Nginx接受代理协议

最新推荐文章于 2023-06-15 18:51:19 发布
最新推荐文章于 2023-06-15 18:51:19 发布
阅读量1.6k 收藏 1
点赞数
文章标签: Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aria_Miazzy/article/details/103173095
版权

Nginx接受代理协议

本文介绍了如何配置NGINX和NGINX Plus以接受PROXY协议,将负载均衡器或代理的IP地址重写为PROXY协议标头中接收到的负载均衡器或代理,配置客户端IP地址的简单日志记录以及启用PROXY协议在NGINX和TCP上游服务器之间。

 

介绍

通过PROXY协议, NGINX和NGINX Plus可以接收通过代理服务器和负载均衡器(例如HAproxy和Amazon Elastic Load Balancer(ELB))传递的客户端连接信息。

使用PROXY协议,NGINX可以从HTTP,SSL,HTTP / 2,SPDY,WebSocket和TCP学习原始IP地址。了解客户端的原始IP地址对于设置网站的特定语言,保留IP地址黑名单或仅用于日志记录和统计目的可能很有用。

通过PROXY协议传递的信息是客户端IP地址,代理服务器IP地址以及两个端口号。

使用此数据,NGINX可以通过几种方式获取客户端的原始IP地址:

 

先决条件

  • 要接受PROXY协议v2,NGINX Plus R16和更高版本或NGINX Open Source  1.13.11和更高版本
  • 要接受用于HTTP,NGINX Plus R3和更高版本或NGINX Open Source  1.5.12和更高版本的PROXY协议
  • 对于TCP客户端PROXY协议支持,NGINX Plus R7和更高版本或NGINX Open Source  1.9.3和更高版本
  • 接受用于TCP,NGINX Plus R11和更高版本或NGINX Open Source  1.11.4和更高版本的PROXY协议
  • 默认情况下,NGINX Open Source中不包括用于HTTP流(TCP)的Real-IP模块。有关详细信息,请参见安装NGINX开源。NGINX Plus不需要额外的步骤。

 

配置NGINX以接受代理协议

要配置NGINX接受PROXY协议报头中,添加proxy_protocol参数的listen指令在一个server块中或块。http {}stream {}

http  { 
    #... 
    服务器 { 
        监听 80    proxy_protocol ; 
        监听 443   ssl  proxy_protocol ; 
        #... 
    } 
}
   
 { 
    #... 
    服务器 { 
         12345  proxy_protocol ; 
        #... 
    } 
}

现在,您可以将$proxy_protocol_addr$proxy_protocol_port变量用于客户端IP地址和端口,并另外配置HTTPStream Real-IP模块以通过客户端的IP地址和端口替换$remote_addr$remote_port变量中的负载均衡器的IP地址。

 

将负载均衡器的IP地址更改为客户端IP地址

您可以将负载平衡器或TCP代理的地址替换为从PROXY协议收到的客户端IP地址。这可以通过HTTPStream Real-IP模块来完成。使用这些模块,$remote_addr$remote_port变量保留客户端的实际IP地址和端口,而$realip_remote_addr$realip_remote_port变量保留负载均衡器的IP地址和端口。

要将IP地址从负载均衡器的IP地址更改为客户端的IP地址,请执行以下操作:

  1. 确保已将NGINX配置为接受PROXY协议标头。请参阅配置NGINX接受PROXY协议

  2. 确保您的NGINX安装包括HTTPStream Real-IP模块:

    nginx -V 2 > 1  | grep- 'http_realip_module'nginx 
-V 2 > 1  | grep- 'stream_realip_module'

    如果不是,请使用这些模块重新编译NGINX。有关详细信息,请参见安装NGINX开源。NGINX Plus不需要额外的步骤。

  3. HTTPStream或两者的set_real_ip_from伪指令中,指定TCP代理或负载均衡器的IP地址或CIDR地址范围:

    服务器 { 
    #... 
    set_real_ip_from  192 .168.1.0 / 24 ; 
   #... 
}

  4. 在上下文中,通过为伪指令指定参数,将负载均衡器的IP地址更改为从PROXY协议标头接收的客户端的IP地址:http {}proxy_protocolreal_ip_header

    http  { 
    服务器 { 
        #... 
        real_ip_header  proxy_protocol ; 
      } 
}

 

记录原始IP地址

当您知道客户端的原始IP地址时,可以配置正确的日志记录:

  1. 对于HTTP,配置NGINX以使用$proxy_protocol_addr带有proxy_set_header伪指令的变量将客户端IP地址传递给上游服务器:

    http  { 
    proxy_set_header  X-Real-IP        $ proxy_protocol_addr ; 
    proxy_set_header  X-Forwarded-For  $ proxy_protocol_addr ; 
}

  2. $proxy_protocol_addr变量添加到log_format指令(HTTPStream):

    • http块中:

      HTTP  { 
    #... 
    log_format  结合 ' $ proxy_protocol_addr  -  $ REMOTE_USER  [ $ time_local]  ' 
                        ' “ $要求”  $状态 $ body_bytes_sent  ' 
                        ' “ $ HTTP_REFERER”  $ HTTP_USER_AGENT”' ; 
}

    • stream块中:

       { 
    #... 
    log_format  基本 ' $ proxy_protocol_addr  -  $ REMOTE_USER  [ $ time_local]  ' 
                      ' $协议 $状态 $ bytes_sent  $ bytes_received  ' 
                      ' $ session_time' ; 
}

 

用于与上游TCP连接的PROXY协议

对于TCP流,可以为NGINX和上游服务器之间的连接启用PROXY协议。要启用PROXY协议,请将proxy_protocol指令包含server在该级别的块中:stream {}

 { 
    服务器 { 
        监听 12345 ; 
        proxy_pass  example.com 12345 ; 
        proxy_protocol  开启
    } 
}

 

HTTP  { 
    log_format  合并 ' $ proxy_protocol_addr  -  $ REMOTE_USER  [ $ time_local]  ' 
                        ' “ $请求”  $状态 $ body_bytes_sent  ' 
                        ' “ $ HTTP_REFERER”  $ HTTP_USER_AGENT”' ; 
    #...

    服务器 { 
        server_name  localhost ;

         80    proxy_protocol ; 
        监听 443   ssl  proxy_protocol ;

        ssl_certificate       /etc/nginx/ssl/public.example.com.pem ; 
        ssl_certificate_key   /etc/nginx/ssl/public.example.com.key ;

        位置 / app /  { 
            proxy_pass        http:// backend1 ; 
            proxy_set_header  主机            $ host ; 
            proxy_set_header  X-Real-IP        $ proxy_protocol_addr ; 
            proxy_set_header  X-Forwarded-For  $ proxy_protocol_addr ; 
        } 
    } 
} 

 { 
    log_format  基本 ' $ proxy_protocol_addr  -  $ REMOTE_USER  [ $ time_local]  ' 
                     ' $协议 $状态 $ bytes_sent  $ bytes_received  ' 
                     ' $ session_time' ; 
    #... 
    服务器 { 
                      12345  ssl  proxy_protocol ;

        ssl_certificate      /etc/nginx/ssl/cert.pem ; 
        ssl_certificate_key  /etc/nginx/ssl/cert.key ;

        proxy_pass           backend.example.com 12345 ; 
        proxy_protocol       开启
    } 
}

该示例假定NGINX前面有一个负载平衡器来处理所有传入的HTTPS流量,例如Amazon ELB。NGINX在端口443()上接受HTTPS流量,在端口12345上接受TCP流量,并接受通过PROXY协议从负载均衡器传递的客户端IP地址(和块中指令的参数)。listen 443 ssl;proxy_protocollistenhttp {}stream {}

NGINX终止HTTPS流量(ssl_certificatessl_certificate_key指令),并将解密的数据代理到后端服务器:

  • 对于HTTP: proxy_pass http://backend1;
  • 对于TCP: proxy_pass backend.example.com:12345

它包括带有proxy_set_header指令的客户端IP地址和端口。

指令中$proxy_protocol_addr指定的变量log_format还将HTTP和TCP的客户端IP地址传递到日志。

此外,TCP服务器(该块)将其自己的PROXY协议数据发送到其后端服务器(该指令)。stream {}proxy_protocol on

星河_赵梓宇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginxproxy_protocol协议
一个致力于开源代码学习、分析和交流的博客
05-31 1363
本文详细介绍了nginxproxy_protocol协议的支持,以及如何进行配置来开启proxy_protocol协议功能
nginx中使用proxy protocol协议
程序那些事
06-08 6694
我们已经介绍了haproxy提出的proxy protocol协议,通过proxy protocol协议,服务器端可以获得客户端的真实IP地址和端口,从而可以进行一些非常有意义的操作。为什么获得客户端的真实IP地址会非常有意义呢?考虑一个藏在proxy背后的数据库,如果有多个客户端通过proxy进行数据库的连接,事实上因为都是通过代理进行连接,所以数据库中的所有的操作都是proxy服务器的IP地址,这在对数据库的性能监控和优化是不利的,因为我们不知道真实异常的服务器IP地址。这种情况下就需要用到proxy
nginx使用Proxy-protocal
weixin_34361881的博客
10-26 3516
配置文件开启proxy_protocalserver { listen 80 proxy_protocol; listen 443 ssl proxy_protocol; ...}Q&Aproxy protocal是什么?代理协议是一种 Internet 协议,用于将连接信息从请求连接的源传递到请求连接到的目标。Elastic Load Bal...
Nginx 负载均衡 - 配置 Nginx 接受代理协议
kikajack的博客
02-19 6327
本文介绍了如何配置 NGINXNGINX Plus 以接受 PROXY 协议,将负载平衡器或代理的 IP 地址重写为在 PROXY 协议头中接收到的 IP 地址,配置客户端 IP 地址的简单日志记录,启用 NGINX 和 TCP upstream 服务器之间的 PROXY 协议。1. 概述PROXY 协议允许 NginxNginx Plus 接受来自代理服务器和负载平衡器的客户端连接信息
nginx代理 netty tcp服务端获取客户端真实IP
K1215400017的博客
10-24 6335
场景描述: netty tcp 服务端与客户端进行交互,之前采用服务器直连的方式,即: 客户端 -----------> 服务端(tcp) 此时服务端可以通过: ctx.channel().remoteAddress() 获取客户端IP进行相关的业务使用。 但是后续随着客户端增加,服务端就上来了,此时使用nginx代理的方式增加netty服务端数量一次来处理更多的连接数。 客户端 -----------> nginx --------------->服务端(tcp,多台部署.
Nginx正向代理
Mr_GGD的博客
04-27 424
一、正向代理的概念 正向代理是一个位于客户端和原始服务器之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。 二、Nginx正向代理配置 环境:Centos7 服务端:10.0.0.47 客户端:10.0.0.48 1.服务端配置 安装NGINX和模块 [root@ c7-47 ~]...
Nginx-正向代理
ctotalk
12-24 6343
Nginx系列文章目录 文章目录Nginx系列文章目录nginx简介一、正向代理简介二、正向代理理解三、正向代理作用总结 nginx简介 nginx简介:https://blog.csdn.net/qq_45937199/article/details/111637912 一、正向代理简介 正向代理,也就是传说中的代理,他的工作原理就像一个跳板。简单的说,我是一个用户,我访问不了某网站,但是我能访问一个代理服务器,这个代理服务器呢,他能访问那个我不能访问的网站,于是我先连上代理服务器,告诉他我需要那个无
Nginx tcp 反向代理安装配置
lyyslsw的专栏
11-29 530
1)yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel 2)cd /usr/local/nginx 3) wget http://nginx.org/download/nginx-1.17.5.tar.gz 4) 编译 nginx ./configure --with-stream -...
IP
jj89929665的博客
11-20 297
IPv4和IPv6的区别 IPv6 增强的关键是将 IP 地址空间从 32 位扩展到 128 位 IP地址的分类 IP地址编址方案将IP地址空间划分为A、B、C、D、E五类,其中A、B、C是基本类,D、E类作为多播和保留使用,为特殊地址 .注意各类地址中,如果剩余比特位全为0,则表示是广播地址。 A类地址:以0开头,第一个字节范围:0~127; B类地址:以10开头,第一个字节范围:128~191; C类地址:以110开头,第一个字节范围:192~223; D类地址:以1110开头,第一个字节范围为224~
Nginx proxy_protocol协议与realip模块
weixin_30335575的博客
05-16 2049
L:113 转载于:https://www.cnblogs.com/jackey2015/p/10584261.html
nginx多层级负载均衡透传真实IP(转)
jundao1997的专栏
06-16 1681
一、案例环境 二、多七层负载均衡透传真实IP   首先我们去掉四层负载均衡,进行多七层负载均衡透传真实IP的案例。 [root@lb02 ~]# vi /etc/nginx/conf.d/test.conf upstream test { server 172.16.1.6; } server { listen 80; server_name test.cp.com; location / { proxy_pass http://test;
Nginx知识总结
宋小黑的博客
01-29 344
应用场景高性能静态web服务器反向代理服务器API服务(OpenResty)主要特点高并发,高性能扩展性好(二次开发)异步非阻塞的事件驱动模型高可靠性(其本身几乎很少需要停机重启或宕机)热部署,平滑升级BSD许可占用内存少,并发能力强。
解决Nginx代理TCP获取不到客户端真实IP的问题
月月大王的博客
03-18 6700
解决Nginx代理TCP获取不到客户端真实IP的问题,包括netty实现代码
nginx详解与配置
最新发布
qq_38022367的博客
06-15 6965
高可用-主从模式:使用一个虚拟IP,一台主服务器和一台从服务器,只有主服务器对外提供服务,从服务器的资源在主服务器不出现故障时永远处于浪费状态。并将有故障的服务器从系统中剔除,同时使用其他服务器代替该服务器的工作,当服务器工作正常后KeepAlived自动将服务器加入到服务器群中,高可用-主主模式:使用两个虚拟IP使两台服务器都对外提供服务,两台服务器都绑定两个互为主备的虚拟IP,当其中一台机器出现故障时,代理对象是客户端,客户端转发给代理客户端,由代理客户端去真正访问服务器,隐藏了客户端的身份(IP)。
nginx 如何获取用户的真实IP 之realip模块
error311的博客
06-19 1312
如果访问的服务器有CDN,那么CDN会获取到用户的真实IP,将用户的真实IP封装到X-Forwarded-For中,在设置到X-Real-IP中 X_Forwarded_For:根据访问顺序,依次添加IP地址,也就是记录代理信息 X_Real_IP:一般只记录真实发出请求的客户端IP ...
Nginx 使用realip模块获取真实IP
魏州青年的博客
08-12 1488
Nginx代理将真实IP透传,Nginxweb打印真实IP; ngx_http_realip 模块的作用是当你的 nginx 服务器位于一个反向代理后面时,去获取客户端真实访问的 IP。这个模块默认没有编译到 Nginx 中,需要在编译时通过 --with-http_realip_module 开启。 一、编译安装首先得安装该模块 -with-http_realip_module /configure --prefix=/usr/local/webserver/nginx --with-ht..
Nginx接收PROXY协议
weixin_33766168的博客
08-08 1492
为什么80%的码农都做不了架构师?>>> ...
超详细Nginx学习笔记(Nginx反向代理+动静分离+高可用)
qq_45821420的博客
02-27 1689
        此笔记是博主在学习nginx的时候进行详细记录的,笔记中涉及到Nginx的多项应用,例如:动静分离、反向代理、高可用等配置和使用。同时还对每一个配置项及模块都进行了详细的讲解,方便初学者进行初步学习,也方便学习过Nginx的小伙伴进行复习。 一、概述 概念:Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。 特点:占用内存少,并.
nginx反向代理coap协议服务器
06-10
Nginx可以通过ngx_stream_core_module模块反向代理CoAP协议服务器。下面是一个简单的示例配置: ``` stream { upstream coap_backend { server <CoAP服务器IP地址>:5683; } server { listen 5683 udp; proxy_pass coap_backend; proxy_timeout 1s; proxy_responses 1; error_log logs/stream_error.log; } } ``` 在上面的配置中,`upstream`指令定义了一个后端服务器的列表,`server`指令指定了一个监听端口和代理规则。`listen`指令指定了Nginx监听的端口和协议,这里使用的是UDP协议,和CoAP协议的传输层一致。 `proxy_pass`指令将请求转发给后端服务器,`proxy_timeout`指令设置了代理超时时间,`proxy_responses`指令设置了最大响应数,`error_log`指令指定了错误日志路径。 需要注意的是,由于CoAP是基于UDP协议的,因此需要使用`listen 5683 udp;`指定监听端口为UDP协议

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值