文档章节

nginx负载均衡、配置ssl

阿dai学长
 阿dai学长
发布于 2017/08/16 10:04
字数 1915
阅读 198
收藏 2

12.17 Nginx负载均衡

Nginx负载均衡即为当代理服务器将自定义的域名解析到多个指定IP时,通过upstream来保证用户可以通过代理服务器正常访问各个IP。

负载均衡配置

配置参数:

[root@adailinux ~]# vim /usr/local/nginx/conf/vhost/load.conf
upstream aq.com
#自定义域名
{
    ip_hash;
    #保证同一个用户始终保持在同一台机器上
    #即当域名指向多个IP时,保证每个用户始终解析到同一IP
    server 61.135.157.156:80;
    server 125.39.240.113:80;
    #指定web服务器的IP
}
server
{
    listen 80;
    server_name www.qq.com;
    location /
    {
        proxy_pass      http://aq.com;
        proxy_set_header Host   $host;
        proxy_set_header X-Real-IP      $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

检测

代理前

[root@adailinux ~]# curl -x127.0.0.1:80 www.qq.com 
This is the default directory.

使用代理前,会直接解析到默认虚拟主机。

代理后

[root@adailinux ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful
[root@adailinux ~]# /usr/local/nginx/sbin/nginx -s reload

[root@adailinux ~]# curl -x127.0.0.1:80 www.qq.com

使用代理后会解析到代理服务器所指向的IP

[root@adailinux ~]# dig www.qq.com

;; ANSWER SECTION:
www.qq.com.		138	IN	A	61.135.157.156
www.qq.com.		138	IN	A	125.39.240.113

;; Query time: 13 msec
;; SERVER: 119.29.29.29#53(119.29.29.29)
;; WHEN: 二 8月 15 16:41:11 CST 2017
;; MSG SIZE  rcvd: 71

注意: Nginx不支持代理https,只能代理http,新版本的Nginx可以代理tcp。

dig命令

dig命令是常用域名解析工具。

如果服务器中没有该命令,手动安装:

[root@adailinux ~]# yum install -y bind-utils

语法: dig [域名]

http、https、tcp

HTTP超文本传输协议(HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。
HTTP默认的端口号为80,HTTPS的端口号为443。
TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。默认监听80端口。

12.18 SSL原理

SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议。

SSL工作流程

如果虚拟机中没有此工具,手动安装:

[root@adailinux ~]# yum install -y openssl

SSL工作流程

mark

  • 浏览器发送一个https的请求给服务器;
  • 服务器要有一套数字证书,可以自己制作(后面的操作就是阿铭自己制作的证书),也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出>提示页面,这套证书其实就是一对公钥和私钥;
  • 服务器会把公钥传输给客户端;
  • 客户端(浏览器)收到公钥后,会验证其是否合法有效,无效会有警告提醒,有效则会生成一串随机数,并用收到的公钥加密;
  • 客户端把加密后的随机字符串传输给服务器;
  • 服务器收到加密随机字符串后,先用私钥解密(公钥加密,私钥解密),获取到这一串随机数后,再用这串随机字符串加密传输的数据(该加密为对称加密,所谓对称加密,就是将数据和私钥也就是这个随机字符串>通过某种算法混合在一起,这样除非知道私钥,否则无法获取数据内容);
  • 服务器把加密后的数据传输给客户端;
  • 客户端收到数据后,再用自己的私钥也就是那个随机字符串解密;

12.19 生成SSL密钥对

SSL证书就是一对公钥和私钥。

创建私钥

[root@adailinux ~]# cd /usr/local/nginx/conf/

[root@adailinux conf]# openssl genrsa -des3 -out tmp.key 2048
#生成SSL密钥
Generating RSA private key, 2048 bit long modulus
....................................................................................+++
...............................................................+++
e is 65537 (0x10001)
Enter pass phrase for tmp.key:
Verifying - Enter pass phrase for tmp.key:

说明: 在此指定密码!

转换key,取消密码:

[root@adailinux conf]# openssl rsa -in tmp.key -out adailinux.key 

Enter pass phrase for tmp.key:
writing RSA key

删除密钥文件:

[root@adailinux conf]# rm -f tmp.key

生成证书请求文件

需要拿这个文件和私钥一起生产公钥文件:

[root@adailinux conf]# openssl req -new -key adailinux.key -out adailinux.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:adai
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Beijing
Organizational Unit Name (eg, section) []:Beijing
Common Name (eg, your name or your server's hostname) []:adailinux
Email Address []:adai@adailinux.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:123456

说明: 该部分内容如果不购买证书可以自定义;如果是正式应用在网站上,需要规范填写对应信息(购买)。

创建公钥:

[root@adailinux conf]# openssl x509 -req -days 365 -in adailinux.csr -signkey adailinux.key -out adailinux.crt

Signature ok
subject=/C=CN/ST=adai/L=Beijing/O=Beijing/OU=Beijing/CN=adailinux/emailAddress=adai@adailinux.com
Getting Private key

12.20 Nginx配置SSL

[root@adailinux conf]# cd vhost/

[root@adailinux vhost]# vim ssl.conf
server
{
    listen 443;
    server_name adai.com;
    index index.html index.php;
    root /data/wwwroot/adai.com;
    ssl on;
    #开启ssl
    ssl_certificate adailinux.crt;
    #配置公钥
    ssl_certificate_key adailinux.key;
    #配置私钥
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    #配置协议
}

[root@adailinux vhost]# mkdir /data/wwwroot/adai.com

检测

报错:

[root@adailinux conf]# /usr/local/nginx/sbin/nginx -t
nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/vhost/ssl.conf:7
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

未识别ssl配置,需要重新编译Nginx:

[root@adailinux conf]# cd /usr/local/src/nginx-1.12.1/

[root@adailinux nginx-1.12.1]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module  

[root@adailinux conf]# make
[root@adailinux conf]# make install

[root@adailinux nginx-1.12.1]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

[root@adailinux nginx-1.12.1]# /etc/init.d/nginx restart
Restarting nginx (via systemctl):                          [  确定  ]

[root@adailinux nginx-1.12.1]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      5991/nginx: master  
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1735/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2040/master         
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN      5991/nginx: master  
tcp6       0      0 :::3306                 :::*                    LISTEN      1990/mysqld         
tcp6       0      0 :::22                   :::*                    LISTEN      1735/sshd           
tcp6       0      0 ::1:25                  :::*                    LISTEN      2040/master  

nginx监听80和443端口。

测试

[root@adailinux nginx-1.12.1]# cd /data/wwwroot/adai.com/

[root@adailinux adai.com]# vim index.html

This is ssl.

添加本地域名:

[root@adailinux adai.com]# vim /etc/hosts
127.0.0.1  adai.com

[root@adailinux vhost]# curl https://adai.com/
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

因为该证书是自己创建的,所以提示证书不被信任!!!

使用浏览器检测:

mark
注: 进行该测试之前需要更改Windows的hosts文件。

© 著作权归作者所有

阿dai学长
粉丝 71
博文 238
码字总数 315795
作品 0
海淀
运维
私信 提问
LNMP架构负载均衡及HTTPS相关配置

11月29日任务 12.17 Nginx负载均衡 12.18 ssl原理 12.19 生成ssl密钥对 12.20 Nginx配置ssl Nginx负载均衡 负载均衡原理上就是代理,只不过通过设置多个代理服务器来实现多用户访问时的负载均...

robertt15
2018/11/30
0
0
Docker chenyufeng/nginx-centos镜像实现负载均衡

在之前的一篇博客中我们实现了使用Docker的官方nginx镜像来实现负载均衡,使用起来并不是很方便,这里使用我自己的镜像:chenyufeng/nginx-centos来实现负载均衡。使用chenyufeng/nginx-cent...

CHENYUFENG1991
2017/12/10
0
0
Nginx配置:负载均衡和SSL配置

一、负载均衡 负载均衡在服务端开发中算是一个比较重要的特性。因为Nginx除了作为常规的Web服务器外,还会被大规模的用于反向代理前端,因为Nginx的异步框架可以处理很大的并发请求,把这些并...

BatmanLinux
2018/03/17
0
0
Nginx负载均衡与配置Nginx的ssl

Nginx负载均衡 什么是负载均衡? 负载均衡就是,把请求均衡地分发到后端的各个机器上面。比如,A B C D 四台WEB服务器,现在E要访问这4台服务器,F为Nginx反向代理服务器,可以放F把E的请求均...

wzb88
02/18
0
0
Nginx反代MySQL案例

案例:一个朋友要用Nginx代理MySQL(MySQL局域网),不用VPN,不用NAT映射等,好吧,做个笔记。 Nginx版本:1.9.x(持tcp的负载均衡,nginxtcpproxy_module(姚伟斌阿里团队也可以实现)) ...

任志远Ray
2017/03/22
0
0

没有更多内容

加载失败,请刷新页面

加载更多

ubuntu或ubuntu kylin优麒麟中安装QQ、wechat微信、百度网盘

从中国国内的地址下载deepin wine,码云上的。这样网速比较快。然后,按照说明向下安装。 https://gitee.com/wszqkzqk/deepin-wine-for-ubuntu...

gugudu
39分钟前
2
0
基于redis分布式锁实现“秒杀”

最近在项目中遇到了类似“秒杀”的业务场景,在本篇博客中,我将用一个非常简单的demo,阐述实现所谓“秒杀”的基本思路。 业务场景 所谓秒杀,从业务角度看,是短时间内多个用户“争抢”资源...

别打我会飞
58分钟前
14
0
Zookeeper的实践指南

本章重点 1.数据存储2.基于Java API初探Zookeeper的使用3.深入分析Watcher机制的实现原理4.Curator客户端的使用,简单高效 数据存储 事务日志快照日志运行时日志 bin/zookeepe...

须臾之余
今天
2
0
MySQL mybatis Point类型数据

MySQL中的point用于表示GIS中的地理坐标,在GIS中广泛使用 如何写入mysql,如下图: CREATE TABLE `test-point` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '序号', `point` ......

张欢19933
今天
3
0
设计模式-适配器模式

适配器模式 适配器模式(Adapter Pattern)是作为两个不兼容的接口之间的桥梁。这种类型的设计模式属于结构型模式,它结合了两个独立接口的功能。 这种模式涉及到一个单一的类,该类负责加入...

HOT_POT
今天
20
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部