目录
1、Nginx反向代理概述
1.1、Nginx正向代理
1.2、Nginx反向代理
1.2.1、Nginx反向代理的配置语法
1.2.2、Nginx反向代理实战
2、Nginx的安全控制
2.1、如何使用SSL对流量进行加密
2.1.1、nginx添加SSL的支持
2.1.2、Nginx的SSL相关指令
2.1.3、生成证书
2.1.4、开启SSL实例
3、Nginx反向代理系统调优
3.1、Proxy Buffer
3.1.1、Proxy Buffer相关指令
正向代理代理的对象是客户端,反向代理代理的是服务端,这是两者最大的区别。
Nginx既可以实现正向代理,也可以实现反向代理。
1、服务端的设置
2、使用客户端访问服务端,打开日志查看结果
3、代理服务器设置
4、查看代理服务器的IP(192.168.200.146)和Nginx配置监听的端口(82)
5、在客户端配置代理服务器
6、设置完成后,再次通过浏览器访问服务端
通过对比,上下两次的日志记录,会发现虽然我们是客户端访问服务端,但是如果使用了代理,那么服务端能看到的只是代理发送过去的请求,这样的话,就是用Nginx实现了正向代理的设置。
但是Nginx正向代理,在实际的应用中不是特别多。
1.2.1、Nginx反向代理的配置语法
Nginx反向代理模块的指令是由ngx_http_proxy_module模块进行解析,该模块在安装Nginx的时候已经自己加装到Nginx中了,接下来介绍反向代理中的常用指令:
- proxy_pass
- proxy_set_header
- proxy_redirect
1、proxy_pass
该指令用来设置被代理服务器地址,可以是主机名称、IP地址加端口号形式。
URL:为要设置的被代理服务器地址,包含传输协议(http,https://)、主机名称或IP地址加端口号、URI等要素。
举例:
在编写proxy_pass的时候,后面的值要不要加 / ?
2、proxy_set_header
该指令可以更改Nginx服务器接收到的客户端请求的请求头信息,然后将新的请求头发送给代理的服务器。
需要注意的是,如果想要看到结果,必须在被代理的服务器上来获取添加的头信息。
3、proxy_redirect
该指令用来重置头信息中的“Location”和“Refresh”的值。
为什么要用该指令?
该指令的几组选项:
1.2.2、Nginx反向代理实战
服务器1,2,3存在两种情况:
- 第一种情况:三台服务器的内容不一样;
- 第二种情况:三台服务器的内容一样。
关于web服务器的安全是比较打的一个话题,里面所涉及的内容很多,Nginx反向代理是如何来提升web服务器的安全呢?
安全隔离
什么是安全隔离?
通过代理分开了客户端到应用程序服务器端的连接,实现了安全措施。在反向代理之前设置防火墙,仅留一个入口供代理服务器访问。
翻译成熟悉的说法就是将我们常用的http请求转变成https请求,那么这两个之间的区别简单来说两个都是http协议,只不过https是身披SSL外壳的http。
HTTPS是一种通过计算机网络进行安全通信的传输协议,它经由HTTP进行通信,利用SSL/TLS建立全通信,加密数据包,确保数据的安全性。
- SSL(Secure Sockets Layer,安全套接层)。
- TLS(Transport Layer Security,传输层安全)。
上述这两个是为网络通信安全及数据完整性的一种安全协议,TLS和SSL在传输层和应用层对网络连接进行加密。
总结来说为什么要使用https:http协议是明文传输数据,存在安全问题,而http是加密传输,相当于http + ssl ,并且可以防止流量劫持。
Nginx要想使用SSL,需要满足一个条件,即需要添加一个模块 --with--http_ssl_module,而该模块在编译的过程中又需要OpenSSL的支持。
2.1.1、nginx添加SSL的支持
1、完成 --with-http_ssl_module模块的增量添加
2.1.2、Nginx的SSL相关指令
因为刚才我们介绍过该模块的指令都是通过ngx_http_ssl_module模块来解析的。
1、ssl:该指令用来在指定的服务器开启HTTPS,可以使用 listen 443 ssl,后面这种方式更通用些。
2、ssl_certificate:为当前这个虚拟主机指定一个带有PEM格式证书的证书。
3、ssl_certificate_key:该指令用来指定PEM secret key文件的路径。
4、ssl_session_cache:该指令用来配置用于SSL会话的缓存。
- off:禁用会话缓存,客户端不得重复使用会话。
- none:禁止使用会话缓存,客户端可以重复使用,但是并没有在缓存中存储会话参数。
- builtin:内置OpenSSL缓存,仅在一个工作进程中使用。
- shared:所有工作进程之间共享缓存,缓存的相关信息用name和size来指定。
5、ssl_session_timeout:开启SSL会话功能后,设置客户端能够反复使用储存在缓存中的会话参数时间。
6、ssl_ciphers:指出允许的密码,密码指定为OpenSSL支持的格式。
可以使用openssl ciphers查看openssl支持的格式。
7、ssl_prefer_server_ciphers:该指令指定是否服务器密码优先客户端密码。
2.1.3、生成证书
- 方式1:使用阿里云/腾讯云等第三方服务进行购买;
- 方式2:使用openssl生成证书。
先要确认当前系统是否有安装openssl:
openssl version
安装下面的命令进行生成:
2.1.4、开启SSL实例
反向代理值Buffer和Cache。Buffer翻译过来是“缓冲”,Cache翻译过来是“缓存”。
总结如下:
1、proxy_buffering:该指令用来开启或者关闭代理服务器的缓冲区。
2、proxy_buffers:该指令用来指定单个连接从代理服务器读取响应的缓存区的个数和大小。
- number:缓冲区的个数。
- size:每个缓冲区的大小,缓冲区的总大小就是number * size 。
3、proxy_buffer_size:该指令用来设置从被代理服务器获取的第一部分响应数据的大小。保持与proxy_buffers中的size一致即可,当然也可以更小。
4、proxy_busy_buffers_size:该指令用来限制同时处于BUSY状态的缓冲总大小。
5、proxy_temp_path:当缓冲区存满后,仍未被Nginx服务器完全接收,响应数据就会被临时存放在磁盘文件上,该指令设置文件路径。
注意path最多设置三层。
6、proxy_temp_file_write_size:该指令用来设置磁盘上缓冲文件的大小。
本文地址:http://xiaoguoguo.dbeile.cn/quote/460.html 多贝乐 http://xiaoguoguo.dbeile.cn/ , 查看更多