反向代理的概念
通常情况下,客户端向Web服务器发送请求,Web服务器响应请求并返回数据。而在反向代理中,客户端的请求不直接发送到Web服务器,而是发送到反向代理服务器。反向代理服务器会将请求转发给真实的Web服务器,Web服务器响应请求并将数据返回给反向代理服务器,反向代理服务器再将数据返回给客户端。客户端认为它正在与反向代理服务器通信,但实际上是与真实的Web服务器通信。
使用反向代理可以带来以下优点:
-
负载均衡:反向代理服务器可以将请求分发到多台真实的Web服务器,从而实现负载均衡,避免单个服务器被过度负载。
-
安全加固:反向代理服务器可以隐藏后端Web服务器的真实IP地址,从而增强服务器的安全性,防止攻击者直接攻击后端服务器。
-
流量控制:反向代理服务器可以控制访问某些资源的流量,从而避免服务器被过度访问。
Nginx反向代理的工作原理基于HTTP协议。当客户端向Nginx服务器发送请求时,Nginx服务器会根据请求的URL,查找其配置文件中的反向代理规则。如果找到了匹配的规则,Nginx会将请求转发到后端服务器,并将后端服务器的响应返回给客户端。
具体来说,Nginx反向代理的工作流程如下: -
客户端发送请求:客户端发送请求到Nginx服务器,请求的URL与Nginx的反向代理规则匹配。
-
Nginx查找规则:Nginx查找其配置文件中的反向代理规则,并找到匹配的规则。
-
转发请求:Nginx将请求转发到后端服务器,后端服务器响应请求。
-
返回响应:Nginx将后端服务器的响应返回给客户端,客户端认为它正在与Nginx服务器通信。
在Nginx的配置文件中,我们可以使用upstream指令定义后端服务器的列表,并使用server指令定义要代理的域名和端口号。在location {}部分,我们使用proxy_pass指令将请求转发到我们定义的后端服务器上。
这里说明一下在Nginx中怎么配置反向代理,
在nginx中的conf配置文件中开头的第一行是这个,
user root; 这里配置的user对应的nginx的启动用户,在linux中是区分的用户的,所以这里填写的时候要看你的nginx启动的时候是用什么用户身份启动的,不然会出现服务正常启动,但是配置的一些静态资源无法访问的问题这里要注意。
第一种
在nginx.conf配置文件中找到http这个标签块,在http标签块中添加如下代码:
upstream backend {ip_hash;server 127.0.0.1:8080; } 这个upstream是为了定义反向代理的后端服务器列表backend是名称,upstream还可以指定负载均衡算法,使用ip_hash算法对后端服务器进行负载均衡,即根据客户端IP地址的hash值来选择后端服务器。这样可以保证同一个客户端的请求始终由同一个后端服务器处理,从而避免数据不一致的问题。
找到一个server,在server内部的location规则区域下写入proxy_pass http://backend;这端代码,这里就是进行代理的操作,当有用户去访问你服务器的时就会执行你代理的这个域名地址了。proxy_pass指令使用http://backend作为反向代理的后端服务器,这里的backend就是之前定义的upstream名字。
http {upstream backend {server 127.0.0.1:8000;}server {listen 80;server_name localhost;location / {proxy_pass http://backend;}} } 第二种方式不使用upstream
直接在proxy_pass后放入要被代理的服务器,这种情况具有局限性,并不能做到负载均衡只限于一个被代理服务器的情况下。
proxy_pass http://目标服务器域名或者ip+端口号 以下是完整的配置文件
user root; worker_processes 2; worker_rlimit_nofile 32768;events {worker_connections 2048; } http {#设置Nginx的HTTP协议相关参数。include mime.types;default_type application/octet-stream;sendfile on;keepalive_timeout 65;upstream backend {#定义反向代理的后端服务器列表和负载均衡方式,可以使用round-robin、ip-hash等算法进行负载均衡server 127.0.0.1:8000;}server {listen 80;server_name localhost;location / {#设置Nginx的请求处理规则。 proxy_connect_timeout 60; proxy_read_timeout 60; proxy_send_timeout 60; proxy_pass http://backend; }} 各参数说明
以下是Nginx中nginx.conf文件的常用参数列表:
指定Nginx运行的用户和组,格式为"user group;"
指定worker进程的数量,通常设置为CPU核心数的2倍或4倍
指定每个worker进程可以打开的最大文件数
指定Nginx主进程的PID文件路径
定义Nginx处理连接的模式和参数,包括:
指定每个worker进程可以同时处理的连接数
指定是否启用多次accept
定义HTTP协议相关的参数,包括:
定义虚拟主机的配置,可以设置监听的IP地址和端口号,以及服务器名、域名等信息
定义URL路径的匹配规则和对应的处理方式,例如可以设置不同的反向代理、静态文件目录、CGI脚本等
指定访问日志的路径和格式
指定错误日志的路径和级别
定义文件类型的映射关系,可以设置不同的MIME类型和文件扩展名
定义反向代理的后端服务器列表和负载均衡方式,可以使用round-robin、ip-hash等算法进行负载均衡
用于导入其他配置文件,可以使用通配符和目录名,例如可以使用include /etc/nginx/conf.d/*.conf来导入conf.d目录下的所有配置文件。
该指令表示开启gzip压缩,将响应数据压缩后发送到客户端。
worker_rlimit_nofile和worker_connections的关系
worker_rlimit_nofile和worker_connections的关系(最大打开文件数和worker的连接数之间有什么关系)
在Nginx服务器中,每个worker进程都可以打开一定数量的文件,其中包括socket连接、日志文件、配置文件等等。如果Nginx服务器的并发连接数很高,那么每个worker进程需要打开的文件数量也会相应增加。
如果Nginx服务器的最大打开文件数限制较低,可能会导致worker进程无法打开足够数量的文件,从而影响Nginx服务器的性能。因此,为了确保Nginx服务器的正常运行,通常需要将最大打开文件数设置为足够高的值。
另一方面,Nginx服务器的worker连接数也会受到最大打开文件数的限制。如果每个worker进程能够打开的文件数量受到限制,那么每个worker进程可以处理的连接数也会相应受到限制。因此,为了支持更高的并发连接数,通常需要将最大打开文件数设置为足够高的值。
需要注意的是,最大打开文件数和worker连接数之间的关系并不是线性的。如果Nginx服务器的worker连接数很高,那么需要打开的文件数量也会相应增加,但是增加的速度可能会比较慢,因此在设置最大打开文件数时,需要综合考虑Nginx服务器的实际情况和性能需求。
SSL证书配置相关信息
在Nginx中配置SSL证书需要经过以下步骤:
server {listen 443 ssl; server_name example.com; ssl_certificate /etc/nginx/ssl/example.com.crt; ssl_certificate_key /etc/nginx/ssl/example.com.key; location / {} } 上述配置中,listen指令启用SSL协议并指定监听端口为443,server_name指定服务器名,ssl_certificate和ssl_certificate_key分别指定SSL证书和私钥文件的路径。其中,证书文件一般以.crt结尾,私钥文件一般以.key结尾。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256;上述配置指定了使用TLSv1、TLSv1.1和TLSv1.2协议,使用ECDHE-RSA-AES128-GCM-SHA256和ECDHE-ECDSA-AES128-GCM-SHA256加密套件。在配置加密协议时,需要权衡安全性和性能,选择适合自己的加密套件。
ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; 上述配置指定了使用名为SSL的共享缓存,缓存大小为10MB,缓存时间为10分钟。在配置会话缓存时,需要注意缓存的大小和时间,根据实际情况调整。
5. 重启Nginx
修改Nginx配置文件后,需要重启Nginx服务,使配置生效。可以使用以下命令:
sudo systemctl restart nginx 需要注意的是,如果配置文件存在错误,Nginx会启动失败。可以使用以下命令检查配置文件是否正确:
sudo nginx -t 以上就是在Nginx中配置SSL证书的详细步
原文链接:https://www.xjx100.cn/news/264344.html
