目录:
关于Reserve Proxy;
ngx_http_proxy_module模块;
ngx_http_upstream_module模块;
正文:
一、关于Reserve Proxy.
Proxy请求过程分为两个阶段:
首先是请求报文从Client到Proxy的过程,包含Client向Proxy请求数据报文时的HTTP请求首部,nginx proxy接收到请求报文后,会将报文进行拆除,以了解报文内部请求的具体内容;并且去匹配本机的location;一旦匹配到,发现该报文请求内容是要发往后端服务器去请求的,此时proxy_server需要自己重新构建请求报文送往后端服务器。
二、ngx_http_proxy_module模块
作用: The <code>ngx_http_proxy_module</code> module allows passing requests to another server.
格式:
<code>location </code><code>/uri</code><code>{</code>
<code> </code><code>proxy_pass http:</code><code>//back_server</code><code>:port</code><code>/newuri</code><code>; </code>
<code>}</code>
/uri --> /newuri //上面示例中/uri对应的就是/newuri.
如果此处location后跟的/uri是通过模式匹配定义的,该种情形,实际请求的url路径为 http://back_server:port/newuri/uri
如果location中使用了url重定向(rewrite)时,nignx将使用重定向之后的uri进行处理,而不是重定向之前的.
实验一. 通过直接匹配与正则匹配的方式设置反向代理.
实验环境:
系统版本
用途
主机名
IP
CentOS7.3
Nginx_Proxy
nginx
10.68.7.222
CentOS6.8
node_Server
node1
10.68.7.200
node2
10.68.7.201
Windows
test
Windows
10.68.7.167
首先确认后端node服务器访问正常:
<code>[root@nginx conf]</code><code># curl 10.68.7.201</code>
<code><h1> node1 <</code><code>/h1</code><code>></code>
<code>[root@nginx conf]</code><code># curl 10.68.7.202</code>
<code><h1> node2 <</code><code>/h1</code><code>></code>
<code>[root@nginx conf]</code><code>#</code>
然后确保nginx_proxy代理服务器正常可用:
<code>[root@nginx conf]</code><code># vim server1.conf </code>
<code> </code><code>server {</code>
<code> </code><code>listen 8080;</code>
<code> </code><code>server_name yangbin.com;</code>
<code> </code><code>charset utf-8;</code>
<code> </code><code>access_log </code><code>/data/nginx/logs/access</code><code>.log;</code>
<code> </code><code>location / {</code>
<code> </code><code>root </code><code>/web/html/www</code><code>;</code>
<code> </code><code>index www.html index.html index.htm;</code>
<code> </code><code>}</code>
<code> </code><code>location </code><code>/images/</code> <code>{</code>
<code> </code><code>root </code><code>/web/html/</code><code>;</code>
<code> </code><code>index qq.jpg;</code>
<code> </code><code>}</code>
<a href="https://s3.51cto.com/wyfs02/M02/8C/DE/wKioL1h8ehuDq33aAAMIW4q7RK0099.png" target="_blank"></a>
然后开始配置proxy_pass:
<code> </code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.201/</code>
<code> </code><code>} </code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.202/</code>
<code> </code><code>} </code>
<code>[root@nginx conf]</code><code># ../sbin/nginx -s reload</code>
浏览器访问测试:
<a href="https://s5.51cto.com/wyfs02/M01/8C/E2/wKiom1h8fnzCMTtZAAAqXGw0eh4249.png" target="_blank"></a>
<a href="https://s5.51cto.com/wyfs02/M01/8C/DF/wKioL1h8fnzCXxlLAAAumwub9uE859.png" target="_blank"></a>
从访问的结果得出这样的结论:访问代理服务器ip,将是proxy_pass模块进行响应!
此时查看node服务器的web访问日志,可以发现来源IP是nginx代理服务器的ip.
<code>[root@node1 ~]</code><code># tail -1 /etc/httpd/logs/access_log </code>
<code>10.68.7.222 - - [16</code><code>/Jan/2017</code><code>:23:55:04 +0800] </code><code>"GET / HTTP/1.0"</code> <code>200 17 </code><code>"-"</code> <code>"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"</code>
<code>[root@node1 ~]</code><code>#</code>
<code>[root@node2 ~]</code><code># tail -1 /etc/httpd/logs/access_log </code>
<code>10.68.7.222 - - [17</code><code>/Jan/2017</code><code>:00:03:33 +0800] </code><code>"GET / HTTP/1.0"</code> <code>200 17 </code><code>"-"</code> <code>"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"</code>
<code>[root@node2 ~]</code><code>#</code>
关于location匹配的其他情况:
第一种情况:
<code> </code><code>location </code><code>/images</code> <code>{</code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.202</code><code>/images</code><code>;</code>
<code> </code><code>}</code>
注:image/qq.jpg是node2服务器站点存放网页的根目录下的子目录,该子目录中包含qq.jpg图片.
修改node2 httpd服务配置文件:
<code> </code><code>[root@node2 html]</code><code># vim /etc/httpd/conf/httpd.conf </code>
<code> </code><code>...</code>
<code> </code><code>402 DirectoryIndex qq.jpg index.html index.html.var</code>
浏览器访问:
<a href="https://s5.51cto.com/wyfs02/M00/8C/E3/wKiom1h8hgqxiaD3AAJ_cb_E4nE121.png" target="_blank"></a>
查看node2服务器的access日志文件:
<code>[root@node2 html]</code><code># tail -1 /etc/httpd/logs/access_log </code>
<code>10.68.7.222 - - [17</code><code>/Jan/2017</code><code>:00:29:43 +0800] </code><code>"GET /images/ HTTP/1.0"</code> <code>200 8863 </code><code>"-"</code> <code>"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"</code>
<code>[root@node2 html]</code><code>#</code>
第二种情况:
<code>location </code><code>/frome/</code> <code>{ </code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.202</code><code>/bbs/</code><code>; </code>
<code> </code><code>... </code>
<code>} </code><code>//</code><code>此时访问yangbin.com:8080</code><code>/frome</code><code>时,返回的是</code><code>/var/www/html/bbs/index</code><code>.html中的内容,因为</code><code>/frome</code><code>映射到了</code><code>/bbs</code><code>。</code>
第三种情况:
<code>location </code><code>/js/</code> <code>{</code>
<code> </code><code>proxy_pass </code>
<code>} </code><code>//</code><code>此时访问yangbin.com</code><code>/js</code><code>时,返回的是</code><code>/var/www/html/js/index</code><code>.html的内容.</code>
查看node2服务器/js目录下的网页文件内容:
<code>[root@node2 html]</code><code># vim js/index.html</code>
<code> </code><code><h1> </code><code>/var/www/html/js/index</code><code>.html <</code><code>/h1</code><code>></code>
<a href="https://s2.51cto.com/wyfs02/M00/8C/DF/wKioL1h8izTzqAYAAAA5Ub3g2WY443.png" target="_blank"></a>
第四种情况:
<code>location ~* \.(jpg|png|gif)$ { </code><code>//</code> <code>~*表示不区分大小写; 后面表示以.jpg, .png, .gif结尾的uri.</code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.202; </code>
<code>} </code><code>//</code><code>该种情况表示所有以.jpg, .png, .gif结尾的uri请求,都会代理至10.68.7.202.</code>
如果采用的正则表达式匹配,则location部分会直接补到待访问的IP地址后边,如果ip地址后边有其他路径,也会将该路径替换.
第五种情况:
<code>location ~* \.(jpg|jpeg|png)$ {</code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.202; </code>
<code>} </code><code>//</code><code>此处如果是 http:</code><code>//10</code><code>.68.7.202/, 即后面加个斜线是错误的,因为对于模式匹配的proxy不允许有url路径存在.</code>
此情况下,在node1服务器下的/var/www/html/bbs/路径下也应该有.jpg结尾的文件才行
浏览器访问http://yangbin.com:8080/images/images.png,也会进行映射,实际的访问路径为http://10.68.7.202/images/images.png.
浏览器验证过程略.
注:关于以上各种情况带来的访问ip的问题:
实验一的情况,后端的node服务器上access_logs记录的Client_ip是nginx反向代理服务的ip;而真实环境中,很多时候为了分析用户行为,需要获取访问用户的真实ip,因此以上情况的配置就有问题,因为它将访问用户的ip统统转化为了代理服务器的ip.该问题的解决办法,具体配置详见"实验2".
实验2:向客户端发送特定首部,记录客户端的ip.
官网文档:
http://nginx.org/en/docs/http/ngx_http_core_module.html#variables
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_set_header
首先配置代理服务器:
<code>location / {</code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.201/;</code>
<code> </code><code>proxy_set_header Host $host;</code>
<code> </code><code>proxy_set_header X-Real-IP $remote_addr;</code>
<code> </code><code>location ~* \.(jpg|png|jpeg|gif)$ {</code>
<code> </code><code>proxy_pass http:</code><code>//10</code><code>.68.7.202;</code>
<code> </code>
然后修改node服务器配置文件的log格式:
<code>[root@node1 ~]</code><code># vim /etc/httpd/conf/httpd.conf </code>
<code> </code><code>...</code>
<code> </code><code>497 </code><code>#LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined</code>
<code> </code><code>498 LogFormat </code><code>"%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""</code> <code>combined </code><code>////</code><code>该行开头</code><code>"%h"</code><code>改为</code><code>"%{X-Real-IP}i"</code><code>.</code>
<code> </code><code>499 LogFormat </code><code>"%h %l %u %t \"%r\" %>s %b"</code> <code>common</code>
<code> </code><code>500 LogFormat </code><code>"%{Referer}i -> %U"</code> <code>referer </code>
<code> </code><code>501 LogFormat </code><code>"%{User-agent}i"</code> <code>agent</code>
<code>[root@node1 ~]</code><code># service httpd restart</code>
<code>[root@node2 ~]</code><code># vim /etc/httpd/conf/httpd.conf </code>
<code> </code><code>498 LogFormat </code><code>"%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""</code> <code>combined</code>
<code> </code><code>500 LogFormat </code><code>"%{Referer}i -> %U"</code> <code>referer</code>
<code>[root@node2 ~]</code><code># service httpd restart</code>
分别在浏览器访问两个location,然后到node服务器端查看访问日志:
<code>[root@node1 ~]</code><code># tail -3 /etc/httpd/logs/access_log </code>
<code>10.68.7.167 - - [17</code><code>/Jan/2017</code><code>:01:52:09 +0800] </code><code>"GET / HTTP/1.0"</code> <code>304 - </code><code>"-"</code> <code>"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"</code>
<code>10.68.7.167 - - [17</code><code>/Jan/2017</code><code>:01:52:10 +0800] </code><code>"GET / HTTP/1.0"</code> <code>304 - </code><code>"-"</code> <code>"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"</code>
<code>[root@node2 ~]</code><code># tail -3 /etc/httpd/logs/access_log </code>
<code>10.68.7.167 - - [17</code><code>/Jan/2017</code><code>:01:52:08 +0800] </code><code>"GET /images/images.png HTTP/1.0"</code> <code>304 - </code><code>"-"</code> <code>"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0"</code>
10.68.7.167为访问客户端的ip.
实验3:nginx的代理缓存(proxy_cache)功能,加速用户访问站点的速度;
<a href="http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cache" target="_blank">http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cache</a>
此处可用压测命令ab来测试缓存前后的效果.
语法:
<code>Syntax: proxy_cache_path PATH [levels=levels] [use_temp_path=on|off] </code>
<code>e.g: proxy_cache_path </code><code>/data/nginx/cache</code> <code>levels=1:2 keys_zone=one:10m;</code>
/data/nginx/cache: 表示缓存存储的具体路径;
levels=1:2 表示缓存的级别,1:2表示共有两级缓存目录,第一级缓存目录共有1个字符表示,第二级缓存目录共有2个字符表示,如果levels=1:2:3,表示共有3三级缓存目录,第三级缓存目录用三个字符表示;
keys_zone=one:10m表示在内存中找10兆大小的位置,取名为one来存储键值;
结果示例:
/data/nginx/cache/c/29/b7f54b2df7773722d382f4809d65029c
目录c:表示为一级缓存目录,共一个字符;
目录29:为二级缓存目录,共两个字符;后面的一长串字符为缓存的具体文件;
其他proxy_cache模块配置语法说明:
<code>Syntax: proxy_cache_methods GET | HEAD | POST ...;</code>
<code>Default: proxy_cache_methods GET HEAD; </code>
<code>Context: http, server, location</code>
作用:定义客户端只有使用GET,HEAD或POST时才会缓存;一般都是使用GET或HEAD时才会缓存;
POST: 提交.
PUT:上传.
<code>Syntax: proxy_cache_min_uses number;</code>
<code>Default: proxy_cache_min_uses 1;</code>
作用:Sets the number of requests after which the response will be cached.
即设定用户请求的内容被响应多少次之后才会被缓存.
<code>Syntax: proxy_cache_purge string ...;</code>
<code>This directive appeared </code><code>in</code> <code>version 1.5.7.</code>
作用:purge表示修剪,净化,清除; 即缓存管理;
使用场景:
1)缓存都有有效期限;在有效期限到来之前,缓存会一直有效;而在这期间,当后端服务器内容发生改变,用户请求到仍然是旧的资源;
2)使用缓存修剪,网站管理人员可以限定自动将请求的缓存从本地缓存中删除,这样下次请求时将从后端服务器请求新的内容并缓存到本地,保证缓存与后端服务器资源的同步一致;
3)使用时注意权限问题,不能随便授权;
<code>Syntax: proxy_cache_revalidate on | off;</code>
<code>Default: proxy_cache_revalidate off;</code>
作用:重新有效期验证;即过期后重新校验,就是当缓存过期后,它自动向后端服务器询问资源是否有改动;如果没有改动,就延长本地缓存过期时间继续使用,可以避免占据后端网络带宽;
<code>Syntax: proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...;</code>
<code>Default: proxy_cache_use_stale off;</code>
作用:当用户访问某个资源,正好代理服务器缓存已过期,然后代理服务器向后端请求资源,正好后端服务器宕机了;此时代理服务器只能向客户端返回请求的资源不存在;
而使用此选项,可以在这种情况下自定义给客户端返回的错误信息,如timeout,updating,500,404等委婉信息;
<code>Syntax: proxy_cache_valid [code ...] </code><code>time</code><code>;</code>
作用:Sets caching time for different response codes. For example, the following directives:
例:
proxy_cache_valid 200 302 10m;
proxy_cache_valid 404 1m;
按照响应码来进行缓存;自定义缓存时长,而不用默认的;
三、ngx_http_upstream_module模块;
<code>Syntax: upstream name { ... }</code>
<code>Default: —</code>
<code>Context: http</code>
配置:
<code>[root@nginx conf]</code><code># vim nginx.conf </code>
<code> </code><code>http {</code>
<code> </code><code>...</code>
<code> </code><code>upstream user-defined { </code>
<code> </code><code>server 10.68.7.201;</code>
<code> </code><code>server 10.68.7.202;</code>
<code> </code><code>}</code>
<code> </code><code>include server1.conf;</code>
<code> </code><code>location / {</code>
<code> </code><code>proxy_pass http:</code><code>//user-defined/</code><code>;</code>
浏览器访问即会出现轮询的情况;
<a href="https://s4.51cto.com/wyfs02/M02/8C/E0/wKioL1h8pGLBkj9jAAAutR3VSv8963.png" target="_blank"></a>
<a href="https://s1.51cto.com/wyfs02/M00/8C/E4/wKiom1h8pGODvhc8AAAw44a0xbQ605.png" target="_blank"></a>
注:
upstream和proxy_pass的区别:proxy_pass后面只能定义一个ip站点;upstream则可以把多个ip站点做成一个组(只能defined在http中),放在proxy_pass模块后面以特定的方式来调用;
还要注意:
The ngx_http_upstream_module module is used to define groups of servers that can be referenced by the proxy_pass, fastcgi_pass, uwsgi_pass, scgi_pass, and memcached_pass directives.
upstream模块默认是加权轮询的,只不过权重都等于1.
其他upstream模块选项:
<code>Syntax: server address [parameters];</code>
<code>Context: upstream</code>
The following parameters can be defined:
1) weight=number
2) max_conns=number
3) fail_timeout=time
4) max_conns=number
5) max_fails=number //用来做健康状态检查,尝试多少次连接后还连接不上,就将其标记为失效,并将其移除;
6) fail_timeout=time //定义超时时间;
7) backup //标记为备用服务器,当另一台服务器可用时,被标记的这台服务器不会提供服务,只有当另一外服务器不可用时,被标记的这台服务器才会主动提供服务。一般把proxy服务器自己当做备用服务器;
8)down //标记为永久下线,使用场景:后台服务器需要升级且不支持平滑升级的情况下;
例如:
<code>upstream user-defined {</code>
<code> </code><code>server 10.68.7.200 weight=3;</code>
<code> </code><code>server 10.68.7.201;</code>
//这样定义完的效果是7.200站点的资源刷新三下后才会轮询到7.201上面;
<code>Syntax: ip_hash;</code>
作用:算法指令,指客户端访问到哪个站点后,刷新不会跳转到其他站点,指session绑定,原地址绑定;
ip_hash可能有损负载均衡效果;
e.g:
<code> </code><code>ip_hash;</code>
<code> </code><code>server 10.68.7.201;</code>
<code> </code><code>server 10.68.7.202;</code>
<code> </code><code>server 10.68.7.201 max_fails=2 fail_timeout=2;</code>
<code> </code><code>server 10.68.7.202 max_fails=2 fail_timeout=2;</code>
Nginx的基本配置已完成,其实以上总结的凤毛菱角,nginx强大功能背后所涉及的配置复杂程度远非于此,而官网文档,非常有参考及学习价值,值得经常查阅!
附:
Nginx rpm包下载地址:https://pkgs.org/download/nginx
Tengine官网学习地址:http://tengine.taobao.org/
--- 第三部分完成!
本文转自 羽丰1995 51CTO博客,原文链接:http://blog.51cto.com/13683137989/1892711
![Windows系统下通过CMD命令行或运行窗口打开常用附件和功能[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)