因低版本Nginx 1.10.3存在安全相关漏洞,现升级到当前最新稳定版本Nginx 1.16.1。
环境:
Red Hat Enterprise Linux Server release 7.4
Nginx 1.10.3
升级步骤:
1. 查看并记录当前Nginx版本及编译参数
/app/nginx/sbin/nginx -V
2. 解压新版本Nginx 1.16.1并编译
tar xf nginx-1.16.1.tar.gz
cd nginx-1.16.1
./configure –without-http-cache –prefix=/app/nginx –sbin-path=/app/nginx/sbin/nginx –conf-path=/app/nginx/conf/nginx.conf –error-log-path=/app/nginx/log/error.log –http-log-path=/app/nginx/log/access.log –pid-path=/var/run/nginx.pid –lock-path=/var/run/nginx.lock –http-client-body-temp-path=/var/cache/nginx/client_temp –http-proxy-temp-path=/var/cache/nginx/proxy_temp –http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp –http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp –http-scgi-temp-path=/var/cache/nginx/scgi_temp –user=nginx –group=nginx –with-http_ssl_module –with-http_realip_module –with-http_addition_module –with-http_sub_module –with-http_dav_module –with-http_flv_module –with-http_mp4_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_random_index_module –with-http_secure_link_module –with-http_stub_status_module –with-mail –with-mail_ssl_module –with-file-aio –with-ipv6 –with-cc-opt=’-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector –param=ssp-buffer-size=4 -m64 -mtune=generic’ –user=nginx –with-stream_ssl_module –with-http_realip_module –with-stream –with-http_auth_request_module –add-module=/app/headers-more-nginx-module-0.33
make
注:使用以前版本的编译参数,编译结束不要执行make install 安装。编译结束会在安装目录下生成一个objs目录且在该目录下有一个nginx执行文件。
3.替换旧的程序并重启
3.1备份旧的执行程序
mv /app/nginx/sbin/nginx /app/nginx/sbin/nginx.bak
3.2复制新的执行程序(使用objs目录下的nginx)
cp objs/nginx /app/nginx/sbin/
3.3使用新的执行程序检查nginx配置文件是否正常
/app/nginx/sbin/nginx -t
3.4平滑重启
Kill -USR2 `cat /path/nginx.pid`
kill -QUIT `cat /path/nginx.pid.oldbin`
注:上述path代表pid文件所在目录路径
3.5升级完成检查下nginx版本及编译参数
/app/nginx/sbin/nginx -V
至此Nginx版本升级完毕。
附录1:如何回滚到以前版本
将备份的nginx还原并重启即可,步骤如下:
mv -f /app/nginx/sbin/nginx.bak /app/nginx/sbin/nginx
/app/nginx/sbin/nginx -s reload
附录2:nginx支持的信号以及nginx升降级
以下几种是主进程可以接收的信号,注意worker进程也可以接收一些信号,但和主进程的信号处理机制有些不一样,且主进程支持的信号worker进程不一定支持。具体可见man nginx。
SIGINT, SIGTERM 立即杀掉nginx主(即所有进程)
SIGQUIT graceful stop主进程
SIGWINCH graceful stop所有的worker进程
SIGHUP reload配置文件,并使老的worker进程graceful stop
SIGUSR1 重新打开日志文件(Reopen log files)
SIGUSR2 在线切换nginx可执行程序(Upgrade the nginx executable on the fly)
1. 升级
如果想对一个已运行的nginx实例进行版本升级,或者因为重新编译了一个版本而替换旧版本,可以考虑按照以下一系列过程来平稳、安全地升级。当然,如果直接停止服务不会产生多大影响,直接停掉再启动新版本nginx实例更方便简单。
(1)将新版本的nginx命令路径替换掉旧的nginx命令。
通常,对于编译安装的nginx来说,采用软链接的方式比较便捷。例如旧版本的安装路径为/usr/local/nginx-1.12.0,为其建立一个软链接/usr/local/nginx,如果有新版本/usr/local/nginx-1.12.1,只需修改软链接/usr/local/nginx的指向目标为/usr/local/nginx-1.12.1即可。这样/usr/local/nginx/sbin/nginx就会随着软链接的指向改变而指向新nginx程序。
(2)对旧nginx实例的主进程发送USR2信号。
kill -USR2 `cat /var/run/nginx/nginx.pid`
该信号提示nginx旧的主进程要升级,并执行新的nginx程序。例如步骤1中,旧的nginx主进程为/usr/local/nginx/sbin/nginx,但其指向的是/usr/local/nginx-1.12.0/sbin/nginx,发送该信号后仍将执行/usr/local/nginx/sbin/nginx,但此时因为软链接目标已改变,使得此时启动的nginx已经是/usr/local/nginx-1.12.1/sbin/nginx程序。
此外,发送该信号后将会切换pid文件,旧的pid文件被重命名为nginx.pid.oldbin,记录的是旧的nginx主进程pid值,新的pid文件为nginx.pid,记录的是新启动的nginx的主进程pid值。
# ls /var/run/nginx*
/var/run/nginx.pid /var/run/nginx.pid.oldbin
(3)graceful stop旧的主进程号。
kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`
向旧的主进程号发送QUIT信号,该信号将使得主进程以graceful的方式关闭。这将使得旧的主进程、旧的worker进程不再接受任何新请求,但却会把正在处理过程中的请求处理完毕,然后被销毁退出。
(4)更稳妥的方式是先让worker进程graceful stop,在新版本的nginx实例运行一小段时间后如果正常工作,再graceful stop旧的主进程。
kill -WINCH `cat /var/run/nginx/nginx.pid.oldbin`
# a periodoftime goes, graceful stopoldmaster nginx
kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`
在发送WINCH信号给旧的主进程后,旧的worker进程将逐渐退出,但旧的主进程却会保留不退出。
如果发现新版本的nginx实例不满意,可以直接向旧主进程号发送HUP信号,这样旧的主进程就会重新读取配置文件并fork新的worker进程,再将新的主进程号杀掉(可以graceful stop),就可以还原为旧版本的nginx实例。
2.降级
上面第4步其实就是最安全的降级方式。即:
kill -HUP `cat /var/run/nginx/nginx.pid.oldbin`
kill -QUIT `cat /var/run/nginx/nginx.pid`
但如果旧的主进程号已经被杀掉了,目前只有新版本的nginx实例在运行,那么只需以升级的步骤进行降级即可。即:
kill -USR2 `cat /var/run/nginx/nginx.pid`
kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`