在 Nginx 中部署 HTTP/3（其前身為 QUIC）需要一個(gè)特定的、支持 QUIC 的 Nginx 版本，因?yàn)闃?biāo)準(zhǔn)的穩(wěn)定版 Nginx 尚未原生包含此功能。

目前，部署 HTTP/3 最可靠的方法是使用 Cloudflare 維護(hù)的 QUIC 分支，或者等待該功能正式合并到 Nginx 主線中。

以下是基于 Cloudflare QUIC 分支的詳細(xì)部署步驟：

前提條件

1. 操作系統(tǒng)：本文以 Ubuntu 為例，其他 Linux 發(fā)行版步驟類(lèi)似。
2. 域名與 SSL 證書(shū)：需要一個(gè)有效的域名和該域名對(duì)應(yīng)的 SSL 證書(shū)（例如，從 Let‘s Encrypt 獲取）。HTTP/3 強(qiáng)制使用加密。
3. 編譯環(huán)境：需要安裝基本的編譯工具和依賴庫(kù)。
4. 防火墻：確保防火墻開(kāi)放 UDP 443 端口（HTTP/3 基于 UDP），而不僅僅是 TCP 443（HTTPS）。

第一步：安裝必要的依賴庫(kù)

首先，更新軟件包列表并安裝編譯 Nginx 所需的開(kāi)發(fā)工具和庫(kù)。

sudo apt update
sudo apt install build-essential mercurial pkg-config \
                 libpcre3-dev zlib1g-dev libssl-dev \
                 git cmake golang

• mercurial：Cloudflare 的代碼托管在 Mercurial 上，需要此工具來(lái)拉取代碼。
• libssl-dev：提供 SSL/TLS 支持（BoringSSL 或 OpenSSL 需要）。
• git, cmake, golang：編譯 BoringSSL（QUIC 的加密庫(kù)）所必需。

第二步：獲取并構(gòu)建 BoringSSL

Nginx 的 QUIC 實(shí)現(xiàn)推薦使用 Google 的 BoringSSL 而不是 OpenSSL。

# 1. 創(chuàng)建一個(gè)工作目錄并進(jìn)入
mkdir ~/nginx-quic && cd ~/nginx-quic

# 2. 克隆 BoringSSL 倉(cāng)庫(kù)
git clone https://github.com/google/boringssl.git
cd boringssl

# 3. BoringSSL 需要 Go 來(lái)編譯
mkdir build
cd build
cmake ..
make -j$(nproc) # 使用所有可用的 CPU 核心進(jìn)行編譯

# 4. 將編譯好的庫(kù)安裝到系統(tǒng)目錄
sudo make install

第三步：獲取 Nginx QUIC 分支代碼

使用 Mercurial 克隆 Cloudflare 的 Nginx QUIC 分支。

# 返回到工作目錄根目錄
cd ~/nginx-quic

# 克隆代碼
hg clone -b quic https://hg.nginx.org/nginx-quic

第四步：編譯 Nginx

現(xiàn)在配置并編譯支持 HTTP/3 的 Nginx。

cd nginx-quic

# 運(yùn)行配置腳本，指定 BoringSSL 路徑和其他模塊
./auto/configure --with-debug \
                 --with-http_v3_module \          # 啟用 HTTP/3 模塊
                 --with-http_ssl_module \         # 啟用 SSL 模塊
                 --with-cc-opt="-I/usr/local/include" \
                 --with-ld-opt="-L/usr/local/lib" \
                 --with-stream_quic_module        # 啟用 QUIC 流模塊

# 編譯并安裝
make -j$(nproc)
sudo make install

默認(rèn)安裝路徑是 /usr/local/nginx/。

第五步：配置 Nginx

關(guān)鍵的一步是修改 Nginx 的配置文件 (/usr/local/nginx/conf/nginx.conf)，在 server 塊中啟用 HTTP/3。

# 在 http 塊中的 server 配置
server {
    listen       443 ssl;
    listen       443 quic reuseport; # 關(guān)鍵：?jiǎn)⒂?QUIC 并開(kāi)啟 reuseport

    # 你的域名
    server_name  your_domain.com;

    # SSL 證書(shū)路徑（必須）
    ssl_certificate      /path/to/your/fullchain.pem;
    ssl_certificate_key  /path/to/your/privkey.pem;

    # 啟用 TLS 1.3，它與 HTTP/3 配合得更好
    ssl_protocols        TLSv1.2 TLSv1.3;

    # 告訴瀏覽器此服務(wù)器支持 HTTP/3
    add_header Alt-Svc 'h3=":443"; ma=86400'; # 重要：端口必須與監(jiān)聽(tīng)端口一致

    # 你的網(wǎng)站根目錄和其他配置
    location / {
        root   html;
        index  index.html index.htm;
    }
}

配置說(shuō)明：

1. listen 443 quic reuseport;：
   • quic：指示 Nginx 在此端口上監(jiān)聽(tīng) QUIC（HTTP/3）連接。
   • reuseport：為每個(gè)工作進(jìn)程創(chuàng)建一個(gè)獨(dú)立的套接字，顯著提升 QUIC 性能。
2. add_header Alt-Svc：
   • 這是瀏覽器發(fā)現(xiàn)服務(wù)器支持 HTTP/3 的機(jī)制。
   • 當(dāng)瀏覽器第一次通過(guò) HTTPS（TCP）訪問(wèn)時(shí)，Nginx 會(huì)在響應(yīng)頭中返回 Alt-Svc，告訴瀏覽器：“這個(gè)站點(diǎn)在 UDP 443 端口也支持 HTTP/3（h3），下次你可以嘗試用那個(gè)。”
   • ma=86400 表示此信息可以緩存 86400 秒（一天）。

第六步：?jiǎn)?dòng) Nginx 并測(cè)試

1. 啟動(dòng) Nginx：

   sudo /usr/local/nginx/sbin/nginx
   

2. 檢查 UDP 443 端口是否監(jiān)聽(tīng)：

   sudo ss -lanu | grep 443
   

   你應(yīng)該能看到 Nginx 進(jìn)程在監(jiān)聽(tīng) UDP 443 端口。

3. 使用在線工具測(cè)試：

   • 訪問(wèn) https://http3.check
   • 輸入你的域名進(jìn)行測(cè)試。如果配置成功，它會(huì)顯示 “HTTP/3 is supported”。

4. 使用瀏覽器開(kāi)發(fā)者工具檢查：

   • 用 Chrome 或 Edge 訪問(wèn)你的網(wǎng)站。
   • 打開(kāi) 開(kāi)發(fā)者工具 (F12) -> 網(wǎng)絡(luò) (Network) 選項(xiàng)卡。
   • 刷新頁(yè)面。
   • 點(diǎn)擊域名請(qǐng)求，在 標(biāo)頭 (Headers) 部分查看 protocol 字段。如果顯示 h3，則表示此次連接是通過(guò) HTTP/3 進(jìn)行的。
   • 你也可以在響應(yīng)頭中看到 alt-svc 的聲明。

常見(jiàn)問(wèn)題與故障排除

• 編譯錯(cuò)誤：最常見(jiàn)的是依賴問(wèn)題。確保所有依賴庫(kù)都已正確安裝，并且 BoringSSL 的路徑正確。
• Nginx 啟動(dòng)報(bào)錯(cuò)：檢查配置文件語(yǔ)法：sudo /usr/local/nginx/sbin/nginx -t。
• 檢測(cè)不到 HTTP/3：
  • 確保防火墻放行了 UDP 443 端口。
  • 清除瀏覽器緩存，或者嘗試使用隱身模式。瀏覽器可能需要幾次 TCP 訪問(wèn)后才會(huì)嘗試切換到 QUIC。
  • 檢查 alt-svc 頭是否正確發(fā)送。可以使用 curl -I https://your_domain.com 查看響應(yīng)頭。
• 性能調(diào)優(yōu)：QUIC 是一個(gè)新的傳輸協(xié)議，可能需要針對(duì)你的網(wǎng)絡(luò)環(huán)境調(diào)整 keepalive_timeout、stream_quic_required_address 等參數(shù)。

總結(jié)

部署 HTTP/3 目前仍然需要一些手動(dòng)編譯和配置工作，但遵循上述步驟應(yīng)該可以成功。核心要點(diǎn)是：

1. 使用 Cloudflare 的 Nginx QUIC 分支。
2. 編譯依賴 BoringSSL。
3. Nginx 配置中兩個(gè)關(guān)鍵指令：listen ... quic reuseport; 和 add_header Alt-Svc ...。
4. 確保防火墻開(kāi)放 UDP 443 端口。

隨著標(biāo)準(zhǔn)的成熟，未來(lái)主線的 Nginx 版本肯定會(huì)原生支持 HTTP/3，屆時(shí)部署過(guò)程將會(huì)大大簡(jiǎn)化。

到此這篇關(guān)于Nginx部署HTTP/3的實(shí)現(xiàn)步驟的文章就介紹到這了,更多相關(guān)Nginx部署HTTP/3內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論