LNMP---nginx反向代理、nginx负载均衡、配置nginx的ssl

原创
2019/10/22 00:11
阅读数 123

4.48/49 nginx反向代理

4.50 nginx负载均衡

4.51 配置nginx的ssl

 

扩展链接:    https://github.com/aminglinux/nginx/tree/master/ssl

 

 

一、nginx反向代理

什么叫反向代理?

A想要访问C上的网站
A(用户)-->  B(在和C同一个机房,并且有公网即外网)-->  C(不带公网的机器)
A可以访问B,B可以访问C,最终A成功访问到了C,即代理的过程,用B代替A去访问C,B是代理的机器

什么场景会使用反向代理?

1)访问不带公网的内网机器

2)解决两台机器之间通信有障碍的问题

准备工作:

在虚拟机中添加一个仅主机模式的网卡,此时该网卡的IP获取方式是通过DHCP获取的,需要把一个静态的配置文件复制,并改成对应该IP的静态配置文件,GATEWAY和DNS1在一个网卡上配置就可以了,这里删除掉,重启网卡。此时这台机器做为有内网和外网的机器

场景设置:

内网不能连外网。
1)A B 两台机器,其中A只有内网,B有内网和外网
2)A的内网ip是 192.168.78.100,web站点在该机器上
3)B的内网ip是 192.168.78.101, B的外网IP是 192.168.207.128
4)C为客户端,C只能访问B的外网IP,不能访问A或者B的内网IP

需求目的:

C要访问到A内网上的网站,C通过访问B,B访问到了A,最终C访问到了A

 

启动nginx时,如果报错,/var/run/nginx.pid没有pid,可以使用/usr/sbin/nginx先启动nginx,在使用pkill nginx杀掉nginx进程,在systemctl start nginx启动查看是否正常.

在B机器上编辑虚拟主机配置文件

discuz.tobe.com.conf

server
{
        listen 80;
        server_name discuz.a.com;    #代理的域名,站点的名称

        location /
        {
            proxy_pass http://192.168.78.100; #此处的ip为后端真正的web服务器的IP,即A的内网IP,B的nginx会去访问这个ip,通过这个ip访问到网站
            proxy_set_header Host $host;    #设定header信息,代理时的header是什么;proxy_set_header Host就是域名是什么,域名就是$host,$host即server_name
            proxy_set_header X-Real-IP $remote_addr;    # 最后两行为了在日志当中显示源ip(真正的客户端IP)和显示CB两台机器的ip,在访问日志中体现
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}


虚拟主机配置文件编辑完成,到windows更改hosts配置文件,把discuz.a.com网站的IP设置为B机器的外网IP:192.168.207.128

并在B机器添加防火墙规则,80端口添加到白名单,然后在到页面访问web站点

firewall-cmd --add-port=80/tcp --permanent     80端口添加到白名单

firewall-cmd --reload     加载设置

iptables -nvL |grep 80  查看规则是否生效

 

下方的即为header信息

 

二、nginx负载均衡

参考https://my.oschina.net/u/4093217/blog/3050955

什么是负载均衡?

负载均衡就是,把请求均衡地分发到后端的各个机器上面。
比如,A B C D 四台WEB服务器,现在E要访问这4台服务器,F为Nginx反向代理服务器,可以让F把E的请求均衡地发送到A B C D 4台服务器上。

A B C D请求接收的多少,取决于权重的大小

使用 dig 查看域名; 没有安装可以用yum安装此包:yum install -y bind-utils

在192.168.246.33这台机器上进行配置:

vi apelearn.com.conf

upstream apelearn    #upstream定义负载均衡组,在同一个nginx服务器中,不能出现相同的两个upstream名称
    {
        ip_hash;    #负载均衡算法
        server 115.159.51.96:80 weight=100; #真正的服务器ip地址和端口  #weight=100,权重最高100,最小0
        server 47.104.7.242:80;  
    }
    server
    {
        listen 80;
        server_name www.apelearn.com;
        location /
        {
            proxy_pass http://apelearn;    #apelearn即upstream定义的,此处引用
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }

到浏览器进行访问,如果跳到https是有问题的,因为代理的是80端口,没有监听443端口,443端口是加密的,在不配置证书的情况下,去访问443端口是不行的。

curl -x47.104.7.242:80 www.apelearn.com -I

curl -x127.0.0.1:80 www.apelearn.com -I    

此时可以通过自己的机器能访问该网站。说明设置成功

 

三、配置nginx的ssl

Nginx的SSL

让Nginx实现用https来访问网站。http是80端口,https是443端口。端口可以定义
https其实就是一种加密的http。

为什么要加密

举例:如果要在网上银行汇款,在你汇款过程当中,你会输入银行卡的密码。如果不加密,这些数据在传输过程中就有可能被人截获。

如果使用了https,那么数据在传输过程中是会加密的。即使抓到了数据包,但是无法破jie出来。

nginx -V  如果编译时没有--with-http_ssl_module这个模块,说明不支持ssl,需要重新编辑安装,yum安装默认是有的

 

申请证书:

网站:www.wosign.com (沃通)
免费的:freessl.cn
注册freessl.cn账号,输入域名,创建免费的SSL证书,点击创建,创建完成后,需要根据下方生成的验证信息到DNSpod去加一条TXT和记录值的记录

DNSpod:

把对应的txt信息填入进去

设置完成后会生成证书信息,证书、私钥和CA证书,在服务器上创建ssl目录用来存放证书。

xxx.crt文件用来加密,存放证书
xxx.key用来解密,存放私钥

分别创建这两个文件,把生成的证书和私聊拷贝到对应文件中

在虚拟主机中配置:

vim discuz.tobe.com.conf

监听端口改为443 ssl 

#ssl on;
ssl_certificate /path/to/xxx.crt;
ssl_certificate_key /path/to/xxx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

如果报这个错误,说明nginx 1.15 及以后的版本,不需要再写 ssl on; 了,注释或删除

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/discuz.tobe.com.conf:4

nginx -t   检查是否有错误

nginx -s reload   重新加载

重启nginx,出现监听443端口

firewall-cmd --add-port=443/tcp --permanent   把443端口添加到白名单

firewall-cmd --reload  重新加载

浏览器上测试:

使用https访问:    https://discuz.tobe.com

在另一台机器上,curl访问https: 返回网站信息即成功

curl -k -H "host:discuz.tobe.com" https://192.168.246.128/index.php       


 

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部