当前位置:首页 > 技术文章 > 正文内容

Linux-Nginx-反向代理篇-02(nginx反向代理命令)

arlanguage3个月前 (01-31)技术文章33

1.反向代理概述

关于正向代理和反向代理,我们在前面的章节已经通过一张图给大家详细的介绍过了,简而言之就是正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者之间最大的区别。

Nginx即可以实现正向代理,也可以实现反向代理。

2.反向代理的配置语法

Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来我们把反向代理中的常用指令一一介绍下:

  1. proxy_pass
  2. proxy_set_header
  3. proxy_redirect

2.1 proxy_pass

该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。

URL:为要设置的被代理服务器地址,包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。

举例:

大家在编写proxy_pass的时候,后面的值要不要加"/"?

接下来通过例子来说明刚才我们提到的问题:

server { 
		listen 80; 
		server_name localhost; 
		
		location / { 
			#proxy_pass http://8.142.107.148; 
			proxy_pass http://8.142.107.148/; 
		}
}

当客户端访问http://8.142.107.147/index.html,效果是一样的

server { 
	listen 80; 
	server_name localhost; 
	
	location /server { 
		#proxy_pass http://8.142.107.148; 
		proxy_pass http://8.142.107.148/; 
	}
}

当客户端访问 http://8.142.107.147/server/index.html这个时候,

第一个proxy_pass就变成了http://8.142.107.148/server/index.html

第二个proxy_pass就变成了http://8.142.107.148//index.html效果就不一样了。

说明 proxy_pass后面不加/ 就会拼接 location

加/ 就不会拼接location

总结:

1.proxy_pass代理地址端口后有目录(包括/),转发后地址:代理地址+访问URL目录部分去除location匹配目录

2.proxy_pass代理地址端口后无任何,转发后地址:代理地址+访问URL目录部分

2.2 proxy_set_header

该指令可以更改Nginx服务器接收到的客户端请求的请求头信息,然后将新的请求头发送给代理的服务器

需要注意的是,如果想要看到结果,必须在被代理的服务器上来获取添加的头信息。

被代理服务器: [8.142.107.148]

server {       
    listen 8080;       
    server_name localhost;       
    default_type text/plain;       
    return 200 $http_username;
}

代理服务器: [8.142.107.147]

server {       
    listen 8080;       
    server_name localhost;       
    location /server {               
        proxy_pass http://192.168.200.146:8080/;               
        proxy_set_header username TOM;       
    }  
}

访问测试

2.3 proxy_redirect

该指令是用来重置头信息中的"Location"和"Refresh"的值。

为什么要用该指令?

服务端[8.142.107.148]

server {   
    listen 8081;   
    server_name localhost;   
    # 如果访问的资源不存在,希望他访问首页
    if (!-f $request_filename){   
        return 302 http://8.142.107.148/;   
     }
}

代理服务端[8.142.107.147]

server { 
    listen 8081; 
    server_name localhost; 
    
    location / { 
        proxy_pass http://8.142.107.148:8081/; 
        proxy_redirect http://8.142.107.148 http://8.142.107.147; 
     }
}

该指令的几组选项:

2.3.1 proxy_redirect redirect replacement

redirect:目标,Location的值
replacement:要替换的值

2.3.2 proxy_redirect default

default;
将location块的uri变量作为replacement,
将proxy_pass变量作为redirect进行替换

2.3.3 proxy_redirect off

关闭proxy_redirect的功能

3.反向代理实战

服务器1,2,3存在两种情况

1.第一种情况: 三台服务器的内容不一样。
2.第二种情况: 三台服务器的内容是一样。
  1. 如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。

代理服务器

server {       
	listen         8082;       
	server_name     localhost;      
	
	location /server1 {               
		proxy_pass http://192.168.200.146:9001/;       
	}       
	
	location /server2 {               
		proxy_pass http://192.168.200.146:9002/;       
	}       
	
	location /server3 {               
		proxy_pass http://192.168.200.146:9003/;       
	}
}

服务端

#server1
server {       
	listen         9001;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '<h1>192.168.200.146:9001</h1>'
}
	
#server2
server {       
	listen         9002;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '<h1>192.168.200.146:9002</h1>'
}

#server3
server {       
	listen         9003;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '<h1>192.168.200.146:9003</h1>'
}
  1. 如果服务器1、服务器2和服务器3的内容是一样的,该如何处理?

4.安全控制

关于web服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢?

安全隔离:

通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。

4.1 nginx添加SSL的支持

4.1.1 完成 --with-http_ssl_module模块的增量添加

1.将原有/usr/local/nginx/sbin/nginx进行备份
2.拷贝nginx之前的配置信息
3.在nginx的安装源码进行配置指定对应模块 ./configure --with-http_ssl_module
4.通过make模板进行编译
5.将objs下面的nginx移动到/usr/local/nginx/sbin下
6.在源码目录下执行 make upgrade进行升级,这个可以实现不停机添加新模块的功能

4.1.2 Nginx的SSL相关指令

4.1.2.1 ssl

该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。

server { 
  listen 443 ssl;
}

4.1.2.2 ssl_certificate

为当前这个虚拟主机指定一个带有PEM格式证书的证书。

4.1.2.3 ssl_certificate_key

该指令用来指定PEM secret key文件的路径

4.1.2.4 ssl_session_cache

该指令用来配置用于SSL会话的缓存

  1. off:禁用会话缓存,客户端不得重复使用会话
  2. none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数
  3. builtin:内置OpenSSL缓存,仅在一个工作进程中使用
  4. shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定

4.1.2.5 ssl_session_timeout

开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间

4.1.2.6 ssl_ciphers

指出允许的密码,密码指定为OpenSSL支持的格式

可以使用openssl ciphers查看openssl支持的格式。

4.1.2.7 ssl_prefer_server_ciphers

该指令指定是否服务器密码优先客户端密码

4.1.3 生成证书

  1. 方式一:使用阿里云/腾讯云等第三方服务进行购买。
  2. 方式二:使用openssl生成证书

先要确认当前系统是否有安装openssl

安装下面的命令进行生成

mkdir /root/cert
cd /root/cert
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

4.1.4 开启SSL实例

4.1.4.1 单独配置HTTPS

部分支持https,其余的保留http

server {   
    listen       443 ssl;   
    server_name localhost;   
    ssl_certificate     /root/cert/server.crt;
    ssl_certificate_key /root/cert/server.key;  
    ssl_session_cache   shared:SSL:1m;   
    ssl_session_timeout 5m;   
    ssl_ciphers HIGH:!aNULL:!MD5;   
    ssl_prefer_server_ciphers on;   
    
    # /abc是https
    location /abc {
        default_type text/plain;
        return 200 "access success";
    }
}

# 其余的是http
server {
    listen       80;
    location / {
        root   html;
        index  index.html index.htm;
    }

    location /proxy8081/ {
         proxy_pass http://121.199.0.238:8081/;
    }
}

注意:防火墙需要开启443


4.1.4.2 配置访问http将转到https

常常用于把原来的http扩展为https

server {   
    listen       80;
    listen       443 ssl;   
    server_name localhost;   
    ssl_certificate     /root/cert/server.crt;
    ssl_certificate_key /root/cert/server.key;  
    ssl_session_cache   shared:SSL:1m;   
    ssl_session_timeout 5m;   
    ssl_ciphers HIGH:!aNULL:!MD5;   
    ssl_prefer_server_ciphers on;  
    
    #http请求转到https
    if ($scheme != https) { 
        rewrite ^(.*)$  https://$host$1 permanent;
    }
    
    location / {       
        root   html;       
        index index.html index.htm;   
    }
}

扫描二维码推送至手机访问。

版权声明:本文由AR编程网发布,如需转载请注明出处。

本文链接:http://www.arlanguage.com/post/1559.html

标签: https nginx 反向代理
分享给朋友:
返回列表

上一篇:HTTPS配置实战(https如何配置)

下一篇:如何在Spring Boot中实现HTTPS的请求处理?

“Linux-Nginx-反向代理篇-02(nginx反向代理命令)” 的相关文章

Nginx日志切割方法(包含docker容器中nginx日志的切割)

logrotate软件简介logrotate 是一个 Bash 的 SHELL 脚本,可对日志文件进行切分,并将切分后的日志放在统一目录。logrotate 要求 GNU bash、GNU gzip 和 GNU date。logrotate 实用程序旨在简化在生成大量日志文件的系统上对日志文件的管理...

K8S中Service使用nginx控制器实现Ingress负载均衡器的一个Demo

写在前面学习K8s中Service遇到,单独整理分享给小伙伴本文内容涉及:ingress-nginx-controller的创建基于ingress-nginx-controller的Ingress的创建基于Ingress的服务发布,SVC负载时间关系,关于Ingresshttp路由负载本文没有涉及部...

全网最新最全的Docker命令大集合,收藏备用!

Docker 是一个开源的平台,用于自动化应用程序的部署、扩展和管理。它使得开发者能够打包应用及其依赖项到一个轻量级的容器中,并在任何环境中快速运行。掌握 Docker 的常用命令可以大大提高你的工作效率,尤其是在开发、测试和部署阶段。本文将详细介绍 Docker 的常用命令,涵盖从基本操作到高级使...

平稳运行半年的系统宕机了,记录一次排错调优的全过程

(一)前言最近发生了一件很让人头疼的事情,已经上线半年且平稳运行半年系统在年后早高峰的使用时发生了濒临宕机的情况。访问速度特别慢,后台查到大量time_wait的连接,从代码层面到架构层面到网络层面排查了几天几夜,总算是有了结果。(二)架构、问题描述先简单描述一下这个系统的架构,公网域名对应的公网I...

C# 实现高并发 Web 应用的性能优化秘籍

在现代的互联网应用中,尤其是大型 Web 应用,性能和可扩展性成为了核心竞争力。随着用户访问量和数据量的增大,高并发处理成为了系统稳定性和响应速度的关键因素。无论是电商平台、社交网站还是 SaaS 应用,如何应对海量用户的同时访问,确保系统高效运转,已经成为了技术人员面临的重要挑战。C# 和 ASP...

高性能Linux服务器构建实战:运维监控、性能调优与集群应用

百万级字迹详解实战案例,篇幅因素故只展现pdf目录,完整解析获取方式在篇尾了!目录读者对象Web应用篇(1至第3章)数据备份恢复篇(4至第6章)网络存储应用篇(7和第8章)运维监控与性能优化篇(9和第10章)集群高级应用篇(11至第14章)勘误和支持第1篇 Web应用篇1 、轻量级HTTP服务器Ng...

滇ICP备2024046894号-3