原理
反向代理(reverse proxy):是指以代理服務器來接受internet上的連接請求,然後將請求轉發給內部網絡上的服務器,並將從服務器上得到的結果返回給internet上請求連接的客戶端,此時代理服務器對外就表現爲一個反向代理服務器。
nginx配置文件
user nobody;
#啓動進程,通常設置成和cpu的數量相等
worker_processes 1;
#全局錯誤日誌及PID文件
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
#工作模式及連接數上限
events {
#epoll是多路複用IO(I/O Multiplexing)中的一種方式,
#僅用於linux2.6以上內核,可以大大提高nginx的性能
use epoll;
#單個後臺worker process進程的最大併發鏈接數
worker_connections 1024;
# 併發總數是 worker_processes 和 worker_connections 的乘積
# 即 max_clients = worker_processes * worker_connections
# 在設置了反向代理的情況下,max_clients = worker_processes * worker_connections / 4 爲什麼
# 爲什麼上面反向代理要除以4,應該說是一個經驗值
# 根據以上條件,正常情況下的Nginx Server可以應付的最大連接數爲:4 * 8000 = 32000
# worker_connections 值的設置跟物理內存大小有關
# 因爲併發受IO約束,max_clients的值須小於系統可以打開的最大文件數
# 而系統可以打開的最大文件數和內存大小成正比,一般1GB內存的機器上可以打開的文件數大約是10萬左右
# 我們來看看360M內存的VPS可以打開的文件句柄數是多少:
# $ cat /proc/sys/fs/file-max
# 輸出 34336
# 32000 < 34336,即併發連接總數小於系統可以打開的文件句柄總數,這樣就在操作系統可以承受的範圍之內
# 所以,worker_connections 的值需根據 worker_processes 進程數目和系統可以打開的最大文件總數進行適當地進行設置
# 使得併發總數小於操作系統可以打開的最大文件數目
# 其實質也就是根據主機的物理CPU和內存進行配置
# 當然,理論上的併發總數可能會和實際有所偏差,因爲主機還有其他的工作進程需要消耗系統資源。
# ulimit -SHn 65535
}
http {
#設定mime類型,類型由mime.type文件定義
include mime.types;
default_type application/octet-stream;
#設定日誌格式
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log logs/access.log main;
#sendfile 指令指定 nginx 是否調用 sendfile 函數(zero copy 方式)來輸出文件,
#對於普通應用,必須設爲 on,
#如果用來進行下載等應用磁盤IO重負載應用,可設置爲 off,
#以平衡磁盤與網絡I/O處理速度,降低系統的uptime.
sendfile on;
#tcp_nopush on;
#連接超時時間
#keepalive_timeout 0;
keepalive_timeout 65;
tcp_nodelay on;
#開啓gzip壓縮
gzip on;
gzip_disable "MSIE [1-6].";
#設定請求緩衝
client_header_buffer_size 128k;
large_client_header_buffers 4 128k;
#設定虛擬主機配置
server {
#偵聽80端口
listen 80;
#定義使用 www.nginx.cn訪問
server_name www.nginx.cn;
#定義服務器的默認網站根目錄位置
root html;
#設定本虛擬主機的訪問日誌
access_log logs/nginx.access.log main;
#默認請求
location / {
#定義首頁索引文件的名稱
index index.php index.html index.htm;
}
# 定義錯誤提示頁面
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
#靜態文件,nginx自己處理
location ~ ^/(images|javascript|js|css|flash|media|static)/ {
#過期30天,靜態文件不怎麼更新,過期可以設大一點,
#如果頻繁更新,則可以設置得小一點。
expires 30d;
}
#PHP 腳本請求全部轉發到 FastCGI處理. 使用FastCGI默認配置.
location ~ .php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
#禁止訪問 .htxxx 文件
location ~ /.ht {
deny all;
}
}
}
修改nginx的配置文件,實現負載均衡
nginx作爲負載均衡服務器,用戶請求先到達nginx,再由nginx根據負載配置將請求轉發至 tomcat服務器。
#服務器的集羣
upstream tomcat_server_pool{ #服務器集羣名字
server 101.200.166.221:8080 weight=1; #服務器配置 weight是權重的意思,權重越大,分配的概率越大。
server 101.200.166.221:8081 weight=2;
}
#當前的Nginx的配置
server {
listen 80; #監聽80端口,可以改成其他端口
server_name 101.200.166.221; # 當前nginx服務的域名
location / {
proxy_pass http://tomcat_server_pool;
index index.jsp index.html index.htm;
}
}
https配置
server {
listen 2443 ssl;
server_name www.xxxxx.com:2443;
ssl on;
ssl_certificate cert/cert.crt;
ssl_certificate_key cert/cert.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
proxy_redirect http:// $scheme://;
port_in_redirect on;
location ~ ^/yst-orp {
proxy_pass http://192.168.1.23:8081;
proxy_set_header Host $host:$server_port;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
proxy_redirect參數;
這個參數主要用來改從被代理服務器傳來的應答頭中的"Location"和"Refresh"字段。
配置語法爲:proxy_redirect [ default|off|redirect replacement ]
默認的值爲:proxy_redirect default
可使用的標籤:http,server,location
在此處配置爲proxy_redirect http:// $scheme://;的作用是將從tomcat中返回的http修改爲https。
官方文檔地址:http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_redirect
port_in_redirect參數;
這個參數的作用是啓用或禁用在由nginx發佈的絕對重定向中指定端口。
配置語法:port_in_redirect [off|on]
默認值:port_in_redirect on
可使用此配置的標籤:http,server,location
此處配置爲port_in_redirect on,作用是在nginx反向代理跳轉到tomcat時將跳轉到的端口替換爲nginx監聽的端口。
官方文檔地址:http://nginx.org/en/docs/http/ngx_http_core_module.html#port_in_redirect
proxy_set_header參數
這個參數的作用是允許重新定義或者添加發往後端服務器的請求頭。value可以包含文本、變量或者它們的組合。 當且僅當當前配置級別中沒有定義proxy_set_header指令時,會從上面的級別繼承配置。 默認情況下,只有兩個請求頭會被重新定義:
proxy_set_header Host $proxy_host;
proxy_set_header Connection close;
配置語法格式:port_in_redirect field value;
可使用的標籤:http,server,location
此處設置爲proxy_set_header Host $host:$server_port;的作用是將請求的報文的頭部的客戶端的ip更改爲當前作爲反向代理的nginx的監聽的ip及端口,這樣後端的tomcat處理完請求時返回給nginx,再由nginx代理將結果返回給客戶端。不然,後端服務處理完請求會直接返回到客戶端,這樣會導致客戶端請求的https跳轉爲http,以及請求超時。
官方文檔地址:http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_set_header
綁定域名,通過域名訪問
配置完成後,在本地通過nginx配置的https可以正常訪問(配置了https,通過ip加端口的方式訪問時提示安全性問題是正常的),但是通過對外提供的域名加端口不能正常訪問。
這是由於nginx配置中proxy_set_header參數的設置所引起的,proxy_set_header設置爲Host $host:$server_port,這樣導致將客戶端請求報文頭部的源地址修改爲nginx本地監聽地址加端口即:(192.168.1.25):2443,,在內外端口不一致時對外將請求結果返回給客戶端時目標地址將變爲:域名(www.xxxxx.com):2443,這樣導致客戶通過域名訪問時輸入的地址www.xxxxx.com:1234變爲www.xxxxx.com:2443。解決這個問題只需更改配置(修改匹配值proxy_set_header Host $host:$server_port;)爲:
proxy_set_header Host www.xxxxx.com:1234;
這樣設置的作用就是,服務端處理完請求,將處理結果原路返回,最終由www.xxxxx.com:1243代理服務端發送給客戶端。這樣設置後本地直接通過nginx主機訪問時也會跳轉爲域名地址。
注意:在通過域名加端口的方式測試時,nginx對外映射的地址和自己測試的終端的出口地址不能爲同一公網ip,否則。本地通過域名測試時無法訪問。