为何我推荐Nginx做为后端服务器代理

时间  2020-07-23
标签 为何 推荐 nginx 做为 后端 服务器 代理 栏目 Nginx 繁體版
原文   原文链接

1. 前言

咱们真实的服务器不该该直接暴露到公网上去,不然更加容易泄露服务器的信息,也更加容易受到攻击。一个比较“平民化”的方案是使用Nginx反向代理它。今天就来聊一聊使用Nginx反向代理的一些能力,Nginx代理能帮助咱们实现不少很是有效的API控制功能。这也解释了我为何一直推荐使用Nginx来代理咱们的Spring Boot应用。nginx

2. Nginx能够提供哪些能力

Nginx已经不用太多的赞美了,它已经获得了业界的普遍承认。咱们就聊聊它具体可以实现什么功能。web

2.1 代理能力

这是针对服务器端咱们最经常使用的功能,一台具备公网的Nginx服务器能够代理和它能进行内网通讯的真实的服务器。让咱们的服务器不直接对外暴露,增长其抗风险能力。正则表达式

Nginx反向代理web应用

假如Nginx服务器192.168.1.8能够和同一内网网段的192.168.1.9的应用服务器进行通讯,同时Nginx服务器具备公网能力并将公网绑定到域名felord.cn上。那么咱们Nginx代理的对应的配置(nginx.conf)是这样的:算法

server {
        listen       80;
        server_name  felord.cn;
    #   ^~ 表示uri以某个常规字符串开头,若是匹配到,则不继续往下匹配。不是正则匹配
        location ^~  /api/v1 {
            proxy_set_header Host $host;
            proxy_pass http://192.168.1.9:8080/;
        }
    }

通过以上配置后咱们服务器真实的接口地址是http://192.168.1.9:8080/foo/get就能够经过http://felord.cn/api/v1/foo/get访问。后端

proxy_pass若是以/结尾,就至关因而绝对根路径,那么Nginx不会把location中匹配的路径部分代理走;若是不以/结尾,也会代理匹配的路径部分。api

2.2 Rewrite功能

Nginx还提供了一个rewrite功能让咱们在请求到达服务器时重写URI,有点相似Servlet Filter的意味,对请求进行一些预处理。服务器

Nginx包含rewrite的流程

2.1的例子中若是咱们要实现若是判断请求为POST的话返回405,只须要更改配置为:session

location ^~  /api/v1 {
    proxy_set_header Host $host;
    if ($request_method = POST){
      return 405;
    }
    proxy_pass http://192.168.1.9:8080/;
}

你可使用Nginx提供的全局变量(如上面配置中的$request_method)或本身设置的变量做为条件,结合正则表达式和标志位(lastbreakredirectpermanent)实现URI重写以及重定向。app

2.3 配置HTTPS

以前不少同窗在群里问如何在Spring Boot项目中配置HTTPS,我都推荐使用Nginx来作这个事情。 NginxSpring Boot中配置SSL要方便的多,并且不影响咱们本地开发。NginxHTTPS的相关配置根据下面的改一改就能用:负载均衡

http{
    #http节点中能够添加多个server节点
    server{
        #ssl 须要监听443端口
        listen 443;
        # CA证书对应的域名
        server_name felord.cn;
        # 开启ssl
        ssl on;
        # 服务器证书绝对路径
        ssl_certificate /etc/ssl/cert_felord.cn.crt;
        # 服务器端证书key绝对路径 
        ssl_certificate_key /etc/ssl/cert_felord.cn.key;
        ssl_session_timeout 5m;
        # 协议类型
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        # ssl算法列表 
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
        #  是否 服务器决定使用哪一种算法  on/off   TLSv1.1 的话须要开启
        ssl_prefer_server_ciphers on;
        
        location ^~  /api/v1 {
            proxy_set_header Host $host;
            proxy_pass http://192.168.1.9:8080/;
        }
    }
    # 若是用户经过 http 访问 直接重写 跳转到 https 这个是一个颇有必要的操做
    server{
        listen 80;
        server_name felord.cn;
        rewrite ^/(.*)$ https://felord.cn:443/$1 permanent;
    }

}

这里就用到了rewrite来提升用户体验。

2.4 负载均衡

通常项目都是从小作到大起来的,起步的时候部署一个服务器就够用了,若是你的项目用户多了起来,首先恭喜你,说明你的项目方向很对。可是伴随而来还有服务器压力,你必定不想服务器宕机带来的各类损失,你须要快速提升服务器的抗压能力,或者你想不停机维护避免业务中断,这些均可以经过Nginx的负载均衡来实现,并且很是简单。假如felord.cn咱们部署了三个节点:

Nginx 负载均衡

最简单的轮询策略

轮番派发请求,这种配置是最简单的:

http {
    
    upstream app {
           # 节点1
           server 192.168.1.9:8080;
           # 节点2
           server 192.168.1.10:8081;
           # 节点3
           server 192.168.1.11:8082;
    }
    
    server {
        listen       80;
        server_name  felord.cn;
    #   ^~ 表示uri以某个常规字符串开头,若是匹配到,则不继续往下匹配。不是正则匹配
        location ^~  /api/v1 {
            proxy_set_header Host $host;
            # 负载均衡
            proxy_pass http://app/;
        }
    }
}

加权轮询策略

指定轮询概率,weight和访问比率成正比,用于后端服务器性能不均的状况:

upstream app {
       # 节点1
       server 192.168.1.9:8080 weight = 6;
       # 节点2
       server 192.168.1.10:8081 weight = 3;
       # 节点3
       server 192.168.1.11:8082 weight = 1;
}

最终请求处理数将为6:3:1 进行分配。其实简单轮询能够看做全部的权重均分为1。轮询宕机可自动剔除。

IP HASH

根据访问IP进行Hash,这样每一个客户端将固定访问服务器,若是服务器宕机,须要手动剔除。

upstream app {
       ip_hash;
       # 节点1
       server 192.168.1.9:8080 weight = 6;
       # 节点2
       server 192.168.1.10:8081 weight = 3;
       # 节点3
       server 192.168.1.11:8082 weight = 1;
}

最少链接

请求将转发到链接数较少的服务器上,充分利用服务器资源:

upstream app {
       least_conn;
       # 节点1
       server 192.168.1.9:8080 weight = 6;
       # 节点2
       server 192.168.1.10:8081 weight = 3;
       # 节点3
       server 192.168.1.11:8082 weight = 1;
}

其它方式

咱们能够借助一些插件来实现其它模式的负载均衡,例如借助于nginx-upsync-module实现动态负载均衡。咱们是否是借助于此能够开发一个灰度发布功能呢?

2.5 限流

经过对Nginx的配置,咱们能够实现漏桶算法和令牌桶算法,经过限制单位时间的请求数、同一时间的链接数来限制访问速度。这一块我并无深刻研究过这里就提一提,你能够查询相关的资料研究。

3. 总结

Nginx很是强大,推荐使用它来代理咱们的后端应用,咱们能够经过配置实现不少有用的功能,而没必要进行一些非业务逻辑的编码来实现,若是你在Spring Boot中实现限流、配置SSL的话,麻烦不说,还影响本地开发,使用Nginx可让咱们专心到业务中去。能够说Nginx在这里充当了一个小网关的做用,其实不少知名网关底层都是Nginx,好比KongOrangeApache APISIX等,若是你有兴趣能够玩一玩Nginx的高级形态Openresty。另外我这里也有一份很是不错的Nginx入门资料送给你,能够关注:码农小胖哥 回复 nginx 获取。

关注公众号:Felordcn 获取更多资讯

我的博客:https://felord.cn

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程