4.48/4.49 nginx反向代理
在计算机网络中,反向代理是代理服务器的一种。服务器根据客户端的请求,从其关系的一组或多组后端服务器(如Web服务器)上获取资源,然后再将这些资源返回给客户端,客户端只会得知反向代理的IP地址,而不知道在代理服务器后面的服务器簇的存在。
反向代理是作为服务器端(如Web服务器)的代理使用,而不是客户端。反向代理是供很多客户端都通过它间接访问不同后端服务器上的资源,而不需要知道这些后端服务器的存在,而以为所有资源都来自于这个反向代理服务器。
例如:
有A(用户)要访问C(服务器),而C只有内网IP,但B(服务器)和C在同一个机房,既有内网IP,也有公网IP;
测试:
- 为虚拟机rice02增加一块网卡,网络模式选择“仅主机模式”(内网),然后开启虚拟机为新增网卡配置网络:
[root@rice02 ~]# ifconfig
ens37: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.49.128 netmask 255.255.255.0 broadcast 192.168.49.255
inet6 fe80::7ead:3caf:104a:6894 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:eb:35:31 txqueuelen 1000 (Ethernet)
RX packets 1 bytes 342 (342.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14 bytes 1364 (1.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
// ens37为新增网卡,IP为192.168.49.128
[root@rice02 ~]# cd /etc/sysconfig/network-scripts/
[root@rice02 network-scripts]# cp ifcfg-ens33 ifcfg-ens37
[root@rice02 network-scripts]# vi ifcfg-ens37
NAME=ens37
DEVICE=ens37
IPADDR=192.168.49.128 // 设置内网IP
// 同时需要删除GATEWAY和DNS
[root@rice02 network-scripts]# systemctl restart network
- 场景设置:结合前面的“例如”,当前环境下的C只有内网IP(192.168.142.131),B有内网IP(192.168.142.132)和公网IP(192.168.49.128),C只能访问到B的公网IP,不能访问A或者B的内网IP,需要通过反向代理使A能访问到C的内网上的网站:
[root@rice02 conf.d]# vi bbs.riceyoung.com.conf
// 增加以下location内容:
server
{
listen 80;
server_name bbs.riceyoung.com; // 设置域名为bbs.riceyoung.com
location /
{
proxy_pass http://192.168.142.131; // 设置网站真实服务器地址
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
[root@rice02 conf.d]# nginx -t && nginx -s reload
[root@rice02 conf.d]# firewall-cmd --add-port=80/tcp --permanent // 让防火墙放行80端口
success
[root@rice02 conf.d]# firewall-cmd --reload
success
[root@rice02 conf.d]# iptables -nvL |grep 80 // 查看80端口是否放行
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ctstate NEW
修改本地hosts,将bbs.riceyoung.com指向192.168.49.128,然后打开浏览器访问bbs.riceyoung.com仍然可以访问成功。
4.50 nginx负载均衡
网站的访问量越来越大,服务器的服务模式也得进行相应的升级,比如分离出数据库服务器、分离出图片作为单独服务,这些是简单的数据的负载均衡,将压力分散到不同的机器上。如果来自web前端的压力太大,那么怎样将同一个域名的访问分散到两台或更多的机器上呢?这其实就是另一种负载均衡了,nginx自身就可以做到,nginx不单可以作为强大的web服务器,也可以作为一个反向代理服务器,而且nginx还可以按照调度规则实现动态、静态页面的分离,可以按照轮询、ip_hash、URL_hash、权重等多种方式对后端服务器做负载均衡,同时还支持后端服务器的健康检查。
nginx 的 upstream目前支持 4 种方式的分配:
1)、轮询(默认)
每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除。
2)、weight
指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况。
2)、ip_hash
每个请求按访问ip的hash结果分配,这样每个访客固定访问一个后端服务器,可以解决session的问题。
3)、fair(第三方)
按后端服务器的响应时间来分配请求,响应时间短的优先分配。
4)、url_hash(第三方)
实践:
[root@rice02 conf.d]# vi apelearn.com.conf
// 增加以下内容:
upstream apelearn
{
ip_hash;
server 115.159.51.96:80 weight=100;
server 47.104.7.242:80;
}
// 定义upstream,从后端以下两台服务器中选取其中一台进行交互,使用ip_hash使每个访客固定访问一个后端服务器,weight为权重比率,默认为1,100为最大,0为最小,值越大权重越大
server
{
listen 80;
server_name www.apelearn.com;
location /
{
proxy_pass http://apelearn; // 定义代理转发
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
[root@rice02 conf.d]# nginx -t && nginx -s reload
修改本地hosts,将www.apelearn.com指向192.168.49.128,然后打开浏览器访问www.apelearn.com仍然可以访问成功。
注意:
nginx中的ip_hash技术能够将某个ip的请求定向到同一台后端,这样一来这个ip下的某个客户端和某个后端就能建立起稳固的session,但是因为仅仅能用ip这个因子来分配后端,因此ip_hash是有缺陷的,不能在一些情况下使用:
1. nginx不是最前端的服务器。ip_hash要求nginx一定是最前端的服务器,否则nginx得不到正确ip,就不能根据ip作hash。譬如使用的是squid为最前端,那么nginx取ip时只能得到squid的服务器ip地址,用这个地址来作分流是肯定错乱的。
2. nginx的后端还有其它方式的负载均衡。假如nginx后端又有其它负载均衡,将请求又通过另外的方式分流了,那么某个客户端的请求肯定不能定位到同一台session应用服务器上。这么算起来,nginx后端只能直接指向应用服务器,或者再搭一个squid,然后指向应用服务器。最好的办法是用location作一次分流,将需要session的部分请求通过ip_hash分流,剩下的走其它后端去。