openresty中upstream侧ssl session reuse功能无法生效分析

最新推荐文章于 2023-11-02 18:03:37 发布
最新推荐文章于 2023-11-02 18:03:37 发布
阅读量700 收藏
点赞数 1
分类专栏: openresty nginx 文章标签: openresty nginx ssl session reuse upstream
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingyadi2008/article/details/88984310
版权

最近做项目,以openresty为基础,在upstream侧通过nginx的指令开启SSL连接复用,但实际是不生效的,通过使用原生的程序nginx、openresty进行复现,明白了问题所在,也更加理解openresty与nginx的共性和特性。

自己在服务器中利用未经修改的nginx、openresty测试,编译的时候开启debug,能够在debug中看到upstream侧save、set session的操作。

nginx
简单的配置如下,upstream侧 ssl session reuse默认开启。

upstream web_server {
        server 127.0.0.1:13579;
}
server {
        listen 1234;
        location / {
                proxy_pass https://web_server;
                proxy_http_version 1.1;
        }
}

通过debug观察,upstream侧连接SSL连接建立成功后,会有save session的操作。

[debug] 32028#0: *1 SSL handshake handler: 0
[debug] 32028#0: *1 SSL_do_handshake: 1
[debug] 32028#0: *1 SSL: TLSv1.2, cipher: "ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD"
[debug] 32028#0: *1 http upstream ssl handshake: "/?"
[debug] 32028#0: *1 save session: 000000000217C970
[debug] 32028#0: *1 http upstream send request
[debug] 32028#0: *1 http upstream send request body
[debug] 32028#0: *1 chain writer buf fl:1 s:92
[debug] 32028#0: *1 chain writer in: 0000000002154C78
[debug] 32028#0: *1 malloc: 00000000021EBAE0:80

openresty环境 加入balance.lua脚本 未选peer
balance.lua 只是简单的引入balance_by_lua_file的指令,lua脚本为空,让其运行

upstream webserver {
         server 127.0.0.1:13579;
         balancer_by_lua_file `pwd`/balance.lua;
}

通过调试观察,save session可以得到执行

[debug] 1908#0: *1 SSL handshake handler: 0
[debug] 1908#0: *1 SSL_do_handshake: 1
[debug] 1908#0: *1 SSL: TLSv1.2, cipher: "ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD"
[debug] 1908#0: *1 http upstream ssl handshake: "/?"
[debug] 1908#0: *1 lua balancer save session
[debug] 1908#0: *1 save session: 000000000197D970
[debug] 1908#0: *1 http upstream send request
[debug] 1908#0: *1 http upstream send request body

openresty环境 加入balance.lua脚本 选出peer
在上面的脚本中,强制返回选出的upstream主机

ngx.log(ngx.ERR, ip, "balance session store")
local balancer = require "ngx.balancer"
local backend="127.0.0.1"
local port=13579
local ok, err = balancer.set_current_peer(backend, port)
if not ok then
    ngx.log(ngx.ERR, "failed to set the current peer: ", err)
    return ngx.exit(500)
end

观察debug信息,在ssl握手完成后,没有保存ssl session的操作

[debug] 3122#0: *5 SSL handshake handler: 0
[debug] 3122#0: *5 SSL_do_handshake: 1
[debug] 3122#0: *5 SSL: TLSv1.2, cipher: "ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD"
[debug] 3122#0: *5 http upstream ssl handshake: "/?"
[debug] 3122#0: *5 lua balancer save session
[debug] 3122#0: *5 http upstream send request
[debug] 3122#0: *5 http upstream send request body
[debug] 3122#0: *5 chain writer buf fl:1 s:92

通过深入openresty中balance_by_lua的源码查看

在初始化时,会将upstream侧的session操作替换为自己的。

ngx_http_lua_balancer_init_peer() {
	r->upstream->peer.set_session = ngx_http_lua_balancer_set_session;
	r->upstream->peer.save_session = ngx_http_lua_balancer_save_session;
}

在处理阶段,通过balance的lua脚本,如果正确调用了balancer.set_current_peer则会将bp中的sockaddr与socklen设置上,从而直接返回,如果没有,则走nginx原先的流程。

ngx_http_lua_balancer_get_peer()
{
	rc = lscf->balancer.handler(r, lscf, L);
	if (bp->sockaddr && bp->socklen) { 
		return NGX_OK;
	}
	return ngx_http_upstream_get_round_robin_peer(pc, &bp->rrp);
}

再看看替换的读取与设置ssl session的回调,如果是lua脚本选出的peer,则直接返回,其实可以在这里加入自控session reuse的代码。否则走原先nginx的代码。

ngx_http_lua_balancer_save_session
{
	if (bp->sockaddr && bp->socklen) {                                    
    	/* TODO */                                                        
    	return;                                                           
	}                                                                     
	return ngx_http_upstream_save_round_robin_peer_session(pc, &bp->rrp);  
}

为什么这么处理,算是bug还是未做完的开发?深入想想,这应该是周全的设计。
nginx中的配置都是静态的,upstream侧有多少台主机都可知,session的存储与具体的主机关联即可,但是openresty是动态的,选择出的主机与nginx的配置没有任何关系,信息的存储需要自己编写脚本代码实现。通过代码也可以看出,当balance的lua脚本没有得出主机,则继续执行nginx原有的流程。

相机的开关在哪里
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lua-resty-redis-session:openresty会话模块,使用redis保存会话数据
04-29
lua-resty-redis-session-module 相依性 安装 git clone https://github.com/cloudflare/lua-resty-cookie.git git clone https://github.com/brg-liuwei/lua-resty-redis_session.git 假设openresty的安装路径为/ usr / local / openresty / cp lua-resty-cookie/lib/resty/cookie.lua /usr/local/openresty/lualib/resty/ cp lua-resty-redis_session/lib/resty/redis_session.lua /usr/local/openresty/lualib/resty/ 例子 设置主机(您的浏览器可能不支持本地主
Openresty学习(六):模块开发:通过Upstream机制访问第三方协议服务器
szkbsgy的专栏
06-24 1113
Upstream机制是nginx的核心模块之一,基于Upstream模块可以对上游的各种服务器或组件进行访问,如web服务器、memcache、反向代理、数据库和redis访问。正是Upstream模块的支持,使nginx可以异步访问上述组件,保证Nginx的性能。 本文实现nginx模块(upstream_oth):基于Upstream访问第三方TCP自定义协议服务器,解析第三方服务器的响应...
openresty+lua 动态更新upstram里的server (下)lua实现动态更新upstream
风一样的少年
05-07 4784
如果基础环境没有配置的话,请到上篇,https://blog.csdn.net/u014686399/article/details/80225843 步骤一:更新自带的lualib/resty/upstream/healthcheck.lua         (1)备份一下lualib/resty/upstream/healthcheck.lua          (2)在合适的地方添加一...
openresty ssl问题解决
kevin的专栏
01-04 6940
最近在捣鼓微信小程序,在使用openrestyssl发起https调用时,报如下错误: lua ssl certificate verify error: (20: unable to get local issuer certificate), 经排查发现是nginx配置的证书问题,那么本地究竟应该使用哪个证书呢,我发现/etc/ssl/certs下有一大堆,具体配置哪一个,
运维36讲第04课:入口网关服务注册发现-Openresty 动态 upstream
sucaiwa的博客
03-19 464
本课时,我将带你一起了解入口网关服务的注册发现,并使用OpenResty 实现一套动态Upstream。课前学习提示基于本课时我们将要学习的内容,我建议你课前先了解一下 Nginx 的基础,同时熟悉基础的 Lua 语言语法,另外再回顾一下 HTTP 的请求过程,对于 Nginx 的负载均衡基本原理也要有基础的了解,掌握这些对我们学习此课时能起到一定的帮助。
Nginx/Openresty启用http2支持的方法教程
01-09
当下很多著名的互联网公司,例如百度、淘宝、UPYUN 都在自己的网站或 APP 采用了 SPDY 系列协议(当前最新版本是 SPDY/3.1),因为它对性能的提升是显而易见的。主流的浏览器(谷歌、火狐、Opera)也都早已经支持 ...
openresty 在直播领域的应用.pdf
08-20
本文将详细介绍 OpenResty 在直播领域的应用,包括需求、背景、体系结构、功能、问题及优化项目需求等方面。 需求和背景 ---------- OpenResty 在直播领域的应用主要是为了满足直播服务的高并发、低延迟和高...
OpenResty功能齐全的Web应用程序服务器.rar
05-25
OpenResty是一款强大的Web应用程序服务器,它基于Nginx的核心并扩展了其功能,使得开发者可以利用 Lua 脚本语言来实现动态处理、高性能的Web应用系统。OpenResty的全名是“OpenResty®”,它不仅包含了标准版的Nginx...
lua-resty-session:OpenResty的会话库–灵活且安全
05-04
lua-resty会议 lua-resty-sessionOpenResty的安全,灵活的会话库。 Hello World与lua-resty-session worker_processes 1 ; events { worker_connections 1024 ; } http { server { listen 8080 ; server_name localhost; default_type text/html; location / { content_by_lua ' ngx.say("<html><body><a>Start the test</a>!</body></htm
openresty简介
qq_24092035的博客
02-19 984
由于用户量的增大,后端负载不断增高,公司也进行了停服扩容,但在上某些活动,出现高并发请求时,负载依旧飙升。于是决定采用一个新的框架 openresty 以及基于oenresty的框架vanilla。首先需先对其进行一些调研。列上一些参考资料(都是一些文的网站)。 openresty官网:https://openresty.org/cn/ openresty最佳实践:https://www.gi
Nginx 管理 SSL 流量 - 加密 NGINX 和 upstream 服务器组之间的 HTTP 流量
kikajack的博客
02-16 3240
原文地址 1. 先决条件 Prerequisites Nginx 或 Nginx Plus。 一台代理服务器或一组 upstream 服务器。 SSL 证书和私钥。 2. 获取 SSL 的服务器证书 可以从可信的证书颁发机构(certificate authority,CA)购买证书,或通过 OpenSSL 库自己创建证书。服务器证书和私钥应该被放到每一台 upstream 服...
Nginx(Openresty)+Tomcat+Memcache实现负载均衡和Session共享
y_yang666的博客
02-20 535
Nginx(openresty)部分的内容查看我之前博文:https://blog.csdn.net/y_yang666/article/details/87797541 Tomcat简介: Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,...
Openresty+Tomcat+Memcache实现负载均衡,粘性session架构与交叉存取
weixin_43414025的博客
08-16 337
文章目录tomcat安装使用nginx实现tomcat负载均衡session保持sticky什么是cookie什么是sessionSticky工作原理编译nginx-sticky-module使用stickymemcache和session交叉存取实现步骤效果 tomcat安装 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定,而
LNMP-memcache、openresty、tomcat、session共享
deep_AELY的博客
05-07 462
##为了提高网络的访问速度,一般会建立缓存,下面将演示分别在php和nginx 建立memcache缓存,来提高访问速度. MemCache的工作流程如下: 先检查客户端的请求数据是否在memcached,如有,直接把请求数据返回,不再对数据库进行任何操作;如果请求的数据不在memcached,就去查数据库,把从数据库获取的数据返回给客户端,同时把数据缓存一份到memca...
nginx(OpenResty)对tomcat的负载均衡与session,memcache交叉缓存
baidu_39076057的博客
07-01 266
nginx对tomcat的负载均衡 负载均衡服务机: tar zxf jdk-7u79-linux-x64.tar.gz -C /usr/local/ ##制定路径解压jdk tar zxf apache-tomcat-7.0.37.tar.gz -C /usr/local/ ##制定路径解压tomcat cd /usr/local/ ln -s jdk1.7.0_79/ ja...
Nginx(Openresty)+Tomcat+Memcache实现负载均衡和Session存储共享避免单点故障
运维派
03-12 360
这篇文章是基于前面三篇博客再加上tomcat实现的,最后加上session实现交叉存储 Lnmp:https://blog.csdn.net/weixin_43287982/article/details/87806322 MemCache:https://blog.csdn.net/weixin_43287982/article/details/88399502 OpenResty:https:...
Web框架系列:Session的实现原理
know yourself
03-16 1703
WEB应用都很依赖session这一功能。不少同学不明白session的原理,其实,session实现起来非常简单。HTTP协议是无状态了,每次访问一个资源,就发起一次连接,得倒资源后,就关闭了连接。浏览器和服务器就无法联系了。所以,服务器为了认证浏览器的身份,需要让浏览器携带一个独一无二的信令,其他人无法获取到,也没有办法猜测到,每次浏览器来访问自己的时候都带上这个信令,服务器判断这个信令是不是
Node.js v12.16.2 Documentation HTTPS
BLOG域名:programb.blog.csdn.net
04-16 363
Index View on single page View as JSON View another version ▼ Edit on GitHub Table of Contents HTTPS Class: https.Agent new Agent([options]) Event: 'keylog' Class: h...
【Nginx38】Nginx学习:SSL模块(二)错误状态码、变量及宝塔配置分析
最新发布
硬核项目经理
11-02 628
Nginx学习:SSL模块(二)错误状态码、变量及宝塔配置分析继续我们的 SSL 模块的学习。上回其实我们已经搭建起了一个 HTTPS 服务器了,只用了三个配置,其一个是 listen 的参数,另外两个是指定密钥文件的地址,一个是 crt 文件,一个是 key 文件。今天我们将学习到的是 SSL 的错误状态码、变量相关的内容,以及最后会看一下在宝塔配置 SSL 之后,它生成的配置指令是什么样...
openresty 修改upstream的post
06-08
可以使用OpenResty提供的ngx.req.set_body_data()方法来修改POST请求的请求体。首先需要在对应的location设置proxy_pass指令来指向对应的upstream,然后使用access_by_lua_block指令指定一个Lua代码块处理请求。在这个Lua代码块,可以通过ngx.req.read_body()方法来读取请求体,然后使用ngx.req.set_body_data()方法来修改请求体。最后再使用ngx.req.set_uri_args()方法来修改请求参数,然后发送请求即可。 以下是一个示例代码: ``` location /upstream { proxy_pass http://backend; access_by_lua_block { ngx.req.read_body() local body = ngx.req.get_body_data() -- 修改请求体 body = string.gsub(body, "old_value", "new_value") ngx.req.set_body_data(body) -- 修改请求参数 local args = ngx.req.get_uri_args() args["param"] = "new_value" ngx.req.set_uri_args(args) } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值