反向代理(2022/03/31) 簡單記錄 Nginx 反向代理相關的一些配置文件,描述不足之處請自行查閱相關資料。 1. HTTP 配置 upstream web { server domain.com:80; } server { # 監聽 tcp4 listen 80; # 監聽 tcp6 l ...
反向代理(2022/03/31)
目錄簡單記錄 Nginx 反向代理相關的一些配置文件,描述不足之處請自行查閱相關資料。
1. HTTP 配置
upstream web {
server domain.com:80;
}
server {
# 監聽 tcp4
listen 80;
# 監聽 tcp6
listen [::]:80;
# 無效功能變數名稱 _ 匹配任意功能變數名稱,優先順序最低
server_name _;
# 訪問日誌
access_log /var/log/nginx/access.log main;
# 錯誤日誌
error_log /var/log/nginx/error.log notice;
# 客戶端請求體大小,避免大文件上傳 413
client_max_body_size 1024m;
# X-Frame-Options 標頭
add_header X-Frame-Options sameorigin;
# 內容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# 允許的外域 URI
# add_header Access-Control-Allow-Origin *;
# 允許的 HTTP 方法,用於 OPTIONS 預檢請求
# add_header Access-Control-Allow-Methods *;
# 允許的 HTTP 請求頭,用於 OPTIONS 預檢請求
# add_header Access-Control-Allow-Headers *;
# OPTIONS 預檢請求結果緩存時間,單位秒
# add_header Access-Control-Max-Age 86400;
# 如果為 OPTIONS 預檢請求,返回 204 No Content
# if ($request_method = OPTIONS) {
# return 204;
# }
# 前端靜態文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 後端 API,註意 proxy_pass 後的 /,攜帶 / 轉發請求時會去掉匹配首碼
location /api/ {
# 代理轉發目標,註意需要添加請求協議
proxy_pass http://web/;
# Host 主機名
proxy_set_header Host $host;
# X-Real-IP 將真實訪問者的遠端 IP 地址轉發給代理伺服器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 標記客戶端通過代理連接到伺服器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 標記客戶端通過代理連接到伺服器的原始主機
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理伺服器的主機名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定義客戶端請求的原始埠
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 標記客戶端通過代理連接到伺服器的協議
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
2. HTTPS 配置
2.1 證書生成
實現 HTTPS 訪問首先需要申請證書,製作自簽名證書的方法網上很多,但因命令較為複雜,所以此處筆者使用的一鍵生成工具Fishdrowned/ssl,具體使用方法參考作者使用說明。
# 拉取倉庫
$ git clone https://gitee.com/xiaoqqya/ssl.git
# 生成證書
$ ./ssl/gen.cert.sh domain.com
# 將證書複製到指定路徑,方便使用
$ cp ./ssl/out/root.crt /data/www/domain.com/certs/ca.crt
# 路徑中存在時間戳,註意修改
$ cp ./ssl/out/domain.com/20220104-1757/domain.com.bundle.crt /data/www/domain.com/certs/server.crt
$ cp ./ssl/out/cert.key.pem /data/www/domain.com/certs/server.key
2.2 配置文件
upstream web {
server domain.com:443;
}
server {
# 監聽 tcp4 並開啟 http2
listen 443 ssl http2;
# 監聽 tcp6 並開啟 http2
listen [::]:443 ssl http2;
# 無效功能變數名稱 _ 匹配任意功能變數名稱,優先順序最低
server_name _;
# 訪問日誌
access_log /var/log/nginx/access.log main;
# 錯誤日誌
error_log /var/log/nginx/error.log notice;
# 伺服器證書文件
ssl_certificate /data/www/domain.com/certs/server.crt;
# 伺服器證書密鑰文件
ssl_certificate_key /data/www/domain.com/certs/server.key;
# 支持的 ssl 或 tls 的版本
ssl_protocols TLSv1.2 TLSv1.3;
# 是否由伺服器決定採用哪種演算法,預設 off;如果 ssl 協議支持 tlsv1、tlsv1.1 老協議,設置為 on 並配合 ssl_ciphers 使用,如果 ssl 協議為 tlsv1.2、tlsv1.3 新協議,設置為 off,新協議不再採納該參數
ssl_prefer_server_ciphers off;
# 支持 ssl 協議的加密套件
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
# 啟用 ssl session 緩存,占用 10m 記憶體,緩存時間由 ssl_session_timeout 決定
ssl_session_cache shared:SSL:10m;
# 客戶端可以重用會話的時間
ssl_session_timeout 10m;
# 客戶端請求體大小,避免大文件上傳 413
client_max_body_size 1024m;
# HSTS: HTTP 嚴格傳輸安全
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# X-Frame-Options 標頭
add_header X-Frame-Options sameorigin;
# 內容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# HTTPS 通過 HTTP 訪問時 Nginx 觸發 497 狀態碼,重定向到 HTTPS
error_page 497 https://$http_host$uri$is_args$args;
# 前端靜態文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 後端 API,註意 proxy_pass 後的 /,攜帶 / 轉發請求時會去掉匹配首碼
location /api/ {
# 代理轉發目標,註意需要添加請求協議
proxy_pass http://web/;
# Host 主機名
proxy_set_header Host $host;
# X-Real-IP 將真實訪問者的遠端 IP 地址轉發給代理伺服器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 標記客戶端通過代理連接到伺服器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 標記客戶端通過代理連接到伺服器的原始主機
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理伺服器的主機名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定義客戶端請求的原始埠
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 標記客戶端通過代理連接到伺服器的協議
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
3. WS 配置
upstream web {
server domain.com:80;
}
# map 指令根據客戶端請求頭中 $http_upgrade 的值構建 $connection_upgrade 的值;如果 $http_upgrade 沒有匹配,預設值為 upgrade,如果 $http_upgrade 配置空字元串,值為 close
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
# 監聽 tcp4
listen 80;
# 監聽 tcp6
listen [::]:80;
# 無效功能變數名稱 _ 匹配任意功能變數名稱,優先順序最低
server_name _;
# 訪問日誌
access_log /var/log/nginx/access.log main;
# 錯誤日誌
error_log /var/log/nginx/error.log notice;
# 客戶端請求體大小,避免大文件上傳 413
client_max_body_size 1024m;
# X-Frame-Options 標頭
add_header X-Frame-Options sameorigin;
# 內容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# 前端靜態文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 後端 WebSocket,註意 proxy_pass 後的 /,攜帶 / 轉發請求時會去掉匹配首碼
location /websocket/ {
# 代理轉發目標
proxy_pass http://web;
# 請求伺服器升級協議為 WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# 設置讀寫超時時間,預設 60s 無數據連接將會斷開
proxy_read_timeout 300s;
proxy_send_timeout 300s;
# Host 主機名
proxy_set_header Host $host;
# X-Real-IP 將真實訪問者的遠端 IP 地址轉發給代理伺服器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 標記客戶端通過代理連接到伺服器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 標記客戶端通過代理連接到伺服器的原始主機
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理伺服器的主機名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定義客戶端請求的原始埠
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 標記客戶端通過代理連接到伺服器的協議
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
4. WSS 配置
4.1 證書生成
詳見 [證書生成](###2.1 證書生成).
4.2 配置文件
upstream web {
server domain.com:443;
}
# map 指令根據客戶端請求頭中 $http_upgrade 的值構建 $connection_upgrade 的值;如果 $http_upgrade 沒有匹配,預設值為 upgrade,如果 $http_upgrade 配置空字元串,值為 close
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
server {
# 監聽 tcp4 並開啟 http2
listen 443 ssl http2;
# 監聽 tcp6 並開啟 http2
listen [::]:443 ssl http2;
# 無效功能變數名稱 _ 匹配任意功能變數名稱,優先順序最低
server_name _;
# 訪問日誌
access_log /var/log/nginx/access.log main;
# 錯誤日誌
error_log /var/log/nginx/error.log notice;
# 伺服器證書文件
ssl_certificate /data/www/domain.com/certs/server.crt;
# 伺服器證書密鑰文件
ssl_certificate_key /data/www/domain.com/certs/server.key;
# 支持的 ssl 或 tls 的版本
ssl_protocols TLSv1.2 TLSv1.3;
# 是否由伺服器決定採用哪種演算法,預設 off;如果 ssl 協議支持 tlsv1、tlsv1.1 老協議,設置為 on 並配合 ssl_ciphers 使用,如果 ssl 協議為 tlsv1.2、tlsv1.3 新協議,設置為 off,新協議不再採納該參數
ssl_prefer_server_ciphers off;
# 支持 ssl 協議的加密套件
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
# 啟用 ssl session 緩存,占用 10m 記憶體,緩存時間由 ssl_session_timeout 決定
ssl_session_cache shared:SSL:10m;
# 客戶端可以重用會話的時間
ssl_session_timeout 10m;
# 客戶端請求體大小,避免大文件上傳 413
client_max_body_size 1024m;
# HSTS: HTTP 嚴格傳輸安全
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# X-Frame-Options 標頭
add_header X-Frame-Options sameorigin;
# 內容安全策略 (CSP)
add_header Content-Security-Policy "frame-ancestors 'self'";
# HTTPS 通過 HTTP 訪問時 Nginx 觸發 497 狀態碼,重定向到 HTTPS
error_page 497 https://$http_host$uri$is_args$args;
# 前端靜態文件
location / {
root /data/www/web_frontend;
try_files $uri $uri/ /index.html last;
}
# 後端 WebSocket,註意 proxy_pass 後的 /,攜帶 / 轉發請求時會去掉匹配首碼
location /websocket/ {
# 代理轉發目標
proxy_pass http://web;
# 請求伺服器升級協議為 WebSocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
# 設置讀寫超時時間,預設 60s 無數據連接將會斷開
proxy_read_timeout 300s;
proxy_send_timeout 300s;
# Host 主機名
proxy_set_header Host $host;
# X-Real-IP 將真實訪問者的遠端 IP 地址轉發給代理伺服器
proxy_set_header X-Real-IP $remote_addr;
# X-Forwarded-For 標記客戶端通過代理連接到伺服器的源 IP
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# X-Forwarded-Host 標記客戶端通過代理連接到伺服器的原始主機
proxy_set_header X-Forwarded-Host $host:$server_port;
# X-Forwarded-Server 代理伺服器的主機名
proxy_set_header X-Forwarded-Server $host;
# X-Forwarded-Port 定義客戶端請求的原始埠
proxy_set_header X-Forwarded-Port $server_port;
# X-Forwarded-Proto 標記客戶端通過代理連接到伺服器的協議
proxy_set_header X-Forwarded-Proto $scheme;
# proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto;
}
}
5. Stream 配置
5.1 應用場景
反向代理轉發 ssh 連接等。
5.2 配置文件
-
修改
nginx.conf文件,引入 stream 相關配置文件;user nginx; worker_processes auto; error_log /var/log/nginx/error.log notice; pid /var/run/nginx.pid; events { worker_connections 1024; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; keepalive_timeout 65; include /etc/nginx/conf.d/*.conf; } # stream 相關配置文件 stream { include /etc/nginx/conf.d/*.stream; } -
在
/etc/nginx/conf.d文件夾下添加配置文件;upstream ssh { server domain.com:22; } server { listen 22; listen [::]:22; proxy_connect_timeout 10s; proxy_timeout 3600s; proxy_pass ssh; # 訪問日誌 access_log /var/log/nginx/access.log main; # 錯誤日誌 error_log /var/log/nginx/error.log notice; }
6. 跨域配置
server {
# 允許的外域 URI
add_header Access-Control-Allow-Origin *;
# 允許的 HTTP 方法,用於 OPTIONS 預檢請求
add_header Access-Control-Allow-Methods *;
# 允許的 HTTP 請求頭,用戶 OPTIONS 預檢請求
add_header Access-Control-Allow-Headers *;
# OPTIONS 預檢請求結果緩存時間,單位秒
add_header Access-Control-Max-Age 86400;
# 如果為 OPTIONS 預檢請求,返回 204 No Content
if ($request_method = OPTIONS) {
return 204;
}
}
參考鏈接:
- nginx 轉發代理 wss 和 https (目標程式是 ws 和 http) | Zach Ke's Notes (kebingzao.com)
- Nginx配置HTTPS與HSTS · 零壹軒·筆記 (qidong.name)
- Nginx 配置 - 反向代理 - 《Nginx 極簡教程》 - 書棧網 · BookStack
- Nginx實現同一埠HTTP跳轉HTTPS - 1024搜-程式員專屬的搜索引擎 (1024sou.com)
- Nginx中變數詳解 | 精彩每一天 (hangdaowangluo.com)
