Nginx版本升级

Published by davidliu on

因低版本Nginx 1.10.3存在安全相关漏洞,现升级到当前最新稳定版本Nginx 1.16.1。

环境:

Red Hat Enterprise Linux Server release 7.4

Nginx 1.10.3 

升级步骤:

1. 查看并记录当前Nginx版本及编译参数

/app/nginx/sbin/nginx -V

2. 解压新版本Nginx 1.16.1并编译

tar xf nginx-1.16.1.tar.gz

cd nginx-1.16.1

./configure –without-http-cache –prefix=/app/nginx –sbin-path=/app/nginx/sbin/nginx –conf-path=/app/nginx/conf/nginx.conf –error-log-path=/app/nginx/log/error.log –http-log-path=/app/nginx/log/access.log –pid-path=/var/run/nginx.pid –lock-path=/var/run/nginx.lock –http-client-body-temp-path=/var/cache/nginx/client_temp –http-proxy-temp-path=/var/cache/nginx/proxy_temp –http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp –http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp –http-scgi-temp-path=/var/cache/nginx/scgi_temp –user=nginx –group=nginx –with-http_ssl_module –with-http_realip_module –with-http_addition_module –with-http_sub_module –with-http_dav_module –with-http_flv_module –with-http_mp4_module –with-http_gunzip_module –with-http_gzip_static_module –with-http_random_index_module –with-http_secure_link_module –with-http_stub_status_module –with-mail –with-mail_ssl_module –with-file-aio –with-ipv6 –with-cc-opt=’-O2 -g -pipe -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector –param=ssp-buffer-size=4 -m64 -mtune=generic’ –user=nginx –with-stream_ssl_module –with-http_realip_module –with-stream –with-http_auth_request_module –add-module=/app/headers-more-nginx-module-0.33

make

注:使用以前版本的编译参数,编译结束不要执行make install 安装。编译结束会在安装目录下生成一个objs目录且在该目录下有一个nginx执行文件。

3.替换旧的程序并重启

3.1备份旧的执行程序

mv /app/nginx/sbin/nginx /app/nginx/sbin/nginx.bak

3.2复制新的执行程序(使用objs目录下的nginx)

cp objs/nginx /app/nginx/sbin/

3.3使用新的执行程序检查nginx配置文件是否正常

/app/nginx/sbin/nginx -t

3.4平滑重启

Kill -USR2 `cat /path/nginx.pid`

kill -QUIT `cat /path/nginx.pid.oldbin`

注:上述path代表pid文件所在目录路径

3.5升级完成检查下nginx版本及编译参数

/app/nginx/sbin/nginx -V

至此Nginx版本升级完毕。

附录1:如何回滚到以前版本

将备份的nginx还原并重启即可,步骤如下:

mv -f /app/nginx/sbin/nginx.bak /app/nginx/sbin/nginx

/app/nginx/sbin/nginx -s reload


附录2:nginx支持的信号以及nginx升降级

以下几种是主进程可以接收的信号,注意worker进程也可以接收一些信号,但和主进程的信号处理机制有些不一样,且主进程支持的信号worker进程不一定支持。具体可见man nginx。

SIGINT, SIGTERM  立即杀掉nginx主(即所有进程)

SIGQUIT          graceful stop主进程

SIGWINCH         graceful stop所有的worker进程

SIGHUP           reload配置文件,并使老的worker进程graceful stop

SIGUSR1          重新打开日志文件(Reopen log files)

SIGUSR2          在线切换nginx可执行程序(Upgrade the nginx executable on the fly)
1. 升级

如果想对一个已运行的nginx实例进行版本升级,或者因为重新编译了一个版本而替换旧版本,可以考虑按照以下一系列过程来平稳、安全地升级。当然,如果直接停止服务不会产生多大影响,直接停掉再启动新版本nginx实例更方便简单。

(1)将新版本的nginx命令路径替换掉旧的nginx命令。

通常,对于编译安装的nginx来说,采用软链接的方式比较便捷。例如旧版本的安装路径为/usr/local/nginx-1.12.0,为其建立一个软链接/usr/local/nginx,如果有新版本/usr/local/nginx-1.12.1,只需修改软链接/usr/local/nginx的指向目标为/usr/local/nginx-1.12.1即可。这样/usr/local/nginx/sbin/nginx就会随着软链接的指向改变而指向新nginx程序。

(2)对旧nginx实例的主进程发送USR2信号。

kill -USR2 `cat /var/run/nginx/nginx.pid`

该信号提示nginx旧的主进程要升级,并执行新的nginx程序。例如步骤1中,旧的nginx主进程为/usr/local/nginx/sbin/nginx,但其指向的是/usr/local/nginx-1.12.0/sbin/nginx,发送该信号后仍将执行/usr/local/nginx/sbin/nginx,但此时因为软链接目标已改变,使得此时启动的nginx已经是/usr/local/nginx-1.12.1/sbin/nginx程序。

 此外,发送该信号后将会切换pid文件,旧的pid文件被重命名为nginx.pid.oldbin,记录的是旧的nginx主进程pid值,新的pid文件为nginx.pid,记录的是新启动的nginx的主进程pid值。

# ls /var/run/nginx*     

/var/run/nginx.pid  /var/run/nginx.pid.oldbin

(3)graceful stop旧的主进程号。

kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`

向旧的主进程号发送QUIT信号,该信号将使得主进程以graceful的方式关闭。这将使得旧的主进程、旧的worker进程不再接受任何新请求,但却会把正在处理过程中的请求处理完毕,然后被销毁退出。

(4)更稳妥的方式是先让worker进程graceful stop,在新版本的nginx实例运行一小段时间后如果正常工作,再graceful stop旧的主进程。

kill -WINCH `cat /var/run/nginx/nginx.pid.oldbin` 

# a periodoftime goes, graceful stopoldmaster nginx

kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`

在发送WINCH信号给旧的主进程后,旧的worker进程将逐渐退出,但旧的主进程却会保留不退出。

如果发现新版本的nginx实例不满意,可以直接向旧主进程号发送HUP信号,这样旧的主进程就会重新读取配置文件并fork新的worker进程,再将新的主进程号杀掉(可以graceful stop),就可以还原为旧版本的nginx实例。

2.降级

上面第4步其实就是最安全的降级方式。即:

kill -HUP `cat /var/run/nginx/nginx.pid.oldbin`

kill -QUIT `cat /var/run/nginx/nginx.pid`

但如果旧的主进程号已经被杀掉了,目前只有新版本的nginx实例在运行,那么只需以升级的步骤进行降级即可。即:

kill -USR2 `cat /var/run/nginx/nginx.pid`

kill -QUIT `cat /var/run/nginx/nginx.pid.oldbin`

Categories: Uncategorized

0 Comments

Leave a Reply

Your email address will not be published. Required fields are marked *