Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP/2 in nginx(2016/3/11 社内勉強会)

Yoko TAMADA
March 11, 2016
Technology
0
100

HTTP/2 in nginx(2016/3/11 社内勉強会)

CentOS 7.2 環境で nginx をソースコードからインストールし、HTTP/2 を利用できるまで実施してみました。
追記; nginx-build のち、systemctl - TMD45'β'LOG!!! http://blog.tmd45.jp/entry/2016/08/13/120924

Yoko TAMADA

March 11, 2016
Tweet

More Decks by Yoko TAMADA

See All by Yoko TAMADA
Misskeyのはなし(2023/03/17 FFLT#56)
tmd45
0
70
手帳と文房具(2022/11/25 FFLT#52)
tmd45
0
18
2022/4/8 FFLT#45
tmd45
0
370
認知のはなし(2020/08/28 FFTT#407)
tmd45
1
320
認証認可の情報の追い方みたいな(2020/01/10 FFTT#381)
tmd45
1
1.7k
『OAuth 2.0 の代表的な利用パターンを仕様から理解しよう』を読んだ話(2019/04/12 FFTT#352)
tmd45
0
1.1k
2018/10/26 FFLT#11
tmd45
4
310
Markdown と学ぶ HTML 基礎 第二版(2018/10/12 FFTT#331)
tmd45
1
1.5k
Markdown と学ぶ HTML 基礎(2018/8/31 e-Navigator 勉強会#4)
tmd45
0
610

Other Decks in Technology

See All in Technology
「ふりかえりのふりかえり」をふりかえり、実のあるふりかえりにする
naitosatoshi
0
230
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
230
Databricks における 『MLOps』
databricksjapan
2
140
反実仮想機械学習とは何か
usaito
PRO
7
2.5k
Databricks におけるデータエンジニアリング
databricksjapan
0
380
Terraformあれやこれ/terraform-this-and-that
emiki
8
640
PHPカンファレンス小田原2024
ysknsid25
3
670
DevOpsDays History and my DevOps story
kawaguti
PRO
8
1.6k
社内勉強会運営のコツ
senoo
6
1.2k
株式会社EventHub・エンジニア採用資料
eventhub
0
1.9k
インシデントレスポンスのライフサイクルを廻すポイントってなに / Pinpoints of Incidentresponse Lifecycle for Operation
sakaitakeshi
1
310
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
200

Featured

See All Featured
Unsuck your backbone
ammeep
662
57k
Building Flexible Design Systems
yeseniaperezcruz
318
37k
Building Effective Engineering Teams - LeadDev
addyosmani
27
1.8k
The Mythical Team-Month
searls
215
42k
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
Visualization
eitanlees
135
14k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
13
1.5k
Bootstrapping a Software Product
garrettdimon
PRO
301
110k
Optimizing for Happiness
mojombo
370
69k
Side Projects
sachag
451
41k

Transcript

  1. HTTP/2 in nginx Yoko TAMADA @tmd45 2016-03-11 feedforce Inc.

  2. 第一部:WWW 通信プロトコル基礎      〜 HTTP/1.1 を振り返る 第二部:高速化の歩み 〜 SPDY 実験 第三部:16

    年ぶりの新鋭 HTTP/2 ! 今回のお話 … は、1時間くらいかかるし、あちこちで聞き まくって飽きたのでやめました。 「やっぱり動かしてみよう」と思い立って3日、 思った以上にさっくり動いたのでそんな話と某 所で聞いた注意点など

  3. そういえば • HTTP/2 って必要なの? ◦ もはや論じる余地なし ◦ むずかしい話は端折りますけど、 HTTP/1 から

    HTTP/1.1 にしなかっ た人がいますか? ▪ いるかもしれんけど(涙) ◦ 対応時期を考える必要はあれども、 今後絶対に対応必須です!

  4. • 用意したサーバ ◦ ConoHa ▪ GMO のオール SSD クラウド VPS

    ▪ メモリ 1GB, 2 Core, SSD 50GB 底辺プラン ◦ CentOS 7.2 ◦ 作業用ユーザ作成して SSH ログイ ンしたぞ 前提

  5. • ソースコードからビルド; nginx-build • 安全な HTTPS 通信設定 • HTTP/2 の利用

    アジェンダ

  6. nginx-build

  7. • nginx-build を使おう ◦ https://github.com/cubicdaiya/nginx-build • go get するので go

    の準備から nginx をソースコードからビルドする

  8. go get nginx-build # cd /usr/local/src # wget https://storage.googleapis.com/golang/go1.6.linux- amd64.tar.gz

    # tar -C /usr/local/ -xzf go1.6.linux-amd64.tar.gz # echo "export PATH=$PATH:/usr/local/go/bin" >> /etc/profile $ mkdir ~/golang $ echo "export GOPATH=$HOME/golang" >> ~/.bashrc $ echo "export PATH=$PATH:$GOPATH/bin" >> ~/.bashrc $ go get -u github.com/cubicdaiya/nginx-build

  9. • ビルドに必要なパッケージ ◦ gcc ◦ wget, git, mercurial • HTTP

    モジュールで必要になるライブラリ ◦ pcre-devel /* 正規表現 */ ◦ zlib-devel /* gzip 圧縮 */ ◦ openssl-devel /* SSL/TLS */ yum install

  10. # mkdir ~/nginx # vi ~/nginx/configure Custom configuration #!/bin/sh ./configure

    \ --sbin-path=/usr/sbin/nginx \ --conf-path=/etc/nginx/nginx.conf \ --with-http_gzip_static_module \ --with-http_ssl_module \ --with-http_v2_module \

  11. # vi ~/nginx/module3rd.cfg 3rd-party module [headers-more-nginx-module] form=git url=https://github.com/openresty/headers-more-nginx-module.git rev=v0.29

  12. $ mkdir work $ nginx-build -d work [-v 1.9.12] \

    -c nginx/configure -m nginx/module3rd.cfg nginx-build: 0.7.1 Compiler: gc go1.6 2016/03/09 00:39:09 Download nginx-1.9.12..... ... 2016/03/09 00:39:29 Enter the following command for install nginx. $ cd work/nginx/1.9.12/nginx-1.9.12 $ sudo make install build & make install

  13. $ nginx -V nginx version: nginx/1.9.12 built by gcc 4.8.5

    20150623 (Red Hat 4.8.5-4) (GCC) built with OpenSSL 1.0.1e-fips 11 Feb 2013 TLS SNI support enabled configure arguments: --sbin-path=/usr/sbin/nginx --conf- path=/etc/nginx/nginx.conf --with-http_gzip_static_module -- with-http_ssl_module --with-http_v2_module --add-module=.. /headers-more-nginx-module nginx の構成確認

  14. • 問題点 ◦ CentOS 7 の systemd でサービス管理す るためのファイル nginx.service

    が生成さ れない ◦ systemctl enable nginx.service できない ◦ 自分で作る(今回はまだやってない) $ sudo nginx $ sudo nginx -s stop nginx 起動と停止

  15. HTTPS 通信設定

  16. 最低限の HTTPS 通信設定 server { listen 443 default_server ssl; server_name

    example.com www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ... } /etc/nginx/conf.d/example.com.conf

  17. 余談; SSL 証明書 ~Let's Encrypt! • 使ってみた → 超簡単 $

    git clone https://github.com/letsencrypt/letsencrypt $ cd letsencrypt/ $ ./letsencrypt-auto --help ※ DNS 設定済み, nginx 停止中 $ ./letsencrypt-auto certonly -a standalone \ -d example.com -d www.example.com ※ TUI が起動 → メアド入力&規約同意 IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-06-08. To obtain a new version of the certificate in the future, simply run Let's Encrypt again.

  18. • Mozilla SSL Configuration Generator ◦ https://mozilla.github.io/server-side-tls/ssl- config-generator/ 安全な HTTPS

    通信設定

  19. 安全な HTTPS 通信設定 server { listen 443 default_server ssl; server_name

    example.net www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:5m; ssl_session_tickets off; ssl_dhparam /etc/nginx/ssl/dhparam.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA- CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA- AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security max-age=15768000; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/letsencrypt/live/example.com/fullchain.pem; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; /etc/nginx/conf.d/example.com.conf

  20. • 各ディレクティブの解説 ◦ 『nginx 実践入門』オススメ ▪ 暗号化スイート ▪ HTST ▪

    安全性と互換性のバランスについ て(ただし書籍執筆時点) 安全な HTTPS 通信設定

  21. HTTP/2

  22. HTTP/2 の有効化 server { listen 443 default_server ssl http2; server_name

    example.com www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ... } /etc/nginx/conf.d/example.com.conf これだけ!

  23. • nginx 1.9.5 〜(now 1.9.12) • SPDY 利用しようとすると怒られる ◦ --with-http_spdy_module

    ◦ listen 443 ssl spdy; ◦ その他 spdy_* ディレクティブが残ってる とエラー Module ngx_http_v2_module

  24. SPDY 対応ブラウザ

  25. HTTP/2 対応ブラウザ

  26. • SPDY や HTTP/2 を使わない通信を行うだけ ◦ 基本的には HTTP/1.1 プロトコルになる ◦

    HTTP/2 がだめなら SPDY/3.1 で、とはな らない(少なくとも nginx は) ◦ しかし未対応というかバグで上手く動かな いってことはあるかもね〜〜〜 未対応ブラウザってどうなるの?

  27. • アクセス解析ツールでエラーが出たという 話も ◦ 話に上がってたのは CGI ツール ◦ クローリングとか必要なサイトではツー ルでの動作確認も忘れずに

    ブラウザだけじゃないかも

  28. 便利 ツール

  29. Chrome 拡張: HTTP/2 and SPDY indicator

  30. • ソースコードからビルド; nginx-build • 安全な HTTPS 通信設定 • HTTP/2 の利用と注意点

    • 便利; HTTP/2 and SPDY indicator 今回のお話 終 ────── ⓣⓜⓓ