nginx反向代理（1）

目录

• 反向代理
  • 概述
  • nginx代理
    • proxy_pass
    • 加与不加/

---

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

张贺，多年互联网行业工作经验，担任过网络工程师、系统集成工程师、LINUX系统运维工程师

个人网站：www.zhanghehe.cn

笔者微信：zhanghe15069028807,现居济南历下区

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

---

反向代理

概述

是转发还是生成生成数据包？

NAT、LVS，iptables都是内核功能，最多只能看到传输层的内容，修改的层次最高也就是传输层，后端的R-SERVER收到的数据包应用层里面的内容依然还是客户端的发出的。

而nginx代理则可以看到数据包全部内容，一手托两家，包已经不是原来的数据包了，应用层内容已经被改变了，nginx代理要把数据包完全拆开，检查应用层的内容，然后根据规则向后端分发数据包，这个数据包与nginx重新生成的，nginx要充当客户端向后端的web集群发请求。

是否有应用缓存？

NAT，LVS、iptables都没有真正意义上的应用缓存，所谓的应用缓存就是当客户端请求某个资源时，不用到R-SERVER上去拿，而直接通过代理的缓存响应，NAT，这三都都无法看到应用层里面客户端请求的是什么内容，根本没法缓存，它们都是内核的功能而已，看不懂应用层的报文到底请求的是什么内容。这三者并不算是真正意义的代理。

关于持久连接？

LVS、nginx、haproxy都可以实现持久连接，只不过是层次不同而已。

LVS只能通过网络层的IP地址进行持久连接

nginx可以基于URL、cookie进行持久连接。

nginx能根据URL实现持久连接，也能根据此功能实现动静分离。

nginx代理

proxy_pass

location / {
    proxy_pass       http://localhost:8000;
}

解释一下，如果被location给匹配了的话，会将请求转发给proxy_pass后面的RUL。下面那一行的意思是我们可以给转发给R-SERVER的数据包里面加点东西，nginx代理默认向后R-SERVER发送的数据包源IP是NGINX代理自己，我们可以通过proxy_set_header X-Real-IP $remote_addr给向后面发送的数据包里面加上一个字段，这个字段会把真正客户端的地址也封装到数据包里面传输给后端WEB集群。

//lvs的配置
server {
        listen 80;
        server_name www.zhanghehe.com.cn;

        location / {
                proxy_pass http://192.168.80.11:80;
        }
}

//客户端访问结果
[root@client ~]# curl www.zhanghehe.com.cn
this is 80.11

//80.11这台主机上的nginx_log，全是80.10的访问记录
[root@rip1 ~]# cat /var/log/nginx/access.log
192.168.80.10 - - [27/Feb/2020:16:20:18 +0800] "GET / HTTP/1.1" 200 14 "-" "curl/7.29.0" "-"
192.168.80.10 - - [27/Feb/2020:16:29:07 +0800] "GET / HTTP/1.0" 200 14 "-" "curl/7.29.0" "-"
192.168.80.10 - - [27/Feb/2020:16:29:09 +0800] "GET / HTTP/1.0" 200 14 "-" "curl/7.29.0" "-"

如上述，如果是这样的话，在R-SERVER上就无法知道真实的客户端的IP了，怎么办呢？如下所示：

//lvs加一个forward模块
server {
        listen 80;
        server_name www.zhanghehe.com.cn;

        location / {
                proxy_pass http://192.168.80.11:80;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;   #设定发往后端主机的请求报文的请求首部值

        }
}

//日志里面就带上了真正客户端的IP地址
[root@rip1 ~]# cat /var/log/nginx/access.log
192.168.80.10 - - [27/Feb/2020:16:37:52 +0800] "GET / HTTP/1.0" 200 14 "-" "curl/7.29.0" "192.168.90.9"

这是怎么实现的呢？实现上就在数据包里面加了一个字段，我们通过tcpdump就可以抓出来看一看[root@lvs conf.d]# tcpdump -i eth0 tcp -w /tmp/http.cap，此数据包已经上传到我的百度网盘，典型数据包文件夹下了

链接：https://pan.baidu.com/s/1qadF0rgAkpE_QhV8p3RhbA

提取码：mf3d

nginx代理可以在向后端web集群发送的数据包当中任意插入字段，那么web集群给客户端回复的数据包，nginx代理是否能动手脚呢？当然能了，因为nginx是完全代理嘛，上面那个图已经说的足够明白了，那我们验证一下吧！

默认nginx给客户端回复的数据包是这样的，如下所示，响应报文里面没显示是谁给我们回复的。

在nginx代理上设置一下，如下所示：

server {
        listen 80;
        server_name www.zhanghehe.com.cn;
        location / {
                proxy_pass http://192.168.80.11:80;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                add_header X-Via $server_addr;
        }
}

客户端再访问的时候，响应报文里面就会多一个字段，显示是谁响应给自己的，如下所示：

加与不加/

[root@lvs conf.d]# cat nginx_proxy.conf
server {
        listen 80;
        server_name www.zhanghehe.com.cn;

        location / {
                proxy_pass http://192.168.80.11:80;
        }

        location /administrator {
                proxy_pass http://192.168.80.11/admin;
        }

        location /images {
                proxy_pass http://192.168.80.11/images/;
        }
}

第二个location没有加/号，表示如果用户访问的是www.zhanghehe.com.cn/administrator就将其转发到http://192.168.80.11/admin/administrator下，不加/的时候，要用proxy_pass的内容替换所属location后的第一个/。

第三个location表示，如果用户访问的是www.zhanghehe.com.cn/images的话就将其转发到http://192.168.80.11/images/目录下，加上/的时候，表示完整的替换。