了解学习Nginx反向代理与缓存作用

一、正向代理和反向代理

1. 反向代理概述和功能

反向代理的主要作用是提供负载均衡和高可用性。

负载均衡：Nginx可以将传入的请求分发给多个后端服务器，以平衡服务器的负载，提高系统性能和可靠性。

缓存功能：Nginx可以缓存静态文件或动态页面，减轻服务器的负载，提高响应速度。

动静分离：将动态生成的内容（如 PHP、Python、Node.js 等）和静态资源（如 HTML、CSS、JavaScript、图片、视频等）分别存放在不同的服务器或路径上。

多站点代理：Nginx可以代理多个域名或虚拟主机，将不同的请求转发到不同的后端服务器上，实现多个站点的共享端口。

1.1 反向代理的可用模块

ngx_http_proxy_module： #将客户端的请求以http协议转发至指定服务器进行处理

ngx_http_upstream_module #用于定义为proxy_pass,fastcgi_pass,uwsgi_pass等指令引用的后端服务器分组

ngx_stream_proxy_module：#将客户端的请求以tcp协议转发至指定服务器处理

ngx_http_fastcgi_module：#将客户端对php的请求以fastcgi协议转发至指定服务器助理

ngx_http_uwsgi_module： #将客户端对Python的请求以uwsgi协议转发至指定服务器处理

二、配置反向代理

2.1 反向代理配置参数

2.1.1 proxy_pass

proxy_pass 地址：端口的方式 ;  
#用来设置将客户端请求转发给的后端服务器的主机，可以是主机名(将转发至后端服务做为主机头首部)、IP
#也可以代理到预先设置的主机群组，需要模块ngx_http_upstream_module支持

proxy_pass http://10.0.0.18:8080; 
#8080后面无uri,即无 / 符号,需要将location后面url 附加到proxy_pass指定的url后面,此行为类似于root
#proxy_pass指定的uri不带斜线将访问的/web,等于访问后端服务器

proxy_pass http://10.0.0.18:8080/;   
#8080后面有uri,即有 / 符号,相当于置换,即访问/web时实际返回proxy_pass后面uri内容.此行为类似于alias 
#proxy_pass指定的uri带斜线，等于访问后端服务器的http://10.0.0.18:8080/index.html 内容返回给客户端

2.1.2 其他参数

proxy_hide_header field;
#用于nginx作为反向代理的时候，在返回给客户端http响应时，隐藏后端服务器相应头部的信息，可以设置proxy_hide_header field;

proxy_pass_header field;
#默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad, X-Accel等参数，如果要传递的话则要使用 proxy_pass_header field声明将后端服务器返回的值传递给客户端

#field 首部字段大小不敏感
#示例:透传后端服务器的Server和Date首部给客户端,同时不再响应报中显示前端服务器的Server字段
proxy_pass_header Server;
proxy_pass_header Date;

proxy_pass_request_body on | off; 
#是否向后端服务器发送HTTP实体部分,可以设置在http,server或location块，默认即为开启

proxy_pass_request_headers on | off; 
#是否将客户端的请求头部转发给后端服务器，可以设置在http,server或location块，默认即为开启

三、配置实战

3.1 反向代理单台web服务器

所需配置

代理服务器
vim /apps/nginx/conf.d/pc.conf
#编辑子配置文件
server{
listen 192.164.65.100:80;
server_name  www.pc.com;
root    /apps/nginx/html/pc;
location  / {
proxy_pass http://192.164.65.101;
}
}
nginx -t
nginx -s reload
#重新加载

#真实服务端
yum  install   httpd  -y #安装服务
cd  /var/www/html
echo   "Hi~"  > index.html #主页内容
systemctl start httpd #开启服务
vim /etc/hosts
#添加地址映射
192.164.65.100 www.pc.com

#客户机
vim  /etc/hosts
192.164.65.100  www.pc.com

客户机访问代理服务器

curl 192.164.65.100

3.2 实现反向代理客户端IP透传

3.2.1 基本原理

反向代理客户端IP透传是指在使用反向代理服务器时，将客户端的真实IP地址传递给后端服务器。

这可以通过一些特定的 如X-Forwarded-For 等HTTP 头字段来实现 头字段。

当请求经过反向代理服务器时，代理服务器会将客户端的真实IP地址添加到 XFF 头字段中，然后转发给后端服务器。

后台服务端开启main日志格式调用！！！

所需配置

#代理服务器

vim /apps/nginx/conf.d/pc.conf
#编辑子配置文件
server{
        listen 192.164.65.100:80;
        server_name  www.pc.com;
        root    /apps/nginx/html/pc;
     location  / {
        proxy_pass http://192.164.65.101;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

}

######
`$proxy_add_x_forwarded_for` 是一个 nginx 变量，用于获取客户端的真实 IP 地址并将其添加到请求中的 `X-Forwarded-For` 头字段中，后端服务器可以通过检查该头字段来获取请求的真实客户端 IP 地址。

#后端服务器
#关闭防火墙和selinux
systemctl stop firewalld
setenforce 0
#安装服务
yum install -y epel-release #依赖
yum install nginx -y
systemctl start nginx

测试

#客户端
curl 192.164.65.100

#后端服务器
cat /var/log/nginx/access.log |tail -f -n2

3.3 多级代理

所需配置

#一级代理服务器

#编辑子配置文件
vim /apps/nginx/conf.d/pc.conf
#反向代理指向二级代理服务器的IP

nginx -t
nginx -s reload
#重新加载

#yum安装nginx
yum install -y epel-release
yum install nginx -y
systemctl start nginx
vi /etc/nginx/nginx.conf
#编辑主配置文件
server {
location / {
proxy_pass http://192.164.65.102;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
systemctl restart nginx
#重新加载

#后端服务器
#关闭防火墙和selinux
systemctl stop firewalld
setenforce 0
#安装nginx服务
yum install -y epel-release
yum install nginx -y
systemctl start nginx

测试

#客户端，访问代理服务器
curl 192.164.2.100

#后端服务器，查看日志
cat /var/log/nginx/access.log | tail -n -1

3.3 实现反向代理负载均衡

Nginx 可以基于ngx_http_upstream_module模块提供服务器分组转发、权重分配、状态监测、调度算法等高级功能

3.4 常见配置参数

server address [parameters];
#配置一个后端web服务器，配置在upstream内，至少要有一个server服务器配置。
#server支持的parameters如下：

weight=number #设置权重，默认为1,实现类似于LVS中的WRR,WLC等

max_conns=number  #给当前后端server设置最大活动链接数，默认为0表示没有限制

max_fails=number  #后端服务器的下线条件,当客户端访问时,对本次调度选中的后端服务器连续进行检测多少次,如果都失败就标记为不可用,默认为1次,当客户端访问时,才会利用TCP触发对探测后端服务器健康性检查,而非周期性的探测

fail_timeout=time #后端服务器的上线条件,对已经检测到处于不可用的后端服务器,每隔此时间间隔再次进行检测是否恢复可用，如果发现可用,则将后端服务器参与调度,默认为10秒

sorry server   #自己不能转自己
down    #标记为down状态
resolve #当server定义的是主机名的时候，当A记录发生变化会自动应用新IP而不用重启Nginx

backup  #设置为备份服务器，当所有后端服务器不可用时,才会启用此备用服务器

upstream backend {
    server backend1.example.com;
    server backend2.example.com backup;
    server backend3.example.com;
}

3.5 调度算法

3.5.2.1 轮询（Round Robin）

每个请求按时间顺序逐一分配到不同的后端服务，如果后端某台服务器死机，自动剔除故障系统，使用户访问不受影响。

#示例
upstream bakend {  
    server 192.164.65.1;    
    server 192.164.65.2;  
}

3.5.2.2 轮询权值（Weighted Round Robin）

weight的值越大分配到的访问概率越高，主要用于后端每台服务器性能不均衡的情况下。或者仅仅为在主从的情况下设置不同的权值，达到合理有效的地利用主机资源。

指定轮询几率，weight和访问比率成正比，用于后端服务器性能不均的情况。

#示例
upstream bakend {  
    server 192.164.65.1 weight=10;  
    server 192.164.65.2 weight=20;  
}

3.5.2.3 ip_hash (source hash)

每个请求按访问IP的哈希结果分配，使来自同一个IP的访客固定访问一台后端服务器，并且可以有效解决动态网页存在的session共享问题。

每个请求按访问ip的hash结果分配，这样每个访客固定访问一个后端服务器，可以解决session的问题。

#示例
upstream bakend {  
    ip_hash;  
    server 192.164.65.1:88;  
    server 192.164.65.2:80;  
} 

3.6 使用轮询算法实现负载均衡

所需配置

#代理服务器

vim /apps/nginx/conf/nginx.conf
#编辑主配置文件

upstream group1{
    server 192.164.65.102;
    server 192.164.65.103;
    }

vim /apps/nginx/conf.d/pc.com
#修改子配置文件
#修改location部分，加入
    pass_proxy http://group1;

nginx -t
nginx -s reload
#重新加载

测试

#修改102、103主页文件
vi /usr/share/nginx/html/index.html

#转到客户端
curl 192.164.65.100   #x2

所需配置

#代理服务器
#修改主配置文件
vim /apps/nginx/conf/nginx.conf
upstream group1{
server 192.164.65.102 weight=2;
server 192.164.65.103 weight=3;
}

nginx -t
nginx -s reload
#重新加载

#转到客户端
curl 192.164.65.100   #x2

四、 Nginx配置跨域 CORS

案例

前端 server 的域名为：fe.server.com

后端服务的域名为：dev.server.com

现在在 fe.server.com 对 dev.server.com 发起请求一定会出现跨域。

现在我们只需要启动一个 Nginx 服务器，将 server_name 设置为 fe.server.com 然后设置相应的 location 以拦截前端需要跨域的请求，最后将请求代理回 dev.server.com 。

如下面的配置：

server {
listen        80;
server_name  fe.server.com;
location / {
proxy_pass dev.server.com;
proxy_set_cookie_domain target-domain.com your-domain.com;
proxy_set_header Host target-domain.com;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 可选的配置，用于处理响应头
proxy_set_header Access-Control - Allow - Origin http://fe.server.com;
proxy_set_header Access-Control - Allow - Methods GET,POST,PUT,DELETE;
proxy_set_header Access-Control - Allow - Headers Content - Type,Authorization;
}
}

五、Nginx防盗链设置

案例

修改 192.168.166.10 Nginx 默认访问文件

产生盗链站点

**防盗链设置格式：**

valid_referers none | blocked | server_names | strings ....;

• --none：允许没有http_refer的请求访问资源，检测 Referer 头域不存在的情况，则可以访问。

• --blocked：检测 Referer 头域的值被防火墙或者代理服务器删除或伪装的情况。这种情况该头域的值不以“http://” 或 “https://” 开头。允许不是http://开头的，不带协议的请求访问资源。

• --server_names ：只允许指定ip/域名来的请求访问资源（白名单）。可设置一个或多个 URL ，检测 Referer 头域的值是否是这些 URL 中的某一个。在生产环境中尽量使用域名，不使用ip。

**举例**

valid_referers 192.168.44.101;
if ($invalid_referer) {
return 403;
}

192.168.166.9设置防盗链**

server {
listen 80;
server_name localhost;
location / {
root   /usr/local/nginx1273/html;
index  index.html index.htm;
}
location ~* \.(js|img|css|png)${
valid_referers 192.168.166.9; #只允许192.168.166.9访问静态资源，其他人访问则会返回403
if ($invalid_referer){
return 403;
}
root html;
index index.html index.htm;
}
error_page 500 502 503 504 /50x.html;
location =/50x.html {
root html;
}
}

测试

浏览器测试

用192.168.166.10去访问，css等静态资源返回403，获取不到数据。

点击”站点“，跳转到192.168.166.9站点资源是显示：/