Nginx负载均衡...

11月29日任务

12.17 Nginx负载均衡
12.18 ssl原理
12.19 生成ssl密钥对
12.20 Nginx配置ssl

一.Nginx负载均衡

示例一：

• vim /usr/local/nginx/conf/vhost/load.conf // 写入以下内容

upstream qq_com

{    

ip_hash;    

server 61.135.157.156:80;    

server 125.39.240.113:80;

}

server

{    

listen 80;    

server_name www.qq.com;    定义监听端口域名

location /    

{        

proxy_pass      http://qq_com;        

proxy_set_header Host   $host;        

proxy_set_header X-Real-IP      $remote_addr;        

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    

  }

}  

• upstream来指定多个web server
• yum install -y bind-utils  安装该包
• 使用dig 查询出域名解析了哪些ip

• Nginx不支持代理https，只支持代理http，新版本支持代理tcp

 

二.ssl原理

• https
• ssl通讯是加密的
• 浏览器发送一个https的请求给服务器；  
• 服务器要有一套数字证书，能够本身制做（后面的操做就是阿铭本身制做的证书），也能够向组织申请，区别就是本身颁发的证书须要客户端验证经过，才能够继续访问，而使用受信任的公司申请的证书则不会弹出>提示页面，这套证书其实就是一对公钥和私钥；  
• 服务器会把公钥传输给客户端；
• 客户端（浏览器）收到公钥后，会验证其是否合法有效，无效会有警告提醒，有效则会生成一串随机数，并用收到的公钥加密；  客户端把加密后的随机字符串传输给服务器；  服务器收到加密随机字符串后，先用私钥解密（公钥加密，私钥解密），获取到这一串随机数后，再用这串随机字符串加密传输的数据（该加密为对称加密，所谓对称加密，就是将数据和私钥也就是这个随机字符串>经过某种算法混合在一块儿，这样除非知道私钥，不然没法获取数据内容）；  
• 服务器把加密后的数据传输给客户端；  
• 客户端收到数据后，再用本身的私钥也就是那个随机字符串解密；

 

三.生产ssl密钥对

示例一：

• yum install openssl 安装包
• cd /usr/local/nginx/conf
•  openssl genrsa -des3 -out tmp.key 2048//key   ，生成rsa形式的密钥，文件为私钥  

• openssl rsa -in tmp.key -out aminglinux.key //转换key，取消密码  

• rm -f tmp.key  
• openssl req -new -key aminglinux.key -out aminglinux.csr//生成证书请求文件，须要拿这个请求文件和私钥一块儿生产公钥文件  

 

• openssl x509 -req -days 365 -in aminglinux.csr -signkey aminglinux.key -out aminglinux.crt  生成公钥，用生成的请求文件和私钥生成

• ls 看一下

• 这里的aminglinux.crt为公钥

 

四.Nginx配置ssl

示例一：

•  vim /usr/local/nginx/conf/vhost/ssl.conf//加入以下内容

server

{    

listen 443;    

server_name aming.com;    

index index.html index.php;    

root /data/wwwroot/aming.com;    

ssl on;    

ssl_certificate aminglinux.crt;    指定公钥

ssl_certificate_key aminglinux.key;    指定私钥

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  协议，通常三种协议都配置上

}

• mkdir /data/wwwroot/aming.com 建立root定义的目录
• -t && -s reload //若报错unknown directive “ssl” ，须要从新编译nginx，加上--with-http_ssl_module  

• cd /usr/local/src/nginx-1.12.1/ 进去Nginx源码包下

• ./configure --prefix=/usr/local/nginx --with-http_ssl_module   编译该模块

• make && make install 
• 查看一下

• -t &&restare 检测语法，而且重启一下Nginx 

• 查看一下443端口是否监测

• mkdir /data/wwwroot/aming.com  建立一个目录
• echo “ssl test page.”>/data/wwwroot/aming.com/index.html 建立一个测试文件
• vi /etc/hosts
• 编辑hosts，增长127.0.0.1 aming.com  

• curl https://aming.com/ 测试一下