您尚未登录,请登录后浏览更多内容! 登录 | 立即注册

QQ登录

只需一步,快速开始

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 14393|回复: 0
打印 上一主题 下一主题

[centos] Nginx服务器作反向代理实现内部局域网的url转发配置

[复制链接]
跳转到指定楼层
楼主
发表于 2020-2-25 04:54:09 手机频道 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
情景 由于公司内网有多台服务器的http服务要映射到公司外网静态IP,如果用路由的端口映射来做,就只能一台内网服务器的80端口映射到外网80端口,其他服务器的80端口只能映射到外网的非80端口。非80端口的映射在访问的时候要域名加上端口,比较麻烦。并且公司入口路由最多只能做20个端口映射。肯定以后不够用。 然后k兄就提议可以在内网搭建个nginx反向代理服务器,将nginx反向代理服务器的80映射到外网IP的80,这样指向到公司外网IP的域名的HTTP请求就会发送到nginx反向代理服务器,利用nginx反向代理将不同域名的请求转发给内网不同机器的端口,就起到了“根据域名自动转发到相应服务器的特定端口”的效果,而路由器的端口映射做到的只是“根据不同端口自动转发到相应服务器的特定端口”,真是喜大普奔啊。 涉及的知识:nginx编译安装,nginx反向代理基本配置,路由端口映射知识,还有网络域名等常识。 本次实验目标是做到:在浏览器中输入xxx123.tk能访问到内网机器192.168.10.38的3000端口,输入xxx456.tk能访问到内网机器192.168.10.40的80端口。 配置步骤 服务器ubuntu 12.044 e% R" j9 e, O4 H: p. z

- x* e" G+ J; L' M" V" U
  1. ###更新仓库
    . g: P  o: `, K3 K
  2. ! V" a" l6 Q- v" X
  3. apt-get update -y4 ^! M! X, Q% @
  4. apt-get install wget -y! L  f7 j# k5 k
  5. #下载nginx和相关软件包
复制代码

* e% D" [1 z8 g$ R8 d/ ]
/ D5 x/ F$ S  d) jpcre是为了编译rewrite模块,zlib是为了支持gzip功能。额,这里nginx版本有点旧,因为我还要做升级nginx的实验用。大家可以装新版本。, C& I/ L3 v( K6 r5 @

! B! m+ k( t  K1 p! p
  1. cd /usr/local/src
      l0 K5 x' t0 }* w
  2. wget <a href="ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz">ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz</a>& X+ F, j/ b& u: K( V, e4 Q
  3. wget <a href="http://zlib.net/zlib-1.2.8.tar.gz">http://zlib.net/zlib-1.2.8.tar.gz</a>" L! D" j& u$ q' u
  4. wget <a href="http://nginx.org/download/nginx-1.4.2.tar.gz">http://nginx.org/download/nginx-1.4.2.tar.gz</a>( n' e1 L& V% d7 |
  5. tar xf pcre-8.33.tar.gz
    8 f5 Y; v4 W# a- p! n- M% x) n5 U
  6. tar xf zlib-1.2.8.tar.gz
    # d( K4 E& [5 C4 S+ O
  7. #安装编译环境
    $ E" [6 e3 D2 S4 {2 p. j* s
复制代码

* R7 ], W, M0 T5 F* y6 y+ \
% Z: |. m3 Q6 D( Q& C! `/ t3 N! }* t  e apt-get install build-essential libtool -y
4 P3 q4 E/ O4 G9 v0 V#创建nginx用户
: I! T) }3 T& x) N. c2 Q2 l! S
( p" U$ x2 R, |9 g) T3 R所谓的unprivileged user, v+ ~& S0 n& |; G" o

' J% d# Y' z  C; X
  1. useradd -s /bin/false -r -M -d /nonexistent www
    / p1 c/ x: e; n
  2. #开始编译安装) u0 U- d( G% ~) F* K
  3. 5 f3 h8 _( G# Q
  4. /configure --with-pcre=/usr/local/src/pcre-8.33 --with-zlib=/usr/local/src/zlib-1.2.8 --user=www --group=www \
    " J1 ^3 s" n* n2 R1 a& e/ \
  5. --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module6 J' S" R5 [; U
  6. make- T! n& @% D/ }  D+ ~1 P& z0 E! e! X
  7. make install
    % ?: y/ R7 w0 f2 h& A& `
  8. #给文件夹授权
复制代码
. T$ @& U, _! S' \2 o$ t

" {1 J$ @7 f% [% z- a8 _3 V- Ichown -R www:www /usr/local/nginx
4 x) P. ?* L7 l; ?" m+ [" I& ]#修改配置文件
% M: M6 y. ?$ S9 l- L' @# pvim nginx.conf
% h: ~: U! ?) x. D
3 _+ u  C8 N7 m; J/ }1 m# o' n' s7 quser www www;5 ]* R+ c, z' G3 P
worker_processes 1;
7 U( `* W. v" Herror_log logs/error.log;8 q# {& r% D: z, P- l) }
pid logs/nginx.pid;
* C2 T8 w4 Q- yworker_rlimit_nofile 65535;) H+ }( X8 h' u. q: z, k, W* I
events {, ?( y7 k# C8 {! G
  use epoll;
4 @9 l  _6 }, z+ a- _1 Z; J  worker_connections 65535;" y$ F% i% c/ H
}
4 M" T1 D% [6 b' }' I* nhttp {
% G" B1 ^. K1 t+ A4 {  include mime.types;9 b. m- f5 y& Q. ], {
  default_type application/octet-stream;: ]$ I) J6 Y" s# p4 V
  include /usr/local/nginx/conf/reverse-proxy.conf;1 b# U9 h; G1 v; Q6 i  A
  sendfile on;
, `* b4 U1 T& r  keepalive_timeout 65;
4 Q3 D  l, g, l2 L) b  gzip on;
- O! j! C1 N, \5 O  client_max_body_size 50m; #缓冲区代理缓冲用户端请求的最大字节数,可以理解为保存到本地再传给用户/ N/ d" }5 u: Q
  client_body_buffer_size 256k;
: }4 `5 \: E+ N  client_header_timeout 3m;: x& U5 K& U8 }4 ~# {
  client_body_timeout 3m;0 ?- ]2 A# Q. |: Q
  send_timeout 3m;: K9 {  K! Z$ X3 k
  proxy_connect_timeout 300s; #nginx跟后端服务器连接超时时间(代理连接超时)
- x; l1 r( F9 Q1 a  proxy_read_timeout 300s; #连接成功后,后端服务器响应时间(代理接收超时)
" S9 }" Z7 V8 G3 z  o! X4 g  z8 S  proxy_send_timeout 300s;* }5 Q3 H, ~' v9 ?! |8 n! v/ J
  proxy_buffer_size 64k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小+ C" Y% _! i% ~- \: {, p* v+ W
  proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置; q8 |0 g& C& B$ `/ w7 A
  proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)
7 H- Q% r5 }4 c' p5 t! B  proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传递请求,而不缓冲到磁盘. d$ a1 f# n( u0 @* x
  proxy_ignore_client_abort on; #不允许代理端主动关闭连接
7 u& O  ]* O+ ?% b# I+ Y9 M5 {  server {# k4 G4 @; N! [* ?) X* P
    listen 80;+ z! B7 ^. H* W/ C; p) _
    server_name localhost;: N( D+ E# ~; A% Y# k
    location / {2 h: }5 _5 L1 |9 Y' F: H6 ]
      root html;
+ [7 _, I7 ]: ]' f& D0 b0 r: {      index index.html index.htm;
  E, i$ l, c$ M) j    }
9 r4 {4 A4 N! X+ `1 [. t; R  _3 Y    error_page 500 502 503 504 /50x.html;
) u" W" p4 }3 Q+ C7 A$ U; y    location = /50x.html {
7 q2 b5 v& M6 K$ q4 Q: W$ C) i      root html;4 {9 b, ^2 F! h" N! n4 x2 t
    }
# u( o+ V, r7 O& W1 ^6 W+ T  }
- s, f1 z8 h5 C6 K}
' i0 |1 X5 W" c" \; Y4 C: C8 z. V% n; v) i+ y7 a; F
编辑反向代理服务器配置文件:
% z- I. ^- k4 r# `
: r7 h$ k5 |0 fvim /usr/local/nginx/conf/reverse-proxy.conf. I# }0 \& x7 f: L

( \5 O/ n" x, q# ]/ Y& |0 lserver
! [0 X& B" _: T{
. S% J& I8 b' b/ \6 j; \/ n  listen 80;6 {# f; t5 @% M2 ^' L' m4 q
  server_name xxx123.tk;
1 |$ k9 w" z3 ?' k* R  Y  location / {+ v. `4 R, N, s
    proxy_redirect off;. A, N* p6 z: t: [$ s
    proxy_set_header Host $host;
" ^# X# D# z+ C6 V2 q$ j    proxy_set_header X-Real-IP $remote_addr;
4 [- R6 J2 {2 S    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;; y6 S7 a3 t% C  d  k% h* E
    proxy_pass http://192.168.10.38:3000;
. V' z; j) k4 q  }9 K' f' h( T8 Z0 A
  access_log logs/xxx123.tk_access.log;; T/ n2 [% ]! Y) Y4 d+ E2 f
}3 m2 \9 h) ?- r( F; `2 k6 I; D
  
4 ^2 u4 U8 g8 [3 J, h7 n/ rserver5 ]6 o5 ?/ L9 z) d" g- q* S) e
{9 t+ q& M2 E, w- s: t9 b5 \
  listen 80;
( f$ a& D: D( t3 H  server_name xxx456.tk;  S* ~8 O8 x9 y+ d  t9 Q" J& m2 R
  location / {" w* R6 ^6 Q) P
    proxy_redirect off;; h+ F5 Q, a9 e! |  l
    proxy_set_header Host $host;* k9 r9 v# A/ X8 y, j$ I4 w5 Z
    proxy_set_header X-Real-IP $remote_addr;# i- W$ s( `, d( O4 H$ U
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
5 _3 {. Y2 Q! q4 e; @. ]/ G" H0 ]    proxy_pass http://192.168.10.40:80;
8 I5 X6 ^- W8 h+ [' c  }
+ V6 w% K0 X+ U2 K. D4 p' v1 ~' A  access_log logs/xxx456.tk_access.log;  n3 S0 |, r$ h
}6 a# L% a8 Y7 e* i

6 q9 ~- ~. a% x: J# B* J5 `9 g然后重新加载nginx配置文件,使之修改生效,再把xxx123.tk域名指向公司静态IP,这样就成功的做到了在浏览器中输入xxx123.tk的时候访问的内网服务器192.168.10.38的3000端口,输入xxx456.tk访问192.168.10.40的80端口的作用。 如果想对后端机器做负载均衡,像下面这配置就可以把对nagios.xxx123.tk的请求分发给内网的131和132这两台机器做负载均衡了。2 ?7 |& X5 F$ o# ?
6 Z" ^! m* x" {9 L% w
upstream monitor_server {
8 Q% ~3 I# y5 r5 r% B  server 192.168.0.131:80;
# R& L, }" u! H5 M  Y: T/ w    server 192.168.0.132:80;
" Y+ C( Y* X& R}
/ C" r- p& s& Z' N2 L  
1 b. Y9 D  Y, p! Y7 A- Q" Yserver
6 x& Q$ U  t0 U/ d8 v( m+ y& s{
2 @7 E1 F% H1 R8 b% o  listen 80;
+ P4 z' l- |5 `1 V) y$ e/ J& N  server_name nagios.xxx123.tk;2 t2 {  G& ^3 B. o* k: \9 j
  location / {5 i; v7 y7 o, b; ?( N& _9 _# e. o8 K
    proxy_redirect off;
. F! K2 x) M' T, b+ H- h9 x$ v    proxy_set_header Host $host;
9 J7 |' O) x: z1 n" Z    proxy_set_header X-Real-IP $remote_addr;9 y+ o6 l) J/ {3 V, f9 ]
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
& O, R0 N/ Y* W* F    proxy_pass http://monitor_server;
) m, ^; j% u0 y  }3 T0 H0 c. `" ]; [/ r5 h* q+ r
  access_log logs/nagios.xxx123.tk_access.log;8 N' A5 {, {4 K4 q- {3 Y% d1 f
}  c% m( V( @. P% S* x2 F0 m; q; {7 k
+ O7 r8 ?" m* ?+ D; }+ M7 j
额,关于负载均衡和缓存就不多说了,这里只是要起到一个简单的“域名转发”功能。 另外,由于http请求最后都是由反向代理服务器传递给后段的机器,所以后端的机器原来的访问日志记录的访问IP都是反向代理服务器的IP。 要想能记录真实IP,需要修改后端机器的日志格式,这里假设后端也是一台nginx: 在后端配置文件里面加入这一段即可:; E+ c0 C4 ~9 m- |" t6 [
8 o* M3 I$ ^+ w8 U
log_format access '$HTTP_X_REAL_IP - $remote_user [$time_local] "$request" '! A. K2 ]8 D! a6 |- d: v. L% [
'$status $body_bytes_sent "$http_referer" '
& l: V+ F. ^9 k; v% |6 S! E'"$http_user_agent" $HTTP_X_Forwarded_For';/ ?+ v  l$ Y- C3 ?
  : O9 W3 O  [1 _  [) I, |$ V
access_log logs/access.log access;
* S  x+ u/ x  |$ z/ [6 C6 P- o, e7 ~) C# G: }  S
再看看原来日志的格式长什么样:! q% d- T5 ]3 F; {3 m! R0 `

' R$ C: t6 k# t: D) T' p1
% W3 b- e- W. V2
" Z' J8 |. V: M; M2 _3
4 O, x' i3 O! D5 d: V4% ?; i/ z) h/ Y
5
4 |4 R9 J9 H% Y4 J; Y. z#log_format main '$remote_addr - $remote_user [$time_local] "$request" '
7 l6 Q$ A9 m/ q! t. C9 U# '$status $body_bytes_sent "$http_referer" ': ^4 b: r1 j4 T4 w4 C1 ^. L
# '"$http_user_agent" "$http_x_forwarded_for"';/ z# F9 A9 F0 _
  / L1 j# e, S' C6 q
#access_log logs/access.log main;/ m& U" k8 k. J. Y7 ]: `
看出区别了吧   遇到的问题   之前没配置下面这段,访问时候偶尔会出现504 gateway timeout,由于偶尔出现,所以不太好排查4 v& Y' ^6 Q+ M8 d( i  K

2 t1 H$ |- m3 c: }+ \" N$ H- V8 i11 X/ l5 ^6 i  d! V
2$ ?2 E" |1 q5 q2 H
3
, k) i& ?: F0 Z. H4
8 ]+ C/ G  [' Z  F57 P: x0 O0 C9 ~6 N) f
6: b% H% G( A( w0 W
77 Z% B# u2 k: D& n( M* z6 }+ A9 t' Q
8
  h: {5 K  y% p$ y! v: [+ Jproxy_connect_timeout 300s;; q' ?: h& K1 R( F1 ^0 @
proxy_read_timeout 300s;
$ N8 @" K; }' \' u8 g0 K) L, G9 Dproxy_send_timeout 300s;$ H1 K) ~  y5 e6 z7 ]
proxy_buffer_size 64k;, n' U! w* }$ @
proxy_buffers 4 32k;9 _7 M7 a% G2 _0 D7 W4 j( Z
proxy_busy_buffers_size 64k;: _) G# b9 S& ]* H9 ?/ m
proxy_temp_file_write_size 64k;
# Q- V5 R1 n9 j  N& y  J$ wproxy_ignore_client_abort on;6 R- c' |* X/ Y0 Z
报错日志:0 L* U0 C" s& g% ^9 G) v

* U6 O. ^4 O  \6 ^0 }+ |...upstream timed out (110: Connection timed out) while reading response header from upstream, client: ...(后面的省略) 从日志看来是连接超时了,网上一通乱查之后估计可能是后端服务器响应超时了,本着大胆假设,小心求证的原则,既然假设了错误原因就要做实验重现错误:那就调整代理超时参数,反过来把代理超时阀值设小(比如1ms)看会不会次次出现504。后来发现把proxy_read_timeout 这个参数设置成1ms的时候,每次访问都出现504。于是把这个参数调大,加入上面那段配置,解决问题了。
; E$ k  J9 ?- i4 q, W7 u% ~' B7 z0 P, C
PS:关于域名转发9 Y% ]( S1 ]) i' n

* d, r1 [7 o! L3 u5 t9 F+ l所谓域名URL转发,是通过服务器的特殊设置,将访问您当前域名的用户引导到您指定的另一个网络地址。 地址转向(也可称“URL转发”)即将一个域名指向到另外一个已存在的站点,英文称为“ URL FORWARDING ”。域名指向可能这个站点原有的域名或网址是比较复杂难记的。 已经注册成功的域名,若初设或取消 URL 转发设置,一般均在 24-48 小时之内生效。对于原有已经设置成功的 URL 转发域名,如果修改 URL 转发的目标地址,则只需 1-2 个小时即可生效。 不隐藏路径 URL 转发:例如: http://b.com/ 指向 http://a.com/xxx/ (任意目录);当在浏览器地址栏中敲入 http://b.com/ 后回车, IE 浏览器的地址栏里显示的地址会由原来您敲入的 http://b.com/ 自动变为显示真正的目标地址 http://a.com/xxx/ ; 隐藏路径的 URL 转发:例如:先同上, IE 浏览器的地址栏里显示的地址保持不变,仍是 http://b.com/ ,但实际访问到的是 http://a.com/xxx/ 的内容。
& o) l. [7 t( _; I
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

GMT+8, 2026-7-19 17:40 , Processed in 0.077699 second(s), 19 queries .

Copyright © 2001-2026 Powered by cncml! X3.2. Theme By cncml!