管理员
论坛积分
分
威望 点
贡献值 个
金币 枚
|
情景 由于公司内网有多台服务器的http服务要映射到公司外网静态IP,如果用路由的端口映射来做,就只能一台内网服务器的80端口映射到外网80端口,其他服务器的80端口只能映射到外网的非80端口。非80端口的映射在访问的时候要域名加上端口,比较麻烦。并且公司入口路由最多只能做20个端口映射。肯定以后不够用。 然后k兄就提议可以在内网搭建个nginx反向代理服务器,将nginx反向代理服务器的80映射到外网IP的80,这样指向到公司外网IP的域名的HTTP请求就会发送到nginx反向代理服务器,利用nginx反向代理将不同域名的请求转发给内网不同机器的端口,就起到了“根据域名自动转发到相应服务器的特定端口”的效果,而路由器的端口映射做到的只是“根据不同端口自动转发到相应服务器的特定端口”,真是喜大普奔啊。 涉及的知识:nginx编译安装,nginx反向代理基本配置,路由端口映射知识,还有网络域名等常识。 本次实验目标是做到:在浏览器中输入xxx123.tk能访问到内网机器192.168.10.38的3000端口,输入xxx456.tk能访问到内网机器192.168.10.40的80端口。 配置步骤 服务器ubuntu 12.04, E: Q! B8 Z* H4 n
; U; i3 K! o( m+ c K5 _
- ###更新仓库
+ v% d0 G+ n. D% g' n! F! Y - # A% }4 K# Y/ d1 T8 _: I/ X) S
- apt-get update -y- `* t, ` n7 f) |4 H
- apt-get install wget -y
: G; }7 f: P( i( V+ H - #下载nginx和相关软件包
8 k% Q6 p9 I) m* d( z2 @, [; R7 T
pcre是为了编译rewrite模块,zlib是为了支持gzip功能。额,这里nginx版本有点旧,因为我还要做升级nginx的实验用。大家可以装新版本。
1 U+ c7 d8 ^+ H- N, u, l8 e7 D, H G$ K4 j. V. F x! _7 @
- cd /usr/local/src9 g) G+ P0 a1 q; \9 E9 M' y
- wget <a href="ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz">ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.33.tar.gz</a>
; A! [& E9 l. v; f8 W, o2 L - wget <a href="http://zlib.net/zlib-1.2.8.tar.gz">http://zlib.net/zlib-1.2.8.tar.gz</a>9 `. Y( {6 U9 Y/ H) O8 S
- wget <a href="http://nginx.org/download/nginx-1.4.2.tar.gz">http://nginx.org/download/nginx-1.4.2.tar.gz</a>
& N: [, Q7 U! A3 c" R6 Z' g. O - tar xf pcre-8.33.tar.gz
* B% D, d" [+ i3 y - tar xf zlib-1.2.8.tar.gz
: I# }1 B4 J H) [* y; A - #安装编译环境+ m% ^( q+ j1 a! e% q
- `9 E- `, E9 |( W" ]3 ] & W5 o' w3 d, J
apt-get install build-essential libtool -y' \- x' @9 P9 i3 m) `6 Y5 ^
#创建nginx用户. r L' d/ g6 J, E: d8 D) ^0 f
- F0 e+ C* K2 p$ }9 C) P: P* a所谓的unprivileged user
3 Y) P: a: U. T& M% k) i1 y8 E9 c% |+ e; T2 U* H [* Y
- useradd -s /bin/false -r -M -d /nonexistent www. p8 t) E5 C2 w4 x! b2 h2 G
- #开始编译安装1 Y( L8 G6 v9 q' Y7 B: [" U4 q/ p
/ h1 m4 b5 U7 D7 l' B* @2 e- /configure --with-pcre=/usr/local/src/pcre-8.33 --with-zlib=/usr/local/src/zlib-1.2.8 --user=www --group=www \
; z$ ~6 j' \, ?, J4 q - --with-http_stub_status_module --with-http_ssl_module --with-http_realip_module8 g' v: F; q+ n1 f, Q+ H! n
- make
2 Z- Y/ r# x. g8 S+ H - make install1 ]) N1 x" p% @4 G3 u6 x" _
- #给文件夹授权
* q* r W2 o: J \chown -R www:www /usr/local/nginx
( U. H, M2 H* u% D+ q5 Z7 E+ u#修改配置文件2 i! X2 F+ A4 Y% H3 Z" C
vim nginx.conf) B! A1 {8 B1 U, s. t; ]
$ f! a$ E- }- d& A) m" s* z
user www www;
; E& C5 M c( i/ G) eworker_processes 1;
1 ~# k1 a0 j$ v7 O! terror_log logs/error.log;
, k; l8 O1 u9 ]pid logs/nginx.pid; X2 r0 [. ~6 U9 c. [& q0 X2 I
worker_rlimit_nofile 65535;* }; f/ v& |, I5 ~
events {
6 H$ X @9 ?6 A9 f w, R) _1 p$ q. W use epoll;
- q8 J0 f% ^0 Y. @ worker_connections 65535;
9 i/ o3 \5 h3 I2 f, _}
, [' _, \# K* Ehttp {
4 T r* o+ [, v9 Y0 B' V include mime.types;
# s# t( I$ J9 ? default_type application/octet-stream;
, F- p4 u1 N; K8 R include /usr/local/nginx/conf/reverse-proxy.conf;
0 ]# `5 P* P. A4 h, T, ]) K0 T sendfile on;' L; v( o* {& {/ [6 Q$ y$ }
keepalive_timeout 65;+ B% d4 l2 w7 s( |# ]
gzip on;' V7 Y b; ^* R
client_max_body_size 50m; #缓冲区代理缓冲用户端请求的最大字节数,可以理解为保存到本地再传给用户
8 v _/ Z$ h% g7 M( V client_body_buffer_size 256k;# j) r2 d* r) b) c6 x2 L" a
client_header_timeout 3m;
# {9 x6 S8 x2 D! F& F( @. p. A. g client_body_timeout 3m;
& J! U n+ u! M4 `7 }8 o; e send_timeout 3m;& A% v0 c$ P2 Z) B" s
proxy_connect_timeout 300s; #nginx跟后端服务器连接超时时间(代理连接超时)" V" ]& R2 j; j% N: \2 K
proxy_read_timeout 300s; #连接成功后,后端服务器响应时间(代理接收超时)/ h) ?) V1 W* {' T/ M/ h
proxy_send_timeout 300s;
) M5 F( d9 w" G( ^ proxy_buffer_size 64k; #设置代理服务器(nginx)保存用户头信息的缓冲区大小
! r! K7 `& H5 F9 f; k proxy_buffers 4 32k; #proxy_buffers缓冲区,网页平均在32k以下的话,这样设置/ A# w" D0 @' ^$ G3 ^
proxy_busy_buffers_size 64k; #高负荷下缓冲大小(proxy_buffers*2)/ V3 j; |+ V1 C7 N
proxy_temp_file_write_size 64k; #设定缓存文件夹大小,大于这个值,将从upstream服务器传递请求,而不缓冲到磁盘
* R6 l5 c: g" L: Q* K1 x proxy_ignore_client_abort on; #不允许代理端主动关闭连接
( g4 ]4 m5 P( J3 | server {
( ^/ w0 y+ l, ^2 Q2 o& P* B listen 80;& X+ N. t7 l/ B+ ~! ^6 s5 ^
server_name localhost;
' t: x! D9 }% {' g5 X% { location / {
7 h& A' f. `4 V0 I: O( l/ o root html;% Q6 E- e$ C) C" Y8 l! R
index index.html index.htm;+ D% V8 h0 F4 ]/ B! v
}
# u- n* H. J/ I6 X# I3 g error_page 500 502 503 504 /50x.html;
# G) I& |5 L# j- O location = /50x.html {( L5 _; u3 K- |6 \" ^
root html;
4 `& p+ O3 H( y; w/ z7 G }; N. H5 R2 `! K" B8 E' R, S
}
6 X8 \% l* @0 h1 v' }! L}6 D: O+ Z" I( q1 Q
8 K; F- O$ ~1 c
编辑反向代理服务器配置文件:
D7 I- B$ w7 e, E7 l& _3 m1 a+ G* f* Q! {; l1 J: K2 ]( K* M
vim /usr/local/nginx/conf/reverse-proxy.conf: Z, z8 q* v }- V' o" v* ?
* d. Y7 b. d6 c h% k
server
6 Y0 I: r1 E0 W$ C4 b* _{# r' `1 {, a( x5 s; {% N8 X
listen 80;6 O# h# H5 X1 K
server_name xxx123.tk;
2 O5 r& s. n/ h' E location / {& C- ?8 V1 D; U( W" U" W
proxy_redirect off;
$ w6 P5 f# v( ^& ~' f: A3 m Z U5 p proxy_set_header Host $host;
3 n! x- D9 r+ E4 o2 ^; j4 n6 D proxy_set_header X-Real-IP $remote_addr;
}. G( p, T- k" |, O proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;7 R! |. T7 s! g3 c o, E( @* r+ t
proxy_pass http://192.168.10.38:3000;2 d& J! b( }9 z4 ] {2 T
}
r. ^3 v/ h- p3 Y access_log logs/xxx123.tk_access.log;5 s i+ n, B j8 X
}
* h) a# _, p" G4 v4 a4 n" C
, f, L3 W, v8 i$ Aserver
% N0 A. T6 [1 \/ a, I{& `( j4 e7 ?) p& J
listen 80;
1 w6 @9 k1 k7 y2 ^" _' \3 P, G5 j: r server_name xxx456.tk;
* u8 X# L+ O; t/ n7 f5 Y0 @0 K location / {
8 u8 P& k* b3 z. _% p) U$ x4 N proxy_redirect off;3 T6 |* q3 b$ `" A
proxy_set_header Host $host; W' ?, |4 P6 l0 _; y* d$ ]" ]* W
proxy_set_header X-Real-IP $remote_addr;( S7 }$ ^+ r$ [+ O3 q
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
& d( d( x" e4 e. d proxy_pass http://192.168.10.40:80;
4 ^% Z( \1 S5 M }
6 V9 g5 m& d3 G+ x3 s, |* x! b access_log logs/xxx456.tk_access.log;4 W# a- j2 `/ `
}
) ~: t7 b* _' O( T1 |/ l
9 q- n' O6 i. \$ \- b+ H然后重新加载nginx配置文件,使之修改生效,再把xxx123.tk域名指向公司静态IP,这样就成功的做到了在浏览器中输入xxx123.tk的时候访问的内网服务器192.168.10.38的3000端口,输入xxx456.tk访问192.168.10.40的80端口的作用。 如果想对后端机器做负载均衡,像下面这配置就可以把对nagios.xxx123.tk的请求分发给内网的131和132这两台机器做负载均衡了。, _9 u8 P+ q/ i' O0 H- ^
* U9 Y0 `. {) M2 l) V& kupstream monitor_server {
- O4 G& e5 T4 i) ^( S server 192.168.0.131:80;0 _- D; Z5 K2 q
server 192.168.0.132:80;
$ J+ \2 F' z; v, Z! W$ Y/ z}
( S1 ]( ?, K( g0 e# P2 u + O" [% N" W# ?) N }
server; z9 t) P2 R/ k3 I# K
{) ?# m# K2 K' `9 m' k0 T( B$ E0 u% i% @
listen 80;% b3 B- J2 F+ z& k7 J( Y
server_name nagios.xxx123.tk;
S3 t/ k" Q' P1 Z location / {" ^/ C* X* Z. ~" ]( r
proxy_redirect off;
4 a4 n5 n; x) X$ S! I7 R proxy_set_header Host $host;
6 L/ H8 E9 N0 ]# Q4 S$ K: c proxy_set_header X-Real-IP $remote_addr;
1 B' o( C8 q* o- L* a proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; : y- }/ s# v" A9 g2 C: e
proxy_pass http://monitor_server;
" L/ Z1 Y+ `# _# J }
0 o1 [! U; I) m access_log logs/nagios.xxx123.tk_access.log;
6 o, T5 H6 @* F! S" o* H; O}7 ?" k3 T* J9 U) ?
: H/ F* z( a; s额,关于负载均衡和缓存就不多说了,这里只是要起到一个简单的“域名转发”功能。 另外,由于http请求最后都是由反向代理服务器传递给后段的机器,所以后端的机器原来的访问日志记录的访问IP都是反向代理服务器的IP。 要想能记录真实IP,需要修改后端机器的日志格式,这里假设后端也是一台nginx: 在后端配置文件里面加入这一段即可:
, j* E: u6 K& E5 E! Z4 i
+ n/ v3 f0 W9 C& jlog_format access '$HTTP_X_REAL_IP - $remote_user [$time_local] "$request" '" g3 v2 {- Q% G X* N/ z
'$status $body_bytes_sent "$http_referer" '
. T' C, a2 C- o'"$http_user_agent" $HTTP_X_Forwarded_For';/ J+ u4 D; A: V" q
8 ~3 V: O9 R2 {% j& S6 [
access_log logs/access.log access;* v+ P* g+ s4 F! j9 t+ j$ c
0 F9 y3 T$ y' T2 s* b# L7 J* U' p
再看看原来日志的格式长什么样:
3 O p% i% a C) b0 p( w z
% ^" m, ?0 r2 v% ?( S( ^0 C1
' a3 N! ~2 e, d' _$ q& [ V2' Q. T2 x* b! ^, t; \, w- R
3$ t$ \4 x' R; O0 y* F4 H1 A) \
4( X+ [; W8 r& E9 [
5
. R1 {( y! n4 A#log_format main '$remote_addr - $remote_user [$time_local] "$request" '$ ]" I7 f1 h% j" p, J
# '$status $body_bytes_sent "$http_referer" '
5 j) {! b6 E u. P- @. w# '"$http_user_agent" "$http_x_forwarded_for"';& d/ d5 G1 Q6 z9 v6 i* Y9 N
9 h6 |9 W. N9 N# C* { f/ O#access_log logs/access.log main;6 P; s0 j1 S6 `1 X. I. Z" F
看出区别了吧 遇到的问题 之前没配置下面这段,访问时候偶尔会出现504 gateway timeout,由于偶尔出现,所以不太好排查
# t9 y) T8 \# J7 C& \( c& f+ R/ t
4 {) { Q, I. z6 T) Y12 Q; G4 G7 u9 U
2 v0 r q9 P% L% G. A
3" I; h0 }; ?0 \# u' F: I1 m
4
' b% n5 N. Q$ P% Y5/ b) H* f8 h: \3 k! e
6
1 M4 |1 s' e+ S+ `3 m. g9 U7 T7/ k2 k# ?1 ?) g' k3 B0 ~. @0 Q$ `
8
2 E. @7 S @4 I; M- D: c/ Jproxy_connect_timeout 300s;
) q& U0 @/ ^3 j" \proxy_read_timeout 300s;$ B( P3 I' x7 n) ]$ u
proxy_send_timeout 300s;
[% Z4 V/ g( H$ Pproxy_buffer_size 64k;
& L+ `) c# `- O1 p8 f: ]8 kproxy_buffers 4 32k;" s4 w) a, `' A" y5 d
proxy_busy_buffers_size 64k;
4 }7 Z" m' l6 u( ~4 Cproxy_temp_file_write_size 64k;; ~" y/ ]4 e3 v. N* h+ |$ e
proxy_ignore_client_abort on;
; X. [6 D" x1 f1 I报错日志:
8 r: M2 v: v( c
L3 [) z. ]! f+ A7 k...upstream timed out (110: Connection timed out) while reading response header from upstream, client: ...(后面的省略) 从日志看来是连接超时了,网上一通乱查之后估计可能是后端服务器响应超时了,本着大胆假设,小心求证的原则,既然假设了错误原因就要做实验重现错误:那就调整代理超时参数,反过来把代理超时阀值设小(比如1ms)看会不会次次出现504。后来发现把proxy_read_timeout 这个参数设置成1ms的时候,每次访问都出现504。于是把这个参数调大,加入上面那段配置,解决问题了。
0 X; C/ O/ h# b/ N; x0 R* b( X5 Z* A! u/ @1 M2 y) _
PS:关于域名转发5 }0 t5 X) x) Q$ C. Z( _
4 U" P" t: N* _
所谓域名URL转发,是通过服务器的特殊设置,将访问您当前域名的用户引导到您指定的另一个网络地址。 地址转向(也可称“URL转发”)即将一个域名指向到另外一个已存在的站点,英文称为“ URL FORWARDING ”。域名指向可能这个站点原有的域名或网址是比较复杂难记的。 已经注册成功的域名,若初设或取消 URL 转发设置,一般均在 24-48 小时之内生效。对于原有已经设置成功的 URL 转发域名,如果修改 URL 转发的目标地址,则只需 1-2 个小时即可生效。 不隐藏路径 URL 转发:例如: http://b.com/ 指向 http://a.com/xxx/ (任意目录);当在浏览器地址栏中敲入 http://b.com/ 后回车, IE 浏览器的地址栏里显示的地址会由原来您敲入的 http://b.com/ 自动变为显示真正的目标地址 http://a.com/xxx/ ; 隐藏路径的 URL 转发:例如:先同上, IE 浏览器的地址栏里显示的地址保持不变,仍是 http://b.com/ ,但实际访问到的是 http://a.com/xxx/ 的内容。4 \) g0 u5 H* Y. s7 ]. ~6 y
|
|
发表于 2020-2-25 04:54:09
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
支持
反对
置顶卡
变色卡
千斤顶
