Nginx动态反向代理(2022/11/12)
工作中经常遇到需要在前端访问第三方平台接口的情况,前端直接访问会遇到跨域、http 禁止调用 https 等问题,故需要在后台通过 Nginx 进行反向代理。随着第三方平台的增加,反向代理配置文件越来越复杂,因此笔者在考虑通过参数传递目标地址实现动态反向代理,本文将详细介绍实现过程。
一、搭建环境
- CentOS Linux release 7.9.2009 (Core);
- Nginx/1.22.0;
二、技术方案
方案一:
通过 query 参数携带反向代理目标地址到 nginx,nginx 通过 $arg_variable 获取到代理地址,进而通过 proxy_pass 进行反向代理。
方案二:
通过 sub url 传递反向代理目标地址到 nginx,nginx 通过正则匹配获取到代理地址,进而通过 proxy_pass 进行反向代理。
方案对比:
在实现的过程中,发现方案一存在以下问题:
- 获取到的代理目标地址经过了 url 编码,nginx 无法正确代理;
- url 编码将
//编码成了/; - 反向代理时 query 参数会携带反向代理地址,导致部分代理地址无法正确响应结果;
因此,笔者最终选择了通过方案二来实现,详细的实现过程见下文。
三、实现过程
-
配置 DNS 解析服务器:因为
proxy_pass使用变量时无法正确解析域名,因此需要手动指定 DNS 解析服务器;location /_proxy/ { # 配置 DNS 服务器,proxy_pass 采用变量时需要指定 resolver 114.114.114.114 valid=3600s; } -
获取代理地址:通过正则表达式获取代理目标地址,以 https://127.0.0.1/_proxy/https://api.github.com/search/users?q=test 为例;
location /_proxy/ { # 配置 DNS 服务器,proxy_pass 采用变量时需要指定 resolver 114.114.114.114 valid=3600s; # 通过正则截取路由中的 sub url if ($request_uri ~* "/_proxy/(.*)") { set $proxy_url $1; } } -
进行反向代理:通过正则获取代理地址中的主机地址,并通过
proxy_pass进行反向代理;location /_proxy/ { # 配置 DNS 服务器,proxy_pass 采用变量时需要指定 resolver 114.114.114.114 valid=3600s; # 通过正则截取路由中的 sub url if ($request_uri ~* "/_proxy/(.*)") { set $proxy_url $1; } # 解析请求地址,并进行反向代理 set $is_matched 0; if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") { set $is_matched 1; set $proxy_protocol http$2; set $proxy_host $3; set $proxy_uri $4; set $proxy_url $proxy_protocol://$proxy_host$proxy_uri; proxy_pass $proxy_url$is_args$args; } }注:proxy_pass 通过变量指定地址时,不会将 query 参数传递给目标地址,因此需要通过
$is_args$args手动传递 query 参数。 -
WebSocket 支持:根据
$http_upgrade的值实现动态升级 WebSocket 连接;# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close map $http_upgrade $connection_upgrade { default upgrade; '' close; } location /_proxy/ { # 配置 DNS 服务器,proxy_pass 采用变量时需要指定 resolver 114.114.114.114 valid=3600s; # 通过正则截取路由中的 sub url if ($request_uri ~* "/_proxy/(.*)") { set $proxy_url $1; } # 解析请求地址,并进行反向代理 set $is_matched 0; if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") { set $is_matched 1; set $proxy_protocol http$2; set $proxy_host $3; set $proxy_uri $4; set $proxy_url $proxy_protocol://$proxy_host$proxy_uri; proxy_pass $proxy_url$is_args$args; } # 请求服务器升级协议为 WebSocket proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; # 设置读写超时时间,默认 60s 无数据连接将会断开 proxy_read_timeout 300s; proxy_send_timeout 300s; } -
反向代理优化:通过添加部分请求头对反向代理进行优化;
# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close map $http_upgrade $connection_upgrade { default upgrade; '' close; } location /_proxy/ { # 配置 DNS 服务器,proxy_pass 采用变量时需要指定 resolver 114.114.114.114 valid=3600s; # 通过正则截取路由中的 sub url if ($request_uri ~* "/_proxy/(.*)") { set $proxy_url $1; } # 解析请求地址,并进行反向代理 set $is_matched 0; if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") { set $is_matched 1; set $proxy_protocol http$2; set $proxy_host $3; set $proxy_uri $4; set $proxy_url $proxy_protocol://$proxy_host$proxy_uri; proxy_pass $proxy_url$is_args$args; } # 请求服务器升级协议为 WebSocket proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; # 设置读写超时时间,默认 60s 无数据连接将会断开 proxy_read_timeout 300s; proxy_send_timeout 300s; # Host 主机名,为了避免目标服务做限制此处采用目标地址的 Host proxy_set_header Host $proxy_host; # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器 proxy_set_header X-Real-IP $remote_addr; # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机 proxy_set_header X-Forwarded-Host $host:$server_port; # X-Forwarded-Server 代理服务器的主机名 proxy_set_header X-Forwarded-Server $host; # X-Forwarded-Port 定义客户端请求的原始端口 proxy_set_header X-Forwarded-Port $server_port; # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议 proxy_set_header X-Forwarded-Proto $scheme; # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto; } -
异常处理:对不合法的代理地址进行提示;
# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close map $http_upgrade $connection_upgrade { default upgrade; '' close; } location /_proxy/ { # 配置 DNS 服务器,proxy_pass 采用变量时需要指定 resolver 114.114.114.114 valid=3600s; # 通过正则截取路由中的 sub url if ($request_uri ~* "/_proxy/(.*)") { set $proxy_url $1; } # 解析请求地址,并进行反向代理 set $is_matched 0; if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") { set $is_matched 1; set $proxy_protocol http$2; set $proxy_host $3; set $proxy_uri $4; set $proxy_url $proxy_protocol://$proxy_host$proxy_uri; proxy_pass $proxy_url$is_args$args; } # 请求服务器升级协议为 WebSocket proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; # 设置读写超时时间,默认 60s 无数据连接将会断开 proxy_read_timeout 300s; proxy_send_timeout 300s; # Host 主机名,为了避免目标服务做限制此处采用目标地址的 Host proxy_set_header Host $proxy_host; # X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器 proxy_set_header X-Real-IP $remote_addr; # X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机 proxy_set_header X-Forwarded-Host $host:$server_port; # X-Forwarded-Server 代理服务器的主机名 proxy_set_header X-Forwarded-Server $host; # X-Forwarded-Port 定义客户端请求的原始端口 proxy_set_header X-Forwarded-Port $server_port; # X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议 proxy_set_header X-Forwarded-Proto $scheme; # proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto; # 如果目标地址为非 http、https、ws、wss 请求,提示错误信息 default_type application/json; if ($is_matched = 0) { return 200 '{"code": 404, "message": "The proxy url is invalid!", "proxy_url": $proxy_url}'; } # 调试输出 # return 200 '{"code": 200, "proxy_url": $proxy_url$is_args$args, "proxy_host": $proxy_host, "request_uri": $request_uri}'; }
四、配置结果
# map 指令根据客户端请求头中 $http_upgrade 的值构建 $connection_upgrade 的值;如果 $http_upgrade 没有匹配,默认值为 upgrade,如果 $http_upgrade 配置空字符串,值为 close
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
location /_proxy/ {
# 配置 DNS 服务器,proxy_pass 采用变量时需要指定
resolver 114.114.114.114 valid=3600s;
# 通过正则截取路由中的 sub url
if ($request_uri ~* "/_proxy/(.*)") {
set $proxy_url $1;
}
# 解析请求地址,并进行反向代理
set $is_matched 0;
if ($proxy_url ~* "^(http|ws)(s?):\/\/?([a-zA-Z0-9\-\.]+:?\d*)([^\?]*)") {
set $is_matched 1;
set $proxy_protocol http$2;
set $proxy_host $3;
set $proxy_uri $4;
set $proxy_url $proxy_protocol://$proxy_host$proxy_uri;
proxy_pass $proxy_url$is_args$args;
}
# 请求服务器升级协议为 WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# 设置读写超时时间,默认 60s 无数据连接将会断开
proxy_read_timeout 300s;
proxy_send_timeout 300s;
# Host 主机名,为了避免目标服务做限制此处采用目标地址的 Host
proxy_set_header Host $proxy_host;
# X-Real-IP 将真实访问者的远端 IP 地址转发给代理服务器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 标记客户端通过代理连接到服务器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 标记客户端通过代理连接到服务器的原始主机
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理服务器的主机名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定义客户端请求的原始端口
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 标记客户端通过代理连接到服务器的协议
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
# 如果目标地址为非 http、https、ws、wss 请求,提示错误信息
default_type application/json;
if ($is_matched = 0) {
return 200 '{"code": 404, "message": "The proxy url is invalid!", "proxy_url": $proxy_url}';
}
# 调试输出
# return 200 '{"code": 200, "proxy_url": $proxy_url$is_args$args, "proxy_host": $proxy_host, "request_uri": $request_uri}';
}
参考链接:
1581
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
