正向代理
正向代理(forward proxy) ,代理客户端,为在防火墙内的局域网客户端提供访问Internet的途径。为了从原始服务器取得内容,客户端向代理发送一个请求并制定目标(原始服务器),然后代理向原始服务器转发请求并将获得的内容返回给客户端。我们平时说的代理就是指正向代理。
简单一点:A想向C借钱,A想了一个办法,他让B去向C借钱,这样B就代替A向C借钱,A就得到了C的钱,C并不知道A的存在,B就充当了代理人为A服务。
反向代理
反向代理(Reverse Proxy),代理服务器,将防火墙后面的服务器提供给Internet访问。以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求的客户端,此时代理服务器对外表现为一个反向代理服务器。
可以这么说:A向B借钱,B没有拿自己的钱,悄悄地向C借钱或者D借钱,拿到钱之后再交给A,A以为是B的钱,A只跟B有关系,不管C、D的存在。
正向代理的应用
- 访问原来无法访问的资源
- 用作缓存,加速访问速度
- 对客户端访问授权,上网进行认证
- 代理可以记录用户访问记录(上网行为管理),对外隐藏用户信息
反向代理的应用
- 保护内网安全
- 负载均衡
- 缓存,减少服务器的压力
Nginx作为最近较火的反向代理服务器,安装在目的主机端,主要用于转发客户机请求,后台有多个http服务器提供服务,nginx的功能就是把请求转发给后台的服务器,决定哪台目标主机来处理当前请求。
安装配置Nginx
#tar -xzf nginx-1.10.3.tar.gz
# cd nginx-1.10.3/
# ./cofigure --prefix=/usr/local/nginx && make && make install
# vim /lib/systemd/system/nginx.service
[Unit]
Description=nginx
After=network.target
[Service]
Type=forking
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s quit
PrivateTmp=true
[Install]
WantedBy=multi-user.target
# systemctl enable nginx
# systemctl start nginxNginx配置文件简介
#vim/usr/local/nginx/conf/nginx.conf
#运行用户
user nobody;
#启动进程,通常设置成和cpu的数量相等
worker_processes 1;
#全局错误日志及PID文件
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
#工作模式及连接数上限
events {
#epoll是多路复用IO(I/O Multiplexing)中的一种方式,
#仅用于linux2.6以上内核,可以大大提高nginx的性能
use epoll;
#单个后台worker process进程的最大并发链接数
worker_connections 1024;
# 并发总数是 worker_processes 和 worker_connections 的乘积
# 即 max_clients = worker_processes * worker_connections
# 在设置了反向代理的情况下,max_clients = worker_processes * worker_connections / 4 为什么
# 为什么上面反向代理要除以4,应该说是一个经验值
# 根据以上条件,正常情况下的Nginx Server可以应付的最大连接数为:4 * 8000 = 32000
# worker_connections 值的设置跟物理内存大小有关
# 因为并发受IO约束,max_clients的值须小于系统可以打开的最大文件数
# 而系统可以打开的最大文件数和内存大小成正比,一般1GB内存的机器上可以打开的文件数大约是10万左右
# 我们来看看360M内存的VP可以打开的文件句柄数是多少:
# $ cat /proc/sys/fs/file-max
# 输出 34336
# 32000 < 34336,即并发连接总数小于系统可以打开的文件句柄总数,这样就在操作系统可以承受的范围之内
# 所以,worker_connections 的值需根据 worker_processes 进程数目和系统可以打开的最大文件总数进行适当地进行设置
# 使得并发总数小于操作系统可以打开的最大文件数目
# 其实质也就是根据主机的物理CPU和内存进行配置
# 当然,理论上的并发总数可能会和实际有所偏差,因为主机还有其他的工作进程需要消耗系统资源。
# ulimit -SHn 65535
}
http {
#设定mime类型,类型由mime.type文件定义
include mime.types;
default_type application/octet-stream;
#设定日志格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main;
#sendfile 指令指定 nginx 是否调用 sendfile 函数(zero copy 方式)来输出文件,
#对于普通应用,必须设为 on,
#如果用来进行下载等应用磁盘IO重负载应用,可设置为 off,
#以平衡磁盘与网络I/O处理速度,降低系统的uptime.
sendfile on;
#tcp_nopush on;
#连接超时时间
#keepalive_timeout 0;
keepalive_timeout 65;
tcp_nodelay on;
#开启gzip压缩
gzip on;
gzip_disable "MSIE [1-6].";
#设定请求缓冲
client_header_buffer_size 128k;
large_client_header_buffers 4 128k;
#设定虚拟主机配置
server {
#侦听80端口
listen 80;
#定义使用 www.nginx.cn访问
server_name www.nginx.cn;
#定义服务器的默认网站根目录位置
root html;
#设定本虚拟主机的访问日志
access_log logs/nginx.access.log main;
#默认请求
location / {
#定义首页索引文件的名称
index index.php index.html index.htm;
}
# 定义错误提示页面
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
#静态文件,nginx自己处理
location ~ ^/(images|javascript|js|css|flash|media|static)/ {
#过期30天,静态文件不怎么更新,过期可以设大一点,
#如果频繁更新,则可以设置得小一点。
expires 30d;
}
#PHP 脚本请求全部转发到 FastCGI处理. 使用FastCGI默认配置.
location ~ .php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
#禁止访问 .htxxx 文件
location ~ /.ht {
deny all;
}
}
}1.配置虚拟主机
location / {
root html;
index index.html index.htm;
}
此处的html为相对路径
# systemctl restart nginx
# vim /usr/local/nginx/html
建立测试页面进行测试。
2.配置指定目录为虚拟主机
location /bbs {
root /;
index index.html index.htm;
}测试
3.配置限定访问规则
启用访问限制需借助htpasswd进行管理。
配置文件中加入如下内容:
建立账户:
yum install -y httpd
systemctl disable httpd
mkdir /etc/nginx
htpasswd -c -m /etc/nginx/.user tom
htpasswd -m /etc/nginx/.user jerry测试:
4.反向代理配置
Nginx的反向代理和负载均衡需要使用HttpProxyModule和HttpUpstreamModule模块,其中HttpProxyModule用于将用户请求转发至各个服务器,HttpUpstreamModule模块用于提供简单的负载均衡技术。这两个模块为Nginx默认编译安装模块。
location指定不同的配置请求,proxy_pass根据location的匹配情况建立代理服务器与相应服务器的映射关系,用户访问代理服务器,代理服务器将访问请求
转发至后端真实的服务器。因此。后端服务器无法获得客户端的IP,可以使用X-Forwarded-For重新定义数据包头,保留用户的真实IP。
RS1:192.168.6.147
RS2:192.168.6.155
RS1上配置proxy_pass项:
location / { #匹配所有请求
proxy_pass http://192.168.6.155/;
#满足location条件的请求转发至192.168.6.155
proxy_set_header X-Forwarded-For $remote_addr;
#保留用户真实的IP地址
}
location /bbs/ { #匹配/bbs结尾的请求
proxy_pass http://192.168.6.155/bbs/;
}
RS2上配置主页面:
vim /usr/local/html/index.html
vim /bbs/index.html 
测试:
5.负载均衡实现
Nginx用作负载均衡支持的几种调度算法:
轮询(默认):每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除
weight:指定权重,权重越大,处理请求越多。
ip_hash:每个请求按照用户IP进行分配解决session问题,相同IP地址的用户固定访问同一个服务器。
least_hash:最小连接数,哪台机器连接少就分配到哪台机器。
url_hash:按照目标URL地址进行分配,相同的URL定义到同一后端服务器。
RS1:192.168.6.147
RS2:192.168.6.155
RS3:192.168.6.156
RS1上配置:
upstream webserver {
server 192.168.6.155 weight=1;
server 192.168.6.156 weight=1;
}
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://webserver/;
}
}
在RS2,RS3上配置主页面进行刷新测试。
若需要将同一客户端的请求每次访问都定义到同一服务器,只需在upstream中添加ip_hash;即可。