管理员
论坛积分
分
威望 点
贡献值 个
金币 枚
|
情景 由于公司内网有多台服务器的http服务要映射到公司外网静态IP,如果用路由的端口映射来做,就只能一台内网服务器的80端口映射到外网80端口,其他服务器的80端口只能映射到外网的非80端口。非80端口的映射在访问的时候要域名加上端口,比较麻烦。并且公司入口路由最多只能做20个端口映射。肯定以后不够用。 然后k兄就提议可以在内网搭建个nginx反向代理服务器,将nginx反向代理服务器的80映射到外网IP的80,这样指向到公司外网IP的域名的HTTP请求就会发送到nginx反向代理服务器,利用nginx反向代理将不同域名的请求转发给内网不同机器的端口,就起到了“根据域名自动转发到相应服务器的特定端口”的效果,而路由器的端口映射做到的只是“根据不同端口自动转发到相应服务器的特定端口”,真是喜大普奔啊。 涉及的知识:nginx编译安装,nginx反向代理基本配置,路由端口映射知识,还有网络域名等常识。 本次实验目标是做到:在浏览器中输入xxx123.tk能访问到内网机器192.168.10.38的3000端口,输入xxx456.tk能访问到内网机器192.168.10.40的80端口。 配置步骤 服务器ubuntu 12.04
: p/ J2 R6 l3 l4 ~9 n7 v. {1 @, k4 G' {9 R: \, A5 _# Y
- ###更新仓库' j' K" F( Y. I: H- l
5 V; ?1 V3 E" p3 i3 {3 P- apt-get update -y
! p% O6 V4 P5 A - apt-get install wget -y: A; W3 d0 r3 g
- #下载nginx和相关软件包
2 V* y5 X9 o! O% s! h, o5 e6 h+ W. ypcre是为了编译rewrite模块,zlib是为了支持gzip功能。额,这里nginx版本有点旧,因为我还要做升级nginx的实验用。大家可以装新版本。
/ P0 d8 f( W8 g5 P, {8 Y
; d) Z9 w. [: d/ d: l, H% J0 D1 H- cd /usr/local/src' b+ {) K, K. A' T4 ~1 {
- wget <a href="ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz">ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz</a>
5 {% B. P/ E( f- E2 C" W/ O - wget <a href="http://zlib.net/zlib-1.2.8.tar.gz">http://zlib.net/zlib-1.2.8.tar.gz</a>+ p& w/ J# I% S% U
- wget <a href="http://nginx.org/download/nginx-1.4.2.tar.gz">http://nginx.org/download/nginx-1.4.2.tar.gz</a>
: B/ b' W. ?8 V. G/ D - tar xf pcre-8.33.tar.gz/ k2 t, l! o1 r* _& ?, O- M+ E
- tar xf zlib-1.2.8.tar.gz
6 c* {; b# y* M3 a - #安装编译环境( ^9 g9 r4 R: \7 u7 |6 P
I2 _+ k/ w w9 W 3 o: y" K5 e6 H8 O% ]7 [
apt-get install build-essential libtool -y* _2 l5 u! A9 t
#创建nginx用户5 y( N1 S) l7 u" n( c
0 D2 X" P& G9 ]& r" F) R
所谓的unprivileged user
2 M6 G) v+ Z/ f, d+ W8 ~8 N4 X/ H* ]) y+ ^: c
- useradd -s /bin/false -r -M -d /nonexistent www
. s6 }% ^4 t% w) h' u7 Z& u - #开始编译安装
' O, h0 V, {% L; h+ K0 J% B
5 T. ]3 Y6 J2 f) o- /configure --with-pcre=/usr/local/src/pcre-8.33 --with-zlib=/usr/local/src/zlib-1.2.8 --user=www --group=www \! F+ Y0 n: u+ \; z) |
- --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module/ H" a# h. C+ {" W# Q& I
- make
O4 H) B+ L% I* J* x" l, b - make install4 M/ F% {( N5 {' _/ V
- #给文件夹授权
: P/ M) J3 v0 q+ P& o0 }
chown -R www:www /usr/local/nginx
/ M3 t" l! | G#修改配置文件7 h! a' u5 a1 V0 S& u3 B+ H7 ~
vim nginx.conf
5 C( l! B$ z; e2 z+ G7 J- p2 s# I0 w) P* Z- L2 A+ |
user www www;( Z F* h* y4 A8 u1 g6 v5 P+ r
worker_processes 1;
; n2 Z$ ]( T) v/ D! J$ U# herror_log logs/error.log;( a+ Y1 Q: M- S6 s
pid logs/nginx.pid;) x, B# _, y& K1 h9 R# J) i3 Z. u
worker_rlimit_nofile 65535;; F/ l( K& A( W T: s1 Z
events {" E; w% z% U' [ I
use epoll;
, Q$ D0 U; e1 j worker_connections 65535;
/ ~% S3 `% E W* h* F}
% Z' _5 i* @. F( S, J, ?http { O, f# R O) w; D1 S& [2 \
include mime.types;5 Z# I b- V* g4 k
default_type application/octet-stream;
/ z) B# M9 j/ g; s include /usr/local/nginx/conf/reverse-proxy.conf;
" ~1 l0 w( t& n. x7 t sendfile on;
# [9 I( _1 u. d- @# [& ~ keepalive_timeout 65;
: `* h- g9 M Y* J) } gzip on;
7 p8 G$ r0 {& ?# c5 a1 M+ Y client_max_body_size 50m; #缓冲区代理缓冲用户端请求的最大字节数,可以理解为保存到本地再传给用户
/ D1 w! Q( i# e client_body_buffer_size 256k;# C& B9 y& B6 u/ Y: T
client_header_timeout 3m;
, o2 D! \( H: P5 @ client_body_timeout 3m;
) N% M4 r1 r+ c( ^' ], r, u send_timeout 3m;$ S5 R+ b+ l" T2 C( E; `. U- E
proxy_connect_timeout 300s; #nginx跟后端服务器连接超时时间(代理连接超时)- y8 \6 @9 F# G" q
proxy_read_timeout 300s; #连接成功后,后端服务器响应时间(代理接收超时)
3 L+ N; |8 C, `& s& D proxy_send_timeout 300s;% E# t& ]2 Y. p7 X+ _$ B, j
proxy_buffer_size 64k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小- s0 s: n7 ]) Y; \9 \) U
proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置
& R2 u1 h A# a! A S proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)3 [. X# T3 H, `5 h; @- x' C$ o
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传递请求,而不缓冲到磁盘
* \8 W6 c. T3 C5 \ proxy_ignore_client_abort on; #不允许代理端主动关闭连接5 y K# A, Q+ a) T( t8 @+ D
server {
2 ?: e a) C8 p% c; W6 f _ listen 80;* p. E) N' H2 m5 b( s! k( D+ r7 G, f
server_name localhost;- n0 z, k0 s4 b! B7 ^8 k
location / {6 U0 ?4 I7 K5 D
root html;' Y% \% X3 W/ E/ O# C& X
index index.html index.htm;
+ c' ~# R6 L' T# `- c4 W3 V }# Z$ A$ t. @$ u, {- U2 _
error_page 500 502 503 504 /50x.html;$ `% l0 `. Z2 K' h: R$ k3 f% r
location = /50x.html {
3 g7 s! P$ _9 V4 ~1 R9 \ root html;
7 E: F7 c* Z2 a* {9 K }4 M; l, M$ b3 D* S
}: K# s- o) ?) D& T% t) E9 u
}
* U; K4 d' C7 K" a9 w0 ]: k8 S* J; j' B1 [( m: k; y5 I' }& ~
编辑反向代理服务器配置文件:) l2 p2 v: e8 R
8 E3 P3 R- v) D( K, L, d
vim /usr/local/nginx/conf/reverse-proxy.conf
' k# z6 D3 M! q: l/ S/ M! G, z& J6 _, Y. g6 z3 L
server
/ W- @0 n) |- C" l% ^9 L{+ ?( T* w1 A! b
listen 80;, \8 |- n" N. z& s) n0 ~
server_name xxx123.tk;
# p$ @. a4 W% j location / {
1 {6 r; B" P, r9 `- b% ~6 C proxy_redirect off;
+ G5 i" x7 A8 S proxy_set_header Host $host;5 a; a1 p3 f. V, I0 f4 ~( }: t
proxy_set_header X-Real-IP $remote_addr;
/ p6 D! O3 a+ ]% | proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;. N- x: s( C5 ~# B; i
proxy_pass http://192.168.10.38:3000;
6 A6 K# c( n9 U0 w) y0 t: H. b# P }
; J, [: o$ a' p! b access_log logs/xxx123.tk_access.log;8 `- z( ~5 b0 d
}9 b4 a. s: z, [
% E, P8 r# }' v1 I
server
0 H; w2 {2 I2 T& {2 L{
1 R: P/ d* a4 B K listen 80;3 B9 N, b! I, ?& a J% E5 I: E
server_name xxx456.tk;9 R' V& L3 @% \& o) W
location / {
7 A) l$ o) y- e* ?" H proxy_redirect off;
% ~* F. M. u ^2 Y proxy_set_header Host $host;
8 }: h: e, ~& q' N proxy_set_header X-Real-IP $remote_addr;
; v" }, |6 Q: |% [8 b6 w proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
/ z9 F% j( T* @: @# w proxy_pass http://192.168.10.40:80;. g o- z! |) J: g% h* G& Z, X
}
* E) I; P! M) H$ f& A% G) M access_log logs/xxx456.tk_access.log;
+ D, d- a2 R/ Z Y: f) `3 k% Y}" O* ^: i ~8 `9 ]" E, @
. L, m' m, b+ l7 Y' q
然后重新加载nginx配置文件,使之修改生效,再把xxx123.tk域名指向公司静态IP,这样就成功的做到了在浏览器中输入xxx123.tk的时候访问的内网服务器192.168.10.38的3000端口,输入xxx456.tk访问192.168.10.40的80端口的作用。 如果想对后端机器做负载均衡,像下面这配置就可以把对nagios.xxx123.tk的请求分发给内网的131和132这两台机器做负载均衡了。5 v( Y4 `; |7 y$ }1 z# ` {
0 C+ C. {' P# {/ g8 h' Tupstream monitor_server {
) h: d* }9 T% C/ o( [3 \ server 192.168.0.131:80;0 @0 t* e* F* g5 n/ Q; | ]
server 192.168.0.132:80;
( d* J2 `- Y8 A6 |2 q}
- P* \3 S+ D, l$ D! b
7 g- K0 N% K7 H- b( a _) }server) E1 p) O/ ]/ d9 H$ q! R3 N
{
) j1 y( L) U! B listen 80;5 {7 ]8 P C! ~7 W
server_name nagios.xxx123.tk;
4 _0 C6 G' `6 d4 H0 [3 M location / {
: D! _2 _$ S @& V proxy_redirect off;
* |# y6 f* B7 U; g7 C! _* t proxy_set_header Host $host;
+ A9 {* j u/ h8 G* ~2 |3 j$ b+ b proxy_set_header X-Real-IP $remote_addr;
6 K3 w8 h1 @, w) [3 e0 ^1 ?, b' Y proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
W7 B# z* \6 _ proxy_pass http://monitor_server;1 [7 m. q( U0 s
}3 h, R+ v/ h, c7 c! L T+ P
access_log logs/nagios.xxx123.tk_access.log;% C) p& H( e) A/ V3 ~! n- l
}
( Z# N6 k- u# w% v0 |. ^
+ o2 s( R4 @: s- s6 J; ?额,关于负载均衡和缓存就不多说了,这里只是要起到一个简单的“域名转发”功能。 另外,由于http请求最后都是由反向代理服务器传递给后段的机器,所以后端的机器原来的访问日志记录的访问IP都是反向代理服务器的IP。 要想能记录真实IP,需要修改后端机器的日志格式,这里假设后端也是一台nginx: 在后端配置文件里面加入这一段即可:
6 B3 m2 @1 ~" x+ u. p$ Y4 S$ a! H. s4 N2 {4 `) F8 H
log_format access '$HTTP_X_REAL_IP - $remote_user [$time_local] "$request" '* R3 g" M% `( l7 ^* V
'$status $body_bytes_sent "$http_referer" '9 k" L4 D( X' u3 q+ P
'"$http_user_agent" $HTTP_X_Forwarded_For';
- h- `7 `: k. O4 D
$ b) N5 m- U1 L5 haccess_log logs/access.log access;
% j, `7 v4 @& g- x, p
- a3 a% e* j, q1 j4 ^7 p% n再看看原来日志的格式长什么样:8 ~3 X7 A8 t1 b& |
( W# _# h p) Z& ^7 m1/ M) ^3 M7 ~" Y# Z
2
0 ^% j3 G" ^( V1 Q* {3+ v2 N6 ?$ i, V) q5 h. J7 W
4) g% U5 N1 `7 B/ y: g% L1 _
5" N1 f/ \- N/ w2 d0 F
#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
( U' f# a; x3 ~# '$status $body_bytes_sent "$http_referer" '+ h+ t0 s6 p- k' a
# '"$http_user_agent" "$http_x_forwarded_for"';# Y6 I" }! S( W8 Q3 @/ y$ S: N) r: F
$ `( ]3 Z/ c+ N& U# E) s/ a
#access_log logs/access.log main;
2 ~# j* ]5 C$ j& B* u看出区别了吧 遇到的问题 之前没配置下面这段,访问时候偶尔会出现504 gateway timeout,由于偶尔出现,所以不太好排查0 A! r5 p9 E) k9 R- ?
8 G p/ H. [9 n3 `1
' A/ C5 M# G% W: \/ ~4 V" z2
/ {) K* r5 E* L7 s3 a2 Z2 m X3( F. X1 c# y2 u7 U
4
5 w) z5 F; u, ]# J5# y' c5 y9 _* a/ u& l
6# w) k' y. E C0 d5 u$ t* W! b
7
( R& v: }1 O) t% [: L88 e1 n! `9 v+ L9 ?2 U/ w
proxy_connect_timeout 300s;
7 T4 |* Z3 E( oproxy_read_timeout 300s;
6 o& N3 A2 Q5 Z8 W# ]8 vproxy_send_timeout 300s;
: `, Z) T: X7 w7 lproxy_buffer_size 64k;$ w4 c" K( A |6 y- A1 G/ B- [
proxy_buffers 4 32k;
" Z) K0 {6 ]1 F& eproxy_busy_buffers_size 64k;+ j# q& @4 c% m% `
proxy_temp_file_write_size 64k;1 k6 @% y4 p5 p1 s$ D
proxy_ignore_client_abort on;4 Z) }; _% K8 D5 }6 ~
报错日志: m' G; l/ W, v. }; l
1 J) y) U% Z: O8 C' J...upstream timed out (110: Connection timed out) while reading response header from upstream, client: ...(后面的省略) 从日志看来是连接超时了,网上一通乱查之后估计可能是后端服务器响应超时了,本着大胆假设,小心求证的原则,既然假设了错误原因就要做实验重现错误:那就调整代理超时参数,反过来把代理超时阀值设小(比如1ms)看会不会次次出现504。后来发现把proxy_read_timeout 这个参数设置成1ms的时候,每次访问都出现504。于是把这个参数调大,加入上面那段配置,解决问题了。8 W+ W" C& t; \2 E6 w& t+ I' `4 ~
2 j3 _. ~( o* \0 M X" L
PS:关于域名转发) t/ t+ K6 U) [) \
- q) u9 F/ K5 \ Z$ S4 V
所谓域名URL转发,是通过服务器的特殊设置,将访问您当前域名的用户引导到您指定的另一个网络地址。 地址转向(也可称“URL转发”)即将一个域名指向到另外一个已存在的站点,英文称为“ URL FORWARDING ”。域名指向可能这个站点原有的域名或网址是比较复杂难记的。 已经注册成功的域名,若初设或取消 URL 转发设置,一般均在 24-48 小时之内生效。对于原有已经设置成功的 URL 转发域名,如果修改 URL 转发的目标地址,则只需 1-2 个小时即可生效。 不隐藏路径 URL 转发:例如: http://b.com/ 指向 http://a.com/xxx/ (任意目录);当在浏览器地址栏中敲入 http://b.com/ 后回车, IE 浏览器的地址栏里显示的地址会由原来您敲入的 http://b.com/ 自动变为显示真正的目标地址 http://a.com/xxx/ ; 隐藏路径的 URL 转发:例如:先同上, IE 浏览器的地址栏里显示的地址保持不变,仍是 http://b.com/ ,但实际访问到的是 http://a.com/xxx/ 的内容。
. T# T1 Z2 n# `7 U- _ |
|
发表于 2020-2-25 04:54:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
支持
反对
置顶卡
变色卡
千斤顶
