发表更新nginx25 分钟读完 (大约3763个字)

forward_proxy & reverse_proxy

img.png

正向代理

正向代理(forward proxy):是一个位于客户端和目标服务器之间的服务器(代理服务器),为了从目标服务器取得内容,客户端向代理服务器发送一个请求并指定目标,然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。

这种代理其实在生活中是比较常见的,比如访问外国网站技术,其用到的就是代理技术。

有时候,用户想要访问某国外网站,该网站无法在国内直接访问,但是我们可以访问到一个代理服务器,这个代理服务器可以访问到这个国外网站。这样呢,用户对该国外网站的访问就需要通过代理服务器来转发请求,并且该代理服务器也会将请求的响应再返回给用户。这个上网的过程就是用到了正向代理。
img_1.png

这个过程其实和租房子很像。

租房子的时候,一般情况下,我们很难联系到房东,因为有些房东为了图方便,只把自己的房屋信息和钥匙交给中介了。而房客想要租房子,只能通过中介才能联系到房东。而对于房东来说,他可能根本不知道真正要租他的房子的人是谁,他只知道是中介在联系他。

这里面一共有三个角色,租客(用户)、中介(代理服务器)和房东(国外网站,目标服务器)。引入中介(代理服务器)的原因是用户无法联系上房东(用户无法访问国外网站)。

所以,正向代理,其实是”代理服务器”代理了”客户端”,去和”目标服务器”进行交互。

通过正向代理服务器访问目标服务器,目标服务器是不知道真正的客户端是谁的,甚至不知道访问自己的是一个代理(有时候中介也直接冒充租客)。

正向代理的用途

  • 突破访问限制

通过代理服务器,可以突破自身IP访问限制,访问国外网站,教育网等。
即,租客可以通过中介,来解决无法联系上房东的问题。

  • 提高访问速度
    通常代理服务器都设置一个较大的硬盘缓冲区,会将部分请求的响应保存到缓冲区中,当其他用户再访问相同的信息时, 则直接由缓冲区中取出信息,传给用户,以提高访问速度。
    即,中介手里留存了很多房源信息和钥匙,可以直接带租客去看房。

  • 隐藏客户端真实IP
    上网者也可以通过这种方法隐藏自己的IP,免受攻击。

即,房东并不知道租客的真实身份。PS:但是中介知道了,可能骚扰更多….

反向代理

反向代理(reverse proxy):是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。

我们在租房子的过程中,除了有些房源需要通过中介以外,还有一些是可以直接通过房东来租的。用户直接找到房东租房的这种情况就是我们不使用代理直接访问国内的网站的情况。

还有一种情况,就是我们以为我们接触的是房东,其实有时候也有可能并非房主本人,有可能是他的亲戚、朋友,甚至是二房东。但是我们并不知道和我们沟通的并不是真正的房东。这种帮助真正的房主租房的二房东其实就是反向代理服务器。这个过程就是反向代理。

对于常用的场景,就是我们在Web开发中用到的负载均衡服务器(二房东),客户端(租客)发送请求到负载均衡服务器(二房东)上,负载均衡服务器(二房东)再把请求转发给一台真正的服务器(房东)来执行,再把执行结果返回给客户端(租客)。
img_2.png
所以,反向代理,其实是”代理服务器”代理了”目标服务器”,去和”客户端”进行交互。
通过反向代理服务器访问目标服务器时,客户端是不知道真正的目标服务器是谁的,甚至不知道自己访问的是一个代理。

反向代理的用途

  • 隐藏服务器真实IP

使用反向代理,可以对客户端隐藏服务器的IP地址。

即,租客并不房东知道的真实身份。

  • 负载均衡

反向代理服务器可以做负载均衡,根据所有真实服务器的负载情况,将客户端请求分发到不同的真实服务器上。
即,二房东发现房主本人很忙,于是找到房主的妻子帮忙处理租房事宜。

  • 提高访问速度

反向代理服务器可以对于静态内容及短时间内有大量访问请求的动态内容提供缓存服务,提高访问速度。
即,二房东同样有房屋信息和钥匙。

  • 提供安全保障

反向代理服务器可以作为应用层防火墙,为网站提供对基于Web的攻击行为(例如DoS/DDoS)的防护,更容易排查恶意软件等。还可以为后端服务器统一提供加密和SSL加速(如SSL终端代理),提供HTTP访问认证等。
即,二房东可以有效的保护房东的安全。

正向代理和反向代理的区别

虽然正向代理服务器和反向代理服务器所处的位置都是客户端和真实服务器之间,所做的事情也都是把客户端的请求转发给服务器,再把服务器的响应转发给客户端,但是二者之间还是有一定的差异的。

1、正向代理其实是客户端的代理,帮助客户端访问其无法访问的服务器资源。反向代理则是服务器的代理,帮助服务器做负载均衡,安全防护等。

2、正向代理一般是客户端架设的,比如在自己的机器上安装一个代理软件。而反向代理一般是服务器架设的,比如在自己的机器集群中部署一个反向代理服务器

3、正向代理中,服务器不知道真正的客户端到底是谁,以为访问自己的就是真实的客户端。而在反向代理中,客户端不知道真正的服务器是谁,以为自己访问的就是真实的服务器。

4、正向代理和反向代理的作用和目的不同。正向代理主要是用来解决访问限制问题。而反向代理则是提供负载均衡、安全防护等作用。二者均能提高访问速度。

代理配置项

配置语法

1
2
3
4
5
6
7
8
语法:proxy_buffering on | off;
默认值:proxy_buffering on;
可配置段:http, server, location
作用:配置proxy缓冲区。
扩展:
proxy_buffer_size:设置缓冲区大小(内存页大小)
proxy_buffers:设置缓冲区数量和大小(内存页数量和大小)
proxy_busy_buffers_size:设置最大缓冲区大小
1
2
3
4
5
语法:proxy_redirect default; proxy_redirect off; proxy_redirect redirect replacement;
默认值:proxy_redirect default;
可配置段:http, server, location
作用:配置proxy重定向。
扩展:
1
2
3
4
5
语法:proxy_buffering on | off;
默认值:proxy_buffering on;
可配置段:http, server, location
作用:配置proxy缓冲区。
扩展:
1
2
3
4
5
6
7
语法:proxy_set_header field value;
默认值:proxy_set_header Host $proxy_host; proxy_set_header Connection close;
可配置段:http, server, location
作用:配置proxy头信息。
扩展:
proxy_hide_header:设置隐藏头信息字段;
proxy_set_body:设置请求体返回信息。
1
2
3
4
5
6
7
语法:proxy_connect_timeout time;
默认值:proxy_connect_timeout 60s;
可配置段:http, server, location
作用:配置proxy超时。
扩展:
proxy_hide_header:设置隐藏头信息字段;
proxy_set_body:设置请求体返回信息。

配置正向代理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
[root@proxy ~]# vi /etc/nginx/conf.d/reverse.conf
server{
    resolver 8.8.8.8;				#配置DNS解析IP地址
    resolver_timeout 30s;				#超时时间(5秒)
    listen 82;
    access_log  /var/log/nginx/reverse.access.log  main;
    error_log   /var/log/nginx/reverse.error.log  warn;
    location / {
        proxy_pass http://$http_host$request_uri;	#配置正向代理参数
        proxy_set_header Host $http_host;		#解决如果URL中带"."后Nginx 503错误
        proxy_buffers 256 4k; 			#配置缓存大小
        proxy_max_temp_file_size 0;			#关闭磁盘缓存读写减少I/O
        proxy_connect_timeout 30;			#代理连接超时时间
        proxy_cache_valid 200 302 10m;
        proxy_cache_valid 301 1h;
        proxy_cache_valid any 1m;			#配置代理服务器缓存时间
    }
}

配置释义:
1、不能有hostname。
2、必须有resolver, 即dns,即上面的8.8.8.8,超时时间(30秒)可选。
3、配置正向代理参数,均是由 Nginx 变量组成。
proxy_pass $scheme://$host$request_uri;  
proxy_set_header Host $http_host;  
4、配置缓存大小,关闭磁盘缓存读写减少I/O,以及代理连接超时时间。
proxy_buffers 256 4k;  
proxy_max_temp_file_size 0;  
proxy_connect_timeout 30;  
5、配置代理服务器 Http 状态缓存时间。
proxy_cache_valid 200 302 10m;  
proxy_cache_valid 301 1h;  
proxy_cache_valid any 1m;

配置好后,重启nginx,以浏览器为例,要使用这个代理服务器,
则只需将浏览器代理设置为http://+服务器ip地址+:+82(82是刚刚设置的端口号)即可使用了。

反向代理配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
http {
#    省略了前面一般的配置,直接从负载均衡这里开始
#    设置地址池,后端3台服务器
    upstream http_server_pool {
        server 192.168.1.2:8080 weight=2 max_fails=2 fail_timeout=30s;
        server 192.168.1.3:8080 weight=3 max_fails=2 fail_timeout=30s;
        server 192.168.1.4:8080 weight=4 max_fails=2 fail_timeout=30s;
    }
#    一个虚拟主机,用来反向代理http_server_pool这组服务器
    server {
        listen       80;
#        外网访问的域名        
        server_name  www.test.com; 
        location / {
#           后端服务器返回500 503 404错误,自动请求转发到upstream池中另一台服务器
            proxy_next_upstream error timeout invalid_header http_500 http_503 http_404;
            proxy_pass http://http_server_pool;
            proxy_set_header Host www.test.com;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For  $proxy_add_x_forwarded_for;
        }
        access_log  logs/www.test.com.access.log  combined;
    }
}
最简单的反向代理演示(在一台服务器上做代理服务器,将http请求转发到另一台IIS服务器上,通过二级域名形式访问。)编辑vim nginx.conf
server {
    listen    80;
    server_name test.zhoumengkang.com;
    location / {
        proxy_pass http://121.199.**.*:80;
    }
}
参考:http://www.blogjava.net/xiaomage234/archive/2011/09/08/358247.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
proxy_set_header X-Real-IP $remote_addr:
    把源IP【$remote_addr,建立HTTP连接header里面的信息】赋值给X-Real-IP,从而通过$X-Real-IP来获取源IP;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for:
    在nginx作为代理服务器时,设置的IP列表,会把经过的机器ip,代理机器ip都记录下来,用【,】隔开。
    
proxy_pass:设置代理服务器的地址,可以是主机名称、IP地址加端口号等形式。
proxy_pass URL
提示:
1:当代理的是一组服务器时可以使用 upstream 指令来设置。
2:当URL中含有uri时,(例如 "http://127.0.0.1:8080/"、"http://127.0.0.1:8080/demo.html")不管客户端访问的是地址中的uri是什么,代理服务器都会代理到URL的地址;当URL中不包含uri时(例如:"http://127.0.0.1:8080"),那么当客户端访问服务器时,代理服务器会根据客户端请求的uri来访问具体的URL地址。
 
proxy_pass_request_body on|off:用于配置是否将客户端请求的请求体发送给代理服务器。
proxy_pass_request_headers on|off:用于配置是否将客户端请求的头信息发送给代理服务器。
proxy_set_header field value:可以更改nginx接收到的客户端请求的请求头信息,然后将新的请求头信息发送给被代理的服务器。
proxy_set_body value:ngin接收到客户端的请求后使用该指令可以修改request中的body体,然后将请求转发给代理服务器。
proxy_connect_timeout time:nginx服务器与被代理服务器之间尝试建立连接的的超时时间,默认为60s。
proxy_read_timeot time:nginx服务器接收被代理服务器数据时最大的等待时间,默认为60s。
proxy_send_timeout time:nginx服务器发送数据至被代理服务器的最大等待时间,例如60s内没有发出一个字节则默认断开连接,默认60s。
proxy_http_version 1.0|1.1:nginx服务器提供代理服务的http协议版本。
proxy_method method:nginx服务器设置请求被代理服务器时使用的请求方法,一般为POST或者GET。
proxy_ignore_client_abort:当客户端中断网络请求时,nginx服务是否中断对代理服务器的请求,默认off。

img_3.png

参考文章

#

评论

关注我

分类

标签

Kruskal1
Object Storage1
RocketMQ1
WebSockets1
ansible7
centos11
cocos1
cubrid1
dijkstra1
docker12
docker compose6
dubbo1
elasticsearch1
filebeat1
flink1
gc1
git4
go1
graph1
hexo5
http-server1
j.u.c7
java31
java锁2
jdk1
jedis3
js1
jvm2
kafka5
kibana1
kubernetes8
leetcode10
lettuce3
linux7
logstash1
maven1
metrics3
mongodb2
mq1
mybatis-plus1
mysql6
netty3
network1
nginx13
opencv2
oracle2
pulsar1
python2
quarkus1
reactive4
redis5
spring27
spring batch1
springdoc2
springfox1
study1
tomcat1
ubuntu4
unity1
unreal1
vmware5
volatile2
webflux3
wsl7
zookeeper1
1
二分查找2
优先队列1
动态规划8
1
拦截/抓包工具2
数据结构和算法10
2
链表4

目录

最新文章

×