您好,登錄后才能下訂單哦!
Nginx負(fù)載均衡
當(dāng)用戶訪問(wèn)nginx定制好的域名時(shí),nginx通過(guò)轉(zhuǎn)發(fā)到幾臺(tái)真實(shí)的站點(diǎn),通過(guò)upstream實(shí)現(xiàn)
[root@centos7 vhost]# vim /usr/local/nginx/conf/vhost/load.conf upstream www.tt.com #自定義域名 { # ip_ash; #保證同一個(gè)用戶始終保持在同一臺(tái)機(jī)器上,即當(dāng)域名指向多個(gè)IP時(shí),保證每個(gè)用戶始終解析到同一IP server 192.168.3.74:80; server 192.168.3.83:80; #指定web服務(wù)器的IP } server { listen 80; server_name www.tt.com; location / { proxy_pass http://tt.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
ssl原理
SSL(Secure Sockets Layer 安全套接層)協(xié)議,及其繼任者TLS(Transport Layer Security傳輸層安全)協(xié)議,是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。
瀏覽器發(fā)送一個(gè)https的請(qǐng)求給服務(wù)器;
服務(wù)器要有一套數(shù)字證書(shū),可以自己制作,也可以向組織申請(qǐng),區(qū)別就是自己頒發(fā)的證書(shū)需要客戶端驗(yàn)證通過(guò),才可以繼續(xù)訪問(wèn),而使用受信任的公司申請(qǐng)的證書(shū)則不會(huì)彈出>提示頁(yè)面,這套證書(shū)其實(shí)就是一對(duì)公鑰和私鑰;
服務(wù)器會(huì)把公鑰傳輸給客戶端;
客戶端(瀏覽器)收到公鑰后,會(huì)驗(yàn)證其是否合法有效,無(wú)效會(huì)有警告提醒,有效則會(huì)生成一串隨機(jī)數(shù),并用收到的公鑰加密;
客戶端把加密后的隨機(jī)字符串傳輸給服務(wù)器;
服務(wù)器收到加密隨機(jī)字符串后,先用私鑰解密(公鑰加密,私鑰解密),獲取到這一串隨機(jī)數(shù)后,再用這串隨機(jī)字符串加密傳輸?shù)臄?shù)據(jù)(該加密為對(duì)稱加密,所謂對(duì)稱加密,就是將數(shù)據(jù)和私鑰也就是這個(gè)隨機(jī)字符串>通過(guò)某種算法混合在一起,這樣除非知道私鑰,否則無(wú)法獲取數(shù)據(jù)內(nèi)容);
服務(wù)器把加密后的數(shù)據(jù)傳輸給客戶端;
客戶端收到數(shù)據(jù)后,再用自己的私鑰也就是那個(gè)隨機(jī)字符串解密;
頒發(fā)的 證書(shū)必須得瀏覽器廠商認(rèn)可的。
生成ssl密鑰對(duì)
首先對(duì)讓nginx支持ssl模塊
1、
[root@centos7 nginx-1.12.1]# cd /data/package/nginx-1.12.1
2、
[root@centos7 nginx-1.12.1]# ./configure --prefix=/usr/local/nginx --with-http_ssl_module
3、
make
4、
make install
正式操作:
1、
[root@centos7 vhost]# cd /usr/local/nginx/conf/
2、輸入密碼
[root@centos7 conf]# openssl genrsa -des3 -out tmp.key 2048
3、轉(zhuǎn)換key,取消密碼:
[root@centos7 conf]# openssl rsa -in tmp.key -out testssl.key Enter pass phrase for tmp.key: 輸入第2步的密碼
4、刪除密鑰文件:
[root@centos7 conf]# rm -f tmp.key
5、生成證書(shū)請(qǐng)求文件
需要拿這個(gè)文件和私鑰一起生產(chǎn)公鑰文件:
[root@centos7 conf]# openssl req -new -key testssl.key -out testssl.csr Country Name (2 letter code) [XX]:CN State or Province Name (full name) []:GD Locality Name (eg, city) [Default City]:GZ Organization Name (eg, company) [Default Company Ltd]:FC Organizational Unit Name (eg, section) []:FC Common Name (eg, your name or your server's hostname) []:testssl Email Address []:admin@admin.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:123456 An optional company name []:123456
6、
[root@centos7 conf]# ls testssl.* testssl.csr testssl.key
7、創(chuàng)建公鑰
[root@centos7 conf]# openssl x509 -req -days 365 -in testssl.csr -signkey testssl.key -out testssl.crt Signature ok subject=/C=CN/ST=GD/L=GZ/O=FC/OU=FC/CN=testssl/emailAddress=admin@admin.com Getting Private key You have new mail in /var/spool/mail/root [root@centos7 conf]# ls testssl.* testssl.crt testssl.csr testssl.key
8、nginx配置ssl
[root@centos7 vhost]# vi ssl.conf server { listen 443; server_name testssl.com; index index.html index.php; root /data/wwwroot/ssl.com; ssl on; #開(kāi)啟ssl ssl_certificate testssl.crt; #配置公鑰 ssl_certificate_key testssl.key; #配置私鑰 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #配置協(xié)議 }
9、
[root@centos7 vhost]# /etc/init.d/nginx restart
10、
[root@centos7 vhost]# netstat -nutlp| grep 443 tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 7703/nginx: master
驗(yàn)證:
由于自己申請(qǐng)的sll沒(méi)有得到瀏覽器的認(rèn)可,所以被標(biāo)識(shí)為不安全??梢栽L問(wèn)
另外,關(guān)于阿里云的負(fù)載均衡配置可參考其官方說(shuō)明文檔:https://help.aliyun.com/document_detail/27552.html
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。