nginx代理转发

Nginx常见场景代理转发配置

 

注意:本文出自 “阿飞”的博客 ,如果要转载本文章,请与作者联系!

并注明来源: http://blog.csdn.net/faye0412/article/details/75200607

 

 

在这里分享的不是nginx的配置文件说明,而是nginx常用的转发代理配置(比如线上多域名配置,后端各种转发代理配置以及较为复杂的代理转发配置),另外还会对常用的转发代理参数配置进行说明。

 

nginx配置文件说明请参考:

1)http://www.cnblogs.com/hunttown/p/5759959.html

2)http://www.jianshu.com/p/1b44b5142155

 

一、代理转发

nginx的代理转发主要是在server部分进行配置。如果转向到制定域名或子域名,则需要在godaddy、阿里云等域名解析中预先配置(子)域名并指定IP。本文中主要描述通配符域名的配置,这样更具有通用性。

server部分配置为:

 

 
  1. server {

  2. listen 80;

  3. server_name *.yourdomain.com;

  4. ......

如果是https则修改listen部分即可:

 

 

listen       443 ssl;

 

* https配置还需要单独配置ssl部分的内容,证书不一样,配置方式也有差异,这里不做介绍。

 

一般情况下,我们会有如下常见的几种需求

 

1)指向到公司官网或其他产品网(一级域名)
每个域名单独配置一个server即可,如HTTPS的配置如下:

 

 
  1.     server {

  2.         listen 443 ssl;

  3.         server_name www.yourdomain.com; #修改为需要的一级域名即可

  4.  
  5.         access_log logs/ssl.access.log;

  6.         error_log logs/ssl.error.log crit;

  7.  
  8.         include ssl_params;

  9.  
  10.         location / {

  11.                 index  index.html index.htm index.php;

  12.                 index  proxy_set_header Host $host;

  13.                 index  proxy_set_header X-Real-IP $remote_addr;

  14.                 index  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  15.                 proxy_pass http://server_cluster; #后端服务器,具体配置upstream部分即可

  16.         }

  17.  
  18.     }

 

 

2)指向到公司内部管理系统等等(二级域名)

同1)部分的配置,只需要修改server_name部分即可:

 

server_name	    二级域名.yourdomain.com; #修改为需要的二级域名即可

 

3)二级域名下多个服务转发

比如:

http://dev.yourdomain.com/nexus

http://dev.yourdomain.com/zentao

http://dev.yourdomain.com/adminsys

...

而后端服务可能会部署在不同的server容器中,比如tomcat、php-fpm/fastcgi、第三方服务...

server部分需要先配置第2)点部分内容,然后再配置该server下的location转发,常见location配置场景如下:

a)转发到后端Tomcat

 

 
  1. location /location名称/ {

  2. proxy_set_header Host $host;

  3. proxy_set_header X-Real-IP $remote_addr;

  4. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  5. proxy_pass http://127.0.0.1:8080/服务名/;

  6. }

tomcat的转发是很简单的了,这里不需要多说。

 

 

b)转发到php-fpm

将所有php页面的请求转给php-fpm处理:

 

 
  1. location ~ \.php$ {

  2. try_files $uri =404;

  3. fastcgi_split_path_info ^(.+\.php)(/.+)$;

  4. fastcgi_pass unix:/var/run/php5-fpm.sock;

  5. fastcgi_index index.php;

  6. fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

  7. include fastcgi_params;

  8. }


fastcgi_params配置:

 

 

 
  1. fastcgi_param QUERY_STRING $query_string;

  2. fastcgi_param REQUEST_METHOD $request_method;

  3. fastcgi_param CONTENT_TYPE $content_type;

  4. fastcgi_param CONTENT_LENGTH $content_length;

  5.  
  6. fastcgi_param SCRIPT_NAME $fastcgi_script_name;

  7. fastcgi_param REQUEST_URI $request_uri;

  8. fastcgi_param DOCUMENT_URI $document_uri;

  9. fastcgi_param DOCUMENT_ROOT $document_root;

  10. fastcgi_param SERVER_PROTOCOL $server_protocol;

  11. fastcgi_param HTTPS $https if_not_empty;

  12.  
  13. fastcgi_param GATEWAY_INTERFACE CGI/1.1;

  14. #fastcgi_param SERVER_SOFTWARE nginx;

  15. fastcgi_param SERVER_SOFTWARE nginx;

  16.  
  17. fastcgi_param REMOTE_ADDR $remote_addr;

  18. fastcgi_param REMOTE_PORT $remote_port;

  19. fastcgi_param SERVER_ADDR $server_addr;

  20. fastcgi_param SERVER_PORT $server_port;

  21. fastcgi_param SERVER_NAME $server_name;

  22.  
  23. # PHP only, required if PHP was built with --enable-force-cgi-redirect

  24. fastcgi_param REDIRECT_STATUS 200;


注意!

 

配置不具备通用性,需要根据自己服务器及实际业务需要进行配置和调整。

这里的配置仅提供参考。

 

d)转发到第三方域名(第三方接口服务)

比如做支付时,内部系统需要通过代理转发到银联支付接口:

 

 
  1. location /unionpay/ {

  2. proxy_set_header Host gateway.银联.com;

  3. proxy_set_header X-Real-IP $remote_addr;

  4. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  5. proxy_pass https://gateway.银联.com/;

  6. }


这里的proxy_set_header Host必须配置。

 

 

4)强制http转https访问

80端口部分server配置:

 

 
  1. server {

  2. listen 80;

  3. server_name api.yourdomain.com;

  4. location / {

  5. rewrite ^/(.*) https://api.yourdomain.com/$1 permanent ;

  6. break;

  7. }

  8. error_page 497 https://$host:$server_port$request_uri;

  9. }

当用户通过HTTP 80访问时,nginx将强制转换为HTTPS 443访问。
 

 

443端口部分server配置:

 

 
  1. server {

  2. listen 443 ssl;

  3. server_name api.yourdomain.com;

  4.  
  5. access_log logs/ssl.api_access.log;

  6. error_log logs/ssl.api_error.log crit;

  7.  
  8. include ssl_params;

  9.  
  10. location / {

  11. proxy_pass http://tomcat_servers/$2;

  12. proxy_set_header Host $host:443;

  13. proxy_set_header X-Real-IP $remote_addr;

  14. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  15. }

  16.  
  17. location /v1.0/ {

  18. proxy_set_header Host $host;

  19. proxy_set_header X-Real-IP $remote_addr;

  20. proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

  21. proxy_pass http://tomcat_servers/v1.0/;

  22. proxy_cookie_path /v1.0/ /;

  23. proxy_redirect off;

  24. }

  25.  
  26. }

 

5)后缀名定向

比如,有URL:www.abc.com/register/user.do,需要将URL定向为uuu.abc.com/register/user.do。则可以在WWW.ABC.COM节点中这样配置:

location / {
        rewrite ^(/register)/user(.*)\..*$  https://uuu.abc.com/register/user.do break;

        index  index.html index.htm;
        proxy_set_header Host $host:443;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto  $scheme;
        proxy_pass http://localhost:****/;
}

 

6)在location中通过if-else分支,根据请求参数使用不同的proxy_pass进行转发。如:

例如url为:http://mail.yourdomain.com/abc/1?n=web01&p=8088,这里有n和p两个参数。这里的目的很简单,就是想通过n这个参数来转发到后端不同服务器的Tomcat中,比如web01转发到192.168.2.10,web02转发到192.168.2.11....这种需求,我们不可能为后端每个服务器配置一个location转发。

因此,Nginx中可以对location进行if判断,解决方案如下:

location /test/ {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        if ($arg_n ~* "web01") {
                  proxy_pass http://192.168.2.10:$arg_p;
                  break;
        }

        if ($arg_n ~* "web02") {
                  proxy_pass http://192.168.2.11:$arg_p;
                  break;
        }

        .......

}

其中,$arg_n表示url中的n参数,$arg_p表示url中的p参数。

最后,尤其要注意的是!proxy_pass 后的url不能有与请求的url后的路径,如proxy_pass http://192.168.2.10:$arg_p;这里不能配置为:proxy_pass http://192.168.2.10:$arg_p/abc/1...否则要报错。必须只配置到端口,并且没有斜杠/结尾。切记切记。

 

7)Nginx支持websocket的配置

只需要加上红色字体部分配置即可:

location /drsws/ {
    proxy_set_header Host $host;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";

    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    ........

}

8)支持ttf|woff|woff2字体及图片文件防盗链的配置

location ~* \.(css|js|jpg|jpeg|png|gif|ico|ttf|woff|woff2|eot|svg)$ {
    root        /usr/share/nginx/html/phpems;
    expires     30d;
    valid_referers *.yourdomain.com www.yourdomain.com dev.yourdomain.com *.baidu.com *.google.com;
    if ($invalid_referer) {
        rewrite ^/ https://www.yourdomain.com;
        #return 404;
    }
}

 

二、参数说明

1)proxy_set_header    X-real-ip $remote_addr;

在web服务器端获得用户的真实ip。

但是,实际上要获得用户的真实ip,不是只有这一个方法,下面我们继续看。

 

2)proxy_set_header           X-Forwarded-For $proxy_add_x_forwarded_for;

我们先看看这里有个X-Forwarded-For变量,这是一个squid开发的,用于识别通过HTTP代理或负载平衡器原始IP一个连接到Web服务器的客户机地址的非rfc标准,如果有做X-Forwarded-For设置的话,每次经过proxy转发都会有记录,格式就是client1, proxy1, proxy2,以逗号隔开各个地址,由于他是非rfc标准,所以默认是没有的,需要强制添加,在默认情况下经过proxy转发的请求,在后端看来远程地址都是proxy端的ip 。也就是说在默认情况下我们使用request.getAttribute("X-Forwarded-For")获取不到用户的ip,如果我们想要通过这个变量获得用户的ip,我们需要自己在nginx添加如下配置:

 

proxy_set_header            X-Forwarded-For$proxy_add_x_forwarded_for;

 

意思是增加一个$proxy_add_x_forwarded_for到X-Forwarded-For里去,注意是增加,而不是覆盖,当然由于默认的X-Forwarded-For值是空的,所以我们总感觉X-Forwarded-For的值就等于$proxy_add_x_forwarded_for的值,实际上当你搭建两台nginx在不同的ip上,并且都使用了这段配置,那你会发现在web服务器端通过request.getAttribute("X-Forwarded-For")获得的将会是客户端ip和第一台nginx的ip。

那么$proxy_add_x_forwarded_for又是什么?

$proxy_add_x_forwarded_for变量包含客户端请求头中的"X-Forwarded-For",与$remote_addr两部分,他们之间用逗号分开。

举个例子,有一个web应用,在它之前通过了两个nginx转发,www.linuxidc.com 即用户访问该web通过两台nginx。

在第一台nginx中,使用

 

proxy_set_header            X-Forwarded-For$proxy_add_x_forwarded_for;

 

现在的$proxy_add_x_forwarded_for变量的"X-Forwarded-For"部分是空的,所以只有$remote_addr,而$remote_addr的值是用户的ip,于是赋值以后,X-Forwarded-For变量的值就是用户的真实的ip地址了。

到了第二台nginx,使用

 

proxy_set_header            X-Forwarded-For$proxy_add_x_forwarded_for;

 

现在的$proxy_add_x_forwarded_for变量,X-Forwarded-For部分包含的是用户的真实ip,$remote_addr部分的值是上一台nginx的ip地址,于是通过这个赋值以后现在的X-Forwarded-For的值就变成了“用户的真实ip,第一台nginx的ip”,这样就清楚了吧。

 

最后我们看到还有一个$http_x_forwarded_for变量,这个变量就是X-Forwarded-For,由于之前我们说了,默认的这个X-Forwarded-For是为空的,所以当我们直接使用proxy_set_header            X-Forwarded-For$http_x_forwarded_for时会发现,web服务器端使用request.getAttribute("X-Forwarded-For")获得的值是null。如果想要通过request.getAttribute("X-Forwarded-For")获得用户ip,就必须先使用proxy_set_header            X-Forwarded-For$proxy_add_x_forwarded_for;这样就可以获得用户真实ip。

 

此部分内容来自:http://blog.csdn.net/bao19901210/article/details/52537279(感谢作者分享)

 

三、小结

1)通过本文,应该比较清楚的描述了一级、二级域名的配置;

2)通过各种场景,应该描述清楚了location各种情况的转发配置;

3)引用其他文章,讲解了部分参数的含义

4)各种复杂的情况,还需要根据具体的业务及需求进行配置,这里的例子相对都比较简单。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值