Nginx тоже умеет в балансировку. И статику раздавать умеет.

kostyarin_ ★★
()
Ответ на: комментарий от Novec1230

А еще haproxy есть, прикинь?

А еще есть.. ладно, поберегу твою психику, а то героем станешь.

PunkoIvan ★★★★
()
Ответ на: комментарий от PunkoIvan

Кстати, а в sticky-session в бесплатной версии умеет уже?

Пару лет назад из-за фичи пришлось на апачи остаться.

Я не знаю. Сижу на Энвое.

kostyarin_ ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.