22年全国职业技能大赛——Web Proxy配置(web 代理)

前言：原文在我的博客网站中，持续更新数通、系统方面的知识，欢迎来访！

系统服务（22年国赛）—— web Proxy服务（web代理）https://myweb.myskillstree.cn/114.html

目录

RouterSrv

关闭防火墙和SELinux

申请SSL签字证书

创建Nginx的代理配置文件和配置缓存

创建服务监控脚本：/shells/chkWeb.sh

测试（已做好DNS解析）：

---

RouterSrv

• 安装 Nginx 组件；

                配置文件名为 proxy.conf，放置在/etc/nginx/conf.d/目录下；

                为 www.chinaskills.cn 配置代理前端，通过 HTTPS 的访问后端 Web服务器；

                后端服务器日志内容需要记录真实客户端的 IP 地址；

                缓存后端 Web 服务器上的静态页面；

• 创建服务监控脚本：/shells/chkWeb.sh；

                编写脚本监控公司的网站运行情况；

                脚本可以在后台持续运行；

                每隔 3S 检查一次网站的运行状态，如果发现异常尝试 3 次；

                如果确定网站无法访问，则返回用户“The site is being maintained”。

关闭防火墙和SELinux

systemctl stop firewalld
setenforce 0

安装Nginx

        使用WinScp软件或Windows自带SCP命令上传Centos的扩展yum源软件包到RouterSrv上

        修改原先的本地yum源文件

vim /etc/yum.repos.d/local.repo
在原先的基础上添加以下内容：
[package]
name=local
baseurl=file:///mnt/package
gpgcheck=0
enable=1
保存退出
yum update                            # 更新yum源软件列表
yum install nginx  -y                 # 使用yum安装nginx
systemctl restart nginx               # 启动nginx

        打开浏览器，输入nginx服务器的ip地址如果出现以下内容则安装成功！

申请SSL签字证书

RouterSrv

mkdir /CA && cd /CA
openssl genrsa -out nginx.key 2048
openssl req -new -key nginx.key  -out nginx.csr -days 365
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [XX]:CN
    State or Province Name (full name) []:China
    Locality Name (eg, city) [Default City]:BeiJing
    Organization Name (eg, company) [Default Company Ltd]:skills
    Organizational Unit Name (eg, section) []:Operations Departments 
    Common Name (eg, your name or your server's hostname) []:web.chinaskills.cn
    Email Address []:
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

        将生成的待签字复制到AppSrv上

scp /CA/nginx.csr root@192.168.100.100:/csk-rootca

        AppSrv上进行签字后送回

cd /csk-rootca/
openssl ca -in nginx.csr -out certs/nginx.crt
scp certs/nginx.crt root@192.168.100.254:/CA

创建Nginx的代理配置文件和配置缓存

vim /etc/nginx/conf.d/proxy.conf
添加以下内容：
server {
        listen 80;
        listen 443 ssl;
        ssl_certificate "/CA/nginx.crt";
        ssl_certificate_key "/CA/nginx.key";
        server_name web.chinaskills.cn;
        location ~.*\.* {
        proxy_pass http://www.chinaskills.cn;
        proxy_set_header x-real-ip $remote_addr;

        proxy_cache proxy;
        proxy_set_header Host $host;
        proxy_cache_valid 200 301 302 5m;

}
}
保存退出

        缓存配置

vim /etc/nginx/nginx.conf
在http下添加以下内容：
    proxy_cache_path /cache levels=1:2 keys_zone=proxy:20m max_size=20m;
保存退出
mkdir /cache                                        # 创建缓存目录

        在AppSrv上将Apache的缓存日志修改

vim /etc/httpd/conf/httpd.conf 
在%h后添加%{x-real-ip}i即可
     LogFormat "%h %{x-real-ip}i %l %u %t \"%r\" %>s %b \"%{Referer}i
\" \"%{User-Agent}i\"" combined
保存退出
systemctl restart httpd                              # 重启Apache服务

创建服务监控脚本：/shells/chkWeb.sh

RouterSrv

mkdir /shells 
vim /shells/chkWeb.sh
添加以下内容：
#!/bin/bash
url=https://www.chinaskills.cn
o=`curl -s -k $url -I |grep 'OK' |awk '{print $2}'`
while [ true ]; do
/bin/sleep 3
  if [[ $o -eq 200 ]];then
     echo "$url 正常打开 3s"
     else
        for i in 1 2 3;do
          if [[ $o -eq 200 ]];then
              echo "$url 正常打开"
          else echo "$url 异常 $i"
          fi
        done
        echo "The site is being maintained"
  fi
done
保存退出

重启nginx服务

systemctl restart nginx

测试（已做好DNS解析）：

InsideCli

        刚开始Nginx的缓存目录里面是什么都没有的

cd /cache
ll

接下来我们在客户端上访问一下

        客户端打开火狐浏览器，输入：https://web.chinaskills.cn

        此时再查看缓存目录（nginx.conf中指定的）会发现多了个目录

**** 如果出现配置的www站点的反向代理但是跳转到的是Apache的download站点

原因：

        1、www和download站点都占用的是443端口；

        2、配置文件加载的时候download比www站点更先加载，因为我的两个配置文件名分别是www.chinaskills.cn.conf和download.chinaskills.cn.conf，而在英文排序中d在w前面，所以会被先加载（亲自测试过）

解决方法：

        1、修改download站点的端口；

        2、在http.conf文件的倒数第二行添加引用www站点配置文件的配置，保证它在download配置文件之前被引用（推荐），如下：

        在Apache服务器的日志文件中查看访问者的真实IP地址

tail -n 1 /etc/httpd/logs/access_log 
    192.168.100.254 192.168.0.190 - - [26/Mar/2024:19:43:22 +0800] "GET / HTTP/1.0" 200 51962 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

        运行监控脚本进行测试：

bash /shells/chkWeb.sh
显示以下内容：
    https://www.chinaskills.cn 正常打开 3s
    https://www.chinaskills.cn 正常打开 3s
    https://www.chinaskills.cn 正常打开 3s

        关闭Apache服务后再次尝试

systemctl stop httpd
bash /shells/chkWeb.sh
显示以下内容：
    https://www.chinaskills.cn 异常 1
    https://www.chinaskills.cn 异常 2
    https://www.chinaskills.cn 异常 3
    网站正在维护中...