用Nginx反向代理实现Web服务器的IPv6发布

 这篇文章原文发布在”运维日志”博客于 2020年03月10日

1、实现思路

因为校园网内服务器的实际流量不大（最大几十兆），利用一台Nginx反向代理服务器彻底能够代理校内的全部Web服务器，只须要给反向代理服务器配置IPv6地址便可实现其他Web服务器的IPv6发布。

下图是实际的结构。

 

 

2、 实现过程

2.一、服务器IP地址

Nginx反向代理服务器的IPv4地址：210.26.16.30     IPv6地址为：2001:da8:c004:1018::30  域名为：nginx.lzit.edu.cn

内网Web服务器1的地址：210.26.16.123  域名：nic.lzit.edu.cn

内网Web服务器2的地址：210.26.16.124  域名：lib.lzit.edu.cn

内网Web服务器3的地址：……

内网Web服务器N的地址：……

2.二、配置DNS

添加AAAA记录和A记录，下图是PowerDNS（支持IPv六、DNSSEC）的配置：

将内网Web服务器的域名指向Nginx反向代理，以下图：

2.三、配置Nginx反向代理

Nginx的安装和配置在以前的博客都已经记录了：

• Nginx安装：http://www.javashuo.com/article/p-eobabnpf-ny.html  或者校内运维日志
• Nginx与LDAP结合：http://www.javashuo.com/article/p-ozpgfcys-ny.html  或者校内运维日志
• Nginx根据源地址选择LDAP认证： http://www.javashuo.com/article/p-klkyleig-ny.html  或者校内运维日志

网站nic.lzit.edu.cn的反向代理配置以下图所示：

代理其余内部Web服务器的配置跟上图同样，复制修改便可。

2.四、防火墙配置，开放Nginx服务器的IPv6和IPv4地址的Web端口，关闭其余服务器的Web端口。

3、 分析

这样就很方便的实现了网站的IPv6发布，固然，前提是学校网络（服务器区）要支持并配置好双栈网络，并与IPv6互联网连通。

能够到http://www.nic.edu.cn查询网站的whios记录和IPv6地址。

使用反向代理后只须要在反代的前边放置WAF便可。

服务器区防火墙只需放行反代的Web端口便可，其余Web服务器不用再对外发布。

本身配置Nginx须要必定的命令行操做，容易出现打字错误，当内网服务不少时，不容易调试错误。

网站的日志分析存储在log文本文件中，不易分析。

4、使用厂商定制过的Nginx实现

这部分是替换上边 2.3节 的手工配置。

反代的网站列表以下图：

配置界面以下图：

统计信息，比自建的NG直观。

本质上仍是Nginx的配置，要注意，一旦手工修改下图的配置（好比说本身添加了负载均衡相关的配置），表单上的配置就再也不生效了,会以该配置文件为准。

 

5、测试

两个地方：

一、科大张焕杰老师的 http://ipv6.ustc.edu.cn

二、http://ipv6c.cn