nginx访问控制、用户认证、https、负载均衡

已于 2024-09-01 15:55:34 修改
阅读量447 收藏
点赞数 2
文章标签: nginx https 运维
于 2024-08-26 19:37:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75912662/article/details/141571028
版权

nginx访问控制

用于location段

Allow:设定允许哪台或哪些主机访问,多个参数间用空格隔开

Deny:设定禁止那台或哪些主机访问,多个参数间用空格隔开

//deny
[root@nginx ~]# vim /usr/local/nginx/conf/nginx.conf
        location /status {
                echo "lisy";
                deny 192.168.35.143;
        }
[root@nginx ~]# nginx -s reload
//验证
[root@test ~]# curl http://192.168.35.142/status
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.24.0</center>
</body>
</html>

//开启stub_status模块,stub_status模块主要作用于查看nginx的一些状态信息
[root@nginx ~]# vim /usr/local/nginx/conf/nginx.conf
        location /status {
                echo "lisy";
                stub_status on;
        }

[root@nginx ~]# nginx -s reload
//查看状态信息
[root@test ~]# curl http://192.168.35.142/status
Active connections: 1 
server accepts handled requests
 19 19 19 
Reading: 0 Writing: 1 Waiting: 0
//Active connections:当前nginx正在处理的活动连接数
//Server accepts handled requests:nginx总共处理了63个连接,成功创建63次握手,总共处理了62个请求
//Reading:nginx读取到客户端的Header信息数
//Writing:nginx返回给客户端的eader信息数
//Waiting:开启keep-alive的情况下,这个值等于active-(reading+writing),意思就是nginx已经处理完成,正在等候下一次请求指令的驻留连接。所以,在访问效率高、请求很快就被处理完毕的情况下,waiting数比较多是正常的。如果reading+writing数较多,则说明并发访问量非常大,正在处理过程中。

//allow和deny同时存在时
[root@nginx ~]# vim /usr/local/nginx/conf/nginx.conf
        location /status {
                echo "lisy";
                allow 192.168.35.143;
                deny all;
        }
[root@nginx ~]# nginx -s reload
//验证
[root@test ~]# curl http://192.168.35.142/status
lisy
[root@test2 ~]# curl http://192.168.35.142/status
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.24.0</center>
</body>
</html>

用户认证

//安装httpd-tools软件包
[root@nginx ~]# yum -y install httpd-tools

//创建用户密钥文件
[root@nginx ~]# htpasswd -c -m /usr/local/nginx/conf/.user_auth_file lsy123
New password: 
Re-type new password: 
Adding password for user lsy123

//配置nginx(注意auth_basic_user_file必须用绝对路径)
[root@nginx conf]# vim nginx.conf
[root@nginx conf]# nginx -s reload

验证 

 

 https配置

//环境准备
//nginx/example.com 192.168.35.142
//test.example.com 192/168.35.143

//tesr主机
//在CA服务器中生成一对密钥
[root@test ~]# mkdir  -p  /etc/pki/CA/private
[root@test ~]# cd /etc/pki/CA/
[root@test CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)[root@test CA]# ls
private
[root@test CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 1024
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:huayu
Organizational Unit Name (eg, section) []:linux
Common Name (eg, your name or your server's hostname) []:lsy
Email Address []:lsy@example.com

//nginx主机
//在nginix中生成证书签署请求,发送给CA
[root@nginx conf]# (umask 077;openssl genrsa -out httpd.key 2048)
[root@nginx conf]# openssl req -new -key httpd.key -days 1024 -out httpd.csr
Ignoring -days without -x509; not generating a certificate
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:HB
Locality Name (eg, city) [Default City]:WH
Organization Name (eg, company) [Default Company Ltd]:huayu
Organizational Unit Name (eg, section) []:linux
Common Name (eg, your name or your server's hostname) []:lsy
Email Address []:lsy@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

//将证书发送给test主机,在test主机中查看
[root@nginx conf]# scp httpd.csr root@192.168.35.143:/root/
[root@test ~]# ls
anaconda-ks.cfg  httpd.csr

//test主机签署证书
[root@test ~]# mkdir /etc/pki/CA/newcerts
[root@test ~]# touch /etc/pki/CA/index.txt
[root@test ~]# echo "01" > /etc/pki/CA/serial
[root@test ~]# openssl ca -in httpd.csr -out httpd.crt -days 1024
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Aug 26 11:27:32 2024 GMT
            Not After : Jun 16 11:27:32 2027 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = HB
            organizationName          = huayu
            organizationalUnitName    = linux
            commonName                = lsy
            emailAddress              = lsy@example.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Subject Key Identifier: 
                2D:35:3F:B7:26:D7:F1:DE:2C:8D:DC:E7:DC:5C:0E:EB:C3:C7:70:E4
            X509v3 Authority Key Identifier: 
                E6:16:C5:70:7C:2D:BC:B8:A2:60:18:C9:5A:4C:32:1D:5E:F6:94:FF
Certificate is to be certified until Jun 16 11:27:32 2027 GMT (1024 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@test ~]# ls
anaconda-ks.cfg  httpd.crt  httpd.csr

//将签署的证书httpd.crt和服务器的证书cacert.pem发送给nginx
[root@ca ~]# scp httpd.crt root@192.168.35.142:/usr/local/nginx/conf/ 
[root@ca ~]# scp /etc/pki/CA/cacert.pem root@192.168.35.142:/usr/local/nginx/conf/

//nginx主机配置https
[root@nginx conf]# vim nginx.conf
   server {
        listen       443 ssl;
        server_name  localhost;
        ssl_certificate httpd.crt;
        ssl_certificate_key httpd.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
                root    html;                index   index.html index.htm;
        }

//nginx -t 测试配置文件
[root@nginx conf]# nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

//编辑测试网页,重载服务,验证
[root@nginx conf]# cd /usr/local/nginx/html/
[root@nginx html]# echo "lsy" > index.html
[root@nginx html]# nginx -s reload

验证

2201_75912662
关注
nginx负载均衡
weixin_70752048的博客
07-30 938
(1)应用集群:将同一应用部署到多台机器上,组成处理集群,接收负载均衡设备分发的请求,进行处理并返回响应的数据。1. 七层负载均衡是工作在七层协议的第七层-应用层,基于虚拟的URL或主机IP的负载均衡,主要工作是代理。负载均衡是将负载分摊到不同的服务单元,既保证服务的可用性,又保证响应足够快,给用户很好的体验。(2)负载均衡器:将用户访问的请求根据对应的负载均衡算法,分发到集群中的一台服务器进行处理。纵向扩展:从单机的角度出发,通过增加系统的硬件处理能力来提升服务器的处理能力;least_conn;
nginx负载均衡(轮询与权重)
weixin_51395608的博客
09-15 1305
nginx的安装,负载均衡的简单操作
Nginx 负载均衡详解》
asd4353012的博客
09-06 1265
通过合理配置 Nginx负载均衡功能,可以实现对请求的高效分发和管理,确保系统的稳定运行。在实际应用中,需要根据具体的业务需求和场景选择合适的负载均衡算法,并注意服务器性能差异、会话保持、健康检查和性能优化等问题。随着业务的不断发展和技术的不断进步,Nginx 负载均衡技术将在互联网应用中发挥越来越重要的作用。同时,可以优化后端服务器的性能,如优化数据库查询、缓存等,减少服务器的响应时间。如果服务器的性能差异较大,采用轮询等简单的负载均衡算法可能会导致性能较差的服务器负载过高,影响系统整体性能。
NginxNginx配置文件解读和4种常用实现负载均衡的方式
热门推荐
m0_64210833的博客
07-27 1万+
Nginx配置文件解读和4种常用实现负载均衡的方式和基础Nginx知识
Nginx负载均衡讲解
qq_42709715的博客
09-20 1297
Nginx负载均衡讲解
Nginx 反向代理+负载均衡
伟庭的博客
05-26 1万+
Nginx 反向代理+负载均衡
02.nginx高可用负载均衡
追梦人
07-20 1475
介绍一个高性能的HTTP和反向代理web服务器特点是占有内存少,并发能力强,Nginx官方测试能支撑5万并发专为性能优化而开发,cpu、内存等资源消耗低,性能稳定在项目中我们可以使用nginx来做我们系统的反向代理、负载均衡服务器,在生产环境中,要注意搭建高可用集群,至少两个节点即主备结构,这里我们使用keepalived+nginx的形式搭建高可用集群。如果出现高并发场景我们还可以对nginx横向扩容,增加更多的nginx服务器做到理论上的无限扩容。httpshttpshttps。...
Nginx 正向代理反向代理与负载均衡
mksdir的博客
12-23 492
Nginx简介 Nginx是一款轻量级的Web 服务器/反向代理服务器 占有内存少,并发能力强 官方测试nginx能够支撑5万并发链接,并且CPU、内存等资源消耗却非常低,运行非常稳定。 Tengine淘宝基于Nginx研发的web服务器 nginx可以提供的服务 web 服务. 负载均衡 (反向代理) web cache(web 缓存) nginx 的优点 高并发。静态小文件 占用资源少。2万并发、10个线程,内存消耗几百M。 功能种类比较多。web,cache,proxy。每一个功能都不是特别强
Nginx实现负载均衡、网页重定向、web用户认证
Sunny_Future的博客
09-03 1170
本文主要介绍nginx负载均衡nginx网页重定向以及nginx网页web用户认证负载均衡(load balance)就是将负载分摊到多个服务器上执行,从而提高服务的可用性和响应速度,通过模块upstream和四种调度算法来介绍nginx负载均衡;实现nginx网页重定向,如 xuptip.qq.com --> www.xuptip.qq.com;实现nginx网页web用户认证...
Haproxy+nginx负载均衡配置
啊啊啊啊建的博客
09-12 647
Haproxy+nginx负载均衡配置
Nginx中配置用户服务器访问认证的方法示例
09-30
- 使用Nginx负载均衡功能,将经过认证的请求合理地分配到集群的各个节点。 8. 配置权限和可执行权限: - 为Perl脚本赋予适当的执行权限,以便可以直接运行脚本。 通过上述方法可以有效地在Nginx中配置用户...
Nginx访问控制与参数调优的方法
09-29
一、Nginx访问控制 1. IP限制: 可以使用`allow`和`deny`指令来控制哪些IP地址可以访问Nginx服务。例如,允许192.168.1.0/24网段的IP访问: ``` allow 192.168.1.0/24; deny all; ``` 2. 用户认证Nginx...
nginx负载均衡ssl证书认证强制跳转https+keeplived+apache
10-11
在构建高可用性和安全性的网络服务时,"nginx负载均衡ssl证书认证强制跳转https+keeplived+apache"是一个常见的架构模式。该模式结合了Nginx的反向代理和负载均衡能力、Keepalived的高可用性保证以及SSL证书来确保...
nginx负载均衡查看后端服务器信息,nginx负载均衡查看后端状态
weixin_39867208的博客
08-13 3412
nginx负载均衡查看后端状态 内容精选换一换查看后端服务器组上是否开启了会话保持。查看后端云服务器的健康检查状态是否正常,如果异常,流量会切换到其他后端云服务器,导致会话保持失效。如果选择的是源IP算法,需要注意请求到达弹性负载均衡之前IP是否发生变化。如果是HTTP或HTTPS监听器,配置了会话保持,需要注意发送的请求是否带有cookie,如果带有cookie,则观察该cooki公有云平台提供...
HTTP 和 HTTPS 协议的区别?
智通全网络工作室的博客
09-27 1263
HTTP 是一种无状态的、基于请求/响应模型的应用层协议,旨在用于分布式、协作和超媒体信息系统。最常见的用途是查看网页。HTTP 协议在 TCP/IP 上运行,其标准端口是 80。了解 HTTP 和 HTTPS 之间的区别至关重要。HTTPS 是保护用户信息和提升网站信任度的关键因素。在一个安全意识增强的时代,确保你的网站使用 HTTPS 不仅是一个负责任的做法,也是赢得用户信任的基石。希望这篇博客能帮助你更好地理解这两种协议的区别及其重要性。
【Linux】图解详谈HTTPS的安全传输
2403_86785171的博客
09-27 1215
我们在用http传输数据的时候,通常都是明文传输,这就伴随着我们发送的内容可能会被人截取到,这时候如果有一些不怀好意的人想要获取我们的数据,就很有可能会获取到,造成信息的泄露,所以就有了https的出现。我们也不用太担心,因为我们可以看到证书内容里包含了很多的信息,如果中间人申请了证书,域名肯定是不一样的,况且证书里面还包含了申请者的信息,那么即使追究,也能找到是谁。既然你的对称加密对方会拿到密钥,那我换成非对称加密,在开始的时候,将公钥发给客户端,客户端再用公钥加密发给服务端。
Linux网络基础:HTTPS 网络传输协议
weixin_57663528的博客
09-29 1097
HTTPS是在 HTTP 协议的基础上加入了 SSL 或 TLS 协议层来提供加密通信和身份验证。保护在客户端(如网页浏览器)和服务器之间传输的数据不被窃听和篡改,同时确保通信双方的身份真实性
python快速搭建https服务器
乐观的lishan的博客
09-27 600
可以在局域网内通过火狐浏览器访问 https://10.98.69.174:4443 查看https服务器是否已经生效。在一台连接到网络的主机上搭建https服务器,假设该主机的ip地址为:10.98.69.174。本文介绍了在ubuntu操作系统上搭建https服务器的过程。创建证书example.crt和私钥example.key。编辑python脚本文件https_server.py。使用命令可以查看证书详情。然后运行python脚本。
https
最新发布
nongcha_ice的博客
09-30 1084
是一种通过特定的哈希算法,将任意长度的输入数据压缩为固定长度的输出值的过程。它是数据的唯一指纹,确保数据的完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值