Linux-Nginx-反向代理篇-02(linux nginx反向代理)
off999 2025-04-01 21:21 33 浏览 0 评论
1.反向代理概述
关于正向代理和反向代理,我们在前面的章节已经通过一张图给大家详细的介绍过了,简而言之就是正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者之间最大的区别。
Nginx即可以实现正向代理,也可以实现反向代理。
2.反向代理的配置语法
Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来我们把反向代理中的常用指令一一介绍下:
- proxy_pass
- proxy_set_header
- proxy_redirect
2.1 proxy_pass
该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。
URL:为要设置的被代理服务器地址,包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。
举例:
大家在编写proxy_pass的时候,后面的值要不要加"/"?
接下来通过例子来说明刚才我们提到的问题:
server {
listen 80;
server_name localhost;
location / {
#proxy_pass http://8.142.107.148;
proxy_pass http://8.142.107.148/;
}
}当客户端访问
http://8.142.107.147/index.html,效果是一样的
server {
listen 80;
server_name localhost;
location /server {
#proxy_pass http://8.142.107.148;
proxy_pass http://8.142.107.148/;
}
}当客户端访问
http://8.142.107.147/server/index.html这个时候,
第一个proxy_pass就变成了
http://8.142.107.148/server/index.html
第二个proxy_pass就变成了
http://8.142.107.148//index.html效果就不一样了。
说明 proxy_pass后面不加/ 就会拼接 location
加/ 就不会拼接location
总结:
1.proxy_pass代理地址端口后有目录(包括/),转发后地址:代理地址+访问URL目录部分去除location匹配目录
2.proxy_pass代理地址端口后无任何,转发后地址:代理地址+访问URL目录部分
2.2 proxy_set_header
该指令可以更改Nginx服务器接收到的客户端请求的请求头信息,然后将新的请求头发送给代理的服务器
需要注意的是,如果想要看到结果,必须在被代理的服务器上来获取添加的头信息。
被代理服务器: [8.142.107.148]
server {
listen 8080;
server_name localhost;
default_type text/plain;
return 200 $http_username;
}代理服务器: [8.142.107.147]
server {
listen 8080;
server_name localhost;
location /server {
proxy_pass http://192.168.200.146:8080/;
proxy_set_header username TOM;
}
}访问测试
2.3 proxy_redirect
该指令是用来重置头信息中的"Location"和"Refresh"的值。
为什么要用该指令?
服务端[8.142.107.148]
server {
listen 8081;
server_name localhost;
# 如果访问的资源不存在,希望他访问首页
if (!-f $request_filename){
return 302 http://8.142.107.148/;
}
}代理服务端[8.142.107.147]
server {
listen 8081;
server_name localhost;
location / {
proxy_pass http://8.142.107.148:8081/;
proxy_redirect http://8.142.107.148 http://8.142.107.147;
}
}该指令的几组选项:
2.3.1 proxy_redirect redirect replacement
redirect:目标,Location的值
replacement:要替换的值2.3.2 proxy_redirect default
default;
将location块的uri变量作为replacement,
将proxy_pass变量作为redirect进行替换2.3.3 proxy_redirect off
关闭proxy_redirect的功能3.反向代理实战
服务器1,2,3存在两种情况
1.第一种情况: 三台服务器的内容不一样。
2.第二种情况: 三台服务器的内容是一样。- 如果服务器1、服务器2和服务器3的内容不一样,那我们可以根据用户请求来分发到不同的服务器。
代理服务器
server {
listen 8082;
server_name localhost;
location /server1 {
proxy_pass http://192.168.200.146:9001/;
}
location /server2 {
proxy_pass http://192.168.200.146:9002/;
}
location /server3 {
proxy_pass http://192.168.200.146:9003/;
}
}服务端
#server1
server {
listen 9001;
server_name localhost;
default_type text/html;
return 200 '192.168.200.146:9001
'
}
#server2
server {
listen 9002;
server_name localhost;
default_type text/html;
return 200 '192.168.200.146:9002
'
}
#server3
server {
listen 9003;
server_name localhost;
default_type text/html;
return 200 '192.168.200.146:9003
'
}- 如果服务器1、服务器2和服务器3的内容是一样的,该如何处理?
4.安全控制
关于web服务器的安全是比较大的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢?
安全隔离:
通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。
4.1 nginx添加SSL的支持
4.1.1 完成 --with-http_ssl_module模块的增量添加
1.将原有/usr/local/nginx/sbin/nginx进行备份
2.拷贝nginx之前的配置信息
3.在nginx的安装源码进行配置指定对应模块 ./configure --with-http_ssl_module
4.通过make模板进行编译
5.将objs下面的nginx移动到/usr/local/nginx/sbin下
6.在源码目录下执行 make upgrade进行升级,这个可以实现不停机添加新模块的功能4.1.2 Nginx的SSL相关指令
4.1.2.1 ssl
该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。
server {
listen 443 ssl;
}4.1.2.2 ssl_certificate
为当前这个虚拟主机指定一个带有PEM格式证书的证书。
4.1.2.3 ssl_certificate_key
该指令用来指定PEM secret key文件的路径
4.1.2.4 ssl_session_cache
该指令用来配置用于SSL会话的缓存
- off:禁用会话缓存,客户端不得重复使用会话
- none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数
- builtin:内置OpenSSL缓存,仅在一个工作进程中使用
- shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定
4.1.2.5 ssl_session_timeout
开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间
4.1.2.6 ssl_ciphers
指出允许的密码,密码指定为OpenSSL支持的格式
可以使用openssl ciphers查看openssl支持的格式。
4.1.2.7 ssl_prefer_server_ciphers
该指令指定是否服务器密码优先客户端密码
4.1.3 生成证书
- 方式一:使用阿里云/腾讯云等第三方服务进行购买。
- 方式二:使用openssl生成证书
先要确认当前系统是否有安装openssl
安装下面的命令进行生成
mkdir /root/cert
cd /root/cert
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt4.1.4 开启SSL实例
4.1.4.1 单独配置HTTPS
部分支持https,其余的保留http
server {
listen 443 ssl;
server_name localhost;
ssl_certificate /root/cert/server.crt;
ssl_certificate_key /root/cert/server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# /abc是https
location /abc {
default_type text/plain;
return 200 "access success";
}
}
# 其余的是http
server {
listen 80;
location / {
root html;
index index.html index.htm;
}
location /proxy8081/ {
proxy_pass http://121.199.0.238:8081/;
}
}注意:防火墙需要开启443
4.1.4.2 配置访问http将转到https
常常用于把原来的http扩展为https
server {
listen 80;
listen 443 ssl;
server_name localhost;
ssl_certificate /root/cert/server.crt;
ssl_certificate_key /root/cert/server.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
#http请求转到https
if ($scheme != https) {
rewrite ^(.*)$ https://$host$1 permanent;
}
location / {
root html;
index index.html index.htm;
}
}相关推荐
- 笔记本cpu90度正常吗(笔记本cpu 90多度)
-
如果运行大型游戏的话,还算正常。如果只是开个小游戏那就有点问题了。只要低于Intel原厂规范温度(105或100度),都不会影响产品寿命,CPU本身皆有保护机制,当核心超过设定的调节温度时,将会降...
- win10家庭版系统官网(windows10家庭版官网)
-
微软官网下载的WIN10系统需要制作成U盘安装盘才能安装。也可以直接在微软官网制作U盘安装盘。微软官网只提供原版(也就是纯净版的)系统的下载,需要用户自行永久激活后才是正版的。如果不是永...
- win7系统语言包(w7语言包在哪里)
-
1.单击桌面左下角的开始菜单,打开“控制面板”。2.在“控制面板”中找到“区域和语言”选项,点击该选项。3.弹出“区域和语言”属性对话框,切换到“管理选项”。4.点击“更改系统区域设置”...
- 照片恢复软件免费(照片恢复软件免费版)
-
苹果照片恢复软件是一款专业的免费的数码照片恢复软件,苹果照片恢复软件将成为你恢复丢失照片的最佳助手,它内核采用多种JPEG开发规范进行精确查找,支持多种品牌相机的拍摄格式。有极快的速度,可快速恢复被误...
- autocad2012产品密钥(cad2012的产品密钥是什么)
-
CAD2012产品密钥和序列号序列号:400-45454545钥匙:651D1序列号:356-72378422钥匙:001D1序列号:400-45454545钥匙:001D1序列号:666-6969...
- 桌面语言栏不见了怎么办(桌面语言栏不见了怎么办呢)
-
如果您的语言栏在某个应用程序或操作系统中消失了,您可以尝试以下方法来恢复它。首先,您可以检查操作系统的设置,查看语言和区域选项是否正确设置。如果设置正确,但语言栏仍然不可见,您可以尝试重新启动计算机,...
- 怎么装win98(怎么装win7系统教程)
-
如何安装windows98 一、具体安装步骤 备份好重要文件之后,就可以安装windows98了。 第一步:启动安装程序。 用户如果原来已安装了windows95/97/98,现在拟对其进行升...
- app下载官网(欧歌影视app下载官网)
-
需要先进入佳能官网的下载页面,选择手机APP下载选项,根据手机操作系统的不同选择相应的下载链接即可成功下载佳能手机APP。下载链接通常会在网站的首页或者是产品页面上提供。总的来说,下载佳能手机APP非...
- 互盾手机数据恢复软件下载(互盾数据恢复软件可以免费使用一次吗)
-
要的。手机如果可以连电脑当做u盘识别就可以用恢复软件。比如用安易。至于能不能出现盘符,可以网上查一下你这个手机型号可不可以,或者问问手机售后。1、安装互盾安卓恢复大师,运行软件后,将手机连接到电脑上...
- 电脑wifi突然变成红叉搜不到
-
1、WiFi功能未开启:很多时候出现WiFi红色叉叉图标,可能就是无线WiFi的开关或者按键没有开启导致的。一般的笔记本键盘上面都有一个F5开启WiFi的功能,有的需要结合Fn功能键一起按。每个品牌的...
- 正版win10系统一键重装官网(一键装机win10正版系统)
-
1、下载小白一键重装软件,打开软件后选择我们要安装的系统。?2、接着小白给出我们一些常用的电脑软件,大家可根据自己需要进行下载。?3、然后就是我们就耐心的等待系统镜像的下载吧。?4、部署环境完成后我们...
- windows8系统自己怎么装(如何安装windows 8)
-
要在线安装Windows8系统,您可以按照以下步骤操作:1.准备安装媒体:在您的计算机上打开一个现代的网络浏览器(如Chrome、Firefox或Edge),然后前往Microsoft...
欢迎 你 发表评论:
- 一周热门
-
-
抖音上好看的小姐姐,Python给你都下载了
-
全网最简单易懂!495页Python漫画教程,高清PDF版免费下载
-
Python 3.14 的 UUIDv6/v7/v8 上新,别再用 uuid4 () 啦!
-
飞牛NAS部署TVGate Docker项目,实现内网一键转发、代理、jx
-
python入门到脱坑 输入与输出—str()函数
-
宝塔面板如何添加免费waf防火墙?(宝塔面板开启https)
-
Python三目运算基础与进阶_python三目运算符判断三个变量
-
(新版)Python 分布式爬虫与 JS 逆向进阶实战吾爱分享
-
失业程序员复习python笔记——条件与循环
-
系统u盘安装(win11系统u盘安装)
-
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (77)
- python封装 (57)
- python写入txt (66)
- python读取文件夹下所有文件 (59)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)