浅谈Nginx之反向代理

时间 2019-11-07

标签浅谈 nginx 反向代理栏目 Nginx 繁體版

原文原文链接

Nginx是一个异步框架的 Web服务器，也能够用做反向代理，负载平衡器和 HTTP缓存,今天咱们就来聊聊反向代理。html

什么是反向代理?

反向代理（Reverse Proxy）方式是指以代理服务器来接受internet上的链接请求，而后将请求转发给内部网络上的服务器，并将从服务器上获得的结果返回给internet上请求链接的客户端，此时代理服务器对外就表现为一个反向代理服务器。nginx

咱们换个方式理解，就是当外部网络对内部网络器是不能直接访问的，要经过一个代理服务器才能进行访问，而外部网络看到的只是代理服务器，反馈也是由代理服务器返回的，外部网络对于代理服务器与内部网络直接的具体状况是不可见的。web

正向代理和反向代理什么区别？

正向代理是一个位于客户端和原始服务器(origin server)之间的服务器，为了从原始服务器取得内容，客户端向代理发送一个请求并指定目标(原始服务器)，而后代理向原始服务器转交请求并将得到的内容返回给客户端。客户端才能使用正向代理。后端

这里有一个最显著的区别是：（能够看下面的图示来感觉）缓存

正向代理是客户端知道目的服务器在哪里，而后经过代理服务器去访问客户端不能直接访问的目标服务器，而目标服务器并不知道客户端经过什么来访问的，即 正向代理代理的是客户端 。
反向代理中，外部网络对于内部网络具体的状况是不可见的，而代理服务器来代理内部网络来返回所要的数据(固然静态文件能够放在Nginx，这个静动分离再说)，而服务端知道请求的来源以及数据 反向代理代理的是服务端 。

反向代理的好处

保护了真实的web服务器，web服务器对外不可见，外网只能看到反向代理服务器，而反向代理服务器上并无真实数据，所以，保证了web服务器的资源安全。
反向代理为基础产生了动静资源分离以及负载均衡的方式，减轻web服务器的负担，加速了对网站访问速度（动静资源分离和负载均衡会之后说）
节约了有限的IP地址资源，企业内全部的网站共享一个在internet中注册的IP地址，这些服务器分配私有地址，采用虚拟主机的方式对外提供服务；

反向代理在Nginx.conf的简单配置

server {
        listen       8182;
        server_name  localhost;
        ...
        location / {
	    proxy_pass http://localhost:8082;  
	    ...
        }
        
    }
复制代码

server块能够理解为一个虚拟主机，此时咱们若是调用的是http://localhost:8182时，会将这个请求转发到http://localhost:8082,所以实际处理这个请求的是http://localhost:8082安全

使用Nginx后web服务器如何得到真实的用户IP

问题：

当使用Nginx后，web服务器中request.getRemoteAddr(),获得的是Nginx的ip，而不是真实用户的ipbash

解决方案：

在nginx.conf的的中的location中添加一些赋值操做服务器

server {
        ...
        location / {
            ...
            proxy_set_header    Host $host;
            proxy_set_header    X-real-ip $remote_addr;
            proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
        }
        
    }
复制代码

而后web服务端就能够能够经过request.getHeader("X-Forwarded-For");来得到真实的用户ip网络

知识点介绍:

proxy_set_header X-real-ip $remote_addr;
这里的X-real-ip是一个自定义名，名字随意，效果是能够将 ip 就被放在 X-real-ip 这个变量里了，能够经过request.getHeader("X-real-ip ")获取当前的值，与X-Forwarded-For，下文会进行解释
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

首先咱们要知道什么是X-Forwarded-For?

X-Forwarded-For:简称XFF头，它表明客户端，也就是HTTP的请求端真实的IP，只有在经过了HTTP 代理或者负载均衡服务器时才会添加该项。用于识别经过HTTP代理或负载平衡器原始IP一个链接到Web服务器的客户机地址的非rfc标准，负载均衡

当Nginx有进行X-Forwarded-For设置的话,每次通过proxy转发都会有记录,格式就是client1, proxy1,proxy2,以逗号隔开各个地址，并且因为他是非rfc标准，因此默认是没有的，须要强制添加，经过Proxy转达的时候，后端服务器看到的远程ip是Proxy的ip，也就是说若是直接使用request.getHeader("X-Forwarded-For")是获取不到用户ip的，那咱们要如何设置得到用户ip呢？

此时就须要在nginx配置的location块中添加

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for
复制代码

注意这里的意思是增长到X-Forwarded-For中，不是覆盖，而增长后的格式就是以前说的“client1,proxy1....”，默认的时候X-Forwarded-For是空的，若是有两个nginx，而且都配置了上面这个命令，则会在web服务器的request.getHeader("X-Forwarded-For")得到的是“用户ip，第一个nginx的ip”，分别对应以前的格式。

proxy_add_forwarded_for包含着两个格式，前面一部分是请求头的X-Forwarded-For,然后面$remote_addr,也就是说是远程用户的ip

咱们来个图浅显的解释下：

X-real-ip与X-Forwarded-For的区别

X-real-ip是覆盖，而X-Forwarded-For是后面添加

举个例子，请求由1.1.1.1发出，通过三层代理，第一层是2.2.2.2，第二层是3.3.3.3，而本次请求的来源IP4.4.4.4是第三层代理，

而X-Real-IP，没有相关标准，上面的例子，若是配置了X-Read-IP，可能会有两种状况
```
最后一跳是正向代理，可能会保留真实客户端IP:X-Real-IP: 1.1.1.1// 最后一跳是反向代理，好比Nginx，通常会是与之直接链接的客户端IP:X-Real-IP: 3.3.3.3
复制代码
```
而X-Forwarded-For的结果则是
```
X-Forwarded-For:1.1.1.1, 2.2.2.2, 3.3.3.3
复制代码
```
因此若是只有一层代理，则两个值是同样的