使用nginx代理s3服务(私有云存储)

最新推荐文章于 2024-05-16 11:18:18 发布
最新推荐文章于 2024-05-16 11:18:18 发布
阅读量2.1k 收藏 18
点赞数 20
文章标签: nginx aws http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kitahiragawa/article/details/134597627
版权

1、背景

公司网络安全原因,私有部署s3服务的机器无法被直接访问,所以需要加一层代理,通过访问代理去访问s3服务器,这里使用nginx进行代理。使用s3服务的方式是在代码中使用官方的java s3 sdk(本文对于其他语言的官方sdk也适用)。
由于在配置过程中遇到了一些问题,如果不对s3协议的签名校验规则比较了解就难以解决此问题,故在此记录分享一下。

2、配置

官方sdk访问云存储提供了方便的接口,下载文件直接getObject(),上传文件直接putObject(),可以让我们不需要关心底层的逻辑,专注与我们的业务开发。sdk在被调用getObject()方法时,会把我们的获取文件动作封装成一个http请求发送出去,sdk封装的请求的过程中会在请求头中放入一些信息,以让s3服务端对请求进行验证。下面展示一个“获取云存储中的所有桶信息”的请求与响应的http报文(云存储地址为10.11.12.13),注意观察请求头中多了一些认证相关的信息:

请求
GET / HTTP/1.1
Host: 10.11.12.13
amz-sdk-invocation-id: *****
amz-sdk-request: attempt=1;max=4
amz-sdk-retry: 0/0/500
Authorization: AWS4-HMAC-SHA256 Credential=*****, SignedHeaders=*****, Signature=*****
Content-Type: application/octet-stream
User-Agent: aws-sdk-java/*****
x-amz-content-sha256: *****
X-Amz-Date: 20231123T015112Z
Content-Length: 0
Connection: Keep-Alive

响应
HTTP/1.1 200 OK
Content-Length: 785
Date: Thu, 23 Nov 2023 01:50:57 GMT
Vary: Origin
Connection: keep-alive

<?xml version="1.0" encoding="utf-8"?>
<ListAllMyBucketsResult xmlns="http://s3.amazonaws.com/doc/2006-03-01">
	<Owner>
		<ID>*****</ID>
		<DisplayName>*****</DisplayName>
	</Owner>
	<Buckets>
		<Bucket>
			<Name>*****</Name>
			<CreationDate>2023-09-28T08:49:10.000Z</CreationDate>
		</Bucket>
	</Buckets>
</ListAllMyBucketsResult>

重点: sdk在计算摘要时,会将请求的路径和请求Host参与摘到计算,所以一定要确保sdk访问nginx的uri和nginx访问云存储的uri保持一致(即请求头中的Host和请求路径要保持不变)。
这个怎么理解呢,直接看下面的两个报文,一个是sdk请求nginx的报文(nginx地址9.8.7.6),一个是nginx转发请求s3服务的报文,可以观察一下nginx转发后请求头中的哪些内容发生了变化,正是这些报文的变化导致了nginx转发到s3服务的请求失败(报错InvalidDigest,SignatureDoesNotMatch):

sdk请求nginx的报文
GET /xxx/x HTTP/1.1
Host: 9.8.7.6
amz-sdk-invocation-id: *****
amz-sdk-request: attempt=1;max=4
amz-sdk-retry: 0/0/500
Authorization: AWS4-HMAC-SHA256 Credential=*****, SignedHeaders=*****, Signature=*****
Content-Type: application/octet-stream
User-Agent: aws-sdk-java/*****
x-amz-content-sha256: *****
X-Amz-Date: 20231123T114100Z
Content-Length: 0
Connection: Keep-Alive

nginx转发请求s3服务的报文
GET / HTTP/1.0
Host: 10.11.12.13
Connection: close
Content-Length: 0
amz-sdk-invocation-id: *****
amz-sdk-request: attempt=1;max=4
amz-sdk-retry: 0/0/500
Authorization: AWS4-HMAC-SHA256 Credential=*****, SignedHeaders=*****, Signature=*****
Content-Type: application/octet-stream
User-Agent: aws-sdk-java/*****
x-amz-content-sha256: *****
X-Amz-Date: 20231123T114100Z

上面我们可以发现两处不同:
在这里插入图片描述
sdk请求到nginx的路径是配置nginx代理规则的时候配的,当请求路径以 /xxx/x开头时,将请求转发到云存储。但是nginx转发到s3服务就不需要这个路径了,所以发生了变化。sdk请求到nginx时host肯定时nginx的地址,nginx请求到云存储时host肯定是云存储的地址,这样没问题。
nginx的这两个在转发后的变化非常合理,但是却导致了云存储认证的时候报错。原因就是sdk在发送请求时将 9.8.7.6/xxx/x加入了摘要的计算,但是正确的云存储访问应该是10.11.12.13/,这样就导致了问题,s3服务端那边将这个host的值和路径的值取过来进行运算,发现了不匹配,于是就报错了。
那么怎样修改使得s3那边不报错呢?很简单,只需要保证Host的值不变、sdk到nginx的路径和nginx到云存储的路径不变(即uri不变),就可以了。这里需要修改nginx的代理配置,首先要求代理的匹配规则必须为’/',然后将Host的值赋值到header中,看下面的配置:

		location / {
		    proxy_pass   http://10.11.12.13:80;
			
			proxy_set_header Host 9.8.7.6;
		}

这里一定要注意,1、匹配的规则一定是 / ,不能是/x这种自定义匹配规则。2、转发后请求头的Host的值一定要和转发前请求头中的Host值相等,这里修改Host的值并不会导致请求转发不了。
在这里插入图片描述
经过如上配置后,使用sdk访问niginx就不会出错了,摘要认证就通过了。

北白川鳕子
关注
  • 20
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx反向代理aws S3 ,解决S3返回500、502、503错误
醉世老翁的博客
12-05 1103
nginx反向代理S3,解决S3出现5XX错误
nginx的一点小用法-代理国外s3对象存储加速
saynaihe的博客
07-14 701
有一套环境部署在aws 新加坡区,资源使用s3对象存储,也用了cloudfront加速,但是but国内访问最近抽筋,也特意看了一下解析的地址IP…加速的地址在usa…资源加速太慢了就想到了用nginx缓存加速一下!当然了还可以用国内腾讯云cos or 阿里云oss同步到国内?但是生命周期,同步成本估计会很高,就简单用nginx先尝试一下了!
nginx代理文件上传
lonelyhiker
05-16 700
使用Nginx作为反向代理处理文件上传的场景中,默认情况下,Nginx会先接收并缓存整个上传文件到磁盘或内存,然后再将文件转发给后端的文件上传服务
ngnix转发S3预签名地址
weixin_44739106的博客
07-04 354
流程:业务系统进行上传操作,后端返回给前端一个s3的预签名地址(默认预签名的ip和端口为minio的ip和minio的API端口,后端替换为ngnix所在服务器1的ip和ngnix监听的端口),前端去请求后端返回的预期签名地址。proxy_pass http://minio所在的服务器ip:minio的API端口/存储桶名;proxy_set_header Host minio所在的服务器ip:minio的API端口;情景:nginx服务器1已,minio在服务器2, 业务系统在服务器3 服务器互通。
nginx-s3-gateway代理对象存储
段帅星的博客
12-14 1011
nginx-s3-gateway
S3对象存储可视化管理工具客户端大全
Arlo的博客
08-09 5083
S3对象存储可视化管理工具客户端大全
s3-nginx-proxy:轻量级kubernetes可部署的基于Nginx的缓存反向代理
05-05
s3-nginx-proxy 一个功能丰富的基于Amazon S3 NGINX代理,可在Docker和Kubernetes中运行。 特征 对专用存储桶的身份验证 多个水桶 每个存储桶多个域 多个地区 共享缓存 每次配置更新后自动重新加载(也在生产中) 用法 推荐的设置是为每个s3-nginx-proxy部署创建一个AWS IAM用户。 然后,您应该附加一个策略,以在所需的存储分区上以独占方式授予它GetObject权限,例如: { " Version " : " 2012-10-17 " , " Statement " : [ { " Sid " : " VisualEditor0 " , " Effect " : " Allow " , " Action " : " s3:GetObject " , " Resourc
VueFileManager私有云盘多用户网盘程序源码 支持本地储存/多用户付费模式
03-27
基于 Laravel 和 Vue 开发的一款网盘程序源码,界面十分美观,且支持本地储存、亚马逊 S3、阿里云 OSS 以及其他多种储存模式,程序在一些细节上做的也是非常的好,还支持团队协作和多用户付费模式。 所需环境 ...
PHP云盘网盘系统源码 快速对接多家云存储 全新一键安装版.zip
最新发布
06-14
快速对接多家云存储,支持七牛、又拍云、阿里云OSS、AWS S3、Onedrive、自建远程服务器,当然,还有本地存储。 自定义主题配色。 图片、音频、视频、文本、Markdown、Ofiice文档 在线预览。 移动端全站响应式布局。 ...
canvas-lms-cloud:在从简单的本地虚拟机实例到水平扩展、容错、负载平衡的私有云的所有内容上自动配置、部署和托管开源 Canvas LMS
06-06
在从简单的本地虚拟机实例到水平扩展、容错、负载平衡的私有云的所有内容上自动配置、部署和托管 Canvas LMS。 特征 高可用、容错、横向扩展设计 无需专用硬件防火墙或负载平衡器 Nginx 用作 SSL 终结器、静态缓存...
Laravel和Vue提供支持的私有云盘多用户网盘程序源码
04-04
使用由 Laravel 和 Vue 开发的一款网盘程序源码,界面十分美观,且支持本地储存、亚马逊S3、阿里云OSS以及其他多种储存模式,程序在一些细节上做的也是非常的好,还支持团队协作和多用户付费模式。 所需环境 ...
docker-nginx-s3proxy:基于 nginxs3 代理 - docker
07-09
基于 nginxs3 代理 - docker 从 S3 为您的静态主页提供服务,同时通过在 docker 中运行的 nginx 代理来保持存储桶的私密性。 用法 克隆这个 repo: git clone --recursive https://github.com/tinnet/docker-nginx-s3proxy.git 构建图像: cd docker-nginx-s3proxy docker build -t nginx-s3proxy . 从该映像运行容器: docker run \ -e S3PROXY_BUCKET_NAME="<S3>" \ -e S3PROXY_AWS_ACCESS_KEY="<AWS>" \ -e S3PROXY_AWS_SECRET_KEY="<AWS>" \ -p
nginx-s3-gateway:NGINX S3缓存网关
05-06
NGINX S3网关 该项目提供了一个示例,将NGINX配置为充当对S3 API的只读请求(GET / HEAD)的身份验证和缓存网关。 潜在用例 使用S3的替代身份验证系统提供身份验证网关 缓存频繁访问的S3对象,以降低延迟交付并防止S3中断 对于无法根据S3 API进行身份验证的内部/微服务(例如,没有可用的库),网关可以提供一种无需身份验证即可访问S3对象的方法 从网关到最终用户压缩对象( , ) 保护S3存储桶免受任意公共访问和遍历 限速S3对象 使用保护S3存储桶 在一个RESTful目录结构中,将S3存储桶中的静态资产与动态应用程序终结点一起提供 用法 很少有用户会发现此项目足以满足他们的用例。 因此,最好借鉴此项目中的模式并构建自己的配置。 例如,如果要在NGINX S3网关配置中启用SSL / TLS和压缩,则将需要查看其他资源,因为此项目未启用NGINX的那些功能。
Android拍照上传服务
11-07
3. **文件存储**:服务器端也需要将接收到的图片文件存储到本地磁盘、云存储服务(如AWS S3或阿里云OSS)或数据库(如MongoDB的GridFS)。 4. **安全性**:确保上传的文件安全,避免恶意文件。可以通过检查文件类型...
基于PHP的AmoliCloud(快速搭建私有云盘系统) 基于php5.6+.zip
07-17
AmoliCloud是一款基于PHP开发的私有云存储系统,它专为个人或组织提供便捷、安全的数据存储解决方案。本文将详细介绍如何使用PHP5.6+版本快速搭建AmoliCloud私有云盘系统,并探讨该系统的核心特点和技术实现。 首先...
PHP基于云服务部署的私人网盘系统源码.zip
11-02
总之,"PHP基于云服务部署的私人网盘系统源码.zip"提供了一个实现私有云存储的框架,借助PHP的灵活性和云服务的弹性,可以为用户提供高效、安全的个人数据存储平台。开发者可以通过学习和修改这个源码,进一步定制化...
nginx proxy_pass转发规则解析
shuxiaohua的博客
05-03 9621
综述 nginx官方网站讲解proxy_pass时,只给了规则的说明,并没有给出具体的示例辅助理解。对于英语不太好的人,理解起来真的很头痛,只能通过测试来验证对英文意思的猜测。 nginx对proxy_pass的官方说明见http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass 其将proxy_pass的转发规则分为3类: url中带path路径 url中不带path路径 nginx无法确认url的替换规则 url中带path
S3 服务(Simple Storage Service简单存储服务) 简介(与hdfs同一级)
weixin_33755649的博客
01-11 2435
                          图1  spark 相关   亚马逊云存储S3(Simple Storage Service简单存储服务) (转 )   S3是Simple Storage Service的缩写,即简单存储服务。亚马逊的名词缩写也都遵循这个习惯,例如Elastic Compute Cloud缩写为EC2等等。其他组织类似的命名有W3C,如果我们也follow...
自建AWS S3存储服务
weixin_30230009的博客
02-15 1613
unsetunset前言unsetunsetAWS S3(Amazon S3,全名为亚马逊简易存储服务),是亚马逊公司利用其亚马逊网络服务系统所提供的网络在线存储服务。我常用的很多SaaS服务中提供的文件存储功能,底层也都是AWS S3,比如:Cloudflare中的R2基于AWS S3构建的Supabase页可以兼容AWS S3(自建时,默认直接文件存储服务器本地)本文,简单自建一个与AWS ...
linux服务使用Nginx配置代理服务
05-21
Nginx可以用作反向代理服务器,将来自客户端的请求转发到后端服务器。以下是配置Nginx作为代理服务器的步骤: 1. 安装Nginx 运行以下命令安装Nginx: ``` sudo apt-get update sudo apt-get install nginx ``` 2. 配置Nginx 在/etc/nginx/sites-available/目录下创建一个新的配置文件。例如,可以使用以下命令创建一个名为example.com的配置文件: ``` sudo nano /etc/nginx/sites-available/example.com ``` 在该文件中添加以下内容: ``` server { listen 80; server_name example.com; location / { proxy_pass http://backend_server_ip:port; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } ``` 其中,backend_server_ip是后端服务器的IP地址,port是后端服务器的端口号。 保存并关闭文件。 3. 启用配置文件 使用以下命令将刚刚创建的配置文件链接到sites-enabled目录中: ``` sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/ ``` 4. 重新加载Nginx配置 运行以下命令以重新加载Nginx配置: ``` sudo systemctl reload nginx ``` 现在,Nginx将转发来自example.com的请求到后端服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值