Nginx之正向代理与反向代理进阶方式(支持https)
在【Nginx之正向代理与反向代理】一文中我们实现了将Nginx服务器作为正向代理服务器和反向代理服务器,但美中不足的是仅支持http协议,不支持https协议。
我们先看看看http和https的区别:
- http协议:协议以明文方式发送数据,不提供任何方式的数据加密。不适合传输一些敏感信息,例如密码。其使用的端口是
80。 - https协议:在http协议的基础上,加入了
SSL(Secure Sockets Layer),用于对数据进行加密。其使用的端口为443。
现在,我们要完成Nginx对https协议的支持。
1.Nginx正向代理(http)
我们来回顾一下Nginx作为正向代理服务器支持http协议的配置。
代理服务器:192.168.110.101
- 代理服务器配置:
server {
listen 8080;
server_name localhost;
# 解析域名时需要配置
resolver 8.8.8.8;
location / {
proxy_pass http://$host$request_uri;
}
}- 客户端配置:
我们使用Windows系统作为客户端环境。
- 访问
http://nginx.org/en/index.html,可以正常访问。
- 访问
https://www.baidu.com,则无法正常访问了。
- 查看代理服务器的error.log,发现其报400错误码。
这是因为,Nginx作为正向代理服务器时,默认仅支持http协议,是不支持https协议的。
2.Nginx正向代理(https)
那么怎么让Nginx作为正向代理服务器的时候支持https协议呢?
我们可以使用第三方模块ngx_http_proxy_connect_module。
下载地址:https://github.com/chobits/ngx_http_proxy_connect_module
我们知道如果要为Nginx添加第三方模块,需要在配置configure时添加--add-module。从Nginx1.9.11版本开始,支持load_module指令来动态加载模块。
我们这里使用--add-module进行模块的添加。
1)查看Nginx版本以及configure信息
nginx -V nginx version: nginx/1.22.1 built by gcc 9.4.0 (Ubuntu 9.4.0-1ubuntu1~20.04.1) configure arguments: --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-http_gzip_static_module
2)下载模块
下载地址:https://codeload.github.com/chobits/ngx_http_proxy_connect_module/zip/refs/heads/master
3)重新编译
这里我们两种添加第三方模块的方式都尝试一下。
- 使用
--add-module
cd /home/stone/nginx-1.22.1 # 1、添加patch patch -p1 < /home/stone/nginx-1.22.1/module/ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_102101.patch # 2、configure ./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-http_gzip_static_module --add-module=/home/stone/nginx-1.22.1/module/ngx_http_proxy_connect_module # 3、make make # 4、备份旧的nginx可执行文件,复制编译之后的可执行文件 mv /usr/local/nginx/nginx /usr/local/nginx/nginx.old cp objs/nginx /usr/local/nginx/nginx # 5、升级 make upgrade
- 使用
load_module,需要将--add-module替换为--add-dynamic-module
cd /home/stone/nginx-1.22.1 # 1、添加patch patch -p1 < /home/stone/nginx-1.22.1/module/ngx_http_proxy_connect_module/patch/proxy_connect_rewrite_102101.patch # 2、configure ./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-http_gzip_static_module --add-dynamic-module=/home/stone/nginx-1.22.1/module/ngx_http_proxy_connect_module # 3、make make # 4 创建module文件夹,并将编译生成的ngx_http_proxy_connect_module.so拷贝过去 mkdir /usr/local/nginx/module cp /home/stone/nginx-1.22.1/objs/ngx_http_proxy_connect_module.so /usr/local/nginx/module # 5、备份旧的nginx可执行文件,复制编译之后的可执行文件 mv /usr/local/nginx/nginx /usr/local/nginx/nginx.old cp objs/nginx /usr/local/nginx/nginx # 6、升级 make upgrade
4)修改配置文件
# --add-dynamic-module动态添加第三方模块时使用
# load_module module/ngx_http_proxy_connect_module.so;
http {
server {
listen 8080;
server_name localhost;
resolver 114.114.114.114 ipv6=off;
proxy_connect;
proxy_connect_allow 443 80;
proxy_connect_connect_timeout 10s;
proxy_connect_data_timeout 10s;
# 指定代理日志
access_log logs/access_proxy.log main;
location / {
proxy_pass $scheme://$host$request_uri;
}
}
}此时访问https://www.baidu.com,在access_proxy.log产生如下日志,说明https代理成功。
3.Nginx反向代理(http)
同样的,Nginx作为反向代理服务器,默认也是只支持http协议,我们来回顾一下Nginx作为反向代理服务器支持http协议的配置。
server {
listen 80;
server_name localhost;
location /proxy {
proxy_set_header X-Real-IP $remote_addr;
proxy_pass http://192.168.110.98;
}
}可以看到,我们配置的server_name为localhost,但在实际项目中,我们是使用域名绑定Nginx服务器的IP,并且使用https协议进行访问,配置的server_name就是指定的域名,例如www.aaa.com。
Nginx为我们提供了ngx_http_ssl_module来支持https协议,并且在提供的默认配置文件里已经给出了示例。
4.Nginx反向代理(https)
添加ngx_http_ssl_module的步骤和添加ngx_http_proxy_connect_module的步骤一致,只是这是Nginx提供的模块,因此在configure时使用--with-http_ssl_module 即可。
我们再来看看采用https协议时的配置:
server {
listen 443 ssl;
server_name www.aaa.com;
# 申请ssl证书后,会提供cert.pem和cert.key
ssl_certificate cert.pem;
ssl_certificate_key cert.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location /proxy {
proxy_pass http://192.168.110.98;
}
}我们需要去为指定的域名申请ssl证书,然后将证书中的cert.pem和cert.key放到指定文件,并在配置文件中指定。例如我们这里指定的server_name为www.aaa.com,所以我们就需要为www.aaa.com申请ssl证书。
后续我们访问https://www.aaa.com/proxy就可以被代理到指定服务端了。
总结
以上就是Nginx实现正向代理和反向代理支持https协议的全部内容,Nginx是多模块化的,还有很多高级功能,我们后面继续探索。
这些仅为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
本文的实验环境为:Centos4.5,nginx版本为:nginx-0.7.262013-02-02
为了确保gcc-c++和Nginx的正确安装,建议使用yum工具在线下载rpm包,避免手动下载安装时出现依赖缺失的问题,本文就来介绍一下如何离线安装,感兴趣的可以了解一下2024-09-09
本文主要介绍了nginx配置客户端保存cookie的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2023-03-03
Nginx的主配置文件nginx.conf关键于定义Nginx的基本设置与全局配置,包括工作进程数、错误日志路径与级别、进程ID文件路径、事件处理模型、HTTP模块设置等,本文就来介绍一下,感兴趣的可以了解一下2024-11-11
nginx可以使用各平台的默认包来安装,本文是介绍使用源码编译安装与配置,希望对大家熟悉nginx能够有所帮助。2016-06-06
nginx调用php-fpm出错解决方法和nginx配置详解
这篇文章介绍了nginx调用php-fpm出错的解决方法,最后给出了nginx配置方法,需要的朋友可以参考下2014-03-03
Nginx安装除了编译以外,我们还可以直接用操作系统上自带的工具比如说yum、apt-get直接安装,这篇文章主要介绍了Nginx手动编译、安装超超详解,需要的朋友可以参考下2023-09-09
最近在看高性能Linux服务器构建实战的Nginx章节,对其nginx介绍的非常详细,现把经常用到的Nginx配置参数中文说明摘录和nginx做负载均衡的本人真实演示实例抄录下来以便以后查看2020-03-03
本文介绍下,重启nginx服务后丢失nginx.pid文件的解决方法,有需要的朋友,可以作个参考2014-01-01
最近写了一个项目,需要进行手机上测试,下面就需要前端自己将项目进行部署,这篇文章主要给大家介绍了关于前端将项目部署到服务器(Nginx)的相关资料,文中通过图文介绍的非常详细,需要的朋友可以参考下2023-01-01
最新评论