2.3 Nginx進階與反向代理

使用ngx_http_ssl_module模塊實現 https

ssl on | off;

爲指定虛擬機啓用HTTPS protocol， 建議用listen指令代替

ssl_certificate file;

當前虛擬主機使用PEM格式的證書文件

ssl_certificate_key file;

當前虛擬主機上與其證書匹配的私鑰文件

ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2]; 支持ssl協議版本，默認爲後三個

ssl_session_cache off | none | [builtin[:size]] [shared:name:size];
none: 通知客戶端支持ssl session cache，但實際不支持
builtin[:size]：使用OpenSSL內建緩存，爲每worker進程私有

[shared:name:size]：在各worker之間使用一個共享的緩存

ssl_session_timeout time;

客戶端連接可以複用ssl session cache中緩存的ssl參數的有效時長，默認5m

[root@CentOS74 ~]# tree /etc/nginx/conf.d/
/etc/nginx/conf.d/
├── certs
│   ├── centos.crt   #使用的證書文件與密鑰
│   ├── centos.key
│   ├── linux.crt
│   └── linux.key
└── vhost
    ├── centos.com.conf   #兩個虛擬主機的配置文件
    └── linux.com.conf

2 directories, 6 files

[root@CentOS74 ~]# cat /etc/nginx/conf.d/vhost/{centos,linux}.com.conf 
server{
	listen 443 ssl; 
	server_name www.centos.com;
	root /data/vhost/centos;
	ssl on;                                                   #啓用ssl加密
	ssl_certificate /etc/nginx/conf.d/certs/centos.crt;       #指定證書的存放路徑
	ssl_certificate_key /etc/nginx/conf.d/certs/centos.key;   #指定密鑰文件的存放路徑
	ssl_session_cache shared:sslcache:20m;                    #啓用會話緩存，並多進程共享
	ssl_session_timeout 10m;                                  #會話緩存時間
}
server{
	listen 443 ssl; 
	server_name www.linux.com;
	root /data/vhost/linux;
	ssl on;
	ssl_certificate /etc/nginx/conf.d/certs/linux.crt;
	ssl_certificate_key /etc/nginx/conf.d/certs/linux.key;
	ssl_session_cache shared:sslcache:20m;
	ssl_session_timeout 10m;
}

[root@CentOS69 ~]# curl -k https://www.linux.com
linux
[root@CentOS69 ~]# curl -k https://www.centos.com
centos
[root@CentOS69 ~]# curl -k https://www.centos.com/test/
test

Rewrite 重寫

    將用戶請求的URI基於PCRE regex所描述的模式進行檢查，而後完成重定向替換

rewrite regex replacement [flag]

將用戶請求的URI基於regex所描述的模式進行檢查，匹配到時將其替換爲replacement指定的新的URI

注意：如果在同一級配置塊中存在多個rewrite規則，那麼會自下而下逐個檢查；被某條件規則替換完成後，會重新一輪的替換檢查
隱含有循環機制,但不超過10次；如果超過，提示500響應碼，[flag]所表示的標誌位用於控制此循環機制

如果replacement是以http://或https://開頭，則替換結果會直接以重向返回給客戶端, 即永久重定向301

    [flag]：

last：重寫完成後停止對當前URI在當前location中後續的其它重寫操作，而後對新的URI啓動新一輪重寫檢查；提前重啓新一輪循環，不建議在location中使用
break：重寫完成後停止對當前URI在當前location中後續的其它重寫操作，而後直接跳轉至重寫規則配置塊之後的其它配置；結束循環，建議在location中使用
redirect：臨時重定向，重寫完成後以臨時重定向方式直接返回重寫後生成的新URI給客戶端，由客戶端重新發起請求；使用相對路徑,或者http://或https://開頭，狀態碼：302
permanent:重寫完成後以永久重定向方式直接返回重寫後生成的新URI給客戶端，由客戶端重新發起請求，狀態碼：301

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80; 
	server_name www.linux.com;
	root /data/vhost/linux;
	location /redhat {
		rewrite ^/redhat/(.*)$ /centos/$1;
		rewrite ^/centos/6/(.*)$ /centos/6.9/$1;
		rewrite ^/centos/7/(.*)$ /centos/7.5/$1;
		rewrite ^/centos/7.4/(.*)$ /centos/7.5/$1;
	}
}

[root@CentOS69 ~]# curl http://www.linux.com/redhat/
centos
[root@CentOS69 ~]# curl http://www.linux.com/redhat/6/
centos6.9

return：停止處理，並返回給客戶端指定的響應碼
return code [text];
return code URL;

if (condition) { ... }

條件滿足時，執行配置塊中的配置指令；server, location

比較操作符：
= 相同 != 不同
~：模式匹配，區分字符大小寫
~*：模式匹配，不區分字符大小寫
!~：模式不匹配，區分字符大小寫
!~*：模式不匹配，不區分字符大小寫
文件及目錄存在性判斷：
-e, !-e 存在（包括文件，目錄，軟鏈接）

-f, !-f 文件 -d, !-d 目錄 -x, !-x 執行

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	listen 443 ssl;
	server_name www.linux.com;
	root /data/vhost/linux;
	ssl_certificate /etc/nginx/conf.d/certs/linux.crt;
	ssl_certificate_key /etc/nginx/conf.d/certs/linux.key;
	ssl_session_cache shared:sslcache:20m;
	ssl_session_timeout 10m;
	location / {
		if ( $scheme = http ) {
			rewrite /(.*) https://www.linux.com/$1 break;
		}
	}

	location /redhat {
		rewrite ^/redhat/(.*)$ /centos/$1;
		rewrite ^/centos/6/(.*)$ /centos/6.9/$1;
		rewrite ^/centos/7/(.*)$ /centos/7.5/$1;
		rewrite ^/centos/7.4/(.*)$ /centos/7.5/$1;
	}
}

[root@CentOS69 ~]# curl -kL www.linux.com
linux
[root@CentOS69 ~]# curl -kL www.linux.com/redhat/
centos

valid_referers none|blocked|server_names|string ...;

定義referer首部的合法可用值，不能匹配的將是非法值

none：請求報文首部沒有referer首部
blocked：請求報文有referer首部，但無有效值
server_names：參數，其可以有值作爲主機名或主機名模式
arbitrary_string：任意字符串，但可使用*作通配符
regular expression：被指定的正則表達式模式匹配到的字符串,要使用~開頭

反向代理

proxy_pass URL;

Context:location, if in location, limit_except

    代理的同時重寫（存疑）

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
	location / {
		proxy_pass http://192.168.30.174/;   
	}

	location /test {
		rewrite ^/test/(.*)$ /redhat/$1 redirect;
	}
}

[root@CentOS69 ~]# curl -L www.linux.com
192.168.30.174
[root@CentOS69 ~]# curl -L www.linux.com/test
174redhat

    注意：主機後是否有"/"決定着代理的結果

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location /redhat {
		proxy_pass http://192.168.30.174;   #URL後沒有/
        }
}

[root@CentOS69 ~]# curl www.linux.com/redhat/   #代理結果是在主機後添加請求的uri
174redhat
[root@CentOS69 ~]# curl www.linux.com/redhat/web1/
web1

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location /redhat {
		proxy_pass http://192.168.30.174/;   #URL後有/
        }
}

[root@CentOS69 ~]# curl www.linux.com/redhat   #redhat唄替換爲/
192.168.30.174
[root@CentOS69 ~]# curl www.linux.com/redhat/redhat/web1/   #uir等同於/redhat/web1/
web1

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174/redhat/;   
        }
}
 
[root@CentOS69 ~]# curl www.linux.com/web1/indasd   #觀察錯誤頁面提示
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /redhat/web1/indasd was not found on this server.</p>   #在redhat後加web1，是因爲redhat將/替換了
</body></html>

proxy_set_header field value;
設定發往後端主機的請求報文的請求首部的值
Context: http, server, location
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;累加報文頭部，在每臺需要記錄代理服務器上配置
請求報文的標準格式如下：

X-Forwarded-For: client1, proxy1, proxy2

[root@CentOS74 vhost]# cat linux.com.conf
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174;
		proxy_set_header X_Real_IP $remote_addr;    #在反向代理服務器向後端服務器的請求報文中添加報文頭部
        }
}

[root@CentOS174 ~]# cat /etc/httpd/conf/httpd.conf | grep LogFormat   #修改日誌記錄內容格式
    LogFormat "%{X_Real_IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

    日誌文件中源地址IP記錄可以修改爲真正的客戶端地址，而不是反向代理服務器地址。同樣也可修改爲需要的字符串

192.168.30.74 - - [14/Jul/2018:04:09:46 +0800] "GET / HTTP/1.0" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
192.168.30.69 - - [14/Jul/2018:04:10:47 +0800] "GET / HTTP/1.0" 200 15 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"

proxy_cache_path;
定義可用於proxy功能的緩存；Context:http

proxy_cache_path path [選項]...

    選項：

[levels=levels]：目錄分級
[use_temp_path=on|off]：是否啓用臨時路徑
keys_zone=name:size：緩存名稱與大小限制(內存)
[inactive=time]：緩存時間

[max_size=size]：最大佔用空間(磁盤)

    proxycache 指內存中緩存的大小，主要用於存放key和metadata（如：使用次數）
    max_size 指磁盤存入文件內容的緩存空間最大值

proxy_cache zone | off; 默認off

指明調用的緩存，或關閉緩存機制；Context:http, server, location

proxy_cache_key string;
緩存中用於“鍵”的內容

默認值：proxy_cache_key $scheme$proxy_host$request_uri;

proxy_cache_valid [code ...] time;
定義對特定響應碼的響應內容的緩存時長

    在主配置文件夾中定義緩存路徑和相關屬性

[root@CentOS74 vhost]# cat /etc/nginx/nginx.conf | grep proxy_cache
    proxy_cache_path /var/cache/nginx levels=1:2:1 keys_zone=testcache:20m inactive=120s max_size=1g;

    在子配置文件中聲明使用緩存方式

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174;
		proxy_cache testcache;              #使用指定空間的緩存
		proxy_cache_key $request_uri;       #緩存內存中鍵記錄的內容
		proxy_cache_valid 200 301 302 1h;   #緩存內容和時間
		proxy_cache_valid any 1m;
        }
}

    訪問後端服務器站點後查看緩存文件

[root@CentOS74 vhost]# tree /var/cache/nginx/
/var/cache/nginx/
├── 3
│   └── ac
│       └── 2
│           └── 8568ba40bf40a2f0c1026178eeb32ac3
└── 9
    └── 7d
        └── c
            └── 6666cd76f96956469e7be39d750cc7d9

6 directories, 2 files

proxy_cache_use_stale;
proxy_cache_use_stale error | timeout | invalid_header | updating | http_500 | http_502 | http_503 | http_504 | http_403 | http_404 | off ...

在被代理的後端服務器出現哪種情況下，可以真接使用過期的緩存響應客戶端

proxy_cache_methods GET | HEAD | POST ...;

對哪些客戶端請求方法對應的響應進行緩存，GET和HEAD方法總是被緩存

proxy_hide_header field;

默認nginx在響應報文不傳遞後端服務器的首部字段Date, Server, X-Pad, X-Accel-等，用於隱藏後端服務器特定的響應首部

proxy_connect_timeout time;

定義與後端服務器建立連接的超時時長，如超時會出現502錯誤，默認爲60s，一般不建議超出75s

proxy_send_timeout time;

將請求發送給後端服務器的超時時長；默認爲60s

proxy_read_timeout time;
等待後端服務器發送響應報文的超時時長，默認爲60s
add_header name value [always];
添加自定義響應報文首部
add_header X-Via $server_addr;
add_header X-Cache $upstream_cache_status;

add_header X-Accel $server_name;    

[root@CentOS74 vhost]# cat linux.com.conf 
server{
	listen 80;
	server_name www.linux.com;
	root /data/vhost/linux;
        location / {
		proxy_pass http://192.168.30.174;
		proxy_set_header X_Real_IP "jiangbowen";
		proxy_cache testcache;
		proxy_cache_key $request_uri;
		proxy_cache_valid 200 301 302 1h;
		proxy_cache_valid any 1m;
		add_header X-Cache $upstream_cache_status;   #自定義頭部，顯示是否命中緩存
        }
}

[root@CentOS69 ~]# curl -I -s www.linux.com/test/redhat/ | grep X-Cache
X-Cache: MISS
[root@CentOS69 ~]# curl -I -s www.linux.com/test/redhat/ | grep X-Cache
X-Cache: HIT

add_trailer name value [always];

添加自定義響應信息的尾部尾部