Detaillierte Erläuterung der Nginx-Lastausgleichs- und Reverse-Proxy-Erweiterungsfunktionen

In diesem Artikel werden hauptsächlich die zugehörigen Funktionen von NGINX Plus vorgestellt und die Aktualisierungen verschiedener Versionen wie NGINX Plus R5/R6/R7/R9 behandelt. Es beinhaltet eine erweiterte Nutzung des Nginx-Reverse-Proxys und des Lastausgleichs. Beinhaltet hauptsächlich: HTTP-Lastausgleich, lange HTTP-Verbindung, TCP- und UDP-Lastausgleich, Upstream-Verbindungslimit, Ausgleichsalgorithmus für kürzeste Zeit, Sitzungskonsistenz, Echtzeit-Gesundheitsprüfung, DNS-Neuanalyse, Zugriffskontrolle, Client-Verbindungslimit, Client-Bandbreitenbeschränkungen , pufferfreier Datei-Upload, SSL/TLS-Optimierung, Cache-Optimierung, API-Funktionen, Best Practices für die Konfiguration usw.

Was ist NGINX Plus?

Wie der Name schon sagt, handelt es sich um eine erweiterte oder erweiterte Version von Nginx. Wir wissen, dass Nginx Open Source und kostenlos ist, aber viele Funktionen von NGINX Plus sind kostenpflichtig. Nginx Plus kann als Load Balancer, Webserver und Inhaltscache dienen. Da es sich um eine erweiterte Version von Nginx handelt, wird es zweifellos leistungsfähiger sein als Nginx. Basierend auf den vorhandenen Funktionen von Open Source Nginx bietet NGINX Plus viele proprietäre Funktionen, die für Produktionsumgebungen geeignet sind, einschließlich Sitzungskonsistenz, Echtzeitaktualisierung der API-Konfiguration, effektive Gesundheitsprüfungen usw.

NGINX Plus-Versionsaktualisierung

NGINX Plus R5 und neuere Versionen können den Lastausgleich von TCP-basierten Anwendungen (wie MySQL) unterstützen. Dies beschränkt sich nicht nur auf den HTTP-Lastausgleich, sondern erweitert den Umfang von Nginx als Lastausgleicher erheblich. Die TCP-Lastausgleichsfunktion in R6 wurde erheblich erweitert und fügt Gesundheitsprüfungen, dynamische Aktualisierungen von Konfigurationen, SSL-Terminals usw. hinzu. Zum Zeitpunkt der Ankunft von R7 ist die TCP-Lastausgleichsfunktion im Wesentlichen dieselbe wie die HTTP-Lastausgleichsfunktion. zIn R9 kann UDP unterstützt werden. Durch diese Updates ist NGINX Plus weit über die Ebene von Webanwendungen hinausgegangen und hat sich zu einem Load Balancer mit breiterer Bedeutung entwickelt. Schließlich sind Protokolle auf der Basisebene. Je mehr Protokolle unterstützt werden, desto umfassender sind die Anwendungen. Von anfänglichem Http/SMTP über TCP bis hin zu UDP wird NGINX Plus Schritt für Schritt immer leistungsfähiger.

Sowohl Open-Source-Nginx als auch NGINX Plus unterstützen den Lastausgleich von HTTP-, TCP- und UDP-Anwendungen. Allerdings bietet NGINX Plus einige kostenpflichtige Funktionen auf Unternehmensebene, darunter Sitzungskonsistenz, Gesundheitsprüfungen, dynamisch aktualisierte Konfigurationen usw.

HTTP-Lastausgleich

NGINX Plus hat viele funktionale Optimierungen für den HTTP-Lastenausgleich vorgenommen, wie z. B. HTTP-Upgrade, Optimierung langer Verbindungen, Inhaltskomprimierung und Antwort-Caching usw. Die Implementierung des HTTP-Lastausgleichs in NGINX Plus ist ebenfalls sehr einfach:

http {
    upstream my_upstream {        server server1.example.com;        server server2.example.com;
    }    server {
        listen 80;
        location / {
            proxy_set_header Host $host;
            proxy_pass http://my_upstream;
        }
    }
}

kann den Host über die proxy_set_header-Direktive festlegen und proxy_pass leitet die Anfrage an den Upstream my_upstream weiter.

HTTP-lange Verbindung

HTTP-lange Verbindung – HTTP Keepalives bezieht sich auf die lange Verbindung, die von NGINX PLus und dem Upstream-Server hergestellt wird. Wenn der Client eine lange Verbindung mit NGINX PLus aufbaut, können Sie auf dem Client das HTTP-Protokoll als 1.1/2.0 angeben.

Das HTTP-Protokoll verwendet das zugrunde liegende TCP-Protokoll, um Anfragen zu übertragen und Antworten zu empfangen. HTTP1.1/2.0 unterstützt lange TCP-Verbindungen oder die Wiederverwendung, um den Overhead zu vermeiden, der durch das wiederholte Erstellen und Zerstören von TCP-Verbindungen entsteht.

Werfen wir einen Blick auf die lange HTTP-Verbindung zwischen dem Client und NGINX PLus:

NGINX ist auch ein vollständiger Reverse-Proxy für lange Verbindungen . Es verwaltet alle langen Verbindungen vom Client zu Nginx und verwaltet auch die langen Verbindungen von Nginx zum Upstream-Server Die beiden sind völlig unabhängig.

Von Nginx verwaltete lange Verbindungen:

NGINX „zwischenspeichert“ inaktive Verbindungen zum Upstream-Server und schließt sie nicht direkt. Kommt eine Anfrage, verwendet NGINX zunächst eine aus der zwischengespeicherten aktiven Verbindung, anstatt sofort eine neue zu erstellen. Wenn der Cache leer ist, erstellt NGINX dann eine neue Verbindung. Durch diesen Vorgang wird die minimal erforderliche Anzahl von Verbindungen zum Upstream aufrechterhalten, wodurch die Verzögerung zwischen NGINX und dem Upstream-Server verringert und die Auslastung temporärer Ports verringert wird, sodass NGINX große Parallelität bewältigen kann. Diese Technologie kann in Kombination mit anderen Lastausgleichstechnologien manchmal als Verbindungspooling oder Verbindungswiederverwendung bezeichnet werden.

Um den Cache für lange Leerlaufverbindungen zu konfigurieren, müssen Sie mehrere Anweisungen angeben: proxy_http_version,proxy_set_header,keepalive

server {
    listen 80;
    location / {
        proxy_pass http://backend;
        proxy_http_version 1.1; # 只有Http1.1/2.0才能支持长连接
        proxy_set_header Connection "";
    }
}

upstream backend {    server webserver1;    server webserver2;    # maintain a maximum of 20 idle connections to each upstream server
    keepalive 20; # 闲置长连接缓存时间为20}

Lastausgleich von TCP und UDP

Als Erweiterung Mit dem HTTP-Protokoll kann NGINX Plus Anwendungen direkt unterstützen, die auf den Protokollen TCP und UDP basieren. TCP-basierte Anwendungen wie MySQL und UDP-basierte Anwendungen wie DNS und RADIUS. Bei TCP-Anfragen empfängt NGINX Plus die TCP-Anfrage des Clients und erstellt dann eine TCP-Anfrage, um den Zugriff auf den Upstream-Server zu initiieren.

stream {
    upstream my_upstream {        server server1.example.com:1234;        server server2.example.com:2345;
    }    server {
        listen 1123 [udp];
        proxy_pass my_upstream; #注意这里没有http://了
    }
}

Unterstützung für TCP-Anfragen wurde in NGINX Plus R5 eingeführt. Mit R7 ist der Lastausgleich von TCP-Anfragen leistungsstark genug, um mit R9 mithalten zu können , kann UDP unterstützen. Hier zunächst ein Eindruck, später wird die TCP-Lastausgleichsfunktion genauer vorgestellt.

上游连接数限制

你还可以为负载均衡做连接数量限制。这里说的连接是指NGINX Plus发给上游服务器的HTTP/TCP/UDP请求连接(对于UDP则是会话)。有了连接数限制的功能，当上游服务器的Http/TCP连接数量，或者UDP的会话数量超过一定的值时，NGINX Plus就不再创建新的连接或者会话。客户端多出的请求连接可以被放进队列等候，也可以不被处理。可以通过max_conns,queue指令来实现这一点：

upstream backend {
    zone backends 64k;
    queue 750 timeout=30s;    server webserver1 max_conns=250;    server webserver2 max_conns=150;
}

server指令表示webserver1 最多承载250个连接而webserver2 最多150个，多出来的可以放在队列queue当中等候。在队列queue中等候的连接数量和等候时间也是有限制的。当webserver1 和webserver2 连接数降低到各自最大连接数以下时，等候在队列queue中的连接随时就补上去。  
queue 750 timeout=30s表示总共可以有750个连接排队等候，每个连接等候30s。

Limiting connections 是十分有用的，可以为客户端提供可持续可预见的服务——不必因为某台server负载过大导致挂掉。一般来说一台server大概能承载多少负荷是可以通过某些手段测试出来的，因此把这个可承受的上线作为max_conns指令的值便可以保证server的相对安全。

最少时间的均衡算法

在NGINX Plus R6中增加了一种新的均衡算法——Least Time，将相应时间也考虑进去，算得上对最少连接均衡算法(Least Connections)的扩展。

这种算法同时考虑当前连接数和连接池里各个节点的平均响应时间。目的是使得当前请求选择当下响应更快、连接更少的服务器，而不是选择响应更慢、连接更多的。

当连接池的各个服务器节点有着明显不同的响应延时时，这种算法就要优于其他的几种(round-robin/ip-hash/lease connections)。一个典型的应用场景是，如果有两个分布在不同的地域的数据中心，那么本地的数据中心就要比异地的数据中心延时要少得多，这个时候就不能仅仅考虑当下连接数了，这个响应的延时也要被计入考量。Least Time算法就更倾向于选择本地的，当然这只是“更倾向于”的问题，并不能代替Nginx最基本的错误转移功能，哪怕本地的数据中心响应再快，如果它挂掉了Nginx Plus也能马上切换到远端数据中心。

“最少时间”可以有两种计算方式，一种是从请求发出到上流服务器接返回响应头部算的时间，另一种是从请求发出到接收到全部请求体的时间，分别以header_time和response_time来表示。

Session一致性

Session一致性(Session Persistence)问题除了可以通过指定ip-hash的均衡算法来实现，还有更为通用的实现方式，这是在NGINX Plus 中实现的。

NGINX Plus可以识别用户Session，从而能够鉴别不同的客户端，并且可以将来自同一个客户端的请求发往同一个上游服务器。这在当应用保存了用户状态的情况下非常有用，可以避免负载均衡器按照某个算法将请求发到别的服务器上去。另外，在共享用户信息的集群服务器这种方式也非常有用。

session一致性的要求同一个客户端每次的请求都选择同一个服务器，而负载均衡要求我们利用一种算法去服务器连接池里面去选择下一个，那么这两种矛盾的方式可以共存么？可以的，NGINX Plus按照如下的步骤决策到底选用哪一种：

• 如果request匹配某个Session一致性的规则，那么根据这个规则选取上游服务器；

• 如果没有匹配上或者匹配的服务器无法使用，那么使用负载均衡算法选择上游服务器；

为了能保证session一致性，Nginx Plus提供了sticky cookie，sticky learn和sticky route几种规则。

sticky cookie 规则

对于 sticky cookie 规则，当客户端的第一个请求选择了某个上游服务器，并从这个上游服务器返回响应时，NGINX Plus 为这个响应添加一个session cookie，用来鉴别这个上游服务器。当后面的请求再过来时，NGINX Plus取出这个cookie，分析是哪一台服务器，再把请求发往这台相同的服务器。

使用指令sticky cookie，配置如下：

upstream backend {    server webserver1;    server webserver2;

    sticky cookie srv_id expires=1h domain=.example.com path=/; 
}

cookie的名字就叫srv_id，用来“记住”是哪一个server；过期时间1h，domain为.example.com；path为/
NGINX Plus在第一次响应中，插入一个名称为srv_id的cookie，用来“记住”这第一次请求是发个哪个上游的，后面的请求带上这个cookie，同样再被NGINX Plus甄别一下，再发往同一个的服务器。这样就能保证session的一致了。

sticky route 规则

和sticky cookie规则类似，只不过“记住”上游服务器的方式不同而已。
在客户端发起第一次请求时，接收它的服务器为其分配一个route，此后这个客户端发起的所有请求都要带上这个route信息，或者在cookie中或者在uri中。然后和server指令中的route参数做对比，决定选取哪个server。如果指定的服务器无法处理，那交给负载均衡算法去选择下一个服务器。

map $cookie_jsessionid $route_cookie {
    ~.+\.(?P<route>\w+)$ $route;
}

map $request_uri $route_uri {
    ~jsessionid=.+\.(?P<route>\w+)$ $route;
}

upstream backend {
    server backend1.example.com route=a;
    server backend2.example.com route=b;    # select first non-empty variable; it should contain either &#39;a&#39; or &#39;b&#39;
    sticky route $route_cookie $route_uri;
}

在这里，route在JSESSIONID的cookie中选择，如其包含a那么选择服务器backend1；如其包含b则选择backend2，如果都不包含那么在$request_uri 中再做类似的选择，以此类推。

不管是选哪种方式保持session一致，如果选择出的server无法使用，那么将会按照负载均衡算法(如round-robin)在服务器列表中的选择下一台server继续处理。

实时健康检查

前面提到过，Nginx有两大功能：一个是扩展，增加更多的server以满足更大的并发；二是检测失效server，以便及时排除。那么，如何定义一个“失效server”(failed server)就变得非常重要。这一节就是来讨论这个问题——实时健康检查(Active Health Checks)。这是NGINX Plus 才有的功能，并且是收费的。

开源版本NGINX 可以提供简单的健康检查，并且可以自动做故障转移。但是如何定义一个上游server“失效”开源NGINX 却做的很简单。NGINX Plus为此提供了一个可以自定义的、综合式的评判标准，除此之外NGINX Plus还可以平缓的添加新的服务器节点到集群当中。这个功能使得NGINX Plus可能甄别更为多元化的服务器错误，十分有效的增加了HTTP/TCP/UDP应用的可靠性。
这里要用到的指令有：health_check,match 等指令:

upstream my_upstream {
    zone my_upstream 64k;
    server server1.example.com slow_start=30s;}

server {    # ...
    location /health {
        internal;
        health_check interval=5s uri=/test.php match=statusok;
        proxy_set_header HOST www.example.com;
        proxy_pass http://my_upstream
    }
}

match statusok {    # 在/test.php 做健康检查
    status 200;
    header Content-Type = text/html;
    body ~ "Server[0-9]+ is alive";}

health_check 中interval=5s表示每隔5s检测一次；uri=/test.php表示在/test.php里进行健康检查，NGINX Plus自动发起uri的请求，uri可以自定义，你在里面具体执行检查的逻辑，比如mysql/redis这些是否正常，然后作出一定的响应；然后在match指令中，就通过一些规则来匹配/test.php的响应。/test.php的响应可以包括status,header,body这些，供后面这些指令做匹配。全部检查通过，就算健康，server被标记为活跃；如果一项匹配未通过，比如Content-Type = text/json或者status = 201那都算检测失败，server不健康，被标记为不活跃。

DNS重解析

Nginx Plus一启动就会进行DNS解析并且自动永久缓存解析出的域名和IP，但是某些情形下需要重新解析下，这时候可以使用下面的指令来实现：

resolver 127.0.0.11 valid=10s;upstream service1 {
    zone service1 64k;
    server www.example.com  service=http resolve;}

127.0.0.11是默认的DNS服务器的地址，此例中NGINX Plus每10s中DNS服务器发起一次重新解析的请求。

访问控制

NGINX Plus Release 7主要给增加了TCP负载均衡的安全性。比如访问控制(Access Controls)和DDoS保护。
你现在可以允许或者拒绝对做反向代理的或者做负载均衡的TCP服务器的访问，仅仅通过配置简单的IP或者一个IP范文就能实现：

server {    # ...
    proxy_set_header Host www.example.cn;    proxy_pass http://test;    deny 72.46.166.10;    deny 73.46.156.0/24;    allow all;
}

第一个deny指令拒绝一个IP的访问，第二个拒绝一个IP范围，除去这两个剩下的都是被允许访问的。被拒绝访问的IP，会被返回403错误。

客户端连接数限制

除了可以限定上游服务器连接数，还可以限定客户端连接数，NGINX Plus R7 中实现了这个功能。你可以限制客户端发往由NGINX Plus代理的TCP应用的请求数量，防止对TCP的请求数量过多。在你的应用中，可能一部分的比另一部分要慢一些。比如说，请求你的应用的某块，将会产生大量的MySQL请求，或者fork出一大堆的work进程。那么攻击者将会利用这点产生成千上万个请求，致使你的服务器负载过重而瘫痪。

但是有了连接数限制功能，你可以通过配置limit_conn my_limit_conn指令限制同一个客户端(IP)所能发起的最大请求数，以此将上述的攻击风险降到最低。

stream {
    limit_conn_zone $binary_remote_addr zone=my_limit_conn:10m;    # ...
    server {
        limit_conn my_limit_conn 1;        # ...
    }
}

这条指令限定了每个IP同时只能有一个连接。

客户端带宽限制

R7 还新增了一项功能——限制每个客户端连接的上传和下载的最大带宽(Bandwidth Limiting) 。

server {    # ...
    proxy_download_rate 100k;
    proxy_upload_rate  50k;
}

有了这个配置，客户端最多只能以100kbytes/s的速度下载，以50kbytes/s的速度上传。因为客户端可以开多个连接，因此如果要限制总的上传/下载速度，同时还得限制下单个客户端的连接数。

无缓冲上传文件

这是在R6中增加的功能。你可以在R6和以后的版本中使用无缓冲的上传，意味Nginx Plus可以通过更大的Http请求比如上传。无缓冲的上传可以在这些请求一过来便进行上传，而不是像之前那样先是缓冲所有的上传内容，再将其转发给你上游服务器。

默认情况下，Nginx 在上传时，接收到数据时会先放进缓冲区进行缓冲，以避免将资源和基于worker进程的后端脚本绑定，但是针对事件驱动的后端语言如Node.js，缓冲是几乎没有必要的。这个修改改进了服务器对上传大文件的响应性，因为应用可以一接收到数据就马上对做出响应，使得上传进度条变成实时的和准确的。同样，这个改进也减少了磁盘I/O。

SSL/TLS优化

在R6中，可以在和上游的HTTPS 或者 uwSGI 服务器打交道时为客户端提供一个证书。这大大提高了安全性，尤其是在和不受保护网络上的安全服务进行通信的时候。R6 支持IMAP, POP3, 和SMTP的SSL/TLS 客户端认证。

缓存优化

proxy_cache 指令可以支持变量了，这个简单的改进以为着你可以定义几个基于磁盘的缓存，并且根据请求数据做自由的选择。当你打算创建巨大的内容缓存，并且将其保存到不同的磁盘时是非常有用的。

API功能

upstreem模块的一些指令，不光可以通过手动去修改，还可以通过Restful Api的方式去修改，并且马上自动更新。有了这个功能，NGINX Plus的一些功能，你都可以通过API的方式去改变。应用性得到很大提升。当然这也是收费的：

upstream backend {
    zone backends 64k;    server 10.10.10.2:220 max_conns=250;    server 10.10.10.4:220 max_conns=150;
}server {
    listen 80;
    server_name www.example.org;

    location /api {
        api write=on;
    }
}

有了API，你就可以使用curl工具来动态修改配置了，比如用POST命令来增加一个集群的节点：

$ curl -iX POST -d '{"server":"192.168.78.66:80","weight":"200","max_conns":"150"}' http://localhost:80/api/1/http/upstreams/backend/servers/

相当于添加了一个这样的配置：

upstream backend {
    zone backends 64k;    server 10.10.10.2:220 max_conns=250;    server 10.10.10.4:220 max_conns=150;    #此处是通过api添加的
    server 192.168.78.66:80 weight=200 max_conns=150;
}

如果需要修改一个节点配置，你可以用服务器节点在连接池中的自然顺序(从0开始)作为它们各自唯一的ID,然后使用PATCH/DELETE方法去操作它们：

$ curl -iX PATCH -d '{"server":"192.168.78.55:80","weight":"500","max_conns":"350"}' http://localhost:80/api/1/http/upstreams/backend/servers/2

这条命令是修改以上连接池中的第三个server 192.168.78.66:80 max_conns=200;为：

server 192.168.78.55:80 weight=500  max_conns=350;

如果要返回所有的节点信息，可以使用：

$ curl -s http://localhost:80/api/1/http/upstreams/backend/servers/

返回的是一个JSON字符串。

 {      "backup": false,      "down": false,      "fail_timeout": "10s",      "id": 0,      "max_conns": 250,      "max_fails": 1,      "route": "",      "server": "10.10.10.2:220",      "slow_start": "0s",      "weight": 1
      },
      {      "backup": false,      "down": false,      "fail_timeout": "10s",      "id": 1,      "max_conns": 150,      "max_fails": 1,      "route": "",      "server": "10.10.10.4:220",      "slow_start": "0s",      "weight": 1
      },
      {      "backup": false,      "down": false,      "fail_timeout": "10s",      "id": 2,      "max_conns": 200,      "max_fails": 1,      "route": "",      "server": "192.168.78.66:80",      "slow_start": "0s",      "weight": 200
      }
  }

配置的最佳实践

为不同个应用配置创建各自的目录和文件，并用include指令再合并到一起是个非常好的习惯。标准的 NGINX Plus配置是将各个应用的配置文件放到各自的conf.d directory目录下：

http {    include /etc/nginx/conf.d/*.conf;}
stream {    include /etc/nginx/stream.d/*.conf;}

http 和 stream 模块的各自分属不同的目录，而在http 下的都是http请求的配置，stream 都是TCP/UDP请求的配置。没有统一的标准，主要是看开发者自己能便于识别和修改。

相关推荐：

nginx负载均衡器处理session共享的几种方法

Nginx负载均衡设置实例

nginx负载均衡配置

Das obige ist der detaillierte Inhalt vonDetaillierte Erläuterung der Nginx-Lastausgleichs- und Reverse-Proxy-Erweiterungsfunktionen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!