公司弃用 Nginx，选择这款工具！

Cloudflare 公司宣布弃用 nginx，转用自研的新一代方向代理服务 Pingora，并号称比nginx更快、更高效、更安全，下面通过 Cloudfare 官方网站的一篇文章来了解下 Pingora 比 Nginx 强在哪里？

简介

今天，我们很高兴有机会在此介绍 Pingora，这是我们使用 Rust 在内部构建的新 HTTP 代理，它每天处理超过 1 万亿个请求，提高了我们的性能，并为 Cloudflare 客户带来了许多新功能，同时只需要我们以前代理基础架构的三分之一的 CPU 和内存资源。

随着 Cloudflare 规模的扩大，我们已经超越了 NGINX 的处理能力。多年来它一直运作良好，但随着时间的推移，它在我们规模上的局限性意味着我们有必要构建一些新的东西。我们无法再获得我们所需要的性能，NGINX 也没有我们在非常复杂的环境中所需要的功能。

为什么要再建一个代理

作为世界上最大的免费 CDN 服务商，Cloudflare 的代理端层运行这世界上最大Web请求，每天的客户端请求超万亿。之前 Cloudflare 的代理端层架构一度使用的基于内部定制化的 Nginx 服务器，但是无论在性能上，规模上以及功能层面都面临日益困窘的局面。

架构的限制损害了性能

NGINX worker（进程）架构对于我们的用例而言存在操作缺陷，这会损害我们的性能和效率。

首先，在 NGINX 中，每个请求只能由单个 worker 处理。这会导致所有 CPU 内核之间的负载不平衡，从而导致速度变慢。

由于这种请求进程锁定效应，执行重CPU 或阻塞IO 任务的请求可能会减慢其他请求的速度。举实际用例来说，最大问题问题是连接重用性问题。代理层节点机器与源服务器建立TCP 连接以代理HTTP 请求。连接重用通过重用连接池中先前建立的连接、跳过新连接所需的 TCP 和TLS 握手来加速请求的TTFB（第一个字节时间）。

但是，NGINX 连接池基于Work的。当请求到达某个Work时，它只能重用该Work内的连接。当添加更多NGINX Work进行扩展时，由于连接分散在所有进程的更多隔离池中其重用性就会变得很差，这样就需要耗费额外的硬件资源，并且使响应时间变慢。

虽然在这方面通过各种方法做过优化，但是其根源在于Nginx Work/进程模型，在要还是该架构就不能从根本上解决该问题。

有些类型的功能难以添加

NGINX是一个非常好的Web 服务器、负载均衡器或网关。但Cloudflare 的业务需求远不止于此。围绕NGINX 构建我们需要的所有功能，但要尽量避免与 NGINX 上游代码库有太多分歧，这并不容易。

例如，当重试/失败请求时，业务场景最佳需求是将请求发送到具有不同请求标头集的不同源服务器。但这不是NGINX 允许应用层可做的事情。为此会花费时间和精力来解决修改NGINX源码来突破限制。

另外NGINX 纯粹是用C语言编写的，其设计上不是内存安全的。使用这样的第三方代码库非常容易出错。也很容易出现内存安全问题，如何尽可能避免这些问题是个问题。

虽然Nginx的应用逻辑可以通过Lua语言来实现。可以导致的安全风险较小，但性能也较差。此外，Lua在处理复杂的代码和业务逻辑时缺乏有效的静态类型检查。务逻辑时，我们经常发现自己缺少静态类型。

而且 NGINX 社区也不是很活跃，开发往往是“闭门造车”。

选择建立我们自己的

在过去的几年里，随着我们的客户群和功能集的持续增长，我们持续评估了三种选择：

继续投资 NGINX，向其付款进行定制，使其 100% 满足我们的需求。我们拥有所需的专业知识，但鉴于上述架构限制，需要付出大量努力才能以完全支持我们需求的方式重建它。

迁移到另一个第三方代理代码库。肯定有好的项目，比如 envoy 和其他一些。但这条道路意味着在几年内可能会重复同样的循环。

从头开始建立一个内部平台和框架。这一选择需要在工程方面进行最大的前期投资。

在过去的几年中，我们每个季度都会对这些选项进行评估。没有明显的公式来判断哪种选择是最好的。在几年的时间里，我们继续走阻力最小的道路，继续增强 NGINX。然而，在某些情况下，建立自有代理的投资回报率似乎更值得。我们呼吁从头开始建立一个代理，并开始设计我们梦想中的代理应用程序。

Pingora 项目

设计决定

为了打造一个每秒提供数百万次请求且快速、高效和安全的代理，我们必须首先做出一些重要的设计决定。

我们选择 Rust 作为项目的语言，因为它可以在不影响性能的情况下以内存安全的方式完成 C 语言可以做的事情。

尽管有一些很棒的现成第 3 方 HTTP 库，例如 hyper，我们选择构建自己的库是因为我们希望最大限度地提高处理 HTTP 流量的灵活性，并确保我们可以按照自己的节奏进行创新。

在 Cloudflare，我们处理整个互联网的流量。我们必须支持许多奇怪且不符合 RFC 的 HTTP 流量案例。这是 HTTP 社区和 Web 中的一个常见困境，在严格遵循 HTTP 规范，和适应潜在遗留客户端或服务器的广泛生态系统的细微差别之间存在矛盾和冲突，需要在其中作出艰难抉择。

HTTP 状态码在 RFC 9110 中定义为一个三位整数，通常预期在 100 到 599 的范围内。Hyper 就是这样一种实现。但是，许多服务器支持使用 599 到 999 之间的状态代码。我们为此功能创建了一个问题，探讨了争论的各个方面。虽然 hyper 团队最终确实接受了这一更改，但他们有充分的理由拒绝这样的要求，而这只是我们需要支持的众多不合规行为案例之一。

为了满足 Cloudflare 在 HTTP 生态系统中的地位要求，我们需要一个稳健、宽容、可定制的 HTTP 库，该库可以在互联网的各种风险环境中生存，并支持各种不合规的用例。保证这一点的最佳方法就是实施我们自己的架构。

下一个设计决策关于我们的工作负载调度系统。我们选择多线程而不是多处理，以便轻松共享资源，尤其是连接池。我们认为还需要实施工作窃取来避免上面提到的某些类别的性能问题。Tokio 异步运行时结果非常适合我们的需求。

最后，我们希望我们的项目直观且对开发人员友好。我们构建的不是最终产品，而是应该可以作为一个平台进行扩展，因为在它之上构建了更多的功能。我们决定实施一个类似于 NGINX/OpenResty 的基于“请求生命周期”事件的可编程接口。例如，“请求过滤器”阶段允许开发人员在收到请求标头时运行代码来修改或拒绝请求。通过这种设计，我们可以清晰地分离我们的业务逻辑和通用代理逻辑。之前从事 NGINX 工作的开发人员可以轻松切换到 Pingora 并迅速提高工作效率。