[Arquitectura del sitio web] Configuración de proxy Nginx de 4 capas y 7 capas, explicación detallada del proxy directo y el proxy inverso

News 2023-06-25 03:55:10 views: null

Hola a todos y bienvenidos al canal Stop Refactoring.

En este número hablaremos de los proxies web .

Como se mencionó en la edición anterior de "Seguridad de sitios web grandes", por el bien de la seguridad de la red, generalmente los sitios web grandes necesitan aislar el área de la red para evitar que los atacantes controlen directamente el servidor.

La aplicación y la base de datos del sistema del sitio web se colocarán en esta área de seguridad de la red . Esto crea un problema de proxy .

Las solicitudes de red externa deben ingresar y las llamadas de servicio de terceros deben salir. En esta entrega discutimos el problema de la agencia en detalle, y lo discutimos en este orden:

1. Proxy inverso, entran solicitudes de red externa 

2. Reenviar proxy, solicitando servicios de red externos 

Proxy inverso, recibiendo solicitudes de red externa

Las solicitudes de red externa deben pasar por la puerta de enlace unificada para invertir el proxy en la zona de aislamiento de la red. La puerta de enlace puede ser un servicio de equilibrio de carga o un software de servicio como Nginx.

 

Si es Nginx, la configuración del proxy inverso es así.

 

Lo que debe explicarse aquí es que si la solicitud de red externa es https , entonces no es necesario que todos los servicios de todo el sistema del sitio web sean https, solo es necesario asegurarse de que https esté configurado en la capa de puerta de enlace , y el Las llamadas internas del sistema todavía usan http .

Si se utilizan servicios en la nube, como el balanceo de carga, solo es necesario configurar https en el servicio de balanceo de carga, y la llamada del sistema del sitio web sigue siendo http, porque no hay ningún beneficio en usar la comunicación https dentro del sistema del sitio web, pero reducirá el rendimiento.

 

Reenviar proxy, llamando a servicios de red externos

A veces, el sistema del sitio web necesita llamar a servicios de terceros, y el sistema del sitio web súper grande separará varias áreas de aislamiento de la red, y la copia de seguridad de recuperación ante desastres debe ser respaldada por el área de aislamiento de la red.

En los escenarios anteriores, el sistema del sitio web tiene que llamar a un servidor fuera de la zona de aislamiento de la red. En este momento, necesita reenviar el proxy al servidor de destino a través del mismo servidor proxy .

 

El proxy de reenvío puede usar Nginx como software de servicio. Generalmente hay dos formas de proxy de reenvío, una es el proxy de 7 capas y la otra es el proxy de 4 capas.

El modelo de capas de red generalmente se divide en 7 capas de acuerdo con el modelo OSI.

La séptima capa es la capa de aplicación , que es el HTTP, HTTPS, RTMP, SMTP y otros protocolos comúnmente escuchados.

La cuarta capa es la capa de transporte , es decir, protocolos básicos como TCP y UDP.

El agente de capa 7 y el agente de capa 4 correspondientes son las dos capas de red correspondientes.

Si está utilizando un proxy de capa 7 , la configuración de Nginx es así.

Esta configuración es coherente con la configuración de proxy inverso anterior y puede enviar proxy a varios servidores de destino haciendo coincidir las palabras clave de URL.

El sistema del sitio web llama al servicio de red externo y necesita apuntar la IP/puerto al servidor proxy . Por supuesto, recomendamos usar la llamada de nombre de dominio, y la llamada se puede dirigir al servidor proxy modificando el archivo de host del servidor.

Por supuesto, además de modificar el apuntamiento de IP, también puede configurar http_proxy, https_proxy y otros parámetros para configurar el proxy, pero este método no se recomienda, porque no es muy bueno de administrar.

La otra es que la configuración Nginx del proxy de 4 capas es así, pero un puerto debe corresponder a un servidor de destino , y el sistema del sitio web llama a los servicios de red externos y también debe apuntar la IP/puerto al servidor proxy.

Y debido a que el proxy de capa 4 se basa en los protocolos básicos de TCP/UDP, las solicitudes basadas en TCP, como HTTP y RTMP, pueden compartir un puerto de proxy .

 

Por supuesto, la configuración del proxy de capa 4 es más complicada que la del proxy de capa 7, ya que requiere un puerto correspondiente a un servidor de destino.

Pero recomendamos el proxy de capa 4 más .

Una es que el rendimiento y la estabilidad serán relativamente altos, y la otra es una mejor administración.Dado que un puerto corresponde a un servicio de red externo de destino, si hay algunos problemas inesperados, puede cerrar directamente el puerto correspondiente en el servidor proxy para desconectarse Especifique inmediatamente el servicio de red externo sin afectar la llamada de otros servicios de red externos.

Resumir

En este número, hablamos sobre el esquema de proxy del sistema del sitio web, que en realidad es uno de los contenidos del número anterior sobre la seguridad del sistema del sitio web.Este número lo analiza con más detalle.

Supongo que te gusta

Origin blog.csdn.net/Daniel_Leung/article/details/130467891
Recomendado
Clasificación
Diario
Más
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)

Code World

© 2018 codetd.com