Nginx反向代理

目录

• Nginx反向代理概述
• Nginx反向代理的配置语法
  • proxy_pass：设置被代理服务器地址
  • proxy_set_header：设置代理请求头
  • proxy_redirect：重置头信息中Location和Refresh
    • 直接代理的问题
• Nginx反向代理示例
• Nginx的安全控制
  • 什么是安全隔离?
  • 如何使用SSL对流量进行加密
    • nginx添加SSL的支持
    • Nginx的SSL相关指令
      • ssl
      • ssl_certificate
      • ssl_certificate_key
      • ssl_session_cache
      • ssl_session_timeout
      • ssl_ciphers
      • ssl_prefer_server_ciphers
    • 生成证书
    • 开启SSL实例
• 反向代理系统调优
  • Proxy Buffer相关指令
    • proxy_buffering
    • proxy_buffers
    • proxy_buffer_size
      • proxy_busy_buffers_size
    • proxy_temp_path
    • proxy_temp_file_write_size

---

---

大佬文章，请优先查看！！！

nginx使用配置(亲测自用)

---

---

Nginx反向代理概述

正向代理代理的对象是客户端，反向代理代理的是服务端，这是两者之间最大的区别。

Nginx即可以实现正向代理，也可以实现反向代理。

---

Nginx反向代理的配置语法

Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析，该模块在安装Nginx的时候已经自己加装到Nginx中了，反向代理中的常用指令如下：

proxy_pass
proxy_set_header
proxy_redirect

proxy_pass：设置被代理服务器地址

该指令用来设置被代理服务器地址，可以是主机名称、IP地址加端口号形式。

• 语法：

proxy_pass URL;

• 默认值：

—

• 位置：

location

属性	说明
URL	要设置的被代理服务器地址，包含传输协议(http，https://)、主机名称或IP地址加端口号、URI等要素。

举例：

proxy_pass http://www.baidu.com;
proxy_pass http://192.168.200.146/server/index.html

• 在编写proxy_pass的时候，后面的值要不要加"/"?

server {
	listen 80;
	server_name localhost;
	location /{
		#proxy_pass http://192.168.200.146;
		proxy_pass http://192.168.200.146/;
	}
}

结论：

当客户端访问 http://localhost/index.html，效果是一样的。

server{
	listen 80;
	server_name localhost;
	location /server{
		#proxy_pass http://192.168.200.146;
		proxy_pass http://192.168.200.146/;
	}
}

结论：

当客户端访问 http://localhost/server/index.html
这个时候，第一个proxy_pass就变成了http://localhost/server/index.html
第二个proxy_pass就变成了http://localhost/index.html效果就不一样了。相当于指定了要从nginx根路径开始，而不是从设置的/server路径开始。

---

proxy_set_header：设置代理请求头

该指令可以更改Nginx服务器接收到的客户端请求的请求头信息，然后将新的请求头发送给代理的服务器。

• 语法：

proxy_set_header field value;

• 默认值：

proxy_set_header Host $proxy_host;

proxy_set_header Connection close;

• 位置：

http、server、location

需要注意的是，如果想要看到结果，必须在被代理的服务器上来获取添加的头信息。

• 被代理服务器： [192.168.200.146]

server {
        listen  8080;
        server_name localhost;
        default_type text/plain;
        return 200 $http_username; # 获取请求头中的username属性值
}

• 代理服务器: [192.168.200.133]

server {
        listen  8080;
        server_name localhost;
        location /server {
                proxy_pass http://192.168.200.146:8080/;
                proxy_set_header username TOM; # 添加请求头信息给到被代理服务器
        }
    }
 

---

proxy_redirect：重置头信息中Location和Refresh

该指令是用来重置头信息中的"Location"和"Refresh"的值。

• 语法：

proxy_redirect redirect replacement;

proxy_redirect default;

proxy_redirect off;

• 默认值：

proxy_redirect default;

• 位置：

http、server、location

指令选项	说明
proxy_redirect redirect replacement;	redirect：目标，Location的值 replacement：要替换的值
proxy_redirect default;	default; 将location块的uri变量作为replacement， 将proxy_pass变量作为redirect进行替换
proxy_redirect off;	关闭proxy_redirect的功能

代理服务端：

server {
        listen  8081;
        server_name localhost;
        location / {
                proxy_pass http://192.168.56.103:8081/;
        }
}

服务端：

修改服务端nginx/html/index.html文件内容：

server {
   listen  8081;
   server_name localhost;
   if (!-f $request_filename){
       return 302 http://192.168.56.103;
   }
}

测试：

请求地址：http://192.168.56.108:8081/a.html

请求108代理服务器8081端口，nginx代理到服务端103，在服务端103判断没有a.html资源，重定向到103的index.html欢迎页。

直接代理的问题

以上请求中存在的问题：客户端不知道有103服务端，这样重定向暴露了103。如何在请求代理服务器资源不存在返回服务端103的首页并且不暴露103服务端呢？使用proxy_redirect指令。

代理服务端[192.168.56.108]

server {
	listen  8081;
	server_name localhost;
	location / {
		# 1.先代理请求到服务端
		proxy_pass http://192.168.56.103:8081/;
		# 3.指令重置服务端重定向后的Location值
		proxy_redirect http://192.168.56.103 http://192.168.56.108;
	}
}
 
# 4.重置为108后访问的是108的80端口，想要响应服务端103的nginx首页要再代理到103的index.html
server {
        listen       80;
        server_name  localhost;
 
        location / {
            proxy_pass http://192.168.56.103;
        }
}

服务端[192.168.56.103]

server {
    listen  8081;
    server_name localhost;
    if (!-f $request_filename){
    	# 2.服务端判断请求资源是否存在，不存在重定向到代理服务端
    	return 302 http://192.168.56.103;
    }
}

测试：

---

Nginx反向代理示例

服务器1,2,3存在两种情况

第一种情况: 三台服务器的内容不一样。
第二种情况: 三台服务器的内容一样。

1. 如果服务器1、服务器2和服务器3的内容不一样，那我们可以根据用户请求来分发到不同的服务器。

#代理服务器
server {
        listen          8082;
        server_name     localhost;
        location /server1 {
                proxy_pass http://192.168.200.146:9001/;
        }
        location /server2 {
                proxy_pass http://192.168.200.146:9002/;
        }
        location /server3 {
                proxy_pass http://192.168.200.146:9003/;
        }
}
 
#服务端
server1
server {
        listen          9001;
        server_name     localhost;
        default_type text/html;
        return 200 '<h1>192.168.200.146:9001</h1>'
}
server2
server {
        listen          9002;
        server_name     localhost;
        default_type text/html;
        return 200 '<h1>192.168.200.146:9002</h1>'
}
server3
server {
        listen          9003;
        server_name     localhost;
        default_type text/html;
        return 200 '<h1>192.168.200.146:9003</h1>'
}

2. 如果服务器1、服务器2和服务器3的内容是一样的，该如何处理？使用负载均衡。

---

Nginx的安全控制

关于web服务器的安全是比较大的一个话题，里面所涉及的内容很多，Nginx反向代理是如何来提升web服务器的安全呢？

什么是安全隔离?

通过代理分开了客户端到应用程序服务器端的连接，实现了安全措施。在反向代理之前设置防火墙，仅留一个入口供代理服务器访问。

如何使用SSL对流量进行加密

将我们常用的http请求转变成https请求，那么这两个之间的区别简单的来说两个都是HTTP协议，只不过https是身披SSL外壳的http。

HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信，利用SSL/TLS建立全通信，加密数据包，确保数据的安全性。

SSL(Secure Sockets Layer)安全套接层

TLS(Transport Layer Security)传输层安全

上述这两个是为网络通信提供安全及数据完整性的一种安全协议，TLS和SSL在传输层和应用层对网络连接进行加密。

总结来说为什么要使用https：

http协议是明文传输数据，存在安全问题，而https是加密传输，相当于http+ssl，并且可以防止流量劫持。

Nginx要想使用SSL，需要满足一个条件即需要添加一个模块--with-http_ssl_module，而该模块在编译的过程中又需要OpenSSL的支持。

nginx添加SSL的支持

--with-http_ssl_module模块的增量添加

》将原有/usr/local/nginx/sbin/nginx进行备份
》拷贝nginx之前的配置信息
》在nginx的安装源码进行配置指定对应模块  ./configure --with-http_ssl_module
》通过make模板进行编译
》将objs下面的nginx移动到/usr/local/nginx/sbin下
》在源码目录下执行：make upgrade 进行升级，这个可以实现不停机添加新模块的功能

Nginx的SSL相关指令

指令都是通过ngx_http_ssl_module模块来解析的。

ssl

该指令用来在指定的服务器开启HTTPS，可以使用 listen 443 ssl，后面这种方式更通用些。

• 语法：

ssl on | off;

• 默认值：

ssl off;

• 位置：

http、server

server{
	listen 443 ssl;
}

---

ssl_certificate

为当前这个虚拟主机指定一个带有PEM格式证书的证书。

• 语法：

ssl_certificate file;

• 默认值：

—

• 位置：

http、server

---

ssl_certificate_key

该指令用来指定PEM secret key文件的路径。

• 语法：

ssl_ceritificate_key file;

• 默认值：

—

• 位置：

http、server

---

ssl_session_cache

该指令用来配置用于SSL会话的缓存。

• 语法：

ssl_sesion_cache off | none | [builtin[:size]] [shared:name:size]

• 默认值：

ssl_session_cache none;

• 位置：

http、server

指令选项	说明
off	禁用会话缓存，客户端不得重复使用会话
none	禁止使用会话缓存，客户端可以重复使用，但是并没有在缓存中存储会话参数
builtin	内置OpenSSL缓存，仅在一个工作进程中使用。
shared	所有工作进程之间共享缓存，缓存的相关信息用name和size来指定

---

ssl_session_timeout

开启SSL会话功能后，设置客户端能够反复使用储存在缓存中的会话参数时间。

• 语法：

ssl_session_timeout time;

• 默认值：

ssl_session_timeout 5m;

• 位置：

http、server

---

ssl_ciphers

指出允许的密码，密码指定为OpenSSL支持的格式

• 语法：

ssl_ciphers ciphers;

• 默认值：

ssl_ciphers HIGH:!aNULL:!MD5;

• 位置：

http、server

可以使用openssl ciphers查看openssl支持的格式。

---

ssl_prefer_server_ciphers

该指令指定是否服务器密码优先客户端密码

• 语法：

ssl_perfer_server_ciphers on | off;

• 默认值：

ssl_perfer_server_ciphers off;

• 位置：

http、server

---

生成证书

方式一：使用阿里云/腾讯云等第三方服务进行购买。

方式二：使用openssl生成证书

先要确认当前系统是否有安装openssl

openssl version

安装下面的命令进行生成

mkdir /root/cert
cd /root/cert
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

---

开启SSL实例

server {
    listen       443 ssl;
    server_name  localhost;
 
    ssl_certificate      server.cert;
    ssl_certificate_key  server.key;
 
    ssl_session_cache    shared:SSL:1m; # 共享SSL缓存大小1M
    ssl_session_timeout  5m; # 超时时间5分钟
 
    ssl_ciphers  HIGH:!aNULL:!MD5; # 允许的密码格式
    ssl_prefer_server_ciphers  on; # 是否服务器密码优先于客户端密码
 
    location / {
        root   html;
        index  index.html index.htm;
    }
}

---

反向代理系统调优

反向代理值Buffer和Cache

Buffer翻译过来是"缓冲"，Cache翻译过来是"缓存"。

总结下：

相同点:
两种方式都是用来提供IO吞吐效率，都是用来提升Nginx代理的性能。
 
不同点:
缓冲主要用来解决不同设备之间数据传递速度不一致导致的性能低的问题，缓冲中的数据一旦此次操作完成后，就可以删除。
缓存主要是备份，将被代理服务器的数据缓存一份到代理服务器，这样的话，客户端再次获取相同数据的时候，就只需要从代理服务器上获取，效率较高，缓存中的数据可以重复使用，只有满足特定条件才会删除.

Proxy Buffer相关指令

proxy_buffering

该指令用来开启或者关闭代理服务器的缓冲区；

• 语法：

proxy_buffering on | off;

• 默认值：

proxy_buffering on;

• 位置：

http、server、location

---

proxy_buffers

该指令用来指定单个连接从代理服务器读取响应的缓存区的个数和大小。

• 语法：

proxy_buffers number size;

• 默认值：

proxy_buffers 8 4k | 8K; (与系统平台有关)

• 位置：

http、server、location

指令选项	说明
number	缓冲区的个数
size	每个缓冲区的大小，缓冲区的总大小就是 number*size

---

proxy_buffer_size

该指令用来设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可，当然也可以更小。

• 语法：

proxy_buffer_size size;

• 默认值：

proxy_buffer_size 4k | 8k; (与系统平台有关)

• 位置：

http、server、location

---

proxy_busy_buffers_size

该指令用来限制同时处于BUSY状态的缓冲总大小。

• 语法：

proxy_busy_buffers_size size;

• 默认值：

proxy_busy_buffers_size 8k|16K;

• 位置：

http、server、location

---

proxy_temp_path

当缓冲区存满后，仍未被Nginx服务器完全接受，响应数据就会被临时存放在磁盘文件上，该指令设置文件路径。

• 语法：

proxy_temp_path path;

• 默认值：

proxy_temp_path proxy_temp;

• 位置：

http、server、location

注意path最多设置三层。

---

proxy_temp_file_write_size

该指令用来设置磁盘上缓冲文件的大小。

• 语法：

proxy_temp_file_write_size size;

• 默认值：

proxy_temp_file_write_size 8K|16K;

• 位置：

http、server、location

通用网站的配置：

proxy_buffering on;
proxy_buffer_size 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;

根据项目的具体内容进行相应的调节。