反向代理服务器(转)

反向代理及Nginx示例

1 反向代理的概念

反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的链接请求，而后将请求转发给内部网络上的服务器，并将从服务器上获得的结果返回给internet上请求链接的客户端，此时代理服务器对外就表现为一个服务器。

一般的代理服务器，只用于代理内部网络对Internet外部网络的链接请求，客户机必须指定代理服务器，并将原本要直接发送到Web服务器上的 http请求发送到代理服务器中。不支持外部网络对内部网络的链接请求，由于内部网络对外部网络是不可见的。当一个代理服务器可以代理外部网络上的主机， 访问内部网络时，这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web服务器，外部网络就能够简单把它看成一个标准的Web服务器 而不须要特定的配置。不一样之处在于，这个服务器没有保存任何网页的真实数据，全部的静态网页或者CGI程序，都保存在内部的Web服务器上。所以对反向代 理服务器的攻击并不会使得网页信息遭到破坏，这样就加强了Web服务器的安全性。

反向代理就是一般所说的web服务器加速，它是一种经过在繁忙的web服务器和外部网络之间增长一个高速的web缓冲服务器来下降实际的web服务 器的负载的一种技术。反向代理是针对web服务器提升加速功能，做为代理缓存，它并非针对浏览器用户，而针对一台或多台特定的web服务器，它能够代理 外部网络对内部网络的访问请求。

方向代理服务器会强制将外部网络对要代理的服务器的访问通过它，这样反向代理服务器负责接收客户端的请求，而后到源服务器上获取内容，把内容返回给 用户，并把内容保存到本地，以便往后再收到一样的信息请求时，它会把本地缓存里的内容直接发给用户，以减小后端web服务器的压力，提升响应速度。

2 反向代理服务器与内容服务器

代理服务器充当服务器的替身，若是您的内容服务器具备必须保持安全的敏感信息，如信用卡号数据库，可在防火墙外部设置一个代理服务器做为内容服务器 的替身。当外部客户机尝试访问内容服务器时，会将其送到代理服务器。实际内容位于内容服务器上，在防火墙内部受到安全保护。代理服务器位于防火墙外部，在 客户机看来就像是内容服务器。

当客户机向站点提出请求时，请求将转到代理服务器。而后，代理服务器经过防火墙中的特定通路，将客户机的请求发送到内容服务器。内容服务器再经过该 通道将结果回传给代理服务器。代理服务器将检索到的信息发送给客户机，好像代理服务器就是实际的内容服务器。若是内容服务器返回错误消息，代理服务器会先 行截取该消息并更改标头中列出的任何URL，而后再将消息发送给客户机。如此可防止外部客户机获取内部内容服务器的重定向URL。

这样，代理服务器就在安全数据库和可能的恶意攻击之间提供了又一道屏障。文章来源：一块儿遛书网www.176book.com。与有权访问整个数据 库的状况相对比，就算是侥幸攻击成功，做恶者充其量也仅限于访问单个事务中所涉及的信息。未经受权的用户没法访问到真正的内容服务器，由于防火墙通路只允 许代理服务器有权进行访问。

3 反向代理服务器的工做流程

1） 用户经过域名发出访问web服务器的请求，该域名被DNS服务器解析为反向代理服务器的IP地址；

2） 反向代理服务器接受用户的请求；

3） 反向代理服务器在本地缓存中查找请求的内容，找到后直接把内容发送给用户；

4） 若是本地缓存里没有用户所请求的信息内容，反向代理服务器会代替用户向源服务器请求一样的信息内容，并把信息内容发给用户，若是信息内容是缓存的还会把它保存到缓存中。

4 反向代理的好处

1） 解决了网站服务器对外可见的问题；

2） 节约了有限的IP地址资源，企业内全部的网站共享一个在internet中注册的IP地址，这些服务器分配私有地址，采用虚拟主机的方式对外提供服务；

3） 保护了真实的web服务器，web服务器对外不可见，外网只能看到反向代理服务器，而反向代理服务器上并无真实数据，所以，保证了web服务器的资源安全；

4） 加速了对网站访问速度，减轻web服务器的负担，反向代理具备缓存网页的功能，若是用户须要的内容在缓存中，则能够直接从代理服务其中获取，减轻了web服务器的负荷，同时也加快了用户的访问速度。

5 Nginx做为反向代理实现负载均衡的示例

咱们介绍了nginx这个轻量级的高性能server主要能够干的两件事情：

直接做为http server(代替apache，对PHP须要FastCGI处理器支持，这个咱们以后介绍)；

另一个功能就是做为反向代理服务器实现负载均衡(以下咱们就来举例说明实际中如何使用nginx实现负载均衡)。

由于nginx在处理并发方面的优点，如今这个应用很是常见。文章来源：一块儿遛书网www.176book.com。固然了Apache的 mod_proxy和mod_cache结合使用也能够实现对多台app server的反向代理和负载均衡，可是在并发处理方面apache仍是没有nginx擅长。

1)环境：

a. 咱们本地是Windows系统，而后使用VirutalBox安装一个虚拟的Linux系统。在本地的Windows系统上分别安装nginx(侦听 8080端口)和apache(侦听80端口)。在虚拟的Linux系统上安装apache(侦听80端口)。这样咱们至关于拥有了1台nginx在前端 做为反向代理服务器；后面有2台apache做为应用程序服务器(能够看做是小型的server cluster。;-) )；

b. nginx用来做为反向代理服务器，放置到两台apache以前，做为用户访问的入口；nginx仅

仅处理静态页面，动态的页面(php请求)通通都交付给后台的两台apache来处理。也就是说，能够把咱们网站的静态页面或者文件放置到nginx的目录下；动态的页面和数据库访问都保留到后台的apache服务器上。

c. 以下介绍两种方法实现server cluster的负载均衡。

咱们假设前端nginx(为127.0.0.1:80)仅仅包含一个静态页面index.html；

后台的两个apache服务器(分别为localhost:80和158.37.70.143:80)，一台根目录放置phpMyAdmin文件夹 和test.php(里面测试代码为print "server1";)，另外一台根目录仅仅放置一个test.php(里面测试代码为print "server2";)。

2)针对不一样请求的负载均衡：

a. 在最简单地构建反向代理的时候(nginx仅仅处理静态不处理动态内容，动态内容交给后台的apache server来处理)，咱们具体的设置为：在nginx.conf中修改： location ~ /.php$ { proxy_pass 158.37.70.143:80 ; }

这样当客户端访问localhost:8080/index.html的时候，前端的nginx会自动进行响应；

当用户访问localhost:8080/test.php的时候(这个时候nginx目录下根本就没有该文件)，可是经过上面的设置 location ~ /.php$(表示正则表达式匹配以.php结尾的文件，详情参看location是如何定义和匹配的http://wiki.nginx.org /NginxHttpCoreModule) ，nginx服务器会自动pass给158.37.70.143的apache服务器了。该服务器下的test.php就会被自动解析，而后将html的 结果页面返回给nginx，而后nginx进行显示(若是nginx使用memcached模块或者squid还能够支持缓存)，输出结果为打印 server2。

如上是最为简单的使用nginx作为反向代理服务器的例子；

b. 咱们如今对如上例子进行扩展，使其支持如上的两台服务器。

咱们设置nginx.conf的server模块部分，将对应部分修改成：

location ^~ /phpMyAdmin/ { proxy_pass 127.0.0.1:80 ; }location ~ /.php$ { proxy_pass 158.37.70.143:80 ; }

上面第一个部分location ^~ /phpMyAdmin/，表示不使用正则表达式匹配(^~)，而是直接匹配，也就是若是客户端访问的URL是以http: //localhost:8080/phpMyAdmin/ 开头的话(本地的nginx目录下根本没有phpMyAdmin目录)，nginx会自动pass到127.0.0.1:80 的Apache服务器，该服务器对phpMyAdmin目录下的页面进行解析，而后将结果发送给nginx，后者显示；

若是客户端访问URL是http://localhost/test.php 的话，则会被pass到158.37.70.143:80 的

apache进行处理。

所以综上，咱们实现了针对不一样请求的负载均衡。

若是用户访问静态页面index.html，最前端的nginx直接进行响应；

若是用户访问test.php页面的话，158.37.70.143:80 的Apache进行响应；

若是用户访问目录phpMyAdmin下的页面的话，127.0.0.1:80 的Apache进行响应；

3)访问同一页面的负载均衡：

即用户访问http://localhost:8080/test.php 这个同一页面的时候，咱们实现两台服务器的负载均衡(实际状况中，这两个服务器上的数据要求同步一致，这里咱们分别定义了打印server1和server2是为了进行辨认区别)。

a. 如今咱们的状况是在windows下nginx是localhost侦听8080端口；

两台apache，一台是127.0.0.1:80(包含test.php页面可是打印server1)，另外一台是虚拟机的158.37.70.143:80(包含test.php页面可是打印server2)。

b. 所以从新配置nginx.conf为：

首先在nginx的配置文件nginx.conf的http模块中添加，服务器集群server cluster(咱们这里是两台)的定义： upstream myCluster { server 127.0.0.1:80 ; server 158.37.70.143:80 ; }表示这个server cluster包含2台服务器>而后在server模块中定义，负载均衡： location ~ /.php$ { proxy_pass http://myCluster ; #这里的名字和上面的cluster的名字相同proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }这样的话，若是访问http://localhost:8080/test.php 页面的话，nginx目录下根本没有该文件，可是它会自动将其pass到myCluster定义的服务区机群中，分别由127.0.0.1:80;或者 158.37.70.143:80;来作处理。上面在定义upstream的时候每一个server以后没有定义权重，表示二者均衡；若是但愿某个更多响应 的话例如： upstream myCluster { server 127.0.0.1:80 weight=5;

server 158.37.70.143:80 ; }这样表示5/6的概率访问第一个server,1/6访问第二个。另外还能够定义max_fails和fail_timeout等参数。

 

综上，咱们使用nginx的反向代理服务器reverse proxy server的功能，将其布置到多台apache server的前端。

nginx仅仅用来处理静态页面响应和动态请求的代理pass，后台的apache server做为app server来对前台pass过来的动态页面进行处理并返回给nginx。

经过以上的架构，咱们能够实现nginx和多台apache构成的机群cluster的负载均衡。两种均衡：

1)能够在nginx中定义访问不一样的内容，代理到不一样的后台server；如上例子中的访问phpMyAdmin目录代理到第一台server上；访问test.php代理到第二台server上；

2)能够在nginx中定义访问同一页面，均衡(固然若是服务器性能不一样能够定义权重来均衡)地代理到不一样的后台server上。如上的例子访问test.php页面，会均衡地代理到server1或者server2上。

实际应用中，server1和server2上分别保留相同的app程序和数据，须要考虑二者的数据同步。

 

转自：http://blog.csdn.net/xuqianghit/article/details/6576621