The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск nginx 1.27.2

02.10.2024 21:44

Опубликован выпуск основной ветки nginx 1.27.2, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.26.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.27.x будет сформирована стабильная ветка 1.28. Код проекта написан на языке Си и распространяется под лицензией BSD.

Среди изменений:

  • При запуске и обновлении конфигурации реализовано кэширование SSL-сертификатов, ключей и CRL (Certificate Revocation List).
  • В модуль stream добавлена поддержка проверки отзыва сертификатов клиентов, используя протокол OCSP (Online Certificate Status Protocol).
  • В модуле stream реализована поддержка техники проверки отзыва сертификатов OCSP Stapling, суть которой в том, что при согласовании TLS-соединения заверенный удостоверяющим центром ответ OCSP передаётся сервером, обслуживающим сайт, без необходимости прямого обращения к удостоверяющему центру).
  • В модуль ngx_http_proxy_module добавлена директива "proxy_pass_trailers", разрешающая передачу полей заголовков в конце ответа от проксируемого сервера к клиенту.
  • В директиве "ssl_client_certificate" обеспечена поддержка сертификатов с дополнительной информацией.
  • Для проверки клиентских SSL-сертификатов директива "ssl_client_certificate" теперь не является обязательной.


  1. Главная ссылка к новости (https://mailman.nginx.org/pipe...)
  2. OpenNews: Проект Nginx перевёл разработку на Git и GitHub
  3. OpenNews: Обновления nginx 1.26.2 и 1.27.1 с устранением DoS-уязвимости в ngx_http_mp4_module
  4. OpenNews: Выпуск Angie 1.7.0, форка Nginx
  5. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61975-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 22:14, 02/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Что-то не густо. Сдулся более лучший Апач.
     
     
  • 2.8, Аноним (8), 23:18, 02/10/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Уже полно серверов лучше нжинкса, а статику должны раздавать cdn.  
     
     
  • 3.9, Аноним (9), 00:53, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >статику должны раздавать cdn.

    На которых nginx?

     
     
  • 4.10, Аноним (10), 01:22, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На ближайшем к клиенту уровне обычно стоит in-memory cache, например, varnish.
     
  • 3.15, Ivan_83 (ok), 08:21, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Лучше то в чём?
    Мне вот по скорости и лайти хватало 15 лет назад, да и апач я не думаю что конченный тормоз.
    В nginx меня цепляет конфиг в котором можно програмировать, если бы не nginx то пришлось бы самому кодить на С или искать какой то сервер на интерпретируемом языке.
    Да, бонусом конечно нравится куча тонких настрое для оффлоада всего и вся на ОС и железо, но это не является определяющим для меня.
     
     
  • 4.23, Роман (??), 11:05, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    для некоторых, вероятно для достаточно многих, тот же Caddy является избавлением от  Nginx'a

    > I recently moved to Caddy. Out-of-the-box TLS, HTTP3, Dumbed-down simple configuration, static files... it has been a breath of fresh air.
    > I keep a Caddy server around and the config format is actually much, much nicer than nginx's in my experience. The main problem with it is that everybody provides example configurations in the nginx config format, so I have to read them, understand them, and translate them.
    > Traefik has a very verbose config with non-sensible defaults; Caddy works out of the box with 1-3 lines to setup your domain and sensible defaults.
    > What's the pain?

    Оффлоадят настройки на сам вебсервер. Очень популярно в среде lonely-dev-guy-startup-show .

     
     
  • 5.28, rshadow (ok), 12:11, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Конфиги в развесистом json. Не понятно, смеяться или плакать.

    https://caddyserver.com/docs/getting-started#your-first-config

     
     
  • 6.32, Аноним (10), 12:45, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Плакать, потому что вы так и не удосужились прочитать, что это только один из двух форматов конфига.
     
  • 5.33, Аноним (10), 12:48, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Оффлоадят настройки на сам вебсервер. Очень популярно в среде lonely-dev-guy-startup-show .

    Эта традиция — вместо того, чтобы чинить приложение, подпереть его кучей rewrite — обрела широкую популярность во времена апача (нулевые), и столь же широко продолжилась во времена nginx (десятые).

     
     
  • 6.41, Ivan_83 (ok), 21:25, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем.
    1. Часто админ и разработчик сильно разные люди с сильно разными задачами и квалификацией.
    2. Часто разработчики кодят чтобы работало на мамкином компе, с хардкодом путей и пр.
    3. Порой в очередном дистре/сетапе такое понакручено что нафик такое сдалось учитывать в "приложении".
    4. С помощью условий и реврайтов в nginx орагнизуется дополнительная логика, которую тащить в медленный питон/пхп/перл/тп нет смысла.
     
     
  • 7.44, Sadok (ok), 02:54, 04/10/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    это называется "программирование-на-конфигах" и в нормальном ынтерпрайзе такие разрабы ("мамкины", верно) шлются сразу в лес.
     
     
  • 8.45, Ivan_83 (ok), 03:29, 04/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это вам лично так кажется В таких случаях просто конфиг становится частью проду... текст свёрнут, показать
     
     
  • 9.47, Аноним (47), 14:46, 04/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, бывает так Сам так делал, с генерацией nginx-конфига из стейта роутера для ... текст свёрнут, показать
     
  • 5.34, Golangdev (?), 13:26, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно по этим же причинам (встроенный Let's Encrypt) использую Traefik. Также подкупает что он умеет считывать лейблы с контейнеров и по ним сделать роутинг / какие-то преобразования и т. д. Удобно, что для типового деплоя можно просто задеплоить контейнер с тэгами, не прибегая к настройке балансера.
     
  • 5.40, Ivan_83 (ok), 21:22, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я читал про идеологию что настройки должны быть максимально на автомте, это хорошая тема, но и nginx не требует переопределять всё.
     
  • 3.51, Fantomas (??), 17:08, 09/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Nginx ставят перед Апачем.
     
     
  • 4.52, Sadok (ok), 18:31, 09/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Nginx ставят перед Апачем.

    всегда-всегда? =)

     
  • 2.11, Аноним (10), 01:28, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что-то не густо. Сдулся более лучший Апач.

    F5 купили их ради клиентской базы, которую плавно переводят на свой проприетарный продукт. Вполне закономерно, что разработчикам nginx в этой конторе места уже не нашлось. Так что результат вполне предсказуем.

     
  • 2.14, Аноним (-), 03:54, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то не густо. Сдулся более лучший Апач.

    А ты хотел чтобы тебе в минорном апдейте - каааааак с лопаты выгрузили, на вентилятор, так что прод весь в крапинку? :)

     
     
  • 3.31, Аноним (10), 12:44, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    nginx теперь так не может. Даже в 1.27.0 были кошачьи слёзы.
     
  • 3.50, нах. (?), 08:29, 07/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    но у nginx не бывает никаких других апдейтов.

    Нате-на-лопате раз в пол-года по графичку. И это девелоперская ветка, никакой другой еще более девелоперской тоже нет.

    Ничего нового в общем-то. Уже лет пять такая канитель. Нашли полтора повода что-то закомитить, вот и отчет об успешности успеха очередного релиза есть чем заполнить.

     

  • 1.5, Аноним (5), 22:55, 02/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Стагнация нжинкса удручает
     
     
  • 2.7, Аноним (8), 23:17, 02/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Данные на лицо https://www.netcraft.com/blog/september-2024-web-server-survey
     
  • 2.16, Ivan_83 (ok), 08:29, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да его можно 10 лет не обновлять, хуже он не станет работать.
     
     
  • 3.24, Роман (??), 11:08, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну в целом соглашусь - как раз за 10 лет LTS от того же Редхата протухает и переезжают.

    Админы не на LTSах (диды на фряхах например) - обновляют в разнобой.

    DX driven девелоперы в докер контейнерах вообще не знают что бывают версии нгинкса.

     
     
  • 4.36, Аноним (10), 14:25, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > DX driven девелоперы в докер контейнерах вообще не знают что бывают версии нгинкса.

    Логично. В плане функциональности существенный изменений нет уже много лет.
    Зачем обновляться и тратить время, если это не несет пользы?

     
     
  • 5.37, Аноним (3), 18:16, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну хотя бы CVE попатчить.
     
  • 5.43, _ (??), 01:06, 04/10/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В плане функциональности существенный изменений нет уже много лет.

    Вы слишком много кушать(С)
    HTTPS/2 , HTTPS/3 - только это чего стоит :)
    (нужно оно или нет - другой вопрос)

    Так что не нойте.

     
     
  • 6.49, Аноним (10), 17:27, 04/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > HTTPS/2 , HTTPS/3 - только это чего стоит :)

    Ничего, для типового применения nginx в контейнере, где он работает отдатчиком статики для какой-го нибудь сервера приложений, типа node/gunicorn/puma/etc, и/или конвертером HTTP↔FastCGI, если у вас пых.

    При этом с для взаимодействия с входным балансировщиком (будь то ingress controller в кубике или какой-нибудь traefik в простом compose-окружении) ему вполне достаточно HTTP/1.1. На этом участке HTTP/2 и HTTP/3 ощутимой пользы не приносят.

     

  • 1.12, Аноним (12), 02:21, 03/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > используя протокол OCSP

    POST метод так и не реализовали?

     
  • 1.13, Golangdev (?), 02:34, 03/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как там дела у Angie ?
     
     
  • 2.48, Аноним (3), 16:26, 04/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В поте лица мержат наверное.
     

  • 1.21, Ilya Indigo (ok), 09:06, 03/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень странно что они на гитхабе выпуски не формируют.
    https://github.com/nginx/nginx
     
     
  • 2.35, Аноним (35), 13:37, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем?
    они где лежали всю жизнь, так и лежат
     

  • 1.22, Аноним (22), 09:46, 03/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    подскажите куда лучше спрыгивать?
    нужен reverse proxy который на входе умеет letsencrypt и http3
     
     
  • 2.25, Роман (??), 11:10, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > I recently moved to Caddy. Out-of-the-box TLS, HTTP3, Dumbed-down simple configuration, static files... it has been a breath of fresh air.

    Не скажу что лучше и туда надо спрыгивать - некоторым точно лучше. Ваш отдел системного администрирования может подсказать детальнее, зная ваш контекст.

     
  • 2.26, Аноним (26), 11:44, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Глянь Traefik. Особенно будет полезен, если используешь докер, т.к. из коробки умеет auto discovery через лейблы докер-контейнера - не нужно лазать в конфиги для добавления новых доменов. Traefik сам мониторит запущенные контейнеры и запрашивает требуемые для них LE-сертификаты.

    Но сложные правила nginx им не заменить.

     
     
  • 3.38, Аноним (3), 18:28, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но сложные правила nginx им не заменить.

    Если вам в прокси нужны сложные правила, то возможно стоит либо архитектуру приложения скорректировать, либо не стесняться и самим под задачу написать. На предыдущем проекте так сделали: взяли клаудфлеровскую пингору и засунули туда всю сложную логику. На нормализованную 100qps расход ресурсов и латенси заметно ниже, плюс девелоперы сами могут роутингом внутри приложения рулить как угодно, не дёргая админов чтобы конфиги поправили.

     
     
  • 4.39, Аноним (10), 18:52, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А если не хочется каждый раз при изменении логики компилировать и деплоить балансировщик, то есть Envoy, в котором даже очень сложную логику можно задать через API.
     
     
  • 5.42, Аноним (3), 22:35, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, есть, очень хороший продукт. Выбор в итоге за тем, кому эту конфигурацию сопровождать.
     
  • 2.27, Аноним (27), 12:10, 03/10/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > подскажите куда лучше спрыгивать?
    > нужен reverse proxy который на входе умеет letsencrypt и http3

    Ну HAproxy же
    https://www.haproxy.org/

    Она по всем параметрам фичастее чем nginx, когда дело касается прокси

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру