首頁 >運維 >Nginx >nginx中怎麼設定使用proxy protocol協定

nginx中怎麼設定使用proxy protocol協定

王林
王林轉載
2023-05-18 08:47:262827瀏覽

    proxy protocol在nginx中應用

    #我們知道nginx是web伺服器和代理伺服器,它一般工作在proxy server或負載平衡軟體(Haproxy ,Amazon Elastic Load Balancer (ELB)的後面。

    首先,客戶端向代理伺服器或負載平衡軟體發起請求,然後請求會被轉發到nginx進行實際的web存取。

    因為經過了多層軟體,所以客戶端的一些資訊例如ip位址,連接埠號碼等可能就會被隱藏,這對於我們問題分析,資料統計都是不利的。我們希望獲得客戶端真實的IP位址,以便獲取準確的請求環境。

    這種情況下就需要用到PROXY protocol了。

    #如果前面所說的proxy或LSB都實現了PROXY protocol協定的話,不管是HTTP, SSL , HTTP/2, SPDY, WebSocket 還是TCP協議,nginx都可以拿到客戶端的原始IP位址,從而根據原始IP位址進行一些特殊的操作,例如屏蔽惡意IP的訪問,根據IP不同展示不同的語言或頁面,或者更簡單的日誌記錄和統計等,都非常有效。

    當然,如果想要支援PROXY protocol,對nginx的版本也是有要求的,具體版本需求如下:

    • 想要支援PROXY protocol v2,需要NGINX Plus R16或NGINX Open Source 1.13.11。

    • 想要支援ROXY protocol for HTTP,需要NGINX Plus R3或NGINX Open Source 1.5.12。

    • 想要支援TCP client‑side PROXY protocol,需要NGINX Plus R7或NGINX Open Source 1.9.3。

    • ##想要支援PROXY protocol for TCP,需要NGINX Plus R11 或NGINX Open Source 1.11.4。

    在nginx中可以透過下面的變數來取得對應的客戶端資訊,具體而言如下所示:

    $proxy_protocol_addr和$proxy_protocol_port 分別表示的是原始客戶端的IP位址和連接埠號碼。

    $remote_addr 和 $remote_port表示的是load balancer的的IP位址和連接埠。

    如果你使用了RealIP擴充模組,那麼這個模組會重寫$remote_addr 和 $remote_port這兩個值,將其替換成原始客戶端的IP位址和連接埠號碼。

    然後使用$realip_remote_addr 和 $realip_remote_port來表示load balancer的的IP位址和連接埠。

    在RealIP擴充模組中,$proxy_protocol_addr和$proxy_protocol_port 表示的意義不變,還是原始客戶端的IP位址和連接埠號碼。

    在nginx中設定使用proxy protocol

    上面我們提到了nginx中proxy protocol的基本應用,下面來講一下如何在nginx中進行具體的設定。

    在nginx中啟用proxy protocol

    如果你的nginx已經是支援proxy protocol的版本,那麼啟用proxy protocol非常簡單,只需要在server中的listen中加入proxy_protocol即可,如下:

    http {
        #...
        server {
            listen 80   proxy_protocol;
            listen 443  ssl proxy_protocol;
            #...
        }
    }
       
    stream {
        #...
        server {
            listen 112233 proxy_protocol;
            #...
        }
    }

    大家比較熟悉的是http block,在nginx中,它表示對http/https的支持。 Nginx提供了對TCP/UDP協定的支持,這項功能透過stream模組實現,對許多人來說比較陌生。

    透過上面的配置,nginx可以實現在tcp/udp協定和http/https協定同時支援proxy protocol。

    使用Real‑IP modules

    Real‑IP modules是nginx自帶的一個模組,可以透過下面的指令來查看nginx是否有安裝real-ip模組:

    nginx -V 2>&1 | grep -- 'http_realip_module'
    nginx -V 2>&1 | grep -- 'stream_realip_module'

    如果你目前使用的版本沒有real ip,也不要急,這時候你可能需要從原始碼編譯。

    在編譯的過程中,我們需要執行一個configure指令,在這個configure指令中可以指定要開啟的功能,例如stream或http_ssl_module:

    $ ./configure
    --sbin-path=/usr/local/nginx/nginx
    --conf-path=/usr/local/nginx/nginx.conf
    --pid-path=/usr/local/nginx/nginx.pid
    --with-pcre=../pcre-8.44
    --with-zlib=../zlib-1.2.11
    --with-http_ssl_module
    --with-stream
    --with-mail

    如果要開啟real-ip功能,則可以新增:

    --with-http_realip_module

    如果nginx是運行在SLB或proxy之後的,那麼可以透過set_real_ip_from指令來指定代理程式或負載平衡伺服器的IP範圍,如下所示:

    server {
        #...
        set_real_ip_from 192.168.1.0/24;
       #...
    }

    然後我們需要將proxy或SLB的IP位址替換為真實客戶端的位址,那麼可以這樣使用:

    http {
        server {
            #...
            real_ip_header proxy_protocol;
          }
    }

    請求轉送

    不管是http還是stream block,都可能會遇到請求向後續的upstream進行轉送的情況,對於upstream來說,他們希望收到的是真實客戶端IP位址,而不是proxy或slb的位址,那麼可以透過下面的設定來解決:

    http {
        proxy_set_header X-Real-IP       $proxy_protocol_addr;
        proxy_set_header X-Forwarded-For $proxy_protocol_addr;
    }
    stream {
        server {
            listen 12345;
            proxy_pass example.com:12345;
            proxy_protocol on;
        }
    }

    http和stream的設定方式是不同的。

    日誌記錄

    日誌是一個非常重要的功能,對於定位問題,執行資料統計分析都非常有用,當然我們需要的是真實的客戶端IP位址。

    ###我們可以透過使用變數$proxy_protocol_addr在http和stream block中記錄對應的日誌,如下所示:###
    http {
        #...
        log_format combined '$proxy_protocol_addr - $remote_user [$time_local] '
                            '"$request" $status $body_bytes_sent '
                            '"$http_referer" "$http_user_agent"';
    }
    stream {
        #...
        log_format basic '$proxy_protocol_addr - $remote_user [$time_local] '
                          '$protocol $status $bytes_sent $bytes_received '
                          '$session_time';
    }

    以上是nginx中怎麼設定使用proxy protocol協定的詳細內容。更多資訊請關注PHP中文網其他相關文章!

    陳述:
    本文轉載於:yisu.com。如有侵權,請聯絡admin@php.cn刪除