nginx代理服务
- 在互联网请求里面,客户端往往无法直接向服务端发起请求,那么就需要用到代理服务,来实现客户端和
服务通信
nginx代理服务常见模式
-
Nginx作为代理服务,按照应用场景模式进行总结,代理分为正向代理、反向代理
- 正向代理(具有nat功能,客户端-代理服务器)
- 反向代理(代理服务器-后端服务器)
-
正向代理与反向代理的区别
- 区别在于形式上服务的”对象”不一样
- 正向代理代理的对象是客户端,为客户端服务
- 反向代理代理的对象是服务端,为服务端服务
-
1.正向代理
- resolver:指定dns服务器地址
- proxy_pass:代理到的地址
- resolver_timeout:dns解析超时时⻓
nginx反向代理配置语法
- 官方参考
Syntax: proxy_pass URL;
Default: —
Context: location, if in location, limit_except
http://localhost:8000/uri/
http://192.168.56.11:8000/uri/
http://unix:/tmp/backend.socket:/uri/
其中url包括代理服务器的地址,包括传输协议、主机名或IP地址+端口号等元素
- url跳转修改返回Location[不常用]
Syntax: proxy_redirect default;
proxy_redirect off;proxy_redirect redirect replacement;
Default: proxy_redirect default;
Context: http, server, location
- 添加发往后端服务器的请求头信息
Syntax: proxy_set_header field value;
Default: proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
Context: http, server, location
# 用户请求的时候HOST的值是www.test.com, 那么代理服务会像后端传递请求的还是www.test.com
proxy_set_header Host $http_host;
# 将$remote_addr的值放进变量X-Real-IP中,$remote_addr的值为客户端的ip,代理ip?
proxy_set_header X-Real-IP $remote_addr;
# 客户端通过代理服务访问后端服务, 后端服务通过该变量会记录真实客户端地址
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- 代理到后端的TCP连接、响应、返回等超时时间
//nginx代理与后端服务器连接超时时间(代理连接超时)
Syntax: proxy_connect_timeout time;
Default: proxy_connect_timeout 60s;
Context: http, server, location
//nginx代理等待后端服务器的响应时间
Syntax: proxy_read_timeout time;
Default: proxy_read_timeout 60s;
Context: http, server, location
//后端服务器数据回传给nginx代理超时时间
Syntax: proxy_send_timeout time;
Default: proxy_send_timeout 60s;
Context: http, server, location
- proxy_buffer代理缓冲区
//nignx会把后端返回的内容先放到缓冲区当中,然后再返回给客户端,边收边传, 不是全部接收完再传给
客户端
Syntax: proxy_buffering on | off;
Default: proxy_buffering on;
Context: http, server, location
//设置nginx代理保存用户头信息的缓冲区大小
Syntax: proxy_buffer_size size;
Default: proxy_buffer_size 4k|8k;
Context: http, server, location
//proxy_buffers 缓冲区
Syntax: proxy_buffers number size;
Default: proxy_buffers 8 4k|8k;
Context: http, server, location
- 常用优化配置
- Proxy代理网站常用优化配置如下,将配置写入新文件,调用时使用include引用即可
[root@Nginx ~]# vim /etc/nginx/proxy_params
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
proxy_buffering on;
proxy_buffer_size 32k;
proxy_buffers 4 128k;
- 重复使用配置
代理配置location时调用方便后续多个Location重复使用
location / {
proxy_pass http://127.0.0.1:8080;
include proxy_params;
}
常用配置文件
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-39CS9cGn-1662434479367)(E:\资料\我整理的笔记\image\image-20220410083938457.png)]
- 日志切割
- ⼿动
mv /var/log/nginx/access.log /var/log/nginx/access_$(date +%F).log
systemctl restart nginx
- 计划任务
mkdir /opt/scripts
vim /log/scripts/nginx_log_rotate.sh #shell脚本
添加:
mv /var/log/nginx/access.log /var/log/nginx/access_$(date +%F).log
systemctl restart nginx
chmod +x /log/script/nginx_log_rotate.sh #加权限
/opt/scripts/nginx_log_rotate.sh #执行脚本
vim /etc/crontab #打开计划任务
添加:
10 * * * /opt/scripts/nginx_log_rotate.sh
- .使用专用的文件切割程序–logrotate
vim /etc/logrotate.conf
全局配置:
weekly # 定义默认日志切割周期
rotate 4 # 定义只保留几个切割后的文件
create # 切割后创建出一个相同的源文件,后面可以跟上文件权限、属主、属组
dateext # 定义角标,扩展名称信息
#compress # 是否对切割后的文件进行压缩处理 ,默认不开启
include /etc/logrotate.d
子配置:
/var/log/wtmp { # 当都对某个文件进行切割配置
monthly
create 0664 root utmp
minsize 1M
rotate 1
}
/var/log/btmp {
missingok
monthly
create 0600 root utmp
rotate 1
}
vim /var/logrotate.d/nginx
- ⽇志的格式
在配置⽂件 /etc/nginx/nginx.conf 中定义
$remote_addr与$http_x_forwarded_for: 用以记录客户端的ip地址;
$remote_user:用来记录客户端用户名称;
$time_local:用来记录访问时间与时区;
$request:用来记录请求的url与http协议;
$status:用来记录请求状态;成功是200
$body_bytes_s ent:记录发送给客户端文件主体内容大小;
$http_referer:用来记录从那个页面链接访问过来的;
$http_user_agent:记录客户端浏览器的相关信息
nginx反向代理实验
- web01服务器,配置一个网站,监听在8080
[root@web01 ~]# cd /etc/nginx/conf.d/
[root@web01 conf.d]# vim web.conf
server {
listen 8080;
server_name localhost;
location / {
root /code/8080;
index index.html;
allow all;
}
}
[root@web01 conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@web01 conf.d]# systemctl restart nginx
[root@web01 ~]# mkdir -p /code/8080
[root@web01 ~]# echo "listening 8080 ..." > /code/8080/index.html
- 代理端
[root@proxy ~]# cd /etc/nginx/conf.d/
[root@proxy conf.d]# vim proxy_web_node1.conf
server {
listen 80;
server_name proxy.test.com;
location / {
proxy_pass http://192.168.136.20:8080;
}
}
[root@proxy conf.d]# nginx -t
[root@proxy conf.d]# systemctl restart nginx
- 修改配置文件,使用 proxy_set_header 模块
[root@proxy conf.d]# vim proxy_web_node1.conf
server {
listen 80;
server_name proxy.test.com;
location / {
proxy_pass http://192.168.136.20:8080;
proxy_set_header Host $http_host;
proxy_http_version 1.1;
}
}
- 在生产环境中,我们必须要记录客户端的来源IP,如果所有的访问日志,全都来源于代理,那么我们根本不知道都有哪些地区的用户访问了我们什么页面。
- 还需要使用 proxy_set_header
server {
listen 80;
server_name proxy.test.com;
location / {
proxy_pass http://192.168.136.20:8080;
proxy_set_header Host $http_host;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
1.Nginx的本身的安全防护,例如Nginx+lua或Nginx+openrestry
https://github.com/loveshell/ngx_lua_waf
https://www.cnblogs.com/chnmig/p/12397996.html
proxy_set_header Host $http_host;
proxy_http_version 1.1;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
1.Nginx的本身的安全防护,例如Nginx+lua或Nginx+openrestry
https://github.com/loveshell/ngx_lua_waf
https://www.cnblogs.com/chnmig/p/12397996.html