Nginx---反向代理,SSL支持

Posted 大忽悠爱忽悠

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Nginx---反向代理,SSL支持相关的知识,希望对你有一定的参考价值。


Nginx反向代理

关于正向代理和反向代理,我们在前面的章节已经通过一张图给大家详细的介绍过了,

简而言之就是正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者之间最大的区别。


Nginx实现正向代理

Nginx可以实现正向代理,也可以实现反向代理。

我们先来通过一个小案例演示下Nginx正向代理的简单应用。

先提需求:


(1)服务端的设置:

http {
  log_format main 'client send request=>clientIp=$remote_addr serverIp=>$host';
	server{
		listen 80;
		server_name	localhost;
		access_log logs/access.log main;
		location {
			root html;
			index index.html index.htm;
		}
	}
}

(2)使用客户端访问服务端,打开日志查看结果


(3)代理服务器设置:

server {
        listen  82;
        resolver 8.8.8.8; #设置DNS的ip,主要用来解析proxy_pass中的域名
        location /{
                proxy_pass http://$host$request_uri;
        }
    }

(4)查看代理服务器的IP(192.168.200.146)和Nginx配置监听的端口(82)

(5)在客户端配置代理服务器,告诉客户端代理服务器的ip和端口是多少


(6)设置完成后,再次通过浏览器访问服务端


通过对比,上下两次的日志记录,会发现虽然我们是客户端访问服务端,但是如果使用了代理,那么服务端能看到的只是代理发送过去的请求,这样的化,就使用Nginx实现了正向代理的设置。

正向代理向服务端隐藏了客户端

但是Nginx正向代理,在实际的应用中不是特别多,所以我们简单了解下,接下来我们继续学习Nginx的反向代理,这是Nginx比较重要的一个功能。


Nginx反向代理的配置语法

Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来我们把反向代理中的常用指令一一介绍下:

proxy_pass
proxy_set_header
proxy_redirect

通过反向代理,可以实现对于客户端来说,服务端的隐藏


proxy_pass指令

该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。

语法proxy_pass URL;
默认值
位置location

URL:为要设置的被代理服务器地址,包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。

举例:

#当我们访问代理服务器时,页面上显示的是代理服务器的ip,但是请求被分发到了被代理的真实服务器上
location /server
{
#分发请求到百度
 proxy_pass http://www.baidu.com;
}

大家在编写proxy_pass的时候,后面的值要不要加"/"?

#没加
proxy_pass http://192.168.200.146;
#被代理的真实服务器接受到代理服务器发来的请求
    http://192.168.200.146/server/index.html
#加了    
proxy_pass http://192.168.200.146/;
# 被代理的真实服务器接受到代理服务器发来的请求   
    http://192.168.200.146/index.html

接下来通过例子来说明刚才我们提到的问题:

server {
	listen 80;
	server_name localhost;
	location /{
		#proxy_pass http://192.168.200.146;
		proxy_pass http://192.168.200.146/;
	}
}
当客户端访问 http://localhost/index.html,效果是一样的
server{
	listen 80;
	server_name localhost;
	location /server{
		#proxy_pass http://192.168.200.146;
		proxy_pass http://192.168.200.146/;
	}
}
当客户端访问 http://localhost/server/index.html
这个时候,第一个proxy_pass就变成了http://localhost/server/index.html
第二个proxy_pass就变成了http://localhost/index.html效果就不一样了。

不加了/,拼接location的uri,
加了/,不拼接


proxy_set_header指令—向服务端发送客户端的ip等

该指令可以更改Nginx服务器接收到的客户端请求的请求头信息,然后将新的请求头发送给代理的服务器

语法proxy_set_header field value;
默认值proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
位置http、server、location

需要注意的是,如果想要看到结果,必须在被代理的服务器上来获取添加的头信息。

$http_xxx获取请求头中自定义xxx的值

被代理服务器: [192.168.200.146]

server {
        listen  8080;
        server_name localhost;
        default_type text/plain;
        #获取请求头里面username对应的值
        return 200 $http_username;
}

代理服务器: [192.168.200.133]

server {
        listen  8080;
        server_name localhost;
        location /server {
                proxy_pass http://192.168.200.146:8080/;
                #修改请求头,添加一个username,值为TOM
                proxy_set_header username TOM;
        }
    }

proxy_redirect指令

该指令是用来重置头信息中的"Location"和"Refresh"的值。

语法proxy_redirect redirect replacement;
proxy_redirect default;
proxy_redirect off;
默认值proxy_redirect default;
位置http、server、location

》为什么要用该指令?


此时,如果abc.html文件不存在,那么我们想要其重定向到真实服务器的默认主页,并且页面ip显示依然是代理服务器的ip

先看下面方案的问题:

服务端[192.168.200.146]

server {
    listen  8081;
    server_name localhost;
    #如果请求文件不存在,就重定向到http://192.168.112.132
    if (!-f $request_filename){
    	return 302 http://192.168.112.132;
    }
}

代理服务端[192.168.200.133]

server {
	listen  8081;
	server_name localhost;
	location / {
	   #将请求转发给被代理的服务器
		proxy_pass http://192.168.200.132:8081/;
	}
}

首先我们输入代理服务器的ip,访问abc.html

如我们所愿,因为在真实服务器没有找到abc.html,因此会重定向到http://192.168.112.132,显示默认的主页,但是此时的问题是,页面显示的ip是真实服务器的,而不是代理服务器的


如何在重定向后,还是隐藏真实服务器的ip,显示代理服务器的ip呢?

proxy_redirect

该指令是用来重置头信息中的"Location"和"Refresh"的值。

代理服务器[192.168.112.133]

  server {
        listen  8081;
        server_name localhost;
        location / {
        #将请求转发给被代理的服务器
                proxy_pass http://192.168.112.132:8081/;
                #这里会将真实服务器的重定向uri换成http://192.168.112.133/
                #但是此时重定向的主页是代理服务器的,因此还需要修改代理服务器默认的跳转
                proxy_redirect http://192.168.112.132  http://192.168.112.133/;
        }
}

#修改代理服务器默认的跳转
    server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
 #           root   html;
  #          index  index.html index.htm;
  #修改代理服务器默认的跳转
             proxy_pass http://192.168.112.132/;
     }
     
     }

真实服务器[192.168.112.132]

server {
    listen  8081;
    server_name localhost;
    #如果请求文件不存在,就重定向到http://192.168.112.132
    if (!-f $request_filename){
    	return 302 http://192.168.112.132;
    }
}



小细节,注意 ‘/’

代理服务器的Location --->http://192.168.112.132
proxy_redirect http://192.168.112.132  http://192.168.112.133/;
真实服务器的--->http://192.168.112.132
return 302 http://192.168.112.132;
如果其中一个是http://192.168.112.132/
另一个是http://192.168.112.132
会失效

该指令的几组选项

proxy_redirect redirect replacement;

redirect:目标,Location的值
replacement:要替换的值

proxy_redirect default;

default;
将location块的uri变量作为replacement,
将proxy_pass变量作为redirect进行替换

proxy_redirect off;

关闭proxy_redirect的功能

Nginx反向代理实战


服务器1,2,3存在两种情况

第一种情况: 三台服务器的内容不一样。
第二种情况: 三台服务器的内容是一样。

1.如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。

代理服务器
server {
        listen          8082;
        server_name     localhost;
        location /server1 {
                proxy_pass http://192.168.200.146:9001/;
        }
        location /server2 {
                proxy_pass http://192.168.200.146:9002/;
        }
        location /server3 {
                proxy_pass http://192.168.200.146:9003/;
        }
}

服务端
server1
server {
        listen          9001;
        server_name     localhost;
        default_type text/html;
        return 200 '<h1>192.168.200.146:9001</h1>'
}
server2
server {
        listen          9002;
        server_name     localhost;
        default_type text/html;
        return 200 '<h1>192.168.200.146:9002</h1>'
}
server3
server {
        listen          9003;
        server_name     localhost;
        default_type text/html;
        return 200 '<h1>192.168.200.146:9003</h1>'
}

2.如果服务器1、服务器2和服务器3的内容是一样的,该如何处理?

负载均衡,后面会重点说明


Nginx的安全控制

关于web服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢?

安全隔离

什么是安全隔离?

通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。


如何使用SSL对流量进行加密

翻译成大家能熟悉的说法就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单的来说两个都是HTTP协议,只不过https是身披SSL外壳的http.

HTTPS是一种通过计算机网络进行安全通信的传输协议。它经由HTTP进行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。

SSL(Secure Sockets Layer)安全套接层

TLS(Transport Layer Security)传输层安全

上述这两个是为网络通信提供安全及数据完整性的一种安全协议,TLS和SSL在传输层和应用层对网络连接进行加密。

总结来说为什么要使用https:

http协议是明文传输数据,存在安全问题,而https是加密传输,相当于http+ssl,并且可以防止流量劫持。

Nginx要想使用SSL,需要满足一个条件即需要添加一个模块--with-http_ssl_module,而该模块在编译的过程中又需要OpenSSL的支持,这个我们之前已经准备好了。


nginx添加SSL的支持

(1)完成 --with-http_ssl_module模块的增量添加

》将原有/usr/local/nginx/sbin/nginx进行备份
》拷贝nginx之前的配置信息
》在nginx的安装源码进行配置指定对应模块  ./configure --with-http_ssl_module
》通过make模板进行编译
》将objs下面的nginx移动到/usr/local/nginx/sbin下
》在源码目录下执行  make upgrade进行升级,这个可以实现不停机添加新模块的功能

yum安装的已经添加了SSL支持,不需要手动添加


Nginx的SSL相关指令

因为刚才我们介绍过该模块的指令都是通过ngx_http_ssl_module模块来解析的。

ssl:该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。

语法ssl on | off;
默认值ssl off;
位置http、server
server{
	listen 443 ssl;
}

ssl_certificate:为当前这个虚拟主机指定一个带有PEM格式证书的证书。

语法ssl_certificate file;
默认值
位置http、server

ssl_certificate_key:该指令用来指定PEM secret key文件的路径

语法ssl_ceritificate_key file;
默认值
位置http、server

ssl_session_cache:该指令用来配置用于SSL会话的缓存

语法ssl_sesion_cache off|none|[builtin[:size]] [shared:name:size]
默认值ssl_session_cache none;
位置http、server

off:禁用会话缓存,客户端不得重复使用会话

none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数

builtin:内置OpenSSL缓存,仅在一个工作进程中使用。

shared:所有工作进程之间共享缓存,缓存的相关信息用namesize来指定

ssl_session_timeout:开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间。

语法ssl_session_timeout time;
默认值ssl_session_timeout 5m;
位置http、server

ssl_ciphers:指出允许的密码,密码指定为OpenSSL支持的格式

语法ssl_ciphers ciphers;
默认值ssl_ciphers HIGH:!aNULL:!MD5;
位置http、server

可以使用openssl ciphers查看openssl支持的格式。

ssl_prefer_server_ciphers:该指令指定是否服务器密码优先客户端密码

语法ssl_perfer_server_ciphers on|off;
默认值ssl_perfer_server_ciphers off;
位置http、server

生成证书

方式一:使用阿里云/腾讯云等第三方服务进行购买。

具体购买,绑定域名的方式,这里不展开论述,大家可以自行查找资料

方式二:使用openssl生成证书

先要确认当前系统是否有安装openssl

openssl version

按照下面的命令进行生成

mkdir /root/cert
cd /root/cert
#生成对应的key,加密方式:genrsa  采用的方式: -des3 输出为一个server.key: -out  长度越长,加密越细
openssl genrsa -des3 -out server.key 1024
#生成一个csr文件,执行完下面的信息,需要进行一些身份校验,类似阿里云,不过阿里云是实时校验,而这里不会
openssl req -new -key server.key -out server.csr
#复制文件
cp server.key server.key.org
#再进行一次加密操作
openssl rsa -in server.key.org -out server.key
#生成对应的秘钥文件
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

注意: openssl genrsa -des3 -out server.key 1024这里的长度可以调整为2048,否则nginx -t可能或报错

这里需要输入一个密码

查看生成的文件:


开启SSL实例

server {
    listen       443 ssl;
    #在443后面加了ssl,就不需要在写ssl on
    server_name  localhost;

    ssl_certificate      server.cert;#cert文件的路径
    ssl_certificate_key  server.key;#key文件的路径
    
   #ssl会话缓存---->shared:所有工作进程之间共享缓存
   #SSL:缓存的名称  1m:缓存的大小 m是兆
    ssl_session_cache    shared:SSL:1m;
    #超时时间 5分钟
    ssl_session_timeout  5m;

#满足的密码格式
    ssl_ciphers  HIGH:!aNULL:!MD5;
#是否优先使用服务器端的密码
    ssl_prefer_server_ciphers  on;


    location / {
        root   html;
        index  index.html index.htm;
    }
}

如果证书没有认证,会显示不安全


反向代理系统调优

反向代理值Buffer和Cache

Buffer翻译过来是"缓冲",Cache翻译过来是"缓存"。


总结下:

相同点:
两种方式都是用来提供IO吞吐效率,都是用来提升Nginx代理的性能。
不同点:
缓冲主要用来解决不同设备之间数据传递速度不一致导致的性能低的问题,缓冲中的数据一旦此次操作完成后,就可以删除。
缓存主要是备份,将被代理服务器的数据缓存一份到代理服务器,这样的话,
客户端再次获取相同数据的时候,就只需要从代理服务器上获取,效率较高,缓存中的数据可以重复使用,只有满足特定条件才会删除.

(1)Proxy Buffer相关指令

proxy_buffering :该指令用来开启或者关闭代理服务器的缓冲区,默认开启;

语法proxy_buffering on|off;
默认值proxy_buffering on;
位置http、server、location

proxy_buffers:该指令用来指定单个连接从代理服务器读取响应的缓存区的个数和大小,默认值即可。

语法proxy_buffers number size;
默认值proxy_buffers 8 4k | 8K;(与系统平台有关)
位置http、server、location

number:缓冲区的个数

size:每个缓冲区的大小,缓冲区的总大小就是number*size

proxy_buffer_size:该指令用来设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可,当然也可以更小,采用默认值即可。

语法proxy_buffer_size size;
默认值proxy_buffer_size 4k | 8k;(与系统平台有关)
位置http、server、location

proxy_busy_buffers_size:该指令用来限制同时处于BUSY状态的缓冲总大小,默认即可。

语法proxy_busy_buffers_size size;
默认值proxy_busy_buffers_size 8k|16K;
位置http、server、location

proxy_temp_path:当缓冲区存满后,仍未被Nginx服务器完全接受,响应数据就会被临时存放在磁盘文件上,该指令设置文件路径,防止数据丢失

语法proxy_temp_path path;
默认值proxy_temp_path proxy_temp;
位置http、server、location

注意path最多设置三层。

proxy_temp_file_write_size:该指令用来设置磁盘上缓冲文件的大小,默认即可。

语法proxy_temp_file_write_size size;
默认值proxy_temp_file_write_size 8K|16K;
位置http、server、location

通用网站的配置

proxy_buffering on;
proxy_buffer_size 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;

根据项目的具体内容进行相应的调节。

以上是关于Nginx---反向代理,SSL支持的主要内容,如果未能解决你的问题,请参考以下文章

设置好 NGINX 反向代理后,如何在引入 NGINX 反向代理的 NGINX 上配置 SSL 直通? [复制]

Nginx部署SSL证书反向代理

带有两种 SSL 到 weblogic 的 nginx 反向代理

使用SSL配置nginx反向代理时出现400错误请求错误。

无法使用 Nginx(反向代理+SSL 协商)和 Tomcat 上传大文件

Heroku 的 Nginx 反向代理失败 SSL 握手