何謂反向代理
一般來說,反向代理方式是指用代理服務器來接受 Internet 上的連接請求,然後將請求轉發給內部網絡中的上游服務器,並將從上游服務器上得到的結果返回給 Internet 上請求連接的客戶端,此時代理服務器對外的表現就是一個 Web 服務器。
充當反向代理服務器也是 nginx 的一種常見用法,但一直以來,nginx 並不支持 TCP 協議,從1.90版本起,nginx 增加了 stream 模塊用於一般的 TCP 代理和負載均衡。
TCP反向代理基本配置
新增的 ngx_stream_core_module 模塊並不會默認安裝,需要在編譯時通過指定 –with-stream 參數來激活這個模塊。
即編譯安裝nginx時,進入nginx-x.x.x目錄後執行以下命令:
./configure --with-stream
make
make install
安裝完畢後,只用對nginx.conf稍作簡單的配置就可以實現TCP反向代理了。
官方配置示例如下:
worker_processes auto;
error_log /var/log/nginx/error.log info;
events {
worker_connections 1024;
}
stream {
# upstream 塊
# upstream 塊定義了一個上游服務器的集羣,便於反向代理中的 proxy_pass 使用
upstream backend {
# 使用一致性hash算法,根據客戶端ip映射到合適的節點
hash $remote_addr consistent;
# server 配置項
# server 配置項指定了一臺上游服務器的名字,這個名字可以是域名、IP地址端口、UNIX句柄等
# 其後還可以跟參數 weight、max_fails等
server backend1.example.com:12345 weight=5;
server 127.0.0.1:12345 max_fails=3 fail_timeout=30s;
server unix:/tmp/backend3;
}
upstream dns {
server 192.168.0.1:53535;
server dns.example.com:53;
}
# server 塊中的配置項
# listen:監聽指定端口
# proxy_pass:將TCP連接及數據收發轉向到指定上游服務器
# proxy_timeout:距離上一次成功訪問(連接或讀寫)上游服務器的時間超過了指定時間就判定爲超時,斷開此連接
# proxy_connect_timeout:nginx連接上游服務器超時的時間
server {
listen 12345;
proxy_connect_timeout 1s;
proxy_timeout 3s;
proxy_pass backend;
}
server {
listen 127.0.0.1:53 udp;
proxy_responses 1;
proxy_timeout 20s;
proxy_pass dns;
}
server {
listen [::1]:12345;
proxy_pass unix:/tmp/stream.socket;
}
}
一個簡單的應用
應用場景:處於網絡A的回射客戶端和處於網絡B的回射服務端,經由nginx代理轉發,實現跨網段通信(nginx所在主機可分別與網絡A、網絡B連通)。
(1)回射客戶端:
客戶端的IP地址:
客戶端將要連接的地址:
(2)回射服務端:
服務端的IP地址:
服務端綁定一個任意地址:
(3)nginx的配置:
nginx所在機器的IP地址:
nginx反向代理配置:
這個配置表示,當客戶端使用 TCP 時,若訪問到 nginx 服務器的5555端口時,就會將其轉交給上游服務器的3333端口(這裏的上游服務器也就是回射服務端)。
(4)測試結果:
啓動nginx以及回射服務端、客戶端:
可以看到,客戶端能夠成功接收到服務端回射的消息: