LNMP---nginx反向代理、nginx负载均衡、配置nginx的ssl

4.48/49 nginx反向代理

4.50 nginx负载均衡

4.51 配置nginx的ssl

 

扩展连接：    https://github.com/aminglinux/nginx/tree/master/ssl

 

 

1、nginx反向代理

什么叫反向代理？

A想要访问C上的网站
A（用户）-->  B（在和C同一个机房，而且有公网即外网）-->  C（不带公网的机器）
A能够访问B，B能够访问C，最终A成功访问到了C，即代理的过程，用B代替A去访问C，B是代理的机器

什么场景会使用反向代理？

1）访问不带公网的内网机器

2）解决两台机器之间通讯有障碍的问题

场景设置：

1）A B 两台机器，其中A只有内网，B有内网和外网
2）A的内网ip是 192.168.246.128
3）B的内网ip是 192.168.246.33  B的外网IP是 192.168.253.129
4）C为客户端，C只能访问B的外网IP，不能访问A或者B的内网IP

需求目的：

C要访问到A内网上的网站,C经过访问B，B访问到了A，最终C访问到了A

在B机器上编辑虚拟主机配置文件

discuz.tobe.com.conf

server
{
        listen 80;
        server_name discuz.tobe.com;    #代理的域名

        location /
        {
            proxy_pass http://192.168.246.128; #此处的ip为真正的源的内网ip，B的nginx会去访问这个ip，经过这个ip访问到了网站
            proxy_set_header Host $host;    #设定header信息,代理时的header是什么，$host域名即server_name
            proxy_set_header X-Real-IP $remote_addr;    # 最后两行为了在日志当中显示源ip和显示CB两台机器的ip
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

下方的即为header信息

绑定hosts

 

2、nginx负载均衡

参考http://www.javashuo.com/article/p-kvohwbfg-d.html

什么是负载均衡？

负载均衡就是，把请求均衡地分发到后端的各个机器上面。
好比，A B C D 四台WEB服务器，如今E要访问这4台服务器，F为Nginx反向代理服务器，可让F把E的请求均衡地发送到A B C D 4台服务器上。

使用 dig 查看域名； 没有安装能够用yum安装此包：yum install -y bind-utils

在192.168.246.33这台机器上进行配置：

vi apelearn.com.conf

upstream apelearn    #upstream定义负载均衡组
    {
        ip_hash;    #负载均衡算法
        server 115.159.51.96:80 weight=100; #真正的服务器ip地址  #weight=100，权重最高100，最小0
        server 47.104.7.242:80;

    }
    server
    {
        listen 80;
        server_name www.apelearn.com;
        location /
        {
            proxy_pass http://apelearn;    #apelearn即upstream定义的
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }

curl -x127.0.0.1:80 www.apelearn.com -I    此时能够经过本身的机器能访问该网站。说明设置成功

3、配置nginx的ssl

Nginx的SSL

让Nginx实现用https来访问网站。http是80端口，https是443端口。端口能够定义
https其实就是一种加密的http。

为何要加密

举例：若是要在网上银行汇款，在你汇款过程中，你会输入银行卡的密码。若是不加密，这些数据在传输过程当中就有可能被人截获。

若是使用了https，那么数据在传输过程当中是会加密的。即便抓到了数据包，可是没法破jie出来。

申请证书：

网站：www.wosign.com （沃通）
免费的：freessl.cn
注册帐号，输入域名，开始申请，在这个过程当中须要到DNSpod去加一条TXT的记录

DNSpod：

把对应的txt信息填入进去

设置完成后会生成证书信息，在服务器上建立ssl目录用来存放证书。

xxx.crt文件用来加密
xxx.key用来解密

在虚拟主机中配置：

vim discuz.tobe.com.conf

监听端口改成443 ssl 

#ssl on;
ssl_certificate /path/to/xxx.crt;
ssl_certificate_key /path/to/xxx.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

若是报这个错误，说明nginx 1.15 及之后的版本，不须要再写 ssl on; 了，注释或删除

nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /etc/nginx/conf.d/discuz.tobe.com.conf:4

重启nginx，出现监听443端口

firewall-cmd --add-port=443/tcp --permanent   把443端口添加到白名单

firewall-cmd --reload  从新加载

在另外一台机器上，curl访问https： 返回网站信息即成功

curl -k -H "host:discuz.tobe.com" https://192.168.246.128/index.php       

浏览器上测试：

使用https访问：    https://discuz.tobe.com