文章目录
一、前言
反向代理的概念
通常情况下,客户端向Web服务器发送请求,Web服务器响应请求并返回数据。而在反向代理中,客户端的请求不直接发送到Web服务器,而是发送到反向代理服务器。反向代理服务器会将请求转发给真实的Web服务器,Web服务器响应请求并将数据返回给反向代理服务器,反向代理服务器再将数据返回给客户端。客户端认为它正在与反向代理服务器通信,但实际上是与真实的Web服务器通信。
使用反向代理可以带来以下优点:
-
负载均衡:反向代理服务器可以将请求分发到多台真实的Web服务器,从而实现负载均衡,避免单个服务器被过度负载。
-
安全加固:反向代理服务器可以隐藏后端Web服务器的真实IP地址,从而增强服务器的安全性,防止攻击者直接攻击后端服务器。
-
流量控制:反向代理服务器可以控制访问某些资源的流量,从而避免服务器被过度访问。
Nginx反向代理的工作原理基于HTTP协议。当客户端向Nginx服务器发送请求时,Nginx服务器会根据请求的URL,查找其配置文件中的反向代理规则。如果找到了匹配的规则,Nginx会将请求转发到后端服务器,并将后端服务器的响应返回给客户端。
具体来说,Nginx反向代理的工作流程如下: -
客户端发送请求:客户端发送请求到Nginx服务器,请求的URL与Nginx的反向代理规则匹配。
-
Nginx查找规则:Nginx查找其配置文件中的反向代理规则,并找到匹配的规则。
-
转发请求:Nginx将请求转发到后端服务器,后端服务器响应请求。
-
返回响应:Nginx将后端服务器的响应返回给客户端,客户端认为它正在与Nginx服务器通信。
在Nginx的配置文件中,我们可以使用upstream指令定义后端服务器的列表,并使用server指令定义要代理的域名和端口号。在location {}部分,我们使用proxy_pass指令将请求转发到我们定义的后端服务器上。
这里说明一下在Nginx中怎么配置反向代理,
在nginx中的conf配置文件中开头的第一行是这个,
user root;#设置Nginx的运行用户。
这里配置的user对应的nginx的启动用户,在linux中是区分的用户的,所以这里填写的时候要看你的nginx启动的时候是用什么用户身份启动的,不然会出现服务正常启动,但是配置的一些静态资源无法访问的问题这里要注意。
二、反向代理配置
第一种
第一步
在nginx.conf配置文件中找到http这个标签块,在http标签块中添加如下代码:
upstream backend {
ip_hash;#定义的使用那个负载均衡策略
server 127.0.0.1:8080;#这里放置要被代理的服务器域名或ip加端口,当然也可以不加
}
这个upstream是为了定义反向代理的后端服务器列表backend是名称,upstream还可以指定负载均衡算法,使用ip_hash算法对后端服务器进行负载均衡,即根据客户端IP地址的hash值来选择后端服务器。这样可以保证同一个客户端的请求始终由同一个后端服务器处理,从而避免数据不一致的问题。
第二步
找到一个server,在server内部的location规则区域下写入proxy_pass http://backend;这端代码,这里就是进行代理的操作,当有用户去访问你服务器的时就会执行你代理的这个域名地址了。proxy_pass指令使用http://backend作为反向代理的后端服务器,这里的backend就是之前定义的upstream名字。
http {
upstream backend {
server 127.0.0.1:8000;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://backend;
}
}
}
第二种方式不使用upstream
直接在proxy_pass后放入要被代理的服务器,这种情况具有局限性,并不能做到负载均衡只限于一个被代理服务器的情况下。
proxy_pass http://目标服务器域名或者ip+端口号
三、完整配置文件
以下是完整的配置文件
user root;#设置Nginx的运行用户。
worker_processes 2;#设置Nginx启动时的worker进程数量
worker_rlimit_nofile 32768;#设置每个worker进程能够打开的最大文件数。
events {
worker_connections 2048;#worker进程可以同时处理的连接数
}
http {#设置Nginx的HTTP协议相关参数。
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
upstream backend {#定义反向代理的后端服务器列表和负载均衡方式,可以使用round-robin、ip-hash等算法进行负载均衡
server 127.0.0.1:8000;#这里配置了一个被代理服务器地址,仅做示例。可以配置多个。
}
server {
listen 80;#设置Nginx监听的IP地址和端口号。
server_name localhost;#设置Nginx监听的服务器名称。
location / {#设置Nginx的请求处理规则。
# 调整到100s
proxy_connect_timeout 60; #nginx跟后端服务器连接超时时间(代理连接超时)默认60s
proxy_read_timeout 60; #后端服务器数据回传时间(代理发送超时)默认值60s
proxy_send_timeout 60; #连接成功后,后端服务器响应时间(代理接收超时)默认值60s
proxy_pass http://backend; #设置Nginx代理服务器的地址。
}
}
四、相关参数说明
各参数说明
以下是Nginx中nginx.conf文件的常用参数列表:
user
指定Nginx运行的用户和组,格式为"user group;"
worker_processes
指定worker进程的数量,通常设置为CPU核心数的2倍或4倍
worker_rlimit_nofile
指定每个worker进程可以打开的最大文件数
pid
指定Nginx主进程的PID文件路径
events
定义Nginx处理连接的模式和参数,包括:
worker_connections
指定每个worker进程可以同时处理的连接数
multi_accept
指定是否启用多次accept
http
定义HTTP协议相关的参数,包括:
server
定义虚拟主机的配置,可以设置监听的IP地址和端口号,以及服务器名、域名等信息
location
定义URL路径的匹配规则和对应的处理方式,例如可以设置不同的反向代理、静态文件目录、CGI脚本等
access_log
指定访问日志的路径和格式
error_log
指定错误日志的路径和级别
types
定义文件类型的映射关系,可以设置不同的MIME类型和文件扩展名
upstream
定义反向代理的后端服务器列表和负载均衡方式,可以使用round-robin、ip-hash等算法进行负载均衡
include
用于导入其他配置文件,可以使用通配符和目录名,例如可以使用include /etc/nginx/conf.d/*.conf来导入conf.d目录下的所有配置文件。
gzip on;
该指令表示开启gzip压缩,将响应数据压缩后发送到客户端。
五、补充总结
worker_rlimit_nofile和worker_connections的关系
worker_rlimit_nofile和worker_connections的关系(最大打开文件数和worker的连接数之间有什么关系)
在Nginx服务器中,每个worker进程都可以打开一定数量的文件,其中包括socket连接、日志文件、配置文件等等。如果Nginx服务器的并发连接数很高,那么每个worker进程需要打开的文件数量也会相应增加。
如果Nginx服务器的最大打开文件数限制较低,可能会导致worker进程无法打开足够数量的文件,从而影响Nginx服务器的性能。因此,为了确保Nginx服务器的正常运行,通常需要将最大打开文件数设置为足够高的值。
另一方面,Nginx服务器的worker连接数也会受到最大打开文件数的限制。如果每个worker进程能够打开的文件数量受到限制,那么每个worker进程可以处理的连接数也会相应受到限制。因此,为了支持更高的并发连接数,通常需要将最大打开文件数设置为足够高的值。
需要注意的是,最大打开文件数和worker连接数之间的关系并不是线性的。如果Nginx服务器的worker连接数很高,那么需要打开的文件数量也会相应增加,但是增加的速度可能会比较慢,因此在设置最大打开文件数时,需要综合考虑Nginx服务器的实际情况和性能需求。
SSL证书配置相关信息
在Nginx中配置SSL证书需要经过以下步骤:
-
获取SSL证书和私钥
首先需要获取SSL证书和私钥。可以从一些受信任的证书颁发机构(CA)购买证书,也可以自己生成自签名证书。一般情况下,SSL证书和私钥都需要保存在同一个目录下,例如/etc/nginx/ssl/。 -
修改Nginx配置文件
在Nginx的配置文件中添加SSL相关的配置。一般来说,需要修改nginx.conf文件,找到对应的server块,添加以下配置项:
server {
listen 443 ssl; # 启用SSL协议
server_name example.com; # 服务器名
ssl_certificate /etc/nginx/ssl/example.com.crt; # SSL证书路径
ssl_certificate_key /etc/nginx/ssl/example.com.key; # SSL私钥路径
location / {
# 站点配置
}
}
上述配置中,listen指令启用SSL协议并指定监听端口为443,server_name指定服务器名,ssl_certificate和ssl_certificate_key分别指定SSL证书和私钥文件的路径。其中,证书文件一般以.crt结尾,私钥文件一般以.key结尾。
- 配置加密协议
在Nginx中,可以通过指令来配置SSL加密协议和加密套件。例如:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256;
上述配置指定了使用TLSv1、TLSv1.1和TLSv1.2协议,使用ECDHE-RSA-AES128-GCM-SHA256和ECDHE-ECDSA-AES128-GCM-SHA256加密套件。在配置加密协议时,需要权衡安全性和性能,选择适合自己的加密套件。
- 配置SSL会话缓存
在Nginx中,可以通过指令来配置SSL会话缓存,提高性能和安全性。例如:
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
上述配置指定了使用名为SSL的共享缓存,缓存大小为10MB,缓存时间为10分钟。在配置会话缓存时,需要注意缓存的大小和时间,根据实际情况调整。
5. 重启Nginx
修改Nginx配置文件后,需要重启Nginx服务,使配置生效。可以使用以下命令:
sudo systemctl restart nginx
需要注意的是,如果配置文件存在错误,Nginx会启动失败。可以使用以下命令检查配置文件是否正确:
sudo nginx -t
以上就是在Nginx中配置SSL证书的详细步
3570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
