1.反向代理概述

关于正向代理和反向代理，我们在前面的章节已经通过一张图给大家详细的介绍过了，简而言之就是正向代理代理的对象是客户端，反向代理代理的是服务端，这是两者之间最大的区别。

Nginx即可以实现正向代理，也可以实现反向代理。

2.反向代理的配置语法

Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析，该模块在安装Nginx的时候已经自己加装到Nginx中了，接下来我们把反向代理中的常用指令一一介绍下：

1. proxy_pass
2. proxy_set_header
3. proxy_redirect

2.1 proxy_pass

该指令用来设置被代理服务器地址，可以是主机名称、IP地址加端口号形式。

URL:为要设置的被代理服务器地址，包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。

举例：

大家在编写proxy_pass的时候，后面的值要不要加"/"?

接下来通过例子来说明刚才我们提到的问题：

server { 
		listen 80; 
		server_name localhost; 
		
		location / { 
			#proxy_pass http://8.142.107.148; 
			proxy_pass http://8.142.107.148/; 
		}
}

当客户端访问
http://8.142.107.147/index.html,效果是一样的

server { 
	listen 80; 
	server_name localhost; 
	
	location /server { 
		#proxy_pass http://8.142.107.148; 
		proxy_pass http://8.142.107.148/; 
	}
}

当客户端访问
http://8.142.107.147/server/index.html这个时候，

第一个proxy_pass就变成了
http://8.142.107.148/server/index.html

第二个proxy_pass就变成了
http://8.142.107.148//index.html效果就不一样了。

说明 proxy_pass后面不加/ 就会拼接 location

加/ 就不会拼接location

总结：

1.proxy_pass代理地址端口后有目录(包括/)，转发后地址：代理地址+访问URL目录部分去除location匹配目录

2.proxy_pass代理地址端口后无任何，转发后地址：代理地址+访问URL目录部分

2.2 proxy_set_header

该指令可以更改Nginx服务器接收到的客户端请求的请求头信息，然后将新的请求头发送给代理的服务器

需要注意的是，如果想要看到结果，必须在被代理的服务器上来获取添加的头信息。

被代理服务器： [8.142.107.148]

server {       
    listen 8080;       
    server_name localhost;       
    default_type text/plain;       
    return 200 $http_username;
}

代理服务器: [8.142.107.147]

server {       
    listen 8080;       
    server_name localhost;       
    location /server {               
        proxy_pass http://192.168.200.146:8080/;               
        proxy_set_header username TOM;       
    }  
}

访问测试

2.3 proxy_redirect

该指令是用来重置头信息中的"Location"和"Refresh"的值。

为什么要用该指令?

服务端[8.142.107.148]

server {   
    listen 8081;   
    server_name localhost;   
    # 如果访问的资源不存在，希望他访问首页
    if (!-f $request_filename){   
        return 302 http://8.142.107.148/;   
     }
}

代理服务端[8.142.107.147]

server { 
    listen 8081; 
    server_name localhost; 
    
    location / { 
        proxy_pass http://8.142.107.148:8081/; 
        proxy_redirect http://8.142.107.148 http://8.142.107.147; 
     }
}

该指令的几组选项:

2.3.1 proxy_redirect redirect replacement

redirect:目标,Location的值
replacement:要替换的值

2.3.2 proxy_redirect default

default;
将location块的uri变量作为replacement,
将proxy_pass变量作为redirect进行替换

2.3.3 proxy_redirect off

关闭proxy_redirect的功能

3.反向代理实战

服务器1,2,3存在两种情况

1.第一种情况: 三台服务器的内容不一样。
2.第二种情况: 三台服务器的内容是一样。

1. 如果服务器1、服务器2和服务器3的内容不一样，那我们可以根据用户请求来分发到不同的服务器。

代理服务器

server {       
	listen         8082;       
	server_name     localhost;      
	
	location /server1 {               
		proxy_pass http://192.168.200.146:9001/;       
	}       
	
	location /server2 {               
		proxy_pass http://192.168.200.146:9002/;       
	}       
	
	location /server3 {               
		proxy_pass http://192.168.200.146:9003/;       
	}
}

服务端

#server1
server {       
	listen         9001;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '
192.168.200.146:9001
'
}
	
#server2
server {       
	listen         9002;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '
192.168.200.146:9002
'
}

#server3
server {       
	listen         9003;       
	server_name     localhost;       
	default_type text/html;       
	return 200 '
192.168.200.146:9003
'
}

2. 如果服务器1、服务器2和服务器3的内容是一样的，该如何处理?

4.安全控制

关于web服务器的安全是比较大的一个话题，里面所涉及的内容很多，Nginx反向代理是如何来提升web服务器的安全呢？

安全隔离：

通过代理分开了客户端到应用程序服务器端的连接，实现了安全措施。在反向代理之前设置防火墙，仅留一个入口供代理服务器访问。

4.1 nginx添加SSL的支持

4.1.1 完成 --with-http_ssl_module模块的增量添加

1.将原有/usr/local/nginx/sbin/nginx进行备份
2.拷贝nginx之前的配置信息
3.在nginx的安装源码进行配置指定对应模块 ./configure --with-http_ssl_module
4.通过make模板进行编译
5.将objs下面的nginx移动到/usr/local/nginx/sbin下
6.在源码目录下执行 make upgrade进行升级，这个可以实现不停机添加新模块的功能

4.1.2 Nginx的SSL相关指令

4.1.2.1 ssl

该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。

server { 
  listen 443 ssl;
}

4.1.2.2 ssl_certificate

为当前这个虚拟主机指定一个带有PEM格式证书的证书。

4.1.2.3 ssl_certificate_key

该指令用来指定PEM secret key文件的路径

4.1.2.4 ssl_session_cache

该指令用来配置用于SSL会话的缓存

1. off:禁用会话缓存，客户端不得重复使用会话
2. none:禁止使用会话缓存，客户端可以重复使用，但是并没有在缓存中存储会话参数
3. builtin:内置OpenSSL缓存，仅在一个工作进程中使用
4. shared:所有工作进程之间共享缓存，缓存的相关信息用name和size来指定

4.1.2.5 ssl_session_timeout

开启SSL会话功能后，设置客户端能够反复使用储存在缓存中的会话参数时间

4.1.2.6 ssl_ciphers

指出允许的密码，密码指定为OpenSSL支持的格式

可以使用openssl ciphers查看openssl支持的格式。

4.1.2.7 ssl_prefer_server_ciphers

该指令指定是否服务器密码优先客户端密码

4.1.3 生成证书

1. 方式一：使用阿里云/腾讯云等第三方服务进行购买。
2. 方式二:使用openssl生成证书

先要确认当前系统是否有安装openssl

安装下面的命令进行生成

mkdir /root/cert
cd /root/cert
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

4.1.4 开启SSL实例

4.1.4.1 单独配置HTTPS

部分支持https，其余的保留http

server {   
    listen       443 ssl;   
    server_name localhost;   
    ssl_certificate     /root/cert/server.crt;
    ssl_certificate_key /root/cert/server.key;  
    ssl_session_cache   shared:SSL:1m;   
    ssl_session_timeout 5m;   
    ssl_ciphers HIGH:!aNULL:!MD5;   
    ssl_prefer_server_ciphers on;   
    
    # /abc是https
    location /abc {
        default_type text/plain;
        return 200 "access success";
    }
}

# 其余的是http
server {
    listen       80;
    location / {
        root   html;
        index  index.html index.htm;
    }

    location /proxy8081/ {
         proxy_pass http://121.199.0.238:8081/;
    }
}

注意：防火墙需要开启443

4.1.4.2 配置访问http将转到https

常常用于把原来的http扩展为https

server {   
    listen       80;
    listen       443 ssl;   
    server_name localhost;   
    ssl_certificate     /root/cert/server.crt;
    ssl_certificate_key /root/cert/server.key;  
    ssl_session_cache   shared:SSL:1m;   
    ssl_session_timeout 5m;   
    ssl_ciphers HIGH:!aNULL:!MD5;   
    ssl_prefer_server_ciphers on;  
    
    #http请求转到https
    if ($scheme != https) { 
        rewrite ^(.*)$  https://$host$1 permanent;
    }
    
    location / {       
        root   html;       
        index index.html index.htm;   
    }
}