- 创建者: 虚拟的现实,上次更新时间:12月 25, 2024 需要 5 分钟阅读时间
Host 头匹配流程
禁止其它域名访问
nginx安装在192.168.111.124,上面配置2个域名doc.myj.com.cn和zabbix.myj.com.cn。默认情况下输入http://192.168.111.124会打开doc.myj.com.cn页面,要求实现只能通过域名访问,使用IP地址提示403或跳转其它页面。
增加default.conf配置文件
server { listen 80 default_server; server_name _; return 403; ## index 403.html }
重启生效
详情可参考:https://nginx.org/en/docs/http/server_names.html
跨域问题处理
假如代理服务器地址是 www.c.com/proxy/html/api/msg?method=1=2; www.c.com是nginx主机地址
远端服务器地址:http://www.b.com/api/msg?method=1=2
在nginx服务器上做如下配置。在location下面再添加一个location。
location ^~/proxy/html/{ rewrite ^/proxy/html/(.*)$ /$1 break; proxy_pass http://www.b.com/; }
说明
'^~ /proxy/html/ ‘
就像上面说的一样是一个匹配规则,用于拦截请求,匹配任何以 /proxy/html/开头的地址,匹配符合以后,停止往下搜索正则。
rewrite ^/proxy/html/(.*)$ /$1 break;
代表重写拦截进来的请求,并且只能对域名后边的除去传递的参数外的字符串起作用,例如www.c.com/proxy/html/api/msg?method=1=2重写。只对/proxy/html/api/msg重写。
rewrite后面的参数是一个简单的正则 ^/proxy/html/(.*)$ ,$1代表正则中的第一个(),$2代表第二个()的值,以此类推。
break代表匹配一个之后停止匹配。
Node.js 反向代理
服务端如果使用nodejs运行服务,由于端口不能同时多个服务占用,而服务器中可能又是多个网站,那么可以使用 Nginx 做反向代理,比如有这些网站域名和端口:
域名 | 端口 |
---|---|
www.xxoo.com | 8001 |
www.xo.com | 8002 |
www.xo.cn | 8003 |
配置文件
server { server_name www.xxoo.com; listen 80; # 设置这个网站的根目录 root /wwwroot/www.xxoo.com/; # 由于下面配置了文件不存在则代码到 Node.js 中,那么直接访问目录(不带默认主页)的话会有问题,这里做下判断 # 如果访问目录下有 index.html 文件,则直接重写到该文件 # break 表示重写且停止,但 url 不变,而 permanent 表示301重定向,url 会更新 if ( -f $request_filename/index.html ){ rewrite (.*) $1/index.html break; } # 如果请求的文件不存在,则代理到 Node.js if ( !-f $request_filename ){ rewrite (.*) /index.js; } # 代理node服务 8001 location = /index.js { # 设置一些代理的header信息,这些信息将被透传到 Node.js 服务的header信息里 proxy_set_header Connection ""; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; # 代理服务 proxy_pass http://127.0.0.1:8001$request_uri; # 忽略其他重写 proxy_redirect off; } }
内容说明
访问链接 | 解析过程 | 备注 |
---|---|---|
www.xxoo.com/index.html | Nginx | 由于文件存在,直接使用 Nginx 输出 |
www.xxoo.com | Nginx | 由于判断该目录下有 index.html 文件,则自动重写到该文件,但 url 不变 |
www.xxoo.com/xx.html | Nginx -> Node.js:8001 | 由于文件不存在,使用 Nginx 代理到 Node.js 的 8001 端口 |
www.xxoo.com/xxoo/ | Nginx -> Node.js:8001 | 首先判断该目录是否存在 如果存在再判断是否有 index.html 文件一旦不成立,直接代理到 Node.js |
重写网页图片 CDN
在不调整网页代码的情况下重新调整页面展示图片的后端网络
location ^~ /test/ { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host "appfleet.com"; proxy_set_header X-Forwarded-Proto https; proxy_pass http://127.0.0.1:2368; proxy_redirect off; #disable compression proxy_set_header Accept-Encoding ""; #rewrite the html sub_filter_once off; sub_filter_types text/html; sub_filter '<img src="https://appfleet.com' '<img loading="lazy" src="https://appfleet-com.cdn.ampproject.org/i/s/appfleet.com'; }
rewrite 重定向
rewrite 语法格式及参数语法
rewrite是实现URL重写的关键指令,根据regex (正则表达式)部分内容,重定向到replacement,结尾是flag标记。
rewrite <regex> <replacement> [flag];
- 关键字 正则 替代内容 flag标记
- 关键字:其中关键字error_log不能改变
- 正则:perl兼容正则表达式语句进行规则匹配
- 替代内容:将正则匹配的内容替换成replacement
- flag标记:rewrite支持的flag标记
rewrite参数的标签段位置:server,location,if
flag标记说明:
- last #本条规则匹配完成后,继续向下匹配新的location URI规则
- break #本条规则匹配完成即终止,不再匹配后面的任何规则
- redirect #返回302临时重定向,浏览器地址会显示跳转后的URL地址
- permanent #返回301永久重定向,浏览器地址栏会显示跳转后的URL地址
Nginx rewrite变量
常用于匹配HTTP请求头信息、浏览器主机名、URL
HTTP headers:HTTP_USER_AGENT, HTTP_REFERER, HTTP_COOKIE, HTTP_HOST, HTTP_ACCEPT;
connection & request: REMOTE_ADDR, QUERY_STRING;
server internals: DOCUMENT_ROOT, SERVER_PORT, SERVER_PROTOCOL;
system stuff: TIME_YEAR, TIME_MON, TIME_DAY。
详解如下:
- HTTP_USER_AGENT 用户使用的代理,例如浏览器;
- HTTP_REFERER 告知服务器,从哪个页面来访问的;
- HTTP_COOKIE 客户端缓存,主要用于存储用户名和密码等信息;
- HTTP_HOST 匹配服务器ServerName域名;
- HTTP_ACCEPT 客户端的浏览器支持的MIME类型;
- REMOTE_ADDR 客户端的IP地址
- QUERY_STRING URL中访问的字符串;
- DOCUMENT_ROOT 服务器发布目录;
- SERVER_PORT 服务器端口;
- SERVER_PROTOCOL 服务器端协议;
- TIME_YEAR 年;
- TIME_MON 月;
- TIME_DAY 日;
场景举例
1、将uri中的所有空格替换为"_",连续的空格替换为一个"_"放到proxy_pass之前
rewrite '^(\S+) +(\S+)(.*)' $1_$2$3 last;
2、将zy.com跳转至www.zy.com
if ($host = zy.com' ) { #其中$1是取自regex部分()里的内容,匹配成功后跳转到的URL。 rewrite ^/(.*)$ http://www.zy.com/$1 permanent; }
3、访问www.zy.com跳转www.test.com/index01.html
rewrite ^/$ http://www.test.com/index01.html permanent;
4、访问/zy/test01/跳转至/newindex.html,浏览器地址不变
rewrite ^/zy/test01/$ /newindex.html last;
5、多域名跳转到www.zy.com
if ($host != ‘www.jfedu.net’ ) { rewrite ^/(.*)$ http://www.zy.com/$1 permanent; }
6、访问文件和目录不存在跳转至index.php
if ( ! -e $request_filename ) { rewrite ^/(.*)$ /index.php last; }
7、目录对换 /xxxx/123456 ====> /xxxx?id=123456
rewrite ^/(.+)/(\d+) /$1?id=$2 last;
8、判断浏览器User Agent跳转
if( $http_user_agent ~ MSIE) { rewrite ^(.*)$ /ie/$1 break; }
9、禁止访问以.sh,.flv,.mp3为文件后缀名的文件
location ~ .*\.(sh|flv|mp3)${ return 403; }
10、将移动用户访问跳转至移动端
if ( $http_user_agent ~* "(Android)|(iPhone)|(Mobile)|(WAP)|(UCWEB)" ){ rewrite ^/$ http://m.jfedu.net/ permanent; }
11、访问/10690/zy/123跳转至/index.php?tid/10690/items=123,[0-9]表示任意一个数字,+表示多个,(.+)表示任何多个字符
rewrite ^/([0-9]+)/zy/(.+)$ /index.php?tid/$1/items=$2 last;
12、匹配URL访问字符串跳转
if ($args ~* tid=13){ return 404; }
Nginx 取代理后的 IP
1、系统安装:CentOS7/8 系统安装标准
2、Nginx安装:Nginx 编译安装及配置指南
3、Nginx需要包含--with-http_realip_module模块
针对普通的代理方式
在Server段增加
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
提示
$proxy_add_x_forwarded_for 这个变量会将所有代理的IP都包含其中,而第一个IP就是用户的真实IP,值的格式如下:TTP_X_FORWARDED_FOR => remote_ip,proxy1_ip, proxy2_ip,... ...
针对CDN后的反向代理模式
proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; set_real_ip_from 118.89.52.242; real_ip_header X-Forwarded-For;
上游服务器IP是:118.89.52.242,同时需要从X-Forwarded-For字段中获取访客IP
提示
set_real_ip_from:指定上游服务器
real_ip_header:指定获取访客IP的位置
两个语句可以放置在http、server和location区块中,放置在http区块中将对所有的虚拟空间生效。
Conflunece 的 Nginx 配置
server { client_max_body_size 100m; listen 80; listen 443; ssl on; ssl_certificate /usr/local/etc/ssl/wiki.ourclass.com.pem; ssl_certificate_key /usr/local/etc/ssl/wiki.ourclass.com.key; server_name wiki.ourclass.com; access_log /var/log/nginx/wiki.log main; location / { proxy_pass http://127.0.0.1:8090/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } location /synchrony { proxy_pass http://127.0.0.1:8091; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } location ~ ^/ttyd(.*)$ { proxy_http_version 1.1; proxy_set_header Host $host; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_pass http://127.0.0.1:8094/$1; } # 重定向non-https流量到https if ($scheme != "https") { return 301 https://$host$request_uri; } }
注意,上面的路径配置有两个,分别是/和/synchrony,前者就是wiki的主体,后者是用来检测wiki的URL地址的一个心跳服务。其中,第二个映射/synchrony中的如下配置必须要有,否则前端多人协作的时候就会有一些问题。
http 1.1 添加的配置是为了保证wiki中的Websocket服务正常运行。
配置Confluence
配置完了上述的系统以后就觉得可以访问了,但是一直会报一个警告就是
英文版的是
这个问题的解决方案除了上述的/stnchrony配置外,还需要加入一个Tomcat的配置,就是要在<install-directory>/conf/server.xml这个文件里面添加proxyPort和proxyName的配置,如下:
<Connector port="8090" connectionTimeout="20000" redirectPort="8443" maxThreads="48" minSpareThreads="10" enableLookups="false" acceptCount="10" debug="0" URIEncoding="UTF-8" protocol="org.apache.coyote.http11.Http11NioProtocol" proxyName="ourclass.com" proxyPort="443" scheme="https"/>
总结
这个问题的解决方案还是需要理解confluence的几个核心的组件,然后在根据这些核心的组件进行相应的配置。尤其是这个/synchrony组件非常关键,如果不加上这个完整的服务根本就起不来。
stream 端口转发配置
安装
./configure --with-stream #添加stream模块
配置
主配置文件nginx.conf增加stream模块配置
之前在http增加的include会提示虚拟目录里的配置项不允许在某个位置
stream { include rds/*.conf; }
虚拟目录配置
#nTMXX-01-ZFPT-订单 upstream nTMXX-01-ZFPT-DD { server rm-wz994z33d9e8i9b38yo.sqlserver.rds.aliyuncs.com:3433 weight=5 max_fails=3 fail_timeout=30s; } server { listen 39600; proxy_connect_timeout 60s; proxy_timeout 4h; proxy_pass nTMXX-01-ZFPT-DD; }
测试
nginx -t
nginx -s reload 或 systemctl reload nginx
Nginx 邮件代理
# nginx 分流 993 端口的配置参考如下,465 和 995 照样画葫芦。25 、587 端口用 postfix 或 exim4 ,具体配置可以问 gpt 。 stream { ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; map $ssl_preread_server_name $stream_map993 { mail.domain1.com upstream_993_svr1; mail.domain2.com upstream_993_svr2; mail.domain3.com upstream_993_svr3; } upstream upstream_993_svr1 { server 192.168.1.100:993; } upstream upstream_993_svr2 { server 192.168.1.101:993; } upstream upstream_993_svr3 { server 192.168.1.102:993; } # stream 模块监听 993 端口,并进行端口复用 server { listen 993 reuseport; listen [::]:993 reuseport ipv6only=on; proxy_pass $stream_map993; ssl_preread on; } }
参考
Nginx Config 在线生成配置文件
Nginx Config 是一款可以一键生成 Nginx 配置的神器,相当给力。支持反向代理、HTTPS、HTTP/2、IPv6, 缓存、WordPress、CDN、Node.js 、 Python (Django) 服务器等等。打开网站:https://nginxconfig.io,按照自己的需求进行操作就行了。选择你的场景,填写好参数,系统就会自动生成配置文件。
- 无标签
0 评论