一. 防盗链
1. 防盗链概念
防盗链简单来说就是存在我们服务种的一些资源,只有我们规定的合法的一类人才能去访问,其他人就不能去访问的资源(如css,js,img等资源).
具体点就是用户发送请求给nginx服务器,nginx服务器根据请求去寻找资源,请求的比如说是有个index.html文件,这个文件中会包含很多js,css,img等资源,这些文件在这个骨架中会被二次请求,在第二次请求时,会在请求头部加上有个referer,这个referer只会在第二次请求时才会被加上. (referer表示第二次资源的来源地址).
2. Nginx防盗链的具体实现
valid_referers:nginx
会通过查看referer自动和valid_referers后面的内容进行匹配,如果匹配到了就$invaild_referer变量置0,如果没有匹配到,则将 $invaild_referer变量置为1,匹配的过程不区分大小写.
语法:vailad_referers none|blocked|server_names|string.
默认值: -
位置(可以书写的地方): server, location.
none
: 如果header中的referer为空,允许访问.
blocked
: 在header中的referer不为空,但是该值被防火墙或代理服务器
进行伪装过,如不带"http://" , “https://” 等协议头的资源允许访问.
server_names
: 指定具体的域名或IP.
配置:
进入配置文件进行配置.
这里主要是对一些图片资源进行防盗(下面有配置的详细说明).
location ~ .*\.(png|jpg|gif)$
location:输入的url后面跟的路径,如果路径与location后的内容相匹配就执行location下的内容
~:开始正则匹配
.*:.表示出换行符/n之外的所有字符,*就是匹配0次或多次。
\.:\转译符号将具有特殊含义的字符,转为纯字符型,.这里有包含任意字符的意思,所以需要转译
(png|jpg|gif)$:表示结尾要是以png、jpg、gif为结尾
vaild_referers none blocked www.baidu.com
这个是如果返回的头部referer为www.baidu.com那么就不会执行valid_referer下面内容,反之就会
if ($invalid_referer)
这个含义就是结合上面的valid_referer,如果请求头部为www.baidu.com,那么就$invalid_referer就会被赋值为0,就不会执行返回错误代码401,如果不是www.baidu.com,那么就会赋值为1,就会执行下面内容
return 401:返回错误代码401
其实配置到这一步已经完成了对于防盗链的配置.
提前准备好一张图片用来验证:
3. 验证和验证时的问题
配置好文件后 -s reload 一下服务.
然后开始验证.
我们不是明明对默认的html中文件进行了防盗的配置了吗, 那为什么我们直接输入ip和后面的以.jpg为结尾的路径还是会输出图片呢?为什么不是返回401报错呢?
解答:这里主要有两个原因:这种形式的访问是直接请求服务器中默认html中的1.jpg文件,是没有头部的(只有二次以上请求才会有referer头部),并且我们在配置文件中添加了[none]这个参数,它的含义就是当我们在没有头部referer时,依然能访问到文件,所以我们配置的防盗链在这个时候是不起作用的。
真正的验证
没有none的验证
如果我们把none参数去掉看一下效果就行了.
再访问一下,这就有防盗了.
这样也就能验证成功了.
加上none参数的验证
我们需要自己写一个或者复制html文件.
这里直接复制了index.html 中的文件,并在其中添加了图片路径.
看一下页面效果.
就是这样.
配置还是一开始的加none的那个.
我们去访问这个1.html文件时看一下效果(下图的开发者界面按"F12"就能出来)
因为无法匹配到这个头部IP,所以就会报401的错误.
让我们报错时,不再是数字,而是这张图片.
配置文件在下面:
我们使用rewrite重定向,让它向我们返回这张图片:
rewrite ^/ /2.jpg
rewrite:就是重定向url
^/:重定向到哪,^/表示所有
/2.jpg:将什么重定向到哪
在访问一下,看一下之后的效果.
会发现我们新添的这张图,代替了先前图的位置.
到此这就是防盗链的东西了.
二. 高可用
1. 什么是nginx高可用?
只有一台nginx服务器时,如果nginx服务器挂掉了,那么请求就无法访问.
要实现高可用,那就可以部署多台nginx服务器,下面以两台nginx服务器为例,示意图如下:
要配置nginx集群,至少需要满足以下条件:
(1)需要两台nginx服务器.
(2) 需要keepalived.
(3)需要虚拟ip.
2.配置可用的Nginx集群
(1) 需要两台服务器 192.168.200.130 和 192.168.200.131
(2) 在两台服务器安装nginx
(3) 在两台服务器安装keepalived
yum install keepalived -y
安装之后,在etc里面生成目录keepalived, 有文件keepalived.conf .
(4)完成高可用配置(主从配置)
主服务器keepalived.conf 配置文件内容:
! Configuration File for keepalived
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.200.130
smtp_connect_timeout 30
router_id LVS_DEVEL
vrrp_skip_check_adv_addr
vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
}
vrrp_script chk_http_port {
script "/usr/local/src/nginx_check.sh"
interval 2
weight 2
}
vrrp_instance VI_1 {
state MAXTER
interface ens33
virtual_router_id 51
priority 100
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.100
}
}
从服务器keepalived.conf配置文件内容:
! Configuration File for keepalived
global_defs {
notification_email {
acassen@firewall.loc
failover@firewall.loc
sysadmin@firewall.loc
}
notification_email_from Alexandre.Cassen@firewall.loc
smtp_server 192.168.200.131
smtp_connect_timeout 30
router_id LVS_DEVEL
vrrp_skip_check_adv_addr
vrrp_strict
vrrp_garp_interval 0
vrrp_gna_interval 0
}
vrrp_script chk_http_port {
script "/usr/local/src/nginx_check.sh"
interval 2
weight 2
}
vrrp_instance VI_1 {
state BACKUP
interface ens33
virtual_router_id 51
priority 90
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
192.168.200.100
}
}
在主从服务器的/usr/local/src添加检测脚本nginx_check.sh
#!/bin/bash
A=`ps -C nginx –no-header |wc -l`
if [ $A -eq 0 ];then
/usr/local/nginx/sbin/nginx
sleep 2
if [ `ps -C nginx --no-header |wc -l` -eq 0 ];then
killall keepalived
fi
fi
把两台服务器上nginx 和 keepalived 启动。
启动nginx : ./nginx
启动 keepalived: ststemctl start keepalived.service.
查看keepalived 进程.
(5)最终测试
在浏览器地址栏输入虚拟ip地址192.168.200.100
能访问到nginx主页, 说明配置成功.
用ip a命令也可以看到,两台服务器都已经绑定了虚拟ip.
把主服务器( 192.168.200.130 ) nginx 和 keepalive 停止, 再输入 192.168.200.100 (虚拟ip).
再次查看进程
进程已经不存在了.
这时候再次访问虚拟ip.
这时候就是从服务器.