2.3 Nginx进阶与反向代理

最新推荐文章于 2023-03-27 15:47:51 发布
最新推荐文章于 2023-03-27 15:47:51 发布
阅读量337 收藏
点赞数
分类专栏: 网站构架 文章标签: Nginx proxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M30_Miriam/article/details/81018127
版权

使用ngx_http_ssl_module模块实现 https

ssl on | off;

为指定虚拟机启用HTTPS protocol, 建议用listen指令代替

ssl_certificate file;

当前虚拟主机使用PEM格式的证书文件

ssl_certificate_key file;

当前虚拟主机上与其证书匹配的私钥文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 支持ssl协议版本,默认为后三个

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
none: 通知客户端支持ssl session cache,但实际不支持
builtin[:size]:使用OpenSSL内建缓存,为每worker进程私有

[shared:name:size]:在各worker之间使用一个共享的缓存

ssl_session_timeout time;

客户端连接可以复用ssl session cache中缓存的ssl参数的有效时长,默认5m

[root@CentOS74 ~]# tree /etc/nginx/conf.d/
/etc/nginx/conf.d/
├── certs
│   ├── centos.crt   #使用的证书文件与密钥
│   ├── centos.key
│   ├── linux.crt
│   └── linux.key
└── vhost
    ├── centos.com.conf   #两个虚拟主机的配置文件
    └── linux.com.conf

2 directories, 6 files
[root@CentOS74 ~]# cat /etc/nginx/conf.d/vhost/{centos,linux}.com.conf 
server{
	listen 443 ssl; 
	server_name www.centos.com;
	root /data/vhost/centos;
	ssl on;                                                   #启用ssl加密
	ssl_certificate /etc/nginx/conf.d/certs/centos.crt;       #指定证书的存放路径
	ssl_certificate_key /etc/nginx/conf.d/certs/centos.key;   #指定密钥文件的存放路径
	ssl_session_cache shared:sslcache:20m;                    #启用会话缓存,并多进程共享
	ssl_session_timeout 10m;                                  #会话缓存时间
}
server{
	listen 443 ssl; 
	server_name www.linux.com;
	root /data/vhost/linux;
	ssl on;
	ssl_certificate /etc/nginx/conf.d/certs/linux.crt;
	ssl_certificate_key /etc/nginx/conf.d/certs/linux.key;
	ssl_session_cache shared:sslcache:20m;
	ssl_session_timeout 10m;
}
[root@CentOS69 ~]# curl -k https://www.linux.com
linux
[root@CentOS69 ~]# curl -k https://www.centos.com
centos
[root@CentOS69 ~]# curl -k https://www.centos.com/test/
test

Rewrite 重写

    将用户请求的URI基于PCRE regex所描述的模式进行检查,而后完成重定向替换

rewrite regex replacement [flag]

将用户请求的URI基于regex所描述的模式进行检查,匹配到时将其替换为replacement指定的新的URI

注意:如果在同一级配置块中存在多个rewrite规则,那么会自下而下逐个检查;被某条件规则替换完成后,会重新一轮的替换检查
隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示的标志位用于控制此循环机制

如果replacement是以http://或https://开头,则替换结果会直接以重向返回给客户端, 即永久重定向301

    [flag]:

last:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后对新的URI启动新一轮重写检查;提前重启新一轮循环, 不建议在location中使用
break:重写完成后停止对当前URI在当前location中后续的其它重写操作,而后直接跳转至重写规则配置块之后的其它配置;结束循环,建议在location中使用
redirect:临时重定向,重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求;使用相对路径,或者http://或https://开头,状态码:302
permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端,由客户端重新发起请求,状态码:301 
[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80; 
	server_name www.linux.com;
	root /data/vhost/linux;
	location /redhat {
		rewrite ^/redhat/(.*)$ /centos/$1;
		rewrite ^/centos/6/(.*)$ /centos/6.9/$1;
		rewrite ^/centos/7/(.*)$ /centos/7.5/$1;
		rewrite ^/centos/7.4/(.*)$ /centos/7.5/$1;
	}
}

[root@CentOS69 ~]# curl http://www.linux.com/redhat/
centos
[root@CentOS69 ~]# curl http://www.linux.com/redhat/6/
centos6.9

return:停止处理,并返回给客户端指定的响应码
return code [text];
return code URL;

if (condition) { ... }

条件满足时,执行配置块中的配置指令;server, location

比较操作符:
= 相同 != 不同
~:模式匹配,区分字符大小写
~*:模式匹配,不区分字符大小写
!~:模式不匹配,区分字符大小写
!~*:模式不匹配,不区分字符大小写
文件及目录存在性判断:
-e, !-e 存在(包括文件,目录,软链接)

-f, !-f 文件 -d, !-d 目录 -x, !-x 执行

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	listen 443 ssl;
	server_name www.linux.com;
	root /data/vhost/linux;
	ssl_certificate /etc/nginx/conf.d/certs/linux.crt;
	ssl_certificate_key /etc/nginx/conf.d/certs/linux.key;
	ssl_session_cache shared:sslcache:20m;
	ssl_session_timeout 10m;
	location / {
		if ( $scheme = http ) {
			rewrite /(.*) https://www.linux.com/$1 break;
		}
	}

	location /redhat {
		rewrite ^/redhat/(.*)$ /centos/$1;
		rewrite ^/centos/6/(.*)$ /centos/6.9/$1;
		rewrite ^/centos/7/(.*)$ /centos/7.5/$1;
		rewrite ^/centos/7.4/(.*)$ /centos/7.5/$1;
	}
}

[root@CentOS69 ~]# curl -kL www.linux.com
linux
[root@CentOS69 ~]# curl -kL www.linux.com/redhat/
centos

valid_referers none|blocked|server_names|string ...;

定义referer首部的合法可用值,不能匹配的将是非法值

none:请求报文首部没有referer首部
blocked:请求报文有referer首部,但无有效值
server_names:参数,其可以有值作为主机名或主机名模式
arbitrary_string:任意字符串,但可使用*作通配符
regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头

反向代理

proxy_pass URL;

Context:location, if in location, limit_except

    代理的同时重写(存疑)

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
	location / {
		proxy_pass http://192.168.30.174/;   
	}

	location /test {
		rewrite ^/test/(.*)$ /redhat/$1 redirect;
	}
}
[root@CentOS69 ~]# curl -L www.linux.com
192.168.30.174
[root@CentOS69 ~]# curl -L www.linux.com/test
174redhat

    注意:主机后是否有"/"决定着代理的结果

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location /redhat {
		proxy_pass http://192.168.30.174;   #URL后没有/
        }
}

[root@CentOS69 ~]# curl www.linux.com/redhat/   #代理结果是在主机后添加请求的uri
174redhat
[root@CentOS69 ~]# curl www.linux.com/redhat/web1/
web1
[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location /redhat {
		proxy_pass http://192.168.30.174/;   #URL后有/
        }
}

[root@CentOS69 ~]# curl www.linux.com/redhat   #redhat呗替换为/
192.168.30.174
[root@CentOS69 ~]# curl www.linux.com/redhat/redhat/web1/   #uir等同于/redhat/web1/
web1
[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174/redhat/;   
        }
}
 
[root@CentOS69 ~]# curl www.linux.com/web1/indasd   #观察错误页面提示
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /redhat/web1/indasd was not found on this server.</p>   #在redhat后加web1,是因为redhat将/替换了
</body></html>
proxy_set_header field value;
设定发往后端主机的请求报文的请求首部的值
Context: http, server, location
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;累加报文头部,在每台需要记录代理服务器上配置
请求报文的标准格式如下:

X-Forwarded-For: client1, proxy1, proxy2

[root@CentOS74 vhost]# cat linux.com.conf
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174;
		proxy_set_header X_Real_IP $remote_addr;    #在反向代理服务器向后端服务器的请求报文中添加报文头部
        }
}
[root@CentOS174 ~]# cat /etc/httpd/conf/httpd.conf | grep LogFormat   #修改日志记录内容格式
    LogFormat "%{X_Real_IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

    日志文件中源地址IP记录可以修改为真正的客户端地址,而不是反向代理服务器地址。同样也可修改为需要的字符串

192.168.30.74 - - [14/Jul/2018:04:09:46 +0800] "GET / HTTP/1.0" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
192.168.30.69 - - [14/Jul/2018:04:10:47 +0800] "GET / HTTP/1.0" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
proxy_cache_path;
定义可用于proxy功能的缓存;Context:http

proxy_cache_path path [选项]...

    选项

[levels=levels]:目录分级
[use_temp_path=on|off]:是否启用临时路径
keys_zone=name:size:缓存名称与大小限制(内存)
[inactive=time]:缓存时间

[max_size=size]:最大占用空间(磁盘)

    proxycache 指内存中缓存的大小,主要用于存放key和metadata(如:使用次数)
    max_size 指磁盘存入文件内容的缓存空间最大值

proxy_cache zone | off; 默认off

指明调用的缓存,或关闭缓存机制;Context:http, server, location

proxy_cache_key string;
缓存中用于“键”的内容

默认值:proxy_cache_key $scheme$proxy_host$request_uri;

proxy_cache_valid [code ...] time;
定义对特定响应码的响应内容的缓存时长

    在主配置文件夹中定义缓存路径和相关属性

[root@CentOS74 vhost]# cat /etc/nginx/nginx.conf | grep proxy_cache
    proxy_cache_path /var/cache/nginx levels=1:2:1 keys_zone=testcache:20m inactive=120s max_size=1g;

    在子配置文件中声明使用缓存方式

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174;
		proxy_cache testcache;              #使用指定空间的缓存
		proxy_cache_key $request_uri;       #缓存内存中键记录的内容
		proxy_cache_valid 200 301 302 1h;   #缓存内容和时间
		proxy_cache_valid any 1m;
        }
}

    访问后端服务器站点后查看缓存文件

[root@CentOS74 vhost]# tree /var/cache/nginx/
/var/cache/nginx/
├── 3
│   └── ac
│       └── 2
│           └── 8568ba40bf40a2f0c1026178eeb32ac3
└── 9
    └── 7d
        └── c
            └── 6666cd76f96956469e7be39d750cc7d9

6 directories, 2 files
proxy_cache_use_stale;
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...

在被代理的后端服务器出现哪种情况下,可以真接使用过期的缓存响应客户端

proxy_cache_methods GET | HEAD | POST ...;

对哪些客户端请求方法对应的响应进行缓存,GET和HEAD方法总是被缓存

proxy_hide_header field;

默认nginx在响应报文不传递后端服务器的首部字段Date, Server, X-Pad, X-Accel-等,用于隐藏后端服务器特定的响应首部

proxy_connect_timeout time;

定义与后端服务器建立连接的超时时长,如超时会出现502错误,默认为60s,一般不建议超出75s

proxy_send_timeout time;

将请求发送给后端服务器的超时时长;默认为60s

proxy_read_timeout time;
等待后端服务器发送响应报文的超时时长,默认为60s
add_header name value [always];
添加自定义响应报文首部
add_header X-Via $server_addr;
add_header X-Cache $upstream_cache_status;

add_header X-Accel $server_name;    

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174;
		proxy_set_header X_Real_IP "jiangbowen";
		proxy_cache testcache;
		proxy_cache_key $request_uri;
		proxy_cache_valid 200 301 302 1h;
		proxy_cache_valid any 1m;
		add_header X-Cache $upstream_cache_status;   #自定义头部,显示是否命中缓存
        }
}
[root@CentOS69 ~]# curl -I -s www.linux.com/test/redhat/ | grep X-Cache
X-Cache: MISS
[root@CentOS69 ~]# curl -I -s www.linux.com/test/redhat/ | grep X-Cache
X-Cache: HIT
add_trailer name value [always];

添加自定义响应信息的尾部尾部




ZZULI_Miriam
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 中常见 header 配置及修改
am_Linux的博客
04-10 1万+
除了自带的 headers 模块,也可以安装第三方的 headers-more 模块,对应 headers 的控制更全面,更方便,headers-more 是 openresty 的一个模块,openresty 就自带了,nginx 的话,需要编译添加动态模块。proxy_set_header 通常用的最多,可以在提交给上游服务器的 header 中添加或重写 header,比如通常用到的,反向代理的时候,添加客户端 IP、XFF 等字段。
Nginx(二)反向代理
u011414629的专栏
09-13 212
什么是代理服务器 代理服务器, 客户机在发送请求时, 不会直接发送给目的主机, 而是先发送给代理服务器, 代理服务器接受客户机请求之后, 再向主机发出, 并接收目的主机返回的数据, 存放在代理服务器的硬盘中, 再发送给客户机。 为什么要使用代理服务器? 提高访问速度 由于目标主机返回的数据会存放在代理服务器的硬盘中, 因此下一次客户再访问相同的站点数据时, 会直接从代理服务器的硬盘中读取...
分布式存储-Minio环境搭建
温暖不了你的心的博客
07-14 4530
MinIO是一个基于Apache License V2.0开源协议的轻量级的对象存储服务。 适合存储大容量非结构化的数据,如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
Squid代理服务器(缓存代理)介绍及相关配置
weixin_34050389的博客
11-07 513
一、代理服务器的作用 1.通过缓存的方式为用户提供Web访问加速 2.对用户的Web访问进行过滤控制 二、代理服务器分类 ...
什么是NAT技术与代理服务器
晓东的博客
07-04 1474
1、NAT技术简单了解 1.1、关于NAT 1.2、NAT的功能 1.3、NAT实现方式 1.4、NAT的分类 1.5、NAT技术的应用 1.6、NAT技术的弊端 1.7、NAT技术的局限性 2、代理服务器介绍 2.1、概念 2.2、代理服务器功能 2.3、代理分类
nginx简要使用与各个配置说明
rwei936的博客
10-25 2419
nginx简要使用与各个配置说明
五、Nginx反向代理(二)
一个孤独漫步者的遐想的博客
06-13 224
五、Nginx反向代理(二)实现效果准备工作测试创建文件夹个测试页面配置反向代理实现 实现效果 使用 nginx 反向代理,根据访问的路径跳转到不同端口的服务中 nginx 监听端口为 9001, 访问 http://192.168.17.129:9001/edu/ 直接跳转到 127.0.0.1:8080 访问 http:// 192.168.17.129:9001/vod/ 直接跳转到 127.0.0.1:8081 准备工作 先停止之前的tomcat服务 linux服务器安装两个tomcat(8080
Gunicorn进阶:使用Nginx作为反向代理
Gunicorn和Nginx简介 在本章中,我们将介绍Gunicorn和Nginx这两个在优化Web服务器性能和提高网站稳定性方面备受关注的工具。我们将分别探讨它们的作用、特点,以及为什么结合使用它们能够极大地提升网站的性能和...
Nginx配置进阶
数通畅联
04-25 2072
Nginx是一款轻量级的Web服务器、反向代理服务器,由于它的内存占用少,启动快,高并发能力强,在互联网项目中广泛应用。本文针对Nginx配置进阶进行系统讲述。
nginx配置中proxy指令的全面指南:实现反向代理和负载均衡,优化网站架构
[nginx配置中proxy指令的全面指南:实现反向代理和负载均衡,优化网站架构](https://crawlbase.com/blog/benefits-of-reverse-proxy/reverse-proxy-concept.jpg) # 1. nginx配置基础 nginx是一款高性能的HTTP和反向...
Nginx 使用教程.docx
最新发布
07-09
通过以上详细的知识点介绍,我们可以了解到Nginx不仅是一个强大的Web服务器,同时也是一个优秀的反向代理服务器。无论是从基础安装到高级配置,还是从日常运维到故障排除,Nginx都能提供全面的支持。掌握这些知识点...
HTTP代理服务器与反向代理配置
介绍HTTP代理服务器和反向代理(简介) ## 1.1 HTTP代理服务器的定义和作用 HTTP代理服务器是一种位于客户端和服务器之间的中介服务器,它充当了客户端和服务器之间的代理,处理客户端发出的HTTP请求,并将请求...
手机上网浏览器_手机打不开falogin.cn登录界面如何解决【详细介绍】
weixin_39665787的博客
10-22 5488
  迅捷路由器管理页面地址是http://falogin.cn,用手机来设置的时候,在手机浏览器中输入http://falogin.cn后,打不开登录界面怎么办?具体请看下面小编介绍的解决方法!  手机打不开http://falogin.cn登录界面的解决方法  一、手机打开http://falogin.cn正确方法  1、手机连接路由器wifi信号  用手机打开http://falogin.cn...
192.168.1.1登陆官网 登录入口
热门推荐
青海分享
12-29 30万+
【192.168.1.1登陆官网】 网友提问:怎么用手机登录路由器的IP地址192.168.1.1登录官网呢?设置路由器的时候,192.168.1.1官网登陆不了怎么办? 热心网友答:要进入路由器192.1.1.1登录官网,需要手机连接路由器发射出来的WiFi信号,然后点击浏览器并在地址栏中输入192.168.1.1就进入登录官网入口了。 创建管理员密码 如果你忘记的路由器的管理员密码,那么只能通过恢复出厂设置来重新设置了。 关于恢复出厂设置,你可以查看这篇文章教程:路由器登录密码忘了...
SpringCloudAlibaba之gateway网关
weixin_43054590的博客
09-28 2263
作用:处理一切进入网关服务的请求和响应,与作用一样,区别在于支持自定义逻辑扩展。/*** exchange: 请求上下文,里面包含了Request、Response等信息* chain: 用来把请求委托给下一个过滤器* MonoZ: 返回时表示当前过滤器逻辑流程结束}Gateway网关服务:自定义认证拦截器,此拦截器集成@Order(1) //拦截器优先级;
SQLMAP工具基础使用
紫洋的博客
03-27 669
本文用的是kali自带的sqlmap工具我们通过常用命令来理解sqlmap的基本使用。
cenos7 Firewalld防火墙高级配置
weixin_45308292的博客
09-19 1640
firewalld防火墙 实验材料及环境如下 一台centos7是内网web服务器 ip :192.168.100.103 : vm1 一台win7是内网测试机 ip: 192.168.1.10 : vm2 一台centos7是网关服务器三块网卡,应该到虚拟机里依次为 ens33 ens37 ens38 依次上到下,从原来到第三块分别是 vm1 vm2 vm3 对应ip为如下 ...
Nginx基础
at10090的博客
09-14 684
主要内容 Nginx的安装 Nginx的静态网站部署 Nginx反向代理与负载均衡,能够配置反向代理与负载均衡 概述 什么是Nginx Nginx 是一款高性能的 http 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器。由俄罗斯的程序设计师伊戈尔·西索夫(Igor Sysoev)所开发,官方测试 nginx 能够支支撑 5 万并发链接,并且 cpu、内存等资源消耗却非常低...
Nginx 响应头处理模块 ngx_http_headers_module
键盘上流淌的日子
10-18 1603
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   ngx_http_headers_module模块允许将"Expires"和"Cache-Control"头字段以及任意字段添加到响应头中。   响应头处理模块 语法及语义   add_header    语法:add_header name value [always];    语义:如果响应码等于200、201(1.3.10)、204、206、301、302、303、304、307(1.1.16、1.0.13)或308(1.13),则将.
理解Nginx反向代理与负载均衡配置
反向代理的核心在于,客户端并不直接与服务端通信,而是通过代理服务器(即Nginx)进行交互。客户端发起请求时,请求首先到达Nginx,然后Nginx根据预设的策略将请求转发到合适的后端服务器。这个过程中,后端服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值