Nginx代理配置详解

Nginx代理

1.Nginx代理概念

Nginx代理配置详解_第1张图片

Nginx代理配置详解_第2张图片

  • 上图描述了几种私网访问公网的方式,下面来解释一下

    • 路由转发:源ip和目标ip都不会改变只改变mac地址,只能在私网使用
      • 客户端10.0.0.1要访问web服务器172.16.1.7,也就是客户端直接通过路由去访问web服务器,首先请求的源ip是10.0.0.1目标ip是172.16.1.7,源mac是pc目标mac是web,当源ip到达路由器时查询路由表,在转发到web服务器。这时源ip和目标ip不会改变,但是源mac地址会换成路由器的mac地址,最终访问到web服务器,web服务器记录的访问ip依旧是客户端的源ip
    • 代理:源ip和目标ip发生改变,mac地址不会改变
      • 这次客户端不会直接去访问web服务器,因为私网和公网是不通的,这时客户端源ip10.0.0.1就会去访问代理的服务器10.0.0.5,代理服务器收到请求后会代替客户端去访问web服务器,这时源ip、目标ip就发生了改变,源ip172.16.1.5目标ip172.16.1.7,最后再把页面返回给客户端,web服务器记录的ip就会是代理服务器的ip,有效的保护了源ip
    • nat和实现原理和代理几乎一致,只不过是加密访问,建立一个通道
      • nat会将ip头部中的私网ip换成公网ip,消耗资源较大
      • 可以实现两个不同局域网通信,实现私网到私网之间的通讯首先是封装两个地区的公网ip,到达网关后会把头部去掉,ip头部记录着两个私网的ip地址,就像是在同一局域网在通讯
  • 代理的实现方式

    • 正向代理,帮客户端连接web服务器
      • 私网到公网
      • 内部上网 客户端<—>代理—>服务端
    • 反向代理,将web服务器资源提供给客户端
      • 公网到私网
      • 反向代理 客户端—>代理<—>服务端
      • 反向代理用的非常多,他可以非常有效的保护后台服务器还能提供一个缓存服务,当客户端通过公网来访问服务器,其实访问的是代理服务器,再由代理服务器转发到web服务器
  • 正向代理与反向代理的区别

    • 代理的对象不同
    • 正向代理代理的是客户端
    • 反向代理代理的是服务端

2.Nginx反向代理配置

2.1.Nginx代理配置语法

  • 功能:代理后端web服务器

  • 代理后端web服务器配置

    • 语法格式:proxy_pass URL;
    • 默认配置:-
    • 配置区域:location,if in location,limit_except
    • URL配置方式
      • http://localhost:8000/url
      • http://10.0.0.7:8000/url
      • http://unix:/tmp/backend.soket:/url/
  • 具体配置

    proxy_pass http://192.168.81.210
    

2.2.url跳转修改返回location

  • 功能:修改web服务器返回的响应头中的location头域跟refresh头域数值

  • https://blog.csdn.net/weixin_44953658/article/details/105494108

  • url跳转配置

    • 语法格式:proxy_redirect [default|off; redirect replacement]
    • 默认配置:proxy_redirect default;
    • 配置区域:http,server,location
  • 具体配置

    proxy_redirect http://192.168.1.154:8080/wuman/  http://www.boke.com/wuman/;
    

2.3.发送后端服务器的请求头信息

  • 功能:假如被代理的web服务器上有多个虚拟主机站点,不定义请求头信息的话无法转发到对应的服务器上,配置了请求头信息,nginx会根据HOST值去找对应的站点信息

Nginx代理配置详解_第3张图片

2.3.1.请求头配置

  • 语法格式:proxy_set_header field value;

  • 默认配置:proxy_set_header HOST $proxy_host;

    ​ proxy_set_header Connection close;

  • 配置区域:http,server,location

  • 如果web服务器设置了多个虚拟主机,那么这一项必须配置,如果不配置,只显示配置文件目录中最靠前的站点,字母a-z排序

  • 用户请求的时候HOST的值是know.com也就是url中输入的内容,那么代理服务器会向后端传递的请求就会是know.com

    proxy_set_header HOST $http_host;
    

2.3.2获取客户端源ip

  • r e m o t e a d d r 的 值 放 进 变 量 X − R e a l − I P 中 , remote_addr的值放进变量X-Real-IP中, remoteaddrXRealIPremote_addr的值为客户端的ip,从而记录客户端的访问ip

    proxy_set_header X-Real-IP $remote_addr;
    
  • 客户单通过代理访问后端服务,后端服务通过该变量来记录真实客户端地址,也就是说如果不加如下配置则nginx服务器记录的是代理服务器的ip而不是客户端的ip

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    

2.4.代理到后端的超时时间

  • TCP连接、响应、返回等超时时间

2.4.1.tcp连接超时时间配置

  • Nginx代理与后端服务器连接超时时间

  • 在指定时间内如果无法与后端服务器建立tcp连接则断开

  • 超时时间配置

    • 语法格式:proxy_connect_timeout time;
    • 默认配置:proxy_connect_timeout 60s;
    • 配置区域:http、server、location
    proxy_connect_timeout 60s;
    

2.4.2.响应时间配置

  • Nginx代理等待后端服务器的响应时间

  • 与后端服务器建立了tcp连接,但在指定时间内后端服务器没有响应对应的页面信息则断开

  • 响应时间配置

    • 语法格式:proxy_read_timeout time;
    • 默认配置:proxy_read_timeout 60s;
    • 配置区域:http、server、location
    proxy_read_timeout 60s;
    

2.4.3.数据回传超时

  • 后端服务器数据回传给nginx代理超时时间

  • 与后端tcp连接建立成功、响应成功、在指定时间内没有显示内容则断开

  • 回传时间配置

    • 语法格式:proxy_send_timeout time;
    • 默认配置:proxy_send_timeout 60s;
    • 配置区域:http、server、location
    proxy_send_timeout 60s;
    

2.5.代理缓冲区

2.5.1.开启缓冲区

  • nginx会把后端返回的内容先放到缓冲区,然后再返回给客户端,边收边传,不是全部接收完在传给客户端,而缓存会全部接受完在传给客户端

  • 代理缓存区配置

    • 语法格式:proxy_buffering on | off;
    • 默认配置:proxy_buffering on;
    • 配置区域:http、server、location
    proxy_buffering on;
    

2.5.2.配置缓冲区大小

  • 设置nginx代理保存用户头信息的缓冲区大小

  • 也就是存放缓冲信息目录的大小

  • 配置缓冲区大小

    • 语法格式:proxy_buffing_size size;
    • 默认配置:proxy_buffer_size 4k|8k;
    • 配置区域:http、server、location
    proxy_buffer_size 128k;
    

2.5.3.配置缓冲文件大小

  • 设置缓冲区文件数量以及大小

  • 配置缓冲文件大小

    • 语法格式:proxy_buffers number size;
    • 默认配置:proxy_buffers 8 4k|8k 8表示文件的数量 4k表示文件的大小
    • 配置区域:http、server、location
    proxy_buffers 4 128;
    

2.6.常用代理优化配置

  • 可以把常用的代理配置写到单独的文件中,在使用include调用,显得文件不是特别乱,但是个人习惯还是写出来,增加熟练度

    vim /etc/nginx/proxy_params
    proxy_set_header HOST $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    
    proxy_connect_time 30;
    proxy_read_timeout 60;
    proxy_send_timeout 60;
    
    proxy_buffering on;
    proxy_buffer_size 32k;
    proxy_buffers 4 128k;
    
  • 最高法院反向代理常用配置

    client_max_body_size 200m;
    proxy_redirect off;
    proxy_set_headed Host $host:80;
    proxy_set_headed X-Real-IP $remote_addr;
    proxy_set_headed X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_connect_time 30;
    proxy_send_time 30;
    proxy_read_time 60;
    proxy_buffer_size 256k;
    proxy_buffers 4 256k;
    proxy_busy_buffers_size 256k;
    proxy_next_upstream error timeout invalid_header http_500 http_404;
    proxy_max_temp_file_size 128m;
    proxy_pass http://;
    

3.Nginx反向代理配置实例

  • 架构图

Nginx代理配置详解_第4张图片

角色 外网IP 内网IP 网卡类型
proxy eth0:192.168.81.210 ens33:172.16.1.100 vm8、vm1
web eth0:192.168.81.220 ens33:172.16.1.200 vm1
客户端 192.168.81.1 无内网ip vm8
  • 代理服务器两块网卡,vm8:192.168.81.210表示外网地址与客户端连接,vm1:172.16.1.100表示内网地址与web进行连接

  • web服务器二块网卡,vm1:172.16.1.200与代理互连,vm8与客户端相连,主要是为了xshell连接

  • Nginx如果只想让某一网段来访问此服务器,可以在listen后面写上监听的ip,类似基于ip的访问,设置完后只有这个网段的主机可以访问

  • 注意:一定要将客户端的vm1网卡关掉,否则在日志中查看时都是172网段(因为vm1与web在同一网段),一定要让客户端ping不同172网段的主机,如果不把vm1网卡关掉,那么listen只设置172.16.1.200,客户端访问172.16.1.200也是可以访问到的,因为是同一网段

  • 效果关掉vm1,可以达到效果

    • 可以用192.168.81.220来得到页面内容

3.2.安装Nginx

[root@localhost ~]# cat /etc/yum.repos.d/nginx.repo 
[nginx]
name=nginx
baseurl=http://nginx.org/packages/centos/7/$basearch
enabled=1
gpgcheck=0

[root@localhost ~]# yum -y install nginx

3.2.配置web后端服务器

[root@localhost conf.d]# vim www_know.conf 
#www.know.com
server {
        listen 172.16.1.200:80;
        server_name www.know.com;
        access_log /nginx_log/www_know_access.log main;

        location / {
                root /web/know;
                index index.html;
                #allow 172.16.1.100;
                #deny all;
        }

        location /download {
                autoindex on;
                autoindex_exact_size on;
                autoindex_localtime on;
                auth_basic "后端文件系统";
                auth_basic_user_file /etc/nginx/.auth_passwd;
        }
}

仅允许代理服务器172.16.1.网段可以访问,如果开放allow、deny表示只有172.16.1.100可以访问

listen这块如果要修改请用restart进行重启,否则不生效

重启服务:
[root@localhost conf.d]# systemctl restart nginx

  • 做完这步操作后,除了172.16.1.网段的能访问,其余都不能访问

在这里插入图片描述

3.3.配置代理服务器

[root@localhost conf.d]# vim www_know_proxy.conf
server {
        listen 80;
        server_name www.know.com;

        location / {
                proxy_pass http://172.16.1.200:80;
        }
}

重载nginx
[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl reload nginx

配置客户端hosts文件,要写代理服务器的外网ip
192.168.81.210 www.know.com

  • 只配置proxy_pass即可看到页面
    Nginx代理配置详解_第5张图片
  • 日志输出
代理服务器
192.168.81.1 - - [14/Apr/2020:18:01:45 +0800] "GET /images/b.jpg HTTP/1.1" 404 555 "http://www.know.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36"


web服务器
172.16.1.100 - - [14/Apr/2020:18:01:45 +0800] "GET /images/b.jpg HTTP/1.0" 404 555 "http://www.know.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36" "-"

3.4.优化代理服务器

  • 配置web服务器日志记录客户端的真实ip
注意:首先在nginx.conf配置文件中定义的日志格式加上$http_x_forwarded_for
server {
        listen 80;
        server_name www.know.com;

        location / {
                proxy_pass http://172.16.1.200:80;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

日志输出
代理服务器没啥变化
192.168.81.1 - - [14/Apr/2020:18:21:14 +0800] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36"

web服务器在最后一列加入了客户端源ip
172.16.1.100 - - [14/Apr/2020:18:23:37 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36" "192.168.81.1"

3.5.web服务器修改端口

  • 只需要改proxy_pass的端口即可
web服务器配置
[root@localhost conf.d]# vim www_know.conf
server {
        listen 172.16.1.200:8080;
        server_name www.know.com;
        access_log /nginx_log/www_know_access.log main;

        location / {
                root /web/know;
                index index.html;
                #allow 172.16.1.100;
                #deny all;
        }
}
[root@localhost conf.d]# systemctl restart nginx

代理服务器配置
[root@localhost conf.d]# vim www_know_proxy.conf
server {
        listen 80;
        server_name www.know.com;

        location / {
                proxy_pass http://172.16.1.200:8080;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

4.多站点代理配置

4.1.web服务器配置

配置know.com
[root@localhost conf.d]# vim www_know.conf
server {
	listen 172.16.1.200:80;
	server_name www.know.com;
	access_log /nginx_log/www_know_access.log main;
	
	location / {
		root /web/know;
		index index.html;
		#allow 172.16.1.100;
		#deny all;
	}
}

配置WordPress
[root@localhost conf.d]# vim wordpress.conf
server {
	listen 172.16.1.200:80;
	server_name jiang.wordpress.com;
	root /web/wordpress;
	index index.php index.html;
	access_log /nginx_log/jiang_wordpress_access.log main;

	location ~ \.php$ {
		root /web/wordpress;
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		include fastcgi_params;
	}
}

重载nginx
[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl reload nginx 

4.2.代理服务器配置

  • 多个站点的代理配置,一定要配置proxy_set_header HOST $http_host请求头,否则只会显示配置文件目录按字母排序最靠前的站点,例如有一个a.conf、b.conf如果么有设置请求头,那么默认就一直转发到a.conf的站点,所有站点代理配置文件都需要增加请求头配置
配置know站点代理
[root@localhost conf.d]# vim www_know_proxy.conf
server {
        listen 80;
        server_name www.know.com;
        access_log /nginx_log/www_know_proxy.log main;

        location / {
                proxy_pass http://172.16.1.200:80;
		proxy_set_header HOST $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

配置WordPress站点代理
[root@localhost conf.d]# vim jiang_wordpress_proxt.conf 
#jiang.wordpresscom
server {
	listen 80;
	server_name jiang.wordpress.com;
	access_log /nginx_log/jiang_wordpress_proxy.log main;
	
	location / {
		proxy_pass http://172.16.1.200:80;
		proxy_set_header HOST $http_host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_connect_timeout 30;
		proxy_read_timeout 60;
		proxy_send_timeout 60;
		proxy_buffering on;
		proxy_buffer_size 128k;
		proxy_buffers 4 128k;
	}
}

重启nginx服务
[root@localhost conf.d]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@localhost conf.d]# systemctl restart nginx

4.3.效果

  • www.know.com站点
    Nginx代理配置详解_第6张图片

  • jiang.wordpress.com站点

Nginx代理配置详解_第7张图片

  • 日志输出
想要看到效果可以在日志格式中加上$http_host
代理端
[root@localhost conf.d]# vim /etc/nginx/nginx.conf
log_format  main  '$remote_addr - $http_host - $remote_user [$time_local] $http_host $msec  "$request" $request_time '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
日志输出
www.know.com
192.168.81.1 - www.know.com - admin [14/Apr/2020:22:24:15 +0800] www.know.com 1586874255.239  "GET / HTTP/1.1" 0.002 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36" "-"

jiang.wordpress.com
192.168.81.1 - jiang.wordpress.com - - [14/Apr/2020:22:25:25 +0800] jiang.wordpress.com 1586874325.404  "GET / HTTP/1.1" 3.007 200 18460 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36" "-"


web端
[root@localhost conf.d]# vim /etc/nginx/nginx.conf
log_format  main  '$remote_addr - $http_host - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
日志输出
www.know.com
172.16.1.100 - www.know.com - admin [14/Apr/2020:22:27:08 +0800] "GET / HTTP/1.0" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36" "192.168.81.1"

jiang.wordpress.com
172.16.1.100 - jiang.wordpress.com - - [14/Apr/2020:22:27:46 +0800] "GET / HTTP/1.0" 200 18447 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.80 Safari/537.36" "192.168.81.1"

5.常用组合配置

通常将常用的代理参数写到一个指定文件,然后用到时用include调用
[root@localhost nginx]# vim proxy_params
proxy_set_header HOST $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_connect_timeout 30;
proxy_send_timeout 60;
proxy_read_timeout 60;
proxy_buffering on;
proxy_buffer_size 128k;
proxy_buffers 4 128k;

[root@localhost nginx]# vim conf.d/www_know_proxy.conf 
server {
        listen 80;
        server_name www.know.com;
        access_log /nginx_log/www_know_proxy.log main;

        location / {
                include proxy_params;			//确保proxy_params位于conf.d上级目录,否则建议使用绝对路径include /etc/nginx/proxy_params
        }
}

6.故障排查

6.1.代理访问不到web页面

1.检查web服务器是否能提供服务

  • 检查配置文件

    server {
    	listen 80;
    	server_name www.know.com;
    	
    	location / {
    		root /web/know;
    		index index.html;
    	}
    }
    
  • 根据日志判断错误类型

  • 检查网站目录、索引是否存在以及目录的属主

  • 检查nginx服务是否启动

2.检查代理服务器配置

  • 检查配置文件

    server {
    	listen 80;
    	server_name www.know.com;
    	
    	location / {
    		proxy_pass http://172.16.1.200:80;
    		include /etc/nginx/proxy_params;
    	}
    }
    
  • 检查dns解析

    • 要求所有web站点的域名解析为代理服务器的ip,也就是写A记录是域名要对应的IP必须是代理服务器的ip

6.2.无法正确代理

  • 代理配置无误,web服务器配置无误,就是代理不到

  • 解决办法:在web服务器也配置请求头,成功后在删掉

    server {
    	listen 80;
    	server_name www.know.com;
    	
    	location / {
    		root /web/know;
    		index index.html;
    		include proxy_params;
    	}
    }
    

7.总结

代理的80端口可以对应多个后端的80端口

前端的80端口可以对应不同的后端端口

你可能感兴趣的:(Nginx)