深入理解Nginx反向代理及其应用
在当今的网络架构中,Nginx作为一款高性能的HTTP和反向代理服务器,被广泛应用于各种规模的企业中。本文将详细介绍Nginx的反向代理功能、配置方法及其应用场景。
Nginx反向代理
代理Proxy有两种
正向代理: 代理客户端访问服务器,可以实现缓存,科学上网,访问控制等功能。
反向代理:reverse proxy,指的是代理外网用户的请求到内部的指定的服务器,并将数据返回给用户的一种方式,这是用的比较多的一种方式。
Nginx 除了可以在企业提供高性能的web服务之外,另外还可以将 nginx 本身不具备的请求通过某种预定义的协议转发至其它服务器处理,不同的协议就是Nginx服务器与其他服务器进行通信的一种规范,主要在不同的场景使用以下模块实现不同的功能
ngx_http_proxy_module: #将客户端的请求以http协议转发至指定服务器进行处理
ngx_http_upstream_module #用于定义为proxy_pass,fastcgi_pass,uwsgi_pass等指令引用的后端服务器分组
ngx_stream_proxy_module:#将客户端的请求以tcp协议转发至指定服务器处理
ngx_http_fastcgi_module:#将客户端对php的请求以fastcgi协议转发至指定服务器助理
ngx_http_uwsgi_module: #将客户端对Python的请求以uwsgi协议转发至指定服务器处理
生成环境部署结构
访问逻辑图
(四层)LVS和(七层)nginx区别
- 监听端口
- 参与三次握手和四次挥手
- 应用数据修改
- 后端是否能看到客户端真实地址
- 性能
- 端口修改
工作层:LVS四层,Nginx七层。
监听端口:LVS不监听,Nginx监听端口。
后端服务器看到客户端地址:LVS可以,Nginx不可以。
连接(三次握手):LVS 不参与连接,只负责转发,Nginx代替后端服务器和客户建立连接。
实现 http 反向代理
http 协议反向代理
Nginx 可以基于ngx_http_proxy_module模块提供http协议的反向代理服务
官方文档
https://nginx.org/en/docs/http/ngx_http_proxy_module.html
反向代理配置参数
#官方文档:https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass
Syntax: proxy_pass URL;
Default: —
Context: location, if in location, limit_except#用来设置将客户端请求转发给的后端服务器的主机,可以是主机名(将转发至后端服务做为主机头首部)、IP:port 方式
#说明: proxy_pass http://FQDN/ 中的FQDN决定转发至后端哪个虚拟主机,而与用户请求的URL无关
#如果转到后端的哪个服务器由用户请求决定,可以向后端服务转发请求的主机头实现
#示例: proxy_set_header Host $http_host;#示例:
location /web {index index.html;proxy_pass http://192.168.1.20:8080; #8080后面无uri,即无 / 符号,需要将location后面 url 附加到proxy_pass指定的url后面,此行为类似于root
#proxy_pass指定的uri不带斜线将访问的/web,等于访问后端服务器http://192.168.1.20:8080/web/index.html,即后端服务器配置的站点根目录要有web目录才可以被访问
#http://nginx/web/index.html ==> http://192.168.1.20:8080/web/index.htmlproxy_pass http://192.168.1.20:8080/; #8080后面有uri,即有 / 符号,相当于置换,即访问/web时实际返回proxy_pass后面uri内容.此行为类似于alias
#proxy_pass指定的uri带斜线,等于访问后端服务器的http://192.168.1.50:8080/index.html 内容返回给客户端
}
# http://nginx/web/index.html ==> http://192.168.1.50:8080#重启Nginx测试访问效果:
#curl -L http://www.caoge.com/web#如果location定义其uri时使用了正则表达式模式(包括~,~*,但不包括^~),则proxy_pass之后必须不能使用uri; 即不能有/ ,用户请求时传递的uri将直接附加至后端服务器之后
server {...server_name HOSTNAME;location ~|~* /uri/ {proxy_pass http://host:port; #proxy_pass后面的url 不能加/
}...
}
http://HOSTNAME/uri/ --> http://host/uri/proxy_hide_header field;
#用于nginx作为反向代理的时候,在返回给客户端http响应时,隐藏后端服务器相应头部的信息,可以设置在http,server或location块#示例: 隐藏后端服务器ETag首部字段
location /web {index index.html;proxy_pass http://192.168.1.20:8080/; proxy_hide_header ETag;
}proxy_pass_header field;
#默认nginx在响应报文中不传递后端服务器的首部字段Date, Server, X-Pad, X-Accel等参数,如果要传递的话则要使用 proxy_pass_header field声明将后端服务器返回的值传递给客户端
#field 首部字段大小不敏感 #示例:透传后端服务器的Server和Date首部给客户端,同时不再响应报中显示前端服务器的Server字段
proxy_pass_header Server;
proxy_pass_header Date;proxy_pass_request_body on | off;
#是否向后端服务器发送HTTP实体部分,可以设置在http,server或location块,默认即为开启proxy_pass_request_headers on | off;
#是否将客户端的请求头部转发给后端服务器,可以设置在http,server或location块,默认即为开启proxy_set_header;
#可更改或添加客户端的请求头部信息内容并转发至后端服务器,比如在后端服务器想要获取客户端的真实IP的时候,就要更改每一个报文的头部#示例:
#proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
$proxy_add_x_forwarded_for
the “X-Forwarded-For” client request header field with the $remote_addr variable
appended to it, separated by a comma. If the “X-Forwarded-For” field is not
present in the client request header, the $proxy_add_x_forwarded_for variable is
equal to the $remote_addr variable.proxy_set_header X-Real-IP $remote_addr;
#添加HOST到报文头部,如果客户端为NAT上网那么其值为客户端的共用的公网IP地址,常用于在日之中记录客户端的真实IP地址。
#在后端httpd服务器修改配置,添加日志记录X-Forwarded-For字段
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" \"%{X
Real-IP}i\"" combined #在后端服务器查看日志
[root@ubuntu2404 ~]#tail /apps/nginx/logs/access.log -f
192.168.1.50 - - [06/Jul/2025:18:32:06 +0800] "GET / HTTP/1.0" 200 13 "-" "curl/8.5.0"proxy_connect_timeout time;
#配置nginx服务器与后端服务器尝试建立连接的超时时间,默认为60秒,用法如下:
proxy_connect_timeout 60s;
#60s为自定义nginx与后端服务器建立连接的超时时间,超时会返回客户端504响应码proxy_read_timeout time;
#配置nginx服务器向后端服务器或服务器组发起read请求后,等待的超时时间,默认60sproxy_send_timeout time;
#配置nginx项后端服务器或服务器组发起write请求后,等待的超时 时间,默认60sproxy_http_version 1.0;
#用于设置nginx提供代理服务的HTTP协议的版本,默认http 1.0,建议修改1.1支持长连接
#注意:需要配合实现proxy_set_header Connection "" 实现长连接proxy_ignore_client_abort off;
#当客户端网络中断请求时,nginx服务器中断其对后端服务器的请求。即如果此项设置为on开启,则服务器会忽略客户端中断并一直等着代理服务执行返回,如果设置为off,则客户端中断后Nginx也会中断客户端请求并立即记录499日志,默认为off。proxy_headers_hash_bucket_size 128;
#当配置了 proxy_hide_header和proxy_set_header的时候,用于设置nginx保存HTTP报文头的hash表的上限proxy_headers_hash_max_size 512;
#设置proxy_headers_hash_bucket_size的最大可用空间server_namse_hash_bucket_size 512;
#server_name hash表申请空间大小server_names_hash_max_size 512;
#设置服务器名称hash表的上限大小proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503 | http_504;
#当一台后端服务器出错,超时,无效首部,500等时,切换至下一个后端服务器提供服务
实战案例: 反向代理单台 web 服务器
[root@rocky9 app]# vim caoge.cn.conf
server {listen 80;server_name caoge.cn;#root /data/nginx/;location / {proxy_pass http://192.168.101.10/;proxy_set_header Host $http_host;}
}
#重启Nginx 并访问测试
实战案例: 指定 location 实现反向代理
针对指定的location
server {listen 80;server_name caoge.cn;location / {index index.html index.php;root /data/nginx/html/pc;
}location /static {#proxy_pass http://192.168.1.20/; #注意有后面的/, 表示置换proxy_pass http://192.168.1.20; #后面没有 / , 表示附加}
}
#后端web服务器必须要有相对于的访问URL
[root@rocky9 html]# mkdir /var/www/html/static
[root@rocky9 html]# echo "web1 page for apache" > /var/www/html/index.html
[root@rocky9 html]# echo "web2 page for apache" > /var/www/html/static/index.html#重启Nginx并访问测试:
[root@centos7 ~]# curl -L http://caoge.cn/
pc web
[root@centos7 ~]# curl -L http://caoge.cn/static
web2 page for apache
针对特定的资源实现代理
[root@rocky9 app]# vim m.caoge.cn.conf
server {......location ~ \.(jpe?g|png|bmp|gif)$ {proxy_pass http://192.168.1.20; #如果加/ 语法出错 }
}
#如果 http://192.168.1.20/ 有/语法出错
[root@ubuntu2404 conf.d]#nginx -t
nginx: [emerg] "proxy_pass" cannot have URI part in location given by regular expression, or inside named location, or inside "if" statement, or inside "limit_except" block in /data/conf.d/www.caoge.com.proxy.conf:5
nginx: configuration file /apps/nginx/conf/nginx.conf test failed