一、分离解析与反向代理
如果想理解Nginx的反向代理,可以先去了解一下分离解析的原理
[传送门]https://blog.csdn.net/ck784101777/article/details/96473645
区别在于,反向代理是基于Nginx的,而分离解析则基于DNS,通常而言,先走dns再走反向代理
普及一下正向代理,假设有客户端,服务器,代理,三个主体,那么正向代理需要满足客户端认识代理和服务器,客户端通过代理与服务器通信.这里代理起到正向代理的作用
那么反向代理呢,也是三个主体,客户端不知道服务器,它只知道代理,对于客户端而言,只要代理能帮助它找到服务器即可,它不关系找到哪台服务器.这里代理充当反向代理的作用.
其实我认为正向和方向不能描述清楚这种请求关系,更加具体一点的话应该是指名访问与不指名访问,正向而言,客户端因为知道自己要访问哪台服务器,而反向方面,客户端对于访问哪台服务器是不知情的,具体是哪台服务器由代理的内部机制提供.
二、Nginx反向代理
使用Nginx实现Web反向代理功能,实现如下功能:
- 后端Web服务器两台,可以使用httpd实现
- Nginx采用轮询的方式调用后端Web服务器
- 两台Web服务器的权重要求设置为不同的值
- 最大失败次数为1,失败超时时间为30秒
使用4台RHEL7虚拟机,其中一台作为Nginx代理服务器(有路由作用),该服务器需要配置两块网卡,IP地址分别为192.168.4.5和192.168.2.5,两台Web服务器IP地址分别为192.168.2.100和192.168.2.200。客户端测试主机IP地址为192.168.4.10。如图-1所示。
我们按从右到左的顺序配置
1.部署实施后端Web服务器
先配置好ip地址,Web服务器需要安装http服务,web1和web2配置相同
- [root@web1 ~]# yum -y install httpd
- [root@web1 ~]# echo "192.168.2.100" > /var/www/html/index.html
- [root@web1 ~]# systemctl restart httpd
- [root@web1 ~]# firewall-cmd --set-default-zone=trusted //关闭防火墙和SeLiunx
- [root@web1 ~]# setenforce 0
- [root@web2 ~]# yum -y install httpd
- [root@web2 ~]# echo "192.168.2.200" > /var/www/html/index.html
- [root@web2 ~]# systemctl restart httpd
- [root@web2 ~]# firewall-cmd --set-default-zone=trusted //关闭防火墙和SeLiunx
- [root@web2 ~]# setenforce 0
2.配置Nginx服务器,添加服务器池,实现反向代理功能
Nginx服务器需要配置两张网卡,实现路由转发的功能,安装安装并配置Nginx服务
[Nginx安装https://blog.csdn.net/ck784101777/article/details/98775059]
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- .. ..
- http {
- .. ..
- #使用upstream定义后端服务器集群,集群名称任意(如webserver)
- #使用server定义集群中的具体服务器和端口
- upstream webserver {
- server 192.168.2.100:80;
- server 192.168.2.200:80;
- }
- .. ..
- server {
- listen 80;
- server_name localhost;
- location / {
- #通过proxy_pass将用户的请求转发给webserver集群
- proxy_pass http://webserver;
- }
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload //重新加载
3.客户端测试
客户端配置好网卡,使用浏览器访问代理服务器测试轮询效果.如果测试结果交替出现则表明实验成功
- [root@client ~]# curl http://192.168.4.5 //使用该命令多次访问查看效果
- 192.168.2.100
- [root@client ~]# curl http://192.168.4.5 //使用该命令多次访问查看效果
- 192.168.2.200
4.配置upstream服务器集群池属性
实验要求我们完成一些功能,设置失败次数,超时时间,权重, 我们设置2.200的权重较高,数字高代表权重高,再次测试会发现内容都由2.200服务器提供,除非满足一个时间同时有两台主机访问,那么代理将分配空闲的服务器,用一台主机测试很难达到这个效果
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- .. ..
- http {
- .. ..
- upstream webserver {
- server 192.168.2.100 weight=1 max_fails=1 fail_timeout=30;
- server 192.168.2.200 weight=2 max_fails=2 fail_timeout=30;
- server 192.168.2.101 down;
- }
- #weight设置服务器权重值,默认值为1
- #max_fails设置最大失败次数
- #fail_timeout设置失败超时时间,单位为秒
- #down标记服务器已关机,不参与集群调度
- .. ..
- server {
- listen 80;
- server_name localhost;
- location / {
- proxy_pass http://webserver;
- }
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload //重新加载
5.配置upstream服务器集群的调度算法
设置相同客户端访问相同Web服务器,如果希望一个客户端以后访问相同的服务器,可以使用ip_hash,每个请求按照发起客户端的ip的hash结果进行匹配,这样的算法下一个固定ip地址的客户端总会访问到同一个后端服务
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- .. ..
- http {
- .. ..
- upstream webserver {
- #通过ip_hash设置调度规则为:相同客户端访问相同服务器,
- ip_hash;
- server 192.168.2.100 weight=1 max_fails=2 fail_timeout=10;
- server 192.168.2.200 weight=2 max_fails=2 fail_timeout=10;
- }
- .. ..
- server {
- listen 80;
- server_name www.tarena.com;
- location / {
- proxy_pass http://webserver;
- }
- }
- [root@proxy ~]# /usr/local/nginx/sbin/nginx -s reload //重新加载
三、Nginx的TCP/UDP调度器
上面的实验是针对web服务而言,如果我向实现不同服务的反向代理怎么做,比如我想实现ssh远程访问
1.安装nginx服务并且配置安装参数
- [root@proxy ~]# yum -y install gcc pcre-devel openssl-devel //安装依赖包
- [root@proxy ~]# tar -xf nginx-1.12.2.tar.gz
- [root@proxy ~]# cd nginx-1.12.2
- [root@proxy nginx-1.12.2]# ./configure \
- > --with-http_ssl_module //开启SSL加密功能
- > --with-stream //开启4层反向代理功能,必须有这一条
- [root@proxy nginx-1.12.2]# make && make install //编译并安装
2.nginx配置文件
- [root@proxy ~]# vim /usr/local/nginx/conf/nginx.conf
- stream {
- upstream backend {
- server 192.168.2.100:22; //后端SSH服务器的IP和端口
- server 192.168.2.200:22;
- }
- server {
- listen 12345; //Nginx监听的端口
- proxy_connect_timeout 1s; //连接的超时时间,可选配置
- proxy_timeout 3s;
- proxy_pass backend;
- }
- }
补充:为什么listen不监听22端口,因为ssh端口的默认端口是22,假设我们是通过ssh操作这一台服务器的,那么监听这个端口就毫无疑问,因为它已经被占用,所以我们需要一个不被使用的端口来完成这个实验
3.客户端使用访问代理服务器测试轮询效果,如果每次ssh到的服务器ip不同证明实验成功
- [root@client ~]# ssh 192.168.4.5 -p 12345 //使用该命令多次访问查看效果