Installer et régler un serveur Nginx sur Ubuntu demande des choix techniques précis et une stratégie opérationnelle. Un administrateur attentif gagne en latence, en robustesse et en capacité de montée en charge.
Je raconte l’expérience d’une petite agence qui migre son site vers Nginx, en détaillant astuces concrètes et outils utiles. La clôture de cette page conduit naturellement à « A retenir : ».
A retenir :
- Réglage worker_processes égal aux cœurs CPU
- Mise en cache statique côté Nginx pour réduire I/O
- Certificats automatiques avec Certbot et Let’s Encrypt
- Surveillance continue avec NGINX Amplify ou Prometheus
Optimiser le noyau serveur pour Nginx sur Ubuntu
Après la synthèse précédente, il faut agir au niveau système pour exploiter pleinement Nginx. Ajuster le noyau Linux permet de réduire les limites d’entrées-sorties et d’améliorer la gestion des sockets.
Pour illustrer, l’équipe d’AcmeWeb a modifié des paramètres sysctl et observé une baisse visible de la latence sous charge. Ces réglages s’appliquent sur des machines Cloud comme Linode ou DigitalOcean.
Réglages sysctl essentiels pour connexions élevées
Ce point relie la configuration système aux capacités de Nginx afin de supporter plus de connexions simultanées. Modifier les valeurs de net.core.somaxconn et net.ipv4.tcp_tw_reuse réduit les goulots d’étranglement.
Selon Canonical, un réglage adapté du noyau améliore la résilience des services réseau sur Ubuntu et facilite la montée en charge. Lisez les guides d’Ubuntu pour des recommandations validées.
Intégrer ces réglages prépare le serveur à des optimisations applicatives, que nous détaillerons ensuite. Le prochain focus porte sur la paramétrage fin de Nginx.
Paramètres système :
- Réseau et descripteurs augmentés
- Réduction du timeout TIME_WAIT
- File cache pour fichiers statiques
- Allocation mémoire optimisée pour I/O
Paramètre
Rôle
Effet attendu
net.core.somaxconn
Queue de connexion
Plus de connexions simultanées prises en charge
fs.file-max
Descripteurs ouverts
Réduit les erreurs « too many files »
net.ipv4.tcp_tw_reuse
Réutilisation sockets
Diminution des sockets TIME_WAIT
vm.swappiness
Utilisation swap
Préservation de la RAM pour cache
« J’ai doublé la capacité de connexions en réglant sysctl, résultats rapides »
Claire B.
Cas pratique sur serveur Cloud Ubuntu
Ce point montre l’application concrète des réglages sysctl sur une instance Ubuntu chez OVH. L’équipe a testé avec un trafic progressif jusqu’à la saturation contrôlée.
Selon DigitalOcean, reproduire ces tests sur plusieurs fournisseurs permet d’identifier les limites propres à chaque environnement cloud. Les observations varient selon CPU et disque.
Plan de test :
- Montée en charge progressive
- Mesure de latence et erreurs 5xx
- Analyse d’utilisation CPU et RAM
- Répétition après chaque changement
Fournisseur
Instance type
Observation
Linode
4 vCPU, 8 Go RAM
Bonne latence, I/O stable
DigitalOcean
4 vCPU, 8 Go RAM
Performances similaires, disque variable
OVH
4 vCPU, 8 Go RAM
Bonne bande passante mais pic I/O
Machine locale
4 cœurs
Environnements reproductibles
« Tester sur plusieurs clouds a éclairé nos choix d’hébergement »
Marc D.
Paramètres Nginx à ajuster pour réduire la latence
Suite au réglage système, il faut optimiser le fichier /etc/nginx/nginx.conf pour tirer parti du matériel. Les directives worker_processes et worker_connections sont centrales pour la scalabilité.
Selon NGINX Amplify, surveiller ces paramètres après modification permet d’éviter des régressions et de calibrer finement selon le trafic réel. Ces mesures sont essentielles pour montée en charge.
Directives de base expliquées et exemples
Cette section explique pourquoi chaque directive influence la charge et la latence, avec exemples tirés d’un serveur de production. Worker_processes doit refléter les cœurs CPU disponibles.
Selon nginx.org, l’utilisation d’un paramètre dynamique pour worker_processes facilite l’équilibre entre consommation mémoire et débit maximal. Ajustez selon vos mesures.
Réglages recommandés :
- worker_processes égal au nombre de cœurs
- worker_connections élevé selon charge
- keepalive_timeout réduit modérément
- client_max_body_size selon besoins API
Directive
But
Recommandation
worker_processes
Parallélisme CPU
Nombre de cœurs CPU
worker_connections
Connexions par worker
Élever selon charge attendue
keepalive_timeout
Connexions persistantes
Valeur modérée pour équilibrer
gzip on
Compression des réponses
Activer pour ressources textuelles
« Modifier nginx.conf m’a permis de réduire 40 pour cent de latence perçue »
Sébastien N.
Mise en cache et compression pour accélérer les pages
Le cache statique côté Nginx diminue les accès disques et réduit le délai de réponse pour les ressources inchangées. Gzip ou brotli réduisent également le volume transféré.
Selon des pratiques de terrain, combiner cache, compression et headers ETag ou Cache-Control offre un gain notable pour les sites à fort trafic. Testez les effets avec outils de charge.
Mise en œuvre pratique :
- Activer proxy_cache pour contenus dynamiques
- Configurer gzip pour ressources textuelles
- Définir Cache-Control selon durée
- Utiliser brotli si disponible
Mécanisme
Avantage
Attention
proxy_cache
Réduction CPU backend
Invalidation requise
gzip
Réduction bande passante
CPU supplémentaire pour compression
ETag
Validation efficace
Peut compliquer CDN
brotli
Compression supérieure
Compatibilité variable
« Le cache a stabilisé nos temps de réponse pendant les pics »
Lucie P.
Sécurisation, certificats et surveillance pour production
Après optimisation, il faut protéger les échanges et garder un œil sur le service via des outils adaptés. Les certificats TLS et les solutions de monitoring évitent interruptions et perte de confiance utilisateur.
Selon Let’s Encrypt et Certbot, l’automatisation de certificats simplifie le renouvellement et réduit les erreurs humaines. Associer Cloudflare renforce la protection DDoS et la distribution globale.
Obtention et automatisation de certificats TLS
Ce sujet traite de l’usage de Certbot et de Let’s Encrypt pour gérer des certificats gratuits et automatisés. Un renouvellement automatique empêche les interruptions liées à l’expiration.
Selon les guides officiels, activer HTTP-01 ou TLS-ALPN-01 dépend de votre infrastructure, notamment si vous utilisez Cloudflare en proxy inversé. Adapter la méthode selon le cas.
Étapes clés :
- Installer Certbot sur Ubuntu
- Générer certificat pour domaines
- Configurer reload automatique de Nginx
- Tester renouvellement en environnement staging
Outil
Usage
Avantage
Certbot
Obtention TLS
Automatisation renouvellement
Let’s Encrypt
Autorité gratuite
Sécurité sans coût
Cloudflare
Proxy et WAF
Protection DDoS
NGINX Amplify
Monitoring Nginx
Alertes et insights
Pour compléter, Intégrer un outil de surveillance permet d’anticiper la dégradation et de déclencher des actions correctives automatiquement. Le passage suivant montre les retours d’expérience.
« Le monitoring nous a alertés avant la panne, gains mesurables »
Pauline R.
Source : NGINX, « NGINX Admin Guide », nginx.org, 2024 ; Canonical, « Ubuntu Server Guide », ubuntu.com, 2024 ; Let’s Encrypt, « Certbot documentation », certbot.eff.org, 2024.
Selon NGINX Amplify, l’observation continue est la clé pour conserver la qualité de service malgré l’évolution du trafic. Selon Canonical, une maintenance régulière d’Ubuntu prévient les problèmes courants.
Selon Let’s Encrypt, l’automatisation via Certbot réduit le risque d’erreurs humaines et améliore la sécurité opérationnelle. C’est un gain concret pour toute production.