Nginx反向代理保姆级图文教程

关于正向代理和反向代理,简而言之就是正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者之间最大的区别。Nginx即可以实现正向代理,也可以实现反向代理。本文主要介绍Nginx反向代理相关操作指南。

一、需求

1、服务端设置:

http {
log_format main 'client send request=>clientIp=$remote_addr serverIp=>$host';
server{
listen 80;
server_name localhost;
access_log logs/access.log main;
location {
root html;
index index.html index.htm;
}
}
}

2、使用客户端访问服务端,打开日志查看结果。

3、代理服务器设置:

server {
listen 82;
resolver 8.8.8.8;
location /{
proxy_pass http://$host$request_uri;
}
}

4、查看代理服务器的IP(192.168.200.146)和Nginx配置监听的端口(82)。

5、在客户端配置代理服务器。

6、设置完成后,再次通过浏览器访问服务端。

通过对比,上下两次的日志记录,会发现虽然我们是客户端访问服务端,但是如何使用了代理,那么服务端能看到的只是代理发送过去的请求,这样的化,就使用Nginx实现了正向代理的设置。但是Nginx正向代理,在实际的应用中不是特别多,所以我们简单了解下,接下来我们继续学习Nginx的反向代理,这是Nginx比较重要的一个功能。

二、Nginx反向代理的配置语法

Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来我们把反向代理中的常用指令一一介绍下:

proxy_pass
proxy_set_header
proxy_redirect

1、proxy_pass

该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。

Nginx反向代理

URL:为要设置的被代理服务器地址,包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。

举例:

proxy_pass http://www.baidu.com;
location /server{ }
proxy_pass http://192.168.200.146;
http://192.168.200.146/server/index.html
proxy_pass http://192.168.200.146/;
http://192.168.200.146/index.html

大家在编写proxy_pass的时候,后面的值要不要加"/"?,接下来通过例子来说明刚才我们提到的问题:

server {
listen 80;
server_name localhost;
location /{
#proxy_pass http://192.168.200.146;
proxy_pass http://192.168.200.146/;
}
}

当客户端访问 http://localhost/index.html,效果是一样的。

server{
listen 80;
server_name localhost;
location /server{
#proxy_pass http://192.168.200.146;
proxy_pass http://192.168.200.146/;
}
}

当客户端访问 http://localhost/server/index.html,这个时候,第一个proxy_pass就变成了http://localhost/server/index.html,第二个proxy_pass就变成了http://localhost/index.html效果就不一样了。

2、proxy_set_header

该指令可以更改Nginx服务器接收到的客户端请求的请求头信息,然后将新的请求头发送给代理的服务器。需要注意的是,如果想要看到结果,必须在被代理的服务器上来获取添加的头信息。

(1)被代理服务器: [192.168.200.146]

server {
listen 8080;
server_name localhost;
default_type text/plain;
return 200 $http_username;
}

(2)代理服务器: [192.168.200.133]

server {
listen 8080;
server_name localhost;
location /server {
proxy_pass http://192.168.200.146:8080/;
proxy_set_header username TOM;
}
}

访问测试。

3、proxy_redirect

该指令是用来重置头信息中的"Location"和"Refresh"的值

为什么要用该指令:

(1)服务端[192.168.200.146]

server {
listen 8081;
server_name localhost;
if (!-f $request_filename){
return 302 http://192.168.200.146;
}
}

(2)代理服务端[192.168.200.133]

server {
listen 8081;
server_name localhost;
location / {
proxy_pass http://192.168.200.146:8081/;
proxy_redirect http://192.168.200.146 http://192.168.200.133;
}
}

该指令的几组选项:

proxy_redirect redirect replacement;
  • redirect:目标,Location的值;
  • replacement:要替换的值。
proxy_redirect default;
default;

将location块的uri变量作为replacement;将proxy_pass变量作为redirect进行替换。

  • proxy_redirect off;
  • 关闭proxy_redirect的功能。

三、Nginx反向代理实战

服务器1,2,3存在两种情况:

  • 第一种情况: 三台服务器的内容不一样;
  • 第二种情况: 三台服务器的内容是一样。

1、如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。

(1)代理服务器

server {
listen 8082;
server_name localhost;
location /server1 {
proxy_pass http://192.168.200.146:9001/;
}
location /server2 {
proxy_pass http://192.168.200.146:9002/;
}
location /server3 {
proxy_pass http://192.168.200.146:9003/;
}
}

(2)服务端

server1
server {
listen 9001;
server_name localhost;
default_type text/html;
return 200 '<h1>192.168.200.146:9001</h1>'
}
server2
server {
listen 9002;
server_name localhost;
default_type text/html;
return 200 '<h1>192.168.200.146:9002</h1>'
}
server3
server {
listen 9003;
server_name localhost;
default_type text/html;
return 200 '<h1>192.168.200.146:9003</h1>'
}

四、Nginx的安全控制

关于web服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢?什么是安全隔离?

通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。

五、如何使用SSL对流量进行加密

翻译成大家能熟悉的说法就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单的来说两个都是HTTP协议,只不过https是身披SSL外壳的http.

HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。

  • SSL(Secure Sockets Layer)安全套接层;
  • TLS(Transport Layer Security)传输层安全。

上述这两个是为网络通信提供安全及数据完整性的一种安全协议,TLS和SSL在传输层和应用层对网络连接进行加密。

总结来说为什么要使用https:http协议是明文传输数据,存在安全问题,而https是加密传输,相当于http+ssl,并且可以防止流量劫持。

Nginx要想使用SSL,需要满足一个条件即需要添加一个模块--with-http_ssl_module,而该模块在编译的过程中又需要OpenSSL的支持,这个我们之前已经准备好了。

六、nginx添加SSL的支持

完成 --with-http_ssl_module模块的增量添加:

  • 将原有/usr/local/nginx/sbin/nginx进行备份;
  • 拷贝nginx之前的配置信息;
  • 在nginx的安装源码进行配置指定对应模块 ./configure --with-http_ssl_module;
  • 通过make模板进行编译;
  • 将objs下面的nginx移动到/usr/local/nginx/sbin下;
  • 在源码目录下执行 make upgrade进行升级,这个可以实现不停机添加新模块的功能。

七、Nginx的SSL相关指令

因为刚才我们介绍过该模块的指令都是通过ngx_http_ssl_module模块来解析的。

ssl:该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。

Nginx反向代理

ssl_certificate:为当前这个虚拟主机指定一个带有PEM格式证书的证书。

Nginx反向代理Nginx反向代理

ssl_certificate_key:该指令用来指定PEM secret key文件的路径。

Nginx反向代理

ssl_session_cache:该指令用来配置用于SSL会话的缓存。

Nginx反向代理

  • off:禁用会话缓存,客户端不得重复使用会话;
  • none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数;
  • builtin:内置OpenSSL缓存,仅在一个工作进程中使用;
  • shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定。

Nginx反向代理

ssl_session_timeout:开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间。

Nginx反向代理

ssl_ciphers:指出允许的密码,密码指定为OpenSSL支持的格式。

Nginx反向代理

可以使用openssl ciphers查看openssl支持的格式。

ssl_prefer_server_ciphers:该指令指定是否服务器密码优先客户端密码。

Nginx反向代理

八、生成证书

方式一:使用阿里云/腾讯云等第三方服务进行购买。

方式二:使用openssl生成证书

先要确认当前系统是否有安装openssl:

openssl version

安装下面的命令进行生成:

mkdir /root/cert
cd /root/cert
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

九、开启SSL实例

server {
listen 443 ssl;
server_name localhost;
ssl_certificate server.cert;
ssl_certificate_key server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}

之后进行验证。

十、反向代理系统调优

反向代理值Buffer和Cache,Buffer翻译过来是"缓冲",Cache翻译过来是"缓存"。

总结下:

  • 相同点:两种方式都是用来提供IO吞吐效率,都是用来提升Nginx代理的性能;
  • 不同点:缓冲主要用来解决不同设备之间数据传递速度不一致导致的性能低的问题,缓冲中的数据一旦此次操作完成后,就可以删除;

缓存主要是备份,将被代理服务器的数据缓存一份到代理服务器,这样的话,客户端再次获取相同数据的时候,就只需要从代理服务器上获取,效率较高,缓存中的数据可以重复使用,只有满足特定条件才会删除。

1、Proxy Buffer相关指令

proxy_buffering :该指令用来开启或者关闭代理服务器的缓冲区;

Nginx反向代理

proxy_buffers:该指令用来指定单个连接从代理服务器读取响应的缓存区的个数和大小。

Nginx反向代理

  • number:缓冲区的个数;
  • size:每个缓冲区的大小,缓冲区的总大小就是number*size;
  • proxy_buffer_size:该指令用来设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可,当然也可以更小。

Nginx反向代理

proxy_busy_buffers_size:该指令用来限制同时处于BUSY状态的缓冲总大小。

Nginx反向代理

proxy_temp_path:当缓冲区存满后,仍未被Nginx服务器完全接受,响应数据就会被临时存放在磁盘文件上,该指令设置文件路径。

Nginx反向代理

注意path最多设置三层。proxy_temp_file_write_size:该指令用来设置磁盘上缓冲文件的大小.

Nginx反向代理

通用网站的配置:

proxy_buffering on;
proxy_buffer_size 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;

根据项目的具体内容进行相应的调节。

广告合作
QQ群号:707632017
标签:

温馨提示:

1、本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。邮箱:2942802716#qq.com(#改为@)。

2、本站原创内容未经允许不得转裁,转载请注明出处“站长百科”和原文地址。

热门教程

  • Z-Blog教程
    Z-Blog教程
    ZBlog教程分享ZBlog安装教程、ZBlog建站教程和ZBlog使用教程等相关教程,包括如何创建...
  • WordPress教程
    WordPress教程
    WordPress教程提供了关于WordPress的基础知识和技巧,包括安装、设置、发布内容、选择主...
  • 宝塔面板教程
    宝塔面板教程
    宝塔面板教程是一个致力于向用户传授宝塔面板的使用技巧和知识的学习资源,旨在帮助用户快速上手和充分利用...
  • Shopify教程
    Shopify教程
    Shopify教程提供了关于Shopify平台的基本知识和操作指南,包括商店设置、商品管理、订单处理...
  • PHP教程
    PHP教程
    PHP教程提供了关于PHP语法、变量、函数、流程控制等概念的详细指导,同时介绍了常见的Web开发技术...

3个月免费VPS

亚马逊云科技

阿里云