nginx服务器代理(Nginx配置代理)

本文目录：

• 1、Nginx代理功能详解
• 2、如何运用Nginx搭建代理服务器？
• 3、Nginx 最全操作——nginx反向代理(5)
• 4、安全开发运维必备的Nginx代理Web服务器性能优化与安全加固配置
• 5、Nginx代理的概念
• 6、nginx如何配置代理

Nginx代理功能详解

Nginx的代理功能与负载均衡功能是最常被用到的，关于nginx的基本语法常识与配置已在上篇文章中有说明，这篇就开门见山，先描述一些关于代理功能的配置，再说明负载均衡详细。

Nginx代理服务的配置说明

1、上一篇中我们在http模块中有下面的配置，当代理遇到状态码为404时，我们把404页面导向百度。

然而这个配置，细心的朋友可以发现他并没有起作用。

如果我们想让他起作用，我们必须配合着下面的配置一起使用

2、如果我们的代理只允许接受get，post请求方法的一种

3、设置支持的http协议版本

4、如果你的nginx服务器给2台web服务器做代理，负载均衡算法采用轮询，那么当你的一台机器web程序iis关闭，也就是说web不能访问，那么nginx服务器分发请求还是会给这台不能访问的web服务器，如果这里的响应连接时间过长，就会导致客户端的页面一直在等待响应，对用户来说体验就打打折扣，这里我们怎么避免这样的情况发生呢。这里我配张图来说明下问题。

如果负载均衡中其中web2发生这样的情况，nginx首先会去web1请求，但是nginx在配置不当的情况下会继续分发请求道web2，然后等待web2响应，直到我们的响应时间超时，才会把请求重新分发给web1，这里的响应时间如果过长，用户等待的时间就会越长。

5、如果使用upstream指令配置啦一组服务器作为被代理服务器，服务器中的访问算法遵循配置的负载均衡规则，同时可以使用该指令配置在发生哪些异常情况时，将请求顺次交由下一组服务器处理。

6、如果你想通过http获取客户的真是ip而不是获取代理服务器的ip地址，那么要做如下的设置。

关于X-Forwarded-For与X-Real-IP的一些相关文章我推荐一位博友的： HTTP 请求头中的 X-Forwarded-For ，这位博友对http协议有一系列的文章阐述，推荐大家去关注下。

7、下面是我的一个关于代理配置的配置文件部分，仅供参考。

上一篇中我说啦nginx有哪些中负载均衡算法。这一结我就给如果操作配置的给大家做详细说明下。

首先给大家说下upstream这个配置的，这个配置是写一组被代理的服务器地址，然后配置负载均衡的算法。这里的被代理服务器地址有2中写法。

然后，就来点实战的东西。

1、热备：如果你有2台服务器，当一台服务器发生事故时，才启用第二台服务器给提供服务。服务器处理请求的顺序：AAAAAA突然A挂啦，BBBBBBBBBBBBBB.....

upstream mysvr { server 127.0.0.1:7878; server 192.168.10.121:3333 backup; #热备 }

2、轮询：nginx默认就是轮询其权重都默认为1，服务器处理请求的顺序：ABABABABAB....

upstream mysvr { server 127.0.0.1:7878; server 192.168.10.121:3333; }

3、加权轮询：跟据配置的权重的大小而分发给不同服务器不同数量的请求。如果不设置，则默认为1。下面服务器的请求顺序为：ABBABBABBABBABB....

upstream mysvr { server 127.0.0.1:7878 weight=1; server 192.168.10.121:3333 weight=2;}

4、ip_hash:nginx会让相同的客户端ip请求相同的服务器。

upstream mysvr { server 127.0.0.1:7878; server 192.168.10.121:3333; ip_hash; }

5、如果你对上面4种均衡算法不是很理解，那么麻烦您去看下我上一篇配的图片，可能会更加容易理解点。

到这里你是不是感觉nginx的负载均衡配置特别简单与强大，那么还没完，咱们继续哈，这里扯下蛋。

关于nginx负载均衡配置的几个状态参数讲解。

down，表示当前的server暂时不参与负载均衡。

backup，预留的备份机器。当其他所有的非backup机器出现故障或者忙的时候，才会请求backup机器，因此这台机器的压力最轻 。

max_fails，允许请求失败的次数，默认为1。当超过最大次数时，返回proxy_next_upstream 模块定义的错误。

fail_timeout，在经历了max_fails次失败后，暂停服务的时间。max_fails可以和fail_timeout一起使用。

到这里应该可以说nginx的内置负载均衡算法已经没有货啦。如果你像跟多更深入的了解nginx的负载均衡算法，nginx官方提供一些插件大家可以了解下。

如何运用Nginx搭建代理服务器？

如何实现Nginx的反向代理？

这句话什么意思？

意思是说当客户机来访问服务器的时候，服务器本身并不出面接待，而是将客户的请求转高给手下的子服务器（小弟）负责接待。

比如：你访问，其实并不时百度总服务器接待的你，而是百度的代理服务器接待的你，不过他们的服务是一样的，提供同样的页面；

如是搭建Nginx服务才能实现这样的效果呢？

搭建一个最简单，最基础nginx代理服务器，需要一台代理服务，两台子服务器，XX台客户机来作验证；

操作流程如下：

第一步、服务器和客户机配好IP地址，其中Nginx代理服务器需要配置两张网卡，两个IP地址，一个和客户机通信，一个和子服务器通信；

代理服务器与客户机和子服务器都分别配置同网段IP地址；

例如：

代理服务器：192.168.4.5    192.168.2.5

子服务器         :192.168.2.100    192.168.2.200

客户机    ：192.168.4.10

这样配置的好处是： 可以负载均衡，保障用户的访问体验，保障上网速度，同时也保障了，即便有一台服务器坏掉了，另一台服务可以接待用户访问；

第二步、代理服务器上安装Nginx服务软件，两台子服务器上安装HTTPD服务并写入相应的网页，然后启动服务；

yum  -y install  httpd        ##安装httpd服务；

echo  "罗贵"      /var/www/html/index.html       ##写一个简单的网页

./configure    --user=nginx    --group=nginx   --with-http_ssl_module

make     make   install     ##编译安装Nginx

第三步、修改Nginx的配置文件；

vim   /usr /local /nginx /conf /nginx.conf

http   {  ...............    ##在文件中找到http开头的行，并在http下面随意找两行添加下面两行的内容；

            upstream    luogui    {        ##luogui是集群名字，可以自由定义，upstream 上游的意思；翻译过来就是在上游建立一个名字为luogui的集群，集群中包含下述IP地址；

                      server   192.168.2.100:80;

                      server    192.168.2.200:80;

}

server    {

        listen        80;

        server_name   ;     ##域名，可以自由定义；

location   ^/.php$  {    ##匹配网页地址的意思，匹配以 / 开头.php结尾的网页文件；

        proxy_pass  ;        ##通过proxy代理服务器将用户的请求转发给luogui集群服务器；（注：优先级最高，系统会优先处理这条命令）

             }

                             }

第四步、测试效果；

firefox    或者  本地测试   curl  http：//192.168.4.5 

结果应该是暂停任何一台子服务器，客户机访问网页都没有问题；

以上.......

                                                    （EDN）

祝：开心！

罗贵

2019-04-05于深圳

Nginx 最全操作——nginx反向代理(5)

将 NGINX 配置为 HTTP 和其他协议的反向代理，支持修改请求标头和微调的响应缓冲。

本文介绍代理服务器的基本配置。您将学习如何通过不同的协议将请求从 NGINX 传递到代理服务器，修改发送到代理服务器的客户端请求标头，以及配置来自代理服务器的响应的缓冲。

代理通常用于在多个服务器之间分配负载，无缝显示来自不同网站的内容，或通过 HTTP 以外的协议将处理请求传递给应用程序服务器。

当 NGINX 代理请求时，它会将请求发送到指定的代理服务器，获取响应，然后将请求发送回客户端。可以使用指定的协议将请求代理到 HTTP 服务器（另一个 NGINX 服务器或任何其他服务器）或非 HTTP 服务器（可以运行使用特定框架开发的应用程序，例如 PHP 或 Python）。支持的协议包括FastCGI、uwsgi、SCGI和memcached。

要将请求传递给 HTTP 代理服务器，需要在location中指定proxy_pass指令。例如：

此示例配置导致将在此位置处理的所有请求传递到指定地址的代理服务器。此地址可以指定为域名或者 IP 地址。该地址还可能包括一个端口：

注意，在上面的第一个例子中，代理的服务器的地址后面是一个URI， /link/ 。如果 URI 与地址一起指定，它将替换请求 URI 中与 location 参数匹配的部分。例如，这里带有 /some/path/page.html URI的请求将被代理到 . 如果指定的地址没有问题 URI，或者无法确定要替换的 URI 部分，则传递完整的请求 URI（可能已修改）。

要将请求传递给非 HTTP 代理服务器， **_pass 应使用适当的指令：

请注意，在这些情况下，指定地址的规则可能不同。您可能还需要将其他参数传递给服务器（有关详细信息，请参阅参考文档）。

proxy_pass指令也可以指向一组命名的服务器。在这种情况下，请求根据指定的方法在组中的服务器之间分发。

默认情况下，NGINX 重新定义代理请求中的两个 header 字段，“Host”和“Connection”，并消除值为空字符串的 header 字段。“Host”设置为 $proxy_host 变量，“Connection”设置为 close 。

要更改这些设置以及修改其他标头字段，请使用proxy_set_header指令。该指令可以在某个位置或更高位置指定。它也可以在特定的服务器上下文或http块中指定。例如：

在此配置中，“主机”字段设置为$host变量。

要防止标头字段被传递到代理服务器，请将其设置为空字符串，如下所示：

默认情况下，NGINX 缓冲来自代理服务器的响应。响应存储在内部缓冲区中，并且在收到整个响应之前不会发送到客户端。缓冲有助于优化慢速客户端的性能，如果响应从 NGINX 同步传递到客户端，这可能会浪费代理服务器的时间。但是，当启用缓冲时，NGINX 允许代理服务器快速处理响应，而 NGINX 存储响应的时间与客户端下载它们所需的时间一样长。

负责启用和禁用缓冲的指令是proxy_buffering。默认情况下，它设置为 on 并启用缓冲器。

该proxy_buffers指令控制规模和分配的请求缓冲区的数目。来自代理服务器的响应的第一部分存储在单独的缓冲区中，其大小由proxy_buffer_size指令设置。这部分通常包含一个相对较小的响应头，并且可以做得比其余响应的缓冲区小。

在以下示例中，缓冲区的默认数量增加了，并且响应的第一部分的缓冲区大小小于默认值。

如果禁用缓冲，则在从代理服务器接收响应的同时将响应同步发送到客户端。对于需要尽快开始接收响应的快速交互客户端，此行为可能是可取的。

要在特定位置禁用缓冲，请将proxy_buffering指令放在带有参数的位置 off ，如下所示：

在这种情况下，NGINX 仅使用proxy_buffer_size配置的缓冲区来存储响应的当前部分。

反向代理的一个常见用途是提供负载平衡。阅读免费的选择软件负载均衡器的五个理由电子书，了解如何通过快速部署来提高功能、性能和专注于您的应用程序。

如果您的代理服务器有多个网络接口，有时您可能需要选择特定的源 IP 地址连接到代理服务器或上游。如果 NGINX 后面的代理服务器配置为接受来自特定 IP 网络或 IP 地址范围的连接，这可能很有用。

指定proxy_bind指令和必要网络接口的 IP 地址：

IP 地址也可以用变量指定。例如， $server_addr 变量传递接受请求的网络接口的 IP 地址：

简单来说，把百度首页代理到/test路径，同时把java代理到/testapi，配置如下:

参考链接：

欢迎大家提出不一样的观点，我们一起讨论，

我是辣个男人，一个运维人。

安全开发运维必备的Nginx代理Web服务器性能优化与安全加固配置

为了更好的指导部署与测试艺术升系统nginx网站服务器高性能同时下安全稳定运行,需要对nginx服务进行调优与加固;

本次进行Nginx服务调优加固主要从以下几个部分：

本文档仅供内部使用，禁止外传，帮助研发人员，运维人员对系统长期稳定的运行提供技术文档参考。

Nginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。Nginx作为负载均衡服务器, Nginx 既可以在内部直接支持 Rails 和 PHP 程序对外进行服务，也可以支持作为 HTTP代理服务器对外进行服务。

Nginx版本选择:

项目结构:

Nginx文档帮助:

Nginx首页地址目录: /usr/share/nginx/html

Nginx配置文件:

localtion 请求匹配的url实是一个正则表达式:

Nginx 匹配判断表达式:

例如,匹配末尾为如下后缀的静态并判断是否存在该文件, 如不存在则404。

查看可用模块编译参数：

http_gzip模块

开启gzip压缩输出(常常是大于1kb的静态文件)，减少网络传输;

http_fastcgi_module模块

nginx可以用来请求路由到FastCGI服务器运行应用程序由各种框架和PHP编程语言等。可以开启FastCGI的缓存功能以及将静态资源进行剥离，从而提高性能。

keepalive模块

长连接对性能有很大的影响，通过减少CPU和网络开销需要开启或关闭连接;

http_ssl_module模块

Nginx开启支持Https协议的SSL模块

Linux内核参数部分默认值不适合高并发,Linux内核调优，主要涉及到网络和文件系统、内存等的优化，

下面是我常用的内核调优配置：

文件描述符

文件描述符是操作系统资源，用于表示连接、打开的文件，以及其他信息。NGINX 每个连接可以使用两个文件描述符。

例如如果NGINX充当代理时，通常一个文件描述符表示客户端连接，另一个连接到代理服务器，如果开启了HTTP 保持连接，这个比例会更低（译注：为什么更低呢）。

对于有大量连接服务的系统，下面的设置可能需要调整一下：

精简模块:Nginx由于不断添加新的功能，附带的模块也越来越多,建议一般常用的服务器软件使用源码编译安装管理;

(1) 减小Nginx编译后的文件大小

(2) 指定GCC编译参数

修改GCC编译参数提高编译优化级别稳妥起见采用 -O2 这也是大多数软件编译推荐的优化级别。

GCC编译参数优化 [可选项] 总共提供了5级编译优化级别：

常用编译参数:

缓存和压缩与限制可以提高性能

NGINX的一些额外功能可用于提高Web应用的性能，调优的时候web应用不需要关掉但值得一提，因为它们的影响可能很重要。

简单示例:

1) 永久重定向

例如，配置 http 向 https 跳转 (永久)

nginx配置文件指令优化一览表

描述:Nginx因为安全配置不合适导致的安全问题,Nginx的默认配置中存在一些安全问题,例如版本号信息泄露、未配置使用SSL协议等。

对Nginx进行安全配置可以有效的防范一些常见安全问题，按照基线标准做好安全配置能够减少安全事件的发生,保证采用Nginx服务器系统应用安全运行;

Nginx安全配置项：

温馨提示: 在修改相应的源代码文件后需重新编译。

设置成功后验证:

应配置非root低权限用户来运行nginx服务,设置如下建立Nginx用户组和用户，采用user指令指运行用户

加固方法:

我们应该为提供的站点配置Secure Sockets Layer Protocol (SSL协议)，配置其是为了数据传输的安全，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

不应使用不安全SSLv2、SSLv3协议即以下和存在脆弱性的加密套件(ciphers), 我们应该使用较新的TLS协议也应该优于旧的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息发送者用来提高他们正在尝试推广的网站的互联网搜索引擎排名一种技术，如果他们的垃圾信息链接显示在访问日志中，并且这些日志被搜索引擎扫描，则会对网站排名产生不利影响

加固方法:

当恶意攻击者采用扫描器进行扫描时候利用use-agent判断是否是常用的工具扫描以及特定的版本,是则返回错误或者重定向;

Nginx支持webdav，虽然默认情况下不会编译。如果使用webdav，则应该在Nginx策略中禁用此规则。

加固方法: dav_methods 应设置为off

当访问一个特制的URL时，如"../nginx.status"，stub_status模块提供一个简短的Nginx服务器状态摘要,大多数情况下不应启用此模块。

加固方法：nginx.conf文件中stub_status不应设置为：on

如果在浏览器中出现Nginx自动生成的错误消息，默认情况下会包含Nginx的版本号,这些信息可以被攻击者用来帮助他们发现服务器的潜在漏洞

加固方法: 关闭"Server"响应头中输出的Nginx版本号将server_tokens应设置为：off

client_body_timeout设置请求体（request body）的读超时时间。仅当在一次readstep中，没有得到请求体，就会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout应设置为：10

client_header_timeout设置等待client发送一个请求头的超时时间（例如：GET / HTTP/1.1）。仅当在一次read中没有收到请求头，才会设为超时。超时后Nginx返回HTTP状态码408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout应设置为：10

keepalive_timeout设置与client的keep-alive连接超时时间。服务器将会在这个时间后关闭连接。

加固方法：nginx.conf文件中keepalive_timeout应设置为：55

send_timeout设置客户端的响应超时时间。这个设置不会用于整个转发器，而是在两次客户端读取操作之间。如果在这段时间内，客户端没有读取任何数据，Nginx就会关闭连接。

加固方法：nginx.conf文件中send_timeout应设置为：10

GET和POST是Internet上最常用的方法。Web服务器方法在RFC 2616中定义禁用不需要实现的可用方法。

加固方法:

limit_zone 配置项限制来自客户端的同时连接数。通过此模块可以从一个地址限制分配会话的同时连接数量或特殊情况。

加固方法：nginx.conf文件中limit_zone应设置为：slimits $binary_remote_addr 5m

该配置项控制一个会话同时连接的最大数量，即限制来自单个IP地址的连接数量。

加固方法：nginx.conf 文件中 limit_conn 应设置为: slimits 5

加固方法：

加固方法:

解决办法:

描述后端获取Proxy后的真实Client的IP获取需要安装--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))进行获取;

描述: 如果要使用geoip地区选择,我们需要再nginx编译时加入 --with-http_geoip_module 编译参数。

描述: 为了防止外部站点引用我们的静态资源，我们需要设置那些域名可以访问我们的静态资源。

描述: 下面收集了Web服务中常规的安全响应头, 它可以保证不受到某些攻击,建议在指定的 server{} 代码块进行配置。

描述: 为了防止某些未备案的域名或者恶意镜像站域名绑定到我们服务器上, 导致服务器被警告关停，将会对业务或者SEO排名以及企业形象造成影响，我们可以通过如下方式进行防范。

执行结果:

描述: 有时你的网站可能只需要被某一IP或者IP段的地址请求访问，那么非白名单中的地址访问将被阻止访问, 我们可以如下配置;

常用nginx配置文件解释：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模块实现这个合并文件的功能。

(2) PHP-FPM的优化

如果您高负载网站使用PHP-FPM管理FastCGI对于PHP-FPM的优化非常重要

(3) 配置Resin on Linux或者Windows为我们可以打开 resin-3.1.9/bin/httpd.sh 在不影响其他代码的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址:

Nginx代理的概念

Nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器；同时也是一个IMAP、POP3、SMTP代理服务器；nginx可以作为一个HTTP服务器进行网站的发布处理，另外nginx可以作为反向代理进行负载均衡的实现。

nginx的代理分为正向代理和反向代理,下面来简单介绍下这2中代理,后续的文章会讲解反向代理和负载均衡的使用

1.什么是代理

所谓的代理就是一个代表、渠道。代理又涉及到2个角色 被代理角色 和 目标角色 。比如用户去耐克专卖店买鞋，那么专卖店就是 代理 ， 被代理角色 是耐克厂家， 目标角色 就是用户

2.正向代理

假设我现在需要去访问facebook，但是由于墙的问题我无法访问。此时大家可能都会用一个操作FQ(番羽 土啬)进行访问，FQ的方式主要是找到一个可以访问国外网站的代理服务器，我们将请求发送给代理服务器，代理服务器去访问国外的网站，然后将访问到的数据传递给我们！

上述这样的代理模式称为正向代理，正向代理最大的特点是 客户端非常明确要访问的服务器地址 ；服务器只清楚请求来自哪个代理服务器，而不清楚来自哪个具体的客户端；正向代理模式 屏蔽或者隐藏了真实客户端信息 。

3.反向代理

明白了什么是正向代理，我们继续看关于反向代理的处理方式，举例如我大天朝的某宝网站，每天同时连接到网站的访问人数已经爆表，单个服务器远远不能满足人民日益增长的购买欲望了，此时就出现了一个大家耳熟能详的名词：分布式部署；也就是通过部署多台服务器来解决访问人数限制的问题；某宝网站中大部分功能也是直接使用nginx进行反向代理实现的

那么反向代理具体是通过什么样的方式实现的分布式的集群操作呢，我们先看一个示意图：

通过上述的图解大家就可以看清楚了，多个客户端给服务器发送的请求，nginx服务器接收到之后，按照一定的规则分发给了后端的业务处理服务器进行处理了。此时请求的来源也就是 客户端是明确 的，但是请求具体由哪台服务器处理的并不明确了，nginx扮演的就是一个反向代理角色

反向代理，主要用于服务器集群分布式部署的情况下，反向代理 隐藏了服务器 的信息！

nginx如何配置代理

nginx源码：

nginx官网：

... #全局块

events { #events块

...

}

http #http块

{

}

1、全局块：全局模块影响nginx的全局指令，一般有运行nginx服务器的用户，nginx进程pid存放路劲，日志存放路径，配置文件引入，允许生成worker，process数。

2、events块：配置影响nginx服务器或与用户的网络连接， ，有每个进程的最大连接数，选取哪种事件驱动模型处理连接请求，是否允许同时接受多个连接，开启多个网络连接序列化。

3、http块：可以嵌套多个server，配置代理，缓存

4、server块：配置虚拟主机参数，一个http中有多个server

5、location块：配置请求的路由。

########### 每个指令必须有分号结束。#################

error_log log/error.log debug; #制定日志路径，级别。这个设置可以放入全局块，http块，server块，级别以此为：

debug|info|notice|warn|error|crit|alert|emerg

events {

} http {

}

四、nginx的简单命令

五、配置解析

server {

1、location 支持配置项目的绝对路径

2、假设我们的后台API地址是以API开头，location ^~ /user/ 代表nginx将会拦截请求地址中包含"/user/"字样的请求，其实这就是我们的ajax请求路径，拦截到请求之后根据写法会分成两种情况把这个请求转发到 下面 proxy_pass 的地址上。

举个例子:

a、如上图，如果proxy_pass 的URL以 / 结尾 ，那么请求转发的时候 将 不会 带上 匹配到的 /api/ ，也就是说如果 登录请求 URL是 localhost:80/user/login，proxy_pass URL 是 ， Nginx将会 把这个请求转发成

b、如果proxy_pass 的URL不以 / 结尾 ，那么请求转发的时候 将 会带上 匹配到的 /user/ ，也就是说如果 登录请求 URL是 localhost:60001/user/login，proxy_pass URL 是 ， Nginx将会 把这个请求转发成

3、一般我们登录之后服务器会通过Set-Cookie把token写回到我们本地，如果不设置 proxy_cookie_path 的话，服务器Set-Cookie命令会失效，本地存不了cookie，从而导致token丢失。

这里proxy_cookie_path有一点需要注意的是 如果 proxy_pass URL 是 这种情况 proxy_cookie_path应该设置成 /platform/ / (注意两个斜杠之间有空格)。

如果 proxy_pass URL 是 这种情况 proxy_cookie_path应该设置成 / / (注意两个斜杠之间有空格)

语法规则：location [=| | *|^~] /uri/ { … }

【nginx服务器代理】的内容来源于互联网，如引用不当，请联系我们修改。