Nginx:12---反向代理之(代理模块,代理单个上游服务器)

已于 2022-04-20 21:33:58 修改
阅读量2.3k 收藏 14
点赞数 5
分类专栏: Nginx 文章标签: 反向代理
于 2020-05-25 15:42:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/106323577
版权

一、反向代理介绍

 

  • 反向代理应该是 Nginx 做的最多的一件事了,什么是反向代理呢,反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器, 并将从服务器上得到的结果返回给 internet 上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器
  • 简单来说就是真实的服务器不能直接被外部网络访问,所以需要一台代理服务器,而代理服务器能被外部网络访问的同时又跟真实服务器在同一个网络环境,当然也可能是同一台服务器,端口不同而已

上游服务器

  • 上游服务器是 Nginx 代理连接的服务器,它可以是不同的物理机器,也可以是虚 拟机,但是并不是必须如此
  • 上游服务器可以是一个在本地机器上监听 UNIX 域套接字的 机器,也可能是 TCP 监昕的众多不同机器中的其中一员。它可能是拥有处理不同请求的多种模块的 Apache 服务器,或者是一个Rack 中间件服务器,为 Ruby 应用程序提供 HTTP 接口, Nginx 可以为它们配置代理
  • 上游服务器类型:
    • 单个上游服务器:本文介绍
    • 多个上游服务器:一般做复杂均衡,后面文章介绍
    • 非HTTP型上游服务器:后面文章介绍

二、代理模块

  • 下面列出了在代理模块中常用的命令

常用指令的值

location / {
    proxy_redirect off;
    
    proxy_set_header Host host ;
    
    proxy_set_header X-Real-IP $remote_addr;

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    client_max_body_size lOm;

    client_body_buffer_size 128k;
    proxy_connect_timeout 30 ;

    proxy_send_timeout 15 ;

    proxy_read_timeout 15;

    proxy_send_lowat 12000;

    proxy_buffer_size 4k;

    proxy_buffers 32 4k;

    proxy_busy_buffers_size 64k;

    proxy_temp_file_write_size 64k; 
}
  • 解释如下:
    • 因为在大多数情况下没有必要重写location 头,将 proxy_redirect 令设置为 off
    • 设置了 Host 头,因此上游服务器能够将请求映射到一个虚拟服务器,否则就使用 用户输入的 URL 中的主机部分
    • X-Real-IP 头和 X-Forwarded-For 头有相似的目的,都用于转发连接客户端 IP 地址 到上游服务器得到信息
    • $remote_addr 变量在 X-Real-IP 头内使用,就是 Nginx 接受客户端请求的田地址
    • $proxy_ add_ x _forwarded_ for 量包含在 X-Forwarded-For 头中,它来源于客户端 请求,跟随有$remote_addr变量
    • client_ max_ body_ size 指令,不是严格的代理模块指令。之所以在这里提到它,是 因为它与代理配置相关。如果这个值设置得太低,将不能上传文件到上游服务器 上。在设置这个指令的时候,需要注意的是通过 web 窗体上传的文件大小,通常要大于它在文件系统中的大小
    • 在建立与上游服务器初始连接的过程中, proxy connect_ timeout 指令表明了 Nginx 将会等待的时间长度
    • proxy _read_ timeout和proxy_send timeout 指令定义了 Nginx 上游服务器连接成功的两次操作等待的时间
    • proxy_ send _lowat 指令只在 FreeBSD 系统下有效,并且在该协议下传输数据之前 指定套接字发送缓冲应该容纳的字节数
    • proxy_ buffer_size、proxy_ buffer和proxy_busy_buffers_size令会在后面详细讨论。总而言之,这些缓冲控制了 Nginx 如何快速地响应用户的请求
    • proxy_ temp_ file_ write_ size 指令控制 worker 程阻塞后台数据的时间。值越大,处理阻塞的时间越长

三、代理上游服务器(proxy_pass指令)

  • 代理到上游服务器的配置中,最重要的是proxy_pass指令
  • 该指令有一个参数,URL请求将会被转换,带有URI部分的proxy_pass指令将会使用该URI替换request_uri部分
  • 例如:
    • 如果下面访问/some/path/,那么将访问www.example.com/link/
    • 如果下面访问/some/path/page.html,那么将访问www.example.com/link/page.html
http {
    server {
        location /uri {
            proxy_pass http://localhost:8080/newuri;
        }
    }
}

代理的两个例外情况

  • 例外1:
    • 如果location定义了一个正则表达式,那么在URI部分没有转换发生
    • 例如,下面的/local将被直接传递到上游服务器,而不会如期地转换为/foreign
location ~ ^/local {
    proxy_pass http://localgost:8080/foreign;
}
  • 例外2:
    • 如果在location内有rewrite规则改变了URI,那么Nginx使用这个URI处理请求,不再发生转换
    • 例如,下面URI传递到上游服务器的将会是/index.php?page=<match>,这个<match>来自于括号中捕获的参数,而不是预期的/index,如proxy_pass指令指示的URI部分
location / {
    # 在rewrite指令中,break标记用于立即停止rewrite模块的所有指令
    rewrite /(.*)$ /index.php?page=$1 break;

    proxy_pass http://localgost:8080/index;
}

四、传递请求标头(proxy_set_header指令)

  • 在使用代理服务器时,客户端不能直接连接到上游服务器。因此,上游服务器不能从客户端直接获取信息,那么此时可以使用proxy_set_header指令
  • proxy_set_header指令:该指令可以用来修改请求报文首部行中的字段的值,并且传递给上游服务器
  • 该指令可以在一个或多个位置(location)指定。它也可以在特定的server上下文或http块中指定
  • 例如:
    • 默认情况下,Nginx会重新定义代理请求报文中的“Host”和“Connection”两个头字段值,将“Host”设置为$proxy_host变量,“Connection”设置为关闭
    • 另外,Nginx还会消除值为空字符串的头字段
    • 那么,此时我们就可以使用proxy_set_header指令来重新修改头字段值,并传递给上游服务器
  • 演示案例:
    • 下面修改Host字段的值
    • 客户端IP地址会通过X-Real-IP头和X-Forwarded-For头来实现,其中X-Forwarded-For考虑到客户端的请求头,如果存在,那么从客户端请求来的IP地址将会添加到X-Forwarded-For中,并且使用逗号分隔
location /some/path/ {
    # Host字段的值用$host变量代替
    proxy_set_header Host $host;

    # X-Real-IP字段的值用$rempte_addr变量代替
    proxy_set_header X-Real-IP $rempte_addr;

    # X-Forwarded-For字段的值用&proxy_add_x_forwarded_for变量代替
    proxy_set_header X-Forwarded-For &proxy_add_x_forwarded_for;

    proxy_pass http://localhost:8000;
}
  • 演示案例:如果你的上游服务器需要一个非标准的头,例如Client-IP,那么可以通过下满的方式实现
location /some/path/ {
    proxy_set_header Client-IP $remote_addr;
}
  • 演示案例:为了防止头域被传递给代理服务器,可以将其设置为空字符串。例如:
location /some/path/ {
    proxy_set_header Accept-Encoding "";
    proxy_pass http://localhost:8000;
}

五、配置缓冲区

  • 默认情况下,Nginx缓存来自代理服务器的响应。 响应存储在内部缓冲区中,并且不会发送到客户端,直到收到整个响应。 缓冲有助于通过慢客户端优化性能,如果响应从Nginx同步传递到客户端,这可能会浪费代理服务器时间。 然而,当启用缓冲时,Nginx允许代理服务器快速处理响应,而Nginx存储响应时间与客户端需要下载的时间一样长
  • proxy_buffering指令:负责启用和禁用缓冲。 默认情况下,它被设置为开启且缓冲已启用
  • proxy_buffers指令:控制分配给请求的缓冲区的大小和数量。 来自代理服务器的响应的第一部分存储在单独的缓冲区中,其大小由 proxy_buffer_size指令设置。 这部分通常包含一个比较小的响应头,并且可以比其余的响应的缓冲区小
  • 在下面的示例中,缓冲区的默认数量增加,并且响应的第一部分的缓冲区的大小小于默认值
location /some/path/ {
    proxy_buffers 16 4k;
    proxy_buffer_size 2k;
    proxy_pass http://localhost:8000;
}
  • 如果缓存被禁用,则在从代理服务器接收缓冲时,响应将同步发送到客户端。 对于需要尽 快开始接收响应的快速交互式客户端,此行为可能是可取的。
  • 要禁用特定位置的缓冲,请在 location 块中将 proxy_buffering 伪指令设置为 off, 如下所示:
location /some/path/ {
    proxy_buffering off;
    proxy_pass http://localhost:8000;
}
  • 在这种情况下,Nginx只使用由 proxy_buffer_size 配置的缓冲区来存储响应的当前部分

六、选择传出IP地址

  • 如果你的代理服务器有多个网络接口,有时你可能需要选择特定的源IP地址才能连接到代理服务器或上游
  • proxy_bind指令:如果Nginx后端的代理服务器只配置为接受来自特定IP网络或IP地址范围的连接,在这种情况下,这个配置选项就很有用

演示案例

  • 下面指定必要网络接口的IP地址:
# 只接受127.0.0.1的连接请求
location /app1/ {
    proxy_bind 127.0.0.1;

    proxy_pass http://example.com/app1/;
}

# 只接受127.0.0.2的连接请求
location /app2/ {
    proxy_bind 127.0.0.2;

    proxy_pass http://example.com/app2/;
}
  • IP地址也可以用变量指定。例如,下面$server_addr变量传递接受请求的网络接口的IP地址
location /app3/ {
    proxy_bind $server_addr;

    proxy_pass http://example.com/app3/;
}

七、带有cookie的遗留应用程序

  • 你可能会发现,自己需要在一个共同的端点 务器后放置多个遗留应用程序。在它们是唯一应用程序的情况下,这些遗留应用程序是直接与客户端对话的。它们在自己的域设置了 cookies,并且假设它们总是通过/URL到达。如果在这些服务器之前放置一个新的端点,这些假设将不再成立。下面的配置将重写 cookie的域和路径,以便匹配新的应用 端点
server {
    server_name app.example.com;

    location /legacyl {
        proxy_cookie domain legacyl.example.com app.example.com;

        # 注意:这个$uri变量的值已经包含了一个开始的斜线(/),因此在这里就没有必要再次重复使用它了
        proxy_cookie_path $uri /legacy1$uri;

        proxy_redirect default;

        proxy_pass http://legacy1.example.com/;
    }

    location /legacy2 {
        proxy_cookie_domain legacy2.example.org app.example.com;

        proxy_cookie_path $uri /legacy2$uri ;

        proxy_redirect default;

        proxy_pass http://legacy2.example.org/;
    }

    location / {
        proxy_pass http://localhost:8080;
    }
}

八、处理错误

error_page指令

  • error_page指令在前面的文章中已经介绍过了,语法可以参阅:https://blog.csdn.net/qq_41453285/article/details/106321984
  • 当服务器有错误发生时,我们可以将请求转发到上游服务器,此时上游服务器充当着后备(fallback)服务器的角色,以便在其他服务器不能提供请求时再提供请求
  • 演示案例如下:
http {
    upstream app {
        server 127.0.0.1:9000;
        server 127.0.0.1:9001;
        server 127.0.0.1:9002;
    }

    server {
        location / {
            # 当有500、502、503、504错误发生时,跳转到fallback 块
            error_page 500 502 503 504 = @fallback;
            proxy_pass http:/app;
        }

        location @fallback {
            proxy_pass http://127.0.0.1:8080;
        }
    } 
}

proxy_intercept_errors指令

  • 如果启用该指令,Nginx将会显示配置的error_page错误,而不是来自于上游服务器的直接响应
server {
    proxy_intercept_errors on;

    error_page 400 403 404 /40x.html;

    location = /40x.html {
        root share/example/nginx/html;
    }
}

董哥的黑板报
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
nginx-ssl-proxy:Docker nginx ssl 反向代理
07-09
nginx-ssl-代理 !! 现在已弃用支持 ssl docker pull rnbwd/nginx-ssl-proxy 标签: trusty (latest) - utopic 用法 docker run -d -p 80:80 -p 443:443 \ -v <certs>:/etc/nginx/certs \ -v /var/run/docker.sock:/tmp/docker.sock \ --name ssl-proxy rnbwd/nginx-ssl-proxy docker run -e VIRTUAL_HOST=foo.bar.com -e REDIRECT=true [...] 使用 env vars 反向代理 docker 容器 重要信息 ssl 证书通过主机名连接,请确保 certs 目录中存在“foo.bar.com.crt”和“f
Nginx负载均衡自带健康检测详解
endzhi的博客
03-13 5629
Nginx自带针对后端节点健康检查功能比较简单,由ngx_http_upstream_module和ngx_http_proxy_module模块的相关指令来完成,通过一定重试机制保证容错和负载均衡。请求到后端节点出现故障时,才会切换到健康节点来提供访问,实际上nginx自带模块不算是健康检查的功能, 简单案列分析 upstreambackend{ server192....
Nginx配置http模块和stream模块空闲连接超时
liucy007的博客
08-26 8790
nginx配置文件中的模块共分为两大部分: 第一:http/https–存在于http{ } 模块中 第二:tcp / udp --存在于stream{ } 模块中 什么是空闲连接超时 在超时时间内一直没有访问请求,负载均衡会暂时中断当前连接,直到下一次请求来临时重新建立新的连接。 Nginx七层配置(http模块) “proxy_read_timeout”:从代理服务器读取响应的超时时间(默认60s),这个可以解决因为代理服务器响应过慢而导致的504Time-out “proxy_send_timeout
Nginx反向代理配置模块详解
最新发布
乔木的博客
01-20 948
通过本文对 Nginx 反向代理配置的详细讲解,我们了解了 Nginx 反向代理的基本概念、配置方法、负载均衡和安全防护等方面的知识。在实际应用中,我们可以根据具体需求进行灵活的配置,以满足各种复杂的应用场景。同时,结合 Nginx 的其他功能,可以实现更加高效、稳定、安全的 Web 服务。一键三连拜谢!
好文收藏-nginx中的超时设置,请求超时、响应等待超时等
隔壁老瓦的专栏
06-24 1392
nginx timeout 配置 全局timeout 局部timeout web timeout https://www.cnblogs.com/lemon-flm/p/8352194.html nginx比较强大,可以针对单个域名请求做出单个连接超时的配置. 比如些动态解释和静态解释可以根据业务的需求配置 proxy_connect_timeout:后端服务器连接的超时时间_发起握手等候响应超时时间 proxy_read_timeout:连接成功后_等候后端服务器响应时间_其实已经进入后端的..
超时时间connectTimeout,socketTimeoutproxy_read_timeoutproxy_connect_timeout笔记
wangtingting_100的博客
12-22 8016
1、一般的的情况 客户端(connectTimeout,socketTimeout) -- 七层接入proxy (connect timeout, read timeout, keepalive timeout, send timeout)-- nginxproxy_read_timeoutproxy_connect_timeout)-- 后端服务器 connectTimeout:建连时...
Nginx超时配置
m0_67401761的博客
07-30 1万+
Nginx主要有四类超时设置客户端超时设置、DNS解析超时设置、代理超时设置,如果使用ngx_lua,则还有lua相关的超时设置。
Nginx超时配置、限流
初代二手码农
11-30 1万+
目录一、说明二、超时配置三、限流限制访问频率限制并发连接数四、问题记录五、参考文章 Author:Jinwei EditTimes:2020年11月25日17:31:06 一、说明 Nginx 处理的每个请求均有相应的超时设置。如果做好这些超时时间的限定,判定超时后资源被释放,用来处理其他的请求,以此提升 Nginx 的性能。 二、超时配置 1、keepalive_timeout HTTP 是一种无状态协议,客户端向服务器发送一个 TCP 请求,服务端响应完毕后断开连接。 如果客户端向服务器发送多个请求,每
nginx中的超时设置,请求超时、响应等待超时等
m0_67900727的博客
03-15 9477
nginx timeout 配置 全局timeout 局部timeout web timeout nginx比较强大,可以针对单个域名请求做出单个连接超时的配置. 比如些动态解释和静态解释可以根据业务的需求配置 proxy_connect_timeout :后端服务器连接的超时时间_发起握手等候响应超时时间 proxy_read_timeout:连接成功后等候后端服务器响应时间其实已经进入后端的排队之中等候处理(也可以说是后端服务器处理请求的时间) proxy_send_timeout :后端服务器
nginx的几个超时时间
热门推荐
johnhuster的专栏
03-18 2万+
nginx比较强大,可以针对单个域名请求做出单个连接超时的配置. 比如些动态解释和静态解释可以根据业务的需求配置 proxy_connect_timeout:后端服务器连接的超时时间_发起握手等候响应超时时间 proxy_read_timeout:连接成功后_等候后端服务器响应时间_其实已经进入后端的排队之中等候处理(也可以说是后端服务器处理请求的时间) proxy_send_time...
nginx 的超时设置
weixin_40619578的博客
02-02 1万+
前言 我们在使用nginx反向代理的时候,可能会遇到这个场景:后端正常的业务处理时间超过了nginx的超时时间,导致nginx主动返回504。为解决这个问题,我们网上搜索发现可以通过调整这几个参数来调大nginx的超时时间。 proxy_connect_timeout proxy_send_timeout proxy_read_timeout 我们调大之后发现问题确实解决了。那么这个几个参数是什么意义?是否应该都调大呢? nginx 三个超时时间配置 我们先看下nginx官网对他们的解释 proxy_co
nginx-local-ip:local-ip.co HTTPS Nginx反向代理
03-17
local-ip.co HTTPS反向代理 :rocket: 公开URL,用于公开本地Webapp,而局域网中没有外部代理 一组Nginx和Docker配置,以使用域*.my.local-ip.co的公共SSL证书启动运行在HTTPS端口(443)中的Nginx反向代理。 SSL证书由CA机构签名,由免费提供,此外,它们还具有免费的DNS服务,该服务可为任何IP地址(包括私有IP)提供通配符DNS: $ dig 10-0-0-1.my.local-ip.co ;; ANSWER SECTION: 10-0-0-1.my.local-ip.co. 299 IN A 10.0.0.1 因此,拥有公共证书和可解析为本地IP地址的公共DNS,您可以启动HTTPS服务器代理使用任何堆栈构建的本地应用,并连接需要使用HTTPS进行访问的任何浏览器,应用或设备(例如Android)应用程序,有时需要
nginx-docker-reverse-proxy:Nginx作为Docker容器的反向代理
05-11
Nginx作为Docker容器的反向代理 关于 该存储库是如何使用NGINX Docker容器作为反向代理的示例,该代理是在其他Dockers容器中运行的另一个应用程序的。 什么是反向代理 来自NGINX页面的定义: 代理服务器是介于中间...
Minimum-reverse-proxy-demo:docker-compose nginx反向代理演示
02-05
最少的Nginx反向代理演示 该存储库包含一个由docker-compose编排应用程序,其中Flask和Vue服务在nginx反向代理后面运行。 警告 此应用程序及其服务尚未准备好投入生产,并且没有为部署进行适当配置。 它仅用作配置...
ansible-nginx-certbot:使用Certbot TLS设置简单的反向代理
05-04
ansible-nginx-certbot 使用Certbot TLS设置简单的反向代理 组件: Nginx Web服务器和前端代理 Certbot TLS证书颁发机构 CloudFlare DNS服务 该角色从ansible变量中获取数据,并使用它来配置基本的Nginx反向代理...
nginx-1.8.0.zip,反向代理服务器
04-25
nginx-1.8.0.zip,近期nginx官方稳定版,官网下载
Nginx:15---反向代理之(安全隔离:SSL流量加密、SSL客户端身份验证、基于原始IP地址阻止流量)
董哥的黑板报
12-21 1万+
通过代理分开了客户端到应用程序服务器的连接,实现了安全措施。这是在一个架构中使用反向代理的主要原因之一。客户端仅直接连接运行反向代理的机器,这台机器应该足够安全,以至于攻击者找不到任何入口 安全是一个相当大的话题,我们在这里只是简单地就该要点来观察 在反向代理之前设置防火墙,仅允许公网访问80端口(如果HTTPS连接提供443端口,那么也包括该端口) 确保Nginx使用一个非特权用户运行(典型的用户WWW、webservd或者WWW-data,这依赖于具体的操作系统) 加密的流量可以防止窃听
Nginx:13---反向代理之(负载均衡:upstream模块(代理多个上游服务器))
董哥的黑板报
05-25 3600
一、复杂均衡概述 负载均衡也是 Nginx 常用的一个功能,负载均衡其意思就是分摊到多个操作单元上进行 执行,例如 Web 服务器、FTP 服务器、企业关键应用服务器和其它关键任务服务器等,从而 共同完成工作任务。简单而言就是当有 2 台或以上服务器时,根据规则随机的将请求分发到 指定的服务器上处理,负载均衡配置一般都需要同时配置反向代理,通过反向代理跳转到负 载均衡。而 Nginx 目前支持自带 3 种负载均衡策略,还有 2 种常用的第三方策略 二、 三、 ...
Nginx:09---HTTP模块之(URI请求与重定向:location模块
董哥的黑板报
05-24 2420
一、location模块介绍 location指令可以用在虚拟服务器server部分,并且意味着提供来自客户端URI或者内部重定向访问。除少数情况外,location也可以被嵌套使用,它们被作为特定的配置尽可能地处理请求 格式 location会尝试根据用户请求中的URI来匹配,如果可以匹配就选择该location来处理用户请求 格式如下: location [modifier] uri { #... } 其中modifier是修饰符,支持下面几种: =:表示把URI作为字符串,以便
nginx:strict-origin-when-cross-origin
09-08
nginx:strict-origin-when-cross-origin是一种跨域问题,主要出现在使用Nginx进行反向代理时,通过HTTPS访问前端页面,但后端HTTP服务无法正常访问的情况。这个问题导致很多资源无法加载,可能是由于缺少适当的CORS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值