Linux-Nginx-反向代理篇-02

createh51天前技术教程6

1.反向代理概述

关于正向代理和反向代理,我们在前面的章节已经通过一张图给大家详细的介绍过了,简而言之就是正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者之间最大的区别。

Nginx即可以实现正向代理,也可以实现反向代理。

2.反向代理的配置语法

Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来我们把反向代理中的常用指令一一介绍下:

  1. proxy_pass
  2. proxy_set_header
  3. proxy_redirect

2.1 proxy_pass

该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。

URL:为要设置的被代理服务器地址,包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。

举例:

大家在编写proxy_pass的时候,后面的值要不要加"/"?

接下来通过例子来说明刚才我们提到的问题:

server { 
		listen 80; 
		server_name localhost; 
		
		location / { 
			#proxy_pass http://8.142.107.148; 
			proxy_pass http://8.142.107.148/; 
		}
}

当客户端访问
http://8.142.107.147/index.html,效果是一样的

server { 
	listen 80; 
	server_name localhost; 
	
	location /server { 
		#proxy_pass http://8.142.107.148; 
		proxy_pass http://8.142.107.148/; 
	}
}

当客户端访问
http://8.142.107.147/server/index.html这个时候,

第一个proxy_pass就变成了
http://8.142.107.148/server/index.html

第二个proxy_pass就变成了
http://8.142.107.148//index.html效果就不一样了。

说明 proxy_pass后面不加/ 就会拼接 location

加/ 就不会拼接location

总结:

1.proxy_pass代理地址端口后有目录(包括/),转发后地址:代理地址+访问URL目录部分去除location匹配目录

2.proxy_pass代理地址端口后无任何,转发后地址:代理地址+访问URL目录部分

2.2 proxy_set_header

该指令可以更改Nginx服务器接收到的客户端请求的请求头信息,然后将新的请求头发送给代理的服务器

需要注意的是,如果想要看到结果,必须在被代理的服务器上来获取添加的头信息。

被代理服务器: [8.142.107.148]

server {       
    listen 8080;       
    server_name localhost;       
    default_type text/plain;       
    return 200 $http_username;
}

代理服务器: [8.142.107.147]

server {       
    listen 8080;       
    server_name localhost;       
    location /server {               
        proxy_pass http://192.168.200.146:8080/;               
        proxy_set_header username TOM;       
    }  
}

访问测试

2.3 proxy_redirect

该指令是用来重置头信息中的"Location"和"Refresh"的值。

为什么要用该指令?

服务端[8.142.107.148]

server {   
    listen 8081;   
    server_name localhost;   
    # 如果访问的资源不存在,希望他访问首页
    if (!-f $request_filename){   
        return 302 http://8.142.107.148/;   
     }
}

代理服务端[8.142.107.147]

server { 
    listen 8081; 
    server_name localhost; 
    
    location / { 
        proxy_pass http://8.142.107.148:8081/; 
        proxy_redirect http://8.142.107.148 http://8.142.107.147; 
     }
}

该指令的几组选项:

2.3.1 proxy_redirect redirect replacement

redirect:目标,Location的值
replacement:要替换的值

2.3.2 proxy_redirect default

default;
将location块的uri变量作为replacement,
将proxy_pass变量作为redirect进行替换

2.3.3 proxy_redirect off

关闭proxy_redirect的功能

3.反向代理实战

服务器1,2,3存在两种情况

1.第一种情况: 三台服务器的内容不一样。
2.第二种情况: 三台服务器的内容是一样。
  1. 如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。

代理服务器

server {       
	listen         8082;       
	server_name     localhost;      
	
	location /server1 {               
		proxy_pass http://192.168.200.146:9001/;       
	}       
	
	location /server2 {               
		proxy_pass http://192.168.200.146:9002/;       
	}       
	
	location /server3 {               
		proxy_pass http://192.168.200.146:9003/;       
	}
}

服务端

#server1
server {       
	listen         9001;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '<h1>192.168.200.146:9001</h1>'
}
	
#server2
server {       
	listen         9002;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '<h1>192.168.200.146:9002</h1>'
}

#server3
server {       
	listen         9003;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '<h1>192.168.200.146:9003</h1>'
}
  1. 如果服务器1、服务器2和服务器3的内容是一样的,该如何处理?

4.安全控制

关于web服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢?

安全隔离:

通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。

4.1 nginx添加SSL的支持

4.1.1 完成 --with-http_ssl_module模块的增量添加

1.将原有/usr/local/nginx/sbin/nginx进行备份
2.拷贝nginx之前的配置信息
3.在nginx的安装源码进行配置指定对应模块 ./configure --with-http_ssl_module
4.通过make模板进行编译
5.将objs下面的nginx移动到/usr/local/nginx/sbin下
6.在源码目录下执行 make upgrade进行升级,这个可以实现不停机添加新模块的功能

4.1.2 Nginx的SSL相关指令

4.1.2.1 ssl

该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。

server { 
  listen 443 ssl;
}

4.1.2.2 ssl_certificate

为当前这个虚拟主机指定一个带有PEM格式证书的证书。

4.1.2.3 ssl_certificate_key

该指令用来指定PEM secret key文件的路径

4.1.2.4 ssl_session_cache

该指令用来配置用于SSL会话的缓存

  1. off:禁用会话缓存,客户端不得重复使用会话
  2. none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数
  3. builtin:内置OpenSSL缓存,仅在一个工作进程中使用
  4. shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定

4.1.2.5 ssl_session_timeout

开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间

4.1.2.6 ssl_ciphers

指出允许的密码,密码指定为OpenSSL支持的格式

可以使用openssl ciphers查看openssl支持的格式。

4.1.2.7 ssl_prefer_server_ciphers

该指令指定是否服务器密码优先客户端密码

4.1.3 生成证书

  1. 方式一:使用阿里云/腾讯云等第三方服务进行购买。
  2. 方式二:使用openssl生成证书

先要确认当前系统是否有安装openssl

安装下面的命令进行生成

mkdir /root/cert
cd /root/cert
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

4.1.4 开启SSL实例

4.1.4.1 单独配置HTTPS

部分支持https,其余的保留http

server {   
    listen       443 ssl;   
    server_name localhost;   
    ssl_certificate     /root/cert/server.crt;
    ssl_certificate_key /root/cert/server.key;  
    ssl_session_cache   shared:SSL:1m;   
    ssl_session_timeout 5m;   
    ssl_ciphers HIGH:!aNULL:!MD5;   
    ssl_prefer_server_ciphers on;   
    
    # /abc是https
    location /abc {
        default_type text/plain;
        return 200 "access success";
    }
}

# 其余的是http
server {
    listen       80;
    location / {
        root   html;
        index  index.html index.htm;
    }

    location /proxy8081/ {
         proxy_pass http://121.199.0.238:8081/;
    }
}

注意:防火墙需要开启443


4.1.4.2 配置访问http将转到https

常常用于把原来的http扩展为https

server {   
    listen       80;
    listen       443 ssl;   
    server_name localhost;   
    ssl_certificate     /root/cert/server.crt;
    ssl_certificate_key /root/cert/server.key;  
    ssl_session_cache   shared:SSL:1m;   
    ssl_session_timeout 5m;   
    ssl_ciphers HIGH:!aNULL:!MD5;   
    ssl_prefer_server_ciphers on;  
    
    #http请求转到https
    if ($scheme != https) { 
        rewrite ^(.*)$  https://$host$1 permanent;
    }
    
    location / {       
        root   html;       
        index index.html index.htm;   
    }
}

相关文章

Nginx 从安装到高可用入门教程

Nginx安装1、去官网http://nginx.org/下载对应的nginx包,推荐使用稳定版本2、上传nginx到linux系统3、安装依赖环境(1)安装gcc环境yum install gcc-...

Nginx从安装到高可用,一篇搞定

一、Nginx安装1、去官网http://nginx.org/下载对应的nginx包,推荐使用稳定版本2、上传nginx到linux系统3、安装依赖环境(1)安装gcc环境yum install gc...

Nginx合集-常用功能指导

1)启动、重启以及停止nginx进入sbin目录之后,输入以下命令#启动nginx ./nginx #指定配置文件启动nginx ./nginx -c /usr/local/nginx/conf/n...

Nginx的启动、停止与重启方法

启动 启动代码格式:nginx安装目录地址 -c nginx配置文件地址例如:[root@LinuxServer sbin]# /usr/local/nginx/sbin/nginx -c /usr/...

nginx启动、重启、关闭

一、启动cd usr/local/nginx/sbin./nginx二、重启更改配置重启nginxkill -HUP 主进程号或进程号文件路径或者使用cd /usr/local/nginx/sbin....

老版本nginx存在安全漏洞,请升级至1.18稳定版本

1、场景介绍部门承接了XXX局的安全防控系统,物理机部署在本地XX云上,web服务器使用nginx服务,采用动静分离的部署方式,nginx版本1.14,应XX云安全检测要求现版本暴出漏洞,需要进行版本...

蜀ICP备2024111239号-3