您好,登錄后才能下訂單哦!
本文小編為大家詳細介紹“nginx中怎么配置使用proxy protocol協(xié)議”,內(nèi)容詳細,步驟清晰,細節(jié)處理妥當,希望這篇“nginx中怎么配置使用proxy protocol協(xié)議”文章能幫助大家解決疑惑,下面跟著小編的思路慢慢深入,一起來學習新知識吧。
我們知道nginx是一個web服務器和代理服務器,它一般工作在proxy server或者負載均衡軟件(Haproxy,Amazon Elastic Load Balancer (ELB)的后面。
客戶端首先請求proxy server或者LSB負載均衡軟件,然后再到nginx進行真實的web訪問。
因為經(jīng)過了多層軟件,所以客戶端的一些信息比如ip地址,端口號等可能就會被隱藏,這對于我們問題分析,數(shù)據(jù)統(tǒng)計都是不利的。因為對于nginx來說,我們希望能夠獲得真實的客戶端IP地址,這樣才能獲取真實的請求環(huán)境。
這種情況下就需要用到PROXY protocol了。
如果前面所說的proxy或者LSB都實現(xiàn)了PROXY protocol協(xié)議的話,不管是HTTP, SSL, HTTP/2, SPDY, WebSocket 還是 TCP協(xié)議,nginx都可以拿到客戶端的原始IP地址,從而根據(jù)原始IP地址進行一些特殊的操作,比如屏蔽惡意IP的訪問,根據(jù)IP不同展示不同的語言或者頁面,或者更加簡單的日志記錄和統(tǒng)計等,都非常有效。
當然,如果想要支持PROXY protocol,對nginx的版本也是有要求的,具體版本需求如下:
想要支持PROXY protocol v2,需要NGINX Plus R16或者NGINX Open Source 1.13.11。
想要支持ROXY protocol for HTTP,需要NGINX Plus R3或者NGINX Open Source 1.5.12。
想要支持TCP client?side PROXY protocol,需要NGINX Plus R7或者 NGINX Open Source 1.9.3。
想要支持PROXY protocol for TCP,需要NGINX Plus R11 或者 NGINX Open Source 1.11.4。
在nginx中可以通過下面的變量來獲得對應的客戶端信息,具體而言如下所示:
$proxy_protocol_addr和$proxy_protocol_port 分別表示的是原始客戶端的IP地址和端口號。
$remote_addr 和 $remote_port表示的是load balancer的的IP地址和端口。
如果你使用了RealIP擴展模塊,那么這個模塊會重寫$remote_addr 和 $remote_port這兩個值,將其替換成原始客戶端的IP地址和端口號。
然后使用$realip_remote_addr 和 $realip_remote_port來表示load balancer的的IP地址和端口。
在RealIP擴展模塊中,$proxy_protocol_addr和$proxy_protocol_port 表示的含義不變,還是原始客戶端的IP地址和端口號。
上面我們提到了nginx中proxy protocol的基本應用,下面來講一下如何在nginx中進行具體的配置。
如果你的nginx已經(jīng)是支持proxy protocol的版本,那么啟用proxy protocol非常簡單,只需要在server中的listen中添加proxy_protocol即可,如下所示:
http { #... server { listen 80 proxy_protocol; listen 443 ssl proxy_protocol; #... } } stream { #... server { listen 112233 proxy_protocol; #... } }
可能大家比較熟悉的是http block,這表示的是nginx對http/https的支持。stream模塊可能大家比較陌生,這是nginx提供的對tcp/udp協(xié)議的支持。
通過上面的配置,nginx可以實現(xiàn)在tcp/udp協(xié)議和http/https協(xié)議同時支持proxy protocol。
Real?IP modules是nginx自帶的一個模塊,可以通過下面的命令來查看nginx是否有安裝real-ip模塊:
nginx -V 2>&1 | grep -- 'http_realip_module' nginx -V 2>&1 | grep -- 'stream_realip_module'
如果你當前使用的版本沒有real ip,也不要急,這時候你可能需要從源代碼進行編譯。
在編譯的過程中,我們需要執(zhí)行一個configure命令,在這個configure命令中可以指定要開啟的功能,比如stream或者http_ssl_module:
$ ./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-pcre=../pcre-8.44 --with-zlib=../zlib-1.2.11 --with-http_ssl_module --with-stream --with-mail
如果要開啟real-ip功能,則可以添加:
--with-http_realip_module
如果nginx是運行在SLB或者proxy之后的,那么可以通過set_real_ip_from命令來指定代理或者負載均衡服務器的IP范圍,如下所示:
server { #... set_real_ip_from 192.168.1.0/24; #... }
然后我們需要將proxy或者SLB的IP地址替換成為真實客戶端的地址,那么可以這樣使用:
http { server { #... real_ip_header proxy_protocol; } }
不管是http還是stream block,都可能遇到請求向后續(xù)的upstream進行轉(zhuǎn)發(fā)的情況,對于upstream來說,他們希望收到的是真實客戶端IP地址,而不是proxy或者slb的地址,那么可以通過下面的設置來解決:
http { proxy_set_header X-Real-IP $proxy_protocol_addr; proxy_set_header X-Forwarded-For $proxy_protocol_addr; }
stream { server { listen 12345; proxy_pass example.com:12345; proxy_protocol on; } }
http和stream的設置方式是不同的。
日志是一個非常重要的功能,對于定位問題,執(zhí)行數(shù)據(jù)統(tǒng)計分析都非常有用,當然我們需要的是真實的客戶端IP地址。
我們可以通過使用變量$proxy_protocol_addr在http和stream block中記錄對應的日志,如下所示:
http { #... log_format combined '$proxy_protocol_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent"'; }
stream { #... log_format basic '$proxy_protocol_addr - $remote_user [$time_local] ' '$protocol $status $bytes_sent $bytes_received ' '$session_time'; }
讀到這里,這篇“nginx中怎么配置使用proxy protocol協(xié)議”文章已經(jīng)介紹完畢,想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會,如果想了解更多相關內(nèi)容的文章,歡迎關注億速云行業(yè)資訊頻道。
免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內(nèi)容。