Heim  >  Artikel  >  Backend-Entwicklung  >  So erhalten Sie die Benutzer-IP auf Nginx, der zweiten Ebene eines zweistufigen Servers

So erhalten Sie die Benutzer-IP auf Nginx, der zweiten Ebene eines zweistufigen Servers

WBOY
WBOYOriginal
2016-08-08 09:31:041390Durchsuche

So erhalten Sie die Benutzer-IP auf dem Nginx der zweiten Ebene des zweistufigen Servers

1. Bei der Konfiguration des Nginx-Servers ist zuvor ein Problem aufgetreten. Der Server hat eine Funktion verwendet, um die maximale Anzahl gleichzeitiger Verbindungen des Clients zu begrenzen. Die Implementierung dieser Funktion beruhte auf der Ausführung von

$remote-addr

Dies wird mit dieser Konfiguration erreicht. Nach dem Hinzufügen eines Front-End-Servers (Last, CDN, Firewall, Sicherheitsdienst) wird die erhaltene Client-IP jedoch zur IP des Front-End-Servers und nicht zur tatsächlichen IP-Adresse des Benutzers.

2. Bei einem solchen Problem habe ich die Einführung der offiziellen Nginx-Website mehrmals gelesen und festgestellt, dass eine weitere besonders wichtige Variable

$proxy_add_x_forwarded_for

Diese Variable ist der Wert des Clientzugriffs des X-forwarded-for-Felds in der Anfrage Wenn die Anfrage dieses Feld nicht enthält, entspricht diese Variable automatisch der remote-addr-Variable. Dadurch können wir das Feld der echten IP-Adresse des Clients abrufen, das normalerweise vom Front-End-Server in der HTTP-Anfrage gespeichert wird, normalerweise das, was wir das Feld X_FORWARDED_FOR nennen, und dann können wir mit dieser Methode verschiedene Funktionen implementieren.

3. Lassen Sie mich Ihnen unten eine einfache Demonstration geben. Es gibt viele Mängel, bitte korrigieren Sie mich.

Zunächst richten wir die Nginx-Umgebung ein. Hier verwenden wir die neueste Version 1.7.9 der 1.7-Serie (zu Versionsproblemen siehe FAQ 1)

Download und WGET erforderliche Adresse http://nginx.org/download/nginx-1.7.9.tar.gz

1. Laden Sie Nginx herunter

[lugt@localhostmysql]$ wget http: //nginx.org/ download/nginx-1.7.9.tar.gz

2. Entpacken

[lugt@localhostmysql]$ tar zxvf nginx-1.7.9.tar.gz

3 .        Direkte Kompilierung (Sie müssen überlegen, ob Sie die Unterstützung von OpenSSL und anderen Plug-Ins benötigen)

[lugt@localhost mysql]$cd nginx-1.7.9

[lugt@localhost nginx-1.7.9]$ ./configure

[lugt@localhost nginx-1.7.9]$ make

[lugt@localhost nginx-1.7.9] $ su

[lugt@localhostnginx- 1.7.9]$ make install

4. Ändern Sie dann die Konfigurationsdatei nginx.conf

[lugt@localhost nginx-1.7. 9]$ su

[lugt @localhost nginx-1.7.9]$cd /usr/local/nginx

[lugt@localhostnginx]$ vi conf/nginx.conf

Suchen Sie dies dann in nginx.conf und fügen Sie es hinzu. Um den Lastausgleich einzurichten, imitieren Sie CDN

upstream dnsnginx1 {
        server[*.*.*.*/yourhostname]:8080 weight=10000; #填IP、域名
}
server {
        listen       80;
        server_name 
#access_log  logs/host.access.log  main
        location /{
           proxy_pass          http://dnsnginx1;
            proxy_set_header    Host             $host;
            proxy_set_header    X-Real-IP        $remote_addr;
            proxy_set_header    X-Forwarded-For  $proxy_add_x_forwarded_for;
            proxy_set_header    HTTP_X_FORWARDED_FOR $remote_addr;
            proxy_redirect      default;
}
}

und richten Sie einen virtuellen Server auf Port 8080 ein,

limit_conn_zone $proxy_add_x_forwarded_for zone=addr:10m;  # 并发设置 空间10M
server {
        listen       8080;
        server_name  [*.*.*.*/yourhostname]:8080 weight=10000; #填IP、域名
        limit_conn addr 1; #限制客户端最大并发连接数为 1
            location / {
            root   html;
            index  index.html index.htm;
        }
}

Speichern. Testen Sie dann die Syntax der Konfigurationsdatei

[lugt@localhostnginx]$ ./sbin/nginx –t

Starten Sie den Server

[lugt@localhostnginx]$ ./sbin/ nginx

4. Verwenden Sie das Ab-Werkzeug, um den Effekt zu sehen.

[lugt@localhost nginx]$ ab –c 10 –n 100 –v 4 http://127.0.0.1/ |. Die Bedeutung dieser Zeile: Pass AB Test-Tool-Zugriffsadresse, die Anzahl der gleichzeitigen Verbindungen beträgt 30, der Gesamttest beträgt 300 Mal, die HTTP-Return-Header-Informationen werden angezeigt

Mit dem AB-Tool kann gemessen werden, egal wie viele Verbindungen gesendet werden Gleichzeitig ist der einzige, der am Ende erfolgreich 200 zurückgibt, die maximale Parallelitätsgrenze von Nginx. Die Anzahl der Verbindungen, sodass bewiesen werden kann, dass die IP-Einschränkungsfunktion verwendet werden kann. Referenzdaten finden Sie unter FAQ2

FAQ 1 Versionsproblem

Wenn die derzeit verwendete Nginx-Version Version 1.7.1 noch nicht erreicht hat, unterstützt Nginx diese Funktion wahrscheinlich noch nicht,

Dies Zu diesem Zeitpunkt müssen Sie den Wert von x_forwarded_for aus der Anfrage über einen Codeabschnitt abrufen, der in der Funktion limit_conn_handler eingebettet ist.

Am Beispiel der Version 1.6.1 wird der Code wie folgt hinzugefügt. src/http/modules/ngx_http_limit_conn.c Zeile 184

                                                                                      >
hash =ngx_crc32_short(key.data, key.len);                                                                              
If(“” == &ctx->key){                                                             
<span style="white-space:pre">	</span>If(NULL!= r->main->headers_in->x_forwarded_for->elts){                       
           key.data= *(char*)r->main->headers_in->x_forwarded_for->elts;             
         key.len = 4;                                                                                                                               
hash =ngx_crc32_short(key.data, key.len);                                                                     
<span style="white-space:pre">	</span>}                                                                                                                                                 }          
[lugt@localhost~]$ ab -c 10 -n 100 -v 4 http://127.0. 0.1/ |. grep HTTP/1.1

HTTP /1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst VORÜBERGEHEND nicht verfügbar

HTTP/1.1503-Dienst TEMAVAILBLE T>

HTTP/1.1503-Dienst vorübergehend nicht verfügbar. Universitätsdienst vorübergehend nicht verfügbar.

HTTP/1.1503-Dienst vorübergehend nicht verfügbar.

HTTP/1.1503-Dienst vorübergehend nicht verfügbar Nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503 nicht verfügbar

HTTP/1.1 200 OK

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1 200 OK

<… repeated 往下均为重复8次HTTP/503 与1次HTTP/200 交替出现>

English Version

How to retrievethe true ip of the client user if there are two layers of servers

Days before, wehave been faced such a difficulty which is we can’t use the variable $remote_addr for gathering the clients’ip address. This problem surfaces when we used a proxy server between the trueserver and client, which is actually a cdn. And that makes our functions oflimiting the maximum connections a client can make to a server at a time. Thissituation can also found if the load balance or any anti-spam service are inuse. So that’s why we can’t use remote_addr variable further.

After I did someresearch on the documentation and the code , I found out that this problem canbe solved by replacing the  

 $remote_addr 

 variable with the  
$proxy_add_x_forwarded_for
  variable. As this variable allows to retrievethe data from the column X_forwarded_for from the request, we can use thisvariable functioning in many ways.

And now I shall makean easy example to practically use this method.

First of all,build up a Nginx server.

Here, I will usethe 1.7.9 version (latest to the written time) for instance, therefore, thereexist some differences between older versions than 1.7.1 (see FAQ 1)

1.      Download A Nginx Copy:

[lugt@localhostmysql]$ wget http://nginx.org/download/nginx-1.7.9.tar.gz

2.      Decompress the file

[lugt@localhostmysql]$ tar zxvf nginx-1.7.9.tar.gz

3.      Compile The Code

[lugt@localhostmysql]$ cd nginx-1.7.9

[lugt@localhostnginx-1.7.9]$ ./configure

[lugt@localhostnginx-1.7.9]$ make

[lugt@localhostnginx-1.7.9]$ su

[lugt@localhostnginx-1.7.9]$ make install

4.      And edit the config file nginx.conf

[lugt@localhost nginx-1.7.9]$ su

[lugt@localhostnginx-1.7.9]$ cd /usr/local/nginx

[lugt@localhostnginx]$ vi conf/nginx.conf

There add suchdirectives to the server1 for emulate for an CDN server

upstream dnsnginx1 {
        server[*.*.*.*/yourhostname]:8080 weight=1000; #fill in your ip/hostname
}
server {
        listen       80;
        server_name  [hostname]   #fill your ip/ hostname here
#access_log  logs/host.access.log  main
        location /{
           proxy_pass          http://dnsnginx1;
            proxy_set_header    Host             $host;
            proxy_set_header    X-Real-IP        $remote_addr;
            proxy_set_header    X-Forwarded-For  $proxy_add_x_forwarded_for;
            proxy_set_header    HTTP_X_FORWARDED_FOR $remote_addr;
            proxy_redirect      default;
}
}
 
 

After the end ofone server directive, and in the http directive, add so to function the sever2

limit_conn_zone $proxy_add_x_forwarded_for zone=addr:10m;  # sample setting
server {
        listen       8080;
        server_name  [*.*.*.*/hostname]:8080 weight=10000; #fill in ip/hostname here
        limit_conn addr 1; # Enablethe limitation of connection per ip at a time to 1.
 
            location / {
            root   html;
            index  index.html index.htm;
        }
}

And then you cansave , test the config file and run nginx

Test your configfile:

    [lugt@localhostnginx]$  ./sbin/nginx –t

Start the nginx server

    [lugt@localhostnginx]$  ./sbin/nginx

Now, the serverhas been set and you can run a test at instance.

/* This CommandMeans to run a tool to connect to server as 10conn/once and 10 conns in total*/

[lugt@localhost~]$ ab -c 10 -n 100 -v 4 http://127.0.0.1/ | grep HTTP/1.1

FAQ 1

There is actuallysome little malfunctions when using elder versions than 1.7.1 (Probably the newversion has it for a new feature).So to use this directive in earlier versions,some code need to be added.

As a Example inthe version 1.6.1

In filesrc/http/modules/ngx_http_limit_conn.c Line around 184

hash =ngx_crc32_short(key.data, key.len);                                                                             
If("" == &ctx->key){                                                             
    If(NULL!= r->main->headers_in->x_forwarded_for->elts){                       
           key.data= *(char*)r->main->headers_in->x_forwarded_for->elts;             
         key.len = 4;                                                                                                                               
hash =ngx_crc32_short(key.data, key.len);                                                                     
    }
}<span style="font-family: Arial, Helvetica, sans-serif;">           </span>

                                                                                                                                                    

FAQ 2 TestingResults

[lugt@localhost~]$ ab -c 10 -n 100 -v 4 http://127.0.0.1/ | grep HTTP/1.1

 

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1503 Service Temporarily Unavailable

HTTP/1.1 200 OK

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1503-Dienst vorübergehend nicht verfügbar

HTTP /1.1503-Dienst vorübergehend nicht verfügbar

HTTP/1.1 200 OK

<… 8 Mal HTTP/503 und 1 Mal HTTP/200 usw. wiederholt>

Das Obige stellt vor, wie man die Benutzer-IP auf dem Nginx der zweiten Ebene des zweischichtigen Servers erhält, einschließlich der relevanten Inhalte. Ich hoffe, dass es für Freunde hilfreich ist, die an PHP-Tutorials interessiert sind.

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:PHP-DOM-AnalyseNächster Artikel:PHP-DOM-Analyse