10.Nginx反向代理
1. Nginx代理服务基本概述
1.1 什么是代理
代理一词往往并不陌生, 该服务我们常常用到如(代理理财、代理租房、代理收货等等),如下图所示
1.2 没有代理情景
在没有代理模式的情况下,客户端和Nginx服务端,都是客户端直接请求服务端,服务端直接响应客户端。
1.3 企业场景
那么在互联网请求里面,客户端往往无法直接向服务端发起请求,那么就需要用到代理服务,来实现客户端和服务通信,如下图所示
2. Nginx代理服务常见模式
Nginx作为代理服务,按照应用场景模式进行总结,代理分为正向代理、反向代理
2.1 正向代理
正向代理,(内部上网)客户端<—>代理->服务端
2.2 反向代理
反向代理,用于公司集群架构中,客户端->代理<—>服务端
2.3 正向代理与反向代理的区别
1.区别在于形式上服务的”对象”不一样
2.正向代理代理的对象是客户端,为客户端服务
3.反向代理代理的对象是服务端,为服务端服务
3. Nginx代理服务支持协议
Nginx作为代理服务,可支持的代理协议非常的多,具体如下图
3.1 反向代理使用协议
如果将Nginx作为反向代理服务,常常会用到如下几种代理协议,如下图所示
模块总结
反向代理模式与Nginx代理模块总结如表格所示
| 反向代理模式 | Nginx配置模块 |
|---|---|
| http、websocket、https | ngx_http_proxy_module |
| fastcgi | ngx_http_fastcgi_module |
| uwsgi | ngx_http_uwsgi_module |
| grpc | ngx_http_v2_module |
4. Nginx反向代理配置语法
4.1 代理配置语法
Syntax: proxy_pass URL;
Default: —
Context: location, if in location, limit_except
http://localhost:8000/uri/
http://192.168.56.11:8000/uri/
http://unix:/tmp/backend.socket:/uri/
4.2 url跳转修改返回location
url跳转修改返回Location[不常用]
Syntax: proxy_redirect default;
proxy_redirect off;proxy_redirect redirect replacement;
Default: proxy_redirect default;
Context: http, server, location
4.3 添加发往后端服务器的请求头信息
Syntax: proxy_set_header field value;
Default: proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
Context: http, server, location
# 用户请求的时候HOST的值是www.oldboy.com, 那么代理服务会像后端传递请求的还是www.oldboy.com
proxy_set_header Host $http_host;
# 将$remote_addr的值放进变量X-Real-IP中,$remote_addr的值为客户端的ip
proxy_set_header X-Real-IP $remote_addr;
# 客户端通过代理服务访问后端服务, 后端服务通过该变量会记录真实客户端地址
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
一般来说,X-Forwarded-For是用于记录代理信息的,每经过一级代理(匿名代理除外),代理服务器都会把这次请求的来源IP追加在X-Forwarded-For中
来自4.4.4.4的一个请求,header包含这样一行
X-Forwarded-For: 1.1.1.1, 2.2.2.2, 3.3.3.3 代表 请求由1.1.1.1发出,经过三层代理,第一层是2.2.2.2,第二层是3.3.3.3,而本次请求的来源IP4.4.4.4是第三层代理
而X-Real-IP,没有相关标准,上面的例子,如果配置了X-Read-IP,可能会有两种情况
// 最后一跳是正向代理,可能会保留真实客户端IP X-Real-IP: 1.1.1.1 // 最后一跳是反向代理,比如Nginx,一般会是与之直接连接的客户端IP X-Real-IP: 3.3.3.3 所以 ,如果只有一层代理,这两个头的值就是一样的
那一般在后端取值(比如nodejs通过nginx代理)是用哪个值呢?我看sf上看一般推荐是用X-Forwarded-For,直接用 X-Real-IP岂不是更方便点?
X-Forwarded-For确实是一般的做法 1. 他在正向(如squid)反向(如nginx)代理中都是标准用法,而正向代理中是没有x-real-ip相关的标准的,也就是说,如果用户访问你的 nginx反向代理之前,还经过了一层正向代理,你即使在nginx中配置了x-real-ip,取到的也只是正向代理的IP而不是客户端真实IP 2. 大部分nginx反向代理配置文章中都没有推荐加上x-real-ip ,而只有x-forwarded-for,因此更通用的做法自然是取x-forwarded-for 3. 多级代理很少见,只有一级代理的情况下二者是等效的 4. 如果有多级代理,x-forwarded-for效果是大于x-real-ip的,可以记录完整的代理链路
按照HTTP 请求头中的 X-Forwarded-For这篇文章的例子,如果在Nginx的反向代理中添加了配置“proxy_set_header X-Real-IP $remote_addr”,X-Real-IP的值为”3.3.3.3“
4.4 代理到后端的TCP连接、响应、返回等超时时间
//nginx代理与后端服务器连接超时时间(代理连接超时)
Syntax: proxy_connect_timeout time;
Default: proxy_connect_timeout 60s;
Context: http, server, location
//nginx代理等待后端服务器的响应时间
Syntax: proxy_read_timeout time;
Default: proxy_read_timeout 60s;
Context: http, server, location
//后端服务器数据回传给nginx代理超时时间
Syntax: proxy_send_timeout time;
Default: proxy_send_timeout 60s;
Context: http, server, location
4.5 proxy_buffer代理缓冲区
//nignx会把后端返回的内容先放到缓冲区当中,然后再返回给客户端,边收边传, 不是全部接收完再传给客户端
Syntax: proxy_buffering on | off;
Default: proxy_buffering on;
Context: http, server, location
//设置nginx代理保存用户头信息的缓冲区大小
Syntax: proxy_buffer_size size;
Default: proxy_buffer_size 4k|8k;
Context: http, server, location
//proxy_buffers 缓冲区
Syntax: proxy_buffers number size;
Default: proxy_buffers 8 4k|8k;
Context: http, server, location
4.6 常用优化配置
Proxy代理网站常用优化配置如下,将配置写入新文件,调用时使用include引用即可
[root@Nginx ~]# vim /etc/nginx/proxy_params
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
proxy_buffering on;
proxy_buffer_size 32k;
proxy_buffers 4 128k;
4.7 重复使用配置
代理配置location时调用方便后续多个Location重复使用
location / {
proxy_pass http://127.0.0.1:8080;
include proxy_params;
}
nginx配置一个location只能代理后端一台主机;
5. Nginx反向代理场景实践
5.1 Nginx反向代理配置实例
5.2 环境准备
| 角色 | 外网IP(NAT) | 内网IP(LAN) | 主机名 |
|---|---|---|---|
| Proxy | eth0:10.0.0.5 | eth1:172.16.1.5 | lb01 |
| web01 | eth0:10.0.0.7 | eth1:172.16.1.7 | web01 |
5.3 配置代理服务器与web服务器
5.3.1 代理服务器配置源
[root@lb01 ~]# scp 172.16.1.7:/etc/yum.repos.d/nginx.repo ./
5.3.2 代理服务器安装nginx
[root@lb01 ~]# yum install nginx -y
[root@lb01 ~]# systemctl enable nginx
Created symlink from /etc/systemd/system/multi-user.target.wants/nginx.service to /usr/lib/systemd/system/nginx.service.
5.3.3 代理服务器配置代理
[root@lb01 ~]# cd /etc/nginx/conf.d/
[root@lb01 conf.d]# cat proxy_web.conf
server {
listen 80;
server_name web.haoda.com;
location / {
proxy_pass http://10.0.0.7:80;
proxy_set_header Host $http_host;
}
}
[root@lb01 conf.d]# nginx
5.3.4 web服务器配置
[root@web01 ~]# cat /etc/nginx/conf.d/web.conf
server {
listen 80;
server_name web.haoda.com;
root /web;
location / {
index index.php index.html;
}
}
[root@web01 ~]# nginx -t
[root@web01 ~]# nginx -s reload
5.3.5 使用Wireshark抓包分析过程
5.4 配置代理服务器与web服务器
5.4.1 web01服务器,配置一个网站,监听在8080此时网站仅172网段的用户能访问
[root@web01 ~]# cd /etc/nginx/conf.d/
[root@web01 conf.d]# vim web.conf
server {
listen 8080;
server_name localhost;
root /web;
location / {
index index.html;
deny 10.0.0.0/24;
allow all;
}
}
[root@web01 conf.d]# mkdir /web
[root@web01 conf.d]# echo "web01-7...." >/code_8080/index.html
[root@web01 conf.d]# systemctl restart nginx
5.4.2 proxy代理服务,配置监听eth0的80端口,使10.0.0.0网段的用户,能够通过代理服务器访问到后端的172.16.1.7的8080端口站点内容
[root@lb01 ~]# cd /etc/nginx/conf.d/
[root@lb01 conf.d]# cat proxy_web_node1.conf
server {
listen 80;
server_name web.haoda.com;
location / {
proxy_pass http://172.16.1.7:8080;
include proxy_params;
}
}
[root@lb01 conf.d]# systemctl enable nginx
[root@lb01 conf.d]# systemctl start nginx
